Đang tải... (xem toàn văn)
Tiêu chuẩn này quy định lệnh liên ngành có thể được sử dụng cho hoạt động mã hóa. Việc chọn lựa và điều kiện sử dụng phương thức mã hóa có thể ảnh hưởng tới khả năng xuất khẩu thẻ. Việc đánh giá sự phù hợp của thuật toán và giao thức không được đề cập trong phạm vi của tiêu chuẩn. Tiêu chuẩn này không đề cập đến việc thiết lập bên trong thẻ và/hoặc thế giới bên ngoài.
TIÊU CHUẨN QUỐC GIA TCVN 11167-8:2015 ISO/IEC 7816-8:2004 THẺ DANH ĐỊNH - THẺ MẠCH TÍCH HỢP - PHẦN 8: LỆNH ĐỐI VỚI THAO TÁC AN NINH Identification cards - Integrated circuit cards - Part 8: Commands for security operations Lời nói đầu TCVN 11167-8:2015 hồn tồn tương đương với ISO/IEC 7816-8:2004 TCVN 11167-8:2015 Tiểu Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1/SC 17 “Thẻ nhận dạng” biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố Bộ tiêu chuẩn TCVN 11167 (ISO/IEC 7816) Thẻ định danh - Thẻ mạch tích hợp gồm tiêu chuẩn sau: - Phần 1: Thẻ tiếp xúc - Đặc tính vật lý; - Phần 2: Thẻ tiếp xúc - Kích thước vị trí tiếp xúc; - Phần 3: Thẻ tiếp xúc - Giao diện điện giao thức truyền; - Phần 4: Tổ chức, an ninh lệnh trao đổi; - Phần 5: Đăng ký bên cung cấp ứng dụng; - Phần 6: Phần tử liệu liên ngành trao đổi; - Phần 7: Lệnh liên ngành ngôn ngữ truy vấn thẻ có cấu trúc; - Phần 8: Lệnh hoạt động an ninh; - Phần 9: Lệnh quản lý thẻ; - Phần 10: Tín hiệu điện trả lời để thiết lập lại cho thẻ đồng bộ; - Phần 11: Xác minh cá nhân phương pháp sinh trắc học; - Phần 12: Thẻ tiếp xúc - Thủ tục vận hành giao diện điện tử USB; - Phần 13: Lệnh quản lý ứng dụng môi trường đa ứng dụng; - Phần 15: Ứng dụng thơng tin mã hóa THẺ DANH ĐỊNH - THẺ MẠCH TÍCH HỢP - PHẦN 8: LỆNH ĐỐI VỚI THAO TÁC AN NINH Identification cards - Integrated circuit cards - Part 8: Commands for security operations Phạm vi áp dụng Tiêu chuẩn quy định lệnh liên ngành sử dụng cho hoạt động mã hóa Việc chọn lựa điều kiện sử dụng phương thức mã hóa ảnh hưởng tới khả xuất thẻ Việc đánh giá phù hợp thuật tốn giao thức khơng đề cập phạm vi tiêu chuẩn Tiêu chuẩn không đề cập đến việc thiết lập bên thẻ và/hoặc giới bên Tài liệu viện dẫn Các tài liệu tham khảo thiếu việc áp dụng tài liệu Đối với tham khảo ghi năm, áp dụng nêu Đối với tham khảo không ghi năm, tài liệu tham khảo (bao gồm sửa đổi) áp dụng (nếu có) TCVN 11167-4 (ISO/IEC 7816-4) Thẻ định danh - Thẻ vi mạch - Phần 4: Tổ chức, an ninh lệnh trao đổi Định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa sau 3.1 Kỹ thuật mã hóa khơng đối xứng (asymmetric cryptographic technique) Kỹ thuật mã hóa sử dụng hai thao tác liên quan: thao tác công khai quy định số công khai hay khóa cơng khai thao tác cá nhân quy định số cá nhân khóa riêng CHÚ THÍCH: Hai thao tác có tính chất: đưa thao tác cơng khai tính tốn cho thao tác cá nhân [TCVN 11167-4 (ISO/IEC 7816-4)] 3.2 Chứng nhận (certificate) Chữ ký số ràng buộc cá nhân hay đối tượng cụ thể tương ứng với khóa cơng khai CHÚ THÍCH: Đơn vị cấp giấy chứng nhận hoạt động quan phân bổ thẻ liên quan tới thành phần liệu chứng nhận [TCVN 11167-4 (ISO/IEC 7816-4)] 3.3 Chữ ký số (digital signature) Dữ liệu nối thêm hay việc chuyển đổi mã hóa chuỗi liệu nhằm chứng minh nguồn gốc tính tồn vẹn chuỗi liệu bảo vệ chống lại giả mạo, ví dụ: băng cách nhận chuỗi liệu [TCVN 11167-4 (ISO/IEC 7816-4)] 3.4 Khóa (key) Chuỗi ký hiệu kiểm sốt thao tác mã hóa (ví dụ: mã hóa, giải mã thao tác cá nhân hay công khai theo chứng thực động, cung cấp chữ ký xác nhận chữ ký) [TCVN 11167-4 (ISO/IEC 7816-4)] 3.5 Thông điệp an ninh (secure messaging) Tập cách thức cho việc bảo vệ mã hóa hay (một phần của) cặp lệnh-hồi đáp [TCVN 11167-4 (ISO/IEC 7816-4)] Thuật ngữ viết tắt ký hiệu Tiêu chuẩn áp dụng thuật ngữ viết tắt sau Thuật ngữ Tiếng Anh Tiếng Việt CCT control reference template for Khuôn mẫu tham chiếu kiểm sốt cryptographic checksum checksum mã hóa CRT control reference template Khn mẫu tham chiếu kiểm sốt CT control reference template for confidentiality Khn mẫu tham chiếu kiểm sốt bảo mật DSA digital signature algorithm Thuật toán chữ ký số DST control reference template for digital Khuôn mẫu tham chiếu kiểm soát signature chữ ký số ECDSA elliptic curve digital signature algorithm Thuật tốn chữ ký số vịng e-líp HT control reference template for hash - code Khuôn mẫu tham chiếu kiểm soát hàm băm MSE MANAGE SECURITY ENVIRONMENT command Lệnh MANAGE SECURITY ENVIRONMENT PK public key Khóa cơng khai PSO PERFORM SECURITY Lệnh PERFORM SECURITY OPERATION command OPERATION GQ Guillou and Quisquater Guillou Quisquater RFU reserved for future use Dành riêng để sử dụng sau RSA Rivest, Shamir, Adleman Rivest, Shamir, Adleman SE security environment Môi trường an ninh SEID security environment identifier Mã định danh môi trường an ninh Lệnh liên ngành thao tác mã hóa Tiêu chuẩn khơng bắt buộc tất lệnh phải phù hợp với tiêu chuẩn nhằm hỗ trợ tất lệnh hay tùy chọn lệnh hỗ trợ 5.1 Lệnh GENERATE ASYMMETRIC KEY PAIR Lệnh GENERATE ASYMMETRIC PAIR báo việc tạo lưu trữ cặp khóa khơng đối xứng, ví dụ: khóa cơng khai khóa riêng thẻ, hay truy cập cặp khóa khơng đối xứng tạo trước thẻ Lệnh bắt đầu lệnh MANAGE SECURITY ENVIRONMENT để thiết lập việc tạo khóa liên quan với thơng số (ví dụ: tham chiếu thuật tốn) Lệnh thực thi hay nhiều bước, thường sử dụng xâu chuỗi lệnh (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Bảng - Cặp lệnh-hồi đáp GENERATE ASYMMETRIC PAIR CLA Quy định TCVN 11167-4 (ISO/IEC 7816-4) INS 46' '47' P1 Việc khởi tạo kiểm sốt Bảng P2 '00' (khơng có thơng tin) hay tham chiếu khóa tạo Trường Lc Trống mã hóa Nc = 0, có giá trị mã hóa Nc > Trường liệu Trống, Dữ liệu độc quyền P1-P2 = '0000', Một hay nhiều CRT liên quan tới việc tạo khóa P1-P2 khác '0000' (xem CHÚ THÍCH) Trường Le Trống mã hóa Ne = 0, có giá trị Ne > Trường liệu Trống, Khóa cơng khai chuỗi phần tử hay đối tượng liệu, Chuỗi đối tượng liệu liên quan tới danh sách tiêu đề mở rộng SW1-SW2 Xem TCVN 11167-4 (ISO/IEC 7816-4), Bảng liên quan, ví dụ: 6985 CHÚ THÍCH: Một vài CRT thể cặp khóa tạo cho vài mục đích Trong trường liệu, CRT có chiều dài Bảng - Kiểm soát khởi tạo P1 b8 b7 b6 b5 b4 b3 b2 b1 Giá trị 0 0 0 0 Khơng có thơng tin đưa 0 0 x x x Thông tin bổ sung đưa 0 0 - - x Tạo khóa - - - - - x x - Tạo cặp khóa khơng đối xứng - - - - - x x - Truy cập khóa cơng khai có sẵn 0 0 - x - Định dạng liệu khóa cơng khai trả - - - - - x x - Định dạng độc quyền liệu khóa cơng khai - - - - - x x - Định dạng xuất liệu khóa cơng khai liên quan tới danh sách tiêu đề mở rộng 0 0 x - - - - - - - x x - Dữ liệu khóa cơng khai trường liệu hồi đáp - - - - - x x - Khơng có liệu hồi đáp trường Le trống độc quyền trường Le có giá trị Bộ định danh đầu Đối với việc tạo cặp khóa, thiếu trường Le cặp khóa lưu trữ thẻ, EF tham chiếu biết trước sử dụng lệnh Để truy cập cặp khóa (khơng tạo ra), trường liệu lệnh Trống Dựa tính chẵn lẻ mã INS (Xem TCVN 11167-4 (ISO/IEC 7816-4)), khóa cơng khai trường liệu hồi đáp vừa chuỗi phần tử liệu ('46') hay chuỗi đối tượng liệu ('47') Nếu danh sách tiêu đề mở rộng mô tả trường liệu hồi đáp, biết trước phát lệnh Danh sách bao gồm đối tượng liệu khóa cơng khai đối tượng liệu yêu cầu khác Khi bit đặt với giá trị INS, ví dụ: INS đặt '47' khóa cơng khai trả lại trường liệu hồi đáp, mẫu liên ngành dùng để lồng ghép tập đối tượng liệu khóa cơng khai tương ứng theo Bảng Nếu thuật tốn khơng lệnh thuật tốn biết tới trước phát lệnh Trong khuôn mẫu khóa cơng khai, lớp ngữ cảnh cụ thể (byte từ '80' tới 'BF') dành cho đối tượng liệu khóa cơng khai Bảng - Đối tượng liệu khóa cơng khai Thẻ ThẻGiá trị '7F49' '7F49'Khuôn mẫu liên ngành cho việc lồng ghép tập đối tượng liệu khóa cơng khai với thẻ sau: '06' Mã định danh đối tượng thuật toán, tùy chọn '80' Tham chiếu thuật toán dùng đối tượng liệu tham chiếu thông điệp an ninh, tùy chọn Tập đối tượng liệu khóa cơng khai RSA '81' Các mơ-đun (một số ký hiệu n mã hóa theo x byte) '82' Mũ công khai (một số ký hiệu v, ví dụ: 65537) Tập đối tượng liệu khóa cơng khai DSA '81' Số nguyên tố (một số ký hiệu p mã hóa theo y byte) '82' Số nguyên tố thứ hai (một số ký hiệu p chia thành p-1, ví dụ: 20 byte) '83' Số (một số ký hiệu g trình tự q mã hóa theo y byte) '84' Khóa công khai (một số ký hiệu y tương đương với g với lũy thừa x mô đun p x khóa riêng mã hóa theo y byte) Tập đối tượng liệu khóa cơng khai ECDSA '81' Số nguyên tố (một số ký hiệu p mã hóa theo z byte) '82' Hệ số (một số ký hiệu a mã hóa theo z byte) '83' Hệ số thứ hai (một số ký hiệu b mã hóa theo z byte) '84' Bộ khởi tạo (một điểm ký hiệu PB đường cong, mã hóa theo 2z hay z+1 byte) '85' Trình tự (một số nguyên tố ký hiệu q, theo trình tự khởi tạo PB, mã hóa theo z byte) '86' Khóa cơng khai (một điểm ký hiệu PP đường cong, tương đương với x lần PB x khóa riêng, mã hóa theo 2z hay z+1 byte) '87' Phần phụ đại số Tập đối tượng liệu khóa cơng khai GQ2 Các mô-đun (một số ký hiệu n, mã hóa theo x byte) '81' Số lượng số (một số ký hiệu m, mã hóa theo byte Nếu thẻ '83' thể hiện, thẻ 'A3' phải trống số m '83' ký hiệu g, g2,…, gm số nguyên tố m đầu tiên: 2, 3, 5, 7, 11, ) Tham số xác minh (một số ký hiệu k, mã hóa theo byte) '84' Tập m số ký hiệu g, g2, , gm mà số mã hóa theo byte với thẻ '80' (nếu thẻ 'A3' thể thỏ '83' phải trống) 'A3' - Trong ngữ cảnh này, quan có thẩm quyền dành riêng đối tượng liệu cho 5.2 Lệnh PERFORM SECURITY OPERATION Lệnh khởi tạo thao tác an ninh sau, theo đối tượng liệu quy định P1- P2 - Tính tốn checksum mã hóa; - Tính tốn chữ ký số; - Phép tính mã băm; - Xác thực checksum mã hóa; - Xác thực chữ ký số; - Xác thực chứng nhận; - Mã hóa; - Giải mã Nếu thao tác an ninh u cầu vài lệnh sau để hồn thành việc xâu chuỗi lệnh phải áp dụng (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Lệnh bắt đầu lệnh MANAGE SECURITY ENVIRONMENT Ví dụ: tham chiếu khóa tham chiếu thuật tốn khơng phải biết tới quy định CRT lệnh MANAGE SECURITY ENVIRONMENT Lệnh thực thi trạng thái an ninh thỏa mãn thuộc tính an ninh cho thao tác Việc thực thi thành cơng lệnh hồn thiện thành cơng lệnh trước (ví dụ: VERIFY trước tính tốn chữ ký số) Nếu có, danh sách tiêu đề hay danh sách tiêu đề mở rộng quy định trình tự mục liệu tạo nên đầu vào thao tác an ninh Bảng - Cặp lệnh-hồi đáp PERFORM SECURITY OPERATION CLA Quy định TCVN 11167-4 (ISO/IEC 7816-4) INS 'A2' P1 Thẻ (trường liệu hồi đáp phần tử liệu, có) '00' (trường liệu hồi đáp Trống); 'FF' RFU P2 Thẻ (trường liệu hồi đáp phần tử liệu, có) '00' (trường liệu hồi đáp ln Trống); 'FF' RFU quan có thẩm quyền Trường Lc Trống mã hóa Nc = 0, có giá trị mã hóa Nc > Trường liệu Trống giá trị đối tượng liệu nằm P2 Trường Le Trống mã hóa Ne = 0, có giá trị Ne > Trường liệu Trống giá trị đối tượng liệu nằm P1 SW1-SW2 Xem TCVN 11167-4 (ISO/IEC 7816-4) Bảng liên quan, ví dụ: 6985 Lệnh dùng khn mẫu liệt kê Bảng Các khuôn mẫu đối tượng liệu cho thông điệp an ninh (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Bảng - Khuôn mẫu Thẻ Giá trị 'A0' Khuôn mẫu việc tính tốn mã băm (khn mẫu bị băm) 'A2' Khn mẫu việc xác thực checksum mã hóa (mẫu tích hợp) 'AB' Khn mẫu việc xác thực chữ ký số (khuôn mẫu ấn định) 'AC' Khn mẫu việc tính tốn chữ ký số (trường giá trị nối ấn định) 'AE' Khuôn mẫu việc xác thực chứng nhận (trường giá trị nối chứng nhận) 'BC' Khuôn mẫu việc tính tốn chữ ký số (khn mẫu ấn định) 'BE' Khuôn mẫu việc xác thực chứng nhận (khuôn mẫu chứng nhận) Trong khuôn mẫu, lớp ngữ cảnh cụ thể (byte dải ‘80’ tới ‘BF’) dành riêng cho đối tượng liệu nhập Bảng liệt kê đối tượng liệu khuôn mẫu Bảng - Đối tượng liệu nhập Thẻ Giá trị 'A0' 'A2' 'AB' 'AC', 'BC' 'AE', 'BE' x x x x x '80' Giá trị thường '8E' Checksum mã hóa '90' Hàm băm '92' Chứng nhận '9C' Khóa cơng khai x x '9E' Chữ ký số x x x x x x x x x 5.3 Thao tác COMPUTE CRYPTOGRAPHIC CHECKSUM Thao tác khởi tạo việc tính tốn checksum mã hóa Bảng - Thơng số trường liệu cho thao tác COMPUTE CRYPTOGRAPHIC CHECKSUM P1 '8E' P2 '80' Trường liệu lệnh Dữ liệu cho checksum mã hóa phải tính tốn Trường liệu hồi đáp Checksum mã hóa 5.4 Thao tác COMPUTE DIGITAL SIGNATURE Thao tác khởi tạo việc tính tốn chữ ký số Thuật tốn vừa thuật tốn chữ ký số hay kết hợp thuật toán băm thuật toán chữ ký số Phụ lục A đưa ví dụ thao tác chữ ký số Đối với việc tính tốn chữ ký số, liệu ấn định hay tích hợp vào quy trình gán chuyển đổi thành trường liệu lệnh hay khai báo lệnh trước đó, ví dụ: PSO: HASH Trong P2, chữ ký số quy định với thẻ: '9A', 'AC' hay 'BC’ theo cấu trúc nhập (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Nếu liệu bắt buộc bao gồm việc nhập chữ ký số tham chiếu phải thể CRT (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Nếu đối tượng liệu tham chiếu Trống liệu bắt buộc thể thẻ phải chèn liệu bắt buộc vào Dữ liệu bắt buộc tham chiếu trường liệu lệnh ưu tiên danh sách tiêu đề Thẻ phải trả lại chữ ký số (P1 = '9E') Bảng - Thông số trường liệu cho thao tác COMPUTE DIGITAL SIGNATURE P1 ’9E‘ P2 '9A', 'AC' hay 'BC' Trống (dữ liệu sẵn sàng thẻ) Nếu P2 = '9A', liệu ấn định hay tích hợp quy trình ấn định, Trường liệu lệnh Nếu P2 = 'AC', đối tượng liệu, trường giá trị ấn định hay tích hợp quy trình ấn định, Nếu P2 = 'BC', đối tượng liệu ấn định hay tích hợp quy trình ấn định Trường liệu hồi đáp Chữ ký số CHÚ THÍCH: Thẻ 'AC' 'BC' khơng dược tích hợp việc nhập chữ ký số 5.5 Thao tác HASH Thao tác khởi tạo việc tính tốn hàm băm cách thực hiện: - Việc tính tốn tồn thẻ - Một tính tốn phần thẻ (ví dụ: vịng cuối việc băm) HT ('AA', 'AB’) tham chiếu thuật toán việc tính tốn hàm băm (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Dữ liệu nhập phải thể với thẻ theo khối nhập hoàn chỉnh (một hay nhiều thời điểm), chiều dài mà thuật toán phụ thuộc, Dựa vào thuật tốn băm, liệu nhập cuối có chiều dài tương đương ngắn chiều dài khối Thuật tốn đệm, thích hợp phần việc quy định thuật toán băm Đối với kết hàm băm, hai trường hợp sau có nhiều khác biệt: - Khi thẻ lưu trữ hàm băm lệnh chuỗi phụ; trường L e khơng thể - Thẻ phân phối hàm băm theo cách hồi đáp trường Le thiết lập với chiều dài tương ứng Bảng - Thông số trường liệu thao tác HASH P1 '90' P2 '80 hay 'A0' Nếu P2 = '80', liệu băm, Trường liệu lệnh Nếu P2 = 'A0', đối tượng liệu liên quan tới việc băm (ví dụ: '90' hàm băm trung gian, '80' khối cuối cùng) Trường liệu hồi đáp Hàm băm Trống 5.6 Thao tác VERIFY CRYTOGRAPHIC CHECKSUM Thao tác khởi tạo việc xác thực kiểm tra mã hóa Bảng 10 - Thơng số trường liệu thao tác VERIFY CRYPTOGRAPHIC CHECKSUM P1 '00' P2 'A2' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác (ví dụ: '80', '8E') Trường liệu hồi đáp Trống CHÚ THÍCH: Trường giá trị đối tượng liệu giá trị thường (thẻ '80') bao gồm liệu (các phần tử liệu hay đối tượng liệu) bao trùm kiểm tra mã hóa 5.7 Thao tác VERIFY DIGITAL SIGNATURE Thao tác khởi tạo việc xác minh chữ ký số phân phát đối tượng liệu trường liệu lệnh Các xác minh liệu liên quan chuyển đổi quy trình xâu chuỗi lệnh thể thẻ Thuật tốn thuật toán chữ ký số hay kết hợp thuật toán băm thuật toán chữ ký số Phụ lục A đưa ví dụ thao tác chữ ký số Khóa cơng khai thuật tốn được: - Cũng biết đến, hay - Được tham chiếu DST ('B6') lệnh MANAGE SECURITY ENVIRONMENT hay - Sẵn có kết từ thao tác VERIFY CERTIFICATION trước Nếu tham chiếu thuật tốn thẻ mơ tả chữ ký số mà có thuật tốn liệu bao gồm hàm băm, chữ ký loại phục hồi thơng điệp (xem ISO/IEC 9796) Nếu khơng việc tính tốn hàm băm thực thẻ tham chiếu thuật toán bổ sung bao gồm tham chiếu thuật tốn băm Bảng 11 - Thơng số trường liệu thao tác VERIFY DIGITAL SIGNATURE P1 '00' P2 'AB' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác (ví dụ: '9A', 'AC', hay 'BC' '9E') Trường liệu hồi đáp Trống Nếu trường liệu lệnh bao gồm đối tượng liệu Trống thẻ cần biết giá trị sử dụng theo cách xác minh 5.8 Thao tác VERIFY CERTIFICATE Đối với việc xác minh chứng nhận thẻ (xem Phụ lục B), chữ ký số chứng nhận xác minh phân phối đối tượng liệu trường liệu lệnh Khóa cơng khai thẩm quyền chứng nhận dùng quy trình xác minh phải thể thẻ chọn lựa hàm ý hay tham chiếu DST sử dụng lệnh MANAGE SECURITY ENVIRONMENT Thuật toán áp dụng biết tới tham chiếu DST Nếu đối tượng liệu khác sử dụng quy trình xác minh (ví dụ: hàm băm) đối tượng liệu phải thể thẻ phải truyền sử dụng quy trình xâu chuỗi lệnh Hai trường hợp sau có khác biệt: - Nếu chứng nhận tự mô tả (P2 = 'BE') thẻ nhận khóa cơng khai nhận dạng thẻ nội dung chứng nhận (được phục hồi) - Nếu chứng nhận khơng tự mơ tả (P2 = 'AE') thẻ nhận khóa cơng khai chứng nhận hàm ý hay tường minh cách sử dụng thẻ khóa công khai danh sách tiêu đề mô tả nội dung chứng nhận Nếu khóa cơng khai lưu trữ, khóa mặc định thao tác phụ VERIFY DIGITAL SIGNATURE Bảng 12 - Thông số trường liệu thao tác VERIFY CERTIFICATE P1 '00' P2 '92', 'AE' hay 'BE' Trường liệu lệnh Đối tượng liệu liên quan tới thao tác Trường liệu hồi đáp Trống CHÚ THÍCH: Nếu lược đồ phục hồi thông điệp phần dùng phần thơng tin lưu trữ thẻ đối tượng liệu liệu phụ trợ phải gửi trắng, với liệu chèn vào sau thẻ 5.9 Thao tác ENCIPHER Thao tác mã hóa liệu truyền trường liệu lệnh Sử dụng thao tác bị hạn chế Bảng 13 - Thông số trường liệu thao tác ENCIPHER P1 '82', '84', '86' (giản đồ mã hóa) P2 '80' (giá trị thường) Trường liệu lệnh Trống (dữ liệu nằm sẵn thẻ) Dữ liệu mã hóa Trường liệu hồi đáp Dữ liệu mã hóa 5.10 Thao tác DECIPHER Thao tác giải mã liệu truyền trường liệu lệnh Sử dụng thao tác bị hạn chế Bảng 14 - Thông số trường liệu thao tác DECIPHER P1 '80' (giá trị thường) P2 '82', '84', '86' (giản đồ mã hóa) Trường liệu lệnh Dữ liệu giải mã Trường liệu hồi đáp Trống (dữ liệu giải mã nằm thẻ) liệu giải mã Phụ lục A (tham khảo) Ví dụ thao tác liên quan tới chữ ký số A.1 Chuỗi lệnh quản lý môi trường an ninh Bảng A.1 trình bày chuỗi lệnh MANAGE SECURITY ENVIRONMENT từ thành phần: SET DST, CCT CT SE SE cuối với lệnh STORE SE theo SEID P2 Bảng A.1 - Thiết lập thành phần môi trường an ninh Lệnh Thao tác P1-P2 Trường liệu lệnh MSE SET DST '41' - 'B6' {'84' - L - Tham chiếu khóa} - {'91' - L = 0} MSE SET CCT '41' - 'B4' {'83' - L - Tham chiếu khóa} - {'87' - L - Giá trị khởi tạo} MSE SET CT '41' - 'B8' {'83' - L - Tham chiếu khóa} MSE STORE (SEID = 1) 'F2' - '01' - Thao tác SET DST tham chiếu khóa riêng dùng tính toán chữ ký quy định việc tương tác số ngẫu nhiên nhập chữ ký số Thao tác SET CCT tham chiếu khóa bí mật giá trị khởi tạo với việc tính tốn kiểm tra mã hóa Thao tác SET CT tham chiếu khóa phiên bí mật đáng tin cậy A.2 Chuỗi lệnh việc tính tốn chữ ký số Bảng A.2 trình bày cấu trúc việc cung cấp chữ ký số cách dùng lược đồ chữ ký có phụ lục Phần nhập hàm băm hồn chỉnh có byte đệm Ví dụ mơ tả việc tính tốn chữ ký số với thuật toán kết hợp bao gồm thao tác băm Trong ví dụ này, việc nhập băm phân phối cho thẻ Bảng A.2 - Ví dụ lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 MSE RESTORE '41' - 'B6' PSO COMPUTE DIGITAL SIGNATURE '41' - 'B4' Trường liệu lệnh Trường liệu hồi đáp Hàm băm với byte đệm Chữ ký số CHÚ THÍCH: Ví dụ minh họa hồn chỉnh giá trị bị giới hạn theo việc thiết lập hệ kiểm sốt đầu mà áp dụng thực dùng cho lý an ninh chung (tránh chữ ký lặp lại vài trường hợp) Bảng A.3 trình bày cấu trúc đối việc việc cung cấp chữ ký số cách dùng lược đồ chữ ký có phụ lục Việc nhập chữ ký số bao gồm hàm băm mà không cần byte đệm Bảng A.3 - Ví dụ thứ hai lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 Trường liệu lệnh Trường liệu hồi đáp MSE RESTORE 'F3' - '01' - - Hàm băm với byte đệm Chữ ký số PSO COMPUTE DIGITAL '9E' - '9A' SIGNATURE CHÚ THÍCH 1: Nhằm tránh hạn chế đầu ra, chữ ký kết hợp thuật tốn băm sử dụng CHÚ THÍCH 2: Trong vài trường hợp, việc trách lặp lại chữ ký mong muốn khơng đạt Bảng A.4 trình bày lược đồ chữ ký có phụ lục Việc nhập chữ ký số bao gồm hàm băm mà khơng có byte đệm phân phối tới thẻ thẻ yêu cầu tạo số ngẫu nhiên yêu cầu danh sách tiêu đề mở rộng DST trường liệu lệnh lệnh MSE Được quy định thẻ 'BC' P2, kết hợp đối tượng liệu (hàm băm cấp cho thẻ số ngẫu nhiên cấp thẻ) ấn định Bảng A.4 - Ví dụ thứ ba lược đồ chữ ký số có phụ lục Lệnh Thao tác MSE SET PSO COMPUTE DIGITAL SIGNATURE P1-P2 Trường liệu lệnh Trường liệu hồi đáp '41' - 'B6' {'4D' - L - {'90' - L - '91' - L = 0}} - {'84' - L - Tham chiếu khóa} '9E' - 'BC' {'90' - L - Hàm băm) Chữ ký số Bảng A.5 trình bày cấu trúc chữ ký số với việc phục hồi thông điệp hạn chế Dữ liệu ấn định cấu hình phụ thuộc vào lược đồ chữ ký việc phục hồi thông điệp hạn chế dùng đối tượng liệu trình bày trường liệu lệnh, theo đếm chữ ký số dùng thông điệp nội cấp thẻ Bảng A.5 - Ví dụ thứ tư lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 MSE RESTORE 'F3' - '02' PSO COMPUTE DIGITAL SIGNATURE Trường liệu lệnh Trường liệu hồi đáp - '9E' - 'AC' {'90' - L - Hàm băm} Chữ ký số Trong Bảng A.6, thẻ thực thi việc băm (hay vịng cuối việc tính tốn băm) Việc nhập chữ ký số trống thao tác COMPUTE DIGITAL SIGNATURE, tất liệu nhập nằm thẻ Bảng A.6 - Ví dụ thứ năm lược đồ chữ ký số có phụ lục Lệnh Thao tác P1-P2 Trường liệu lệnh Trường liệu hồi đáp MSE RESTORE 'F3' - '01' - PSO HASH '90' - '80' Dữ liệu để băm - PSO COMPUTE DIGITAL SIGNATURE '9E' - '9A' - Chữ ký số A.3 Chuỗi lệnh việc xác minh chữ ký số Trong bảng A.7, danh sách tiêu đề mở rộng quy định cấu trúc chứng nhận không tự mô tả s c h t i ê u đ ề m r ộ n g đ ợ c đ ọ c r a n h n g b ị b ỏ q u a K ế t h ợ p c c p h ầ n t t h a m s ố k h ó a p h ụ t h u ộ c d a n h s c h t i ê u đ ề m r ộ n g C c p h ầ n t d ữ li ệ u t n g ứ n g v i t h ẻ b ộ l ọ c ' 0 ' t r o n g d a n h s c h t i ê u đ ề m r ộ n g đ ợ c đ ọ c r a n h n g b ị b ỏ q u a K ế t h ợ p c c p h ầ n t t h a m s ố k h ó a p h ụ t h u ộ c d a n h s c h t i ê u đ ề m r ộ n g C c p h ầ n t d ữ li ệ u t n g ứ n g v i t h ẻ b ộ l ọ c ' 0 ' t r o n g d a n h s c h t i ê u đ ề m r ộ n g đ ợ c đ ọ c r a n h n g b ị b ỏ q u a K ế t h ợ p c c p h ầ n t t h a m s ố k h ó a p h ụ t h u ộ c d a n h s c h t i ê u đ ề m r ộ n g C c p h ầ n t d ữ li ệ u t n g ứ n g v i t h ẻ b ộ l ọ c ' 0 ' t r o n g d a n h s c h t i ê u đ ề m r ộ n g đ ợ c đ ọ c r a n h n g b ị b ỏ q u a K ế t h ợ p c c p h ầ n t t h a m s ố k h ó a p h ụ t h u ộ c d a n h s c h t i ê u đ ề m r ộ n g C c p h ầ n t d ữ li ệ u t n g ứ n g v i t h ẻ b ộ l ọ c ' 0 ' t r o n g d a n h s c h t i ê u đ ề m r ộ n g đ ợ c đ ọ c r a n h n g b ị b ỏ '9E' L Chữ ký số q u a C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố C h ữ k ý s ố THƯ MỤC TÀI LIỆU THAM KHẢO [1 ] TCVN 11167 (ISO/IEC 7816) Thẻ định danh - Thẻ mạch tích hợp (tất phần) [2] ISO/IEC 9796 Information technology - Security techniques - Digital signature scheme giving message recovery (tất phần) [3] ISO/IEC 9798-5:199912 Information technology - Security techniques - Entity authentication - Part 5: Mechanisms using zero knowledge techniques [4] ISO/IEC 10536 ldentification cards - Contactless integrated circuits cards - Close coupled cards (tất phần) [5] ISO/IEC 14443 Identification cards - Contactless inlegrated circuits cards - Proximity cards (tất phần) [6] ISO/IEC 15693 Identification cards - Contactless integrated circuits cards - Vicinity cards (tất phần) MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Định nghĩa Thuật ngữ viết tắt ký hiệu Lệnh liên ngành cho thao tác mã hóa Phụ lục A (tham khảo) Ví dụ thao tác liên quan tới chữ ký số Phụ lục B (tham khảo) Ví dụ chứng nhận biên dịch thẻ Phụ lục C (tham khảo) Ví dụ xuất/nhập khóa khơng đối xứng Thư mục tài liệu tham khảo ... chữ ký xác nhận chữ ký) [TCVN 11167-4 (ISO/IEC 7816-4)] 3.5 Thông điệp an ninh (secure messaging) Tập cách thức cho việc bảo vệ mã hóa hay (một phần của) cặp lệnh-hồi đáp [TCVN 11167-4 (ISO/IEC... hay nhiều bước, thường sử dụng xâu chuỗi lệnh (Xem TCVN 11167-4 (ISO/IEC 7816-4)) Bảng - Cặp lệnh-hồi đáp GENERATE ASYMMETRIC PAIR CLA Quy định TCVN 11167-4 (ISO/IEC 7816-4) INS 46' '47' P1 Việc... liệu nằm P1 SW1-SW2 Xem TCVN 11167-4 (ISO/IEC 7816-4) Bảng liên quan, ví dụ: 6985 Lệnh dùng khuôn mẫu liệt kê Bảng Các khuôn mẫu đối tượng liệu cho thông điệp an ninh (Xem TCVN 11167-4 (ISO/IEC