Tại mỗi cửa khẩu, khi giao tiếp vô tuyến điện với thiết bị đọc microchip thì có thể đọc được các thông tin về danh tính của người sở hữu hộ chiếu và đưa vào hệ thống. Mặt khác, hệ thống cũng chụp được ảnh khuôn mặt của người sở hữu hộ chiếu và so sánh với các thông tin lưu giữ trong microchip, để xác định xem hộ chiếu có phải thuộc về người đang nắm giữ hộ chiếu hay không. Ngoài ra, trong hệ thống kiểm soát xuất, nhập cảnh của mỗi quốc gia còn có các CSDL lưu trữ để có thể nhanh chóng xác định được danh tính một đối tượng khi xuất, nhập cảnh. Quá trình này diễn ra tự động, kể cả việc tìm kiếm thông tin về một người có danh tính trong hộ chiếu. Đây là những lợi thế vượt trội của HCĐT so với hộ chiếu thông thường.

Các vấn đề về an toàn, an ninh thông tin và đảm bảo tính riêng tư cũng hết sức quan trọng trong quá trình HCĐT hoạt động trong môi trường điện tử và có giao tiếp vô tuyến điện với các thiết bị đọc microchip tại các cửa khẩu.

Quá trình phát triển ứng dụng hộ chiếu điện tử 

Hiện nay trên thế giới đã có khoảng 30 quốc gia và vùng lãnh thổ sử dụng HCĐT, trải qua ba thế hệ, với số lượng hộ chiếu được sử dụng lên đến hàng chục triệu và HCĐT đã có thể lưu thông giữa các quốc gia với nhau. Điều đó cho thấy, giữa các quốc gia muốn sử dụng HCĐT có sự kiểm soát lẫn nhau, thì các hạ tầng PKI dành cho hoạt động HCĐT của từng quốc gia phải có sự liên tác quốc tế. Tổ chức Hàng không dân dụng quốc tế (ICAO) đóng vai trò là cầu nối trung gian, giúp các quốc gia có thể liên tác được với nhau nhanh chóng, thuận tiện khi chưa có một hạ tầng PKI gốc cho hoạt động HCĐT trên toàn cầu.

Thế hệ thứ nhất của HCĐT dựa trên Giao thức kiểm soát truy cập cơ bản (BAC), có thể truy cập đến dữ liệu được đăng ký trên microchip thông qua việc đánh số các liên lạc giữa microchip và thiết bị đọc. Giao thức BAC dựa trên khóa truy cập nhận được từ vùng dữ liệu đọc được bằng máy MRZ (tức là dữ liệu cá nhân của người chủ hộ chiếu được in trên trang chính của hộ chiếu).

Thế hệ thứ hai xuất hiện vào năm 2006 khi một giao thức bổ sung được đề xuất liên quan đến các hộ chiếu tại khu vực Liên minh châu Âu (EU). Giao thức kiểm soát truy cập tăng cường EAC dựa trên mật mã nâng cao và có mục tiêu đảm bảo an toàn cao cho truy cập dữ liệu sinh trắc, đặc biệt là ảnh in số được cho là dữ liệu nhạy cảm hơn.

Thế hệ thứ ba sẽ xuất hiện khi ICAO và EU quyết định sử dụng Giao thức kiểm soát truy cập bổ sung (SAC) vào tháng 12/2014. Để khắc phục những hạn chế của BAC, giao thức SAC đưa ra các đặc tính an toàn bổ sung mới so với BAC. Trong pha xác thực, nó cài đặt mật mã phi đối xứng, trong khi BAC chỉ sử dụng mật mã đối xứng. Ngoài ra, trong pha xác thực, việc mã hóa dữ liệu được dựa vào khóa chia sẻ giữa thiết bị đọc và microchip, trong khi BAC chỉ sinh khóa dựa trên một số trong các dữ liệu MRZ. Cơ chế mới này mang đến những đặc tính an toàn cao hơn so với BAC và đảm bảo mức độ riêng tư cao. Lợi thế chủ yếu của SAC là mức độ an toàn độc lập với độ mạnh của mật khẩu được sử dụng để xác thực thiết bị đọc và sinh ra các khóa để chuyển thông báo an toàn.

SAC dựa trên giao thức thiết lập kết nối có xác thực mật khẩu PACE v2. Trong pha xác thực, nó cài đặt mật mã phi đối xứng và làm cho có thể lập mã dữ liệu dựa vào khóa chia sẻ giữa thiết bị đọc và microchip. Bí mật dữ liệu được tăng cường và không thể chặn bắt thông tin. PACE v2 còn tích hợp một tùy chọn để sử dụng Số truy cập thẻ (Card Access Number - CAN) bổ sung cho MRZ.

CAN có thể là mật khẩu tĩnh hoặc động ngắn. Trong trường hợp là tĩnh thì nó đơn giản là được ghi trên hộ chiếu. Nếu là động thì microchip chọn nó ngẫu nhiên và hiển thị nó trên hộ chiếu sử dụng các công nghệ hiển thị năng lượng điện thấp như giấy điện tử hoặc đèn OLED. Mật khẩu MRZ luôn là khóa đối xứng tĩnh nhận được từ MRZ của HCĐT.

Các cơ chế an toàn, an ninh đối với các HCĐT cũng cần được tăng cường để chống lại những tấn công ngày càng tinh vi. Tuy nhiên chức năng đảm bảo toàn vẹn thông tin về danh tính và sinh trắc của người nắm giữ hộ chiếu thì sẽ vẫn là chữ ký số của chứng thư số do nhà thẩm quyền phát hành HCĐT.

Các vấn đề an toàn, an ninh và tính riêng tư đối với HCĐT

Các HCĐT cần chống lại được các loại tấn công sau đây:

Tấn công giả mạo: Hộ chiếu có thể bị làm giả bằng cách thay thế bằng một microchip khác. Microchip được nhân bản hoặc sao chép trong hộ chiếu sao chép sẽ trùng khớp với các nội dung dữ liệu của hộ chiếu nguyên thủy (trường hợp nhân bản của microchip và tập dữ liệu đầy đủ của nó). Hoặc Microchip có thể được thay thế bằng các nội dung đã bị làm giả, như sửa đổi các thông tin về danh tính người nắm giữ hộ chiếu và sẽ được đặt vào vị trí của microchip nguyên thủy. Loại Microchip an toàn có các cơ chế phần cứng được chế tạo sẵn để bảo vệ chống lại sửa đổi dữ liệu.

Tấn công dò đọc: Hộ chiếu có thể bị dò đọc để đọc ra các nội dung không được bảo vệ của microchip. Kẻ dò đọc có thể thu thập được các dữ liệu nhạy cảm của người nắm giữ hộ chiếu bằng cách sử dụng các thiết bị đọc giả mạo có khả năng đọc dữ liệu từ khoảng cách xa hơn so với thiết kế thông thường.

Tấn công chặn bắt thông tin: Tấn công này chặn bắt thông tin truyền giữa microchip và thiết bị đọc. Thông tin bị đánh cắp có thể được sử dụng để liên lạc trái phép với các hộ chiếu khác.

Tấn công kiểm tra trái phép: Những phương tiện kiểm tra trái phép giống như thiết bị ATM giả được đặt tại các vị trí để khôi phục một cách giả mạo số định danh cá nhân (PIN) của thẻ giao dịch ngân hàng.

Tấn công chèn nhiễu/dữ liệu: Kẻ xấu sẽ chèn một thiết bị mà nó có thể sử dụng hay sửa đổi dữ liệu được gửi bởi microchip an toàn đến thiết bị đọc hay ngược lại.

Tấn công sinh trắc giả/mạo danh: Kẻ mạo danh có thể làm giả sinh trắc của người sở hữu hộ chiếu với các phương pháp giống như các ngón tay sáp hay các mặt nạ để đánh lừa hệ thống.

Tấn công phần cứng/thiết bị đọc giả mạo: Thiết bị đọc giả mạo có thể đọc dữ liệu và lưu trữ các thông tin khi microchip liên lạc với thiết bị đọc hợp pháp.

Tấn công nhân bản/sao chép: Nhân bản microchip và sao chép dữ liệu từng phần hay toàn bộ của nó là chính.

Tấn công theo dõi: Kẻ theo dõi chỉ quan tâm đến việc biết được vị trí di chuyển của người nắm giữ hộ chiếu, đọc dữ liệu và sử dụng chúng để lần theo dấu vết vị trí của người nắm giữ hộ chiếu.

Hoạt động thực thi HCĐT an toàn phải giải quyết được các vấn đề về an toàn, an ninh và khắc phục được triệt để các tấn công nêu trên. Các thế hệ HCĐT sẽ dần hoàn chỉnh giải pháp ngăn chặn các tấn công này, nhưng các loại tấn công mới có thể phát sinh cùng với sự phát triển của tin học và kỹ thuật điện tử, kỹ thuật sinh trắc học.

Các giải pháp đảm bảo an toàn, an ninh và riêng tư đối với hoạt động HCĐT
Hiện nay, HCĐT đang được tích hợp những giải pháp an toàn, an ninh để đảm bảo loại trừ các tấn công thông qua các cơ chế xác thực, kiểm soát truy cập, sử dụng dữ liệu sinh trắc và chống rò rỉ qua sóng vô tuyến điện như sau:

Xác thực thụ động (PA)

Mỗi khi microchip trong hộ chiếu (thực chất là một loại thẻ thông minh SmartCard) được cá thể hóa, thì đối tượng dữ liệu an toàn được ký số bởi quốc gia phát hành hộ chiếu và chứng thư số tương ứng được lưu trữ bên trong microchip an toàn. Giá trị băm của mỗi nhóm dữ liệu cũng được tính và lưu trữ bên trong microchip an toàn này.

Trong xác thực thụ động, đầu tiên hệ thống kiểm tra (IS) sẽ kiểm tra chữ ký số của đối tượng dữ liệu an toàn do quốc gia phát hành hộ chiếu thực hiện, sử dụng các khóa công khai được lưu trữ trong hệ thống kiểm tra. Nếu chữ ký số trùng khớp, giá trị băm của mỗi nhóm dữ liệu được kiểm tra để hệ thống suy luận xem dữ liệu có bị giả mạo hay không. Chứng thư số của người ký tài liệu có thể được phân phát đến các quốc gia nhập cảnh, thay vì lưu trữ nó trong microchip. Thông thường, quốc gia nhập cảnh sẽ thỏa thuận với quốc gia phát hành để có được chứng thư số và phân phát nó tại các điểm kiểm tra nhập cảnh.

Trước khi kiểm tra chữ ký số, tính hợp lệ của chứng thư số đã ký số được kiểm tra theo Danh sách chứng thư bị gỡ bỏ (CRL) đối với các cập nhật bất kỳ. Các danh sách chứng thư bị gỡ bỏ được cập nhật định kỳ trong khu vực lưu trữ an toàn được thỏa thuận lẫn nhau được gọi là Thư mục khóa công khai (PKD).

Xác thực chủ động (AA)

Xác thực chủ động của các HCĐT sử dụng cặp khóa công khai/bí mật duy nhất. Khóa công khai được lưu trữ trong một nhóm dữ liệu trong microchip an toàn. Khóa bí mật cũng được lưu trữ trong microchip an toàn.

Thông thường cặp khóa xác thực chủ động được sinh bên trong microchip an toàn. Tuy nhiên, nhiều nhà thiết kế hệ thống lại tạo ra các khóa ở bên ngoài microchip để cải thiện tốc độ cá thể hóa. Tính đúng đắn của khóa AA được xác minh bằng cách kiểm tra chữ ký số đối với nhóm dữ liệu lưu trữ khóa công khai được ký số bởi khóa bí mật của người ký số hộ chiếu.

Để kiểm tra chữ ký số, chứng thư số của người ký cần được phục hồi từ PKD hay từ microchip và CRL được kiểm tra đối với các thông tin cập nhật. Kiểm tra trực quan, kiểm tra điện tử các đối tượng an toàn và xác thực, sử dụng cặp khóa phi đối xứng sẽ xác định được xem các khóa được đọc từ hộ chiếu có bị sao chép hay nhân bản không. Microchip cũng lưu trữ thông tin MRZ được ký số trong cấu trúc dữ liệu lôgic (LDS). Xác thực chủ động được thiết kế để phát hiện xem microchip của hộ chiếu có bị thay thế bằng một microchip giả hay các nội dung của nó có bị sao chép sang một microchip khác hay không.

Xác thực microchip

Xác thực microchip được sử dụng trong các HCĐT thế hệ thứ hai với giao thức BAC để cải tiến độ an toàn bằng cách đưa vào phép lập mã của tất cả các thông báo được trao đổi giữa hệ thống kiểm tra IS và hộ chiếu. Trong giao thức BAC sẽ sinh ra các khóa và sử dụng dữ liệu cụ thể của người nắm giữ hộ chiếu (không có độ bất định cao).

Trong xác thực microchip, mỗi microchip có cặp khóa của chính nó được gán cho và được lưu trữ trong nó. Khóa công khai được ký số và được lưu trữ trong nhóm dữ liệu công khai và khóa bí mật được lưu trữ trong bộ nhớ an toàn của microchip.

Xác thực thiết bị đọc

HCĐT thế hệ hai đưa ra khái niệm các quyền của thiết bị đọc và xác thực, chúng sử dụng mật mã phi đối xứng. Trong giao thức EAC thì dữ liệu sinh trắc của người nắm giữ hộ chiếu được lưu trữ trong microchip, dữ liệu sinh trắc này không được để lộ ra bên ngoài.

Microchip an toàn không thể kiểm tra được các chứng thư số theo chuẩn X.509 và không thể tự cập nhật một cách tin cậy từ CRL. Để khắc phục những hạn chế này, một kiểu chứng thư số khác là chứng thư số kiểm tra có thể kiểm tra được microchip/card, được sử dụng để cho xác thực bên ngoài.

Thiết bị đọc được xác thực khi cặp khóa phi đối xứng được kiểm tra. Thiết bị đọc lưu trữ khóa bí mật và HCĐT lưu trữ khóa công khai mà nó được nhúng cùng với thông tin khác bên trong chứng thư số được gọi là Chứng thứ số kiểm tra được bởi Card (CVC). CVC được lưu trữ an toàn vào HCĐT tại thời điểm cá thể hóa microchip.

Xác thực thiết bị đọc được tiến hành trước bởi quá trình xác thực bên trong microchip. Xác thực microchip kết thúc với khóa phi đối xứng được thỏa thuận lẫn nhau mà nó bao gồm tất cả các liên lạc sau đó giữa HCĐT và thiết bị kiểm tra. Tất cả các thông báo được lập mã và đính kèm với MAC, được tính như theo các đặc tả của việc xác thực microchip.

An toàn sinh trắc và rò rỉ qua sóng vô tuyến điện

Các ảnh khuôn mặt và dấu vân tay là những dữ liệu sinh trắc hữu dụng nhất đối với các HCĐT. Dữ liệu sinh trắc bổ sung thêm một chiều nữa cho xác thực HCĐT bằng cách cho phép các kiểm tra đối với “cái bạn có” và “cái là bản thân bạn” tại cùng một thời điểm. Dữ liệu sinh trắc có thể giúp chuyển từ các trạm xuyên biên giới có người giám sát thành các trạm kiểm tra biên giới không cần đến con người.

EAC cho phép hoặc từ chối truy cập dựa trên thông tin sinh trắc được lưu trữ trong microchip an toàn. Giống hệt như các chữ ký số mẫu sinh trắc là duy nhất đối với người nắm giữ hộ chiếu và bởi vậy có thể gây ra các lo lắng về tính riêng tư khác nhau về sự phát tán thông tin mẫu.

Lưu trữ sinh trắc trong microchip an toàn với kiểm soát truy cập là cách tốt nhất để tối ưu hóa độ an toàn và bảo đảm tính riêng tư. Ảnh khuôn mặt của người nắm giữ HCĐT không phải là dữ liệu sinh trắc bí mật hay nhạy cảm, bởi vậy nó không được lập mã.

Khi kiểm tra HCĐT, nếu dữ liệu sinh trắc không được mã hóa sẽ có nguy cơ bị đánh cắp ở dạng bản rõ.

Bên cạnh rủi ro bị mất cắp các dữ liệu sinh trắc cho thiết bị đọc, việc kiểm tra đối với trạm kiểm tra không có người quản lý, có thể có đe dọa về “ngón tay giả” hoặc “ngón tay nặn”.

Tất cả các thiết bị đọc thường không được cấp quyền truy cập đọc các mẫu sinh trắc được lưu trữ trong microchip. Một số quốc gia đã thiết kế các hệ thống trước khi được kiểm tra hợp lệ các quyền truy cập của thiết bị đọc, đọc mẫu sinh trắc trước khi hé lộ các mẫu sinh trắc.

Để tránh rò rỉ thông tin qua sóng vô tuyến điện, trên mỗi HCĐT người ta chế tạo ra một lá chắn sóng vô tuyến điện là hỗn hợp vật chất ngăn chặn sóng điện từ (thường được đặt vào bìa của hộ chiếu) để vô hiệu hóa các tấn công dò đọc và nghe lén. Chỉ khi hộ chiếu được xuất trình thiết bị đọc, thì ăng-ten thu phát sóng vô tuyến mới không bị cản. Lá chắn này cũng gọi là lồng Faraday và thường dưới dạng một cái vỏ bọc hoặc một cái bìa trên hộ chiếu.

Kết luận

Cùng với việc HCĐT được phát hành thay cho các hộ chiếu giấy truyền thống, độ an toàn của chúng cần phải bảo đảm để tránh bị tổn thương do các tấn công dò đọc, nghe lén hay theo dõi. Trên thế giới mới xuất hiện một vài thế hệ các hộ chiếu dựa vào sóng vô tuyến điện RFID, độ thuận tiện và độ an toàn của các giao dịch kiểm soát truy cập không tiếp xúc của nó luôn được nghiên cứu cải thiện.

Tương lai của các HCĐT sẽ dịch chuyển từ  công nghệ dựa trên sóng vô tuyến điện điện tử microchip đơn sang các mô đun đa microchip với khả năng lưu trữ dữ liệu tổ hợp từ nhiều microchip. Các HCĐT tương lai có thể giống như một đĩa cứng an toàn với các cảm biến trên bảng mạch và thông tin được in hạn chế hoặc không in trên đó. Các hộ chiếu như vậy có thể có các cảm biến của chính mình trên bảng mạch để kiểm tra hợp lệ người nắm giữ hộ chiếu của nó. Một số đặc tính an toàn khác có thể được sử dụng như các chứng thư số xác thực thay cho các chứng thư số điện tử. Các phương pháp này dựa trên việc tạo ra các vân tay vật lý mà chúng có thể nhận biết mỗi hộ chiếu.

Tuy nhiên, các phương pháp, các kỹ thuật công nghệ, nhất là các giao thức, thuật toán mật mã, công nghệ sinh trắc và các kỹ thuật chống tấn công kênh thứ cấp của các giải pháp hiện tại vẫn cần được cải tiến và nâng cấp.