3.1.3.1 Chứng chỉ khóa công khai cho NHPH
Khi NHPH là thực thể yêu cầu chứng chỉ khóa công khai của thẻ EMV thì cái được chứng thực là khóa công khai của NHPH, khóa này bao gồm khóa công
nI có NI byte độ dài và khóa công khai của NHPH eI. Chứng chỉ tương ứng được xem như Chứng chỉ khóa công khai của NHPH. Giới hạn thực tế của NI là 248 byte, trong khi e cũng có thể là 3 hoặc 216 + 1.
Trong trường hợp nhà cung cấp chứng chỉ là CA, thì CA này thực hiện sơ đồ chữ ký RSA. Sơ đồ này được tham số hóa với khóa công khai của CA nCA có độ dài NI byte, khóa công khai công khai của CA eCA, và khóa bí mật của CA
dCA. Giới hạn thực tế của NCA là 248 byte, trong khi giá trị của eCAcũng có thể là 3 hoặc 216
3.1.3.2 Chứng chỉ khóa công khai cho thẻ EMV
Khi thẻ EMV là thực thể yêu cầu một chứng chỉ khóa công khai của EMV, thì cái được chứng thực có thể là:
- Tham số khóa công khai của thẻ nIC có NIC byte độ dài, và khóa công khai của thẻ eIC. Khóa công khai của thẻ có thể bao gồm cặp (nIC, eIC). Chứng chỉ tương ứng được xem như Chứng chỉ khóa công khai của thẻ. Giới hạn thực tế trên NIC là 248 byte, trong khi eIC cũng có thể là 3 hoặc 216 + 1. RSA được thẻ sử dụng cho thông tin ký số, thông tin này bao gồm ít nhất một số ngẫu nhiên đã nhận được từ thiết bị đọc. Việc này được thực hiện với khóa bí mật của thẻ tương ứng (nIC, dIC).
- Tham số khóa công khai mã hóa PIN của thẻ, được ký hiệu là nPE có độ dài là NPE byte và khóa công khai mã hóa PIN của thẻ ePE. Khóa công khai mã hóa PIN của thẻ bao gồm cặp (nPE, ePE) tương ứng được xem là Chứng chỉ khóa công khai mã hóa PIN của thẻ. Giới hạn thực tế của NPE là 248 byte, trong khi của ePE có thể là 3 hoặc 216 + 1. Thiết bị đọc sử dụng khóa công khai mã hóa PIN của thẻ (nPE, ePE) để tạo một phong bì số bao gồm số PIN của chủ thẻ, số này được mã hóa gửi để kiểm tra thẻ tại chỗ. Thẻ sử dụng khóa bí mật mã hóa PIN của thẻ tương ứng (nPE, dPE) để giải phong bì số. Tham số dPE được xem như mũ khóa bí mật mã hóa PIN của thẻ.
Trong trường hợp nhà cung cấp chứng chỉ là NHPH của thẻ, thì nó thực hiện một sơ đồ chữ ký số RSA. Sơ đồ bao gồm tham số khóa công khai của NHPH nI, khóa công khai của NHPH eI, và khóa bí mật của NHPH dI. Khóa bí mật của NHPH (nI, dI) được sử dụng để ký chứng chỉ cho thẻ. Với điều kiện là
3.1.3.3 Thành phần khóa công khai của thực thể
Tham số khóa công khai của NHPH, của thẻ hoặc của mã hóa PIN của thẻ được đưa ra để chứng thực có thể chia như hai phần M = MR || M’. Phần đầu tiên gồm những số cực trái của khóa công khai mà có thể khôi phục lại đươc từ chứng chỉ. Trong khi phần thứ hai được xem như phần còn lại của khóa công khai, phần này phải gửi riêng đến đơn vị kiểm tra để kiểm tra chứng chỉ.
Bảng 3.1 Tổng hợp sự phân chia này tham số khóa công khai của NHPH, thẻ, mã hóa PIN của thẻ.
Bảng 3.1 Chia khóa công khai của thực thể
Tham số Phần khôi phục
lại được từ chứng chỉ
Phần được gửi riêng từ chứng chỉ
Khóa công khai của NHPH: nI
Nếu NI ≤ NCA - 36 thì nI có thể
được khôi phục lại từ chứng chỉ. Còn không thì chỉ NCA – 36 byte quan trọng của tham số khóa công khai của NHPH có thể khôi phục lại được từ chứng chỉ.
Nếu NI ≥ NCA – 36, một số phần của nI (được coi như phần còn
lại của khóa công khai của NHPH), không thể khôi phục lại được từ chứng chỉ. Phần này được truyền đến đơn vị kiểm tra.
Khóa công khai của thẻ: nIC
Nếu NIC ≤ NI – 42 thì nIC có thể khôi phục lại được từ chứng chỉ. Còn không, chỉ NI – 42 byte quan trọng nhất của khóa công khai của thẻ có thể khôi phục lại được từ chứng chỉ.
Nếu NIC ≥ NI – 42, thì một số phần của nIC (được xem như phần còn lại khóa công khai của thẻ), không thể khôi phục lại được từ chứng chỉ, phần này được truyền đến đơn vị kiểm tra.
Khóa công khai mã hóa PIN của thẻ: nPE
Nếu NPE≤ NI – 42 thì nPE có thể khôi phục lại từ chứng chỉ. Còn không thì chỉ NI – 42 byte quan trọng nhất của khóa công khai mã hóa PIN của thẻ có thể khôi phục lại từ chứng chỉ.
Nếu NPE ≥ NI – 42 thì một số phần của nPE (được xem như
phần còn lại) của khóa công khai mã hóa PIN của thẻ không thể khôi phục lại được từ chứng chỉ, và phần này được truyền đến đơn vị kiểm tra.