Với sự phát triển nhanh chóng của Internet và công nghệ thông tin như hiện nay, ngày càng xuất hiện nhiều nguy cơ mất an toàn dữ liệu. Các thông tin truyền đều có thể bị nghe trộm, bị làm giả, mạo danh… với các thủ đoạn ngày càng tinh vi.
Chính vì thế, để quy trình xác thực HCST được diễn ra một cách bảo mật và an toàn, đảm bảo tính nguyên vẹn và xác thực của thông tin cá nhân lưu trong chip RFID, thì hạ tầng khóa công khai (Public Key Infrastructure - PKI) là một trong những giải pháp tốt nhất cần được triển khai. Đây là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng chỉ số
31
CA) cung cấp và xác thực định danh của các bên tham gia vào quá trình trao đổi thông tin.
Hạ tầng khoá công khai triển khai phải đáp ứng được các quá trình dưới đây.
- Đối với HCST thế hệ thứ 2 thì PKI phải đảm bảo được hai quá trình: Xác thực thụ động (Passive Authentication) và Xác thực đầu cuối (Terminal Authentication).
- Đối với ePassport thế hệ thứ 3 thì PKI phải đảm bảo được hai quá trình: Xác thực thụ động (Passive Authentication) và Xác thực Chip (Chip Authentication).
Do vai trò chức năng khác nhau giữa chứng chỉ dùng cho Passive Authentication và Terminal (Chip) Authentication nên có riêng các chứng chỉ phục vụ các mục đích khác nhau này. Việc trao đổi chứng chỉ của cơ quan cấp hộ chiếu giữa các quốc gia sẽ được thực hiện bằng đường công hàm và thông qua danh mục khoá công khai của ICAO.
3.1Danh mục khoá công khai
ICAO tổ chức mô hình danh mục khoá công khai - PKD (Public Key Directory) lưu trữ tập trung, phân phối chứng chỉ (chứa khoá công khai), danh sách chứng chỉ thu hồi – CRL (Certificate Revocation List) đến các cơ quan thành viên.
Hình 2.1. Danh mục khóa công khai
Với ý tưởng này, mỗi quốc gia có một cơ quan cấp chứng chỉ số quốc gia (ký hiệu là CSCA - Country Signing Certificate Authority), với khóa bí mật là KPrCSCA và khóa công khai là KPuCSCA. Những khoá này được sử dụng để chứng thực cho chứng chỉ của cơ quan cấp hộ chiếu (ký hiệu là
32
Thư mục khoá công khai (Public Key Directory – PKD) là nơi tập trung các chứng chỉ (CDS) của cơ quan cấp hộ chiếu, ICAO sẽ tập hợp chứng chỉ của các quốc gia thành viên và quản lý, cung cấp trực tuyến.
3.2Mô hình PKI ứng dụng trong HCST
Các thành phần trong HCST PKI gồm [16]:
CSCA (Country Verifying Certificate Authorities) cùng với CVCA (Country Verifying Certificate Authority): là CA (Cerfiticate Authority) cấp quốc gia.
DV (Document Verifier): Cơ quan thẩm tra hộ chiếu.
IS (Inspection System): Hệ thống thẩm tra.
Hạ tầng khoá công khai có một cấu trúc tầng. Tầng cao nhất tương ứng với mỗi quốc gia được gọi là CSCA. CSCA sinh và lưu giữ cặp khoá (KPuCSCA, KPrCSCA). Khoá bí mật của CSCA (KPrCSCA) được dùng để ký mỗi chứng chỉ Document Verifier (CDV) do quốc gia đó hay quốc gia khác quản lý. Trong mỗi quốc gia có nhiều DV. Mỗi DV sinh và lưu trữ một cặp khoá (KPuDV, KPrDV). Khoá bí mật của DV (KPrDV) được dùng để ký mỗi chứng chỉ đầu đọc (CIS) và SOD trong mỗi HCST mà nó phát hành. Để chia sẻ các chứng chỉ DV (CDV) giữa các quốc gia, ICAO cung cấp một danh mục khoá công khai PKD (Public Key Directory). PKD chỉ lưu trữ các chứng chỉ của DV (CDV) đã được ký, chính vì vậy nó còn được gọi là kho chứa các chứng chỉ. Kho chứa này có sẵn ở mỗi quốc gia và được cấp quyền bảo vệ cấm đọc. Danh sách thu hồi chứng chỉ CRL (Certificate Revocation List) cũng có thể được lưu trữ trong cùng danh mục khoá công khai PKD. Mỗi quốc gia có trách nhiệm cập nhật thường xuyên các chứng chỉ và CRL bằng cách lấy chúng từ PKD. Mỗi lần làm như vậy, mỗi quốc gia phân phối thông tin mới lấy được đến cho mỗi DV và IS trong thẩm quyền của nó.
33
Hình 2.2. Hạ tầng khoá công khai HCST