TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
Tổng quan cơ sở hạ tầng mã hóa công khai
1.1.1 Giới thiệu hệ thống mã hóa
Hệ thống mã hóa đã phát triển từ những ký hiệu đặc trưng của các dân tộc và nhóm người, cho đến nay, các kỹ thuật mã hóa đã tiến bộ đáng kể để đáp ứng nhu cầu bảo mật dữ liệu trong kỷ nguyên công nghệ.
Hệ thống mã hóa là một bộ năm M, C, K, E, D trong đó:
M (Message): Tập hữu hạn các bản rõ
C (Ciphertext): Tập hữu hạn các bản mã
E (Encryption): Tập hữu hạn các quy tắc mã hóa
D (Decryption): Tập hữu hạn các quy tắc giải mã
Mã hóa là quá trình sử dụng thuật toán và khóa bí mật để chuyển đổi thông tin thành chuỗi ký tự khó hiểu, nhằm bảo vệ nội dung chỉ cho người gửi và người nhận có thể đọc Khoa học nghiên cứu về mã hóa được gọi là mật mã, trong đó quá trình biến đổi bản rõ (plain text) thành bản mã (ciphertext) được gọi là mã hóa, và quá trình ngược lại là giải mã.
Hình 1.1: Quá trình mã hóa và giải mã
1.1.2 Thuật toán mã hóa cổ điển
Các thuật toán mã hóa cổ điển, mặc dù không còn phổ biến hiện nay, vẫn đóng vai trò quan trọng trong lịch sử phát triển mã hóa dữ liệu Chúng là những thuật toán cơ bản, với ý tưởng được áp dụng trong các thuật toán mã hóa hiện đại Hai thuật toán cơ bản của mã hóa cổ điển là
➢ Thuật toán thay thế (Substitution)
Là phương pháp mã hóa trong đó từng kí tự hay từng nhóm kí tự được thay thế bằng một hay một nhóm kí tự khác
Ví dụ: Thuật toán CEASAR, VIGENERE, HILL,
➢ Thuật toán hoán vị (Transposition)
Là phương pháp mã hóa trong đó các kí tự trong bản rõ chỉ thay đổi cho nhau còn bản thân các kí tự không hề thay đổi
Thuật toán Rail-fence là một phương pháp mã hóa sơ khai với ưu điểm nổi bật là quy trình mã hóa và giải mã dễ dàng, giúp người dùng dễ dàng áp dụng trong thực tế.
Nhược điểm của phương pháp này là nó dễ bị phá vỡ do có thể tính toán xác suất xuất hiện của các chữ cái, kết hợp với kiến thức ngôn ngữ và sự hỗ trợ từ các máy tính tốc độ cao hiện nay.
1.1.3 Thuật toán mã hóa hiện đại
Thuật toán mã hóa hiện đại kế thừa ý tưởng và mục tiêu từ các thuật toán mã hóa cổ điển, đồng thời đã có những bước phát triển quan trọng để nâng cao mức độ bảo mật.
Thuật toán mã hóa đối xứng là phương pháp sử dụng một khóa duy nhất cho cả quá trình mã hóa và giải mã, đòi hỏi khóa này phải được bảo mật để đảm bảo an toàn Phương pháp này rất hiệu quả cho việc mã hóa dữ liệu cá nhân hoặc của tổ chức, nhưng gặp hạn chế khi thông tin cần chia sẻ với bên thứ ba.
Khi Alice gửi thông điệp mã hóa cho Bob mà không thông báo trước về khóa bí mật và thuật toán mã hóa, Bob sẽ không thể giải mã và không thể phản hồi Do đó, Alice cần phải cung cấp khóa bí mật và thuật toán mã hóa trước đó, có thể thông qua các phương tiện trao đổi thông tin Điều này dẫn đến nguy cơ bị kẻ thứ ba đánh cắp khóa bí mật hoặc thuật toán mã hóa.
Mã hóa đối xứng có thể chia ra làm hai nhóm phụ:
Thuật toán khối (Block ciphers) là phương pháp mã hóa trong đó mỗi khối dữ liệu của văn bản gốc được thay thế bằng một khối dữ liệu khác có độ dài tương đương Độ dài của mỗi khối, được gọi là kích thước khối (block size), thường được đo bằng đơn vị bit.
Thuật toán dòng (Stream ciphers) là phương pháp mã hóa dữ liệu theo từng bit một, cho phép xử lý nhanh chóng và hiệu quả hơn so với thuật toán khối Phương pháp này thường được sử dụng khi dữ liệu cần mã hóa chưa được xác định trước.
Mã hóa bất đối xứng, được giới thiệu bởi Diffie và Hellman vào năm 1976, giải quyết vấn đề phân phối và thỏa thuận khóa của mã hóa đối xứng thông qua khái niệm mã hóa khóa công khai Phương pháp này cho phép tạo ra một khóa bí mật chung, với tính an toàn được đảm bảo bởi độ khó của bài toán "Logarit rời rạc" Hệ mã hóa này sử dụng một cặp khóa: khóa công khai (Public key) để mã hóa và khóa bí mật (Private key) để giải mã Bất kỳ ai cũng có thể sử dụng khóa công khai để mã hóa thông tin, nhưng chỉ người sở hữu khóa bí mật mới có thể giải mã thông tin đó.
Quá trình truyền và sử dụng mã hóa khóa công khai được thực hiện như sau:
• Bên gửi yêu cầu cung cấp hoặc tự tìm khóa công khai của bên nhận trên một máy chủ chịu trách nhiệm quản lí khóa;
• Sau đó bên gửi sử dụng khóa công khai của bên nhận cùng với thuật toán đã thống nhất để mã hóa thông tin được gửi đi;
• Khi nhận được thông tin đã mã hóa, bên nhận sử dụng khóa bí mật của mình để giải mã và lấy ra thông tin ban đầu
Thuật toán mã hóa bất đối xứng có nhiều ưu điểm trong bảo mật dữ liệu, nhưng nhược điểm lớn nhất là tốc độ chậm Vì vậy, trong thực tế, người ta thường áp dụng hệ thống lai, trong đó dữ liệu được mã hóa bằng thuật toán đối xứng Chỉ khi có được khóa, dữ liệu mới được mã hóa thêm bằng thuật toán bất đối xứng.
Một số thuật toán mã hóa bất đối xứng:
Thuật toán One-time Pad (OTP), xuất hiện từ đầu thế kỷ XX, là phương pháp mã hóa duy nhất được chứng minh lý thuyết là không thể bị phá vỡ, ngay cả khi có tài nguyên vô hạn, giúp chống lại các cuộc tấn công vét cạn (Brute-force) Để đảm bảo mức độ bảo mật tối ưu của OTP, cần thỏa mãn tất cả các điều kiện nhất định.
- Độ dài của khóa đúng bằng độ dài văn bản cần mã hóa;
- Khóa chỉ được dùng một lần;
- Khóa phải là một số ngẫu nhiên liên tục
Việc tạo lập và lưu trữ khóa có độ dài mong muốn gặp nhiều khó khăn, khiến cho việc sử dụng OTP trong thực tế trở nên không khả thi.
DES là một thuật toán mã hóa khối với kích thước khối 64 bit và kích thước khóa 56 bit, được phát triển từ thuật toán Lucifer của IBM Vào cuối năm 1976, DES được chọn làm tiêu chuẩn mã hóa dữ liệu của Mỹ và nhanh chóng trở nên phổ biến toàn cầu Sau 20 năm nghiên cứu, thuật toán này đã được kiểm tra và phân tích kỹ lưỡng, cho thấy nó an toàn trước nhiều loại tấn công.
Hạ tầng khóa công khai PKI
Mã hóa khóa công khai là công nghệ quan trọng trong thương mại điện tử, mạng nội bộ và các ứng dụng web Để tận dụng tối đa lợi ích của mã hóa công khai, việc xây dựng một hạ tầng cơ sở vững chắc là điều cần thiết.
Mục đích của hạ tầng khóa công khai PKI (Public Key Infrastructure) là tạo điều kiện thuận lợi cho người dùng trong việc sử dụng mã hóa khóa công khai PKI đóng vai trò quan trọng trong việc cung cấp và xác thực danh tính của các bên tham gia trong quá trình trao đổi thông tin.
Những hệ thống PKI khác nhau thì có chức năng khác nhau nhưng nhìn chung thì PKI có hai chức năng cơ bản sau:
Chứng thực (Certification) là chức năng quan trọng nhất trong PKI, liên quan đến việc ràng buộc khóa công khai với định danh của thực thể Trong hệ thống PKI, chứng thực được thực hiện bởi CA (Certificate Authority) Có hai phương pháp chứng thực chính được áp dụng.
- Tổ chức chứng thực CA tạo ra cặp khóa công khai, khóa bí mật và tạo ra chứng thư số cho phần khóa công khai của cặp khóa
Người dùng tự tạo cặp khóa và cung cấp khóa công khai cho CA để nhận chứng thư số Chứng thư này đảm bảo tính toàn vẹn của khóa công khai và các thông tin liên quan.
Thẩm tra (Verification) là quá trình xác thực chứng thư số để đảm bảo rằng nó được sử dụng đúng mục đích và kiểm tra tính hiệu lực của chứng thư Quá trình này bao gồm nhiều bước quan trọng.
- Kiểm tra liệu chứng thư số có đúng do CA được tin tưởng ký lên hay không;
- Kiểm tra chữ ký số của CA trên chứng thư số để kiểm tra tính toàn vẹn;
- Xác định xem chứng thư số còn hiệu lực hay không;
- Xác định xem chứng thư số đã bị thu hồi hay chưa;
- Xác định xem chứng thư số có đang được sử dụng đúng mục đích hay không
Ngoài hai chức năng chính, PKI còn cung cấp các chức năng bổ sung như đăng ký chứng thư số, tạo và khôi phục cặp khóa công khai và bí mật, cập nhật khóa, cũng như thu hồi chứng thư số.
1.2.2 Các thành phần của PKI
Một PKI sẽ bao gồm:
Cơ quan cấp chứng thư số (CA) quản lý chứng thư số khóa công khai dựa trên hạ tầng PKI, đảm bảo an toàn và hiệu quả trong suốt vòng đời của chứng thư.
Cơ quan đăng ký RA đóng vai trò quan trọng trong việc tạo ra giao diện giữa người sử dụng và CA, nơi mà RA thu thập và xác thực các đặc điểm nhận dạng của người dùng Quá trình này bao gồm việc trình yêu cầu cấp chứng thư số tới CA, và chất lượng của xác thực sẽ ảnh hưởng trực tiếp đến mức độ tin cậy của chứng thư số.
Thực thể cuối trong PKI thường là người sử dụng hệ thống, nhưng cũng có thể là thiết bị hoặc chương trình phần mềm.
Hệ thống phân phối chứng thư số có thể được thực hiện qua nhiều phương thức khác nhau, tùy thuộc vào cấu trúc và môi trường của Hạ tầng khóa công khai (PKI) Có hai hình thức chính trong việc phân phối chứng thư số, bao gồm phân phối cá nhân và phân phối công khai.
1.2.3 Các mô hình tin cậy của PKI
Mô hình CA đơn là tổ chức cơ bản và đơn giản nhất trong hệ thống PKI, với một CA duy nhất xác nhận tất cả các thực thể cuối Mỗi người dùng trong miền này nhận khóa công khai từ CA gốc (root CA) thông qua một cơ chế nhất định.
Mô hình này không yêu cầu xác thực chéo và cung cấp một điểm duy nhất để người dùng kiểm tra trạng thái thu hồi của chứng thư số Ngoài ra, mô hình có thể được mở rộng bằng cách bổ sung các RA gần với các nhóm người đồng cụ thể, mặc dù ở xa CA.
Drive\\Documents\\Project s\\GAUME\\media\\image
Drive\\Documents\\Project s\\GAUME\\media\\image
Drive\\Documents\\Project s\\GAUME\\media\\image
Hình 1.2 : Mô hình CA đơn
Mô hình CA đơn là một giải pháp dễ dàng triển khai, giúp giảm thiểu các vấn đề về khả năng tương tác Tuy nhiên, nó cũng tồn tại một số nhược điểm cần lưu ý.
• Không tích hợp cho miền PKI lớn;
• Việc quản trị và số lượng công việc kỹ thuật để vận hành CA đơn là rất lớn;
• Do chỉ có một CA nên sẽ gây ra thiếu khả năng hoạt động và đây dễ trở thành mục tiêu tấn công
Mô hình này thiết lập một cấu trúc phân cấp giữa các Chứng thực viên (CA), trong đó CA gốc xác nhận các CA cấp dưới, và các CA cấp dưới tiếp tục xác nhận các CA cấp thấp hơn Đáng lưu ý, các CA cấp dưới không cần phải xác nhận các CA cấp trên của chúng.
Trong mô hình PKI này, mỗi thực thể lưu giữ bản sao khóa công khai của CA gốc và thực hiện việc kiểm tra đường dẫn chứng chỉ từ chữ ký của CA gốc, đây là mô hình tin cậy đầu tiên trong PKI.
Hàm băm
Hàm băm (hash function) là một công cụ tạo ra các giá trị băm tương ứng với mỗi khối dữ liệu, như chuỗi ký tự hay đoạn tin nhắn Giá trị băm hoạt động như một khóa để phân biệt các khối dữ liệu, mặc dù hiện tượng trùng khóa (đụng độ) có thể xảy ra Để giảm thiểu tình trạng này, các thuật toán hàm băm liên tục được cải tiến Hàm băm thường được ứng dụng trong bảng băm, giúp giảm chi phí tính toán khi tìm kiếm khối dữ liệu trong tập hợp, nhờ vào việc so sánh giá trị băm nhanh hơn so với so sánh các khối dữ liệu có kích thước lớn.
Hàm băm là một chức năng chuyển đổi dữ liệu từ không gian bản rõ có độ dài tùy ý sang không gian giá trị với độ dài cố định Cả không gian bản rõ và không gian giá trị đều được coi là các chuỗi bit nhị phân.
Hàm băm một chiều là công cụ quan trọng trong các sơ đồ ký số, giúp giảm dung lượng dữ liệu khi truyền qua mạng Nó thực hiện việc băm thông điệp dựa trên một thuật toán nhất định, sau đó tạo ra một văn bản có kích thước cố định.
Hình 1.5: Mô hình sử dụng hàm băm Ứng dụng của hàm băm: Hàm băm có một số ứng dụng quan trọng
• Chống và phát hiện xâm nhập trái phép;
• Bảo vệ tính toàn vẹn của thông điệp; • Tạo chìa khóa từ mật khẩu;
• Tạo chữ ký điện tử
Một số thuật toán thường sử dụng:
Có rất nhiều thuật toán được sử dụng dùng để băm thông điệp Một số thuật toán băm thông dụng:
• Secure Hash Algorithm (SHA -1) với 160 bit giá trị băm
• Message Digest 2 (MD2) với 128 bit giá trị băm • Message Digest 4 (MD4) với 128 bit giá trị băm
• Message Digest 5 (MD5) với 128 bit giá trị băm.
Chữ ký số
1.4.1 Giới thiệu chữ ký số
Chữ ký số là một phần của chữ ký điện tử, sử dụng kỹ thuật mã hóa với khóa công khai Mỗi cá nhân sở hữu một cặp khóa, bao gồm khóa bí mật và khóa công khai; khóa bí mật luôn được giữ kín, trong khi khóa công khai có thể được sử dụng tự do Để gửi thông điệp bí mật, người gửi mã hóa thông điệp bằng khóa công khai của người nhận, và người nhận sẽ giải mã bằng khóa bí mật của mình Chữ ký điện tử là thông tin được mã hóa bằng khóa riêng của người gửi, kèm theo văn bản, nhằm xác thực danh tính và nguồn gốc của tài liệu Nó chứng minh rằng văn bản đã được ký bởi người sở hữu khóa riêng tương ứng với chứng chỉ điện tử.
Chữ ký số khóa công khai là một mô hình sử dụng kỹ thuật mật mã để gắn mỗi người dùng với một cặp khóa công khai và bí mật, cho phép ký các văn bản điện tử và trao đổi thông tin bảo mật Khóa công khai thường được phân phối qua chứng thực khóa công khai Quy trình sử dụng chữ ký số bao gồm hai bước chính: tạo chữ ký và kiểm tra chữ ký.
Chữ ký số là đoạn dữ liệu ngắn được gắn với văn bản gốc nhằm xác thực tác giả và cho phép người nhận kiểm tra tính toàn vẹn của văn bản.
Chữ ký số được hình thành từ hai quá trình chính: đầu tiên, dữ liệu được băm để tạo ra giá trị băm, sau đó giá trị này được mã hóa bằng thuật toán mã hóa bất đối xứng sử dụng cặp khóa công khai và khóa bí mật Cuối cùng, chữ ký số được gắn vào thông điệp cùng với bản băm.
Tính toàn vẹn của thông điệp được đảm bảo, vì việc thay đổi một bít sẽ dẫn đến sự khác biệt trong hai giá trị băm Tính xác thực của người gửi được khẳng định, khi chỉ có người gửi sở hữu khóa riêng để mã hóa bản băm Chữ ký số cũng chứng minh tính chống chối bỏ của bản gốc, vì chỉ người gửi mới có khóa riêng để thực hiện ký số.
Bob và Alice có thể trao đổi thông điệp an toàn nhờ vào xác thực thông báo, giúp bảo vệ thông tin khỏi bên thứ ba Tuy nhiên, họ không thể bảo vệ lẫn nhau, vì nếu Bob gửi một thông điệp đã được xác thực cho Alice, có thể phát sinh tranh chấp giữa họ.
Alice có khả năng làm giả một thông báo khác và tuyên bố rằng thông báo này xuất phát từ Bob Cô có thể dễ dàng tạo ra một thông báo và gắn mã xác thực bằng cách sử dụng khóa công khai của cả hai.
Bob có thể phủ nhận việc đã gửi thông báo, vì Alice có khả năng làm giả thông báo, dẫn đến việc không thể chứng minh nguồn gốc của thông điệp Để ngăn chặn những rắc rối trong việc xác thực thông điệp, cần có một phương pháp đảm bảo sự tin cậy tuyệt đối giữa người gửi và người nhận.
Và giải pháp hiệu quả nhất cho vấn để này là sử dụng chữ ký số do nó có một số khả năng sau:
• Khả năng xác thực tác giả và thời gian ký
• Khả năng xác thực nội dung tại thời điểm ký
Các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các tranh chấp
Chữ ký số không chỉ đơn thuần là một công cụ mà còn đóng vai trò quan trọng trong việc xác thực thông tin Để đảm bảo hiệu quả, chữ ký số cần đáp ứng các yêu cầu cơ bản sau đây.
• Chữ ký phải là một mẫu bit phụ thuộc vào thông báo được ký
• Chữ ký phải sử dụng một thông tin duy nhất nào đó từ người gửi, nhằm ngăn chặn tình trạng làm giả và chối bỏ
• Tạo ra chữ ký số dễ dàng
Việc làm giả chữ ký số là rất khó khăn, vì không thể tạo ra một thông báo mới cho một chữ ký số đã tồn tại hoặc tạo ra chữ ký số giả cho một thông báo đã được xác định trước.
• Chữ ký số có thể được sao lưu
Quá trình ký được thực hiện theo các bước sau:
Bước 1: Dùng giải thuật băm để thay đổi thông điệp truyền đi Kết quả thu được là một bản băm có chiều dài 160 bits (dùng giải thuật SHA)
Bước 2: Sử dụng khóa bí mật của người nhận để mã hóa bản băm đã được tạo ra ở bước trước Thông thường, thuật toán RSA được áp dụng cho quá trình này Kết quả cuối cùng được gọi là chữ ký số của thông điệp.
Bước 3: Kết hợp chữ ký số với thông điệp gốc, quá trình này được gọi là ký nhận thông điệp Sau khi ký, mọi thay đổi đối với thông điệp ban đầu sẽ được phát hiện trong quá trình kiểm tra.
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image9.j peg" \* MERGEFORMAT
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image9.j peg" \* MERGEFORMAT
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image9. j peg" \* MERGEFORMAT
Hình 1.6: Quá trình ký số
1.4.3 Quá trình kiểm tra, xác thực chữ ký số
Chứng thực khóa công khai, hay còn gọi là chứng thực số, là một phương pháp xác thực trong mật mã học sử dụng chữ ký số để liên kết một khóa công khai với một thực thể như cá nhân, máy chủ hoặc công ty Một chứng thực khóa công khai điển hình bao gồm khóa công khai cùng với thông tin về thực thể sở hữu, như tên và địa chỉ Chứng thực điện tử cho phép kiểm tra quyền sở hữu của một khóa công khai nhất định.
CA phát hành chứng thực khóa công khai, xác nhận rằng khóa này thuộc về cá nhân, tổ chức, máy chủ hoặc thực thể khác Nhiệm vụ của CA là kiểm tra tính chính xác của thông tin liên quan đến thực thể được cấp chứng thực Khi người dùng tin tưởng vào CA và có thể xác minh chữ ký số của CA, họ cũng có thể tin tưởng vào khóa công khai và thực thể được ghi trong chứng thực.
Người nhận khi nhận được văn bản có kèm chữ ký số, tiến hành kiểm tra sẽ thực hiện theo các bước sau:
Bước 1: Lấy đoạn dữ liệu gốc đưa qua hàm băm đã nói ở trên, thu được một đoạn bit là kết quả băm
Bước 2: Lấy đoạn bit được mã hóa (chữ ký số), giải mã bằng khóa công khai của người gửi, thu được đoạn bit đặc trưng
Bước 3: So sánh đoạn bit vừa thu được với đoạn bit trong bước 1 Nếu hai đoạn trùng nhau, có thể khẳng định rằng dữ liệu nhận được có tính toàn vẹn và chưa bị thay đổi, đồng thời xác nhận rằng dữ liệu này thực sự do người gửi gửi đi, vì chỉ người nhận có khóa bí mật tương ứng với khóa công khai đã được sử dụng để giải mã.
Lược đồ xác thực chữ ký được mô tả bằng hình vẽ dưới đây:
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image10 jpeg" \* MERGEFORMAT INCLUDEPICTURE
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image10 jpeg" \* MERGEFORMAT INCLUDEPICTURE
"C:\\Users\\tuanl_000\\SkyDrive\\Documents\\Projects\\GAUME\\media\\image10 .jpeg" \* MERGEFORMAT
Hình 1.7: Mô hình kiểm tra, xác thực chữ ký số
1.4.4 Thuật toán chữ ký số RSA
Cho n= p*q với p, q là số nguyên tố lớn Đặt P=A= Zn
Trong đó (n,b) là công khai và (a, p, q) là bí mật
Vớí mỗi K= (n, p, q, a, b), mỗi x ϵ p, ta định nghĩa: y = sig k (x) = x a mod n, y ϵ A verk (x,y) = đúng x = y b mod n
Kết luận
Chương này của luận văn tập trung vào cơ sở mã hóa, hạ tầng khóa công khai PKI và chữ ký số, với sự chú trọng đặc biệt vào chữ ký số sử dụng thuật toán RSA, các yếu tố quan trọng trong xác thực hộ chiếu điện tử Chương tiếp theo sẽ trình bày về công nghệ RFID, hộ chiếu điện tử, tiêu chuẩn của ICAO liên quan đến hộ chiếu điện tử và phương pháp lưu trữ thông tin trong chip điện tử.
HỘ CHIẾU ĐIỆN TỬ CÁCH THỨC LƯU TRỮ VÀ XỬ LÝ THÔNG TIN TRONG CON
Hộ chiếu điện tử
2.1.1 Hộ chiếu điện tử là gì?
Hộ chiếu là giấy tờ tùy thân xác nhận quốc tịch của công dân một quốc gia, bao gồm các thông tin cơ bản như họ tên, ngày sinh, quê quán, quốc tịch, ảnh khuôn mặt, và thông tin về cơ quan cấp, ngày cấp cùng thời hạn giá trị.
Hộ chiếu điện tử (e-passport) có thiết kế tương tự như hộ chiếu truyền thống nhưng được trang bị một con chip điện tử (microchip) ở bìa sau, chứa thông tin quan trọng như họ tên, ngày sinh và số hộ chiếu Chip này sử dụng công nghệ nhận dạng tần số radio, lưu trữ ảnh kỹ thuật số và có thể bao gồm dấu vân tay của người sở hữu Đặc biệt, hộ chiếu điện tử được làm từ vật liệu đặc biệt, giúp chống lại các tác động vật lý và nhiệt độ, đảm bảo sự ổn định cho các linh kiện điện tử bên trong.
Với sự phát triển của công nghệ RFID, chip không tiếp xúc trong hộ chiếu giúp lưu trữ thông tin cá nhân, nâng cao hiệu quả quy trình cấp phát và kiểm duyệt hộ chiếu thông qua hệ thống xác thực tự động Điều này mở ra cơ hội cho mô hình “Hộ chiếu điện tử” (HCĐT) được xây dựng và phát triển.
Hiện nay, Hãng hàng không dân dụng quốc tế ICAO đã cung cấp tiêu chuẩn cho hộ chiếu điện tử nhằm đảm bảo an ninh tại các cửa khẩu và kiểm tra biên giới giữa các nước Hộ chiếu điện tử tích hợp ba công nghệ tiên tiến để nâng cao hiệu quả trong quá trình kiểm soát an ninh.
▪ Nhận dạng tần số radio (RFID)
▪ Sinh trắc (khuôn mặt, vân tav, mống mắt)
▪ Cơ sở hạ tầng khóa công khai PKI.
2.1.2 Các thành phần cơ bản của hộ chiếu điện tử
Hộ chiếu điện tử có cấu trúc tương tự như hộ chiếu thông thường, bao gồm hai phần chính: phần tài liệu với dữ liệu vật lý trong quyển hộ chiếu và phần vi mạch tích hợp RFIC, được thể hiện dưới dạng chip không tiếp xúc.
Hình 2.1: Các thành phần của hộ chiếu điện tử
Phần tài liệu vật lý- booklet (quyển hộ chiếu):
Booklet giống như một quyển hộ chiếu thông thường, nhưng có thêm biểu tượng HCĐT trên bìa và dòng ICAO (MRZ - vùng đọc được bằng máy) ở cuối trang dữ liệu.
Biểu tượng của hộ chiếu điện tử phải được in ở phía ngoài của booklet:
▪Tên người mang hộ chiếu: Xuất hiện ở dòng thứ nhất từ ký tự thứ 6 đến 44
▪Số hộ chiếu: Được xác định bởi 9 ký tự đầu tiên của dòng thứ 2
▪Ngày sinh của người mang hộ chiếu: Xác định từ ký tự 14 đến 19 của dòng
▪Ngày hết hạn: Được xác định từ ký tự 22 đến 29 của dòng 2
Ngoài ra, 3 trường số còn có 1 ký tự kiểm tra đứng ngay sau giá trị của trường tương ứng
Hình 2.2: Biểu tượng của hộ chiếu điện tử
Phần vi mạch tích hợp tần số radio (RFIC)
Mạch RFIC (Mạch tích hợp tần số) là một thành phần không tiếp xúc với đầu đọc RFID, được cấy vào HCĐT và tuân theo tiêu chuẩn ISO/IEC 14443, cho phép đọc chính xác trong khoảng cách lên đến 10 cm.
Mạch RFIC bao gồm một chip và một ăng ten vòng, với nhiệm vụ kết nối và thu năng lượng từ đầu đọc để cung cấp cho chip hoạt động Mạch này thường được gắn ở vị trí giữa phần vỏ và trang dữ liệu của booklet Việc gắn mạch cần đảm bảo chip không bị ăn mòn, khó rời ra khỏi booklet và không bị truy cập trái phép hoặc gỡ bỏ, xáo trộn trong trường hợp xảy ra tai nạn.
2.1.3 Tổ chức dữ liệu logic của HCĐT Để có được sự thống nhất cấu trúc HCĐT trên phạm vi toàn cầu thì việc chuẩn hóa nó là rất quan trọng Tổ chức hàng không dân dụng quốc tế (ICAO) đã đưa ra khuyến nghị cấu trúc chuẩn cho các thành phần dữ liệu trong HCĐT và phân nhóm logic các thành phần dữ liệu này Tổ chức dữ liệu chuẩn gồm 2 phần chủ yếu là phần bắt buộc và không bắt buộc, được thể hiện như hình dưới đây
Cấu trúc và tổ chức dữ liệu trong hộ chiếu điện tử được thiết kế để dễ dàng đọc và ghi thông tin trên toàn cầu, với các thành phần dữ liệu được sắp xếp thành các nhóm dữ liệu.
Hình 2.4: Tổ chức dữ liệu HCĐT theo nhóm.[3]
Với mục đích dùng hiện tại, cấu trúc dữ liệu logic LDS được chia thành 16 nhóm dữ liệu (Data Group - DG) đánh số từ DG1 đến DG16
DG1: Nhóm dữ liệu cơ bản chứa thông tin như trên hộ chiếu thông thường
DG2: Lưu ảnh khuôn mặt được mã hóa theo định dạng JPEG hoặc JPEG2000
Để hỗ trợ các quốc gia triển khai hộ chiếu điện tử, việc tận dụng các hệ thống nhận dạng sinh trắc học hiện có là rất quan trọng Nhóm thông tin này có thể bao gồm các giá trị ảnh khuôn mặt được lưu trữ dưới dạng mẫu, phục vụ cho hệ thống nhận dạng.
Chính vì vậy mà nhóm thông tin này phải có trường lưu số giá trị Tuy nhiên giá trị ảnh khuôn mặt đầu tiên phải ở dạng ảnh
DG3/4 là thiết bị lưu trữ các đặc trưng sinh trắc học như vân tay và mống mắt Việc lựa chọn đặc trưng sinh trắc học này phụ thuộc vào quy định của từng quốc gia; ví dụ, tại Mỹ, HCĐT sử dụng DG3 để lưu trữ đặc trưng vân tay của hai ngón trỏ.
DG5: Lưu ảnh chân dung người mang hộ chiếu Thông tin này dưới dạng một ảnh JPEG2000
DG6: Dự phòng dùng trong tương lai
DG7: Lưu chữ ký của người mang hộ chiếu Thông tin này dưới dạng một ảnh
DG8/9/10: Mô tả các thông tin về đặc tính dữ liệu, đặc tính cấu trúc
DG11: Thông tin chi tiết về người mang hộ chiếu ngoài các thông tin cơ bản ở phần DG1 Ví như các tên khác của người mang hộ chiếu
DG12: Thông tin thêm về hộ chiếu chưa được mô tả trong phần DG1
DG13: Các thông tin mang tính riêng biệt của cơ quan cấp hộ chiếu thể hiện DG14: Dự phòng dùng trong tương lai
DG15: Lưu khoá công khai dùng cho tuỳ chọn xác thực chủ động
DG16: Thông tin về người khi cần có thể liên lạc
DG17/18/19 hiện chưa được sử dụng Các nhóm thông tin này dự kiến sẽ lưu trữ thông tin ghi nhận tại các điểm xuất nhập cảnh, thông tin về thị thực điện tử và lịch sử xuất nhập cảnh.
Hai nhóm thông tin đầu tiên là bắt buộc và được chuẩn hóa toàn cầu, nhằm hỗ trợ việc xác thực danh tính của người sở hữu hộ chiếu Những thông tin này không chỉ giúp kiểm tra tính chính xác của danh tính mà còn là dữ liệu đầu vào quan trọng cho hệ thống nhận diện khuôn mặt.
Phần LDS cho phép truy cập dữ liệu thông qua các khóa mật mã hỗ trợ cho các cơ chế kiểm soát truy cập cơ bản BAC và xác thực chủ động AA Nó bao gồm trường EF-COM, nơi lưu trữ thông tin chung của LDS như phiên bản, danh sách các datagroup, thông tin người dùng và dữ liệu sinh trắc.
Các công nghệ trong Hộ chiếu điện tử
2.2.1 Định danh sử dụng tần số vô tuyến RFID
RFID (Radio Frequency Identification) is an automatic identification method that relies on storing and maintaining data on devices known as RFID tags This technology utilizes radio waves to transmit information, enabling efficient tracking and management of assets.
DATA ELEMENT Z tuyến tần số ngắn để truyền thông tin giữa thiết bị đầu đọc (RFID Reader) và thẻ RFID (RFID Tag) [1]
RFID là một lĩnh vực tích hợp nhiều ngành như lý thuyết mạch, lý thuyết ăng-ten, truyền sóng radio và mã hóa Hệ thống RFID bao gồm hai loại thiết bị: thẻ (hoặc bộ tiếp sóng) đơn giản, thường nhỏ gọn và rẻ, và đầu đọc phức tạp hơn, kết nối với máy tính hoặc mạng Tần số sóng vô tuyến được sử dụng trong RFID rất đa dạng, phục vụ cho việc quản lý và điều hành tự động các đối tượng.
HCĐT hoạt động trong dải tần từ 100 kHz đến 10 GHz, chủ yếu sử dụng chip RFID thụ động không cần nguồn nuôi Chip này tuân theo tiêu chuẩn ISO 14443 và được tổ chức ICAO mô tả chi tiết trong các yêu cầu của họ.
Kỹ thuật RFID là một hệ thống không dây cho phép đọc thông tin từ chip mà không cần tiếp xúc trực tiếp và không yêu cầu tầm nhìn giữa thiết bị đọc và chip.
Nó cho ta phương pháp truyền và nhận dữ liệu từ một điểm đến điểm khác
Kỹ thuật RFID đã tồn tại trong thương mại từ những năm 1970 và hiện nay đã trở thành một phần quan trọng trong cuộc sống hàng ngày Công nghệ này được áp dụng trong nhiều lĩnh vực, như chìa khóa xe hơi, thẻ lệ phí quốc lộ và thẻ truy cập an toàn RFID đặc biệt hữu ích trong những môi trường mà việc sử dụng mã vạch để đánh nhãn hàng hóa không khả thi hoặc không hiệu quả.
Thành phần của một hệ thống RFID:
Một hệ thống RFID toàn diện bao gồm bốn thành phần:
1 Thẻ RFID được lập trình điện tử với thông tin duy nhất
2 Các reader hoặc sensor (cái cảm biến) để truy vấn các thẻ.3 Anten
Các nguyên lí làm việc của RFID
Hệ thống RFID bao gồm ba thành phần chính: thẻ, đầu đọc và máy tính chủ Thẻ RFID được cấu tạo từ chip bán dẫn nhỏ và anten, thường được thiết kế dưới dạng nhãn giấy để dễ dàng đóng gói Hệ thống RFID hoạt động trên bốn băng tần chính: tần số thấp (LF), tần số cao (HF), siêu cao tần (UHF) và sóng cực ngắn (viba) Hiện nay, các hệ thống RFID trong siêu thị chủ yếu sử dụng băng tần UHF, trong khi các hệ thống cũ hơn áp dụng băng tần LF và HF, còn băng tần viba đang được dự kiến cho các ứng dụng tương lai.
Các thẻ RFID có hai loại chính: thẻ chủ động (active) được cấp nguồn bởi một bộ pin nhỏ bên trong, và thẻ thụ động (passive) được kích hoạt bởi một đầu đọc RFID khi thẻ nằm trong phạm vi hoạt động.
Đầu đọc RFID bao gồm một anten để liên lạc với thẻ RFID và một đơn vị đo điện tử kết nối với máy tính chủ Đơn vị này cho phép đầu đọc giao tiếp với hàng trăm thẻ trong phạm vi của anten, đồng thời thực hiện các chức năng bảo mật như mã hóa, giải mã và xác thực người dùng Đầu đọc RFID có khả năng phát hiện thẻ ngay cả khi không nhìn thấy chúng Hệ thống mạng RFID thường bao gồm nhiều thẻ và đầu đọc được kết nối với một máy tính trung tâm, thường là một trạm làm việc nhỏ Máy tính chủ xử lý dữ liệu từ các đầu đọc và chuyển giao thông tin giữa mạng RFID và các hệ thống thông tin lớn hơn, nơi có thể quản lý dây chuyền hoặc cơ sở dữ liệu.
“Middleware” phần mềm nối hệ thống RFID với một hệ thống IT (Information Technology) quản lý luồng dữ liệu
Công nghệ RFID đang được ứng dụng rộng rãi trong nhiều lĩnh vực, như thẻ gửi xe tại các siêu thị BigC và CoopMart, hệ thống thu phí cầu đường tự động, giải pháp chống trộm, và đặc biệt là trong việc phát triển hộ chiếu điện tử.
Tạo và xác thực chữ ký số:
S = H (m)^d mod n (Tạo chữ kí số)
Cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí mật nào đó hay không
▪ Tạo chữ kí số bằng khóa bí mật của Alice
▪ Ký vào tin nhắn Alive gửi cho Bob
▪ Bob kiểm tra chữ ký số bằng khóa công khai của Alice: S^e mod n =H (m) với H (m) là giá trị sau khi băm tin nhắn Alice gửi cho
Bob Chữ ký số đúng đắn đồng nghĩa với việc các thông tin Alice gửi Bob là đúng đắn [6]
2.2.2 Xác thực sinh trắc học
Sinh trắc học là gì?
Sinh trắc học là công nghệ nhận diện con người thông qua các đặc điểm hành vi và thuộc tính riêng biệt như vân tay, khuôn mặt, giọng nói, mống mắt và hình dạng bàn tay Công nghệ này sử dụng các thuộc tính vật lý hoặc mẫu hành vi để phân biệt người này với người khác Chẳng hạn, vân tay được quét bằng máy cảm biến và so sánh với dữ liệu trong cơ sở dữ liệu máy tính để xác thực danh tính.
Hình 2.10: Luồng xử lý cơ bản của một cấu trúc hệ thống sinh trắc học [3]
Phương pháp sinh trắc học được phân chia thành hai loại chính: sinh trắc học tiếp xúc và sinh trắc học thụ động Sinh trắc học tiếp xúc yêu cầu người dùng phải tương tác trực tiếp với thiết bị cảm biến thông qua các đặc điểm như bàn tay, khuôn mặt hoặc mống mắt Ngược lại, sinh trắc học thụ động bao gồm các hình thức như chứng minh nhân dân hoặc hộ chiếu sinh trắc mà không cần sự tương tác trực tiếp từ người sử dụng.
2.2.3 Hạ tầng khóa công khai PKI đối với HCĐT
PKI, hay Hạ tầng Khóa Công Khai, là một cơ chế cho phép bên thứ ba, thường là nhà cung cấp chứng thực số, cung cấp và xác thực danh tính các bên tham gia trong quá trình trao đổi thông tin Hệ thống này gán cho mỗi người dùng một cặp khóa công khai và khóa bí mật, đảm bảo an toàn và bảo mật trong giao dịch.
Giai đoạn kết nạp dữ liệu mẫu
Thu nhận dữ liệu và điều kiện
Trích mẫu Định dạng mẫu
Dữ liệu mẫu So sánh mẫu
Giai đoạn nhận dạng/Kiểm tra
Thu nhận dữ liệu và điều kiện
Trích mẫu Định dạng mẫu
Hình 2.11: Mô hình xây dựng PKI cơ bản
PKI cung cấp một cặp chìa khóa bao gồm chìa khóa công khai và chìa khóa bí mật Chìa khóa công khai được sử dụng để truy cập dịch vụ, trong khi chìa khóa bí mật phải được bảo mật bởi người sử dụng Hai chìa khóa này có mối liên hệ chặt chẽ, vì thông điệp mã hóa bằng chìa khóa công khai chỉ có thể được giải mã bằng chìa khóa bí mật tương ứng.
Bob và Alice muốn gửi email cho nhau một cách an toàn và đảm bảo tính xác thực, vì vậy họ sử dụng phần mềm PKI (Public Key Infrastructure).
Hành động Trạng thái của hệ thống PKI
Bob muốn gửi một email đến phần mềm PKI sử dụng chìa khóa cá nhân của Alice, với yêu cầu rằng giao dịch của Bob tạo ra một chữ ký điện tử để chứng minh rằng chính anh đã gửi bức thư và nội dung của bức thư không bị thay đổi.
Kết luận
Chương này của luận văn tập trung vào việc giới thiệu Hộ chiếu điện tử và chip điện tử, cùng với công nghệ RFID và các tiêu chuẩn ISO 14443 theo quy định của ICAO Đồng thời, chương cũng mô tả cách thức lưu trữ thông tin trong hộ chiếu điện tử Trên cơ sở đó, chương tiếp theo sẽ nghiên cứu sâu về ứng dụng chữ ký số cho Hộ chiếu điện tử và đề xuất mô hình Hộ chiếu điện tử tại Việt Nam.
![Hình 2.4: Tổ chức dữ liệu HCĐT theo nhóm.[3] - Nghiên cứu ứng dụng chữ ký số cho hộ chiếu điện tử](https://media.store123doc.com/figures/002/621/hinh-to-chuc-lieu-hcdt-nhom-2621992.png)
![Hình 2.15: Mô hình phân cấp CA [3] - Nghiên cứu ứng dụng chữ ký số cho hộ chiếu điện tử](https://media.store123doc.com/figures/002/621/hinh-mo-hinh-phan-cap-ca-2621999.png)
