Professional Documents
Culture Documents
NG D NG C A PKI - 3. EPassport EID
NG D NG C A PKI - 3. EPassport EID
5. KẾT LUẬN
6. THẢO LUẬN
http://ca.gov.vn 2
1. TỔNG QUAN VỀ HCĐT VÀ CCCD ĐT
http://ca.gov.vn 4
1.1. GIẤY ĐI ĐƯỜNG
Giấy đi đường cơ bản:
Các thông tin xác định
được in lên giấy. Chỉ dành
cho người trực tiếp đọc và
kiểm tra.
Giấy đi đường có thể đọc
bằng máy (Machine
Readable Travel
Documents - MRTD): là
giấy đi đường (TD) có
thêm phần dành cho máy
có thể đọc được (MRZ).
http://ca.gov.vn 5
1.2. GIẤY ĐI ĐƯỜNG ĐIỆN TỬ - eMRTD
• Giấy đi đường có thể đọc bằng máy điện tử (electronic Machine Readable Travel Documents
eMRTD) là MRTD có chứa thêm chip (RFID) chứa dữ liệu. eMRTD hỗ trợ kiểm soát tự động
• IC (chip) không tiếp xúc RFID có khả năng xử lý và dung lượng lưu trữ cao.
• Dữ liệu trong chip eMRTD được lưu trữ trong một cấu trúc dữ liệu logic (Logical Data
Structure – LDS), được chuẩn hóa.
• LDS phương pháp tổ chức (trình tự sắp xếp)
dữ liệu theo hệ thống file và các nhóm dữ
liệu (nhóm bắt buộc và nhóm tùy chọn).
• Các loại dữ liệu lưu trong chip eMRTD gồm:
– Thông tin cá nhân.
– Dữ liệu sinh trắc.
– Các dữ liệu khác.
– Dữ liệu của các cơ chế đảm bảo an toàn.
http://ca.gov.vn 6
1.3. HỘ CHIẾU ĐIỆN TỬ
• Hộ chiếu (passport): một loại TD dùng để kiểm
soát con người di chuyển giữa các quốc gia.
• Hộ chiếu điện tử (HCĐT) là một loại eMRTD.
• HCĐT sử dụng mật mã để đảm bảo an toàn
(xác thực, toàn vẹn, bí mật) cho dữ liệu lưu bên
trong chíp của HCĐT.
•
http://ca.gov.vn 7
1.4. CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ
CCCD ĐT là một loại eID (eMRTD). Mục đích sử
dụng:
• Xác thực/chứng minh bản thân công dân.
• Chứa dữ liệu để thực hiện các giao dịch điện tử:
bảo hiểm, thuế, y tế, bỏ phiếu …vv
http://ca.gov.vn 8
1.5. DỮ LIỆU LƯU TRONG CHIP eMRTD
EF.CVCA
01/12/2021 http://ca.gov.vn 9
1.6. VẤN ĐỀ AN TOÀN ĐỐI VỚI DỮ LIỆU TRONG CHIP eMRTD
TT Vấn đề Giải pháp, giao thức
- Kiểm soát truy nhập: cấp quyền truy nhập (đọc)
Đọc lướt: đọc dữ liệu mà không cần phép
dữ liệu cơ bản.
1 Nghe lén: nghe lén trao đổi dữ liệu giữa
- Mã mật đường truyền
chip HCĐT và hệ thống kiểm tra.
- Giao thức: kiểm soát truy nhập chip (BAC, PACE)
- Toàn vẹn: sử dụng chữ ký số
Đảm bảo toàn vẹn dữ liệu - Xác thực: chữ ký số được chứng thực
2
Nguồn gốc tạo ra dữ liệu - Giao thức: Xác thực thụ động (Passsive
Authentication).
- Giá trị bí mật riêng cho mỗi chip
3 Nhân bản chip - Giao thức: Xác thực chip (Active Authentication,
Chip Authentication,…)
Truy nhập (đọc) dữ liệu sinh trắc nhạy cảm - Kiểm soát quyền đọc dữ liệu sinh trắc nhạy cảm
4 (vân tay, mống mắt) dành cho đối tượng - Giao thức: Xác thực thiết bị đầu cuối – Terminal
xác định.
01/12/2021 Authentication.
http://ca.gov.vn 10
1.7. KIỂM SOÁT TRUY NHẬP CHIP
01/12/2021 http://ca.gov.vn 11
1.7. KIỂM SOÁT TRUY NHẬP CHIP
Thiết lập kết nối xác thực mật khẩu PACE
(Password Authenticated Connection
Establishment)
• Kiểm soát truy nhập các dữ liệu ít nhạy cảm.
• An toàn, thuận tiện hơn, thay thế cho BAC.
• Khóa phiên tạm: dẫn xuất từ MRZ, hoặc mật khẩu.
• Khóa phiên: không phụ thuộc vào entropy đầu vào.
• Giao thức thỏa thuận khóa Diffie-Hellman, ECDH.
• Thuật toán mã khóa đối xứng: AES in CBC mode.
• Dữ liệu trong EF.CardAccess
• Dùng PACE thay BAC từ 01/01/2018 (ICAO).
01/12/2021 http://ca.gov.vn 12
1.8. KIỂM SOÁT TRUY NHẬP MỞ RỘNG
Giao thức xác thực chip (Chip Authentication):
• 1. Xác thực chủ động (Active Authentication):
– PublicKeyInfo trong DG15.
– Sử dụng giao thức challenge-respond.
• 2. Xác thực chip (Chip Authentication):
– SecurityInfos trong DG14 (thay thế xác thực chủ động).
– Sử dụng giao thức thỏa thuận khóa Diffie-Hellman
– Khóa phiên
• 3. PACE-CAM:
– PACEInfo trong EF.CardAccess.
– Public Key, Mapping Data, Chip Authentication Data
from CardSecurity
01/12/2021 http://ca.gov.vn 13
1.8. KIỂM SOÁT TRUY NHẬP MỞ RỘNG
Giao thức xác thực thiết bị đầu cuối (Terminal
Authentication)
• Cấp quyền đọc dữ liệu sinh trắc nhạy cảm DG3 (vân
tay), DG4 (mống mắt).
• Chip eMRTD xác thực một chiều thiết bị đầu cuối.
• Thực hiện giao thức (challenge/respond).
• Thiết bị đầu cuối: một cặp khóa và một chứng thư số
CVC.
• Chip chứa chứng thư số CVCA từ nước phát hành nó.
• Xác thực thiết bị đầu cuối cần có hạ tầng chứng
thực số
01/12/2021 http://ca.gov.vn 14
1.9. XÁC THỰC THỤ ĐỘNG
• Xác thực thụ động: khẳng định dữ liệu
là xác thực (biết được nguồn gốc của
dữ liệu) và toàn vẹn (chưa bị thay đổi).
• Cơ chế thực hiện: chữ ký số được
chứng thực.
• Tạo chữ ký số: CSK được Document
Signer tạo (cá thể hóa) và lưu vào Đối
tượng an toàn tài liệu (SOD)
• Xác minh (kiểm tra) chữ ký số: Thiết
bị đầu cuối, hệ thống kiểm tra (IS,
TCC).
• eMRTD: tài liệu được ký số.
• Xác thực thụ động cần có hạ tầng
chứng thực số
01/12/2021 http://ca.gov.vn 15
1.10. QUY TRÌNH TRUY NHẬP DỮ LIỆU TRONG CHIP HCĐT
1. Đọc EF.CardAccess: (Bắt buộc)
2. Thực hiện giao thức kiểm soát truy nhập chip PACE (Điều kiện)
3. Chọn ứng dụng ePassport (Bắt buộc).
4. Thực hiện giao thức kiểm soát truy nhập chip BAC (Điều kiện)
5. Xác thực chủ động (xác thực chip) (Tùy chọn).
6. Xác thực thụ động (Bắt buộc).
7. Xác thực thiết bị đầu cuối (Điều kiện).
8. Đọc dữ liệu.
- Quy trình truy nhập cơ bản (ICAO) gồm: 1, 2, 3, 4, 6, 8.
- Quy trình truy nhập mở rộng (EU) gồm: 1, 2, 3, 4, 5, 6, 7, 8.
01/12/2021 http://ca.gov.vn 16
2. HẠ TẦNG PKI CHO XÁC THỰC THỤ ĐỘNG
01/12/2021 http://ca.gov.vn 19
2.3. THÀNH PHẦN CỦA HỆ THỐNG
01/12/2021 http://ca.gov.vn 20
2.4. HOẠT ĐỘNG CỦA HỆ THỐNG
01/12/2021 http://ca.gov.vn 21
2.5. THUẬT TOÁN MẬT MÃ SỬ DỤNG
01/12/2021 http://ca.gov.vn 22
2.6. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ
Thời hạn hiệu lực khóa công khai
Đối tượng Thời hạn hiệu lực khóa riêng
(hộ chiếu hợp lệ 10 năm)
CSCA 3-5 năm 13-15 năm
Document Signer Tối đa 3 tháng khoảng hơn 10 năm
Master List Signer Quốc gia phát hành quyết định Quốc gia phát hành quyết định
Deviation List Signer Quốc gia phát hành quyết định Quốc gia phát hành quyết định
01/12/2021 http://ca.gov.vn 23
2.7. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA
01/12/2021 http://ca.gov.vn 24
2.7. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA
01/12/2021 http://ca.gov.vn 25
3. HẠ TẦNG PKI CHO XÁC THỰC THIẾT BỊ ĐẦU CUỐI
01/12/2021 http://ca.gov.vn 26
3.1. GIỚI THIỆU CHUNG
– Vòng đời chứng thư số thuê bao rất ngắn (tối đa 1 tháng)
01/12/2021 http://ca.gov.vn 27
3.2. THÀNH PHẦN CỦA HỆ THỐNG
• Hạ tầng gồm:
– Country Verifying Certificate Authorities
(CVCA), CA gốc, online.
– Document Verifier (DV), CA trung gian,
online.
– Không công bố CTS và CRL, không có
PKD.
– Chứng thư số CVCA lưu trong eMRTD.
• Client gồm:
– Thiết bị đầu cuối (Hệ thống kiểm tra)
đóng vai trò là thuê bao.
– Chip của eMRTD đóng vai trò là relying
party.
01/12/2021 http://ca.gov.vn 28
3.3. HOẠT ĐỘNG CỦA HỆ THỐNG
01/12/2021 http://ca.gov.vn 29
3.4. THUẬT TOÁN MẬT MÃ SỬ DỤNG
TT Signature Hash
01/12/2021 http://ca.gov.vn 30
3.5. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ
Document
2 tuần 3 tháng
Verifier
Thiết bị đầu
1 ngày 1 tháng
cuối
01/12/2021 http://ca.gov.vn 31
3.6. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA
• CVCA, DV, IS nội địa và nước ngoài cần trao đổi thông tin với nhau:
– Gia hạn chứng thư số; Thay cặp khóa.
– Thời hạn hiệu lực chứng thư số ngắn, yêu cầu chứng thực/kết quả cần được tạo/gửi tự động.
• Hỗ trợ Document Verifier gửi yêu cầu/nhận kết quả chứng thực từ các CVCA nước ngoài.
01/12/2021 http://ca.gov.vn 32
3.6. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA
01/12/2021 http://ca.gov.vn 33
4. ỨNG DỤNG CỦA CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ
01/12/2021 http://ca.gov.vn 34
4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Ứng dụng: National eID, Căn cước
công dân điện tử.
Mục tiêu: cung cấp các thông tin cơ
bản xác định một công dân
01/12/2021 http://ca.gov.vn 35
4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Phương tiện xác thực công dân: căn cước công dân (credential)
01/12/2021 http://ca.gov.vn 36
4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
01/12/2021 http://ca.gov.vn 37
4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Quy trình xác thực:
• Kiểm soát truy nhập
PACE.
• Xác thực thiết bị đầu
cuối (Terminal
Authentication)
• Xác thực thụ động
(Passive
Authentication).
• Xác thực Chip.
01/12/2021 http://ca.gov.vn 38
4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
• Lưu trữ dữ liệu trong Chip của CCCD ĐT dẫn tới một số vấn đề an toàn dữ liệu: đọc lướt,
01/12/2021 http://ca.gov.vn 39
4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Mục tiêu:
Cung cấp
cặp khóa
dùng để
ký số cho
mỗi công
dân.
01/12/2021 http://ca.gov.vn 40
4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Ứng dụng:
thay thế chữ
ký tay trong
các hoạt động
của đời sống
xã hội
01/12/2021 http://ca.gov.vn 41
4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Các thực thể liên quan
tới ứng dụng eSign:
• Ứng dụng Tạo Chữ
ký [SCA]: yêu cầu
tạo chữ ký (cục bộ/từ
xa).
• Thiết bị đầu cuối
[UD]: quản lý việc
truyền và nhận cục bộ
các APDU với chip
của eID.
• Chip eID chứa ứng
dụng (firmware)
eSign.
01/12/2021 http://ca.gov.vn 42
4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
• Cấu trúc dữ liệu của ứng dụng eSign
• Tuân theo ISO/IEC 7816-15
01/12/2021 http://ca.gov.vn 43
4.3. ỨNG DỤNG XÁC THỰC CHỦ SỞ HỮU
01/12/2021 http://ca.gov.vn 44
4.3. ỨNG DỤNG XÁC THỰC CHỦ SỞ HỮU
Match on Card (MoC) – Xác thực chủ sở hữu
01/12/2021 http://ca.gov.vn 45
5. TÓM TẮT
• Lưu trữ dữ liệu trong Chip của HCĐT và CCCD ĐT
dẫn tới một số vấn đề an toàn dữ liệu: đọc lướt, nghe
lén, xác thực, toàn vẹn, nhân bản chip và quyền truy
nhập dữ liệu.
• Các cơ chế giải quyết các vấn đề đặt ra đã được đề
xuất trong ICAO - Doc 9303 và EU TR-3110:
– Kiểm soát truy nhập chip (Chip Access Control).
– Xác thực thụ động (Passive Authentication).
– Kiểm soát truy nhập mở rộng (Extended Access Control).
http://ca.gov.vn 47
KẾT THÚC
http://ca.gov.vn 48