BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO
NGHIÊN CỨU TỔNG QUAN VỀ ỨNG DỤNG PKI TRONG
TRIỂN KHAI HỘ CHIẾU ĐIỆN TỬ

Học phần: Chứng thực điện tử

Hà Nội, 2018


MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI
VÀ CHỮ KÝ SỐ.................................................................................................. 2
1.1.

Tổng quan về cơ sở hạ tầng khóa cơng khai ..................................... 2

1.1.1.
1.2.

Các thành phần của PKI .............................................................. 2

Chứng thư số CA ................................................................................. 5

1.2.1.

Quy trình cấp chứng thư số.......................................................... 6

1.3. Chứng chỉ số ............................................................................................... 6
CHƯƠNG II: HỘ CHIẾU ĐIỆN TỬ ................................................................ 9
2.1. Hộ chiếu điện tử........................................................................................ 9
2.1.1. Cấu trúc hộ chiếu điện tử ............................................................... 10
Cấu trúc logic trong hộ chiếu điện tử (Logical Data Structure - LDS)
..................................................................................................................... 12
2.1.2. Một số yêu cầu đối với bảo mật thông tin hộ chiếu điện tử ........ 14
2.1.3. Các cơ chế bảo mật thông tin trong hộ chiếu điện tử .................. 15
CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ ... 17
2.1. Xác thực thụ động (Passive Authentication) ........................................ 17
2.2. Xác thực đầu cuối (Terminal Authentication) ...................................... 17
2.3. Quy trình cấp phát hộ chiếu điện tử được đề xuất ............................. 22
2.4. Quy trình xác thực hộ chiếu điện tử ..................................................... 23


NHẬN XÉT
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................

.................................................................................................................................
.................................................................................................................................


LỜI NÓI ĐÂU
Hộ chiếu điện tử (ePassport) đã được sử dụng lần đầu tiên tại Malaysia vào
năm 1998, do đó đã có trước tiêu chuẩn ICAO. Bỉ là một trong những nước đầu
tiên trên thế giới phát hành ePassport tuân thủ tiêu chuẩn này. Ngày nay, nhiều
quốc gia khác phát hành ePassport như Pháp, Đức, Nederlands, Hoa Kỳ,…
Động cơ cơ bản của việc thực hiện hộ chiếu điện tử là cung cấp hộ chiếu
an tồn hơn thơng qua một vi mạch điện tử được nhúng trong cuốn sách của mình.
Chip này cho phép đảm bảo tính tồn vẹn dữ liệu, tức là khơng ai có thể sửa đổi
nội dung của hộ chiếu mà khơng bị phát hiện; tính tồn vẹn này được đảm bảo
bởi chữ ký số của cơ quan cấp phát hành. Tính xác thực của dữ liệu cũng được
bảo vệ: chế tạo một hộ chiếu từ đầu là khơng thể vì một người làm giả khơng thể
tự tạo chữ ký được đề cập. Bên cạnh đó, chip điện tử cho phép kết hợp sinh trắc
học để ràng buộc hộ chiếu với quốc tịch đích thực của nó, do đó bổ sung thêm các
tính năng nhận dạng bổ sung. Do tính chất vật lý và điện của nó, con chip này là
một lưu trữ rất an tồn về thơng tin tiểu sử và sinh trắc học (tên, ngày sinh, số hộ
chiếu, hình ảnh khn mặt, ...), có thể được so sánh với những người được tiết lộ
trực quan trên trang đầu tiên của hộ chiếu và với sinh trắc học của người vật lý.
Cuối cùng, chip có thể ngăn chặn nhân bản hoặc thay thế thông qua một cơ chế
trong đó chip phải chứng minh việc sở hữu khóa riêng dựa trên khóa cơng khai
được tạo ra một cách an toàn cao bởi nhà nước phát hành.

1


CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
VÀ CHỮ KÝ SỐ

1.1. Tổng quan về cơ sở hạ tầng khóa cơng khai
PKI (Public Key Infrastructure) hoạt động dựa trên sự hỗ trợ của các thẻ
chứng thực số (digital certificates), nó bao gồm các thành phần: Hardware,
software, tập chính sách, các thủ tục phát hành/thu hồi thẻ chứng thực và các
chuẩn. Các thành phần này kết hợp với nhau để thiết lập một phương thức trao
đổi thông tin trong mơi trường mạng đảm bảo tính xác thực định danh đối tác ở
mức an tồn cao nhất.
Nhiệm vụ chính của PKI là sử dụng chiến lược mã hóa khóa công cộng
(public key encryption) để tạo, quản lý và thu hồi các thẻ chứng thực,. Cụ thể:
- Tạo và xác định tính hợp lệ của chữ ký số (digital signatures)
- Đáp ứng sự đăng ký thẻ của người sử dụng mới
- Xác thực người sử dụng và phân phối thẻ chứng thực đến họ
- Thu hồi các thẻ chứng thực hết hạn
- Tạo các private key và public key cho các PKI client.
Với sự hỗ trợ của PKI, hệ thống bảo mật có thể xác thực người sử dụng theo
cách an toàn hơn so với cách xác thực chuẩn (xác thực thơng qua user name và
password): Nó sử dụng các thẻ chứng thực có chứa thơng tin định danh và
public key của một đối tác trao đổi thông tin để xác định định danh và tính hợp
lệ của họ. Ngồi ra, PKI cịn giúp mã hóa các thơng tin nhạy cảm và “ký” các tài
liệu số.
Có thể nói, PKI là hạ tầng kỹ thuật thơng tin, nó cho phép người dùng trên
Internet trao đổi thông tin một cách riêng tư và bảo mật thơng qua việc sử dụng
cặp khóa public và private của riêng họ. Cặp khóa này được nhận và được chia
sẻ thông qua một trung tâm ủy quyền tin cậy (CA).
PKI cung cấp thẻ chứng thực số cho các đối tác tham gia trao đổi thông tin trên
môi trường Internet. Thẻ này được sử dụng để định danh một cá nhân, một tổ
chức hoặc một dịch vụ thư mục nào đó
1.1.1. Các thành phần của PKI
Hệ thống PKI bao gồm các thành phần chính sau:
• PKI client

• Certification Authority (CA) – Ủy quyền thẻ chứng thực

CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu
phát hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó,
và phát hành thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu
cầu (Verisign và MSN là hai công ty CA nổi tiếng thế giới).
2


CA dựa vào các chính sách, trao đổi thơng tin trong môi trường
bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên
quan đến việc phát hành thẻ chứng thực. Mọi họat động tạo, phát hành,
thu hồi thẻ chứng thực sau này đều tuân theo các quy tắc, thủ tục này

• Registration Authority (RA) – Ủy quyền đăng ký

Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA,
CA ủy quyền sự phản hồi xác thực yêu cầu đến RA. Sau khi kiểm tra yêu
cầu thành công, RA forward yêu cầu đến CA. CA nhận yêu cầu, phát
hành thẻ chứng thực yêu cầu, và gửi thẻ chứng thực đến RA. RA forward
thẻ đó đến cho PKI client (gửi u cầu phát hành thẻ chứng thực trước
đó).
• Digital certificates (DC) – Chứng chỉ số
Thẻ chứng thực số được xem như một card định danh (ID card) sử dụng
trong mơi trường điện tử/mơi trường mạng máy tính. Nếu như trong thực
tế, người ta dùng ID card để định danh duy nhất một cá nhân nào đó thì
trong mơi trường trao đổi thơng tin an tồn, PKI sử dụng thẻ chứng thực
3



số để định danh duy nhất một đối tượng nào đó trong suốt q trình truyền
thơng.
Thẻ chứng thực số chứa các thông tin sau:
-

Số serial của thẻ chứng thực

-

Ngày hết hạn của thẻ chứng thực

-

Chữ ký số của CA

-

Public key của PKI client

Trong quá trình giao dịch, bên gửi gửi thẻ chứng thực số, cùng với dữ liệu
đã được mã hóa, của nó cho bên nhận. Bên nhận cuối sử dụng thẻ chứng
thực số này để xác nhận tính hợp lệ xác thực của bên gửi.
Bên nhận, sử dụng public key của CA để giải mã public key của bên gửi
(được nhận cùng với thơng điệp được mã hóa đến từ bên gửi). Sau khi
định dang của bên gửi là được xác định, bên nhận sử dụng public key của
bên gửi để giải mã dữ liệu mà nó nhận được.
Một số loại chứng chỉ số thông dụng là:
- Chứng chỉ X.509
- Chứng chỉ khóa cơng khai đơn giản (Simple Public Key Certificates

- SPKC).
- Chứng chỉ Pretty Good Privacy (PGP).
- Chứng chỉ thuộc tính (Attribute Certificates – AC)
• Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lưu trữ tất cả các thẻ chứng thực đã được phát hành đến cho người
sử dụng trên mạng. CDS cũng lưu trữ các cặp khóa, tính hợp lệ và “chữ
ký” của các khóa public. Danh sách các khóa hết hạn, các khóa bị thu hồi
do bị mất, do bị hết hạn cũng được CDS lưu trữ.
Ngồi ra cịn có các thành phần khác:
• Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính

hợp lệ thể chứng thực số của một đối tác trao đổi thơng tin.
• Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị
thu hồi bởi CA.
Danh sách Thu hồi Chứng chỉ (CRL) là danh sách các chứng chỉ kỹ thuật
số đã bị thu hồi bởi Tổ chức phát hành Chứng chỉ (CA) trước ngày hết
hạn đã lên lịch và khơng cịn đáng tin cậy nữa. CRL là một loại danh sách
4


cấm và được sử dụng bởi các điểm cuối khác nhau để xác minh xem
chứng chỉ có hợp lệ và đáng tin cậy hay khơng.
• Kỹ thuật mã hóa public key và privte key: Có thể được sử dụng để mã hóa
và giải mã thơng tin.
• Các đối tác (partner)/Đối tượng (Subject): Có thể là users, organizations
hoặc service systems: Đây là những đối tượng muốn sử dụng kỹ thuật
public key và private key để trao đổi thông tin một cách an tồn
Hình sau đây cho ta một cái nhìn khái quát nhất về chức năng của các thành
phần trong hệ thống PKI và sự hoạt động của hệ thống này:


User gửi yêu cầu phát hành thẻ chứng thực và public key của nó đến RA (1); Sau
khi xác nhận tính hợp lệ định danh của user thì RA sẽ chuyển yêu cầu này đến
CA (2); CA phát hành thẻ chứng thực cho user (3); Sau đó user “ký” thơng điệp
trao đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ
chứng thục số + chữ ký số) trong giao dịch (4); Định danh của user được kiểm tra
bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user được xác
nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu q trình trao
đổi thơng tin với nó (VA nhận thơng tin về các thẻ chứng thực đã được phát hành
từ CA (a))
Chứng thư số CA
Chứng thư số hay còn gọi là chứng thư điện tử, cũng giống như chứng minh
thư nhân dân hoặc hộ chiếu của bạn vậy, dùng để xác nhận danh tính của một đối
tượng nào đó ví dụ như phần mềm , ứng dụng, máy chủ hoặc đại diện cho một cá
nhân, một tổ chức nào đó khi tham gia các giao dịch điện tử, nhằm đảm bảo an
toàn trong quá trình giao dịch điện tử.
1.2.

Một chứng thư số phải đảm bảo chứ đủ các thông tin sau:
5


Tên chủ thể, chủ sở hữu chứng thư số.
− Khóa công khai (Public key).
− Một số thông tin khác như: thông tin về doanh nghiệp, hạn sử dụng, thông
tin về sản phẩm…
− Chữ ký số của người cấp chứng thư đó.
Chứng thư số dùng để xác định danh tính của một đối tượng khi tham gia
vào giao dịch điện tử dựa trên máy chủ xác thực danh tính.
1.2.1. Quy trình cấp chứng thư số
−


• Bước 1: Khách hàng chuẩn bị đầy đủ hồ sơ về thông tin cá nhân hoặc
doanh nghiệp như tên, giấy phép kinh doanh và gửi thông tin đăng ký đến các nhà
cung cấp dịch vụ chữ ký số.
• Bước 2: Các nhà cung cấp dịch vụ chữ ký số sẽ xác thực thông tin của cá
nhân, doanh nghiệp có đúng với thơng tin trên trung tâm dữ liệu quốc gia, nếu
đúng thông tin hồ sơ đăng ký chứng thư số sẽ được chấp nhận. Thông tin khách
hàng sẽ được nạp vào usb token hoặc smart card. Khi khách hàng nhận được hợp
đồng và thiết bị từ nhà cung cấp, cần xác nhận nội dung chứng thư số là gì? Tên
doanh nghiệp và thời hạn chứng thư số có đúng với hợp đồng hay khơng?
• Bước 3: Nhà cung cấp NewCA gửi tồn bộ thơng tin về doanh nghiệp A
đến Trung tâm chứng thực chữ ký số quốc gia (Root CA) – Trực thuộc cục Ứng
dụng công nghệ thơng tin của Bộ Thơng tin và Truyền thơng.
• Bước 4: Doanh nghiệp đăng ký tài khoản với máy chủ của Tổng cục thuế
(Tên đăng nhập là Mã số thuế của doanh nghiệp), đồng thời gửi khóa cơng khai
• Bước 5: Máy chủ thuế gửi yêu cầu xác nhận thông tin tới Trung tâm chứng
thực chữ ký số quốc gia.
• Bước 6: Trung tâm chứng thực chữ ký số quốc gia (Root CA) trả lại kết
quả xác nhận với cơ quan thuế.
1.3. Chứng chỉ số
− Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một cơng ty... trên Internet. Nó giống như bằng lái xe, hộ
chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân. Để có chứng minh
thư, bạn phải được cơ quan Cơng An sở tại cấp.
− Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những
thông tin của bạn là chính xác, được gọi là Nhà cung cấp chứng thực số (CA Certificate Authority). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ
chính xác của chứng chỉ số mà mình cấp.
6



Trong chứng chỉ số có ba thành phần chính:
+ Dữ liệu cá nhân của người được cấp
+ Khố cơng khai (Public key) của người được cấp
+ Chữ ký số của CA cấp chứng chỉ
• Dữ liệu cá nhân:
− Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v.
− Phần này giống như các thông tin trên chứng minh thư của mỗi người.
• Khố cơng khai:
− Là một giá trị được nhà cung cấp chứng thực đưa ra như một khóa mã hố,
kết hợp cùng với một khoá cá nhân duy nhất được tạo ra từ khoá cơng khai để tạo
thành cặp mã khố bất đối xứng.
− Ngun lý hoạt động của khố cơng khai trong chứng chỉ số là hai bên giao
dịch phải biết khố cơng khai của nhau. Bên A muốn gửi cho bên B thì phải dùng
khố cơng khai của bên B để mã hố thơng tin. Bên B sẽ dùng khố cá nhân của
mình để mở thơng tin đó ra.
− Tính bất đối xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã
dữ liệu được mã hố bằng khóa cơng khai, nhưng khố cơng khai khơng có khả
năng giải mã lại thông tin, kể cả những thông tin do chính khố cơng khai đó đã
mã hố.
− Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân,
thì khố cơng khai đóng vai trị như danh tính của bạn trên giấy chứng minh thư
(gồm tên địa chỉ, ảnh...), cịn khố cá nhân là gương mặt và dấu vân tay của bạn.
− Nếu coi một bưu phẩm là thơng tin truyền đi, được "mã hố" bằng địa chỉ
và tên người nhận của bạn, thì dù ai đó có dùng chứng minh thư của bạn với mục
đich lấy bưu phẩm này, họ cũng không được nhân viên bưu điện giao bưu kiện
vì ảnh mặt và dấu vân tay khơng giống.
• Chữ ký số của CA cấp chứng chỉ:
Cịn gọi là chứng chỉ gốc. Đây chính là sự xác nhận của CA, bảo đảm tính
chính xác và hợp lệ chứng chỉ. Muốn kiểm tra một chứng chỉ số, trước tiên phải
kiểm tra chữ ký số của CA có hợp lệ hay khơng. Trên chứng minh thư, đây chính

là con dấu xác nhận của Cơng An Tỉnh hoặc Thành phố mà bạn trực thuộc. Về
nguyên tắc, khi kiểm tra chứng minh thư, đúng ra đầu tiên phải là xem con dấu
này, để biết chứng minh thư có bị làm giả hay không.
Một số loại chứng chỉ số:
−
−

Chứng chỉ X.509.
Chứng chỉ khóa cơng khai đơn giản (Simple Public Key
7


Certificates - SPKC).
−

Chứng chỉ Pretty Good Privacy (PGP).

−

Chứng chỉ thuộc tính (Attribute Certificates - AC).

Những loại chứng chỉ này đều có cấu trúc định dạng riêng. Hiện nay chứng
chỉ X.509 được sử dụng rộng rãi trong hầu hết các hệ thống PKI.

8


CHƯƠNG II: HỘ CHIẾU ĐIỆN TỬ
2.1. Hộ chiếu điện tử
Một quyển hộ chiếu điện tử, hay còn gọi là e-passport / ePassport / passport

sinh trắc học, là một dạng hộ chiếu được kết hợp giữa giấy truyền thống với một
phương tiện để lưu thông tin cá nhân (tên, ngày tháng năm sinh, giới tính,...) và
dữ liệu sinh trắc học của chủ sở hữu. Thường phương tiện đó sẽ là một con chip
kết hợp với ăng-ten khơng dây nhúng trong bìa trước, sau hoặc ở trang giữa của
passport. Con chip điện tử RFID này chứa các thơng tin được số hóa của người
mang hộ chiếu. Cụ thể là các thông tin cá nhân vốn in ở trang 2 của hộ chiếu, bao
gồm cả ảnh kỹ thuật số, các dấu vân tay, chữ ký. Nếu cần thiết, chip này chứa các
thông tin nhận dạng sinh trắc học như nhận dạng khuôn mặt, mống mắt,…

Theo tài liệu ICAO 9303, chỉ có tấm ảnh kĩ thuật số của chi tiết sinh trắc học là
được lưu trên con chip. Việc so sánh dữ liệu trên chip với dữ liệu thật sự của chủ
sở hữu passport sẽ được tiến hành bằng các hệ thống hiện đại ở hải quan để đảm
bảo tính an tốn. Tất nhiên, giao thức để kết nối không dây giữa passport và hệ
thống này (contactless card) cũng được chuẩn hóa để mọi quốc gia có thể sử dụng
nó dễ dàng và khơng gây trở ngại cho người đi du lịch.
Hiện nay yêu cầu về tiêu chuẩn cho hộ chiếu điện tử đã được cung cấp bới
Tổ chức hàng không dân dụng Quốc tế ICAO. Và các yêu cầu này sẽ đáp ứng
được an ninh tại các cửa khẩu, kiểm tra tại biên giới các nước. Hộ chiếu điện tử
tích hợp ba cơng nghệ: Nhận dạng tần số radio (RFID); Sinh trắc (khuôn mặt, vân
tay, mống mắt); Cơ sở hạ tầng khóa cơng khai PKI.
9


2.1.1. Cấu trúc hộ chiếu điện tử

Điểm khác biệt giữa HCĐT và hộ chiếu truyền thống là ở chỗ HCĐT có
thêm một biểu tượng riêng phía ngồi bìa, một mạch tích hợp phi tiếp xúc RFIC
(Radio Frequency Integrated) được gắn vào hộ chiếu và phần MRZ phía cuối trang
dữ liệu. Mạch RFIC có thể được đặt trong trang dữ liệu hoặc có thể đặt ở một
trang khác.

Cơng nghệ RFIC
Radio Frequency Identification (RFID) là cơng nghệ nhận dạng đối tượng
bằng sóng vô tuyến. Hai thiết bị này hoạt động thu phát sóng điện từ cùng tần số
với nhau. Các tần số thường được sử dụng trong hệ thống RFID là 125Khz hoặc
900Mhz.
Một thiết bị hay một hệ thống RFID được cấu tạo bởi hai thành phần
chính là thiết bị đọc ( reader) và thiết bị phát mã RFID có gắn chip hay còn gọi
là tag. Thiết bị đọc được gắn antenna để thu- phát sóng điện từ, thiết bị phát mã
RFID tag được gắn với vật cần nhận dạng, mỗi thiết bi RFID tag chứa một mã
số nhất định và không trùng lặp nhau.

10


Khi hoạt động thiết bị RFID reader phát ra sóng điện từ ở một tần số nhất
định, khi thiết bị RFID tag trong vùng hoạt động sẽ cảm nhận được sóng điện từ
này và thu nhận năng lượng từ đó phát lại cho thiết bị RFID Reader biết mã số
của mình. Từ đó thiết bị RFID reader nhận biết được tag nào đang trong vùng hoạt
động.
RFIC trong hộ chiếu điện tử

Mạch tích hợp RFIC gồm một chip tuân theo chuẩn ISO/IEC 14443 và một
ăngten vịng khơng những dùng để kết nối mà cịn dùng để nhận biết tín hiệu từ
đầu đọc. Điều này giải thích vì sao HCĐT khơng có nguồn điện trong, năng lượng
hoạt động cho chip được thu nhận qua ăngten.
Mạch RFIC có thể được gắn vào một trong các vị trí khác nhau trong
quyển hộ chiếu, thơng thường là giữa phần bìa và phần trang dữ liệu. Trong q
trình gắn, cần phải đảm bảo rằng chip khơng bị ăn mịn và khơng bị rời ra khỏi
quyển hộ chiếu.
MRZ


11


Vùng MRZ trong hộ chiếu hoặc thẻ du lịch rơi vào hai loại: Loại 1 và Loại
3 . MRZ loại 1 là ba dòng, với mỗi dòng chứa 30 ký tự. MRZ loại 3 chỉ có hai
dịng, nhưng mỗi dịng chứa 44 ký tự. Trong cả hai trường hợp, MRZ mã hóa xác
định thơng tin của một cơng dân cụ thể, bao gồm loại hộ chiếu, ID hộ chiếu, quốc
gia phát hành, tên, quốc tịch, ngày hết hạn, v.v.

Ví dụ các trường có trong MRZ loại 2 dịng:
-

Tên: KOVBOJ
Họ: MALBORSKYI
Quốc tịch: RUS
Số hộ chiếu: 755327941
Ngày sinh: 871224
Ngày hết hạn: 210413

Cấu trúc logic trong hộ chiếu điện tử (Logical Data Structure - LDS)
Để có được sự thống nhất cấu trúc hộ chiếu điện tử trên phạm vi tồn cầu
thì việc chuẩn hóa nó là rất quan trọng. Tổ chức hàng khơng dân dụng quốc tế
đã đưa ra khuyến nghị cấu trúc chuẩn cho các thành phần dữ liệu trong hộ chiếu
điện tử và phân nhóm logic các thành phần dữ liệu này. Cấu trúc logic của hộ
chiếu đện tử được chia làm 16 nhóm được gán nhãn từ DG1 tới DG16. Mỗi
trường chứa các dữ liệu khác nhau và được quy định theo tiêu chuẩn chung của
ICAO [4].

12



Trong 16 nhóm dữ liệu của LDS, 2 nhóm dữ liệu đầu tiên DG1 và DG2 là bắt
buộc, còn 14 nhóm dữ liệu sau là tùy chọn:
• DG1: Nhóm dữ liệu chứa thông tin giống với thông tin lưu trong MRZ.
• DG2: Nhóm dữ liệu lưu trữ ảnh khn mặt đã mã hóa của ngƣời sở hữu
hộ chiếu. Ảnh này định dạng theo chuẩn JPEG hoặc JPEG2000. Kích thước
ảnh khoảng từ 12 đến 20K (kilobytes). Đây là thông tin thống nhất trên toàn
cầu giúp cho việc kiểm tra định danh của người sử dụng với các thơng tin
trong HCĐT.
• DG3: Nhóm dữ liệu lưu trữ dấu vân tay của ngƣời sở hữu HCĐT đã mã
hóa.
13


• DG4: Nhóm dữ liệu lưu trữ mống mắt của người sở hữu HCĐT đã mã
hóa. Hai nhóm dữ liệu DG3 và DG4 là tùy chọn đối với mỗi quốc gia trong
việc đưa vào chip RFID trong HCĐT để xác thực người dùng.
• DG5: Lưu ảnh chân dung của người mang hộ chiếu. Định dạng ảnh là
JPEG hoặc JPEG2000.
• DG6: Nhóm dữ liệu dự phịng dùng trong tương lai.
• DG7: Nhóm dữ liệu lưu chữ ký của ngƣời mang hộ chiếu. Thơng tin
này được lƣu dưới dạng ảnh JPEG2000.
• DG8/9/10: Các nhóm dữ liệu mơ tả thơng tin về đặc tính dữ liệu, đặc tính
cấu trúc.
• DG11/12: Nhóm dữ liệu lưu trữ các thông tin chi tiết thêm về người sở
hữu hộ chiếu ngồi các thơng tin đã đƣợc lưu ở DG1.
• DG13: Nhóm dữ liệu chứa thơng tin riêng biệt do cơ quan cấp hộ chiếu
thể hiện.
• DG14: Nhóm dữ liệu dự phịng dùng cho tương lai.

• DG15: Nhóm dữ liệu lưu khóa cơng khai dùng cho q trình xác thực chủ
động.
• DG16: Nhóm dữ liệu lưu trữ thơng tin về người khi cần có thể liên lạc.
2.1.2. Một số yêu cầu đối với bảo mật thông tin hộ chiếu điện tử
Vấn đề bảo mật thông tin hộ chiếu điện tử trong các quy trình cấp phát,
kiểm duyệt ln là một trong những vấn đề tối quan trọng đối với an ninh quốc
gia. Vấn đề này cần phải thỏa mãn được 6 yêu cầu sau:
Tính chân thực: Cơ quan cấp hộ chiếu phải ghi đúng thông tin của người
được cấp hộ chiếu, khơng có sự nhầm lẫn trong q trình ghi thơng tin khi cấp
hộ chiếu. Đây là điều đương nhiên bắt buộc phải có.
Tính khơng thể nhân bản: Mục tiêu này phải đảm bảo không thể tạo ra
bản sao chính xác của RFIC.
Tính nguyên vẹn và tính xác thực: Cần chứng thực tất cả thông tin lưu
trên trang dữ liệu và trên RFIC do cơ quan cấp phát hộ chiếu tạo ra. Hơn nữa
cần chứng thực thông tin đó khơng bị thay đổi từ lúc bắt đầu được lưu.
Tính liên kết người – hộ chiếu: Cần phải chứng minh rằng hộ chiếu điện
tử thuộc về người mang nó hay nói cách khác là các thơng tin trong hộ chiếu
mô tả, ghi thông tin về người sở hữu hộ chiếu.
14


Tính liên kết hộ chiếu- chip: Cần phải khẳng định booklet khớp với mạch
RFIC nhúng trong nó.
Kiểm sốt truy cập: Đảm bảo việc truy cập thông tin lưu trữ trong chip
được sự đồng ý của người sở hữu nó, hạn chế truy cập tới các thông tin sinh trắc
học nhạy cảm và tránh mất mát thông tin cá nhân.
2.1.3. Các cơ chế bảo mật thông tin trong hộ chiếu điện tử
Để có thể đáp ứng được các yêu cầu về bảo mật dữ liệu thì hộ chiếu điện
tử cần phải có những cơ chế bảo mật thơng tin nhằm ngăn chặn các nguy cơ và
đáp ứng được các yêu cầu bảo mật thông tin trên. Tổ chức Hãng hàng không

dân dụng quốc tế ICAO đã đưa ra các cơ chế bảo mật cho hộ chiếu điện tử như
sau [3]:
Passive Authentication (PA): Cơ chế xác thực bị động, là cơ chế bắt buộc
đối với quá trình xác thực hộ chiếu điện tử. Cơ chế này làm nhiệm vụ kiểm tra
tính nguyên vẹn và xác thực của thông tin lưu trong chip RFID bằng cách kiểm
tra chữ ký số của cơ quan cấp hộ chiếu để xác thực dữ liệu được lưu trong các
nhóm cấu trúc dữ liệu logic LDS trên chip RFID.
Basic Access Control (BAC): Đây là thế hệ đầu tiên của cơ chế kiểm soát
truy cập và vẫn được sử dụng trong nhiều ePassports trên toàn thế giới. Hệ thống
kiểm tra bắt nguồn từ khóa truy cập bằng cách đọc Vùng máy có thể đọc (MRZ)
trên datapage của ePassport (thơng tin này cũng có thể được khóa bằng tay nếu
khơng thể đọc máy MRZ). Các khóa được sử dụng trong BAC là đối xứng (tức
là cùng một khóa được sử dụng để mã hóa dữ liệu để truyền cho người đọc được
người đọc sử dụng để giải mã dữ liệu).
Thiết lập kết nối xác thực 2 mật khẩu (PACE): PACE được thiết kế để
khắc phục các hạn chế của BAC, có sức mạnh hạn chế vì nó sử dụng mật mã
đối xứng. Nói một cách đơn giản, q trình cho PACE giống như đối với BAC;
tuy nhiên, PACE sử dụng mật mã bất đối xứng để thiết lập sự bảo vệ mạnh hơn
chống lại nghe lén.
Active Authentication (AA): Cơ chế xác thực chủ động, cơ chế này đảm
bảo tính duy nhất và xác thực chip tích hợp trong hộ chiếu điện tử bằng cách
đưa ra một cặp khóa riêng. Khóa bí mật được lưu trong DG15 và được bảo vệ
bởi cơ chế PA. Khóa cơng khai tương ứng được lưu vào bộ nhớ bảo mật và có
thể chỉ được sử dụng trong chip RFID và không thể được đọc ở bên ngoài. Cơ
chế này chỉ nên được sử dụng ở những nơi mà BAC được áp dụng.
Extended Access Control (EAC): Mục đích của cơ chế EAC để tăng cường
bảo vệ các thông tin sinh trắc học nhạy cảm (vân tay, mống mắt) đồng thời khắc
phục hạn chế của quá trình xác thực chủ động. Tuy nhiên ICAO chỉ đề cập tới
cơ chế này dưới dạng tùy chọn để các quốc gia, giới khoa học tiếp tục nghiên
cứu và bổ sung. Cơ chế này bao gồm hai quá trình:

− Xác thực chip (Chip Authentication)

15


Là một giao thức cho phép hệ thống kiểm tra xác thực tính đúng đắn của
chip RFID trong HCĐT. Trước khi sử dụng giao thức này thì chip RFID
cần được bảo vệ bởi giao thức BAC.
− Xác thực đầu đọc (Terminal Authentication)
Là giao thức chip RFID xác minh xem hệ thống kiểm tra có được quyền
truy cập đến vùng dữ liệu nhạy cảm hay không. Khi hệ thống kiểm tra có
thể truy cập đến dữ liệu sinh trắc thì tất cả truyền thông phải được bảo vệ
một cách phù hợp. Trước khi thực hiện giao thức này thì bắt buộc phải
thực hiện thành công giao thức Chip Authentication.
Supplement Access Control (SAC): Là cơ chế kiểm soát truy cập bổ sung sẽ
xuất hiện vào tháng 12/2014. SAC dựa trên giao thức thiết lập kết nối có xác thực
mật khẩu PACE ( Password Authenticated Connection Establishment). PACE cịn
tích hợp một tùy chọn để sử dụng số truy cập thẻ bổ sung cho MRZ (tức là dữ liệu
cá nhân của người chủ hộ chiếu được in trên trang chính của hộ chiếu). SAC đã
khắc phục được nhược điểm của cơ chế BAC, đảm bảo mức độ an toàn và riêng
tư cao.

16


CHƯƠNG III: ỨNG DỤNG CỦA PKI TRONG HỘ CHIẾU ĐIỆN TỬ
PKI (Public Key Infrastructure) là công nghệ cơ bản đằng sau ePassport. Cơ
sở hạ tầng khóa cơng khai đối với cả hộ chiếu điện tử và hệ thống xác thực IS
(Inspection System - Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh). PKI được
sử để xác thực dữ liệu được lưu trong chip điện tử RFID khiến cho nó đắt tiền và

khó giả mạo hơn khi tất cả các cơ chế bảo mật được triển khai đầy đủ và chính
xác.
Như vậy cơ sở hạ tầng khóa cơng khai khi triển khai cần phải đáp ứng được
hai quá trình:
2.1. Xác thực thụ động (Passive Authentication)
Là q trình kiểm tra tính nguyên vẹn và xác thực của thông tin lưu trong
chip RFID. Trong quy trình cấp phát hộ chiếu điện tử, sau khi ghi thông tin vào
chip RFID, cơ quan cấp hộ chiếu phải ký số lên chip để chứng thực những thông
tin vừa ghi vào là đúng. Sau khi nhận được chứng chỉ số CDS do CA cấp cao nhất
phát hành, cơ quan cấp HCĐT DS sử dụng khóa bí mật của mình để ký số lên hộ
chiếu đó, cịn khóa cơng khai được lưu trong CDS.

Tại bước kiểm tra hộ chiếu tại các điểm xuất nhập cảnh, hệ thống IS sử
dụng cơ chế Passive Authentication để kiểm tra và xác thực chữ ký của DS. Hệ
thống IS tiến hành đọc HCĐT, lấy chứng chỉ số CDS, kiểm tra tính xác thực của
nó bằng khóa cơng khai của CA phân phối, khóa cơng khai này được các nước có
triển khai HCĐT trao đổi với nhau qua đường công hàm hoặc thơng qua danh mục
khóa cơng khai PKD. Sau khi xác thực xong CDS, hệ thống IS sẽ dùng CDS để
xác thực nội dung lưu trong chip RFID.
2.2. Xác thực đầu cuối (Terminal Authentication)
Xác thực đầu cuối (TA) được sử dụng để xác định xem hệ thống kiểm tra
(IS) có được phép đọc dữ liệu nhạy cảm từ hộ chiếu điện tử hay không. Cơ chế
17


này dựa trên các chứng chỉ kỹ thuật số có định dạng chứng chỉ có thể xác minh
thẻ
Tại mỗi quốc gia có triển khai hộ chiếu điện tử, sẽ có một cơ quan cấp chứng
chỉ số quốc gia, có thể là CSCA (Coutry Signing Certification Authority) hoặc
CVCA (Country Verifying Certification Authority). Các CA cấp quốc gia này sẽ

phân phối chứng chỉ cho các cơ quan cấp hộ chiếu điện tử DS (Document Signer)
để ký số lên hộ chiếu hoặc cơ quan xác thực hộ chiếu điện tử DV (Document
Verifier) để kiểm tra hộ chiếu.
Trong quá trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu
hệ thống kiểm tra IS chứng minh được là nó được quyền truy cập vào vùng dữ
liệu nhạy cảm. Khi đó một hệ thống kiểm duyệt được trang bị ít nhất một hệ thống
xác thực chứng chỉ (Inspection System Certificate - ISC) để mã hóa khóa cơng
khai của hệ thống kiểm duyệt và các quyền truy cập, tương ứng với khóa bí mật.
Sau khi hệ thống kiểm duyệt đã chứng minh được các thông tin của khóa bí mật
thì chip RFID mới chấp nhận cho hệ thống kiểm duyệt truy cập vào vùng dữ liệu
nhạy cảm được chỉ ra trong ISC.
Mơ hình PKI triển khai với cơ chế Terminal Authentication có các thực thể sau:

Mơ hình PKI phân cấp phục vụ cơ chế Terminal Authentication
CVCA (Country Verifying Certification Authority): Cơ quan xác thực
chứng chỉ số quốc gia.
-

DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử.

-

IS (Inspection System): Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh.
18


• Country Verifying Cas (CVCA)
Tại mỗi quốc gia có triển khai hộ chiếu điện tử cần phải thiết lập một điểm
tin cậy (trust-point), gọi là CVCA, là nơi cung cấp và xác thực chứng chỉ số DVCert cho các cơ quan xác thực hộ chiếu điện tử DV. CVCA xác định tất cả các
quyền truy cập đến tới chip RFID cho tất cả các DV (bao gồm các DV trong quốc

gia đó và các DV ở các quốc gia khác) bằng cách cung cấp chứng chỉ cho các DV,
trong đó có mơ tả quyền truy cập thơng tin. Để giảm thiểu nguy cơ mất mát thơng
tin, DV-Cert chỉ có giá trị trong một khoảng thời gian ngắn. CVCA có tồn quyền
gán thời hạn cho DV-Cert và mỗi chứng chỉ của DV khác nhau thì có thời hạn
khác nhau
• Document Verifiers và Inspection Systems
Document Verifiers (DV) là cơ quan xác thực hộ chiếu, một đơn vị tổ chức
và quản lý hệ thống kiểm duyệt IS, cung cấp chứng chỉ số IS-Cert cho các IS. Như
vậy, DV cũng là một CA và được xác thực bởi CVCA.
Inspection System (IS) là hệ thống kiểm duyệt HCĐT tại các điểm xuất nhập
cảnh. Để chip RFID có thể chứng thực được chứng chỉ số IS-Cert thì IS cần phải
gửi một chuỗi chứng chỉ hay các chứng chỉ liên kết quốc gia (CVCA Link
Certificates), bao gồm DV- Cert và IS-Cert.

19


Mơ hình PKI chung cho HCĐT và IS
ICAO PKD
Để chữ ký điện tử trở thành một tính năng bảo mật hiệu quả và hiệu quả, các
quốc gia phải trao đổi chứng chỉ tương ứng với nhau. Trong khi cả hai chứng chỉ
CSCA và DSC có thể được trao đổi song phương, số lượng ngày càng tăng của
các nước phát hành ePassports và khối lượng ePassports tương ứng cao sẽ dẫn
đến một hệ thống không hiệu quả, phức tạp và dễ bị lỗi. Như vậy, ICAO đã tạo ra
một hệ thống để tạo thuận lợi cho việc chia sẻ thông tin giữa các quốc gia: Danh
bạ khóa cơng khai của ICAO (PKD). PKD ICAO là một thư mục tập trung cung
cấp nguồn trực tuyến độc lập, có tổ chức, an tồn và tiết kiệm chi phí để cập nhật
thơng tin.

20



Người tham gia PKD có thể tải lên chứng chỉ CSCA tương ứng của họ, chứng
chỉ người ký chứng chỉ DSC, Danh sách thu hồi chứng chỉ CRL và Danh sách
Chính cho PKD ICAO. Trong khi những người tham gia PKD được yêu cầu gửi
chứng chỉ CSCA của họ đến PKD ICAO, họ không được xuất bản trực tiếp trong
thư mục để tải xuống. Thay vào đó, chúng được sử dụng bởi Nhà điều hành PKD
để xác thực chứng chỉ người ký chứng chỉ, chứng chỉ người đăng ký danh sách và
danh sách thu hồi chứng chỉ của trạng thái phát hành trước khi các mục này được
xuất bản lên PKD ICAO và cung cấp cho người tham gia PKD và những người
dùng khác để tải xuống.

21


2.3. Quy trình cấp phát hộ chiếu điện tử được đề xuất

Quy trình cấp phát hộ chiếu điện tử đề xuất
Quá trình cấp phát hộ chiếu điện tử trải qua các bước sau:
Bước 1: Đăng ký cấp hộ chiếu theo mẫu do cơ quan cấp phát, quản lý hộ chiếu
phát hành. Bước 2: Kiểm tra nhân thân.
Bước 3: Thu nhận thơng tin sinh trắc học gồm có ảnh khn mặt, ảnh vân tay, ảnh
mống mắt. Tuy nhiên tùy thuộc vào ngữ cảnh và đối tượng tương ứng mà thu nhận
các đặc điểm sinh trắc này.
Bước 4: Ghi thông tin vào chip RFID, in hộ chiếu.
−
−
−
−


Ghi thông tin cơ bản như trên trang hộ chiếu giấy vào DG1.
Ghi ảnh khuôn mặt vào DG2;
Ghi ảnh hai vân tay vào DG3.
Ghi hai ảnh hai mống mắt vào DG4.

22