Kết hợp với Passive Authentication sẽ chứng minh tính nguyên gốc của chip, ngoài ra Chip Authentication còn khắc phục được nhược điểm Ngữ cảnh thách đố của Active Authentication và cung cấp khoá phiên mạnh [20].
Thực chất, Chip Authentication là giao thức thoả thuận khoá Diffie-Hellman ngắn hạn tạo ra liên lạc bảo mật và ngầm xác thực cho RFIC.
Giao thức thực hiện theo các bước sau:
1. Chip gửi khoá công khai Diffie-Hellman tĩnh PKRFIC (lưu trong DG14) và các tham số miền D(p,a,b,G,n,h) đến hệ thống kiểm tra.
2. Hệ thống kiểm tra sinh ra một cặp khoá Diffie-Hellman ngắn hạn (SEIS, PEIS) trên miền D và gửi khoá công khai PEIS đến chip. Quá trình sinh khoá theo lược đồ đồng thuận khoá tựa ElGamal.
3. Cả chip và hệ thống kiểm tra cùng tính toán:
a) Khoá chung KRFIC-IS tương ứng từ các giá trị (SKRFIC, PEIS, D) và (SEIS, PKRFIC, D).
b) Các khoá phiên KMAC và KEnc được trích ra từ khoá KRFIC-IS để dùng cho truyền thông báo bảo mật.
c) Hàm băm khoá công khai ngắn hạn của hệ thống kiểm tra H(PEIS) được dùng cho quá trình Terminal Authentication.
Ngoài ra, trước khi thực hiện giao thức Chip Authentication cần thực hiện kiểm tra giá trị MRZ đọc được từ vùng quang học trên trang tài liệu so sánh với MRZ lưu trong chip để đảm bảo tính ràng buộc hộ chiếu - chip.
RFIC IS Đọc MRZ vùng quang học Read(MRZ(ORC)) So sánh: MRZ(ORC) =MRZ(RFIC) PKRFIC, D(p,a,b,G,n,h) PEIS Sinh khoá: SEIS =Rnd(1, 2, · · · , n − 1) PEIS = [SEIS]G Tính khoá chia sẻ bí mật: l = h−1 mod n Q = h.PEIS S = (l.SKRFIC mod n).Q KRFIC-IS = xS Tính khoá chia sẻ bí mật: l =h−1 mod n Q = h.PKRFIC S = (l.SEIS mod n).Q KRFIC-IS = xS
Chú ý: Trong mô hình trên, các trao đổi giữa RFIC và IS được mã hoá và xác thực theo khoá KENC, KMAC có được từ BAC. Để đơn giản cho mô hình tác giả không thể hiện phần này.
Để kiểm tra tính xác thực của PKRFIC hệ thống kiểm tra sẽ thực hiện xác thực thụ động ngay sau quá trình này.
Nếu Chip Authentication thực hiện thành công, truyền thông báo bảo mật được bắt đầu lại với khoá phiên KMACvà KENClấy ra từ khoá chia sẻ bí mật KRFIC-IS.