Nghiên cứu ứng dụng chữ ký số cho hộ chiếu điện tử

DES Data Encryption Standard – Thuật toán mã hóa dữ liệu chuẩn DV Document Verifier – xác thực tài liệu EAC Advanced Access Control – Phương pháp kiểm soát truy cập nâng cao ICAO Inte

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử”

là sản phẩm của riêng cá nhân, không sao chép lại của người khác Trong toàn bộ nội dung của luận văn, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp, nghiên cứu từ nhiều nguồn tài liệu Tất cả các tài liệu tham khảo đều có xuất xứ và trích dẫn rõ ràng

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình

Thái Nguyên, ngày 20 tháng 08 năm 2015

Trần Thị Hà

và Truyền thông - Đại học Thái Nguyên đã giảng dạy và cung cấp cho chúng tôi những kiến thức rất bổ ích trong thời gian học cao học, giúp tôi có nền tảng tri thức để phục vụ nghiên cứu khoa học sau này

Tôi cũng xin cảm ơn Lãnh đạo và đồng nghiệp tại đơn vị đã tạo điều kiện và giúp

đỡ tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn Tôi cũng xin bày tỏ lòng cảm ơn đến gia đình và bạn bè, những người luôn quan tâm, động viên và khuyến khích tôi trong quá trình học tập

Thái Nguyên, ngày 20 tháng 08 năm 2015

MỤC LỤC

LỜI CAM ĐOAN ……… ……….………….i

LỜI CẢM ƠN ……… ……… ii

MỤC LỤC ……… ……….… iii

MỞ ĐẦU 1

1 Đặt vấn đề……… ……….…1

2 Mục tiêu nghiên cứu ……… 2

3 Đối tượng và phạm vi nghiên cứu……… 2

4 Phương pháp nghiên cứu ……… 2

5 Ý nghĩa khoa học của đề tài……… 2

6 Bố cục của luận văn……… 3

CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ 4

1.1 Tổng quan cơ sở hạ tầng mã hóa công khai 4

1.1.1 Giới thiệu hệ thống mã hóa 4

1.1.2 Thuật toán mã hóa cổ điển 5

1.1.3 Thuật toán mã hóa hiện đại 5

1.2 Hạ tầng khóa công khai PKI 8

1.2.1 Chức năng PKI 8

1.2.2 Các thành phần của PKI 9

1.2.3 Các mô hình tin cậy của PKI 9

1.3 Hàm băm 12

1.4 Chữ ký số 13

1.4.1 Giới thiệu chữ ký số 13

1.4.2 Quá trình ký số 15

1.4.3 Quá trình kiểm tra, xác thực chữ ký số 16

1.4.4 Thuật toán chữ ký số RSA 18

1.5 Kết luận 19

CHƯƠNG 2: HỘ CHIẾU ĐIỆN TỬ CÁCH THỨC LƯU TRỮ VÀ XỬ LÝ THÔNG TIN TRONG CON CHIP ĐIỆN TỬ 20

2.1 Hộ chiếu điện tử 20

2.1.1 Hộ chiếu điện tử là gì? 20

2.1.2 Các thành phần cơ bản của hộ chiếu điện tử 20

2.1.3 Tổ chức dữ liệu logic của HCĐT 23

2.1.4 Lưu trữ vật lý 26

2.2 Các công nghệ trong Hộ chiếu điện tử 30

3.2 Đặc tả yêu cầu cho HCĐT 46

3.2.1 Đặc tả yêu cầu cho module tạo HCĐT 54

3.2.2 Đặc tả yêu cầu cho moduel xác thực HCĐT 55

3.3 Kiến trúc hệ thống 60

3.4 Thử nghiệm hệ thống 60

3.4.1 Thử nghiệm cho HCĐT giả lập 60

3.4.2 Thử nghiệm cho module tạo HCĐT 61

3.4.3 Thử nghiệm cho module xác thực HCĐT 62

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 63

TÀI LIỆU THAM KHẢO 65

7

DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

AA Active Authentication - Cơ chế xác thực chủ động

BAC Basic Access Control - Phương pháp kiểm soát truy cập cơ bản

CA Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí số

CRL Certificate Revocation List – Danh sách chứng chỉ bị thu hồi

CSCA Country signing Certificate Authority – Cơ quan có thẩm quyền cấp phát chữ kí

quốc gia

CVCA Country Verifying Certification Authority - Cơ quan xác thực chứng thư số

quốc gia

DES Data Encryption Standard – Thuật toán mã hóa dữ liệu chuẩn

DV Document Verifier – xác thực tài liệu

EAC Advanced Access Control – Phương pháp kiểm soát truy cập nâng cao

ICAO International Civil Aviation Orgnization – Tổ chức hàng không dân dụng quốc tế

IS Insepection System - Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh ISO International Organization for Standardization – Tổ chức tiêu chuẩn quốc tế LDS Logical Data Structure – Cấu trúc dữ liệu lôgic

MRZ Machine Readable Zone – Vùng đọc được bằng máy trên hộ chiếu

PA Passive Authentication - Cơ chế xác thực bị động

PKC Public Key Crytography – Thuật toán mã hóa khóa công khai

PKD Public Key Directory – Thư mục khóa công khai do ICAO thiết lập để các nước

thành viên truy cập sử dụng

PKI Public Key Infrastructure – Cơ sở hạ tầng khóa công khai

RFIC Radio Frequency Integrated Chip – Vi mạch tích hợp có khả năng trao đổi dữ liệu

bằng sóng vô tuyến (radio)

RSA Ron Rivest, Adi Shamir, Len Adleman: Là một thuật toán mã hóa công khai SHA Secure Hash Standard – Thuật toán băm dữ liệu chuẩn

EE End entity – Thực thể cuối

Hình 1.6: Mô hình sử dụng hàm băm bên nhận 16

Hình 1.7: Quá trình ký số 17

Hình 2.1: Các thành phần của hộ chiếu điện tử 21

Hình 2.2: Biểu tượng của hộ chiếu điện tử 22

Hình 2.3: Cấu trúc và tổ chức dữ liệu bên trong hộ chiếu điện tử 24

Hình 2.4: Tổ chức dữ liệu HCĐT theo nhóm 25

Hình 2.5: Tổ chức vật lí thông tin trong hộ chiếu điện tử 27

Hình 2.6: Thông tin định vị nhóm dữ liệu lưu trong chip 28

Hình 2.7: Thông tin chỉ sự tồn tại của nhóm dữ liệu trong chip 28

Hình 2.8: Thông tin chỉ sự tồn tại thành phần dữ liệu trong một nhóm 29

Hình 2.9: Thông tin xác định vị trí thành phần dữ liệu trong nhóm 29

Hình 2.10: Luồng xử lý cơ bản của một cấu trúc hệ thống sinh trắc học 32

Hình 2.11: Mô hình xây dựng PKI cơ bản 33

Hình 2.12 : Mô hình sử dụng xác thực 34

Hình 2.13: Danh mục khóa công khai 35

Hình 2.14: Mô hình phân cấp CA 36

Hình 2.15: Mô hình phân cấp CA 37

Hình 3.1: Quá trình tạo đối tượng SOD 44

Hình 3.2: Quá trình cấp phát hộ chiếu điện tử 45

Hình 3.3: Quá trình xác thực hộ chiếu 46

Hình 3.4: Cấu trúc dữ liệu tổ chức trong HCĐT 48

Hình 3.5: Cấu trúc logic của DataGroup 50

Hình 3.6: Cấu trúc logic của Data Element 50

Hình 3.7: Cấu trúc hệ thống file 51

Hình 3.8: Định dạng thông điệp lệnh truyền giữa HCĐT và thiết bị đọc/ ghi 51

Hình 3.9 : Tạo khóa KSEED 52

Hình 3.10: Tạo cặp khóa KENC và KMAC 53

Hình 3.11: Kiến trúc hệ thống 60

Hình 3.12: Màn hình HCĐT giả lập hộ chiếu 60

Hình 3.13: Màn hình tạo HCĐT hộ chiếu 61

Hình 3.14: Màn hình xác thực hộ chiếu điện tử 62

việc nhập cư đồng thời khuyến khích giao thương giữa các nước, tuy nhiên, hộ chiếu truyền thống không đáp ứng được hết yêu cầu đặt ra về tính tiện lợi của loại giấy tờ mang tính tương tác toàn cầu là độ an toàn bảo mật thông tin, tránh làm giả và phải dễ dàng thuận tiện cho cơ quan kiểm soát xuất nhập cảnh, cũng như công dân của các nước khác nhập cảnh Vì vậy, một công nghệ mạnh mẽ để hỗ trợ xác thực và quản lí hộ chiếu

đã liên tục được nghiên cứu và tìm tòi, mô hình hộ chiếu điện tử (HCĐT) đã ra đời

Hộ chiếu thông thường rất dễ giả mạo, việc kiểm tra thiếu tính chính xác và mất nhiều thời gian Từ hạn chế đó, mô hình hộ chiếu điện tử (HCĐT) ra đời nhằm nâng cao khả năng xác thực thân chủ của hộ chiếu Ở hộ chiếu điện tử, đặc điểm khác biệt so với

hộ chiếu thông thường là việc xác thực ký số

Với nhiều ưu điểm trong quản lý, cấp phát và kiểm soát, hộ chiếu điện tử đã và đang được triển khai tại nhiều nước phát triển trên thế giới Nhìn chung, việc triển khai

sử dụng hộ chiếu điện tử được dựa trên công nghệ RFID (Radio Frequency Identification) với thẻ thông minh phi tiếp xúc; xác thực ký số; và hạ tầng khoá công khai PKI Từ đó, những hệ thống thông tin phục vụ quản lý/cấp/kiểm soát sẽ khai thác, phát huy những điểm mạnh của từng công nghệ, yếu tố trên để nâng cao hiệu quả xác thực công dân mang hộ chiếu

Ở Việt Nam, nhu cầu hội nhập quốc tế ngày càng đòi hỏi nâng cao hiệu quả của việc kiểm soát xuất/nhập cảnh Vì vậy, việc tìm hiểu những mô hình xác thực hộ chiếu điện tử đã có trên thế giới để từ đó vận dụng vào thực trạng của Việt Nam là một vấn đề rất cần có sự quan tâm nghiên cứu Mô hình đề xuất phải đảm bảo tính khả dụng, phù hợp với những tiêu chuẩn quốc tế, chủ yếu do ICAO (International Civil Aviation Organization) đề xuất

Trong những năm gần đây, Việt Nam có đề xuất giải pháp Hộ chiếu điện tử cho công dân, nhưng chưa được áp dụng trong thực tế, nhưng trước xu thế hội nhập của thế giới, việc sử dụng Hộ chiếu điện tử chuẩn quốc tế là cần thiết

Chính vì các lý do trên mà em mạnh dạn nghiên cứu và triển khai thành luận văn

với đề tài: “Nghiên cứu ứng dụng chữ ký số cho Hộ chiếu điện tử”

2 Mục tiêu nghiên cứu

Từ những vấn đề nêu trên, luận văn này hướng tới những mục tiêu chính như sau :

- Tìm hiểu tổng quan về cơ sở mật mã khóa công khai và chữ ký số

- Tìm hiểu về công nghệ, cấu trúc trong hộ chiếu điện tử, cũng như cách thức lưu trữ và xử lý thông tin trong con chip điện tử

- Nghiên cứu, tìm hiểu về ứng dụng chữ ký số cho hộ chiếu điện tử và từ đó tiến hành xây dựng hệ thống thử nghiệm xác thực hộ chiếu điện tử đề xuất thông qua chữ ký số

- Thử nghiệm hệ thống và đánh giá kết quả thu được

3 Đối tượng và phạm vi nghiên cứu

Đối tượng và phạm vi nghiên cứu của luận văn tập trung vào nghiên cứu tìm hiểu ứng dụng lý thuyết về hạ tầng mã hóa công khai và chữ kí số để phục vụ việc kí lên hộ chiếu điện tử (trực tiếp là con chip trong hộ chiếu điện tử) và xác thực thông tin trong

hộ chiếu điện tử tại các cửa khẩu quốc tế

4 Phương pháp nghiên cứu

Sử dụng các phương pháp nghiên cứu chính sau:

- Phương pháp nghiên cứu lý thuyết: Tổng hợp tài liệu, suy diễn, qui nạp, các phương pháp hình thức

- Phương pháp thực nghiệm

- Phương pháp trao đổi khoa học, lấy ý kiến chuyên gia

5 Ý nghĩa khoa học của đề tài

Mô hình đề xuất hộ chiếu điện tử ở Việt Nam sẽ dựa trên ba đặc trưng sinh trắc: ảnh mặt người, ảnh mống mắt và ảnh vân tay Với việc ứng dụng chữ ký số cho hộ chiếu điện tử , mô hình đề xuất đảm bảo chống được những nguy cơ đe dọa đối với hộ

chiếu điện tử

mật cho hộ chiếu điện tử So sánh với các yêu cầu bảo mật bắt buộc quy định trong tài liệu ICAO Doc 9303 thì cách thức bảo mật nêu trên đáp ứng đầy đủ quy định này

6 Bố cục của luận văn

Nội dung luận văn được chia thành 3 chương chính:

- Chương 1 : Tổng quan về cơ sở hạ tầng khóa công khai và chữ ký số

- Chương 2 : Hộ chiếu điện tử, cách thức lưu trữ và xử lý thông tin trong con chip điện

tử

- Chương 3 : Xây dựng hệ thống thử nghiệm ứng dụng chữ ký số và đề xuất mô hình

hộ chiếu điện tử tại Việt Nam

Chương 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI

VÀ CHỮ KÝ SỐ

1.1 Tổng quan cơ sở hạ tầng mã hóa công khai

1.1.1 Giới thiệu hệ thống mã hóa

Hệ thống mã hóa đã tồn tại và phát triển trong một thời gian khá dài từ khi những

kí hiệu đặc trưng của dân tộc, từng nhóm người được xuất hiện Cho đến nay, các kỹ thuật mã hóa đã tiến những bước dài nhằm đáp ứng được nhu cầu bảo mật dữ liệu trong

kỉ nguyên của công nghệ

E (Encryption): Tập hữu hạn các quy tắc mã hóa

D (Decryption): Tập hữu hạn các quy tắc giải mã

Hình 1.1: Quá trình mã hóa và giải mã

Ví dụ: Thuật toán CEASAR, VIGENERE, HILL,

 Thuật toán hoán vị (Transposition)

Là phương pháp mã hóa trong đó các kí tự trong bản rõ chỉ thay đổi cho nhau còn bản thân các kí tự không hề thay đổi

Ví dụ: Thuật toán Rail-fence

Ưu điểm: Các phương pháp mã hóa sơ khai này có ưu điểm là việc mã hóa và giải

mã thực hiện đơn giản

Nhược điểm: Rất dễ bị phá vỡ mã dựa trên việc tính toán xác suất xuất hiện của

các chữ cái được sử dụng cùng với các kiến thức về ngôn ngữ nhất là được trợ giúp đắc lực của các máy tính có tốc độ cao như hiện nay

1.1.3 Thuật toán mã hóa hiện đại

Kế thừa ý tưởng và mục tiêu từ các thuật toán mã hóa cổ điển, thuật toán mã hóa hiện đại đã có những bước phát phát triển nhất định nhằm nâng cao mức độ bảo mật

 Mã hóa đối xứng

Thuật toán mã hóa đối xứng (Symmetric Cryptography)[2]: Là phương pháp mã hóa trong đó cả hai quá trình giải mã và mã hóa đều dùng một khóa duy nhất Để đảm bảo tính an toàn thì khóa này phải được giữ bí mật Các thuật toán này rất phù hợp cho mục đích mã hóa dữ liệu cá nhân hay tổ chức đơn lẻ nhưng thể hiện hạn chế khi thông tin đó được chia sẻ với một bên thứ ba

Giả sử một trường hợp khi Alice gửi thông điệp mã hóa cho Bob mà không báo trước về khóa bí mật của mình và thuật toán sử dụng để mã hóa, thì lúc đó Bob sẽ không thể giải mã được thông điệp và không có hồi âm quay trở lại cho Alice Vì vậy bắt buộc Alice phải thông báo khóa bí mật và thuật toán mã hóa tại một thời điểm nào

đó trước đấy Alice có thể trực tiếp hoặc gián tiếp thông qua một số phương tiện trao đổi thông tin đề truyền khóa bí mật cũng như thuật toán mã hóa cho Bob Đây chính là

nguyên nhân dẫn tới khả năng bị người thứ ba lấy trộm khóa bí mật hay thuật toán mã hóa thông tin

Mã hóa đối xứng có thể chia ra làm hai nhóm phụ:

Thuật toán khối (Block ciphers): Là phương pháp trong đó từng khối dữ liệu

trong văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài Độ dài mỗi khối gọi là block size, thường được tính bằng đơn vị bit

Thuật toán dòng (Stream ciphers): Là phương pháp trong đó dữ liệu đầu vào

được mã hóa theo từng bit một Thuật toán này có tốc độ nhanh hơn thuật toán khối, được dùng khi đối tượng dữ liệu cần mã hóa chưa biết trước

 Mã hóa bất đối xứng

Để khắc phục vấn đề phân phối và thỏa thuận khóa của mã hóa đối xứng, năm

1976 Diffie và Hellman đã đưa ra khái niệm về mã hóa khóa công khai và một phương pháp trao đổi khóa công khai để tạo ra một khóa bí mật chung mà tính an toàn được bảo đảm bởi độ khó của một bài toán học tính “Logarit rời rạc” Hệ mã hóa khóa công khai hay còn gọi là hệ mã hóa bất đối xứng là mô hình mã hóa hai chiều sử dụng một cặp khóa, khóa dùng để mã hóa gọi là khóa công khai (Public key), khóa dùng để giải mã gọi là khóa bí mật (Private key), về nguyên tắc thì khóa công khai và khóa bí mật là khác nhau Một người bất kỳ có khả năng sử dụng khóa công khai để mã hóa thông tin nhưng chỉ người có đúng khóa bí mật thì mới giải mã được thông tin đó

Quá trình truyền và sử dụng mã hóa khóa công khai được thực hiện như sau:

• Bên gửi yêu cầu cung cấp hoặc tự tìm khóa công khai của bên nhận trên một máy chủ chịu trách nhiệm quản lí khóa;

• Sau đó bên gửi sử dụng khóa công khai của bên nhận cùng với thuật toán đã thống nhất để mã hóa thông tin được gửi đi;

• Khi nhận được thông tin đã mã hóa, bên nhận sử dụng khóa bí mật của mình để giải mã và lấy ra thông tin ban đầu

Tuy nhiên, bên cạnh nhiều ưu điểm trong quá trình bảo mật dữ liệu thì thuật toán

mã hóa bất đối xứng lại có nhược điểm là tốc độ chậm Do đó, trong thực tế người ta sử dụng một hệ thống lai tạp trong đó dữ liệu được mã hóa bởi một thuật toán đối xứng và chỉ nếu có được khóa để thực hiện việc mã hóa này thì mới được mã hóa bằng thuật toán bất đối xứng

Một số thuật toán mã hóa bất đối xứng:

• One-time Pad (OTP) [2]: Xuất hiện từ đầu thể kỉ XX, OTP là thuật toán duy

nhất chứng minh được về lý thuyết là không thể phá vỡ được ngay cả với tài nguyên vô

56 bit Tiền thân của nó là thuật toán Lucifer do IBM phát triển Cuối năm 1976, DES được chọn làm chuẩn mã hóa dữ liệu của nước Mỹ, sau đó được sử dụng rộng rãi trên thế giới Trong 20 năm nghiên cứu, thuật toán này đã được kiểm tra phân tích kĩ lưỡng

và đưa ra kết luận rằng an toàn với nhiều loại tấn công

• AES (Advanced Encryption Standard): Thuật toán này là bản nâng cấp của

DES, được Mỹ áp dụng làm tiêu chuẩn mã hóa AES chỉ làm việc với các khối dữ liệu (đầu vào và đầu ra) 128 bít và khóa có độ dài 128, 192 hoặc 256 bít Hầu hết các phép toán trong thuật toán AES đều thực hiện trong một trường hữu hạn của các byte Mỗi khối dữ liệu 128 bit đầu vào được chia thành 16 byte (mỗi byte 8 bit), có thể xếp thành

4 cột, mỗi cột 4 phần tử hay là một ma trận 4x4 của các byte, nó được gọi là ma trận trạng thái, hay vắn tắt là trạng thái (tiếng Anh: state, trang thái trong Rijndael có thể có thêm cột) Trong quá trình thực hiện thuật toán các toán tử tác động để biến đổi ma trận trạng thái này Hiện nay AES được áp dụng phổ biến trong các kỹ thuật bảo mật dành

cho hộ chiếu điện tử

• RSA: Trong mật mã học, RSA là một thuật toán mã hóa công khai Đây là thuật

toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mã hóa Thuật toán được Ron Rivest, Adi Shamir, Len Adleman mô tả đầu tiền vào năm 1978 tại học viện Công nghệ Massachusetts Nó đánh dấu một sự tiến bộ vượt bậc của lĩnh vực mật

mã học trong việc sử dụng khóa công cộng Với khuôn khổ của phạm vi nghiên cứu, sau đây em sẽ trình bày nội dung thuật toán:

- Quá trình mã hóa: Mã hóa thông báo M, đầu tiên biểu diễn thông báo M

như là một số nguyên giữa 0 và n-1 bằng cách sử dụng mã ASCII tương ứng (từ 0 đến 255) Chia khối thông báo thành 1 dãy các khối có kích thước thích hợp Một kích thước thích hợp của khối là số nguyên i nhỏ nhất thỏa mãn 10i- 1 < n < 10i Sau đó ta mã hóa từng khối riêng biệt bằng cách nâng

nó lên lũy thừa e modul n Bản mã C là kết quả của phép tính

C= E (M) =M e mod n

- Quá trình giải mã: Sau khi nhận được bản mã C, Bob sẽ dùng khóa bí mật

của mình để giải mã theo công thức:

M= D (C) = C d mod n

Trong đó: e là khóa công khai, d là khóa bí mật

1.2 Hạ tầng khóa công khai PKI

Mã hóa khóa công khai (Public Key Crytography) là một công nghệ khóa sử dụng trong thương mại điện tử, trong mạng nội bộ và các ứng dụng dựa trên nền tảng web khác Tuy nhiên, để có được các lợi ích của mã hóa công khai cần phải có một hạ tầng

cơ sở Vì thế mục đích của hạ tầng khóa công khai PKI (Public Key Infrastructure) chính là việc đáp ứng yêu cầu tạo ra sự dễ dàng cho người dùng trong việc sử dụng mã hóa khóa công khai PKI là một cơ chế để cho một bên thứ ba cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin [2]

1.2.1 Chức năng PKI

Những hệ thống PKI khác nhau thì có chức năng khác nhau nhưng nhìn chung thì PKI có hai chức năng cơ bản sau:

Chứng thực (Certification): Là chức năng quan trọng nhất của PKI Đây là quá

trình ràng buộc khóa công khai với định danh thực thể Trong PKI, CA là thực thể thực hiện chức năng chứng thực Có hai phương pháp chứng thực là:

- Tổ chức chứng thực CA tạo ra cặp khóa công khai, khóa bí mật và tạo ra chứng thư số cho phần khóa công khai của cặp khóa

- Người sử dụng tự tạo ra cặp khóa và đưa khóa công khai cho CA để CA tạo chứng thư số cho khóa công khai đó Chứng thư đảm bảo tính toàn vẹn của khóa công khai và các thông tin gắn cùng

Thẩm tra (Verification): Quá trình xác thực chứng thư số đã đưa ra có được sử

dụng đúng mục đích thích hợp hay không và được xem là quá trình kiểm tra tính hiệu lực của chứng thư số Quá trình này bao gồm một số bước:

- Kiểm tra liệu chứng thư số có đúng do CA được tin tưởng ký lên hay không;

- Kiểm tra chữ ký số của CA trên chứng thư số để kiểm tra tính toàn vẹn;

- Xác định xem chứng thư số còn hiệu lực hay không;

- Xác định xem chứng thư số đã bị thu hồi hay chưa;

- Xác định xem chứng thư số có đang được sử dụng đúng mục đích hay không

thu thập và xác thực các đặc điểm nhận dạng của người sử dụng và trình yêu cầu cấp chứng thư số tới CA Chất lượng của quá trình xác thực này sẽ quyết định mức độ tin cậy của chứng thư số

- Thực thể cuối: Thực thể cuối trong PKI có thể là con người, thiết bị hoặc một

chương trình phần mềm nào đó Nhưng thông thường thực thể cuối là người sử dụng hệ thống

- Hệ thống phân phối chứng thư số: Chứng thư số có thể được phân phối bằng

nhiều cách khác nhau tùy thuộc vào cấu trúc và môi trường của PKI Có hai hệ thống phân phối chứng thư số là phân phối cá nhân và phân phối công khai [3]

1.2.3 Các mô hình tin cậy của PKI

Mô hình CA đơn

Đây là mô hình tổ chức CA cơ bản và đơn giản nhất Trong mô hình CA đơn chỉ

có một CA xác nhận tất cả các thực thể cuối trong miền PKI Mỗi người sử dụng trong miền nhận khóa công khai của CA gốc (root CA) theo một số cơ chế nào đó

Trong mô hình này không có yêu cầu xác thực chéo Chỉ có một điểm để tất cả người sử dụng có thể kiểm tra trạng thái thu hồi của chứng thư số đã được cấp Mô hình này có thể được mở rộng bằng cách có thêm các RA ở xa CA nhưng ở gần các nhóm người đồng cụ thể

Hình 1.2 : Mô hình CA đơn

Mô hình CA đơn là mô hình dễ triển khai và giảm tối thiểu được những vấn đề về khả năng tương tác Tuy nhiên, mô hình này có một số nhược điểm sau:

 Không tích hợp cho miền PKI lớn;

 Việc quản trị và số lượng công việc kỹ thuật để vận hành CA đơn là rất lớn;

 Do chỉ có một CA nên sẽ gây ra thiếu khả năng hoạt động và đây dễ trở thành mục tiêu tấn công

Mô hình phân cấp

Mô hình này tương ứng cấu trúc phân cấp với CA gốc và các CA cấp dưới CA gốc xác nhận với CA cấp dưới, các CA này lại xác nhận các CA cấp thấp hơn Các CA cấp dưới không cần xác nhận các CA cấp trên

Trong mô hình này, mỗi thực thể sẽ giữ bản sao khóa công khai của root CA và kiểm tra đường dẫn của chứng chỉ bắt đầu từ chữ ký của CA gốc Đây là mô hình PKI tin cậy sớm nhất

Mô hình này có thể được dùng trực tiếp cho những doanh nghiệp phân cấp và độc lập cũng như các tổ chức chính phủ, quân đội Nó cho phép thực hiện các chuẩn chính sách thông qua hạ tầng cơ sở Đây là mô hình dễ vận hành giữa các tổ chức khác nhau Tuy nhiên, mô hình này có nhược điểm sau:

 Có thể không thích hợp đối với môi trường mà mỗi miền khác nhau;

 Các tổ chức có thể không tự nguyện tin vào một tổ chức khác;

 Vẫn chỉ có một CA gốc nên dẫn đến thiếu khả năng hoạt động, dễ bị tấn công

Hình 1.3: Mô hình CA phân cấp

Mô hình mắt lưới

Mô hình mắt lưới là mô hình đưa ra sự tin tưởng giữa hai hoặc nhiều CA Mỗi CA

có thể ở trong mô hình phân cấp hoặc trong mô hình mắt lưới khác Trong mô hình này không chỉ có một CA gốc mà có nhiều hơn một CA gốc phân phối sự tin cậy giữa các

CA với nhau Thông qua việc xác thực chéo giữa các CA gốc, các CA có thể tin tưởng lẫn nhau Xác thực chéo liên kết các miền khác nhau bằng việc sử dụng thuộc tính BasicConstraints, Name Constraints, PolicyMapping và PolicyConstraints của X.509 v3

mở rộng Trong mô hình mắt lưới đầy đủ, tất cả các CA gốc xác nhận chéo lẫn nhau Điều này yêu cầu n2 lần xác thực trong hạ tầng cơ sở

Ưu điểm của mô hình này là linh hoạt hơn, phù hợp hơn với nhu cầu giao dịch hiện nay, cho phép người sử dụng khác nhau có thể tự do phát triển và thực thi những chính sách khác nhau Do mô hình này có nhiều CA gốc nên khắc phục được nhược điểm của hai mô hình trên Tuy nhiên, mô hình này vẫn có một số nhược điểm sau:

 Phức tạp và khó quản lý;

 Khó thực hiện và có thể không hoạt động được do những vấn đề giao tác;

 Phần mềm người sử dụng có thể gặp phải một số vấn đề tìm chuỗi chứng

thư số

Hiện nay, các tổ chức Chính phủ và các công ty đang thiết lập CA riêng theo yêu cầu PKI của mình Khi có yêu cầu, những CA này tiến hành xác thực chéo độc lập dẫn tới nhiều sự phát triển theo các hướng khác nhau

Hình 1.4: Mô hình mắt lưới

1.3 Hàm băm

Hàm băm (tiếng Anh: hash function) [6]: Là hàm sinh ra các giá trị băm tương

ứng với mỗi khối dữ liệu (có thể là một chuỗi kí tự, một đoạn tin nhắn ) Giá trị băm đóng vai trò gần như một khóa để phân biệt các khối dữ liệu, tuy nhiên người ta chấp nhận hiện tượng trùng khóa hay còn gọi là đụng độ và cố gắng cải thiện giải thuật để giảm thiểu sự đụng độ đó Hàm băm thường được dùng trong bảng băm nhằm giảm chi phí tính toán khi tìm một khối dữ liệu trong một tập hợp (nhờ việc so sánh các giá trị băm nhanh hơn việc so sánh những khối dữ liệu có kích thước lớn)

Một hàm băm là một ánh xạ từ không gian bản rõ với độ dài tùy ý vào không gian

có giá trị với độ dài cố định Không gian các bản rõ cũng như không gian các giá trị đều được giả thiết là những dãy bít nhị phân

Hàm băm được đề cập ở đây là hàm một chiều có tác dụng trợ giúp cho các sơ đồ

ký số nhằm làm giảm dung lượng dữ liệu để truyền qua mạng, nó có nhiệm vụ băm thông điệp dựa theo thuật toán một chiều nào đó rồi đưa ra một văn bản có kích thước

cố định

Hình 1.5: Mô hình sử dụng hàm băm

Ứng dụng của hàm băm: Hàm băm có một số ứng dụng quan trọng

 Chống và phát hiện xâm nhập trái phép;

 Bảo vệ tính toàn vẹn của thông điệp;

 Tạo chìa khóa từ mật khẩu;

 Tạo chữ ký điện tử

Một số thuật toán thường sử dụng:

Có rất nhiều thuật toán được sử dụng dùng để băm thông điệp Một số thuật toán băm thông dụng:

 Secure Hash Algorithm (SHA -1) với 160 bit giá trị băm

 Message Digest 2 (MD2) với 128 bit giá trị băm

 Message Digest 4 (MD4) với 128 bit giá trị băm

 Message Digest 5 (MD5) với 128 bit giá trị băm

1.4 Chữ ký số

1.4.1 Giới thiệu chữ ký số

Chữ ký số (Digital Signature): Chỉ là tập con của chữ ký điện tử Chữ ký số là

chữ ký điện tử dựa trên kỹ thuật mã hóa với khóa công khai, trong đó mỗi người có một cặp khóa (một khóa bí mật và một khóa công khai) Khóa bí mật không bao giờ được công bố, trong khi đó, khóa công khai được tự do sử dụng Để trao đổi thông điệp bí mật, người gửi sử dụng khóa công khai của người nhận để mã hóa thông điệp gửi, sau

đó người nhận sẽ sử dụng khóa bí mật tương ứng của mình để giải mã thông điệp [2]

Chữ ký điện tử là thông tin được mã hoá bằng Khoá riêng của người gửi, được gửi kèm theo văn bản nhằm đảm bảo cho người nhận định danh, xác thực đúng nguồn gốc

và tính toàn vẹn của tài liệu nhận được Chữ ký điện tử thể hiện văn bản gửi đi là đã được ký bởi chính người sở hữu một Khoá riêng tương ứng với một Chứng chỉ điện tử nào đó

Chữ ký số khóa công khai (hay hạ tầng khóa công khai) là mô hình sử dụng các

kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai - bí mật và qua

đó có thể ký các văn bản điện tử cũng như trao đổi các thông tin mật Khóa công khai thường được phân phối thông qua chứng thực khóa công khai Quá trình sử dụng chữ ký

số bao gồm 2 quá trình: tạo chữ ký và kiểm tra chữ ký

Chữ ký số là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của văn bản gốc

Chữ ký số là sự kết hợp của hai quá trình Đầu tiên là dữ liệu sẽ được băm nhằm tạo ra các giá trị băm Sau đó đoạn băm đó được mã hóa theo một thuật toán mã hóa bất đổi xứng dựa vào cặp khóa công khai và khóa bí mật Chữ ký số gồm có chữ ký ký trên bản băm này gắn vào cùng thông điệp

Tính toàn vẹn của thông điệp cũng được đảm bảo vì chỉ cần thay đổi giá trị một bít thì kết quả hai giá trị băm sẽ khác nhau Tính xác thực của người gửi được đảm bảo vì chỉ có người gửi mới có khóa riêng để mã hóa bản băm Chữ ký số cũng chứng minh được tính chống chối bỏ bản gốc vì chỉ có người gửi mới có khóa riêng để ký số

Giả sử Bob và Alice muốn trao đổi một thông điệp với nhau Bob và Alice sẽ được bảo vệ khi sử dụng xác thực thông báo trong việc trao đổi thông tin với bên thứ ba Tuy nhiên họ không thể bảo vệ lẫn nhau bởi lẽ nếu Bob gửi một thông điệp đã được xác thực cho Alice sẽ xảy ra một số tranh chấp sau:

 Alice có thể làm giả một thông báo khác và khẳng định rằng thông báo này

có nguồn gốc từ Bob Alice có thể tạo ra một thông báo và gắn mã xác thực một cách đơn giản bằng cách dùng khóa chung của họ

 Bob có thể chối bỏ đã gửi thông báo Vì Alice có thể làm giả thông báo và

vì vậy không có cách nào để chứng minh thông báo là do Bob gửi

Để tránh những vấn đề xảy ra trong quá trình xác nhận truyền thông điệp như trên cần có một phương thức giúp người nhận và người gửi có sự tin cậy tuyệt đối Và giải pháp hiệu quả nhất cho vấn để này là sử dụng chữ ký số do nó có một số khả năng sau:

 Khả năng xác thực tác giả và thời gian ký

 Khả năng xác thực nội dung tại thời điểm ký

chữ ký số hiện có, hoặc tạo ra một chữ ký số giả cho một thông báo cho trước

 Chữ ký số có thể được sao lưu

1.4.2 Quá trình ký số

Quá trình ký được thực hiện theo các bước sau:

Bước 1: Dùng giải thuật băm để thay đổi thông điệp truyền đi Kết quả thu được là

một bản băm có chiều dài 160 bits (dùng giải thuật SHA)

Bước 2: Sử dụng khóa bí mật của người nhận để mã hóa bản băm thu được ở bước

trên Thông thường ta sử dụng thuật toán RSA Kết quả thu được gọi là digital signature của thông điệp

Bước 3: Gộp digital signature với thông điệp ban đầu Công việc này được gọi là

ký nhận vào thông điệp Sau khi đã ký, mọi sự thay đổi trên thông điệp ban đầu đều bị phát hiện trong giai đoạn kiểm tra

Hình 1.6: Quá trình ký số

1.4.3 Quá trình kiểm tra, xác thực chữ ký số

Trong mật mã học, chứng thực khóa công khai (còn gọi là chứng thực số /chứng thực điện tử) là một xác thực sử dụng chữ ký số để gắn một khóa công khai với một thực thể (cá nhân, máy chủ hoặc công ty ) Một xác thực khóa công khai tiêu biểu thường bao gồm khóa công khai và các thông tin (tên, địa chỉ ) về thực thể sở hữu khóa

đó Chứng thực điện tử có thể được sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai

CA phát hành các chứng thực khóa công khai trong đó thể hiện rằng CA đó chứng nhận khóa công khai nằm trong mỗi chứng thực thuộc về cá nhân, tổ chức, máy chủ hay bất kỳ thực thể nào ghi trong cùng chứng thực đó Nhiệm vụ của CA là kiểm tra tính chính xác của thông tin liên quan tới thực thể được cấp chứng thực Khi người sử dụng tin tưởng vào một CA và có thể kiểm tra chữ ký số của CA đó thì họ cũng có thể tin tưởng vào khóa công khai và thực thể được ghi trong chứng thực

kết luận dữ liệu nhận được có tính toàn vẹn hay chưa bị thay đổi và dữ liệu nhận được là

do chính người gửi gửi đi vì chỉ duy nhất người nhận được xác thực mới có khóa bí mật phù hợp với khóa công khai đã được sử dụng để giải mã

Lược đồ xác thực chữ ký được mô tả bằng hình vẽ dưới đây:

Hình 1.7: Mô hình kiểm tra, xác thực chữ ký số

1.4.4 Thuật toán chữ ký số RSA

Lược đồ ký số [1]

Cho n= p*q với p, q là số nguyên tố lớn Đặt P=A= Zn

K= { (n, p, q, a, b) : n= p*q, ab = 1 mod (n)}

Trong đó (n,b) là công khai và (a, p, q) là bí mật

Vớí mỗi K= (n, p, q, a, b), mỗi x ϵ p, ta định nghĩa:

y = sigk (x) = x a mod n, y ϵ A

verk (x,y) = đúng <=> x = yb mod n

Phương pháp chữ ký số RSA được xây dựng dựa trên thuật toán mã hóa khóa công

khai RSA Để tạo một cặp khóa, RSA thực hiện các bước sau:

 Chọn 2 số nguyên tố lớn ngẫu nhiên p, q Nhằm có sự an toàn tối đa nên chọn p và q có độ dài bằng nhau

 Tính n=pq và φ(n) = (p 1) (q 1)

 Chọn ngẫu nhiên một số nguyên e (1<e<φ(n)) sao cho gcd (e, φ(n))=1 với gcd là ước số chung lớn nhất

 Tính: d sao cho de ≡ 1 mod φ(n)

Kết quả là ta có được cặp khóa: khóa công khai (n,e) và khóa bí mật (n,d) Hai

người sẽ sử dụng chung một hàm băm H an toàn trước hiện tượng xung đột Để ký một

thông điệp m, người ký thực hiện các bước sau:

 Dùng hàm băm H để băm thông điệp m: h=H (m)

 Tạo chữ ký số sử dụng khóa bí mật (n,d) để tính: s=hd mod n

Chữ ký của m là s và được gửi kèm với thông điệp m đến người nhận Để xác nhận chữ ký, người nhận thực hiện các bước sau:

 Sử dụng khóa công khai (n,e) của người ký để giải mã chữ ký: h=semod n

 Sử dụng cùng hàm băm H với người ký để băm thông điệp m: h′= H (m)

 Chấp nhận chữ ký nếu h′=h Ngược lại từ chối chữ ký

Chương 2: HỘ CHIẾU ĐIỆN TỬ CÁCH THỨC LƯU TRỮ VÀ XỬ LÝ THÔNG

TIN TRONG CON CHIP ĐIỆN TỬ

2.1 Hộ chiếu điện tử

2.1.1 Hộ chiếu điện tử là gì?

Hộ chiếu là một loại giấy tờ tùy thân dùng để xác nhận công dân mang quốc tịch của một quốc gia nào Thông thường, hộ chiếu chứa các thông tin cơ bản như họ tên, ngày sinh, quê quán, quốc tịch, ảnh khuôn mặt, các thông tin cơ quan cấp hộ chiếu, ngày cấp, thời hạn có giá trị [2]

Hộ chiếu điện tử (e-passport) có hình dạng giống như hộ chiếu thông thường nhưng được gắn thêm con chip điện tử (microchip) mỏng ở bìa sau, trong đó có các dữ liệu như họ tên, ngày sinh, số hộ chiếu Con chip trong hộ chiếu là chíp nhận dạng tần

số radio, có lưu một ảnh kỹ thuật số của người sở hữu hộ chiếu và còn có thể chứa thêm dấu vân tay của chủ thể Thẻ này được cấu tạo bằng vật liệu đặc biệt để ít bị ảnh hưởng bởi các lực tác động, chống hấp thụ nhiệt để bảo vệ các linh kiện điện tử bên trong hoạt động ổn định

Với sự ra đời của chip không tiếp xúc sử dụng công nghệ nhận dạng tần số radio RFID, việc lưu trữ thông tin cá nhân của hộ chiếu trong chip không tiếp xúc cho phép nâng cao hiệu quả của quy trình cấp phát, kiểm duyệt hộ chiếu thông qua các hệ thống xác thực tự động Cách tiếp cận này cho phép xây dựng và phát triển mô hình “ Hộ chiếu điện tử ” (HCĐT)

Hiện nay yêu cầu về tiêu chuẩn cho hộ chiếu điện tử đã được cung cấp bởi Hãng hàng không dân dụng quốc tế ICAO Và các yêu cầu này sẽ đáp ứng được an ninh tại các cửa khẩu, kiểm tra tại biên giới các nước HCĐT tích hợp ba công nghệ:

 Nhận dạng tần số radio (RFID)

 Sinh trắc (khuôn mặt, vân tav, mống mắt)

 Cơ sở hạ tầng khóa công khai PKI

2.1.2 Các thành phần cơ bản của hộ chiếu điện tử

Hộ chiếu điện tử được dựa trên cấu trúc của hộ chiếu thông thường, được chia thành hai phần: Phần tài liệu, dữ liệu vật lý – booklet (quyển hộ chiếu) và phần vi mạch tích hợp RFIC (thể hiện dưới dạng chip không tiếp xúc) [3]

Hình 2.1: Các thành phần của hộ chiếu điện tử

Phần tài liệu vật lý- booklet (quyển hộ chiếu):

Booklet gần như tương tự quyển hộ chiếu thông thường, nó chỉ khác ở chỗ là có thêm biểu tượng HCĐT ở trang bìa và dòng ICAO (MRZ - vùng đọc được bằng máy đọc hộ chiếu) ở cuối trang dữ liệu

Biểu tượng của hộ chiếu điện tử phải được in ở phía ngoài của booklet:

 Tên người mang hộ chiếu: Xuất hiện ở dòng thứ nhất từ ký tự thứ 6 đến

44

 Số hộ chiếu: Được xác định bởi 9 ký tự đầu tiên của dòng thứ 2

 Ngày sinh của người mang hộ chiếu: Xác định từ ký tự 14 đến 19 của dòng 2 theo định dạng YYMMDD

 Ngày hết hạn: Được xác định từ ký tự 22 đến 29 của dòng 2

Ngoài ra, 3 trường số còn có 1 ký tự kiểm tra đứng ngay sau giá trị của trường tương ứng

Hình 2.2: Biểu tượng của hộ chiếu điện tử

cũng không thể truy cập trái phép hoặc bị gỡ bỏ ra hay xáo trộn khi gặp tai nạn [3]

2.1.3 Tổ chức dữ liệu logic của HCĐT

Để có được sự thống nhất cấu trúc HCĐT trên phạm vi toàn cầu thì việc chuẩn hóa

nó là rất quan trọng Tổ chức hàng không dân dụng quốc tế (ICAO) đã đưa ra khuyến nghị cấu trúc chuẩn cho các thành phần dữ liệu trong HCĐT và phân nhóm logic các thành phần dữ liệu này Tổ chức dữ liệu chuẩn gồm 2 phần chủ yếu là phần bắt buộc và không bắt buộc, được thể hiện như hình dưới đây

Hình 2.3: cấu trúc và tổ chức dữ liệu bên trong hộ chiếu điện tử

Để thuận lợi cho việc đọc ghi thông tin trên toàn cầu, các thành phần dữ liệu được

tổ chức thành nhóm dữ liệu:

Hình 2.4: Tổ chức dữ liệu HCĐT theo nhóm.[3]

Với mục đích dùng hiện tại, cấu trúc dữ liệu logic LDS được chia thành 16 nhóm

dữ liệu (Data Group - DG) đánh số từ DG1 đến DG16

DG1: Nhóm dữ liệu cơ bản chứa thông tin như trên hộ chiếu thông thường

DG2: Lưu ảnh khuôn mặt được mã hóa theo định dạng JPEG hoặc JPEG2000

Ngoài ra để thuận lợi cho các quốc gia triển khai hộ chiếu điện tử có thể tận đụng các hệ thống nhận dạng sinh trắc học hiện có, nhóm thông tin này có thể bao gồm một

số giá trị ảnh khuôn mặt được lưu dưới mẫu (thông tin đầu vào của hệ thống nhận dạng) Chính vì vậy mà nhóm thông tin này phải có trường lưu số giá trị Tuy nhiên giá trị ảnh khuôn mặt đầu tiên phải ở dạng ảnh

DG3/4: Được dùng để lưu các đặc trưng sinh trắc vân tay và mống mắt Việc

lựa chọn những đặc trưng này tùy thuộc vào quy định của mỗi quốc gia, chẳng hạn với HCĐT của Mỹ thì DG3 được dùng để lưu đặc trưng vân tay của 2 ngón trỏ

DG5: Lưu ảnh chân dung người mang hộ chiếu Thông tin này dưới dạng một

ảnh JPEG2000

DG6: Dự phòng dùng trong tương lai

DG7: Lưu chữ ký của người mang hộ chiếu Thông tin này dưới dạng một ảnh

JPEG2000

DG8/9/10: Mô tả các thông tin về đặc tính dữ liệu, đặc tính cấu trúc

DG11: Thông tin chi tiết về người mang hộ chiếu ngoài các thông tin cơ bản ở

phần DG1 Ví như các tên khác của người mang hộ chiếu

DG12: Thông tin thêm về hộ chiếu chưa được mô tả trong phần DG1

DG13: Các thông tin mang tính riêng biệt của cơ quan cấp hộ chiếu thể hiện DG14: Dự phòng dùng trong tương lai

DG15: Lưu khoá công khai dùng cho tuỳ chọn xác thực chủ động

DG16: Thông tin về người khi cần có thể liên lạc

DG17/18/19: Hiện tại chưa sử dụng Các nhóm thông tin này dự định dùng để

lưu thông tin ghi nhận tại các điểm xuất nhập cảnh, thông tin về thị thực (visa điện tử) và thông tin lịch sử xuất nhập cảnh

Trong đó, 2 nhóm thông tin đầu là bắt buộc, là chuẩn thông tin được thống nhất trên toàn cầu giúp cho việc kiểm tra danh tính của người mang hộ chiếu với các thông tin trong hộ chiếu, đồng thời nó là dữ liệu đầu vào của hệ thống nhận dạng mặt người Phần LDS chỉ cho phép truy cập dữ liệu, nó bao gồm các khóa mật mã dùng để hỗ trợ cho các cơ chế kiểm soát truy cập cơ bản BAC và xác thực chủ động AA LDS có trường EF- COM lưu trữ thông tin chung của chính LDS như version, danh sách các datagroup, chứa các thông tin của người dùng và các dữ liệu sinh trắc

2.1.4 Lưu trữ vật lý

Dữ liệu lưu trữ trong RFIC theo các tệp tin tương ứng với từng nhóm dữ liệu, các tệp này là các tệp cơ bản có tên bắt đầu bằng “EF” Ngoài ra còn có một số tệp đặc biệt như là DFI là tệp chứa thông tin khai báo, EF- SOD (SOD: security object) là tệp chứa thông tin phục vụ quá trình xác thực bị động PA Trong mỗi tệp (nhóm dữ liệu) các trường thông tin phân cách nhau bởi các thẻ tag đánh dấu bắt đầu và kết thúc giá trị của trường thông tin

 Phần thông tin MRZ tương ứng với nhóm dữ liệu DG1

 Ảnh khuôn mặt người mang hộ chiếu

 EF-COM lưu trữ thông tin chung của chính LDS như: version, List of datagroup,

 EF- SOD chứa thông tin phục vụ xác thực và toàn vẹn

Khi thẻ không tiếp xúc đi qua vùng giao tiếp của đầu đọc, quá trình đọc thẻ hiện ra theo tiêu chuẩn ISO 14443

Để kiểm tra sự toàn vẹn của các nhóm thông tin, một số thông tin chữ ký được đưa thêm vào và ghi trong tệp cơ sở có tên là EF- SOD

Để định vị và giải mã các nhóm thành phần dữ liệu lưu trong các nhóm đã ghi bởi

cơ quan cấp hộ chiếu, đầu đọc được đưa vào các thành phần thông tin header trong tệp EF-COM (hình 14) Việc xác định nhóm dữ liệu nào có trong chip căn cứ vào thông tin Data Oresence Map chứa trong tệp EF- COM thông qua các thẻ TAG, mỗi thẻ chỉ được lưu trữ nhóm thông tin tương ứng

sự tồn tại của chúng thông qua Data Element Presence Maps, định vị dữ liệu thông qua các TAG

DataGroup “n” TAG

DataGroup “m” TAG

Data Element “n” TAG

Data Element “m” TAG