THẺ ĐỊNH DANH - THẺ MẠCH TÍCH HỢP - PHẦN 8: LỆNH ĐỐI VỚI THAO TÁC AN NINH Identification cards - Integrated circuit cards - Part 8: Commands for security operations
Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
357,12 KB
Nội dung
TIÊU CHUẨN QUỐC GIA TCVN 11167-8:2015 ISO/IEC 7816-8:2004 THẺ ĐỊNH DANH - THẺ MẠCH TÍCH HỢP - PHẦN 8: LỆNH ĐỐI VỚI THAO TÁC AN NINH Identification cards - Integrated circuit cards - Part 8: Commands for security operations Lời nói đầu TCVN 11167-8:2015 hồn tồn tương đương với ISO/IEC 7816-8:2004 TCVN 11167-8:2015 Tiểu Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1/SC 17 “Thẻ nhận dạng” biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Bộ tiêu chuẩn TCVN 11167 (ISO/IEC 7816) Thẻ định danh - Thẻ mạch tích hợp gồm tiêu chuẩn sau: - Phần 1: Thẻ tiếp xúc - Đặc tính vật lý; - Phần 2: Thẻ tiếp xúc - Kích thước vị trí tiếp xúc; - Phần 3: Thẻ tiếp xúc - Giao diện điện giao thức truyền; - Phần 4: Tổ chức, an ninh lệnh trao đổi; - Phần 5: Đăng ký bên cung cấp ứng dụng; - Phần 6: Phần tử liệu liên ngành trao đổi; - Phần 7: Lệnh liên ngành ngôn ngữ truy vấn thẻ có cấu trúc; - Phần 8: Lệnh hoạt động an ninh; - Phần 9: Lệnh quản lý thẻ; - Phần 10: Tín hiệu điện trả lời để thiết lập lại cho thẻ đồng bộ; - Phần 11: Xác minh cá nhân phương pháp sinh trắc học; - Phần 12: Thẻ tiếp xúc - Thủ tục vận hành giao diện điện tử USB; - Phần 13: Lệnh quản lý ứng dụng môi trường đa ứng dụng; - Phần 15: Ứng dụng thơng tin mã hóa THẺ DANH ĐỊNH - THẺ MẠCH TÍCH HỢP - PHẦN 8: LỆNH ĐỐI VỚI THAO TÁC AN NINH Identification cards - Integrated circuit cards - Part 8: Commands for security operations Phạm vi áp dụng Tiêu chuẩn quy định lệnh liên ngành sử dụng cho hoạt động mã hóa Việc chọn lựa điều kiện sử dụng phương thức mã hóa ảnh hưởng tới khả xuất thẻ Việc đánh giá phù hợp thuật tốn giao thức khơng đề cập phạm vi tiêu chuẩn Tiêu chuẩn không đề cập đến việc thiết lập bên thẻ và/hoặc giới bên Tài liệu viện dẫn Các tài liệu tham khảo thiếu việc áp dụng tài liệu Đối với tham khảo ghi năm, áp dụng nêu Đối với tham khảo không ghi năm, tài liệu tham khảo (bao gồm sửa đổi) áp dụng (nếu có) TCVN 11167-4 (ISO/IEC 7816-4) Thẻ định danh - Thẻ vi mạch - Phần 4: Tổ chức, an ninh lệnh trao đổi Định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa sau 3.1 Kỹ thuật mã hóa khơng đối xứng (asymmetric cryptographic technique) Kỹ thuật mã hóa sử dụng hai thao tác liên quan: thao tác công khai quy định số công khai hay khóa cơng khai thao tác cá nhân quy định số cá nhân khóa riêng CHÚ THÍCH: Hai thao tác có tính chất: đưa thao tác cơng khai tính tốn cho thao tác cá nhân [TCVN 11167-4 (ISO/IEC 7816-4)] 3.2 Chứng nhận (certificate) Chữ ký số ràng buộc cá nhân hay đối tượng cụ thể tương ứng với khóa cơng khai CHÚ THÍCH: Đơn vị cấp giấy chứng nhận hoạt động quan phân bổ thẻ liên quan tới thành phần liệu chứng nhận [TCVN 11167-4 (ISO/IEC 7816-4)] 3.3 Chữ ký số (digital signature) Dữ liệu nối thêm hay việc chuyển đổi mã hóa chuỗi liệu nhằm chứng minh nguồn gốc tính tồn vẹn chuỗi liệu bảo vệ chống lại giả mạo, ví dụ: băng cách nhận chuỗi liệu [TCVN 11167-4 (ISO/IEC 7816-4)] 3.4 Khóa (key) Chuỗi ký hiệu kiểm sốt thao tác mã hóa (ví dụ: mã hóa, giải mã thao tác cá nhân hay công khai theo chứng thực động, cung cấp chữ ký xác nhận chữ ký) [TCVN 11167-4 (ISO/IEC 7816-4)] 3.5 Thông điệp an ninh (secure messaging) Tập cách thức cho việc bảo vệ mã hóa hay (một phần của) cặp lệnh-hồi đáp [TCVN 11167-4 (ISO/IEC 7816-4)] Thuật ngữ viết tắt ký hiệu Tiêu chuẩn áp dụng thuật ngữ viết tắt sau Thuật ngữ Tiếng Anh Tiếng Việt CCT control reference template for Khuôn mẫu tham chiếu kiểm sốt cryptographic checksum checksum mã hóa CRT control reference template Khn mẫu tham chiếu kiểm sốt CT control reference template for confidentiality Khn mẫu tham chiếu kiểm sốt bảo mật DSA digital signature algorithm Thuật toán chữ ký số DST control reference template for digital Khuôn mẫu tham chiếu kiểm soát signature chữ ký số ECDSA elliptic curve digital signature algorithm Thuật tốn chữ ký số vịng e-líp HT control reference template for hash code Khuôn mẫu tham chiếu kiểm soát hàm băm MSE MANAGE SECURITY ENVIRONMENT command Lệnh MANAGE SECURITY ENVIRONMENT PK public key Khóa cơng khai PSO PERFORM SECURITY OPERATION command Lệnh PERFORM SECURITY OPERATION GQ Guillou and Quisquater Guillou Quisquater RFU reserved for future use Dành riêng để sử dụng sau RSA Rivest, Shamir, Adleman Rivest, Shamir, Adleman SE security environment Môi trường an ninh SEID security environment identifier Mã định danh môi trường an ninh Lệnh liên ngành thao tác mã hóa Tiêu chuẩn khơng bắt buộc tất lệnh phải phù hợp với tiêu chuẩn nhằm hỗ trợ tất lệnh hay tùy chọn lệnh hỗ trợ 5.1 Lệnh GENERATE ASYMMETRIC KEY PAIR Lệnh GENERATE ASYMMETRIC PAIR báo việc tạo lưu trữ cặp khóa khơng đối xứng, ví dụ: khóa cơng khai khóa riêng thẻ, hay truy cập cặp khóa khơng đối xứng tạo trước thẻ Lệnh bắt đầu lệnh MANAGE SECURITY ENVIRONMENT để thiết lập việc tạo khóa liên quan với thơng số (ví dụ: tham chiếu thuật tốn) Lệnh thực thi hay nhiều bước, thường sử dụng xâu chuỗi lệnh (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Bảng - Cặp lệnh-hồi đáp GENERATE ASYMMETRIC PAIR CLA Quy định TCVN 11167-4 (ISO/IEC 7816-4) INS 46' '47' P1 Việc khởi tạo kiểm soát Bảng P2 '00' (khơng có thơng tin) hay tham chiếu khóa tạo Trường Lc Trống mã hóa Nc = 0, có giá trị mã hóa Nc > Trường liệu Trống, Dữ liệu độc quyền P1-P2 = '0000', Một hay nhiều CRT liên quan tới việc tạo khóa P1-P2 khác '0000' (xem CHÚ THÍCH) Trường Le Trống mã hóa Ne = 0, có giá trị Ne > Trường liệu Trống, SW1-SW2 Xem TCVN 11167-4 (ISO/IEC 7816-4), Bảng liên quan, ví dụ: 6985 Khóa cơng khai chuỗi phần tử hay đối tượng liệu, Chuỗi đối tượng liệu liên quan tới danh sách tiêu đề mở rộng CHÚ THÍCH: Một vài CRT thể cặp khóa tạo cho vài mục đích Trong trường liệu, CRT có chiều dài Bảng - Kiểm soát khởi tạo P1 b8 b7 b6 b5 b4 b3 b2 b1 Giá trị 0 0 0 0 Khơng có thơng tin đưa 0 0 x x x Thông tin bổ sung đưa 0 0 - - x Tạo khóa - - - - - x x - Tạo cặp khóa không đối xứng - - - - - x x - Truy cập khóa cơng khai có sẵn 0 0 - x - Định dạng liệu khóa cơng khai trả - - - - - x x - Định dạng độc quyền liệu khóa cơng khai - - - - - x x - Định dạng xuất liệu khóa cơng khai liên quan tới danh sách tiêu đề mở rộng 0 0 x - - Bộ định danh đầu - - - - - x x - Dữ liệu khóa cơng khai trường liệu hồi đáp - - - - - x x - Khơng có liệu hồi đáp trường Le trống độc quyền trường Le có giá trị Bất kỳ giá trị khác dành riêng cho việc sử dụng sau quan có thẩm quyền Đối với việc tạo cặp khóa, thiếu trường L e cặp khóa lưu trữ thẻ, EF tham chiếu biết trước sử dụng lệnh Để truy cập cặp khóa (khơng tạo ra), trường liệu lệnh Trống Dựa tính chẵn lẻ mã INS (Xem TCVN 11167-4 (ISO/IEC 7816-4)), khóa cơng khai trường liệu hồi đáp vừa chuỗi phần tử liệu ('46') hay chuỗi đối tượng liệu ('47') Nếu danh sách tiêu đề mở rộng mô tả trường liệu hồi đáp, biết trước phát lệnh Danh sách bao gồm đối tượng liệu khóa cơng khai đối tượng liệu yêu cầu khác Khi bit đặt với giá trị INS, ví dụ: INS đặt '47' khóa cơng khai trả lại trường liệu hồi đáp, mẫu liên ngành dùng để lồng ghép tập đối tượng liệu khóa cơng khai tương ứng theo Bảng Nếu thuật tốn khơng lệnh thuật tốn biết tới trước phát lệnh Trong khuôn mẫu khóa cơng khai, lớp ngữ cảnh cụ thể (byte từ '80' tới 'BF') dành cho đối tượng liệu khóa cơng khai Bảng - Đối tượng liệu khóa cơng khai Thẻ '7F49' Giá trị Khuôn mẫu liên ngành cho việc lồng ghép tập đối tượng liệu khóa cơng khai với thẻ sau: '06' Mã định danh đối tượng thuật toán, tùy chọn '80' Tham chiếu thuật toán dùng đối tượng liệu tham chiếu thông điệp an ninh, tùy chọn Tập đối tượng liệu khóa cơng khai RSA '81' Các mơ-đun (một số ký hiệu n mã hóa theo x byte) '82' Mũ công khai (một số ký hiệu v, ví dụ: 65537) Tập đối tượng liệu khóa cơng khai DSA '81' Số nguyên tố (một số ký hiệu p mã hóa theo y byte) '82' Số nguyên tố thứ hai (một số ký hiệu p chia thành p-1, ví dụ: 20 byte) '83' Số (một số ký hiệu g trình tự q mã hóa theo y byte) '84' Khóa công khai (một số ký hiệu y tương đương với g với lũy thừa x mô đun p x khóa riêng mã hóa theo y byte) Tập đối tượng liệu khóa cơng khai ECDSA '81' Số nguyên tố (một số ký hiệu p mã hóa theo z byte) '82' Hệ số (một số ký hiệu a mã hóa theo z byte) '83' Hệ số thứ hai (một số ký hiệu b mã hóa theo z byte) '84' Bộ khởi tạo (một điểm ký hiệu PB đường cong, mã hóa theo 2z hay z+1 byte) '85' Trình tự (một số nguyên tố ký hiệu q, theo trình tự khởi tạo PB, mã hóa theo z byte) '86' Khóa cơng khai (một điểm ký hiệu PP đường cong, tương đương với x lần PB x khóa riêng, mã hóa theo 2z hay z+1 byte) '87' Phần phụ đại số Tập đối tượng liệu khóa cơng khai GQ2 Các mô-đun (một số ký hiệu n, mã hóa theo x byte) '81' Số lượng số (một số ký hiệu m, mã hóa theo byte Nếu thẻ '83' thể hiện, thẻ 'A3' phải trống số m ký '83' hiệu g, g2,…, gm số nguyên tố m đầu tiên: 2, 3, 5, 7, 11, ) Tham số xác minh (một số ký hiệu k, mã hóa theo byte) '84' Tập m số ký hiệu g, g2, , gm mà số mã hóa theo byte với thẻ '80' (nếu thẻ 'A3' thể thỏ '83' phải trống) 'A3' - Trong ngữ cảnh này, quan có thẩm quyền dành riêng đối tượng liệu cho lớp ngữ cảnh cụ thể (byte dải từ '80' tới 'BP') 5.2 Lệnh PERFORM SECURITY OPERATION Lệnh khởi tạo thao tác an ninh sau, theo đối tượng liệu quy định P1- P2 - Tính tốn checksum mã hóa; - Tính tốn chữ ký số; - Phép tính mã băm; - Xác thực checksum mã hóa; - Xác thực chữ ký số; - Xác thực chứng nhận; - Mã hóa; - Giải mã Nếu thao tác an ninh yêu cầu vài lệnh sau để hồn thành việc xâu chuỗi lệnh phải áp dụng (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Lệnh bắt đầu lệnh MANAGE SECURITY ENVIRONMENT Ví dụ: tham chiếu khóa tham chiếu thuật tốn khơng phải biết tới quy định CRT lệnh MANAGE SECURITY ENVIRONMENT Lệnh thực thi trạng thái an ninh thỏa mãn thuộc tính an ninh cho thao tác Việc thực thi thành công lệnh hồn thiện thành cơng lệnh trước (ví dụ: VERIFY trước tính tốn chữ ký số) Nếu có, danh sách tiêu đề hay danh sách tiêu đề mở rộng quy định trình tự mục liệu tạo nên đầu vào thao tác an ninh Bảng - Cặp lệnh-hồi đáp PERFORM SECURITY OPERATION CLA Quy định TCVN 11167-4 (ISO/IEC 7816-4) INS 'A2' P1 Thẻ (trường liệu hồi đáp phần tử liệu, có) '00' (trường liệu hồi đáp Trống); 'FF' RFU P2 Thẻ (trường liệu hồi đáp phần tử liệu, có) '00' (trường liệu hồi đáp Trống); 'FF' RFU quan có thẩm quyền Trường Lc Trống mã hóa Nc = 0, có giá trị mã hóa Nc > Trường liệu Trống giá trị đối tượng liệu nằm P2 Trường Le Trống mã hóa Ne = 0, có giá trị Ne > Trường liệu Trống giá trị đối tượng liệu nằm P1 SW1-SW2 Xem TCVN 11167-4 (ISO/IEC 7816-4) Bảng liên quan, ví dụ: 6985 Lệnh dùng khuôn mẫu liệt kê Bảng Các khuôn mẫu đối tượng liệu cho thông điệp an ninh (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Bảng - Khuôn mẫu Thẻ Giá trị 'A0' Khuôn mẫu việc tính tốn mã băm (khn mẫu bị băm) 'A2' Khuôn mẫu việc xác thực checksum mã hóa (mẫu tích hợp) 'AB' Khn mẫu việc xác thực chữ ký số (khuôn mẫu ấn định) 'AC' Khuôn mẫu việc tính tốn chữ ký số (trường giá trị nối ấn định) 'AE' Khuôn mẫu việc xác thực chứng nhận (trường giá trị nối chứng nhận) 'BC' Khn mẫu việc tính tốn chữ ký số (khuôn mẫu ấn định) 'BE' Khuôn mẫu việc xác thực chứng nhận (khuôn mẫu chứng nhận) Trong khuôn mẫu, lớp ngữ cảnh cụ thể (byte dải ‘80’ tới ‘BF’) dành riêng cho đối tượng liệu nhập Bảng liệt kê đối tượng liệu khuôn mẫu Bảng - Đối tượng liệu nhập Thẻ Giá trị 'A0' 'A2' 'AB' 'AC', 'BC' 'AE', 'BE' x x x x x '80' Giá trị thường '8E' Checksum mã hóa '90' Hàm băm '92' Chứng nhận '9C' Khóa công khai x x '9E' Chữ ký số x x x x 5.3 Thao tác COMPUTE CRYPTOGRAPHIC CHECKSUM Thao tác khởi tạo việc tính tốn checksum mã hóa x x x x x Bảng - Thông số trường liệu cho thao tác COMPUTE CRYPTOGRAPHIC CHECKSUM P1 '8E' P2 '80' Trường liệu lệnh Dữ liệu cho checksum mã hóa phải tính tốn Trường liệu hồi đáp Checksum mã hóa 5.4 Thao tác COMPUTE DIGITAL SIGNATURE Thao tác khởi tạo việc tính tốn chữ ký số Thuật tốn vừa thuật toán chữ ký số hay kết hợp thuật toán băm thuật toán chữ ký số Phụ lục A đưa ví dụ thao tác chữ ký số Đối với việc tính toán chữ ký số, liệu ấn định hay tích hợp vào quy trình gán chuyển đổi thành trường liệu lệnh hay khai báo lệnh trước đó, ví dụ: PSO: HASH Trong P2, chữ ký số quy định với thẻ: '9A', 'AC' hay 'BC’ theo cấu trúc nhập (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Nếu liệu bắt buộc bao gồm việc nhập chữ ký số tham chiếu phải thể CRT (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Nếu đối tượng liệu tham chiếu Trống liệu bắt buộc thể thẻ phải chèn liệu bắt buộc vào Dữ liệu bắt buộc tham chiếu trường liệu lệnh ưu tiên danh sách tiêu đề Thẻ phải trả lại chữ ký số (P1 = '9E') Bảng - Thông số trường liệu cho thao tác COMPUTE DIGITAL SIGNATURE P1 ’9E‘ P2 '9A', 'AC' hay 'BC' Trống (dữ liệu sẵn sàng thẻ) Nếu P2 = '9A', liệu ấn định hay tích hợp quy trình ấn định, Trường liệu lệnh Nếu P2 = 'AC', đối tượng liệu, trường giá trị ấn định hay tích hợp quy trình ấn định, Nếu P2 = 'BC', đối tượng liệu ấn định hay tích hợp quy trình ấn định Trường liệu hồi đáp Chữ ký số CHÚ THÍCH: Thẻ 'AC' 'BC' khơng dược tích hợp việc nhập chữ ký số 5.5 Thao tác HASH Thao tác khởi tạo việc tính toán hàm băm cách thực hiện: - Việc tính tốn tồn thẻ - Một tính tốn phần thẻ (ví dụ: vịng cuối việc băm) HT ('AA', 'AB’) tham chiếu thuật tốn việc tính tốn hàm băm (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Dữ liệu nhập phải thể với thẻ theo khối nhập hoàn chỉnh (một hay nhiều thời điểm), chiều dài mà thuật toán phụ thuộc, Dựa vào thuật toán băm, liệu nhập cuối có chiều dài tương đương ngắn chiều dài khối Thuật tốn đệm, thích hợp phần việc quy định thuật toán băm Đối với kết hàm băm, hai trường hợp sau có nhiều khác biệt: - Khi thẻ lưu trữ hàm băm lệnh chuỗi phụ; trường Le - Thẻ phân phối hàm băm theo cách hồi đáp trường Le thiết lập với chiều dài tương ứng Bảng - Thông số trường liệu thao tác HASH P1 '90' P2 '80 hay 'A0' Nếu P2 = '80', liệu băm, Trường liệu lệnh Nếu P2 = 'A0', đối tượng liệu liên quan tới việc băm (ví dụ: '90' hàm băm trung gian, '80' khối cuối cùng) Trường liệu hồi đáp Hàm băm Trống 5.6 Thao tác VERIFY CRYTOGRAPHIC CHECKSUM Thao tác khởi tạo việc xác thực kiểm tra mã hóa Bảng 10 - Thơng số trường liệu thao tác VERIFY CRYPTOGRAPHIC CHECKSUM P1 '00' P2 'A2' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác (ví dụ: '80', '8E') Trường liệu hồi đáp Trống CHÚ THÍCH: Trường giá trị đối tượng liệu giá trị thường (thẻ '80') bao gồm liệu (các phần tử liệu hay đối tượng liệu) bao trùm kiểm tra mã hóa 5.7 Thao tác VERIFY DIGITAL SIGNATURE Thao tác khởi tạo việc xác minh chữ ký số phân phát đối tượng liệu trường liệu lệnh Các xác minh liệu liên quan chuyển đổi quy trình xâu chuỗi lệnh thể thẻ Thuật toán thuật tốn chữ ký số hay kết hợp thuật toán băm thuật toán chữ ký số Phụ lục A đưa ví dụ thao tác chữ ký số Khóa cơng khai thuật tốn được: - Cũng biết đến, hay - Được tham chiếu DST ('B6') lệnh MANAGE SECURITY ENVIRONMENT hay - Sẵn có kết từ thao tác VERIFY CERTIFICATION trước Nếu tham chiếu thuật tốn thẻ mơ tả chữ ký số mà có thuật tốn liệu bao gồm hàm băm, chữ ký loại phục hồi thông điệp (xem ISO/IEC 9796) Nếu khơng việc tính tốn hàm băm thực thẻ tham chiếu thuật toán bổ sung bao gồm tham chiếu thuật toán băm Bảng 11 - Thông số trường liệu thao tác VERIFY DIGITAL SIGNATURE P1 '00' P2 'AB' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác (ví dụ: '9A', 'AC', hay 'BC' '9E') Trường liệu hồi đáp Trống Nếu trường liệu lệnh bao gồm đối tượng liệu Trống thẻ cần biết giá trị sử dụng theo cách xác minh 5.8 Thao tác VERIFY CERTIFICATE Đối với việc xác minh chứng nhận thẻ (xem Phụ lục B), chữ ký số chứng nhận xác minh phân phối đối tượng liệu trường liệu lệnh Khóa cơng khai thẩm quyền chứng nhận dùng quy trình xác minh phải thể thẻ chọn lựa hàm ý hay tham chiếu DST sử dụng lệnh MANAGE SECURITY ENVIRONMENT Thuật tốn áp dụng biết tới tham chiếu DST Nếu đối tượng liệu khác sử dụng quy trình xác minh (ví dụ: hàm băm) đối tượng liệu phải thể thẻ phải truyền sử dụng quy trình xâu chuỗi lệnh Hai trường hợp sau có khác biệt: - Nếu chứng nhận tự mơ tả (P2 = 'BE') thẻ nhận khóa cơng khai nhận dạng thẻ nội dung chứng nhận (được phục hồi) - Nếu chứng nhận không tự mô tả (P2 = 'AE') thẻ nhận khóa cơng khai chứng nhận hàm ý hay tường minh cách sử dụng thẻ khóa cơng khai danh sách tiêu đề mơ tả nội dung chứng nhận Nếu khóa cơng khai lưu trữ, khóa mặc định thao tác phụ VERIFY DIGITAL SIGNATURE Bảng 12 - Thông số trường liệu thao tác VERIFY CERTIFICATE P1 '00' P2 '92', 'AE' hay 'BE' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác Trường liệu hồi đáp Trống CHÚ THÍCH: Nếu lược đồ phục hồi thông điệp phần dùng phần thông tin lưu trữ thẻ đối tượng liệu liệu phụ trợ phải gửi trắng, với liệu chèn vào sau thẻ 5.9 Thao tác ENCIPHER Thao tác mã hóa liệu truyền trường liệu lệnh Sử dụng thao tác bị hạn chế Bảng 13 - Thông số trường liệu thao tác ENCIPHER P1 '82', '84', '86' (giản đồ mã hóa) P2 '80' (giá trị thường) Trường liệu lệnh Trống (dữ liệu nằm sẵn thẻ) Dữ liệu mã hóa Trường liệu hồi đáp Dữ liệu mã hóa 5.10 Thao tác DECIPHER Thao tác giải mã liệu truyền trường liệu lệnh Sử dụng thao tác bị hạn chế Bảng 14 - Thơng số trường liệu thao tác DECIPHER P1 '80' (giá trị thường) P2 '82', '84', '86' (giản đồ mã hóa) Trường liệu lệnh Dữ liệu giải mã Trường liệu hồi đáp Trống (dữ liệu giải mã nằm thẻ) liệu giải mã Phụ lục A (tham khảo) Ví dụ thao tác liên quan tới chữ ký số A.1 Chuỗi lệnh quản lý mơi trường an ninh Bảng A.1 trình bày chuỗi lệnh MANAGE SECURITY ENVIRONMENT từ thành phần: SET DST, CCT CT SE SE cuối với lệnh STORE SE theo SEID P2 Bảng A.1 - Thiết lập thành phần môi trường an ninh Lệnh Thao tác P1-P2 Trường liệu lệnh MSE SET DST '41' - 'B6' {'84' - L - Tham chiếu khóa} - {'91' - L = 0} MSE SET CCT '41' - 'B4' {'83' - L - Tham chiếu khóa} - {'87' - L - Giá trị khởi tạo} MSE SET CT '41' - 'B8' {'83' - L - Tham chiếu khóa} MSE STORE (SEID = 1) 'F2' - '01' - Thao tác SET DST tham chiếu khóa riêng dùng tính tốn chữ ký quy định việc tương tác số ngẫu nhiên nhập chữ ký số Thao tác SET CCT tham chiếu khóa bí mật giá trị khởi tạo với việc tính tốn kiểm tra mã hóa Thao tác SET CT tham chiếu khóa phiên bí mật đáng tin cậy A.2 Chuỗi lệnh việc tính tốn chữ ký số Bảng A.2 trình bày cấu trúc việc cung cấp chữ ký số cách dùng lược đồ chữ ký có phụ lục Phần nhập hàm băm hồn chỉnh có byte đệm Ví dụ mơ tả việc tính tốn chữ ký số với thuật toán kết hợp bao gồm thao tác băm Trong ví dụ này, việc nhập băm phân phối cho thẻ Bảng A.2 - Ví dụ lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 MSE RESTORE '41' - 'B6' Trường liệu lệnh Trường liệu hồi đáp PSO COMPUTE DIGITAL SIGNATURE '41' - 'B4' Hàm băm với byte đệm Chữ ký số CHÚ THÍCH: Ví dụ minh họa hồn chỉnh giá trị bị giới hạn theo việc thiết lập hệ kiểm sốt đầu mà áp dụng thực dùng cho lý an ninh chung (tránh chữ ký lặp lại vài trường hợp) Bảng A.3 trình bày cấu trúc đối việc việc cung cấp chữ ký số cách dùng lược đồ chữ ký có phụ lục Việc nhập chữ ký số bao gồm hàm băm mà khơng cần byte đệm Bảng A.3 - Ví dụ thứ hai lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 Trường liệu lệnh Trường liệu hồi đáp MSE RESTORE 'F3' - '01' - - PSO COMPUTE DIGITAL SIGNATURE '9E' - '9A' Hàm băm với byte đệm Chữ ký số CHÚ THÍCH 1: Nhằm tránh hạn chế đầu ra, chữ ký kết hợp thuật tốn băm sử dụng CHÚ THÍCH 2: Trong vài trường hợp, việc trách lặp lại chữ ký mong muốn khơng đạt Bảng A.4 trình bày lược đồ chữ ký có phụ lục Việc nhập chữ ký số bao gồm hàm băm mà khơng có byte đệm phân phối tới thẻ thẻ yêu cầu tạo số ngẫu nhiên yêu cầu danh sách tiêu đề mở rộng DST trường liệu lệnh lệnh MSE Được quy định thẻ 'BC' P2, kết hợp đối tượng liệu (hàm băm cấp cho thẻ số ngẫu nhiên cấp thẻ) ấn định Bảng A.4 - Ví dụ thứ ba lược đồ chữ ký số có phụ lục Lệnh Thao tác MSE SET PSO COMPUTE DIGITAL SIGNATURE P1-P2 Trường liệu lệnh Trường liệu hồi đáp '41' - 'B6' {'4D' - L - {'90' - L - '91' - L = 0}} {'84' - L - Tham chiếu khóa} '9E' - 'BC' {'90' - L - Hàm băm) Chữ ký số Bảng A.5 trình bày cấu trúc chữ ký số với việc phục hồi thông điệp hạn chế Dữ liệu ấn định cấu hình phụ thuộc vào lược đồ chữ ký việc phục hồi thông điệp hạn chế dùng đối tượng liệu trình bày trường liệu lệnh, theo đếm chữ ký số dùng thông điệp nội cấp thẻ Bảng A.5 - Ví dụ thứ tư lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 MSE RESTORE 'F3' - '02' PSO COMPUTE DIGITAL SIGNATURE Trường liệu lệnh Trường liệu hồi đáp - - '9E' - 'AC' {'90' - L - Hàm băm} Chữ ký số Trong Bảng A.6, thẻ thực thi việc băm (hay vịng cuối việc tính tốn băm) Việc nhập chữ ký số trống thao tác COMPUTE DIGITAL SIGNATURE, tất liệu nhập nằm thẻ Bảng A.6 - Ví dụ thứ năm lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 Trường liệu lệnh Trường liệu hồi đáp MSE RESTORE 'F3' - '01' - PSO HASH '90' - '80' Dữ liệu để băm - PSO COMPUTE DIGITAL SIGNATURE '9E' - '9A' - Chữ ký số A.3 Chuỗi lệnh việc xác minh chữ ký số Trong bảng A.7, danh sách tiêu đề mở rộng quy định cấu trúc chứng nhận không tự mô tả (xem Phụ lục B): đầu vào chữ ký số bao gồm phần tử liệu Thao tác VERIFY CERTIFICATE sử dụng xâu chuỗi lệnh Bảng A.7 - Ví dụ việc xác minh chữ ký số Lệnh Thao tác P1-P2 Trường liệu lệnh MSE SET DST '41' - 'B6' {'4D' - L - {'42' - L - '5F20' - L - '5F49’ - L}} - {'83' - L - Tham chiếu khóa} PSO VERIFY CERTIFICATE (CLA='1X') '00' - 'AE' {'5F4E' - L - Nội dung chứng nhận} PSO VERIFY CERTIFICATE (CLA-'0X') '00' - 'AE' {'5F37' - L - Chữ ký số chứng nhận} PSO HASH '90' - '80' Nhập băm PSO VERIFY DIGITAL SIGNATURE '00' - 'AB' {'9E' - L - Chữ ký số} - Bước đầu tiên: đối tượng liệu chứng nhận trình bày (kết hợp phần tử liệu): mã định danh bên cung cấp (thẻ '42'), tên chủ thẻ (thẻ '5F20') khóa cơng khai chủ thẻ (thẻ '5F49') Thẻ thực việc băm sử dụng nội dung chứng nhận đầu vào băm - Bước thứ hai: chữ ký số phụ thuộc vào chứng nhận tái biến hình kết so sánh với hàm băm tạo trước Sau thao tác HASH thực Đối với việc xác minh chữ ký số, khóa cơng khai nhận xác thực thao tác VERIFY CERTIFICATE trước Đầu vào băm độc lập với thuật toán băm, với giá trị thường, thể theo lệnh xâu chuỗi hàm băm tiền xử lý thẻ thực vịng cuối việc tính toán băm - Bước cuối cùng: Thao tác VERIPY DIGITA SIGNATURE thực Bảng A.8 trình bày việc xác minh chứng nhận tự mô tả (xem Phụ lục B): đầu vào chữ ký số bao gồm đối tượng liệu Thao tác VERIFY CERTIFICATE sử dụng xâu chuỗi lệnh Trong bước đầu tiên, đối tượng liệu tương tác với chứng nhận thể (ví dụ: kết hợp đối tượng liệu: tham chiếu thẩm quyền chứng nhận, tên chủ thẻ khóa phổ thơng chủ thẻ) Thẻ sử dụng kết hợp đầu vào băm Các bước sau định với ví dụ bên Bảng A.8 - Ví dụ thứ hai việc xác minh chữ ký số Lệnh Thao tác P1-P2 Trường liệu lệnh MSE SET DST '41' - 'B6' {'83' - L - Tham chiếu khóa} PSO VERIFY CERTIFICATE (CLA='1X') '00' - 'BE’ {'42' - L - Số định danh bên phát hành} {'5F20’ - L - Tên chủ thẻ} - {'5F49' - L - Khóa cơng khai chủ thẻ} PSO VERIFY CERTIFICATE (CLA='0X') '00' - 'AE' {'5F37' - L - Chữ ký số chứng nhận} PSO HASH '90' - '80' Nhập băm PSO VERIFY DIGITAL SIGNATURE '00' - 'AB' {'9E' - L - Chữ ký số} Bảng A.9 trình bày việc dùng khóa cơng khai trước cài đặt thẻ Bảng A.9 - Ví dụ thứ ba việc xác minh chữ ký số Lệnh Thao tác P1-P2 Trường liệu lệnh MSE SET DST '41' - 'B6' {'83' - L - Tham chiếu khóa} PSO HASH '90' - 'A8' Nhập băm PSO VERIFY DIGITAL SIGNATURE '00' - 'AB' {'9E' - L - Chữ ký số} Phụ lục B (tham khảo) Ví dụ chứng nhận biên dịch thẻ B.1 Đối tượng liệu chứng nhận thẻ xác minh Bảng B.1 trình bày đối tượng liệu liên quan chứng nhận thẻ xác minh Bảng B.1 - Ví dụ đối tượng liệu liên ngành liên quan tới chứng nhận thẻ xác minh Thẻ '42' Phần tử liệu Số định danh bên phát hành '5F20' Tên chủ thẻ '5F37' Thẩm quyền nội tĩnh (chữ ký chứng nhận, tạo bên phát hành) '5F49' Khóa cơng khai chủ thẻ '5F4C' Thẩm quyền người giữ chứng nhận '5F4E' Nội dung chứng nhận '7F21' Chứng nhận chủ thẻ Bên phát hành quy định đối tượng liệu sau, như: số se-ri chứng nhận, số phiên bản, ngày hết hạn,.v v Hai cấu trúc khác chứng nhận thẻ xác minh được phân biệt: - Một chứng nhận thẻ xác minh tự mô tả bao gồm kết hợp nhiều đối tượng liệu BER-TLV; - Một chứng nhận thẻ có thẻ xác nhận khơng tự mơ tả bao gồm kết hợp nhiều phần tử liệu B.2 Chứng nhận thẻ xác minh tự mô tả Đối với chữ ký chứng nhận, lược đồ chữ ký số có hay khơng có phục hồi thơng điệp sử dụng Bảng B.2 trình bày ví dụ chứng nhận thẻ xác minh tự mô tả với lược đồ chữ ký số có phục hồi thơng điệp Bảng B.2 - (Ví dụ) Chứng nhận thẻ xác minh tự mơ tả chủ thẻ '7F21' Độ dài Giá trị đối tượng liệu độc quyền {'42' - L - Số định danh bên phát hành} - {'5F20' - L - Tên chủ thẻ) {'5F49' - L - Khóa công khai chủ thẻ} {'5F37' - L - Chữ ký số} Thẻ chứng Độ dài Giá trị chứng nhận bao gồm Đối tượng liệu ấn nhận chứng nhận đối tượng liệu tương tác với định: {'42' - L - Số định danh (được xây chữ ký số (xem xét việc bên phát hành} dựng) thiếu phục hồi thông điệp) {'5F20' - L - Tên chủ thẻ} {'5F49' - L - Khóa cơng khai chủ thẻ} CHÚ THÍCH Dữ liệu định danh thẩm quyền chứng nhận tham chiếu khóa cơng khai CHÚ THÍCH Dữ liệu định danh chủ thẻ dùng cho việc kiểm sốt quyền truy cập liệu lưu trữ thẻ CHÚ THÍCH Khóa cơng khai chủ thẻ dùng thao tác VERIFY DIGITAL SIGNATURE phụ B.3 Chứng nhận thẻ xác minh không tự mô tả Một đối tượng liệu danh sách tiêu đề mở rộng thể thẻ nhằm xác thực loại chứng nhận; mặt khác, cần bảo vệ phân phối tới thẻ Một đối tượng liệu danh sách tiêu đề mở rộng (thẻ '4D' Xem TCVN 11167-4 (ISO/IEC 7816-4)) mô tả kết hợp phần tử liệu theo cặp thẻ/độ dài trình tự chữ ký số Bảng B.3 - (Ví dụ) Chứng nhận thẻ xác minh không tự mô tả chủ thẻ '7F21' Độ dài Giá trị đối tượng liệu độc quyền {'4D' - L - {42’ - L {'5F20' - L - {'5F49‘ L}} Thẻ chứng nhận (được xây dựng) {'5F4E’ - L - Số định danh bên phát hành Tên chủ thẻ - Khóa công khai chủ thẻ} {'5F37' - L - Chữ ký số} Độ dài Danh sách tiêu đề mở Đối tượng liệu nội Các phần tử liệu chứng rộng (chỉ thể dung chứng nhận liên định: nhận cấu trúc chứng nhận kết chữ ký (chỉ thể - Số định danh bên phát tới) thiếu phục hồi hành thông điệp, bao gồm phần tử liệu phụ - Tên chủ thẻ thuộc danh sách tiêu đề mở rộng) - Khóa cơng khai chủ thẻ Phụ lục C (tham khảo) Ví dụ xuất/nhập khóa khơng đối xứng C.1 Sử dụng lệnh GET DATA xuất khóa cơng khai Giả định đối tượng liệu mô tả khóa cơng khai (PK) trình bày thẻ, mã hóa theo dạng trình bày Bảng C.1 Bảng C.1 - Mã hóa đối tượng liệu PK thẻ 'AB' L Cặp T-L khuôn mẫu xác minh chữ ký số 'B6' L DST '83' '7F49' L '9E' L L Tham chiếu khóa với PK.CH.DS Đối tượng liệu khóa cơng khai '81' L Các mô-đun '82' L Mũ công khai Chữ ký số (tất byte khuôn mẫu xác minh chữ ký số trước thẻ '9E' định Với lệnh MSE, PK nhận chọn lựa Sau lệnh GET DATA (INS lẻ, P1-P2='3FFF') dùng bước, trường liệu trình bày Bảng từ C.2 đến C.7 diễn giao diện thẻ Bảng C.2 - Trường liệu lệnh GET DATA, bước (3 bước) '4D '0B' Danh sách tiêu đề mở rộng ' 'AB' 09 Cặp T-L mẫu xác minh chữ ký số 'B2' '02 Cặp T-L đối tượng liệu DST '83' '7F49' 02 00 Cặp T-L tham chiếu khóa cơng khai Cặp T-L đối tượng liệu khóa cơng khai '81' 00 Cặp T-L mô-đun Bảng C.3 - Trường liệu hồi đáp GET DATA, bước (3 bước) 'AB' L 'B6' L DST '83' L '7F49' L Tham chiếu khóa PK.CH.DS khóa cơng khai '81' L Các mô-đun Bảng C.4 - Trường liệu lệnh GET DATA, bước (3 bước) '4D 07 ' Danh sách tiêu đề mở rộng 'AB' 07 Cặp T-L mẫu xác thực chữ ký số '7F49' 02 Cặp T-L đối tượng liệu khóa cơng khai '82' 00 Cặp T-L mô đun Bảng C.5 - Trường liệu hồi đáp GET DATA, bước (3 bước) 'AB' L '7F49' L Khóa cơng khai '82' L Mũ công khai Bảng C.6 - Trường liệu lệnh GET DATA, bước (3 bước) '4D' 04 Danh sách tiêu đề mở rộng 'AB' 02 Cặp T-L mẫu xác thực chữ ký số '9E' 00 Cặp T-L đối tượng liệu chữ ký số Bảng C.7 - Trường liệu hồi đáp GET DATA, bước (3 bước) 'AB' L '9E' L Chữ ký số C.2 Sử dụng lệnh PUT DATA nhập khóa riêng Trước tiên, lệnh MSE phải gửi tới tham chiếu khóa riêng tương ứng (ví dụ: tham chiếu khóa biết thẻ) Sau lệnh PUT DATA (IND lẻ, P1-P2= '3FFF') dùng với trường liệu lệnh trình bày Bảng C.9 Bảng C.8 - Danh sách tiêu đề mở rộng mơ tả đối tượng khóa riêng '4D' L Danh sách tiêu đề mở rộng 'AB' L Cặp T-L mẫu xác thực ký số 'B6' L '7F48' L Cặp T-L DST '84' L Cặp T-L tham chiếu khóa cho SK.CH.DS Cặp T-L đối tượng liệu khóa riêng '9E' '92' L Cặp T-L tham số p '93' L Cặp T-L tham số q '94' L Cặp T-L tham số 1/q x p '95' L Cặp T-L tham số d x (p-1) '96' L Cặp T-L tham số d x (q-1) L Cặp T-L chữ ký số Bảng C.9 - Trường liệu lệnh PUT DATA '4D' L Danh sách tiêu đề mở rộng 'AB' L 'B6' Cặp T-L mẫu xác minh chữ ký số L Cặp T-L DST '84' '7F48' L L Cặp T-L tham chiếu khóa cho SK.CH.DS Cặp T-L đối tượng liệu khóa riêng '92' L Cặp T-L tham số p '93' L Cặp T-L tham số q '94' L Cặp T-L tham số 1/q x p '95' L Cặp T-L tham số d x (p-1) '96' L Cặp T-L tham số d x (q-1) '9E' L Cặp T-L chữ ký số '5F48' L Kết hợp phần tử tham số khóa phụ thuộc danh sách tiêu đề mở rộng Các phần tử liệu tương ứng với thẻ lọc '00' danh sách tiêu đề mở rộng đọc bị bỏ qua '9E' Chữ ký số L THƯ MỤC TÀI LIỆU THAM KHẢO [1 ] TCVN 11167 (ISO/IEC 7816) Thẻ định danh - Thẻ mạch tích hợp (tất phần) [2] ISO/IEC 9796 Information technology - Security techniques - Digital signature scheme giving message recovery (tất phần) [3] ISO/IEC 9798-5:199912 Information technology - Security techniques - Entity authentication - Part 5: Mechanisms using zero knowledge techniques [4] ISO/IEC 10536 ldentification cards - Contactless integrated circuits cards - Close coupled cards (tất phần) 12 Đã phát hành [5] ISO/IEC 14443 Identification cards - Contactless inlegrated circuits cards - Proximity cards (tất phần) [6] ISO/IEC 15693 Identification cards - Contactless integrated circuits cards - Vicinity cards (tất phần) MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Định nghĩa Thuật ngữ viết tắt ký hiệu Lệnh liên ngành cho thao tác mã hóa Phụ lục A (tham khảo) Ví dụ thao tác liên quan tới chữ ký số Phụ lục B (tham khảo) Ví dụ chứng nhận biên dịch thẻ Phụ lục C (tham khảo) Ví dụ xuất/nhập khóa khơng đối xứng Thư mục tài liệu tham khảo