Yêu cầu bảo mật hộ chiếu điện tử[6]
Vấn đề bảo mật thông tin HCĐT trong các quy trình cấp phát, kiểm duyệt luôn là một trong những vấn đề tối quan trọng đối với an ninh quốc gia. Vấn đề này cần phải thỏa mãn được 6 yêu cầu sau:
Tính chân thực: Cơ quan cấp hộ chiếu phải ghi đúng thông tin của người được cấp hộ chiếu, không có sự nhầm lẫn trong quá trình ghi thông tin khi cấp hộ chiếu. Đây là điều đương nhiên bắt buộc phải có.
Tính không thể nhân bản: Mục tiêu này phải đảm bảo không thể tạo ra bản sao chính xác của RFIC.
Tính nguyên vẹn và tính xác thực: Cần chứng thực tất cả thông tin lưu trên trang dữ liệu và trên RPIC do cơ quan cấp phát hộ chiếu tạo ra. Hơn nữa cần chứng thực thông tin đó không bị thay đổi từ lúc bắt đầu được lưu.
Tính liên kết người - hộ chiếu: Cần phải chứng minh rằng HCĐT thuộc về người mang nó hay nói cách khác là các thông tin trong hộ chiếu mô tả, ghi thông tin về người sở hữu hộ chiếu.
Tính liên kết hộ chiếu - chip: Cần phải khẳng định booklet khớp với mạch RFIC nhúng trong nó.
Kiểm soát truy cập: Đảm bảo việc truy cập thông tin lưu trữ trong chip được sự đồng ý của người sở hữu nó, hạn chế truy cập tới các thông tin sinh trắc học nhạy cảm và tránh mất mát thông tin cá nhân.
HCĐT sử dụng công nghệ không dây và lưu trữ các dữ liệu nhạy cảm của người dùng. Cùng với sự phát triển vượt bậc của công nghệ thông tin và các thiết bị ngày càng hiện đại thì càng xuất hiện những nguy cơ tiềm ẩn đối với việc bảo mật thông tin trong HCĐT. Một số kiểu tấn công nguy hiểm cơ bản đối với HCĐT là:
Tấn công giả mạo: Hộ chiếu có thể bị làm giả bằng cách thay thế một microchip khác. Microchip được nhân bản là dữ liệu trong đó được sao chép trùng khớp với các nội dung của dữ liệu hộ chiếu nguyên thủy . Hoặc microchip có thể được thay thế bằng các nội dung làm giả như sửa đổi các thông tin về danh tính người nắm giữ hộ chiếu và sẽ được đặt vào vị trí của microchip nguyên thủy. Loại microchip an toàn có các cơ chế phần cứng được chế tạo sẵn để bảo vệ chống lại sửa đổi dữ liệu.
Tấn công đầu đọc: Hộ chiếu có thiết bị đầu đọc để đọc ra các nội dung không được bảo vệ cẩn thận của microchip. Kẻ xấu có thể thu thập được các dữ liệu nhạy cảm của người nắm giữ hộ chiếu bằng cách sử dụng các thiết bị giả mạo có khả năng đọc dữ liệu với khoảng cách xa hơn so với thiết kế thông thường.
Tấn công bắt chặn thông tin: Tấn công này bắt chặn thông tin truyền giữa microchip và thiết bị đọc. Thông tin bị đánh cắp có thể được sử dụng để liên lạc trái phép với các hộ chiếu khác.
Tấn công kiểm tra trái phép: Những phương tiện kiểm tra trái phép giống như thiết bị ATM giả được đặt tại các vị trí để khôi phục một cách giả mạo số định danh cá nhân (PIN) của thẻ giao dịch ngân hàng.
Tấn công chèn nhiễu dữ liệu: Kẻ xấu sẽ chèn một thiết bị mà nó có thể sử dụng hay sửa đổi dữ liệu được gửi từ microchip an toàn đến thiết bị đọc.
Tấn công sinh trắc giả mạo: Kẻ giả mạo có thể làm giả sinh trắc của người sở hữu hộ chiếu với các phương pháp gần giống như các ngón tay hay các mặt nạ để đánh lừa hệ thống.
Tấn công phần cứng, thiết bị đọc giả mạo: Thiết bị đọc giả mạo có thể đọc dữ liệu và lưu trữ các thông tin khi microchip liên lạc với thiết bị đọc hợp pháp.
Tấn công nhân bản, sao chép: Nhân bản microchip và sao chép dữ liệu từng phần hay toàn bộ của nó.
Tấn công theo dõi: Kẻ theo dõi chỉ quan tâm đến việc biết được di chuyển vị trí của người nắm giữ hộ chiếu. Qua đó có thể đọc được dữ liệu và sử dụng chúng để lần theo dấu vết vị trí của người nắm giữ hộ chiếu.
Tổ chức Hãng hàng không dân dụng quốc tế ICAO đã đưa ra các cơ chế bảo mật thông tin nhằm ngăn chặn các kiểu tấn công ảnh hưởng đến an toàn, an ninh HCĐT như sau:
Passive Authentication (PA): Cơ chế xác thực bị động, là cơ chế bắt buộc đối với quá trình xác thực HCĐT. Cơ chế này làm nhiệm vụ kiểm tra tính nguyên vẹn và xác thực của thông tin lưu trong chip RFID bằng cách kiểm tra chữ ký số của cơ quan cấp hộ chiếu để xác thực dữ liệu được lưu trong các nhóm dữ liệu LDS trên chip RFID.
Basic Access Control (BAC): Cơ chế kiểm soát truy cập cơ bản có tác dụng chống lại việc nghe lén và đọc trộm thông tin trên đường truyền.
Active Authentication (AA): Cơ chế xác thực chủ động, cơ chế này đảm bảo tính duy nhất và xác thực chíp tích hợp trong HCĐT bằng cách đưa ra một cặp khóa riêng. Khóa bí mật được lưu trong DG15 và được bảo vệ bởi cơ chế PA. Khóa công khai tương ứng được lưu vào bộ nhớ bảo mật và có thể chi được sử dụng trong chip RFID và không thể được đọc ở bên ngoài. Cơ chế này chỉ nên được sử dụng ở những nơi mà BAC được áp dụng.
Extended Access Control (EAC): Mục đích của cơ chế EAC để tăng cường bảo vệ các thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc phục hạn chế của quá trình xác thực chủ động. Tuy nhiên ICAO chỉ đề cập tới cơ chế này dưới dạng tùy chọn để các quốc gia, giới khoa học tiếp tục nghiên cứu và bổ sung. Cơ chế này bao gồm hai quá trình:
- Xác thực chip (Chip Authentication)
- Xác thực đầu đọc (Terminal Authentication)
Supplement Access ControI (SAC): Là cơ chế kiểm soát truy cập bổ sung xuất hiện vào tháng 12/2014. SAC dựa trên giao thức thiết lập kết nối có xác thực mật khẩu PACE. PACE còn tích hợp một tùy chọn để sử dụng số truy cập thẻ bổ sung cho MRZ. SAC đã khắc phục được nhược điểm của cơ chế BAC, đảm bảo mức độ an toàn và riêng tư cao.
Đánh giá các cơ chế bảo mật HCĐT
Thế hệ thứ nhất (HCĐT áp dụng cơ chế BAC): HCĐT của thế hệ này dựa trên giao thức kiểm soát truy cập cơ bản, có thể truy cập đến dữ liệu được đăng ký trên microchip thông qua các thiết bị đọc. Chất lượng của giao thức này phụ thuộc vào MRZ bởi vì nó dựa trên khóa truy cập nhận được từ vùng dữ liệu đọc được bằng máy quang học. Theo số liệu thống kê thì HCĐT của Hà Lan có thể bị phá vỡ trong 2 giờ. Cơ quan tình báo của Mossad của Israel có thể nhân bản được 1000 HCĐT thế hệ này của người
Anh. Các nhân viên hàng không của Israel cũng có thể sao chép HCĐT của người Anh du lịch đến Israel. Vậy nên mức độ an toàn, bảo mật thông tín của HCĐT thế hệ này đã không còn được đảm bảo.
Thế hệ thứ hai (HCĐT áp dụng cơ chế EAC): Thế hệ hai này dựa trên giao thức kiểm soát truy cập nâng cao EAC. Nó dựa trên mật mã nâng cao cho dữ liệu sinh trắc, đảm bảo độ an toàn cho dữ liệu sinh trắc. Nhưng do đây là cơ chế tùy chọn nên nó không phải là chuẩn chung cho toàn thế giới, tùy thuộc vào điều kiện thực tế của các quốc gia mà có sử dụng cơ chế này hay không. Vì vậy, độ an toàn của HCĐT vẫn chưa thực sự được an toàn ở mức cao nhất.
Thế hệ thứ ba (HCĐT áp dụng cơ chế SAC): Thế hệ thứ ba của HCĐT xuất hiện vào tháng 12/2014 dựa trên giao thức kiểm soát truy cập bổ sung SAC. Giao thức SAC đưa ra thêm các đặc tính an toàn mới và khắc phục được các nhược điểm của BAC. SAC còn dựa trên giao thức thiết lập kết nối có xác thực mật khẩu PACE. Trong pha xác thực, BAC chỉ sử dụng mật mã đối xứng còn SAC ngoài việc sử dụng mật mã bất đối xứng nó còn có thể lập mã dữ liệu dựa vào khóa chia sẻ giữa thiết bị đọc và microchip. Ngoài ra, PACE còn tích hợp một tùy chọn để sử dụng số truy cập thẻ CAN (Card Access Number) bổ sung cho MRZ. Vì vậy chất lượng của HCĐT ở thế hệ ba này phụ thuộc vào số CAN. Do số CAN gồm sáu chữ số nên có độ bất định cao dẫn đến mức độ an toàn của HCĐT ở thế hệ này cao hơn hai thế hệ trên. Nhưng nó cũng có nhược điểm đó là chưa có đồng hồ để tính thời gian của chứng thư số nên ổ đọc vẫn có thể đọc dữ liệu trong khi chứng thư số đã hết hạn sử dụng. Đây cũng là nguy cơ để cho kẻ xấu lợi dụng khai thác để làm giả HCĐT.
Kết Luận
Từ những phân tích, đánh giá nêu trên ta có thể thấy HCĐT ở thế hệ thứ ba được cho là an toàn nhất hiện nay. Nhưng các cơ chế an toàn, an ninh đối với các HCĐT cũng cần phải được tăng cường để chống lại những tấn công ngày càng tinh vi. Tuy nhiên, chức năng đảm bảo toàn vẹn thông tin về danh tính, dữ liệu sinh trắc của người nắm giữ hộ chiếu vẫn là chữ ký số của chứng thư số do nhà thẩm quyền phát hành HCĐT.