CHƯƠNG 2. XÁC THỰC HỘ CHIẾU SINH TRẮC
2.3 Mô hình xác thực hộ chiếu sinh trắc
2.3.3 Quy trình xác thực
2.3.3.3 Quy trình xác thực hộ chiếu sinh trắc
Để xây dựng được một mô hình hoàn chỉnh về hệ thống xác thực hộ chiếu sinh trắc rất phức tạp và có tính vĩ mô. Khi một quốc gia triển khai hộ chiếu sinh trắc, thì vấn đề xác thực HTST luôn được đặt lên hàng đầu để đảm bảo an ninh quốc gia và đảm bảo an toàn thông tin cho những người mang hộ chiếu. Luận văn này chỉ đưa ra một phác thảo mô hình các bước kiểm soát người mang hộ chiếu sinh trắc tại Việt Nam. Trong tương lai, khi Việt Nam đã triển khai mô hình HTST trên diện rộng, thì tại các điểm xuất/nhập cảnh, công dân mang HTST sẽ phải tuân thủ một số bước trong quy trình xác thực hộ chiếu sau [1]:
1) Kiểm tra an ninh
Công dân mang HTST xuất trình hộ chiếu cho hệ thống kiểm duyệt (IS).
Trước tiên HTST cần phải trải qua một số bước kiểm tra an ninh nghiệp vụ truyền thống tại các điểm xuất/nhập cảnh như dùng lớp kim loại bảo vệ để tạo hiệu ứng lồng Faraday nhằm chống khả năng đọc thông tin trong chip RFID ngoài ý muốn của người mang hộ chiếu hay dùng thủy ấn để bảo vệ booklet…
2) Basic Access Control
IS tiến hành thực hiện cơ chế BAC trên HTST. Đây là cơ chế chống nghe lén và đọc trộm thông tin truyền từ chip RFIC đến IS. Ý tưởng của BAC là phải có sự đồng ý của người sở hữu hộ chiếu mới được phép đọc các thông tin từ chip RFIC. Do đó hệ thống chỉ cho phép truy cập thông tin khi đã nhận được các khóa truy cập từ vùng dữ liệu MRZ. Nghe lén và đọc trộm bị chặn bằng cách truyền thông báo bảo mật, dữ liệu trao đổi giữa RFIC và IS được mã hóa sử dụng cặp khóa phiên có được từ BAC.
IS đọc thông tin từ vùng dữ liệu MRZ, lấy số hộ chiếu (DoN), ngày sinh của người sở hữu hộ chiếu (DoB) và ngày hết hạn hộ chiếu (ExD), sau đó tính khóa cơ bản Kseed như sau:
o Sử dụng hàm băm SHA-1 để băm các thông tin vừa đọc được:
Kseed’ = SHA-1 (DoN||DoB||ExD)
o Lấy 16 byte quan trọng nhất của giá trị vừa băm tạo thành khóa Kseed:
Kseed = MostImporByte (Kseed’, 16)
RFIC và IS xác thực lẫn nhau và cùng tính toán các khóa truy cập dữ liệu cơ bản KENC và KMAC (hai khóa này được lưu vào chip RFIC) từ khóa Kseed như sau:
o KENC’=SHA-1 (Kseed || “00000001”) KENC=MostImporByte (KENC’,16) o KMAC’=SHA-1 (Kseed || “00000002”)
KMAC=MostImporByte (KMAC’,16)
Hình 2.18 Nguồn gốc khóa trong cơ chế Basic Access Control [6]
Khi IS đã có KENC và KMAC, nó gửi yêu cầu trao đổi thông tin đến RFIC. RFIC sẽ gửi một số ngẫu nhiên rRFIC đến IS. IS sinh ra kIS (được sử dụng để tạo khóa phiên) và một tham số ngẫu nhiên rIS. Sau đó IS tính giá trị CIS=KENC(rIS||rRFIC||kIS), tính mã xác thực thông báo MIS=KMAC(CIS) và gửi hai giá trị (CIS||MIS) đến RFIC.
RFIC tiến hành giải mã xác thực MIS sử dụng khóa KENC và so sánh rRFIC nhận được xem có trùng với giá trị ban đầu hay không. Nếu những xác minh này thành công, RFIC mới tin chắc rằng IS đã đọc được dữ liệu MRZ và đã có được khóa KENC và KMAC.
Để tạo cặp khóa phiên cho quá trình mã hóa thông tin, RFIC sinh ra số ngẫu nhiên kRFIC, tính giá trị CRFIC=KENC(rRFIC||rIS||kRFIC), tính mã xác thực thông báo MRFIC=KMAC(CRFIC) và gửi hai giá trị (CRFIC||MRFIC) đến cho IS.
Cuối cùng, cả RFIC và IS cùng tính khóa phiên truyền thông báo bảo mật kSM = kIS kRFIC và sử dụng khóa này để mã hóa thông tin trao đổi giữa chúng [11].
Hình 2.19 Mô tả quá trình Basic Access Control
3) Đọc vùng dữ liệu DG1
Sau khi BAC thành công, hệ thống kiểm tra sẽ tiến hành đọc vùng dữ liệu DG1 trong chip RFID của HTST và so sánh với những dữ liệu hệ thống đã đọc được từ vùng MRZ trước đó. Nếu dữ liệu trùng nhau thì chuyển sang bước 4, nếu không thì chuyển qua bước kiểm tra đặc biệt.
4) Chip Authentication
Các bước Chip Authentication và Terminal Authentication chỉ được thực hiện tại các quốc gia có triển khai cơ chế EAC trong xác thực hộ chiếu sinh trắc.
Chip Authentication là giao thức thỏa thuận khóa Diffie-Hellman ngắn hạn được sử dụng để xác thực chip RFIC và tạo ra một cặp khóa phiên để mã hóa quá trình truyền thông báo bảo mật giữa chip RFIC và hệ thống kiểm duyệt IS.
Quá trình này được thực hiện trước Passive Authentication.
Chip RFIC lưu trữ khóa công khai PKRFIC, khóa bí mật tương ứng SKRFIC
và các tham số miền DRFIC. IS cũng tạo ra một cặp khóa Diffie-Hellman ngắn hạn cho mỗi một truyền thông mới sử dụng các tham số miền DRFIC của chip RFIC. Khóa công khai là PKIS và khóa bí mật tương ứng là SKIS. Sử dụng giao thức thỏa thuận khóa Diffie-Hellman, cả RFIC và IS có thể tạo ra một khóa bí mật dùng chung mà không làm ảnh hưởng đến thông tin trong quá trình truyền.
Giao thức Chip Authentication thực hiện theo các bước sau [9]:
Chip RFIC gửi khóa công khai PKRFIC và tham số miền DRFIC đến IS.
IS tạo ra cặp khóa Diffie-Hellman ngắn hạn là khóa công khai PKIS, khóa bí mật SKIS trên miền DRFIC, sau đó gửi khóa công khai PKIS đến chip RFIC.
Sau khi đã có khóa công khai của nhau, cả chip RFIC và hệ thống kiểm tra IS cùng tính toán:
o Khóa bí mật dùng chung K từ các giá trị (SKRFIC, PKIS, DRFIC) và (SKIS, PKRFIC, DRFIC).
o Cặp khóa phiên (KENC, KMAC) được tính từ K được dùng cho việc truyền thông báo bảo mật.
o Hàm băm khóa công khai ngắn hạn của IS là H(PKIS) được sử dụng trong quá trình Terminal Authentication.
Hình 2.21 Chip Authentication
Cơ chế Chip Authentication tạo ra cặp khóa phiên mới (KENC, KMAC) được trích ra từ khoá Kđể dùng cho truyền thông báo bảo mật và hàm băm khóa công khai ngắn hạn H(PKIS) của hệ thống kiểm duyệt sử dụng cho quá trình Terminal Authentication.
5) Passive Authentication
Tiến hành thực hiện quá trình Passive Authentication để kiểm tra tính xác thực và toàn vẹn thông tin lưu trong chip RFID thông qua việc kiểm tra chữ ký lưu trong SOD bằng khóa công khai của cơ quan cấp hộ chiếu. Việc trao đổi khóa công khai thông qua chứng chỉ số được thực hiện theo mô hình khuyến cáo của ICAO. Thực hiện thành công quá trình Passive Authentication cùng với Chip Authentication trong cơ chế EAC thì có thể khẳng định chắc chắn chip trong hộ chiếu là nguyên gốc.
Passive Authentication là quá trình kiểm tra tính xác thực và toàn vẹn thông tin [9].
- Đọc SOD từ chip RFIC.
- Lấy chứng chỉ CDS từ SOD vừa đọc ở trên.
- Kiểm tra CDS từ khóa công khai PKCSCA có được từ PKD hoặc từ cơ sở dữ liệu được trao đổi trực tiếp giữa các quốc gia thông qua đường công hàm.
- Kiểm tra chữ ký số SOD.signature sử dụng khóa bí mật SKDS của DS. Bước này nhằm khẳng định thông tin SOLDS đúng là được tạo ra bởi cơ quan cấp hộ chiếu và SOLDS không bị thay đổi.
- Đọc các thông tin cần thiết từ LDS.
- Tính hàm băm cho các thông tin ở bước 4, sau đó so sánh với SOLDS. Qua bước này mới khẳng định được nhóm dữ liệu là xác thực và toàn vẹn.
Hình 2.22 Passive Authentication 6) Terminal Authentication
Thực hiện quá trình Terminal Authentication để chứng minh quyền truy cập thông tin của IS đối với các vùng dữ liệu nhạy cảm trên chip RFID (DG3 và DG4). Quá trình này cũng chỉ thực hiện đối với cơ quan kiểm tra hộ chiếu có thực hiện EAC. Sau khi Terminal Authentication thành công, đầu đọc có thể truy cập thông tin theo quyền thể hiện trong chứng chỉ IS-Cert.
ICAO sử dụng giao thức này đối với HTST để tạo sự xác thực từ phía IS [9].
- Đầu tiên, IS sẽ gửi một chuỗi chứng chỉ đến chip RFIC. Chuỗi chứng chỉ này bắt đầu bằng một chứng chỉ có thể xác minh được với khóa công khai PKCVCA lưu trữ trên chip và kết thúc bằng chứng chỉ CIS của hệ thống kiểm duyệt IS.
- RFIC xác minh các chứng chỉ này và trích ra khóa công khai PKIS. Sau đó RFIC sẽ gửi lệnh rRFIC đến IS.
- IS trả lời bằng chữ ký:
- sIS = Sign (SKIS, IDRFIC || rRFIC || H(PKIS))
- Chip RFIC kiểm tra chữ ký nhận được từ IS bằng khóa PKIS. - Verify(PKIS, sIS, IDRFIC || rRFIC || H(PKIS))
- Trong đó: IDRFIC là định danh (số) của hộ chiếu lưu trong chip RFIC bao gồm cả chữ số kiểm tra như trong MRZ. H(PKIS) là hàm băm thu được từ bước Chip Authentication.
Hình 2.23 Terminal Authentication 7) Đối sánh đặc trƣng sinh trắc
Hệ thống kiểm duyệt có quyền truy cập vào các vùng dữ liệu DG2, DG3, DG4 và tiến hành đọc các dữ liệu sinh trắc của người sở hữu hộ chiếu (thông tin khuôn mặt, vân tay, mống mắt) được lưu trong chip RFID của hộ chiếu sinh trắc. Cùng lúc đó, bằng các thiết bị nhận dạng đặc biệt, cơ quan kiểm tra sẽ tiến hành thu nhận các đặc trưng sinh trắc như ảnh khuôn mặt, vân tay, mống mắt…
từ người dùng. Sau đó, hệ thống sẽ thực hiện quá trình trích chọn đặc trưng của các nhân tố sinh trắc này, tiến hành đối sánh và đưa ra kết quả. Nếu cả ba dữ liệu sinh trắc thu được trực tiếp từ người dùng khớp với dữ liệu thu được từ chip RFID thì cơ quan kiểm tra xác thực có đủ điều kiện để tin tưởng hộ chiếu sinh trắc đó là đúng đắn và người mang hộ chiếu là hợp lệ.