Để phục vụ việc kiểm tra tính nguyên vẹn và xác thực của thông tin lưu trong chip RFID của HCĐT, hạ tầng khoá công khai là một trong những giải pháp hữu hiệu nhất cần phải được triển khai. Hạ tầng khoá công khai triển khai phải đáp ứng được cả hai quá trình dưới đây:
- Xác thực thụ động (Passive Authentication): Là quá trình kiểm tra tính nguyên vẹn và xác thực của thông tin lưu trong chip RFID thông qua việc kiểm tra chữ ký của cơ quan cấp hộ chiếu trên thông tin ghi vào chíp RFID.
- Xác thực đầu cuối (Terminal Authentication): xác thực đầu cuối hoặc có thể gọi là xác thực hệ thống kiểm tra hộ chiếu (hay xác thực đầu đọc) là quá trình chứng minh quyền truy cập thông tin trong chip RFID của một hệ thống kiểm tra (đầu đọc). Trong phần tiếp theo ký hiệu IS được dùng để chỉ ra hệ thống kiểm tra (đầu đọc) tại các điểm kiểm tra hộ chiếu điện tử.
Do vai trò chức năng khác nhau giữa chứng chỉ dùng cho Passive Authentication và Terminal Authentication nên có riêng các chứng chỉ phục vụ các mục đích khác nhau này. Việc trao đổi chứng chỉ của cơ quan cấp hộ chiếu giữa các quốc gia sẽ được thực hiện bằng đường công hàm và thông qua danh mục khoá công khai của ICAO.
4.2.1. Danh mục khoá công khai
ICAO tổ chức mô hình danh mục khoá công khai - PKD (Public Key Directory) lưu trữ tập trung, phân phối chứng chỉ (chứa khoá công khai), danh sách chứng chỉ thu hồi – CRL (Certificate Revocation List) đến các cơ quan thành viên.
Hình 19: Danh mục khóa công khai.
Với ý tưởng này, mỗi quốc gia có một cơ quan cấp chứng chỉ số quốc gia (ký hiệu là CSCA - Country Signing Certificate Authority), với khóa bí mật là KPrCSCA và khóa công khai là KPuCSCA. Những khoá này được sử dụng để chứng thực cho chứng chỉ của cơ quan cấp hộ chiếu (ký hiệu là CDS). Mô hình tổ chức chứng chỉ như trên hình 19.
Thư mục khoá công khai (Public Key Directory – PKD) là nơi tập trung các chứng chỉ (CDS) của cơ quan cấp hộ chiếu, ICAO sẽ tập hợp chứng chỉ của các quốc gia thành viên và quản lý, cung cấp trực tuyến.
Một yêu cầu hết sức quan trọng là cần thường xuyên cập nhật danh sách những chứng chỉ bị thu hồi (CRL) với PKD. Do các khoá bí mật của cơ quan cấp hộ chiếu
dùng để ký một số lượng lớn các HCĐT và sử dụng trong một khoảng thời gian dài nên nếu xảy ra trường hợp một cơ quan cấp hộ chiếu bị lộ khoá bí mật, không thể huỷ giá trị sử dụng của toàn bộ các HCĐT đã được ký bởi khoá này. Các HCĐT đã ký bằng khoá nằm trong CRL tuy nhiên thời điểm ký trước thời điểm khoá này nằm trong danh sách CRL thì hộ chiếu điện tử đó vẫn có nguyên giá trị sử dụng. Khi nói đến giá trị của một chữ ký số là ý muốn nói đến thời điểm cuối cùng của nó trong khoảng thời gian có giá trị. Một khi khoá bí mật của một cơ quan cấp hộ chiếu bị lộ, chính phủ đó phải nhanh chóng cảnh báo cho tất cả các quốc gia khác.
4.2.2. Mô hình phân cấp CA phục vụ quá trình Passive Authentication
Tổ chức mô hình CA (Cerfiticate Authority) thành hai cấp, cấp quốc gia và cơ quan trực tiếp cấp hộ chiếu.
Hình 20: Mô hình tổ chức phân cấp CA phục vụ quá trình Passive Authentication
CSCA - Country Signing Certificate Authority là CA cấp quốc gia, CA này cấp chứng chỉ chứng thực khoá công khai cho các DS - Document Signer. DS là các cơ quan ký hộ chiếu điện tử hay cũng chính là cơ quan cấp hộ chiếu điện tử.
Mô hình tổ chức CA này không có CA cấp cao nhất phạm vi toàn cầu hay CA chứng thực cho các CA cấp quốc gia. Mỗi CSCA trong mô hình đóng vai trò là root CA, nó là CA tự xác thực. Khoá công khai của các CSCA trao đổi cho các CSCA khác theo đường công hàm hoặc tuân theo PKD của ICAO.
DS ký hộ chiếu điện tử mà nó cấp bằng khoá bí mật, khoá công khai tương ứng lưu trong chíp dưới dạng một chứng chỉ (CDS)do CSCA cấp trên phát hành.
Tại điểm kiểm tra, hệ thống đọc hộ chiếu điện tử sẽ đọc CDS, kiểm tra tính xác thực của nó bằng khoá công khai của CSCA tương ứng. Sau đó hệ thống đọc sẽ dùng khoá công khai trong CDS để xác thực nội dung thông tin lưu trong chip.
4.2.3. Mô hình phân cấp CA phục vụ quá trình Terminal Authentication
Xác thực đầu cuối yêu cầu hệ thống đọc HCĐT chứng minh với chip RFID quyền truy cập vào dữ liệu nhạy cảm (DG3, DG4). Tổ chức mô hình CA phục vụ quá trình Terminal Authentication tương tự như CA phục vụ quá trình Passive Authentication đã trình bày ở trên. Nó chỉ khác biệt ở hai điểm: Trong chứng chỉ số, ngoài thông tin về khoá công khai ra còn có thông tin quy định quyền truy cập thông
CSCA1 CSCAm
DS1 DSn
…
… DS
1 … DSn
Formatted: Font: Not Bold
Formatted: Font: Not Bold
Formatted: Font: 13 pt
tin cho đầu đọc; chứng chỉ này không chỉ chứng thực cho các điểm kiểm tra thuộc quốc gia đó mà còn chứng thực và quy định quyền truy cập thông tin cho các điểm kiểm tra của các quốc gia khác để kiểm tra hộ chiếu.
Mô hình chứng chỉ số phân thành 3 cấp: cấp quốc gia, cấp cơ quan quản lý hộ chiếu và cấp kiểm tra tại điểm xuất nhập cảnh. Các ký hiệu được sử dụng:
1. CVCA (Country Verifying Certificate Authority) – Cơ quan cấp chứng chỉ thẩm định quốc gia.
2. DV (Document Verifier) – Cơ quan thẩm tra hộ chiếu. 3. IS (Inspection System)- Hệ thống thẩm tra.
Hình 21: Mô hình phân cấp CA phục vụ quá trình Terminal Authentication
CVCA: Mỗi chính phủ phải thiết lập một điểm tin cậy (trust-point) gọi là root CA, nó cung cấp chứng chỉ CDV cho cơ quan kiểm tra hộ chiếu. CVCA xác định quyền truy cập tới chip RFID cho tất cả các DV (bao gồm cả DV trong quốc gia đó và DV của quốc gia khác) bằng cách cung cấp chứng chỉ cho các DV trong đó mô tả quyền truy cập thông tin. Để giảm bớt các nguy cơ như mất khoá hoặc đánh cắp dữ liệu, CDV
có giá trị trong một khoảng thời gian ngắn. CVCA toàn quyền gán thời hạn của CDV và thời hạn này khác nhau đối với mỗi DV.
DV: Một DV là một đơn vị tổ chức quản lý các IS và cung cấp chứng chỉ CIS cho IS. Như vậy DV cũng là một CA được xác thực bởi ít nhất một CVCA.
IS: là hệ thống kiểm tra hộ chiếu tại các điểm xuất nhập cảnh.
Để chip RFIC có thể chứng thực được chứng chỉ CIS, IS cần phải gửi một chuỗi chứng chỉ hay các chứng chỉ liên kết quốc gia (CVCA link certificates) bao gồm CDV
và CIS.
Trước hết, CVCA cấp chứng chỉ CDV chỉ ra quyền truy cập thông tin đối với một DV cụ thể. DV tiếp tục cấp chứng chỉ CIS chứng nhận IS trong phạm vi quản lý của nó
có quyền truy cập thông tin nào trong chip. Thông qua việc chứng minh quyền sở hữu khoá bí mật tương ứng với khoá công khai trong chứng chỉ CIS, IS có thể chứng minh quyền truy cập thông tin của nó cho RFIC.
Thời hạn chứng chỉ
Mỗi chứng chỉ có giá trị trong một khoảng thời gian nhất định. Khoảng thời gian này được xác định bởi hai giá trị: ngày tạo ra chứng chỉ và ngày hết hạn. Khi tạo ra chứng chỉ, cơ quan tạo ra phải có kế hoạch cẩn thận về thời hạn của chứng chỉ. Hiển nhiên, một chứng chỉ mới phải được tạo ra trước khi chứng chỉ hiện tại hết hạn và đảm bảo tính toán thêm thời gian phân phối chứng chỉ.
Hình 22: Minh hoạ lịch trình cấp chứng chỉ