(LUẬN VĂN THẠC SĨ) Xác thực hộ chiếu sinh trắc với cơ chế PACE và EAC

Hiện nay trên thế giới HCST đã trải qua ba thế hệ phát triển: từ việc mới chỉ sử dụng ảnh mặt người số hoá lưu trên một chip RFID thế hệ 1, kết hợp thêm một số nhân tố sinh trắc và cơ ch

VŨ THỊ HÀ MINH

XÁC THỰC HỘ CHIẾU SINH TRẮC VỚI

CƠ CHẾ PACE VÀ EAC

LUẬN VĂN THẠC SĨ

VŨ THỊ HÀ MINH

XÁC THỰC HỘ CHIẾU SINH TRẮC VỚI

CƠ CHẾ PACE VÀ EAC

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

Người hướng dẫn khoa học: TS NGUYỄN NGỌC HOÁ

HÀ NỘI - 2010

CÁC KÝ HIỆU VIẾT TẮT 8

MỞ ĐẦU 9

CHƯƠNG 1: LÝ THUYẾT LIÊN QUAN 12

1 Giới thiệu 12

1.1 Hộ chiếu sinh trắc 12

1.2 Thực trạng hiện nay 12

2 Cấu trúc và tổ chức HCST 13

2.1 Cấu trúc 13

2.2 Tổ chức dữ liệu 15

2.3 Lưu trữ vật lý 19

3 Các đặc trưng sinh trắc 22

3.1 Ảnh khuôn mặt 22

3.2 Ảnh vân tay 23

3.3 Ảnh mống mắt 24

4 An ninh/An toàn 25

4.1 Các nguy cơ đối với RFID 25

4.2 Cơ chế xác thực HCST 25

4.3 Một số hệ mật 27

5 Tổng kết 28

CHƯƠNG 2: MÔ HÌNH XÁC THỰC HỘ CHIẾU 29

1 Mục đích, yêu cầu 29

2 Quy trình chung 30

3 Hạ tầng khoá công khai (Public Key Infrastructure - PKI) 30

3.1 Danh mục khoá công khai 31

3.2 Mô hình PKI ứng dụng trong HCST 32

4 Các phiên bản HCST 33

5.1 Kiểm tra an ninh 44

5.2 PACE 44

5.3 Đọc vùng dữ liệu DG1 45

5.4 Terminal Authentication 45

5.5 Passive Authentication 46

5.6 Chip Authentication 47

5.7 Đối chiếu đặc trưng sinh trắc 49

6 Đánh giá mô hình 49

6.1 Hiệu năng của mô hình 49

6.2 Mức độ bảo mật của mô hình 50

6.3 Kết luận 51

7 Tổng kết 51

CHƯƠNG 3: THỰC NGHIỆM 52

1 Giới thiệu 52

2 Môi trường thực nghiệm 52

3 Kết quả thực nghiệm 53

3.1 Giao diện chính 54

3.2 Đọc thông tin từ MRZ 55

3.3 Thực hiện cơ chế PACE 55

3.4 Đọc DG1 và so khớp với thông tin trong MRZ 56

3.5 Tiến hành xác thực đầu đọc 57

3.6 Tiến hành xác thực Chip 58

4 Đánh giá 59

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 60

Đóng góp chính 60

Hướng phát triển 60

TÀI LIỆU THAM KHẢO 61

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình chung của HCST 13

Hình 1.2 Biểu tượng hộ chiếu sinh trắc 13

Hình 1.3 Mô tả MRZ 14

Hình 1.4 Mạch tích hợp RFIC 14

Hình 1.5 Cấu trúc chip phi tiếp xúc 15

Hình 1.6 Các thành phần dữ liệu trong LDS 16

Hình 1.7 Tổ chức dữ liệu HCST theo nhóm 18

Hình 1.8 Tổ chức vật lý thông tin trong hộ chiếu điện tử 20

Hình 1.9 Thông tin định vị nhóm dữ liệu lưu trong chip 21

Hình 1.10 Thông tin chỉ thị sự tồn tại của nhóm dữ liệu trong chip 21

Hình 1.11 Thông tin chỉ thị sự tồn tại thành phần dữ liệu trong một nhóm 21

Hình 1.12 Thông tin xác định vị trí thành phần dữ liệu trong nhóm 21

Hình 1.13 Camera thu ảnh khuôn mặt 22

Hình 1.14 Một số cách thu nhận dấu vân tay 23

Hình 1.15 Cấu trúc mống mắt 24

Hình 1.16 Camera thu ảnh mống mắt 24

Hình 2.1 Danh mục khóa công khai 31

Hình 2.2 Hạ tầng khoá công khai ePassport 33

Hình 2.3 Mô hình xác thực Hộ chiếu sinh trắc 43

Hình 2.4 Cơ chế xác thực PACE 45

Hình 2.5 Terminal Authentication 46

Hình 2.6 Quá trình Passive Authentication 47

Hình 2.7 Quá trình Chip Authentication 48

Hình 3.1 Thành phần của hệ thống 53

Hình 3.2 Màn hình giao diện chính 54

Hình 3.3 Đọc MRZ 55

Hình 3.4 Giao thức PACE 56

Hình 3.5 Đọc DG1 56

Hình 3.6 Xác thực đầu đọc 57

CÁC KÝ HIỆU VIẾT TẮT

MỞ ĐẦU

Hộ chiếu sinh trắc (biometric passport), hay còn gọi là hộ chiếu điện tử (ePassport) là một giấy căn cước cung cấp thông tin theo thời kỳ (khoảng 10 năm, tuỳ theo một số nước quy định) về một công dân, dùng để thay thế cho

hộ chiếu truyền thống với mục tiêu nâng cao an ninh/an toàn trong quá trình cấp phát/kiểm duyệt/xác thực hộ chiếu Với mục tiêu đó, hộ chiếu sinh trắc được phát triển dựa trên những chuẩn về hộ chiếu thông thường, kết hợp cùng với (i) các kỹ thuật đảm bảo an ninh/an toàn thông tin, (ii) công nghệ RFID (Radio Frequency Identification) và (iii) công nghệ xác thực dựa trên những nhân tố sinh trắc học như ảnh mặt người, vân tay, mống mắt… Hai yếu tố đầu cho phép nâng cao việc chống đánh cắp thông tin cá nhân, chống làm giả hộ chiếu, ; còn hai yếu tố sau cho phép nâng cao hiệu quả quá trình xác thực công dân mang hộ chiếu sinh trắc

Hộ chiếu sinh trắc (HCST) đã được nghiên cứu và đưa vào triển khai, ứng dụng thực tế ở một số quốc gia phát triển trên thế giới như: Mỹ, Châu Âu… Gần đây chính phủ Việt Nam cũng đã phê duyệt đề án quốc gia “Sản xuất và phát hành hộ chiếu điện tử Việt Nam” với kỳ vọng bắt đầu từ năm

2011 có thể phát hành hộ chiếu điện tử cho công dân Việt Nam, và đến năm

2015 là 100% công dân dùng hộ chiếu điện tử

Hiện nay trên thế giới HCST đã trải qua ba thế hệ phát triển: từ việc mới chỉ sử dụng ảnh mặt người số hoá lưu trên một chip RFID (thế hệ 1), kết hợp thêm một số nhân tố sinh trắc và cơ chế kiểm soát truy cập mở rộng (Extended Access Control - EAC) (ở thế hệ 2) và bổ xung cơ chế thiết lập kết nối có xác thực mật khẩu (Password Authenticated Connection Establishment

- PACE) (thế hệ 3 bắt đầu từ cuối năm 2009) Tại Việt Nam, mới chỉ có một

số dự án nghiên cứu, tìm hiểu liên quan đến mô hình cấp phát, quản lý, kiểm duyệt HCST (tại trường Đại học Công nghệ là chủ yếu) Trong khuôn khổ

luận văn thạc sĩ, đã có 2 đề tài của tác giả Phạm Tâm Long “Mô hình bảo mật

hộ chiếu điện tử” – luận văn Thạc sĩ 2008 [2] , và tác giả Bùi Thị Quỳnh

Phương “Nghiên cứu, phát triển quy trình xác thực hộ chiếu điện tử tại Việt

Nam” – luận văn Thạc sĩ 2010 [3] Các tác giả này bước đầu đã nghiên cứu các cơ chế bảo mật sử dụng trong HCST, đồng thời đề xuất ra mô hình HCST

sử dụng tại Việt Nam Tuy nhiên việc nghiên cứu trên mới dừng ở mô hình

Trong luận văn này tác giả tập trung nghiên cứu, tìm hiểu quy trình xác thực HCST theo chuẩn của tổ chức ICAO (International Civil Aviation Orgnization) ở thế hệ thứ ba , với định hướng đặc biệt chú trọng đến cơ chế PACE và EAC nhằm tăng cường anh ninh/an toàn trong quá trình xác thực HCST Trên thực tế mô hình này chưa được áp dụng ở bất kỳ nước nào trên thế giới, mới dừng ở phạm vi nghiên cứu Với việc nghiên cứu, tìm hiểu quy trình xác thực sử dụng cơ chế PACE và EAC, từ đó tiến hành thực nghiệm mô hình xác thực nói trên, luận văn hướng đến mục tiêu có thể tiệm cận được những nghiên cứu mới nhất về HCST trên thế giới, từ đó có thể cung cấp, xây dựng phần nào những cơ sở nền tảng về HCST tại Việt Nam

Nhằm đạt được các mục tiêu đó, tác giả đã thực hiện đề tài luận văn “Mô

hình xác thực Hộ chiếu sinh trắc với cơ chế PACE và EAC” Luận văn được

tổ chức thành 3 chương như sau:

- Chương 1 Lý thuyết liên quan: Trong chương này tác giả trình bày

o Các nguy cơ tấn công đối với chip RFID, các cơ chế xác thực

sử dụng trong HCST, đồng thời luận văn cũng trình bày hệ mật

mã được sử dụng nhằm đảm bảo tính an ninh/an toàn của HCST

- Chương 2 Mô hình xác thực hộ chiếu: Chương này tác giả tổ chức

- Chương 3 Thực nghiệm: Chương này tác giả tiến hành thực nghiệm

mô hình xác thực đã đề xuất thông qua việc xây dựng 3 module: PACE,

Chip Authentication, Terminal Authentication Cuối cùng tiến hành đánh giá mô hình đề xuất

- Kết luận: Phần này nêu ra kết luận, các đóng góp chính mà luận văn đã

đạt được Đồng thời nêu ra hướng phát triển tiếp theo của đề tài

CHƯƠNG 1: LÝ THUYẾT LIÊN QUAN

Với sự ra đời của thẻ phi tiếp xúc sử dụng công nghệ RFID (Radio

Frequency Identification), rõ ràng những thông tin cá nhân thể hiện trong một

hộ chiếu của công dân hoàn toàn có thể được lưu trữ trên thẻ thông minh phi tiếp xúc Việc lưu trữ những thông tin cá nhân của hộ chiếu trong thẻ thông minh phi tiếp xúc cho phép nâng cao hiệu quả của quy trình cấp phát, kiểm duyệt hộ chiếu thông qua các hệ thống xác thực tự động Các tiếp cận này cho phép xây dựng và phát triển mô hình hộ chiếu mới: “Hộ chiếu sinh trắc – biometric passport” (HCST) hay còn gọi là “hộ chiếu điện tử - ePassport”)

Từ đó, HCST được định nghĩa như là hộ chiếu thông thường kết hợp cùng thẻ thông minh phi tiếp xúc phục vụ lưu trữ những thông tin cá nhân, trong đó có

cả những dữ liệu sinh trắc của người mang hộ chiếu [10,11]

1.2 Thực trạng hiện nay

HCST ngày càng trở nên phổ biến trên thế giới bởi các công nghệ sử dụng và đặc tính ưu việt của nó: chip RFID sử dụng trong HCST có khả năng lưu trữ dữ liệu, thực hiện tính toán không nhiều, tăng độ bảo mật, và sử dụng truyền thông không dây Từ năm 2004 cho đến nay, chúng ta đã được chứng kiến sự phát triển của ba thế hệ HCST – ePassport thế hệ thứ nhất của ICAO (2004), ePassport EAC (EAC v1.0) (2006), và ePassport EAC sử dụng giao thức PACE (EAC v2.1) (2008) Hiện tại có khoảng hơn 30.000 ePassport đã được lưu hành trên thế giới [16]

Gần đây chính phủ Việt Nam cũng đã phê duyệt đề án quốc gia “Sản

xuất và phát hành hộ chiếu điện tử Việt Nam” và nêu rõ, bắt đầu từ năm 2011

sẽ phát hành hộ chiếu điện tử cho công dân Việt Nam, mục tiêu đến năm 2015

là 100% hộ chiếu cấp cho người dân là hộ chiếu điện tử Chính từ yêu cầu cấp bách đó mà các nhóm nghiên cứu của các ban ngành, tổ chức đang nghiên cứu

để tìm ra mô hình HCST phù hợp nhất với điều kiện nước ta Cũng đã có một

số mô hình được đề xuất, và đang trong quá trình thử nghiệm [3]

2 Cấu trúc và tổ chức HCST

2.1 Cấu trúc

Hình 1.1 Mô hình chung của HCST [11]

Tương tự hộ chiếu truyền thống, HCST giống như một cuốn sách nhỏ (booklet), gồm bìa của booklet và ít nhất tám trang dữ liệu, trong đó có một trang chứa dữ liệu cá nhân của người sở hữu hộ chiếu và ngày hiệu lực Điểm khác biệt giữa HCST và hộ chiếu truyền thống là ở chỗ HCST có thêm một

biểu tượng riêng phía ngoài bìa, một mạch tích hợp phi tiếp xúc RFIC (Radio

Frequency Integrated) được gắn vào hộ chiếu và phần MRZ (Machine Readable Zone) phía cuối trang dữ liệu Mạch RFIC có thể được đặt trong

trang dữ liệu hoặc có thể đặt ở một trang khác

Hình 1.2 Biểu tượng hộ chiếu sinh trắc

 MRZ

MRZ (Machine Readable Zone) là hai dòng dữ liệu liên tục được thiết

kế để đọc được bằng máy đọc quang học ở phía cuối trang dữ liệu Mỗi dòng đều phải có 44 ký tự và được sắp xếp theo phông OCR-B in hoa gồm bốn

 Họ tên: Xuất hiện ở dòng đầu tiên từ ký tự thứ 6 đến ký tự thứ

44

 Số hộ chiếu: Xuất hiện ở 9 ký tự đầu tiên của dòng thứ 2

 Ngày tháng năm sinh: Xuất hiện từ ký tự thứ 14 đến 19 của dòng

Mạch RFIC có thể được gắn vào một trong các vị trí khác nhau trong booklet, thông thường là giữa phần bìa và phần trang dữ liệu Trong quá trình gắn, cần phải đảm bảo rằng chip không bị ăn mòn và không bị rời ra khỏi booklet

Hình 1.5 Cấu trúc chip phi tiếp xúc

2.2 Tổ chức dữ liệu

Việc chuẩn hóa tổ chức dữ liệu logic (Logical Data Structure - LDS) trong HCST được Tổ chức hàng không dân dụng quốc tế ICAO khuyến nghị

để có được sự thống nhất giữa các thành phần dữ liệu trong HCST trên phạm

vi toàn cầu và phân thành phần dữ liệu thành các nhóm logic Trong HCST, ngoài các thành phần dữ liệu bắt buộc còn có các thành phần dữ liệu tùy chọn

Các thành phần dữ liệu lưu trong HCST được mô tả như trong hình 6 dưới đây

 Xác định các thông tin tùy chọn mở rộng theo nhu cầu của tổ chức hoặc chính phủ cấp hộ chiếu

 Cung cấp dung lượng mở rộng khi người dùng yêu cầu

 Hỗ trợ đa dạng các tùy chọn bảo vệ dữ liệu

 Hỗ trợ cho các tổ chức và chính phủ cập nhật thông tin vào HCST

 Tận dụng các chuẩn quốc tế hiện có…

Cùng với tổ chức dữ liệu logic, việc phân loại logic các thành phần dữ liệu có liên quan cũng đã được thiết lập Và để thuận lợi cho việc đọc, ghi và kiểm tra thông tin trên phạm vi toàn cầu, các thành phần dữ liệu được tổ chức thành các nhóm dữ liệu Mỗi nhóm dữ liệu được gán với một số tham chiếu Với các phiên bản HCST hiện tại, LDS chia các thành phần dữ liệu thành 16 nhóm, được đánh số từ DG1 đến DG16 Trong tương lai, LDS sẽ có thêm ba nhóm dữ liệu mới là DG17, DG18 và DG19 Các nhóm dữ liệu đều được mã hóa để đảm bảo tính xác thực và toàn vẹn thông tin

Hình 1.7 Tổ chức dữ liệu HCST theo nhóm [5]

Trong 16 nhóm dữ liệu của LDS, hai nhóm dữ liệu đầu tiên

DG1(Datagroup 1) và DG2 (Datagroup 2) là bắt buộc, còn 14 nhóm dữ liệu

sử dụng với các thông tin trong HCST

 DG3: Nhóm dữ liệu lưu trữ dấu vân tay của người sở hữu HCST đã

mã hóa

mã hóa Hai nhóm dữ liệu DG3 và DG4 là tùy chọn đối với mỗi quốc gia trong việc đưa vào chip RFID trong HCST để xác thực người dùng

 DG5: Lưu ảnh chân dung của người mang hộ chiếu Định dạng ảnh

là JPEG hoặc JPEG2000

 DG6: Nhóm dữ liệu dự phòng dùng trong tương lai

 DG7: Nhóm dữ liệu lưu chữ ký của người mang hộ chiếu Thông tin này được lưu dưới dạng ảnh JPEG2000

 DG8/9/10: Các nhóm dữ liệu mô tả thông tin về đặc tính dữ liệu, đặc tính cấu trúc

 DG11/12: Nhóm dữ liệu lưu trữ các thông tin chi tiết thêm về người

sở hữu hộ chiếu ngoài các thông tin đã được lưu ở DG1

 DG13: Nhóm dữ liệu chứa thông tin riêng biệt do cơ quan cấp hộ chiếu thể hiện

 DG14: Nhóm dữ liệu dự phòng dùng cho tương lai

 DG15: Nhóm dữ liệu lưu khóa công khai dùng cho quá trình xác thực chủ động

 DG16: Nhóm dữ liệu lưu trữ thông tin về người khi cần có thể liên lạc

Chi tiết về độ lớn trường thông tin, bắt buộc hay tùy chọn, định dạng các thành phần dữ liệu… của các nhóm dữ liệu tham khảo ở tài liệu ICAO Document 9303 [5]

Trong mỗi tệp (hay nhóm dữ liệu), các trường thông tin phân tách nhau bởi các thẻ Tag đánh dấu bắt đầu và kết thúc giá trị của trường thông tin [5]

Hình 1.8 Tổ chức vật lý thông tin trong hộ chiếu điện tử [5]

Bốn nhóm thành phần dữ liệu bắt buộc:

 Phần thông tin MRZ (Machine Readable Zone) tương ứng với nhóm

dữ liệu DG1

 Nhóm dữ liệu DG2 lưu ảnh khuôn mặt của người mang hộ chiếu

 EF.COM, chứa thông tin phiên bản và danh sách các thẻ

 EF.SO D , chứa thông tin phục vụ xác thực và toàn vẹn

Khi thẻ phi tiếp xúc đi qua vùng giao tiếp của đầu đọc, quá trình đọc diễn ra theo chuẩn ISO 14443

Để kiểm tra sự toàn vẹn các nhóm thông tin, một số thông tin chữ ký được đưa thêm vào và ghi trong tệp cơ sở có tên EF.SO D

Cách thức lưu trữ các nhóm và thành phần dữ liệu theo mô hình thứ tự ngẫu nhiên Cách thức lưu trữ này phù hợp với kỹ thuật mở rộng dung lượng tuỳ chọn cho phép duy trì các thành phần dữ liệu ngay cả khi nó được ghi vượt quá Các thành phần dữ liệu có độ dài không xác định được mã theo cặp giá trị length/value theo hệ thập lục phân

Để định vị và giải mã các nhóm và thành phần dữ liệu lưu trong các nhóm đã ghi bởi cơ quan cấp hộ chiếu, đầu đọc dựa vào phần thông tin

Header trong tệp EF.COM (Hình 1.9) Việc xác định nhóm dữ liệu nào có

trong chíp căn cứ vào thông tin Data Group Presence Map chứa trong tệp EF.COM thông qua các thẻ TAG, mỗi thẻ chỉ định vị trí lưu trữ nhóm thông

tin tương ứng (Hình 1.10)

Hình 1.9 Thông tin định vị nhóm dữ liệu lưu trong chip

Hình 1.10 Thông tin chỉ thị sự tồn tại của nhóm dữ liệu trong chip

Với các thành phần dữ liệu trong mỗi nhóm (trường thông tin), đầu đọc cũng nhận diện sự tồn tại của chúng thông qua Data Element Presence Maps,

và định vị trí lưu trữ dữ liệu thông qua các thẻ TAG [5]

Hình 1.11 Thông tin chỉ thị sự tồn tại thành phần dữ liệu trong một nhóm

Hình 1.12 Thông tin xác định vị trí thành phần dữ liệu trong nhóm

3 Các đặc trƣng sinh trắc

Trong quy trình xác thực hộ chiếu điện tử, chúng tôi chú trọng đến việc

sử dụng cả ba đặc trưng sinh trắc đã được nêu trong tài liệu 9303 của ICAO,

đó là ảnh mống mắt, ảnh vân tay và ảnh khuôn mặt của người mang hộ chiếu

3.1 Ảnh khuôn mặt

Trong các đặc trưng sinh trắc học của con người được sử dụng vào các

hệ thống bảo mật, nhận dạng cá nhân… thì khuôn mặt được nghiên cứu đầu tiên và lâu đời nhất Tuy nhiên, việc phát triển các mô hình tính toán để nhận dạng mặt là khá khó khăn bởi vì khuôn mặt thì phức tạp và có nhiều tác nhân kích thích Bởi vậy để phát triển một hệ thống nhận dạng mặt phải yêu cầu rất nhiều kỹ thuật thị giác

Trong hệ thống xác thực hộ chiếu điện tử, ảnh khuôn mặt được lưu vào vùng dữ liệu DG2 sau khi đã mã hóa Định dạng ảnh là JPEG hoặc JPEG2000, kích thước ảnh phải đảm bảo bé hơn 20Kb Tại các điểm xuất nhập cảnh sẽ có các camera chuyên dụng để quét ảnh khuôn mặt của mỗi người Để các ảnh này phù hợp với các ứng dụng sinh trắc, chúng phải thoả mãn các tiêu chuẩn đặt ra như trên

Hình 1.13 Camera thu ảnh khuôn mặt

3.2 Ảnh vân tay

Vân tay là một trong những dấu hiệu sinh học tự nhiên và độc nhất đối với mỗi người Xác suất hai dấu vân tay của hai anh (chị) em sinh đôi cùng trứng có cùng bộ dấu vân tay là 1 trên 64 tỉ Ngay cả các ngón trên cùng bàn tay cũng có vân khác nhau Dấu vân tay của mỗi người là không đổi trong suốt cuộc đời, người ta có thể làm phẫu thuật thay da ngón tay, nhưng chỉ sau một thời gian, dấu vân tay lại được phục hồi lại như ban đầu Chính vì vậy, xác thực sinh trắc dấu vân tay là một quá trình xác thực định danh người dùng rất phổ biến và hiệu quả, thường được sử dụng tại các sân bay hay các điểm xuất nhập cảnh (trong HCST)

Hình 1.14 Một số cách thu nhận dấu vân tay

Một hệ thống tự động nhận dạng vân tay cần phải thõa mãn hai yêu cầu đặt ra:

 Hệ thống phải tự động so sánh hai dấu vân tay và đưa ra quyết định rằng hai dấu vân tay đó có phải là một hay không

 Hệ thống phải áp dụng các kỹ thuật có ý nghĩa cải tiến nhằm tăng khả năng phân loại và nhận biết một số lượng lớn vân tay trong thời gian tìm kiếm là ngắn nhất và độ chính xác là cao

Cùng với ảnh khuôn mặt và dấu vân tay thì sử dụng sinh trắc mống mắt cũng là một giải pháp rất hữu hiệu trong việc nhận dạng cá nhân con người Tại các điểm xuất nhập cảnh hoặc các điểm kiểm tra, người dùng đứng trước một camera để chụp hình hoặc sử dụng tia laser để thu được ảnh mống mắt

Hình 1.16 Camera thu ảnh mống mắt

Vết lõm mống mắt

Vùng đồng tử Vùng mao Vòng nhỏ

4 An ninh/An toàn

4.1 Các nguy cơ đối với RFID

Vấn đề bảo mật thông tin lưu trong thẻ nhớ phi tiếp xúc của HCST chủ yếu liên quan đến những nguy cơ chính của công nghệ RFID Có 5 nguy cơ mất an toàn đối với công nghệ RFID như sau [4] :

 Clandestine tracking: Nguy cơ này liên quan đến định danh của thẻ

RFID Việc xác định được định danh của thẻ phi tiếp xúc cho phép xác định được nguồn gốc của HCST, chẳng hạn như quốc tịch của người mang hộ chiếu

 Skimming and Cloning: Khi dữ liệu trong chip RFID bị rò rỉ, nó cho

phép nhân bản chip RFID để tạo ra một HCST mới Đây là một trong những nguy cơ nghiêm trọng cần phải được chú ý trong suốt quá trình phát hành và sử dụng HCST

 Eavesdropping: Nguy cơ nghe lén thông tin luôn được coi là nguy

cơ có tính nguy hiểm nhất trong vấn đề bảo mật HCST Nguy cơ này diễn ra trong quá trình đầu đọc hộ chiếu đọc dữ liệu từ chip RFID Những thông tin được truyền giữa chip và đầu đọc có thể bị nghe lén trong một khoảng cách nhất định Hiệu ứng lồng Faraday đối với HCST cũng không thể ngăn chặn được nguy cơ này Tại các điểm xuất nhập cảnh, việc kiểm soát nguy cơ này có thể thực hiện được khi làm tốt việc kiểm tra tự động những thiết bị đọc thẻ RFID khác

 Biometric data-leakage: Nguy cơ lộ dữ liệu sinh trắc Nguy cơ này

liên quan mật thiết đến vấn đề đảm bảo an toàn đối với dữ liệu sinh trắc nói riêng và toàn bộ dữ liệu lưu trong chip nói chung

 Cryptographic Weaknesses: Nguy cơ này liên quan đến mô hình

đảm bảo an toàn, bảo mật thông tin lưu trong chip RFID Việc sử dụng các kỹ thuật đảm bảo an toàn bảo mật dữ liệu phải đảm bảo giải quyết được những vấn đề đặt ra liên quan đến 4 nguy cơ nêu trên

4.2 Cơ chế xác thực HCST

Tài liệu mô tả về HCST của ICAO [5] đề cập đến các cơ chế bảo mật cho HCST gồm:

 Xác thực thụ động (Passive Authentication)

Mục đích là để kiểm tra tính xác thực và toàn vẹn của thông tin lưu trong chip RFID thông qua việc kiểm tra chữ ký của cơ quan cấp hộ chiếu trên các thông tin lưu trong chip

 Xác thực chủ động (Active Authentication)

Mục đích để tránh sao chép và thay thế chip trong hộ chiếu điện tử Về bản chất xác thực chủ động là một giao thức Thách đố - Trả lời giữa chip RFID và đầu đọc

 Kiểm soát truy cập cơ sở (Basic Access Control - BAC)

Mục đích để chống đọc lén thông tin trong chip và nghe trộm thông tin truyền giữa chip RFID và đầu đọc

Nếu không có cơ chế BAC thì một đầu đọc bất kỳ theo chuẩn ISO/IEC

14443 đều có thể đọc nội dung thông tin lưu trong chip RFID Như vậy sẽ không đảm bảo yêu cầu bảo vệ thông tin cá nhân Hơn thế nữa, BAC còn giúp

mã hoá dữ liệu truyền giữa đầu đọc và chip RFID để tránh nghe lén thông tin trên đường truyền

 Kiểm soát truy cập mở rộng (Extended Access Control - EAC)

Mục đích của EAC để tăng cường bảo vệ các thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc phục hạn chế của quá trình xác thực chủ động Cơ chế này bao gồm hai quá trình:

- Xác thực chip (Chip Authentication)

- Xác thực đầu đọc (Terminal Authentication) Tuy nhiên ICAO chỉ đề cập đến cơ chế này dưới dạng mở để các quốc gia, giới khoa học tiếp tục nghiên cứu bổ sung Và cơ chế này đã được sử dụng bắt đầu từ mô hình HCST thế hệ thứ hai

Ngoài các cơ chế xác thực trên, trong mô hình thế hệ HCST thứ ba sử

cơ chế xác thực mới Đó là:

 Cơ chế xác thực PACE (Password Authenticated Connection

Establishment)

Mục đích để xác thực xem đầu đọc có quyền truy cập vào dữ liệu của HCST hay không Cơ chế này có thể được dùng để thay thế BAC

Tuỳ từng thế hệ HCST mà các cơ chế xác thực trên được sử dụng một cách hợp lý Chi tiết sẽ được chỉ ra trong chương 2, mục 3

4.3 Một số hệ mật

Trong quy trình xác thực HCTS, vấn đề đảm bảo an ninh/an toàn cho hộ chiếu luôn được đặt lên hàng đầu Ngoài các công nghệ, các cơ chế xác thực được sử dụng trong mô hình xác thực HCST nhằm đảm bảo yêu cầu nêu trên, thì việc lựa chọn một hệ mật phù hợp là một yêu cầu hết sức quan trọng

Hệ mật mã dựa trên đường cong Eliptic (ECC) đã được sử dụng trong bài toán đảm bảo an toàn thông tin HCST Đây là hệ mật khóa công khai, dùng hai khóa khác nhau cho quá trình mã hóa và giải mã thông tin Ngoài các

ưu điểm của hệ mật mã khóa công khai là sử dụng hai khóa khác biệt, không suy ra được từ nhau nên rất thuận tiện cho việc trao đổi khóa, có thể áp dụng

để ký số… thì hệ mật ECC còn có tốc độ tính toán nhanh, phù hợp cho các thiết bị tính toán có năng lực xử lý yếu nên được áp dụng cho HCST Chính vì thế, sử dụng hệ mật ECC là điều kiện tiên quyết đảm bảo hiệu năng của mô hình xác thực HCST

Certicom Corporation 1 đã chứng minh rằng, nếu có các lựa chọn đường cong elliptic phù hợp thì tốc độ thực hiện của các hệ mật trên ECC nhanh gấp

10 lần so với hệ mật khoá công khai rất nổi tiếng RSA Certicom đưa ra kết luận này khi thực thi các thuật toán trên đường cong elliptic trên trường hữu hạn nhị phân Các so sánh tập trung vào 3 đặc điểm:

 Độ an toàn (Security)

 Tính hiệu quả (Efficiency): Độ phức tạp tính toán khi thực hiện

 Không gian lưu trữ (Space requirements): Không gian cần thiết

để lưu trữ khóa cũng như các tham số khác của hệ mật đó

Việc sử dụng hệ mật trên ECC kết hợp với cơ sở hạ tầng khoá công khai (xem ở chương 2), vấn đề an toàn bảo mật dữ liệu trong HCST được đảm bảo

để chống lại năm nguy cơ đã nêu ở 4.1

5 Tổng kết

Chương 1, tác giả đã trình bày những tổng quan cơ bản nhất của HCST, bao gồm: khái niệm, cấu trúc và tổ chức dữ liệu trong HCST Ngoài ra tác giả cũng đã trình bày các đặc trưng sinh trắc được sử dụng trong HCST là ảnh khuôn mặt, ảnh vân tay và ảnh mống mắt Phần cuối chương tác giả nêu ra các nguy cơ tấn công xảy ra đối với chip RFID, đồng thời đưa ra các cơ chế xác thực đã được nêu ra và sử dụng trong các mô hình xác thực HCST qua các thế

hệ, kết hợp với việc sử dụng hệ mật đường cong Elliptic (ECC) nhằm đảm bảo đặc tính an toàn/an ninh cho HCST

Chương 2 tác giả sẽ đi sâu vào nghiên cứu các mô hình xác thực HCST qua ba thế hệ, và đề xuất ra mô hình xác thực HCST sử dụng hai cơ chế PACE (Password Authenticated Connection Establishment) và EAC (Extended Access Control)

CHƯƠNG 2: MÔ HÌNH XÁC THỰC HỘ CHIẾU

1 Mục đích, yêu cầu

Vấn đề bảo mật trong các quy trình cấp phát, kiểm duyệt HCST luôn là một trong những vấn đề tối quan trọng đối với an ninh quốc gia Vấn đề này cần phải thoả được 6 yêu cầu sau đây:

a) Tính chân thực: Cơ quan cấp hộ chiếu phải ghi đúng thông tin của

người được cấp hộ chiếu, không có sự nhầm lẫn trong quá trình ghi thông tin khi cấp hộ chiếu Trong khuôn khổ luận văn này, giả thiết mục tiêu này luôn được đảm bảo

b) Tính không thể nhân bản: Mục tiêu này phải đảm bảo không thể tạo

ra bản sao chính xác của RFIC

c) Tính nguyên vẹn và xác thực: Cần chứng thực tất cả thông tin lưu

trên trang dữ liệu và trên RFIC do cơ quan cấp hộ chiếu tạo ra (xác thực) Hơn nữa cần chứng thực thông tin đó không bị thay đổi từ lúc được lưu (nguyên

vẹn)

d) Tính liên kết người - hộ chiếu: Cần phải chứng minh rằng HCST

thuộc về người mang nó hay nói một cách khác các thông tin trong hộ chiếu

mô tả con người sở hữu hộ chiếu

e) Tính liên kết hộ chiếu – chip: Cần phải khẳng định booklet khớp với

mạch RFIC nhúng trong nó

f) Kiểm soát truy cập: Đảm bảo việc truy cập thông tin lưu trong chip

phải được sự đồng ý của người sở hữu nó, hạn chế truy cập đến các thông tin sinh trắc học nhạy cảm và tránh mất mát thông tin cá nhân

Mô hình bảo mật HCST sẽ dựa trên hạ tầng khoá công khai (Public Key Infrastructure - PKI) nhằm đảm bảo quá trình xác thực cũng như sự toàn vẹn thông tin trong HCST Các phần còn lại của chương này được tổ chức như sau: đưa ra quy trình chung của quá trình xác thực HCST, phần ba tìm hiểu hạ tầng khoá công khai sử dụng trong mô hình; phần tiếp theo sẽ nghiên cứu các phiên bản của HCST, từ đó đề xuất mô hình xác thực HCST sử dụng cơ chế PACE và EAC sẽ được trình bày trong phần năm Phần cuối cùng được dành

để đánh giá mô hình đề xuất

2 Quy trình chung

Kiểm tra hộ chiếu hay xác thực hộ chiếu là quá trình được thực hiện tại các điểm làm thủ tục xuất nhập cảnh Quá trình này thực hiện nhằm: (1) kiểm tra xác định hộ chiếu là thật hay giả, (2) hộ chiếu đó có phải là hộ chiếu của người đang làm thủ tục xuất nhập cảnh hay không, (3) người làm thủ tục có thuộc diện cấm nhập cảnh hoặc xuất cảnh không Trong phạm vi luận văn này tác giả chỉ tập trung vào hai mục đích (1) và (2) Quy trình thực hiện như sau:

 B1: Người mang hộ chiếu xuất trình hộ chiếu cho cơ quan kiểm tra, cơ

quan tiến hành thu nhận các đặc tính sinh trắc học từ người xuất trình hộ chiếu

 B2: Kiểm tra các đặc tính bảo mật trên trang hộ chiếu giấy thông qua các

đặc điểm an ninh truyền thống đã biết: thuỷ ấn, dải quang học, lớp bảo vệ ảnh… Nếu không thoả mãn thì chuyển sang bước 5

 B3: Tiến hành so khớp dữ liệu lưu trong RFID và vùng MRZ Nếu không

khớp, chuyển sang bước 5

 B4: Tiến hành so khớp những đặc trưng sinh trắc đã lưu trong RFID với

những đặc trưng thu trích trực tiếp từ người mang hộ chiếu Quá trình này

là so khớp 1-1 với những đặc trưng cụ thể là ảnh hai vân tay, ảnh mặt người, và ảnh mống mắt Nếu kết quả so sánh hợp lệ, người mang HCST chính là chủ hộ chiếu đó, và quy trình xác thực kết thúc với kết quả hợp lệ Nếu không, chuyển sang bước 5

 B5: Tiến hành kiểm tra đặc biệt

3 Hạ tầng khoá công khai (Public Key Infrastructure - PKI)

Với sự phát triển nhanh chóng của Internet và công nghệ thông tin như hiện nay, ngày càng xuất hiện nhiều nguy cơ mất an toàn dữ liệu Các thông tin truyền đều có thể bị nghe trộm, bị làm giả, mạo danh… với các thủ đoạn ngày càng tinh vi

Chính vì thế, để quy trình xác thực HCST được diễn ra một cách bảo mật và an toàn, đảm bảo tính nguyên vẹn và xác thực của thông tin cá nhân lưu trong chip RFID, thì hạ tầng khóa công khai (Public Key Infrastructure

- PKI) là một trong những giải pháp tốt nhất cần được triển khai Đây là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng chỉ số

CA) cung cấp và xác thực định danh của các bên tham gia vào quá trình trao đổi thông tin

Hạ tầng khoá công khai triển khai phải đáp ứng được các quá trình dưới đây

- Đối với HCST thế hệ thứ 2 thì PKI phải đảm bảo được hai quá trình: Xác thực thụ động (Passive Authentication) và Xác thực đầu cuối (Terminal Authentication)

- Đối với ePassport thế hệ thứ 3 thì PKI phải đảm bảo được hai quá trình: Xác thực thụ động (Passive Authentication) và Xác thực Chip (Chip Authentication)

Do vai trò chức năng khác nhau giữa chứng chỉ dùng cho Passive Authentication và Terminal (Chip) Authentication nên có riêng các chứng chỉ phục vụ các mục đích khác nhau này Việc trao đổi chứng chỉ của cơ quan cấp hộ chiếu giữa các quốc gia sẽ được thực hiện bằng đường công hàm và thông qua danh mục khoá công khai của ICAO

3.1 Danh mục khoá công khai

ICAO tổ chức mô hình danh mục khoá công khai - PKD (Public Key Directory) lưu trữ tập trung, phân phối chứng chỉ (chứa khoá công khai), danh sách chứng chỉ thu hồi – CRL (Certificate Revocation List) đến các

cơ quan thành viên

Hình 2.1 Danh mục khóa công khai

Với ý tưởng này, mỗi quốc gia có một cơ quan cấp chứng chỉ số quốc gia (ký hiệu là CSCA - Country Signing Certificate Authority), với khóa bí

mật là KPr CSCA và khóa công khai là KPu CSCA Những khoá này được sử dụng để chứng thực cho chứng chỉ của cơ quan cấp hộ chiếu (ký hiệu là

Thư mục khoá công khai (Public Key Directory – PKD) là nơi tập

trung các chứng chỉ (C DS ) của cơ quan cấp hộ chiếu, ICAO sẽ tập hợp chứng chỉ của các quốc gia thành viên và quản lý, cung cấp trực tuyến

3.2 Mô hình PKI ứng dụng trong HCST

Các thành phần trong HCST PKI gồm [16] :

 CSCA (Country Verifying Certificate Authorities) cùng với CVCA (Country Verifying Certificate Authority): là CA (Cerfiticate Authority) cấp quốc gia

 DV (Document Verifier): Cơ quan thẩm tra hộ chiếu

 IS (Inspection System): Hệ thống thẩm tra

Hạ tầng khoá công khai có một cấu trúc tầng Tầng cao nhất tương ứng với mỗi quốc gia được gọi là CSCA CSCA sinh và lưu giữ cặp khoá

(KPu CSCA , KPr CSCA ) Khoá bí mật của CSCA (KPr CSCA ) được dùng để ký

mỗi chứng chỉ Document Verifier (C DV ) do quốc gia đó hay quốc gia khác quản lý Trong mỗi quốc gia có nhiều DV Mỗi DV sinh và lưu trữ một cặp

khoá (KPu DV , KPr DV ) Khoá bí mật của DV (KPr DV ) được dùng để ký mỗi

chứng chỉ đầu đọc (C IS ) và SO D trong mỗi HCST mà nó phát hành Để chia

sẻ các chứng chỉ DV (C DV ) giữa các quốc gia, ICAO cung cấp một danh mục khoá công khai PKD (Public Key Directory) PKD chỉ lưu trữ các

chứng chỉ của DV (C DV ) đã được ký, chính vì vậy nó còn được gọi là kho chứa các chứng chỉ Kho chứa này có sẵn ở mỗi quốc gia và được cấp quyền bảo vệ cấm đọc Danh sách thu hồi chứng chỉ CRL (Certificate Revocation List) cũng có thể được lưu trữ trong cùng danh mục khoá công khai PKD Mỗi quốc gia có trách nhiệm cập nhật thường xuyên các chứng chỉ và CRL bằng cách lấy chúng từ PKD Mỗi lần làm như vậy, mỗi quốc gia phân phối thông tin mới lấy được đến cho mỗi DV và IS trong thẩm quyền của nó