3.2.1.1. Quy định chung
Tất cả các quốc gia phải sử dụng một thuật toán đồng nhất để sinh khóa (chứng chỉ) bảo mật cấp quốc gia, khóa bảo mật hộ chiếu và ứng dụng trong các đối tƣợng bảo mật(SOD), tuy vậy độ dài của mã khóa là khác nhau tƣơng ứng với các cấp độ bảo mật khác nhau.
Các quốc gia phải hỗ trợ tất cả các thuật toán bảo mật tại các cửa khẩu quốc tế để xác thực tính hợp lệ của hộ chiếu do các quốc gia khác phát hành.
Dƣới đây là khuyến cáo đối với độ dài mã khóa tƣơng ứng với từng thuật toán và giả định hộ chiếu có thời hạn là 10 năm.
3.2.1.2. RSA
- Khóa mã cấp quốc gia có độ dài tối thiểu là 3072 bit(số nguyên tố Mođulô n). - Khóa mã cấp hộ chiếu có độ dài tối thiểu 2048 bit.
- Khóa mã đánh cho phƣơng thức xác thực chủ động có độ dài tối thiểu là 1024 bit.
3.2.1.3. DSA
- Khóa mã cấp quốc gia có độ dài tối thiểu là 3072 và 256 bit (tƣơng ứng với cặp số n và q).
- Khóa mã cấp hộ chiếu có độ dài tối thiểu là 2048 và 224 bit.
- Khóa mã dành cho phƣơng thức xác thực chủ động có độ dài tối thiểu là 1024 và 160 bit
3.2.1.4. Đƣờng cong elip DSA (ECDSA)
- Khóa mã cấp quốc gia có độ dài tối thiểu 256 bit. - Khóa mã cấp hộ chiếu có độ dài tối thiểu 224 bit.
- Khóa mã dành cho phƣơng thức xác thực chủ động có độ dài tối thiểu là 1024 và 160 bit.
3.2.1.5. Các thuật toán băm(SHA-1, SHA-256, SHA-384, SHA-512)
Độ dài khóa mã của thuật toán băm nên lựa chọn cho phù hợp với thuật toán ký tƣơng ứng. Ví dụ:
- SHA-1 cùng với RSA 1024 - SHA-224 cùng với ECDSA 224