4.

Quản lý khóa
Quản lý khóa được định nghĩa cho hai Cơ sở hạ tầng khóa công khai riêng biệt.

4.1 eMRTD PKI

Các quốc gia hoặc tổ chức phát hành sẽ có ít nhất hai loại cặp khóa:

• Cặp khóa CA đăng nhập quốc gia;

• Cặp khóa Document Signer.

Các quốc gia hoặc tổ chức phát hành có có các loại cặp khóa bổ sung:

• Cặp khóa Master List Signer; Cặp khóa Deviation List Signer; Cặp khóa LDS2 Signer; Cặp khóa máy trạm
SPOC; Cặp khóa máy chủ SPOC; Cặp khóa Visa Signer/ Emergency Travel Document Signer (cả hai đều là
loại ký mã vạch).

Chứng chỉ khóa công khai của CA đăng nhập quốc gia, và SPOC được cấp bằng cách sử dụng chứng chỉ
[X.509]. Các khóa công khai có trong chứng chỉ CSCA được sử dụng để xác minh chữ ký CSCA trên Chứng
chỉ ký, chứng chỉ SPOC, CSCA và CRLs đã cấp.

Đối với Cặp khóa và chứng chỉ Master List Signer, Deviation List Signer, thời gian tồn tại của khóa cá
nhân và thời hạn hiệu lực của chứng chỉ do Nhà nước hoặc tổ chức cấp quyết định.

Cả chứng chỉ CSCA và chứng chỉ Document Signer đều được liên kết với việc sử dụng khóa cá nhân và
khóa công khai thời hạn hiệu lực như được nêu trong Bảng 1.

Bảng 1. Thời gian sử dụng và hiệu lực

Thời gian sử dụng Hiệu lực

CA đăng nhập quốc gia 3-5 năm 13-15 năm
Document Signer 3 tháng Khoảng 10 năm
LDS2-TS Signer 1-2 năm 10 năm 3 tháng
LDS2-V Signer 1-2 năm 10 năm 3 tháng
LDS2-B Signer 1-2 năm 10 năm 3 tháng
Máy trạm SPOC Chưa phân loại Chưa phân loại
Máy chủ SPOC Chưa phân loại Chưa phân loại
Visa Bar Code Signer 1-2 năm Thời gian sử dụng khóa cá nhân
+ Hiệu lực của visa
Emergency Travel 1 năm 2 tháng Thời gian sử dụng khóa cá nhân
Document Bar Code + Hiệu lực của visa
Signer
Master List Signer Quyền quyết định của Nhà nước Quyền quyết định của Nhà nước
hoặc tổ chức phát hành hoặc tổ chức phát hành
Deviation List Signer Quyền quyết định của Nhà nước Quyền quyết định của Nhà nước
hoặc tổ chức phát hành hoặc tổ chức phát hành

4.1.1 Khóa và chứng chỉ Document Signer

Thời hạn sử dụng của khóa cá nhân của Document Signer ngắn hơn nhiều so với thời hạn hiệu lực của
chứng chỉ DS cho khóa công khai tương ứng.

4.1.1.1 Hiệu lực của Khóa công khai Document Signer

Thời gian tồn tại, tức là thời hạn hiệu lực của chứng chỉ, của khóa công khai Document Signer được xác
định bằng cách nối hai giai đoạn sau:

• Khoảng thời gian mà khóa cá nhân tương ứng sẽ được sử dụng để phát hành eMRTD

• Thời hạn hiệu lực dài nhất của bất kỳ eMRTD nào được phát hành theo key đó.

Chứng chỉ Document Signer (CDS) sẽ có giá trị trong tổng thời gian này để cho phép tính xác thực của
eMRTD đã xác minh. Tuy nhiên, khóa cá nhân tương ứng chỉ nên được sử dụng để phát hành tài liệu
trong một khoảng thời gian giới hạn; một khi tài liệu cuối cùng được sử dụng để phát hành đã hết hạn,
khóa công khai không còn cần thiết.

4.1.1.2 Thời gian phát hành Khóa cá nhân Document Signer

Khi triển khai hệ thống, các Quốc gia hoặc tổ chức phát hành có thể muốn tính đến số lượng tài liệu sẽ
được ký bởi bất kỳ khóa cá nhân nào của Document Signer. Nhà nước hoặc tổ chức phát hành có thể
triển khai một hoặc nhiều Document Signer, mỗi người có cặp khóa duy nhất của riêng mình và hoạt
động tại bất kỳ thời điểm nào. Để giảm thiểu chi phí kinh doanh trong trường hợp chứng chỉ Document
Signer bị thu hồi, Quốc gia hoặc tổ chức phát hành một số lượng lớn eMRTD mỗi ngày có thể:

• Sử dụng thời hạn khóa cá nhân ngắn;

• Triển khai một số Document Signer đồng thời hoạt động cùng một lúc, với chứng chỉ khóa riêng tư và
khóa công khai duy nhất của nó.

Nhà nước hoặc tổ chức phát hành một số lượng nhỏ eMRTD mỗi ngày có thể chọn triển khai Document
Signer và có thể cảm thấy hài lòng với khoảng thời gian sử dụng khóa cá nhân dài hơn. Bất kể số lượng
eMRTD được phát hành mỗi ngày hoặc số lượng Document Signer hoạt động cùng một lúc, khuyến cáo
rằng thời hạn tối đa mà bất kỳ khóa cá nhân nào của Document Signer được sử dụng để ký eMRTD là ba
tháng. Khi tài liệu cuối cùng được ký bằng một khóa cá nhân nhất định đã được tạo ra, nó được khuyến
cáo rằng các Quốc gia hoặc các tổ chức xóa khóa cá nhân theo cách có thể kiểm tra được.

4.1.2 Khóa và chứng chỉ LDS2 Signer

Các cặp khóa LDS2 Signer tương tự như các cặp khóa của Document Signer ở chỗ thời gian sử dụng của
khóa cá nhân là thời hạn hiệu lực ngắn hơn. Các chứng chỉ phải có giá trị trong suốt thời gian tồn tại của
eMRTD hoặc đối tượng LDS2 đã ký (tùy theo đối tượng nào dài nhất). Bởi vì các đối tượng dữ liệu đã ký
sẽ được ghi vào eMRTD từ các Quốc gia khác nhau, các chứng chỉ này PHẢI có giá trị ít nhất trong
khoảng thời gian tồn tại lâu nhất của eMRTD (tức là 10 năm).

4.1.2.1 Tính hợp lệ của khóa công khai của LDS2 Signer

Thời gian tồn tại, tức là thời hạn hiệu lực của chứng chỉ, của khóa công khai LDS2 Signer được xác định
bằng cách nối hai giai đoạn sau:

• Khoảng thời gian mà khóa cá nhân tương ứng sẽ được sử dụng để ký các đối tượng LDS2,
• Thời hạn hiệu lực của bất kỳ thời hạn nào sau đây dài hơn:

- Bất kỳ eMRTD nào lưu trữ một đối tượng LDS2 được ký bằng khóa đó; hoặc

- Bất kỳ đối tượng LDS2 nào được ký bằng khóa đó. Lưu ý rằng trong trường hợp của LDS2 eVisa, có thể

thời hạn hiệu lực của eVisa đã ký để kéo dài hơn thời hạn hiệu lực của eMRTD.

4.1.3 Chìa khóa và chứng chỉ Bar Code Signer

Bar Code Signer là một loại chữ ký cụ thể được sử dụng để ký Danh mục loại tài liệu duy nhất, ví dụ: thị
thực, Emergency Travel Document, v.v. Để áp dụng các phương pháp hay nhất trong lĩnh vực này,
khuyến cáo rằng chỉ có một số số khóa (số có một chữ số nhỏ hơn) được sử dụng song song để tạo chữ
ký cho con dấu kỹ thuật số, trừ khi yêu cầu hoạt động khiến số lượng khóa lớn hơn là cần thiết. Để đảm
bảo mã vạch có sẵn, người ký trong trường hợp xảy ra sự cố bảo mật liên quan đến khóa ký, khuyến cáo
có các biện pháp xử lý đảm bảo tính liên tục của hoạt động kinh doanh (ví dụ: chuẩn bị khóa dự phòng,
trang web dự phòng, v.v.).

Để tạo điều kiện thuận lợi cho việc xử lý các chứng chỉ tương ứng, số lượng chữ ký được công bố

khóa xác thực phải được giới hạn ở năm chữ ký khóa mỗi năm.

4.1.3.1 Tính hợp lệ của Khóa công khai Bar Code Signer

Phần này áp dụng cho tất cả Bar Code Signer, bao gồm Visa Signer và Emergency Travel Document
Signer.

Thời gian tồn tại, tức là thời hạn hiệu lực của chứng chỉ, của khóa công khai Bar Code Signer được xác
định bằng cách nối hai giai đoạn sau:

• khoảng thời gian mà khóa cá nhân sẽ được sử dụng để cấp Visa hoặc ETD,

• thời hạn hiệu lực dài nhất của bất kỳ tài liệu nào được phát hành theo khóa đó

Chứng chỉ Bar Code Signer sẽ có giá trị trong tổng thời gian này để cho phép xác minh tính xác thực của
tài liệu.

Tuy nhiên, khóa cá nhân tương ứng chỉ nên được sử dụng để phát hành tài liệu trong một khoảng thời
gian giới hạn; khi lần cuối cùng tài liệu mà nó được sử dụng để phát hành đã hết hạn, khóa công khai
không còn cần thiết.

Thời gian sử dụng khóa cá nhân: Theo hồ sơ tài liệu

Tính hợp lệ của chứng chỉ: Thời gian sử dụng khóa cá nhân + khung thời gian hiệu lực của tài liệu

Ví dụ

Lưu ý.— Khoảng thời gian hiệu lực thực tế được sử dụng để tính toán trong ví dụ này không ngụ ý
khuyến nghị.

Giả sử rằng các tài liệu có thời hạn hiệu lực là 5 năm được phát hành và thời gian sử dụng khóa cá nhân
của chứng chỉ the BarCode Signer là 1 năm. Khi đó, hiệu lực của the BarCode Signer là 1 + 5 = 6 năm. Nếu
thời gian sử dụng của khóa cá nhân của Chứng chỉ CSCA là 3 năm, khi đó thời hạn của Chứng chỉ CSCA là
3 + 6 = 9 năm.

4.1.4 Khóa và chứng chỉ CSCA

Thời hạn sử dụng của khóa cá nhân CSCA ngắn hơn nhiều so với thời hạn hiệu lực khóa công khai của
chứng chỉ CSCA.

4.1.4.1 Hiệu lực của Khóa công khai CA Quốc gia

Thời gian tồn tại, tức là hiệu lực chứng chỉ, của khóa công khai CSCA được xác định bằng cách nối các
khoảng thời gian sau:

• khoảng thời gian mà khóa cá nhân CSCA tương ứng sẽ được sử dụng để ký bất kỳ chứng chỉ nào bên
dưới CSCA;

• thời hạn sử dụng khóa tối đa của bất kỳ chứng chỉ nào được cấp dưới CSCA.

4.1.4.2 Thời gian phát hành Khóa cá nhân CA Quốc gia

Khoảng thời gian sử dụng cho khóa cá nhân CSCA để ký chứng chỉ và CRL là một sự cân bằng mong manh
giữa các yếu tố sau:

• Trong trường hợp không chắc chắn, Quốc gia hoặc tổ chức phát hành Khóa CA cá nhân bị xâm phạm,
thì tính hợp lệ của tất cả các eMRTD được phát hành bằng Document Signer có chứng chỉ

đã được ký bởi khóa cá nhân CSCA bị xâm phạm được coi là vấn đề. Do đó phát hành các Quốc gia hoặc
các tổ chức có thể muốn giữ thời hạn phát hành ngắn;

• Tuy nhiên, thời hạn phát hành ngắn dẫn đến việc có một số lượng rất lớn khóa CSCA công khai bị tổn
hại. Điều này có thể dẫn đến việc quản lý chứng chỉ phức tạp hơn trong hệ thống xử lý ở biên giới.

Do đó, khuyến cáo cặp khóa CSCA của Nhà nước hoặc tổ chức phát hành được thay thế sau mỗi ba đến
năm năm.

4.1.4.3 Cấp lại Khóa CA quốc gia

Các khóa CSCA cung cấp các điểm tin cậy trong toàn bộ hệ thống và nếu không có các khóa này, hệ
thống sẽ sụp đổ. Do đó các quốc gia hoặc tổ chức nên lập kế hoạch thay thế cặp khóa CSCA của họ một
cách cẩn thận. Khi thời hạn phát hành cho khóa cá nhân CSCA ban đầu đã hết hạn, một Nhà nước hoặc
tổ chức phát hành sẽ luôn có ít nhất hai chứng chỉ CSCA (CCSCA) có hiệu lực bất cứ lúc nào. Các quốc gia
hoặc tổ chức phát hành phải thông báo cho các Quốc gia tiếp nhận rằng việc chuyển đổi khóa CSCA
được lên kế hoạch. Thông báo này phải được cung cấp trước 90 ngày kể từ ngày chuyển khóa. Khi quá
trình chuyển khóa diễn ra, chứng chỉ CSCA mới được phân phối cho các Quốc gia tiếp nhận. Nếu chứng
chỉ CSCA là chứng chỉ tự ký mới, việc xác thực chứng chỉ đó phải được thực hiện bằng cách sử dụng
phương pháp out-of-band. Khi quá trình chuyển khóa CSCA xảy ra, một chứng chỉ được cấp để liên kết
khóa mới với khóa cũ để cung cấp sự an toàn quá trình chuyển đổi cho các bên phụ thuộc. Nói chung,
điều này đạt được thông qua việc phát hành chứng chỉ tự phát hành. Các chứng chỉ Liên kết CSCA này
không cần phải được xác minh bằng phương pháp out-of-band, như chữ ký trên chứng chỉ liên kết CSCA
được xác minh bằng khóa công khai đáng tin cậy cho CSCA đó. Danh sách chính có thể được sử dụng để
phân phối CSCA Link và chứng chỉ gốc tự ký CSCA. Các quốc gia hoặc tổ chức phát hành nên hạn chế sử
dụng khóa cá nhân CSCA mới của họ trong hai ngày đầu tiên sau chuyển đổi, để đảm bảo chứng chỉ khóa
công khai CSCA mới đã được phân phối thành công. Các quốc gia hoặc tổ chức phát hành phải sử dụng
khóa cá nhân CSCA mới nhất để ký tất cả các chứng chỉ và ký CRL.

4.1.5 Thu hồi chứng chỉ

Quốc gia hoặc tổ chức phát hành có thể cần thu hồi chứng chỉ trong trường hợp xảy ra sự cố

Tất cả CSCA đều phải cung cấp thông tin thu hồi định kỳ dưới dạng Danh sách Thu hồi Chứng chỉ (CRL).

CSCA phải cấp ít nhất một CRL cứ sau 90 ngày, ngay cả khi không có chứng chỉ nào bị thu hồi kể từ CRL
trước đó được ban hành. CRL có thể được cấp thường xuyên hơn 90 ngày một lần nhưng không thường
xuyên hơn 48 giờ một lần.

Nếu một chứng chỉ bị thu hồi, một CRL cho biết việc thu hồi PHẢI được phân phối trong vòng 48 giờ.

Chỉ có thể thu hồi chứng chỉ chứ không thu hồi dối tượng bảo mật tài liệu. Việc sử dụng CRL được giới
hạn trong các thông báo về việc bị thu hồi chứng chỉ đã được cấp bởi CSCA (bao gồm cả thông báo thu
hồi chứng chỉ CSCA, Chứng chỉ DS, chứng chỉ Master List Signer, chứng chỉ Deviation List và bất kỳ loại
chứng chỉ nào khác được cấp bởi CA đó).

CRL được phân vùng không được sử dụng trong ứng dụng eMRTD. Tất cả các chứng chỉ bị CSCA thu hồi,
bao gồm cả chứng chỉ DS, Chứng chỉ CSCA, c chứng chỉ Master List Signer, chứng chỉ Deviation List được
liệt kê trên cùng một CRL. Mặc dù CRL luôn được ký bằng khóa ký cá nhân CSCA mới nhất (hiện tại), bao
gồm việc thu hồi thông báo cho các chứng chỉ được ký bằng khóa cá nhân cũng như các chứng chỉ được
ký bằng ký cá nhân CSCA trước đó.