Password Authenticated Connection Establishment ( PACE ):mô tả quy trình xác thực dựa trên mật khẩu và thỏa thuận khóa. Giao thức được phát triển bởi Văn phòng Liên bang về Bảo mật Thông tin (BSI) để sử dụng trong thẻ căn cước, chứng minh thư,…
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.44 MB, 25 trang )
Cơ chế PACE trong xác thực hộ
chiếu sinh trắc điện tử
Nhóm 2
Nội dung chính
1. Tổng quan về PACE
2. Mơ hình hoạt động PACE
3. Ứng dụng
01
Tổng quan
Tổng quan PACE, các bước tiến trình, ánh xạ và tính bảo mật
Khái niệm
-
Password Authenticated Connection
Establishment
-
Cơ chế xác thực dựa trên mật khẩu và thỏa
thuận khóa
-
Văn phịng Liên bang về Bảo mật Thông tin
(BSI) để sử dụng trong thẻ ID
Giao thức mã hóa an tồn
Quy trình triển khai
Tạo
Tạo và
và mã
mã hóa
hóa 11 số
số ngẫu
ngẫu
Gửi
Gửi đến
đến các
các thiết
thiết bị
bị đầu
đầu
Chip
Chip và
và thiết
thiết bị
bị đầu
đầu cuối
cuối
nhiên
nhiên với
với passwd
passwd là
là khóa
khóa
cuối
cuối để
để giải
giải mã
mã số
số ngẫu
ngẫu
sử
sử dụng
dụng ánh
ánh xạ
xạ số
số ngẫu
ngẫu
nhiên
nhiên
nhiên
nhiên để
để tạo
tạo sailt
sailt
Quy trình triển khai
Trao
Trao đổi
đổi khóa
khóa
Chip
Chip và
và thiết
thiết bị
bị đầu
đầu cuối
cuối
lấy
lấy khóa
khóa phiên
phiên bí
bí mật
mật
Sử
Sử dụng
dụng các
các khóa
khóa đã
đã thu
thu
thập
thập từ
từ trước
trước sử
sử dụng
dụng đẻ
đẻ
xác
xác thực
thực
Ánh xạ trong PACE
-
Được coi là cốt lỗi của PACE
Ánh xạ chung: dựa trên các hoạt động
nhóm, dễ thực hiện.
-
Ánh xạ xác thực chip: kết hợp cả 2 cũng
xác thực
Tính bảo mật
-
Được chứng mình an tồn về mặt tốn
học
-
Khơng phụ thuộc vào độ dài mật khẩu
Vẫn có lỗ hổng để khai thác
Cần nhiều biện pháp cải tiến thêm.
02
Mơ hình hoạt động
Ngun lý hoạt động PACE
Tổng quan
-
Độ mạnh khóa phiên khơng bị ảnh hưởng
bởi độ phức tạp mật khẩu chung được
chia sẻ trước.
-
Áp dụng thuật toán trao đổi khoá DiffleHellman, đã được chứng minh an toàn về
mặt mật mã.
Mơ hình hoạt động
Nguyên lý hoạt động
-
Bên A khởi tạo, bên B phản hồi
Tạo khóa phiên chung với mật khẩu c được thống nhất ban đầu
Nguyên lý hoạt động
-
Bên A chọn số nonce s ngẫu nhiên mã hóa c theo cơng thức
z = E(Kc, s)
-
- Kc là khóa được nhận từ hàm trích xuất khóa bất kỳ với tham số c
Nguyên lý hoạt động
-
B nhận được bản mã z sẽ thực hiện giải mã với mật khẩu c dùng chung
S= D(Kc,z)
- Khi cả 2 bên sở hữu số s, ánh xạ s thơng qua một bộ khởi tạo khố ngẫu nhiên để thu được khóa T.
Nguyên lý hoạt động
-
Hai bên tạo public và secret key dựa trên T
(SA, PA = T ^ SA) và (SB, PB = T ^ SB)
-
Sau đó A và B trao đổi public key để tính tốn khóa phiên:
KPACE = SA ^ PB = SB ^ PA
Sử dụng KPACE tạo, kiểm chứng token xác thực của cả 2
03
Ứng dụng
Sử dụng tính chất của PACE áp dụng vào sinh trắc học
Khái niệm
-
Hộ chiếu sinh trắc (biometric passport HCST),
-
HCST đã được nghiên cứu và đưa vào triển
khai, ứng dụng thực tế ở một số quốc gia
phát triển trên thế giới như: Mỹ, Châu Âu…
Phát triển
-
Chỉ sử dụng ảnh mặt người số hoá lưu trên
một chip RFID (thế hệ thứ nhất)
-
kết hợp thêm nhân tố sinh trắc và cơ chế
kiểm soát truy cập mở rộng (Extended
Access Control – EAC; thế hệ thứ hai)
-
Ở thế hệ thứ 3 của HCST là PACE
Tại sao cần có PACE
-
Chống truy cập trái phép dữ liệu trên chip
Bảo vệ các dữ liệu nhạy cảm
Thiết lập các nút bảo mật an toàn
Mơ hình xác thực HCST với PACE và EAC
Mơ hình xác thực HCST với PACE và EAC
-
Bước 1: Người mang hộ chiếu xuất trình hộ chiếu cho cơ quan kiểm tra, cơ quan tiến hành thu
nhận các đặc tính sinh trắc học từ người xuất trình hộ chiếu
-
Bước 2: Kiểm tra các đặc tính bảo mật trên trang hộ chiếu giấy thông qua các đặc điểm an ninh
truyền thống đã biết: thuỷ ấn, dải quang học, lớp bảo vệ ảnh…
Mơ hình xác thực HCST với PACE và EAC
-
Bước 3: IS và RFID thực hiện quá trình PACE. Sau khi PACE thành cơng, IS có thể đọc các
thơng tin trong chip ngoại trừ DG3, DG4 (ảnh vân tay và mống mắt), mọi thông tin trao đổi
giữa đầu đọc và chip được truyền thơng báo bảo mật, mã hố sau đó là xác thực theo cặp khố
(KENC, KMAC) có được từ quá trình PACE
Mơ hình xác thực HCST với PACE và EAC
-
Bước 4: Tiến hành quá trình TA để chứng mình quyền truy cập của đầu đọc đến phần dữ liệu DG3,
DG4.
-
Bước 5: Thực hiện PA để kiểm tra tính xác thực và tồn vẹn của các thơng tin lưu trong chip thơng
qua kiểm tra chữ ký trong SOD bằng khố cơng khai của cơ quan cấp hộ chiếu. Việc trao đổi khố
thơng qua chứng chỉ số theo mơ hình khuyến cáo của ICAO.
-
Bước 6: Tiến hành CA để chứng minh được tính nguyên gốc của chip đồng thời cung cấp khoá phiên
mạnh cho truyền thông báo bảo mật
Mơ hình xác thực HCST với PACE và EAC
-
Bước 7: IS đối sánh dữ liệu sinh trắc thu nhận được trực tiếp từ người xuất trình hộ chiếu với dữ liệu
sinh trắc lưu trong chip. Nếu quá trình đối sánh thành công và kết hợp với các chứng thực trên, cơ quan
kiểm tra hộ chiếu có đủ điều kiện để tin tưởng hộ chiếu là xác thực và người mang hộ chiếu đúng là con
người mô tả trong hộ chiếu. Nếu cơ quan kiểm tra hộ chiếu không triển khai EAC thì IS đó khơng có
quyền truy cập DG3 và DG4. Thông tin sinh trắc học duy nhất dùng để đối sánh chỉ là ảnh khuôn mặt.
Ưu điểm PACE trong xác thực HCST
-
Hiệu quả hơn BAC
PACE có khả năng xác mình mã PIN cá
nhân
-
Nâng cao bảo mật với thẻ ID
