Tiêu chuẩn TCVN 13722:2023 về Khung xác thực viễn sinh trắc sử dụng mô-đun an toàn phần cứng sinh trắc học

CHÚ THÍCH 1 - trong Tiêu chuẩn này, biệt danh (PSID) chính là Pl trong ISO/IEC 24745.

CHÚ THÍCH 2 - BRT chỉ được sử dụng trong chứng thư BRT.

5  Ký hiệu và định nghĩa

Vì mục đích của tiêu chuẩn này, các quy ước sau đây áp dụng cho các biểu thức toán học.

E  Hàm mã hóa

H  Hàm băm

P_k  Khóa kiểm tra chữ ký số

R  Chuỗi bít ngẫu nhiên

R_a  Chuỗi bít ngẫu nhiên sử dụng để thực thi thử thách/phản hồi giữa CA và mô-đun an toàn phần cứng sinh trắc học (BHSM)

...

...

...

S_k  Khóa tạo chữ ký số (khóa bí mật)

6  Mô-đun an toàn phần cứng sinh trắc học cho xác thực viễn sinh trắc

6.1  Tính năng bổ sung của BHSM cho HSM

Một mô-đun an toàn phần cứng (HSM) quản lý và bảo vệ các khóa bí mật quan trọng bằng cách sử dụng ký số nhằm mục đích cung cấp xác thực mạnh. Các HSM là các thiết bị vật lý thường ở dạng thẻ thông minh hoặc USB có khả năng chống can thiệp với sự xâm nhập và sửa đổi hoạt động nội bộ, hay chèn cơ chế tiếp cận chủ động hoặc thụ động để tiết lộ dữ liệu bí mật, cũng như thay đổi hoạt động của các thiết bị.

Phần lớn các tài nguyên mật mã được xử lý chính bởi HSM là các cặp khóa công khai/bí mật (và chứng thư) được sử dụng trong mật mã khóa công khai liên quan đến chứng thư ITU-T X.509 được sử dụng, ví dụ: mã hóa/giải mã và chữ ký số. Nếu khóa bí mật bị lộ, các chứng thư và chữ ký điện tử không còn tính tin cậy và các giao dịch sử dụng HSM có thể là gian lận với các tiềm ẩn có tác động bất lợi nghiêm trọng có thể xảy ra đối với chủ sở hữu khóa và các bên khác trong giao dịch. An toàn vật lý ở mức cao, khi HSM được đảm bảo thực thi đúng cách.

Tuy nhiên, an toàn vật lý chỉ là một nhân tố trong an toàn tổng thể cho quá trình xác thực. An toàn tổng thể là hạn chế cuối cùng với sự đảm bảo HSM đang được sử dụng bởi chủ sở hữu hợp pháp của nó. Thông thường, sự ràng buộc của HSM với chủ sở hữu được cung cấp bằng mã PIN hoặc mật khẩu mà chỉ chủ sở hữu hợp pháp mới biết. Độ mạnh của mật khẩu thường được coi là thấp vì mật khẩu có thể bị lộ do vô tình hoặc bất cẩn từ phía chủ sở hữu, do cố ý tiết lộ hoặc do các cuộc tấn công vật lý vào cơ sở dữ liệu mật khẩu. Việc sử dụng xác thực sinh trắc học để tăng cường hoặc thay thế mật khẩu hay mã PIN có thể cung cấp ràng buộc mạnh mẽ hơn và tăng cường tính xác thực.

Khi một HSM chứa khóa bí mật được sử dụng để xác thực dựa trên cơ sở hạ tầng khóa công khai (PKI), cá nhân người xác minh chỉ có thể kiểm tra xem chứng thư HSM có thuộc về chủ sở hữu hợp pháp đã biết hay không. Tuy nhiên, nó không thể xác nhận rằng người sử dụng HSM và tự xưng là chủ sở hữu của nó là chủ sở hữu hợp pháp. Nếu HSM thuộc quyền sở hữu của một người khác, trong trường hợp cố tình hay vô tình làm lộ mật khẩu như: được chuyển giao cho người khác; có sự thông đồng giữa các bên; bị tấn công và phát hiện, thì HSM có thể được sử dụng để thực hiện các giao dịch gian lận. Mô-đun an toàn phần cứng sinh trắc học là một HSM sử dụng sinh trắc học để xác thực người dùng cục bộ vào mô-đun nhằm cung cấp thêm sự đảm bảo cho các giao dịch.

6.2  Kịch bản chung để sử dụng BHSM

Việc sử dụng BHSM được giới hạn trong việc xác thực người sử dụng các dịch vụ đối với các nhà cung cấp dịch vụ. Vì vậy, nó trở thành một phần của hệ thống lớn hơn cho việc cung cấp các dịch vụ và người dùng truy cập vào các dịch vụ. Trong dạng tình huống này, người dùng tương tác với dịch vụ thông qua giao diện máy khách (I/F), ví dụ: máy tính cá nhân hoặc thiết bị di động. BHSM được kết nối với khách hàng và các tín hiệu điện chuyển giữa BHSM và người dùng, hay giữa dịch vụ chuyển qua khách hàng với tư cách là người trung gian.

...

...

...

Có thể có các cơ chế tại chỗ để bảo vệ thông tin liên lạc giữa khách hàng và dịch vụ nhưng những cơ chế này không được Tiêu chuẩn này đề cập đến. Các biện pháp và giao thức an toàn được mô tả trong Tiêu chuẩn này chỉ quan tâm đến việc xác thực của người dùng đối với dịch vụ sử dụng BHSM. Điều này bao gồm các biện pháp để đảm bảo giao tiếp end-to-end an toàn giữa BHSM và dịch vụ sao cho, ví dụ, kẻ mạo danh không thể xác thực dịch vụ với tư cách là người dùng được ủy quyền bằng cách đánh cắp hay giả mạo BHSM hoặc khách hàng.

6.3  Xác thực viễn sinh trắc sử dụng BHSM

Xác thực viễn sinh trắc có thể cung cấp xác thực người dùng an toàn bằng cách sử dụng xác thực sinh trắc học qua mạng mở nhưng trong một số mô hình, thông tin sinh trắc học phải được truyền đến máy chủ xác thực thông qua mạng mở. Khi sử dụng sinh trắc học, cần phải cân nhắc đến tính an toàn và quyền riêng tư của thông tin sinh trắc học. Cuối cùng, việc tích hợp xác thực sinh trắc học với HSM có thể là một giải pháp vì thông tin sinh trắc học có thể vẫn nằm trong tầm kiểm soát của người dùng với một mô-đun chống can thiệp. Trong trường hợp này, các tham chiếu sinh trắc học được lưu trữ duy nhất trong BHSM chứ không phải trên máy chủ xác thực và không bắt buộc phải chuyển qua mạng mở. cần cân nhắc việc sử dụng các tham chiếu sinh trắc học làm mới (RBR) và biệt danh để nếu một tham chiếu sinh trắc học (BR) bị lộ, nó có thể bị hủy bỏ và cung cấp một tham chiếu mới cho người dùng cùng với một biệt danh mới. Việc sử dụng các tham chiếu sinh trắc học làm mới và các biệt danh đảm bảo chống lại việc dữ liệu sinh trắc học của các tham chiếu sinh trắc học đã bị thu hồi có thể được trích xuất từ biệt danh.

Sơ đồ xác thực viễn sinh trắc dựa trên BHSM được mô tả trong Tiêu chuẩn này dựa trên PKI hiện có và cần được tích hợp với nó một cách thích hợp. Tiêu chuẩn này hỗ trợ các cặp khóa phi đối xứng sử dụng hệ mật RSA hoặc các loại mật mã khác hỗ trợ mã hóa/giải mã. Tiêu chuẩn này mô tả phương pháp để ràng buộc thông tin sinh trắc học của người dùng đã đăng ký của BHSM với chứng thư ITU-T X.509.

Các giao thức hoạt động và giao dịch BHSM được mô tả trong Tiêu chuẩn này liên quan đến các vai trò sau:

- Một người dùng, một chủ sở hữu BHSM có chứng thư ITU-T X.509 và tham chiếu sinh trắc học được lưu trữ trong BHSM;

- Một máy chủ xác thực và một bên phụ thuộc có yêu cầu xác thực cho người dùng;

- Một tổ chức có thẩm quyền đăng ký cần đăng ký tham chiếu sinh trắc học của người dùng và cung cấp thông tin nhận dạng sinh trắc học được lưu trữ trong BHSM của người dùng;

- Một tổ chức chứng thực (CA) cấp chứng thư ITU-T X.509 của người dùng.

...

...

...

- CA phải có khả năng cung cấp chứng thư ITU-T X.509 với PSID;

- CA không được sử dụng tham chiếu sinh trắc học gốc của người dùng ở bất kỳ đâu trong chứng thư khóa công khai, để tránh khả năng tiết lộ dữ liệu sinh trắc học riêng tư của người dùng;

- Để bảo vệ thông tin có thể nhận dạng cá nhân và quyền riêng tư của người dùng, dữ liệu sinh trắc học của người dùng không được rời khỏi BHSM. Trong quá trình đăng ký và xác thực sinh trắc học, chỉ PSID mới được rời khỏi BHSM.

7  Xác thực viễn sinh trắc với mô-đun an toàn phần cứng sinh trắc học

7.1. Quy định chung

Tiêu chuẩn này mô tả hai phương pháp đăng ký thành viên và xác thực bằng BHSM. Đầu tiên là mô tả giao thức sử dụng phần mở rộng chứng thư ITU-T X.509 để chứa thông tin nhận dạng người dùng. Thứ hai là mô tả một giao thức đã sửa đổi sử dụng chứng thư ITU-T X.509 kết hợp với bối cảnh xác thực ISO/IEC 24761 đối với triển khai xác thực sinh trắc học (ACBio - authentication context for biometrics).

Tính toàn vẹn và sự đảm bảo của việc đăng ký thành viên phụ thuộc vào mối quan hệ tin cậy giữa RA và CA, cũng như các thủ tục để đăng ký thành viên được thực hiện hoàn toàn dưới sự giám sát liên tục của RA. RA trong PKI có vai trò hạn chế hơn nhiều so với RA được đặc tả trong Tiêu chuẩn này. Vì vậy, đây là một giả định trong các thủ tục đăng ký được mô tả trong 7.2.1 và 7.2.2. Lưu ý rằng nếu các điều kiện này không được thực hiện, tính toàn vẹn và đảm bảo của việc đăng ký thành viên có thể bị ảnh hưởng.

7.2. Các thủ tục để đăng ký thành viên

7.2.1  Thủ tục đăng ký thành viên sử dụng mở rộng chứng thư ITU-T X.509

...

...

...

Hình 2 - Quy trình đăng ký thành viên với BHSM

a) Người dùng trực tiếp tới RA, tại đó định danh và quyền đăng nhập của họ đã được thiết lập. Các đặc điểm sinh trắc học của người dùng có liên quan được thu thập và tham chiếu sinh trắc học được tạo cho người dùng. RA cung cấp BHSM cho người dùng và lưu trữ tham chiếu sinh trắc học của người dùng trong BHSM;

b) RA tạo PSID - xem 8.1.2 để biết thêm thông tin về cách tạo PSID

c) RA lưu trữ PSID trong BHSM của người dùng;

d) RA gửi PSID đã tạo tới CA;

e) Sau khi người dùng thực hiện xác thực sinh trắc học thành công đối với BHSM, người dùng sẽ tạo khóa bí mật và khóa công khai của mình trong BHSM;

f) Người dùng tạo yêu cầu ký chứng thư (CSR - certificate signing request) tới CA yêu cầu chứng thư ITU-T X.509 sau khi xác thực sinh trắc học thành công bằng BHSM;

g) CA tạo chứng thư ITU-T X.509 của người dùng bao gồm PSID trong trường mở rộng subjectAltName có chứa directoryName;

...

...

...

CHÚ THÍCH - Trong Tiêu chuẩn này, vai trò của khóa công khai và khóa bí mật của người dùng không được mô tả chi tiết vì chúng sẽ được sử dụng cho các hệ thống mật mã khóa công khai thông thường như mã hóa/giải mã và chữ ký số. Ngoài ra, phương pháp ký và mật mã khóa công khai chính xác được sử dụng sẽ phụ thuộc vào hệ thống mật mã được chọn (ví dụ: RSA hay hệ mật trên Đường cong Elliptic).

7.2.2. Quy trình đăng ký thành viên áp dụng ISO/IEC 24761

Quy trình đăng ký thành viên để cấp chứng thư ITU-T X.509 và chứng thư mẫu tham chiếu sinh trắc học (BRT), được đặc tả trong ISO / IEC 24761, để sử dụng BHSM được mô tả trong Hình 3. Trong Hình 3, toàn bộ tập thủ tục của quy trình đăng ký được mô tả. Để đảm bảo an ninh, toàn bộ quá trình đăng ký phải được thực hiện dưới sự kiểm soát của RA

Hình 3 - Quy trình đăng ký thành viên với BHSM sử dụng ACBBio

a Người dùng trực tiếp tới RA, trên đó định danh và cấp quyền đăng nhập của họ đã được thiết lập;

b) Người dùng tạo cặp khóa công khai và khóa bí mật trong BHSM;

c) Người dùng gửi yêu cầu cấp chứng thư ITU-T X.509 tới CA;

d) CA tạo chứng thư ITU-T X.509 theo yêu cầu;

...

...

...

f) Người dùng lưu trữ chứng thư ITU-T X.509 trong BHSM;

g) Người dùng tạo tham chiếu sinh trắc học và phiên bản ACBio để đăng ký thành viên;

h) Người dùng gửi yêu cầu cấp chứng thư BRT với các giá trị của serialNumber và tổ chức phát hành trong chứng thư ITU-T X.509 và phiên bản ACBio để đăng ký thành viên với tổ chức chứng thư BRT;

i) Tổ chức chứng thư BRT tạo chứng thư BRT, đặt giá trị của serialNumber vào trường pkiCertificateSerialNumber, giá trị của người cấp cho trường pkiCertificatelssuerName và phiên bản ACBio để đăng ký thành viên vào trường enrolmentACBiolnstances tương ứng;

j) Tổ chức chứng thư BRT gửi chứng thư BRT tới người dùng;

k) Người dùng lưu trữ chứng thư BRT cũng như tham chiếu sinh trắc học trong BHSM;

l) Người dùng gửi chứng thư ITU-T X.509 và chứng thư BRT tới RA để đăng ký;

m) RA lưu trữ chứng thư ITU-T X.509 và chứng thư BRT trong cơ sở dữ liệu người dùng.

CHÚ THÍCH - Việc nhận dạng là cần thiết để cấp chứng thư ITU-T X.509 và chứng thư BRT nhưng quy trình nhận dạng bị bỏ qua trong phần mô tả ở trên.

...

...

...

7.3.1. Quá trình xác thực sử dụng mở rộng của chứng thư ITU-T X.509

Quá trình viễn sinh trắc với BHSM có thể được mô tả như trong Hình 4, sơ đồ thông tin chi tiết hơn của BHSM và nhà cung cấp dịch vụ được mô tả trong Hình 5, thử thách phản hồi được thêm vào để bảo vệ cuộc tấn công phát lại

Hình 4 - Xác thực viễn sinh trắc với BHSM

a) Người dùng truy cập một dịch vụ tại máy chủ xác thực

b) Máy chủ xác thực tạo ra một số ngẫu nhiên R_a như một thử thách. Thử thách này được gửi đến hệ thống người dùng và đầu vào BHSM

c) Người dùng thực hiện xác thực sinh trắc học cục bộ sử dụng mô-đun sinh trắc học trong BHSM;

d) BHSM lấy PSID và thử thách R_a, đồng thời tính toán chữ ký số bằng cách ghép hai dữ liệu này sử dụng sk, khóa bí mật của BHSM;

e) Chữ ký số được tạo trong bước d) được mã hóa, sử dụng khóa công khai của máy chủ xác thực;

...

...

...

g) Máy chủ xác thực sử dụng khóa bí mật của nó để giải mã thông điệp;

h) Máy chủ xác thực xác minh chữ ký với chứng thư ITU-T X.509 của BHSM sử dụng khóa công khai của nó;

i) Chủ sở hữu của chứng thư ITU-T X.509 được xác thực bởi máy chủ xác thực qua việc so sánh PSID trong chứng thư ITU-T X.509 và Ra được tạo ở bước b) với PSID được lấy ra và Ra trong bước g) tương ứng;

j) Nếu xác thực thành công, máy chủ xác thực sẽ cung cấp dịch vụ mà người dùng yêu cầu, ngược lại máy chủ xác thực sẽ từ chối dịch vụ được người dùng yêu cầu.

Hình 5 - Luồng thông tin trong xác thực viễn sinh trắc với BHSM

7.3.2. Quá trình xác thực áp dụng ISO/IEC 24761

Tiêu chuẩn này có thể áp dụng ISO/IEC 24761 để kiểm tra tính hợp lệ của kết quả của quá trình xác minh sinh trắc học được thực hiện trong BHSM. Quá trình xác thực viễn sinh trắc với BHSM sử dụng ACBio được mô tả trong Hình 6.

...

...

...

a) Người dùng truy cập tới một dịch vụ tại máy chủ xác thực;

b) Máy chủ xác thực tạo một số ngẫu nhiên R_a là một thử thách;

c) Máy chủ xác thực gửi thử thách tới người dùng;

d) Người dùng thực hiện xác thực sinh trắc học bằng BHSM và một thể hiện ACBio được tạo trong BHSM với thử thách được đặt trong trường controlValue nếu xác thực sinh trắc học thành công

e) Phản hồi là chữ ký số lên thử thách, được tạo trong BHSM với khóa bí mật của người dùng;

f) Phản hồi và một phiên bản ACBio được gửi tới máy chủ xác thực;

g) Máy chủ xác thực thực hiện xác thực phản hồi và phiên bản ACBio;

h) Dịch vụ được cung cấp cho người dùng từ máy chủ xác thực nếu cả hai quá trình xác minh và xác thực thành công

8. Quy trình xác thực viễn sinh trắc dựa trên BHSML

...

...

...

8.1.1  Đăng ký tham chiếu sinh trắc học

Sau khi một người dùng được định danh đúng và xác thực thành công, các đặc điểm sinh trắc học có liên quan của họ sẽ được thu thập. Một tham chiếu sinh trắc học tương ứng được RA tạo ra và được lưu trữ trong BHSM để sử dụng sau này nhằm xác thực người dùng với BHSM. Tham chiếu sinh trắc học phải được bảo vệ theo các yêu cầu về tính an toàn, tính toàn vẹn, khả năng làm mới/thu hồi và yêu cầu riêng tư đối với ứng dụng. ISO/IEC 24745 cung cấp các hướng dẫn về quản lý và xử lý thông tin sinh trắc học an toàn và tuân thủ quyền riêng tư

8.1.2. Tạo PSID

8.1 2.1. Quy định chung

Cần có định danh người dùng để định danh người dùng được ủy quyền của BHSM. Định danh này sẽ được ràng buộc với chứng thư ITU-TX.509 của người dùng. Định danh phải là duy nhất trong miền ứng dụng của BHSM. Nó có thể được tạo ra dưới bất kỳ hình thức thích hợp nào tùy theo yêu cầu của ứng dụng. Đó có thể là thông tin nhận dạng cá nhân cho phép biết được danh tính thực sự của người dùng cần được biết; cách khác, nó có thể là một biệt danh và không được liên kết với danh tính thực của người dùng nhưng cho phép liên kết các giao dịch với những người dùng có biệt danh trong miền ứng dụng của BHSM.

PSID được sử dụng với BHSM là biệt danh của người dùng tuân theo các yêu cầu sau:

- PSID phải là duy nhất trong bối cảnh sử dụng BHSM;

- Quá trình đăng ký phải đảm bảo rằng giá trị PSID có trong chứng thư ITU-T X.509 là đúng giá trị PSID được lưu trữ trong BHSM.

8.1.2.2. Tạo PSID bằng cách sử dụng tham chiếu sinh trắc học của người dùng

...

...

...

Một số ngẫu nhiên an toàn (ít nhất 160 bit) phải được tạo đúng cách và được sử dụng cùng với tham chiếu sinh trắc học để tạo PSID. RA sẽ tạo PSID để đưa vào chứng thư ITU-T X.509 như sau:

PSID = h(BR, R)

trong đó BR là tham chiếu sinh trắc học được trích xuất từ người dùng, R là số ngẫu nhiên và h là hàm băm phù hợp. Một ví dụ về kiểu Cú pháp ký hiệu trừu tượng một (ASN.1) cho PSID được mô tả trong Phụ lục A. Sau khi PSID được tạo ra, RA sẽ phải lưu trữ an toàn PSID trong BHSM của người dùng và cũng sẽ được chuyển một cách an toàn đến CA.

8.1.3. Yêu cầu và cấp phát chứng thư số

Dưới sự kiểm soát của RA, BHSM yêu cầu CA cấp chứng thư ITU-T X.509 cho người dùng. Các thông tin sau đi kèm với yêu cầu:

a) Mã hóa PSID (EPSID) (với khóa công khai của CA);

b) Tên phân biệt của người dùng

CHÚ THÍCH - Tên phân biệt của người dùng (DN- distinguished name) có thể là chính PSID

c) Khóa công khai của người dùng

...

...

...

e) Thời hạn hiệu lực của chứng thư

Để đưa EPSID vào thông điệp yêu cầu ký chứng thư số, EPSID phải được triển khai và lưu theo định dạng được mô tả trong Phụ lục A

PSID được mã hóa trong thông điệp yêu cầu ký chứng thư số cho CA như sau:

EPSID = E(PSID)

Tại đây, thuật toán mã hóa và khóa công khai có liên quan được trích xuất từ chứng thư phân phối khóa của CA. Kiểu ASN.1 cho EPSID được mô tả trong 8.3.

8.1.4. Gửi chứng thư ITU-T X.509 bao gồm PSID

Khi CA nhận được thông điệp yêu cầu chứng thư số, CA sẽ kiểm tra xem khóa tạo chữ ký số đang sở hữu có khớp với khóa xác minh chữ ký số của người dùng hay không. PSID được trích xuất bằng cách giải mã EPSID từ thông điệp yêu cầu chứng thư với khóa bí mật của CA. CA có thể kiểm tra tính đúng đắn của PSID được trích xuất bằng cách so sánh PSID nhận được từ RA. PSID sẽ được cấu hình như mô tả trong Phụ lục A và được chèn vào trường subjectAltName trong số các trường mở rộng của chứng thư ITU-T X.509. CA tạo chứng thư ITU-T X.509 của người dùng bao gồm PSID trong trường tiện ích mở rộng.

8.2. Quá trình xác thực viễn sinh trắc dựa trên BHSM

Người dùng yêu cầu một dịch vụ và được hướng dẫn đến máy chủ xác thực cho dịch vụ. Máy chủ xác thực tạo ra một số ngẫu nhiên R_a và gửi nó đến BHSM để sử dụng trong trao đổi thử thách/phản hồi nhằm chống tấn công phát lại. Người dùng đưa ra đặc điểm sinh trắc học có liên quan để xác thực cục bộ với BHSM. BHSM so sánh dữ liệu sinh trắc học đã thu được với tham chiếu sinh trắc học cho người dùng hợp lệ được lưu trữ trong BHSM. Nếu xác thực không thành công (sau một số lần thử cho phép), thì BHSM sẽ thông báo cho dịch vụ xác thực về việc xác thực không thành công và máy chủ xác thực chấm dứt giao dịch. Trong trường hợp đó, bất kỳ nỗ lực nào tiếp theo trong một khoảng thời gian ngắn sẽ không thành công.

...

...

...

Nếu xác thực thành công, BHSM sẽ gửi PSID đã ký và thử thách R_a được mã hóa bằng khóa bí mật của người dùng đến máy chủ xác thực. Chứng thư ITU-T X.509 cũng được gửi đến máy chủ xác thực như một phần trong quá trình truyền. Máy chủ xác thực sẽ xác thực quyền sở hữu chứng thư ITU-T X.509 bằng cách so sánh PSID trong chứng thư với PSID đã giải mã được BHSM gửi trong lần truyền trước đó. Nếu cả hai giống hệt nhau, máy chủ xác thực chấp nhận yêu cầu dịch vụ và chuyển nó cho nhà cung cấp dịch vụ để xử lý.

8.3. Kiểu ASN.1 cho PSID được mã hóa

DataSetForEncryptedPSID gồm các thành phần sau:

- version tham chiếu đến số phiên bản của Tiêu chuẩn này. Khi Tiêu chuẩn này được tham chiếu, giá trị v1 (0) sẽ được sử dụng;

- psidEncAlg tham chiếu đến thuật toán mã hóa phi đối xứng và tham số được sử dụng để mã hóa PSID. Thuật toán phải giống với thuật toán có trong chứng thư của CA;

encryptedPsid là PSID được mã hóa với khóa công khai của tổ chức chứng thực.

Phụ lục A

...

...

...

(quy định)

A.1. Tổng quan

Phụ lục này áp dụng cho cơ chế quy định tại Điều 7 và Điều 8.

A.2. PSID được mã hóa yêu cầu chứng thư ITU-T X509

Một thông điệp yêu cầu cấp chứng thư số với PSID được mã hóa sẽ được gửi đến CA. PKCS#10 bao gồm tên phân biệt của người dùng và thông tin khóa xác thực chữ ký số của người dùng, đồng thời bao gồm các thành phần thuộc tính để nhập thông tin bổ sung. Thành phần thuộc tính có thể bao gồm định danh đối tượng (OID) và tất cả các thuộc tính có cấu trúc cụ thể. Do đó, thành phần có thế bao hàm PSID cho EncryptedPsid được mã hóa cần sử dụng OID.

A.3. ASN.1 cho PSID

Cấu trúc PSID gồm các thành phần sau:

- hashAlg tham chiếu đến thuật toán băm và tham số được sử dụng để tạo PSID.

...

...

...

- bR là tham chiếu sinh trắc học được trích xuất từ thông tin sinh trắc học. Có thể sử dụng bất kỳ phương thức sinh trắc học nào (vân tay, khuôn mặt, mống mắt, v.v.). Để thể hiện bR, phải sử dụng một phần thích hợp của loạt tiêu chuẩn ISO/IEC 19794.

- randomNum là số ngẫu nhiên R

Chú thích - Khuyến nghị về tham chiếu sinh trắc học được thể hiện bằng Bản ghi thông tin sinh trắc học (BIR) được đặc tả trong ISO/IEC 19785-1.

Để chèn PSID vào chứng thư ITU-T X.509, nó sẽ được ghi trong trường mở rộng subjectAltName có chứa directoryName.

Trường realName chứa tên được mã UTF8String của chủ sở hữu chứng thư số và trường userlnfo chứa thông tin định danh bổ sung của chủ sở hữu chứng thư số, cũng như PSID

Phụ lục B

Các quá trình chèn PSID sử dụng PKCS #10 có sửa đổi

(tham khảo)

...

...

...

Tài liệu tham khảo

[1]. TCVN 11817-1:2017, Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực thực thể - Phần 1: Tổng quan, (ISO/IEC 9798-1:2010, Information technology - Security techniques - Entity Authentication - Parti: General).

[2]. ISO/IEC 2382-37:2012, Information technology - Vocabulary -Part 37: Biometrics.

[3]. ISO/IEC 15945:2002, Information technology - Security techniques - Specification of TTP services to support the application of digital signature.