Hộ chiếu điện tử và một số nguy cơ về an toàn thông tin
Hộ chiếu điện tử là gì
Hộ chiếu điện tử (e-passport) đã được sử dụng rộng rãi ở Mỹ, châu Âu và một số nước châu Á như Singapore, Nhật Bản.... Ở Việt Nam, HCĐT đang được đề xuất sử dụng.
Hình 1. Minh họa của một hộ chiếu điện tử
HCĐT có hình dạng giống như các loại hộ chiếu hiện hành nhưng được gắn thêm con chip điện tử (microchip) mỏng ở bìa sau, trong đó có các dữ liệu như họ và tên, ngày sinh, số hộ chiếu.... Con chip trong hộ chiếu là chip nhận dạng tần số radio, có lưu một ảnh kỹ thuật số của người sở hữu hộ chiếu và còn có thể chứa thêm dấu vân tay của chủ thể. Thẻ này được cấu tạo bằng vật liệu đặc biệt để ít bị ảnh hưởng bởi các lực tác động, chống hấp thụ nhiệt để bảo vệ các linh kiện điện tử bên trong hoạt động ổn định.
Mục đích ra đời của HCĐT là để tăng cường tính bảo mật, hạn chế loại tội phạm làm hộ chiếu giả và tăng hiệu quả kiểm soát hộ chiếu.
Loại HCĐT phổ biến là hộ chiếu có trang bị thẻ nhận dạng tần số radio RFID (Radio Frequency IDentification). Để đọc loại hộ chiếu này, sẽ có một đầu đọc được lập trình để đọc thông tin từ con chip, thậm chí còn có thể xác định được quốc tịch của người mang hộ chiếu bằng cách nhận dạng đặc điểm của con chip này. Từ đầu đọc tại cơ quan kiểm soát nhập cảnh, các thông tin cơ bản về tấm hộ chiếu và người sở hữu hộ chiếu được mã hóa, phát đi theo sóng radio về bộ giải mã tại cơ qua quản lý dân sự của các nước, mà người sở hữu hộ chiếu có quốc tịch. Tại đây, cơ sở dữ liệu về nhân thân người sở hữu hộ chiếu sẽ được cung cấp, mã hóa và gửi trở lại cơ quan kiểm soát nhập cảnh nói trên.
Như vậy, dưới góc độ kỹ thuật, một HCĐT là sự kết hợp của con chip, hệ điều hành và các ứng dụng chạy trên chip điện tử đó, thông tin lưu trong chip cùng với các cơ chế bảo mật được thiết lập.
Một số nguyên tắc bảo mật của HCĐT
Quy trình bảo mật của HCĐT dựa trên một số cơ chế bảo mật nhằm bảo vệ tính bí mật, tính toàn vẹn và tính xác thực của dữ liệu nằm trong chip điện tử của HCĐT.
HCĐT gồm có chữ ký điện tử trên dữ liệu thực hiện một liên kết đáng tin cậy với quốc gia phát hành qua cơ chế Xác thực thụ động (Passive Authentication - PA) và dữ liệu thực hiện một liên kết đáng tin cậy với người mang sinh trắc học. PA là cơ chế để tạo ra và xác thực chữ ký điện tử. Nó cho phép một hệ thống kiểm tra IS (Inspection System) thẩm định tính xác thực của dữ liệu chứa bên trong HCĐT. Vì vậy, nó là cơ chế thiết yếu của HCĐT. Lỗ hổng trong cơ chế này sẽ trực tiếp đe dọa đến an ninh biên giới.
Những lỗ hổng trong các cơ chế bảo mật như trong bộ kiểm soát truy nhập như Kiểm soát truy nhập cơ bản (Basic Access Control - BAC), Kiểm soát truy nhập mở rộng (Extended Access Control - EAC), hay hồ sơ bảo vệ chip (Protection Profile) có thể gây ra sự rủi ro cho thông tin cá nhân chủ sở hữu, nhưng không gây nguy hiểm trực tiếp cho an ninh biên giới.
Thứ nhất, cơ chế BAC được sử dụng để ngăn chặn việc lấy trộm thông tin. Nó tương tự như số PIN trên thẻ SIM hay thẻ ngân hàng, thông tin trên chip chỉ có thể đọc được khi các dòng có sẵn trên thẻ (gọi là printed lines) được quét và đọc trước. Để thực hiện được BAC, hệ thống kiểm tra IS cần phải truy nhập vào vùng MRZ (Machine Readable Zone) nằm trong HCĐT. IS cần dữ liệu vùng này (cụ thể là số hộ chiếu, ngày tháng năm sinh của chủ hộ chiếu, ngày hết hạn của hộ chiếu) để lấy các khóa mã hóa đối xứng sử dụng trong BAC. Những khóa này sẽ cho phép truy nhập vào chip điện tử và đảm bảo tính bí mật, tính toàn vẹn của các thông điệp trong các liên lạc tiếp xúc giữa IS và giấy thông hành MRTD (Machine Readable Travel Document). Một số nơi như EU thì đòi hỏi cơ chế BAC ở cả 2 loại HCĐT đang lưu hành trong khu vực châu Âu là các HCĐT có thể đọc bằng máy (electronic Machine Readable Passport - e-MRP) và Giấy thông hành điện tử có thể đọc được bằng máy (electronic Machine Readable Travel Document - e-MRTD). Nhưng tổ chức Hàng không dân dụng Quốc Tế (Internaltional Civil Aviation Organization - ICAO) chỉ quy định BAC như là một cơ chế không bắt buộc của MRTD. Hệ quả là IS có thể đọc được cả 2 loại MRTD có hỗ trợ BAC và MRTD không hỗ trợ BAC.
Hình 2: Sơ đồ phân cấp của chữ ký số PKI
Thứ hai, cần phải nói đến cơ chế PA, sử dụng để kiểm tra tính toàn vẹn và tính xác thực của dữ liệu trong chip điện tử để xem đó có phải là dữ liệu do cơ quan có thẩm quyền ban hành hay không. Đối với điều này, PA sử dụng một cơ sở hạ tầng khóa công khai (PKI) chuyên dụng hay còn gọi là Hạ tầng chữ ký số khóa công khai PKI. Chip điện tử có chứa một cấu trúc dữ liệu logic (LDS), trong đó dữ liệu được tổ chức thành các nhóm Data Group - DG. Để đảm bảo tính toàn vẹn của các DG, nơi cấp đã phải tính toán một giá trị băm trên mỗi DG riêng và đặt các giá trị băm này trong đối tượng bảo mật tài liệu (Document Security Object SOd). Tính xác thực của các giá trị băm được bảo đảm bởi chữ ký số được tạo ra bởi cơ quan có thẩm quyền phát hành (Document Signer - DS) dựa trên sự kết nối của các giá trị băm. Vì vậy, tính toàn vẹn và xác thực của tất cả dữ liệu trong tất cả các DG đều được đảm bảo.
Khi một giấy thông hành điện tử MRTD được xuất trình biên giới, hệ thống IS sẽ tính toán giá trị băm của mỗi DG mà nó đọc được và so sánh chúng với các giá trị băm có trong SOd. Để xác định các giá trị băm này là không bị thay đổi và được xác thực, hệ thống IS sẽ kiểm tra chữ ký số. Việc đối chiếu, so sánh chữ ký số đảm bảo rằng dữ liệu trong DG không bị thay đổi và được xác thực.
Để thực hiện được PA, một IS cần chứng thư số của cơ quan có thẩm quyền phát hành DS, nơi đã tạo ra chữ ký số dựa trên các giá trị băm của DG. Chứng nhận này chứa một khóa dùng để kiểm tra tính hợp lệ của chữ ký số. Thông thường, chứng thư số của DS có thể đọc được từ e-MRTD. Nếu không, chứng thư số của DS phải có sẵn ở một nguồn bên ngoài nào đó. ICAO thường sử dụng e-MRTD cho chứng thư số DS (CDS) thông qua ICAO PKD như trong Hình 2.
ICAO cũng khuyến khích việc đính kèm CDS vào SOd trong e-MRTD. Tuy nhiên, điều này làm tốn không gian lưu trữ trên chip e-MRTD. Việc đặt CDS ở một nguồn bên ngoài cũng có thể sẽ an toàn hơn. Tính xác thực của CDS có thể được đảm bảo bởi thẩm quyền chứng nhận chữ ký số quốc gia (Country Signing Certification Authority - CSCA) của nơi cấp (IA issuing authority). Vì vậy, để kiểm tra CDS, IS cần xác nhận của CSCA tương ứng. Chứng thư số (gốc) này phải có sẵn từ một nguồn cung cấp bên ngoài và sẽ được trao đổi song phương, không thông qua ICAO Public Key Directory (PKD). Cần thiết phải có một cơ chế PA tin cậy để đảm bảo rằng cơ sở hạ tầng kiểm tra chỉ bao gồm có các chứng thư số là của chính nơi cung cấp hợp pháp và tin tưởng được.
Thứ ba, là cơ chế xác thực chủ động (Active Authentication - AA).
AA là cơ chế cho phép IS có thể phân biệt được giữa e-MRTD bản gốc và e-MRTD nhân bản bằng cách xác thực dữ liệu điện tử thuộc các giấy tờ vật lý và các chip vật lý. Cơ chế này là tùy chọn nên nó không hiển thị trên tất cả các loại HCĐT.
Để xác thực dữ liệu trên các giấy tờ thuần túy vật lý, ICAO yêu cầu phải so sánh giữa MRZ với dữ liệu MRZ từ DG.
Để xác thực dữ liệu của chip vật lý, một giao thức hỏi-đáp được thực hiện giữa chip và IS. Cách dùng được tạo ra từ tài liệu khóa công khai lưu ở DG và khóa bí mật tương ứng nằm trong chip được bảo vệ an toàn. Khóa công khai có sẵn cho IS nhưng khóa bí mật không thể đọc được. Chỉ bản e-MRTD gốc mới có thể nhận biết khóa bí mật này. Hệ thống IS gửi một yêu cầu tới e-MRTD. E-MRTD ký số vào yêu cầu này với khóa bí mật và gửi hồi đáp cho IS để kiểm tra. IS sẽ xác nhận hồi đáp bằng cách kiểm tra chữ ký sốvới khóa công khai từ DG. Do tính tồn tại duy nhất của cặp khóa bí mật - công khai này, IS có thể xác định từ chữ ký số mà e-MRTD có trong hệ thống có phải là khóa bí mật chính xác hay không và do đó có phải là bản gốc hay không. Cơ chế PA đảm bảo thông tin xác thực của khóa công khai AA lưu trong DG 15.
Bên cạnh đó, hệ thống cơ sở Hạ tầng khóa công khai PKI cũng đóng góp vai trò trong việc bảo mật cho HCĐT. Có 3 loại PKI khác nhau cần để kiểm tra một HCĐT là:
- PKI ký số tên quốc gia để IS xác thực bị động PA.
- PKI xác thực quốc gia để xác thực đầu cuối
- PKI cho giao tiếp an toàn.
Cuối cùng, để đọc được thông tin trên chip, phải có một đầu đọc đúng chuẩn và để ở khoảng cách đủ gần loại hộ chiếu này.
Một số nguy cơ đối với hộ chiếu điện tử
HCĐT ra đời đã giúp cho thông tin của chủ sở hữu được bí mật và tiện lợi cho công việc kiểm tra. Tuy nhiên, với sự phát triển nhanh chóng của công nghệ, những nguy cơ mất an toàn thông tin đối với loại hộ chiếu mới này cũng đã phát sinh gây khó khăn cho các nhà quản lý trong việc kiểm soát xuất, nhập cảnh.
Năm 2006, tại Hội nghị Black hat, một số chuyên gia đã thử nghiệm cho thấy chỉ cần một chiếc máy tính có trang bị đầu đọc RFID đã có thể sao chép thành công loại HCĐT trang bị thẻ nhận dạng tần số radio. Điều nguy hại là người sở hữu HCĐT có thể bị lấy cắp thông tin mà không hề biết. Kẻ lấy cắp thông tin sử dụng một đầu đọc RFID, đặt đầu đọc đó trong vòng bán kính phát sóng radio của thẻ RFID gắn trên hộ chiếu là có thể copy dữ liệu lưu trong con chip của hộ chiếu. Thông tin lấy được chỉ cần ghi vào một con chip mới, thay một tấm ảnh khác là đã có một tấm hộ chiếu mới.
Như vậy, công nghệ làm giả HCĐT cũng có thể theo kịp công nghệ làm ra loại hộ chiếu đó. Do vậy, việc ngăn chặn hộ chiếu giả vẫn là một vấn nạn cần giải quyết triệt để. Tội phạm có thể sử dụng hộ chiếu giả để nhập cảnh vào các nước, hoặc mở tài khoản ngân hàng, chuyển tiền “bẩn”, rửa tiền....
Kết luận
Với tấm HCĐT trên tay, người sử dụng vẫn sẽ thấy yên tâm hơn khi thông tin của họ đã được số hóa, và được quản lý chặt chẽ. Cũng như các thủ tục xuất, nhập cảnh được xử lý sẽ nhanh gọn hơn. Tuy nhiên, việc đưa HCĐT vào sử dụng cũng gặp phải một số nguy cơ như đã kể trên. Điều đó đòi hỏi các cơ quan chức năng phối hợp với các nhà sản xuất nghiên cứu tìm ra một biện pháp bảo vệ thông tin chủ sở hữu thật sự an toàn, bí mật.