CHƯƠNG 2. XÁC THỰC HỘ CHIẾU SINH TRẮC
2.3 Mô hình xác thực hộ chiếu sinh trắc
2.3.3 Quy trình xác thực
2.3.3.1 Hạ tầng khoá công khai với HTST
Để quy trình xác thực hộ chiếu sinh trắc được diễn ra thành công, đảm bảo thông tin lưu trong chip RFID là xác thực và toàn vẹn, cần triển khai hạ tầng khóa công khai PKI đối với cả hộ chiếu sinh trắc và hệ thống xác thực IS. Nói cách khác, hạ tầng khóa công khai triển khai phải đáp ứng được cả hai quá trình [1],[9]:
Passive Authentication: Là quá trình kiểm tra tính nguyên vẹn và xác thực của thông tin lưu trong chip RFID. Trong quy trình cấp phát hộ chiếu sinh trắc, sau khi ghi thông tin vào chip RFID, cơ quan cấp hộ chiếu phải ký số lên chip để chứng thực những thông tin vừa ghi vào là đúng. Sau khi nhận được chứng chỉ số CDS do CA cấp cao nhất phát hành, cơ quan cấp HTST sử dụng khóa bí mật của mình để ký số lên hộ chiếu đó, còn khóa công khai được lưu trong CDS.
Tại bước kiểm tra hộ chiếu tại các điểm xuất nhập cảnh, hệ thống IS sử dụng cơ chế Passive Authentication để kiểm tra và xác thực chữ ký của DS. Hệ thống IS tiến hành đọc HTST, lấy chứng chỉ số CDS, kiểm tra tính xác thực của nó bằng khóa công khai của CA phân phối, khóa công khai này được các nước có triển khai HTST trao đổi với nhau qua đường công hàm hoặc thông qua danh mục khóa công khai PKD. Sau khi xác thực xong CDS, hệ thống IS sẽ dùng CDS để xác thực nội dung lưu trong chip RFID.
Terminal Authentication: Là quá trình xác thực hệ thống kiểm tra IS, kiểm tra xem IS có quyền truy cập vào vùng dữ liệu nhạy cảm trong chip RFID hay không.
Tại mỗi quốc gia có triển khai hộ chiếu sinh trắc, sẽ có một cơ quan cấp chứng chỉ số quốc gia, có thể là CSCA (Coutry Signing Certification Authority) hoặc CVCA (Country Verifying Certification Authority). Các CA cấp quốc gia này sẽ phân phối chứng chỉ cho các cơ quan cấp hộ chiếu sinh trắc DS (Document Signer) để ký số lên hộ chiếu hoặc cơ quan xác thực hộ chiếu sinh trắc DV (Document Verifier) để kiểm tra hộ chiếu.
Trong quá trình xác thực hộ chiếu sinh trắc, Terminal Authentication yêu cầu hệ thống kiểm tra IS chứng minh được là nó được quyền truy cập vào vùng dữ liệu nhạy cảm. Khi đó một hệ thống kiểm duyệt được trang bị ít nhất một hệ thống xác thực chứng chỉ (Inspection System Certificate - ISC) để mã hóa khóa công khai của hệ thống kiểm duyệt và các quyền truy cập, tương ứng với khóa bí mật. Sau khi hệ thống kiểm duyệt đã chứng minh được các thông tin của khóa bí mật thì chip RFID mới chấp nhận cho hệ thống kiểm duyệt truy cập vào vùng dữ liệu nhạy cảm được chỉ ra trong ISC [9].
Mô hình PKI triển khai với cơ chế Terminal Authentication có các thực thể sau:
CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng chỉ số quốc gia.
DV (Document Verifier): Cơ quan xác thực hộ chiếu sinh trắc.
IS (Inspection System): Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh.
Hình 2.13 Mô hình PKI phân cấp phục vụ cơ chế Terminal Authentication [9]
1) Country Verifying CAs
Tại mỗi quốc gia có triển khai hộ chiếu sinh trắc cần phải thiết lập một điểm tin cậy (trust-point), gọi là CVCA, là nơi cung cấp và xác thực chứng chỉ số DV-Cert cho các cơ quan xác thực hộ chiếu sinh trắc DV. CVCA xác định tất cả các quyền truy cập đến tới chip RFID cho tất cả các DV (bao gồm các DV trong quốc gia đó và các DV ở các quốc gia khác) bằng cách cung cấp chứng chỉ cho các DV, trong đó có mô tả quyền truy cập thông tin. Để giảm thiểu nguy cơ mất mát thông tin, DV-Cert chỉ có giá trị trong một khoảng thời gian ngắn.
CVCA có toàn quyền gán thời hạn cho DV-Cert và mỗi chứng chỉ của DV khác nhau thì có thời hạn khác nhau.
2) Document Verifiers và Inspection Systems
Document Verifiers (DV) là cơ quan xác thực hộ chiếu, một đơn vị tổ chức và quản lý hệ thống kiểm duyệt IS, cung cấp chứng chỉ số IS-Cert cho các IS.
Như vậy, DV cũng là một CA và được xác thực bởi CVCA.
Inspection System (IS) là hệ thống kiểm duyệt HTST tại các điểm xuất nhập cảnh. Để chip RFID có thể chứng thực được chứng chỉ số IS-Cert thì IS cần phải gửi một chuỗi chứng chỉ hay các chứng chỉ liên kết quốc gia (CVCA Link Certificates), bao gồm DV-Cert và IS-Cert.
3) Card Verifiable Certificates
Card Verifiable Certificates (CVC) là các chứng chỉ xác thực thẻ, bao gồm CVCA Link Certificates, DV-Cert, IS-Cerst cần phải được phê chuẩn bởi chip RFIC.
Mỗi chứng chỉ được cấp phát chỉ có giá trị trong một khoảng thời gian nhất định. Khoảng thời gian này được xác định bởi hai giá trị:
Certificate effective date: Ngày tạo chứng chỉ.
Certificate expiration date: Ngày hết hạn chứng chỉ.
Khi tạo ra chứng chỉ, các cơ quan tạo chứng chỉ cần phải có kế hoạch rõ ràng về thời hạn của chứng chỉ. Dĩ nhiên, một chứng chỉ mới phải được tạo ra trước khi chứng chỉ hiện tại hết hạn và cần phải tính toán thời gian phân phối chứng chỉ tối đa (max distribution time).
Hình 2.15 Mô hình PKI chung cho HTST và IS [10]
4) Danh mục khóa công khai
Hạ tầng khóa công khai PKI cho phép mỗi thực thể được gán với một cặp khóa công khai, khóa bí mật. Việc trao đổi chứng chỉ có gắn khóa công khai của các cơ quan cấp hộ chiếu DS giữa các quốc gia sẽ được thực hiện bằng đường công hàm bí mật và thông qua danh mục khóa công khai PKD (Public Key Directory) của ICAO.
PKD là một mô hình lưu trữ tập trung và phân phối chứng chỉ số CDS, danh sách chứng chỉ bị thu hồi CRL của các cơ quan cấp hộ chiếu DS. Thông qua
PKD, ICAO sẽ tập hợp chứng chỉ số (khóa công khai) của các quốc gia thành viên để quản lý và cung cấp trực tuyến [8].
Hình 2.16 Danh mục khóa công khai PKD
Ngoài thông tin về khóa công khai, CDS còn chứa thông tin quy định quyền truy cập cho hệ thống kiểm duyệt IS. Chứng chỉ này không chỉ chứng thực cho các hệ thống kiểm tra IS ở một quốc gia mà còn chứng thực và quy định quyền truy cập thông tin cho các hệ thống IS ở các quốc gia khác có sử dụng cơ chế kiểm soát truy cập mở rộng EAC.