Tiêu chuẩn quốc gia TCVN 7818-2:2007 (ISO/IEC 18014-2:2002) về Công nghệ thông tin - Kỹ thuật mật mã dịch vụ tem thời gian - Phần 2: Cơ chế Token độc lập

\r\n\r\n

TIÊU\r\nCHUẨN QUỐC GIA

\r\n\r\n

TCVN\r\n7818-2 : 2007
\r\nISO/IEC 18014-2 : 2002

\r\n\r\n

CÔNG\r\nNGHỆ THÔNG TIN - KỸ THUẬT MẬT MÃ
\r\nDỊCH VỤ TEM THỜI GIAN
\r\nPHẦN 2: CƠ CHẾ TOKEN ĐỘC LẬP

\r\n\r\n

Information\r\ntechnology - Cryptographic technique - Stamping services
\r\nPart 2: Mechanisms producing independent tokens

\r\n\r\n

Mục lục

\r\n\r\n

Lời nói đầu

\r\n\r\n

1. Phạm vi

\r\n\r\n

2. Tài liệu viện dẫn

\r\n\r\n

3. Khái niệm và định nghĩa

\r\n\r\n

4. Khái quát chung

\r\n\r\n

5. Các thực thể của một tiến trình tem\r\nthời gian

\r\n\r\n

6. Định dạng thông điệp

\r\n\r\n

6.1. Định danh đối tượng

\r\n\r\n

6.2. Các trường mở rộng

\r\n\r\n

7. Tem thời gian sử dụng chữ ký số

\r\n\r\n

7.1. Hồi đáp của TSA

\r\n\r\n

7.2. Kiểm tra thẻ

\r\n\r\n

8. Thẻ tem thời gian sử dụng mã xác thực\r\nthông điệp

\r\n\r\n

8.1. Hồi đáp của TSA

\r\n\r\n

8.2. Tạo giá trị MAC

\r\n\r\n

8.3. Kiểm tra MAC

\r\n\r\n

8.4. Kiểm tra thẻ

\r\n\r\n

9. Tem thời gian sử dụng cơ chế lưu trữ

\r\n\r\n

9.1. Hồi đáp của TSA

\r\n\r\n

9.2. Kiểm tra thẻ

\r\n\r\n

Phụ lục A - Module ASN.1 cho tem thời\r\ngian

\r\n\r\n

Phụ lục B - Các cấu trúc dữ liệu

\r\n\r\n

Phụ lục C - Tài liệu tham khảo

\r\n\r\n

 

\r\n\r\n

Lời nói đầu

\r\n\r\n

TCVN 7818-2 : 2007 hoàn toàn\r\ntương đương với ISO/IEC 18014-2 : 2002

\r\n\r\n

TCVN 7818-2 : 2007, Tiểu ban Kỹ\r\nthuật Tiêu chuẩnTCVN/JTC1/SC27“Các kỹ thuật mật mã” biên soạn,\r\nBan Cơ yếu Chính phủ đề nghị, Bộ Khoa học và Công nghệ công bố.

\r\n\r\n

 

\r\n\r\n

CÔNG NGHỆ\r\nTHÔNG TIN - KỸ THUẬT MẬT MÃ - DỊCH VỤ TEM THỜI GIAN
\r\nPHẦN 2: DỊCH VỤ TOKEN ĐỘC LẬP

\r\n\r\n

Information\r\ntechnology - Cryptographic technique - Time - Stamping\r\nservices
\r\nPart 2: Mechanisms producing independent tokens

\r\n\r\n

1  Phạm vi áp dụng

\r\n\r\n

Dịch vụ tem thời gian cung cấp bằng chứng\r\nvề sự tồn tại của một mục dữ liệu trước một thời điểm xác định theo thời gian.\r\nCác dịch vụ tem thời gian tạo ra các thẻ tem thời gian, đó là một cấu trúc dữ liệu\r\nchứa một sự gắn kết có thể kiểm tra được về mặt mật mã giữa sự trình bày một mục\r\ndữ liệu và một giá trị thời gian. Tiêu chuẩn này trình bày các cơ chế tạo tem\r\nthời gian độc lập, các thẻ tem thời gian này có thể được kiểm tra một cách\r\nriêng biệt.

\r\n\r\n

2  Tài liệu viện dẫn

\r\n\r\n

Các tài liệu viễn dẫn dưới đây rất cần\r\nthiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì\r\náp dụng bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng bản\r\nmới nhất, bao gồm cả các sửa đổi.

\r\n\r\n

ISO 7498-2:1989, Information\r\nprocessing systems - Open Systems Interconnection - Basic reference Model -\r\nPart 2: Secirity Architecture (Các hệ thống xử lý thông tin - Liên kết\r\ncác Hệ thống mở - Kiểu tham\r\nchiếu cơ bản - Phần 2:\r\nKiến trúc an toàn).

\r\n\r\n

ISO/IEC 8824-1: 1998 │ ITU-T\r\nRecommendation X.680 (1997), Information technology - Abstract Systax Notation\r\nOne (ASN.1): Specification of basic notation (Bàn công bố X.680 (1997), Công\r\nnghệ thông tin - Cú pháp tóm lược Ký hiệu dạng một (ANS.1): Quy định ký hiệu cơ\r\nsở).

\r\n\r\n

ISO/IEC 8824-2: 1998 │ ITU-T\r\nRecommendation X.681 (1997), Information technology - Abstract Systax Notation\r\nOne (ASN.1): Information object specification (Bản công bố X.681 (1997), Công\r\nnghệ thông tin - Cú pháp tóm lược Ký hiệu dạng 1 (ANS.1): Quy định đối tượng\r\nthông tin).

\r\n\r\n

ISO/IEC 8824-3: 1998 │ ITU-T\r\nRecommendation X.682 (1997), Information technology - Abstract Systax Notation\r\nOne (ASN.1): Constraint specification (Bản công bố X.682 (1997), Công nghệ\r\nthông tin - Cú pháp tóm lược Ký hiệu dạng một (ANS.1): Quy định ràng buộc).

\r\n\r\n

ISO/IEC 8824-4: 1998 │ ITU-T\r\nRecommendation X.683 (1997), Information technology - Abstract Systax Notation\r\nOne (ASN.1): Parameterisation of ASN.1 specifications (Bản công bố X.683\r\n(1997), Công nghệ thông tin - Cú pháp tóm lược Ký hiệu dạng một (ANS.1): Quy định\r\ntham số ASN.1).

\r\n\r\n

ISO/IEC 8825-1:1998 │ ITU-T\r\nRecommendation X.690 (1997), Information technology - ASN.1 Encoding Rules:\r\nSpecification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) andDistinguished\r\nEncoding Rules (DER) (Bản công bố X.690 (1997), Công nghệ thông tin - Quy tắc\r\nmã định dạng ASN.1: Quy định các Quy tắc mã định dạng cơ sở (BER), Quy tắc mã định\r\ndạng chính tắc (CER) và Quy tắc mã định dạng phân biệt (DER)).

\r\n\r\n

ISO/IEC 9594-8:2001 I ITU-T\r\nRecommendation X.509 (2000), Information technology - Open Systems\r\nInterconnection - The Directory: Public key and attribute certificate frameworks (Bản\r\ncông bố X.509 (2000), Công nghệ thông tin - Liên kết các hệ thống mở - Danh mục:\r\nKhóa công khai và định dạng chứng chỉ thuộc tính).

\r\n\r\n

ISO/IEC TR 14516:2002 I ITU-T\r\nRecommendation X.842 (2000), Information technology - Guidelines for the use\r\nand management of Trusted Third Party services (Bản công bố X.842 (2000), Công\r\nnghệ thông tin - Hướng dẫn về việc sử dụng và quản lý các dịch vụ của bên thứ\r\nba tin cậy).

\r\n\r\n

ISO/IEC 9798-1:1997, Information\r\ntechnology - Security techniques - Entity authentication - Part 1: General\r\n(Công nghệ thông tin - Kỹ thuật mật mã - Xác thực thực thể - Phần T. Tổng\r\nquan).

\r\n\r\n

ISO/IEC 10181-2:1996, Information\r\ntechnology - open Systens Interconnection - Security frameworks for\r\nopen systems: Authentication framework (Công nghệ thông tin - Liên kết các hệ\r\nthống mở - Khung an\r\ntoàn cho các hệ thống mở: Tổng quan về\r\ntính xác thực).

\r\n\r\n

ISO/IEC 11770-1:1999, Information\r\ntechnology - Security techniques - Key management - Part 1: Framework\r\n(Công nghệ thông tin - Kỹ thuật mật mã - Quản lý khóa - Phần 1: Tổng quan).

\r\n\r\n

ISO/IEC 11770-3:1999, Information\r\ntechnology - Security techniques - Key management - Part 3: Mechanisms using\r\nasymmetric techniques (Công nghệ thông tin - Kỹ thuật mật mã - Quản lý khóa -\r\nPhần 3: Các cơ chế sử dụng kỹ thuật phi đối xứng).

\r\n\r\n

ISO/IEC 13888-1:1997, Information\r\ntechnology - Security techniques - Non-repudation - Parti: General (Công nghệ\r\nthông tín - Kỹ thuật mật mã - Không chối bỏ - Phần 1: Khung tổng quát).

\r\n\r\n

ISO/IEC 14888 (tất cả các phần),\r\nInformation technology - Security techniques - Digital signatures with appendix\r\n(Công nghệ thông tin - Kỹ thuật mật mã - Chữ ký số kèm phụ lục).

\r\n\r\n

ISO/IEC 18014-1:2002, Information\r\ntechnology - Security techniques - Time-stamping services - Part 1: Framework\r\n(Công nghệ thông tin - Kỹ thuật mật mã - Dịch vụ tem thời gian - Phần 1: Khung\r\ntổng quát).

\r\n\r\n

3  Thuật ngữ và định\r\nnghĩa

\r\n\r\n

Các thuật ngữ sau đây được sử dụng\r\ntheo định nghĩa trong ISO/IEC 7489-2:

\r\n\r\n

Mật mã (Cryptography): Những\r\nquy tắc được định ra bao gồm nguyên lý, phương tiện và phương pháp để chuyển đổi\r\ndữ liệu nhằm che dấu nội dung thông tin giúp chống lại sự sửa đổi không được\r\nphát hiện và/hoặc chống lại việc sử dụng trái phép.

\r\n\r\n

Toàn vẹn dữ liệu (Data\r\nintergrity): Một tính chất nói lên rằng dữ liệu sê không bị sửa đổi hoặc hủy bỏ bởi một thực thể\r\nkhông có thẩm quyền.

\r\n\r\n

Xác thực nguồn gốc dữ liệu (data origin\r\nauthentication): Chứng thực rằng nguồn gốc của dữ liệu nhận được đúng như được\r\ntuyên bố.

\r\n\r\n

Chữ ký số (Digital signature):\r\nPhần dữ liệu thêm vào hoặc phép biến đổi mật mã lên một đơn vị dữ liệu cho phép\r\nbên nhận đơn vị dữ liệu này có thể chứng minh được nguồn gốc và tính toàn vẹn của\r\nđơn vị dữ liệu đó cũng như giúp bảo vệ chống lại sự giả mạo của bên nhận.

\r\n\r\n

Các thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC 8825-1:

\r\n\r\n

Quy tắc mã định dạng phân biệt (DER -\r\nDistinguished Encoding Rules): Các quy tắc mã định dạng có thể được áp dụng cho\r\ngiá trị của các kiểu định trước sử dụng ký hiệu ASN.1. Việc áp dụng các quy tắc\r\nmã định dạng này giúp tạo ra một cú pháp biến đổi cho các giá trị đó. Nghĩa là,\r\nchính những quy tắc này cũng được áp dụng cho việc giải mã. Mã định dạng DER\r\nphù hợp hơn nếu giá trị được mã định dạng là đủ nhỏ để đưa vào bộ nhớ hiện có\r\nvà khi cần phải bỏ qua nhanh một vài giá trị lồng nhau.

\r\n\r\n

Các thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC 9594-8:

\r\n\r\n

Đường dẫn xác thực\r\n(Certification path): Một dãy có thứ tự các chứng chỉ về các đối tượng trong một DIT\r\n(Directory Information Tree - Cây thông tin thư mục), dãy này cùng với khóa\r\ncông khai của một đối tượng ban đầu trong đường dẫn có thể được xử lý để tìm ra\r\nđối tượng cuối cùng trong đường dẫn.

\r\n\r\n

Các thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC 9798-1:

\r\n\r\n

Cặp khóa phi đối xứng (Asymmetric\r\nkey pair): Một cặp khóa liên quan đến\r\nnhau bao gồm một khóa riêng dùng cho phép biến đổi bí mật và một khóa công khai\r\ndùng cho phép biến đổi công khai.

\r\n\r\n

Hệ thống chữ ký phi đối xứng (Asymmetric\r\nsignature system): Một hệ thống dựa trên các kỹ thuậtphi đối xứng\r\ntrong đó một phép biến đổi bí mật được sử dụng để ký và một phép biến đổicông\r\nkhai\r\nđược\r\nsử dụng để kiểm tra.

\r\n\r\n

Thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC\r\n10181-2:

\r\n\r\n

Xác thực (Authentication):\r\nCung cấp sự đảm bảo về định danh được tuyên bố của một thực thể.

\r\n\r\n

Thuật ngữ sau được sử dụng theo định\r\nnghĩa trong TCVN 7818-1 : 2007:

\r\n\r\n

Cơ quan chứng thực (CA -\r\ncertification authority): Trung tâm được tin cậy tạo và đưa ra các chứng chỉ\r\nkhóa công khai. Ngoài ra, CA có thể đảm nhận việc tạo và đưa ra khóa cho các thực\r\nthể.

\r\n\r\n

Các thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC 13888-1:

\r\n\r\n

Mã xác thực thông điệp (MAC -\r\nMessage Authentication Code): Một mục dữ liệu nhận được từ một thông điệp sử dụng\r\ntrong kỹ thuật mật mã đối xứng và một khóa bí mật. Nó được sử dụng để kiểm tra\r\ntính toàn vẹn cũng như nguồn gốc thông điệp của thực thể nắm giữ khóa bí mật.

\r\n\r\n

Các thuật ngữ sau được sử dụng\r\ntheo định nghĩa ở TCVN 7817-3 : 2007:

\r\n\r\n

Khóa riêng (private key): Thành\r\nphần khóa thuộc một cặp khóa phi đối xứng của một thực thể chỉ được sử dụng bởi thực thể\r\nđó.

\r\n\r\n

CHÚ THÍCH: Trong hệ chữ ký\r\nphi đối xứng thì khóa bí mật dùng cho phép biến đổi ký. Trong hệ mật\r\nphi đối xứng thì khóa bí mật\r\ndùng cho phép giải mã.

\r\n\r\n

Khóa công khai (public\r\nkey): Thành phần khóa thuộc cặp khóa phi đối xứng của một thực thể được công bố\r\ncông khai.

\r\n\r\n

Chứng chỉ khóa công khai: Thông tin\r\nkhóa công khai của một thực thể được ký bởi cơ quan có thẩm quyền chứng thực vì thế chống\r\nđược sự giả mạo.

\r\n\r\n

Thuật ngữ sau được sử dụng theo định\r\nnghĩa ở ISO/IEC 14888-2:

\r\n\r\n

Bên thứ ba tin cậy (TTP -\r\nTrusted Third Party): Một thực thể hoặc cơ quan an toàn được các thực thể khác\r\ntin cậy về khía cạnh hoạt động\r\nliên quan đến an toàn.

\r\n\r\n

Các thuật ngữ sau được sử dụng theo định\r\nnghĩa trong TCVN 7818-1 : 2007

\r\n\r\n

Tổ chức cấp tem thời gian\r\n(time-stamping authority - TSA): Bên thứ ba được tin cậy để cung cấp dịch vụ\r\ntem thời gian

\r\n\r\n

Dịch vụ tem thời gian (time\r\n-stamping service): Dịch vụ cung cấp bằng chứng rằng một mục dữ liệu đã tồn tại trước một\r\nthời điểm xác định.

\r\n\r\n

CHÚ THÍCH: Một ví dụ của dịch vụ tem\r\nthời gian là bổ sung tem thời gian vào biểu diễn mục dữ liệu và ký kết quả.

\r\n\r\n

Người yêu cầu cấp tem thời gian (time-stamp\r\nrequester): Thực thể sở hữu mục dữ liệu muốn được gắn tem thời gian.

\r\n\r\n

CHÚ THÍCH: Người yêu cầu cũng có thể\r\nlà Bên thứ ba tin cậy kể cả cơ quan cung cấp tem thời gian.

\r\n\r\n

Thẻ tem thời gian (time- stamp\r\ntoken): Cấu trúc dữ liệu\r\nchứa một liên kết mật mã có khả năng\r\nkiểm tra được giữa biểu diễn của một mục dữ liệu và một giá trị thời gian. Một\r\nthẻ tem thời\r\ngian cũng có thể có cả\r\ncác mục dữ liệu bổ sung thêm trong quá trình liên kết.

\r\n\r\n

Người kiểm tra tem thời gian (time-stamp\r\nverifier): Thực thể sở hữu dữ liệu và muốn kiểm tra rằng dữ liệu đó được gắn một\r\ntem thời gian hợp lệ. Tiến trình kiểm tra có thể được thực hiện bởi bản thân\r\nngười kiểm tra hoặc thông qua bên thứ ba được tin tưởng.

\r\n\r\n

4  Thảo luận chung

\r\n\r\n

Tiêu chuẩn TCVN 7818-1 : 2007 đưa ra\r\nkhung tổng quát về việc cung cấp các dịch vụ tem thời gian. Dịch vụ tem thời\r\ngian tạo ra các thẻ tem thời gian. Các thẻ này là sự kết hợp giữa dữ liệu và\r\ncác thời điểm được tạo theo một cách nào đó để cung cấp bằng chứng rằng dữ liệu\r\nđã tồn tại theo sự kết hợp giữa ngày tháng và thời gian. Ngoài ra, bằng chứng\r\nnày có thể được sử dụng bởi các dịch vụ chống chối bỏ.

\r\n\r\n

Tiêu chuẩn này đưa ra các cơ chế để tạo\r\ncác thẻ tem thời gian một cách độc lập sao cho khi kiểm tra một thẻ tem thời\r\ngian thì người kiểm tra không cần phải truy cập đến các thẻ tem thời gian khác.

\r\n\r\n

Tính độc lập ở đây có nghĩa\r\nlà người kiểm tra chỉ cần có một thẻ tem thời gian để kiểm tra thời điểm tại đó\r\ntài liệu đã tồn tại.

\r\n\r\n

Có ba cơ chế sẽ được trình bày. Cơ chế\r\nthứ nhất dựa trên chữ ký số, cơ chế này nhằm tương thích ngược với giao thức\r\ntem thời gian được định nghĩa bởi IETF (RFC3161). Cơ chế thứ hai sử dụng một mã xác thực\r\nthông điệp (MAC) để xác thực sự liên kết trong một thẻ tem thời gian. Cơ chế thứ\r\nba dựa trên việc lưu trữ thông tin của TSA.

\r\n\r\n

Cơ chế thứ nhất yêu cầu tổ chức cung cấp\r\ndịch vụ tem thời gian ký số vào mối liên kết giữa thời gian và tài liệu sao cho\r\nviệc kiểm tra chữ ký đưa ra được bằng chứng.

\r\n\r\n

Cơ chế thứ hai yêu cầu tổ chức cung cấp\r\ndịch vụ tem thời gian sử dụng một MAC (mã xác thực thông điệp) để ký vào mối\r\nliên kết. Việc tạo và kiểm\r\ntra chữ ký đều yêu cầu một thành phần thông tin bí mật mà thông tin bí mật này\r\ndo TSA nắm giữ. Do đó, TSA được yêu cầu khi kiểm tra.

\r\n\r\n

Cơ chế thứ ba yêu cầu tổ chức cung cấp\r\ndịch vụ tem thời gian lưu giữ bằng chứng và chỉ công bố một tham chiếu đến bằng\r\nchứng đó. Do đó, TSA\r\nđược yêu cầu về việc lưu trữ và kiểm tra.

\r\n\r\n

Người dùng dịch vụ tem thời gian có thể\r\nlựa chọn cơ chế để sử dụng dựa theo phép mở rộng ExtMethod quy định bởi TCVN 7818-1\r\n: 2007. Nếu không lựa chọn được cơ chế nào cho các yêu cầu tem thời gian thì mặc\r\nđịnh cơ chế dựa trên chữ ký số sẽ được sử dụng.

\r\n\r\n

CHÚ THÍCH: Để đảm bảo tính\r\ntương thích hoàn toàn với các nhà cung cấp dịch vụ tem thời gian tuân theo IETF\r\nthì sự mở rộng này phải được bỏ qua để bắt buộc áp dụng cơ chế chữ ký số phù hợp với\r\ngiao thức xác định trong [RFC3161].

\r\n\r\n

5  Các thực thể của một\r\ntiến trình tem thời gian

\r\n\r\n

Khi yêu cầu hoặc kiểm tra tem thời\r\ngian thì các thực thể sau (đã đề cập ở TCVN 7818-1 : 2007) có thể xuất hiện:

\r\n\r\n

• Người cầu tem thời gian

\r\n\r\n

• Người kiểm tra tem thời gian

\r\n\r\n

• Tổ chức dịch vụ tem thời gian (TSA)

\r\n\r\n

6  Định dạng thông điệp

\r\n\r\n

Phần này trình bày lại một số định\r\nnghĩa ASN.1 trong TCVN 7818-1 : 2007 và giới thiệu một số định nghĩa mới.\r\nModule ASN.1 hoàn chỉnh có thể tìm thấy ở Phụ lục A.

\r\n\r\n

TSAtạo ra thông\r\ntin về tem thời gian được định nghĩa trong TCVN 7818-1 : 2007 như sau:

\r\n\r\n

\r\n\r\n

TSTInfo được gói vào một hồi đáp tem\r\nthời gian theo mã định dạng DER thành một chuỗi OCTET:

\r\n\r\n

\r\n\r\n

Giá trị của thành phần contentType là\r\nmột OBJECT IDENTIFIER. Nó kết hợp chặt\r\nchẽ với kiểu của thành phần content. Tập đối tượng thông tin Contents được tham\r\nchiếu bởi cả hai thành phần của TimeStampToken. Mỗi đối tượng trong Contents\r\nxác định cụ thể một cặp hợp lệ giá trị kết hợp giữa contentType và content. Ở\r\ntiêu chuẩn này, đối với\r\nmỗi\r\ncơ chế tem thời gian chỉ có một đối tượngthuộc tập đối tượng\r\nthông tin được định nghĩa.

\r\n\r\n

6.1  Định\r\ndanh đối tượng

\r\n\r\n

Số lượng các OBJECT IDENTIFIER được yêu cầu để hỗ\r\ntrợ cho các cơ chế được định nghĩa dưới đây. Các định danh này được sử dụng để\r\nxác định duy nhất từng cơ chế tem thời gian cụ thể. Định danh gốc dưới đây được\r\nxác định để hỗ trợ định vị cho các định danh tiếp theo trong các cơ chế thẻ độc\r\nlập:

\r\n\r\n

\r\n\r\n

Các định danh được định nghĩa trong\r\ntài liệu này đều xuất phát từ định danh gốc, ngoại trừ trường hợp sẽ được chỉ\r\nrõ.

\r\n\r\n

6.2  Các trường\r\nmở rộng

\r\n\r\n

Các trường mở rộng sau được\r\nđưa vào TimeSampReq hoặc TSTInfo. Các trường mở rộng khác có thể được chỉ\r\nra cụ thể sau.

\r\n\r\n

6.2.1  Mở rộng ExtHash

\r\n\r\n

Người yêu cầu dịch vụ tem thời gian có\r\nthể mong muốn đệ trình một hoặc nhiều giá trị băm cho tem thời gian nhận được từ\r\nmột mục dữ liệu đơn lẻ. Để cho phép đệ trình nhiều giá trị băm thi phải định\r\nnghĩa các mở rộng sau:

\r\n\r\n

\r\n\r\n

Mở rộng này được đưa vào trường extensions của\r\ncả thông điệp TimeStampReq gửi bởi người yêu cầu đến TSAvà trường\r\nextensions của cấu trúc TSTInfo kết quả tạo bởi TSA và được trả về cho bên yêu\r\ncầu. TSA\r\ntái\r\ntạo lại các nội dung cho các mở rộng này mà không có sự sửa đổi.

\r\n\r\n

6.2.2 Mở rộng\r\nExtMethod

\r\n\r\n

Người yêu cầu dịch vụ tem thời gian có\r\nthể muốn chỉ dẫn cho một TSA cụ thể nào đó biết về phương pháp tem thời gian\r\nnào được sử dụng khi định dạng thẻ tem thời gian thu được. Để cho phép người\r\nyêu cầu tem thời gian báo cho một TSA về phương pháp tem thời gian sử dụng để định\r\ndạng thẻ tem thời gian kết quả thì mở rộng sau được định nghĩa:

\r\n\r\n

\r\n\r\n

Mở rộng này được đưa vào trường\r\nextensions của cả thông điệp TimeStampReq gửi bởi người yêu cầu đến TSAvà trường\r\nextensions của cấu trúc TSTInfo kết quả tạo bởi TSAvà trả về cho\r\nngười yêu cầu.

\r\n\r\n

Nếu mở rộng này có mặt và\r\nTSA có thể xử lý nó\r\nthì TSA phải cố\r\ngắng đáp ứng yêu cầu cho phương pháp được đưa ra hoặc trả về một thông báo lỗi\r\nrằng phương pháp không thể thực hiện. Nếu người yêu cầu đưa ra hơn một phương\r\npháp có thể thì TSA có thể lựa chọn một trong các phương phápđược đề nghị\r\nđể sử dụng làm khuôn dạng\r\ncho thẻ tem thời gian. Nếu mở rộng này không được trình bày thì TSA sẽ sử dụng\r\ncơ chế tem thời gian mặc định của nó.

\r\n\r\n

6.2.3  Mở rộng\r\nExtRenewal

\r\n\r\n

Người yêu cầu dịch vụ tem thời gian có\r\nthể muốn báo cho TSA biết rằng yêu cầu tem thời gian hiện tại là việc “làm\r\ntươi” tem thời gian trên dữ liệu đã được gắn tem trước đó, vì thế thời hạn hiệu\r\nlực của tem thời gian cũ sẽ được mở rộng một cách có hiệu quả. Để\r\nđáp ứng mục đích này, mở rộng sau được định nghĩa:

\r\n\r\n

\r\n\r\n

Mở rộng này được đưa vào trường\r\nextensions của cả thông điệp TimeStampReq do người yêu cầu gửi đến TSA và trường\r\nextensions của cấu trúc TSTInfo kết quả tạo bởi TSA và trả về cho\r\nngười yêu cầu. TSA tái tạo lại các nội dung cho các mở rộng này mà\r\nkhông có sự sửa đổi nào.

\r\n\r\n

7  Tem thời gian sử dụng\r\nchữ ký số

\r\n\r\n

Trong cơ chế này, TSA có một cặp khóa phi đối xứng\r\nvà sử dụng khóa riêng để ký số lên thẻ tem thời gian. Quá trình kiểm tra chữ ký\r\nsẽ sử dụng đến khóa công khai.

\r\n\r\n

Cơ chế này có thể cần đến một hệ thống\r\nPKI (Hạ tầng cơ sở khóa công khai) để xác thực khóa công khai và việc sử\r\ndụng liên quan.

\r\n\r\n

Người yêu cầu dịch vụ có thể chỉ rõ cơ\r\nchế này sử dụng mở rộng ExtMethod\r\nđược đưa ra trong trường extensions của thông điệp yêu cầu tem thời gian với định\r\ndanh đối tượng như sau:

\r\n\r\n

tsp-itm-ds OBJECT IDENTIFIER ::=\r\n{tsp-itm ds(1)}

\r\n\r\n

Nếu người yêu cầu dịch vụ không xác định\r\ncơ chế tem thời gian cụ thể nào thì cơ chế chữ ký số sẽ được chỉ định sử dụng.

\r\n\r\n

7.1  Hồi đáp\r\ncủa TSA

\r\n\r\n

TimeStampToken là một kiểu có cấu trúc chứa hai\r\nthành phần\r\n(contentType và content) được định nghĩa theo thuật ngữ của các trường &id\r\nvà &Type của lớp đối tượng thông tin CONTENT.Cả hai thành phần này đều bị\r\nràng buộc bởi tập đối tượng\r\nthông tin Contents là tập chứa một đối tượng cho mỗi cơ chế tem thời gian chẳng\r\nhạn như đối tượng sau:

\r\n\r\n

{SignedData IDENTIFIED BY\r\nid-signedData}

\r\n\r\n

Đối với cơ chế tem thời gian chữ ký số,\r\nràng buộc này lên các thành phần TimeStampToken đòi hỏi thành phần contentType\r\nphải chứa giá trị id-signedData\r\nvà thành phần content phải chứa một giá trị có kiểu SignedData.

\r\n\r\n

Giá trị định danh đối tượng id-signedData được định\r\nnghĩa như sau:

\r\n\r\n

\r\n\r\n

Thành phần content có kiểu SignedData\r\nđược định nghĩa trong Phụ lục B của TCVN 7818-1 : 2007như sau:

\r\n\r\n

\r\n\r\n

eContent là giá trị có dạng mã DER của\r\ncấu trúc TSTInfo

\r\n\r\n

TSA phải ký tất cả thẻ tem thời gian với\r\nmột khóa được dự trữ dành riêng cho mục đích này. Khi PKI được sử dụng theo các\r\nchứng chỉ tuân thủ\r\nX.509 v3 [ISO/IEC 9594-8 : 2000] thì chứng chỉ tương ứng cho TSA chỉ được chứa\r\nmột giá trị của trường mở rộng dùng\r\ncho khóa mở rộng với\r\nKeyPurposelD có giá trị id-kp-timeStamping [RFC2459]. Sự mở rộng này cần\r\nphải được giới hạn.

\r\n\r\n

\r\n\r\n

7.2  Kiểm tra\r\nthẻ

\r\n\r\n

Cho Ti là giá trị được ghi theo ngày\r\ntháng và thời gian trong thẻ tem thời gian (được phát hành theo thời gian). Lấy\r\nTv là giá trị thời gian tại thời điểm thẻ tem thời gian được kiểm tra. Quả\r\ntrình kiểm tra thẻ tem thời gian là việc kiểm tra xem:

\r\n\r\n

• Thẻ tem thời gian có được định dạng\r\nđúng cú pháp hay không.

\r\n\r\n

• Giá trị của thành phần messageImprint trong\r\nthẻ tem thời gian có bằng giá trị messageImprint được xem xét trong Tv dựa trên\r\ntài liệu được khảo sát hay không.

\r\n\r\n

• Giá trị của thành phần messageImprint trong\r\nmỗi mở rộng ExtHash của thẻ tem thời gian có bằng giá trị messageImprint được\r\nxem xét trong Tv dựa trên tài liệu được khảo sát haykhông.

\r\n\r\n

• Có một đường dẫn chứng chỉ hợp lệ tại\r\nthời điểm Tv

\r\n\r\n

C₀…C_iC_j+1\r\n...C_R

\r\n\r\n

sao cho:

\r\n\r\n

□ với i=1..R thì C_i sẽ xác\r\nthực C_i+1.

\r\n\r\n

□ C₀ là chứng chỉ hợp lệ\r\ncho TSA ký.

\r\n\r\n

□ C₀ kiểm tra chữ ký của\r\nthẻ tem thời gian.

\r\n\r\n

□ C₀ chứa một phép mở rộng dùng\r\nkhóa mở rộng để chỉ\r\nra rằng mục đích của nó là id-kp- timeStamping.

\r\n\r\n

□ C_R là một chứng chỉ hợp lệ\r\ncho một CA tin cậy.

\r\n\r\n

□ Mỗi chứng chỉ áp dụng tại thời điểm\r\nTi sao cho Ti nằm trong thời hạn hiệu lực chứng chỉ và khả năng áp dụng CRL tại\r\nthời điểm Ti không thu hồi hoặc trì hoãn chứng chỉ.

\r\n\r\n

□ Các chính sách cấp chứng chỉ của mỗi\r\nchứng chỉ phải thỏa\r\nmãn mục tiêu dự định của quá trình kiểm tra mà nó được áp dụng.

\r\n\r\n

• Có một đường dẫn chứng chỉ hợp lệ Tv

\r\n\r\n

C₀…C_jC_i+1 ...C_R

\r\n\r\n

sao cho:

\r\n\r\n

□ với i=1..R thì C_i\r\nsẽ xác thực C_i+1.

\r\n\r\n

□ C₀ là chứng chỉ hợp lệ\r\ncho TSA ký.

\r\n\r\n

□ C₀ kiểm tra chữ ký của\r\nthẻ tem thời gian.

\r\n\r\n

□ C₀ chứa một phép mở rộng\r\ndùng khỏa mở rộng để chỉ\r\nra rằng mục đích của nó là id-kp-timeStamping.

\r\n\r\n

□ C_R là một chứng chỉ hợp lệ\r\ncho một CA tin cậy.

\r\n\r\n

□ Mỗi chứng chỉ áp dụng tại thời\r\nđiểm Tv sao cho Tv sẽ nằm trong thời hạn hiệu lực chứng chỉ và Danh sách hủy bỏ\r\nchứng chỉ (CRL) có khả năng áp dụng tại thời điểm Tv không đề cập đến vấn đề “tổn\r\nthương khóa” như là lý do\r\nđể hủy bỏ.

\r\n\r\n

□ Các chính sách cấp chứng chỉ của mỗi\r\nchứng chỉ phải thỏa mãn mục tiêu dự định của quá trình kiểm tra mà nó dựa vào.

\r\n\r\n

Người kiểm tra có thể yêu cầu thêm các\r\nbằng chứng cho những mục tiêu đặc biệt và điều này có thể đạt được\r\nbằng các phương tiện không được đề cập trong tiêu chuẩn này.

\r\n\r\n

8  Thẻ tem thời gian\r\nsử dụng mã xác thực thông điệp

\r\n\r\n

Trong cơ chế này, TSA sử dụng một khóa\r\nbí mật để tạo một liên kết số đến thời gian tương ứng. Thẻ tem thời gian được\r\nxác thực sử dụng một Mã xác thực thông điệp (MAC).

\r\n\r\n

Khi sử dụng cơ chế này, TSA cần thực\r\nhiện một quá trình kiểm tra và TSA phải được tin cậy hoàn toàn vi không có bằng\r\nchứng bên ngoài nào có thể phát hiện ra sự gian lận.

\r\n\r\n

Mỗi trao đổi thông tin giữa các chủ thể\r\nkhác nhau (người yêu cầu, người kiểm tra và TSA) đều đòi hỏi sự bảo vệ\r\ntoàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu. Sự bảo vệ này có thể được đảm bảo\r\nbằng phương tiện nào đó, chẳng hạn\r\nqua kênh bí mật hoặc sử dụng khóa công khai sao cho không cần kéo dài thời gian\r\nlâu hơn thời gian giao tác đòi hỏi.

\r\n\r\n

Để sử dụng cơ chế này, người yêu cầu sẽ\r\nsử dụng một mở rộng ExtMothod được đưa ra trong trường extensions của thông điệp\r\nyêu cầu tem thời gian với định danh đối tượng như sau:

\r\n\r\n

tsp-itm-mac OBJECT IDENTIFIER ::= {tsp-itm\r\nmac(2)}

\r\n\r\n

Việc đánh giá MAC do TSA thực hiện được\r\nmô tả ở phần dưới. Khóa bí mật dùng để đánh giá MAC được giữ bí mật. Khóa bí mật\r\nsử dụng cho mỗi thẻ phải\r\nluôn sẵn dùng cho việc kiểm tra sau đó.

\r\n\r\n

Khóa bí mật sử dụng để đóng dấu thẻ đã cho có thể được\r\nxác định cho thẻ đó hoặc chung cho một loạt thẻ.

\r\n\r\n

8.1  Hồi đáp\r\ncủa TSA

\r\n\r\n

TimeStampToken là một kiểu có cấu trúc gồm\r\nhai thành phần contentType và content được định nghĩa trong các các khái niệm của\r\ntrường &id và &Type của lớp\r\nđối tượng thông tin CONTENT. Cả hai thành phần này bị ràng buộc bởi tập đối tượng\r\nthông tin Contents là tập chứa một đối tượng cho mỗi cơ chế tem thời gian, chẳng\r\nhạn như đối tượng:

\r\n\r\n

{AuthenticatedData IDENTIFIED BY\r\nid-ct-authData}

\r\n\r\n

Đối với cơ chế tem thời gian MAC, sự\r\nràng buộc này lên các thành phần của TimeStampToken đòi hỏi rằng thành phần\r\ncontentType phải chứa giá trị id-ct-authData và thành phần content phải chứa một\r\ngiá trị có kiểu AuthenticatedData.

\r\n\r\n

Giá trị định danh đối tượng\r\nid-ct-authData được định nghĩa như sau:

\r\n\r\n

\r\n\r\n

Giá trị của thành phần\r\nencapContentlnto được mô tả như ở điều 7.1 ở trên.

\r\n\r\n

Thành phần recipientInfo được trình\r\nbày trong một giá trị có kiểu AuthenticatedData nhưng nó có chứa một tập rỗng\r\ngiá trị có kiểu RecipientInfo:

\r\n\r\n

RecipientInfos ::= SET SIZE(0) OF\r\nRecipientInfo

\r\n\r\n

Trường tsa và extensions của TSTInfo\r\nphải có mặt. Trường tsa cần thiết cho việc kiểm tra thẻ.

\r\n\r\n

Trường extensions cần thiết để định\r\ndanh cơ chế được sử dụng.

\r\n\r\n

8.2  Tạo giá\r\ntrị MAC

\r\n\r\n

Tiến trình tạo MAC tính một mã xác thực\r\nthông điệp (MAC) trên nội dung được xác thực. Đầu vào cho tiến trình tính MAC\r\nlà một giá trị của encapContentInfo eContent OCTET STRING có chứa một giá trị dạng\r\nmã DER của cấu trúc TSTInfo. Chỉ những octet bao gồm giá trị eContnent mới là đầu\r\nvào của thuật toán MAC, thẻ và giá trị độ dài bị bỏ qua.

\r\n\r\n

Đầu vào cho một tiến trình tính MAC\r\nbao gồm dữ liệu đầu vào MAC được định nghĩa như trên và một khóa xác thực được\r\ngiữ bí mật. Chi tiết về việc tính MAC phụ thuộc vào thuật toán MAC sử dụng bởi\r\nTSA. Định danh đối tượng cùng với bất kỳ tham số nào sẽ xác định thuật toán MAC\r\nđược đưa vào trường macAlgorithm:

\r\n\r\n

\r\n\r\n

8.3  Kiểm tra\r\nMAC

\r\n\r\n

Đầu vào của quá trình kiểm tra MAC bao\r\ngồm dữ liệu đầu vào (đã mô tả ở phần trước) và thành phần bí mật sử dụng bởi TSA để xác\r\nthực thẻ tem thời gian. Chi tiết về tiến trình kiểm tra MAC phụ thuộc vào thuật\r\ntoán MAC được dùng.

\r\n\r\n

8.4  Kiểm tra\r\nthẻ

\r\n\r\n

Sự hợp lệ của một thẻ tem thời gian có thể được kiểm\r\ntra như sau:

\r\n\r\n

• Thẻ tem thời gian có được\r\nđịnh dạng đúng cú pháp hay không.

\r\n\r\n

• Giá trị thành phần messageImprint của\r\nthẻ tem thời gian có bằng giá trị messageImprint được xem xét tại thời điểm Tv\r\ndựa trên tài liệu được khảo sát hay không.

\r\n\r\n

• Giá trị thành phần messageImprint của\r\nmỗi phép mở rộng ExtHash trong thẻ tem thời gian có bằng giá trị messageImprint\r\nđược xem xét tại thời điểm Tv dựa trên tài liệu được khảo sát hay không.

\r\n\r\n

• Chính sách mà thẻ được ban hành có khả năng áp\r\ndụng cho mục tiêu đề ra hay không.

\r\n\r\n

Ngoài ra, người kiểm tra sẽ thực\r\nhiện một sự trao đổi giao thức kiểm tra với TSA (xem TCVN 7818-1 : 2007) sử dụng\r\nmột kênh được bảo vệ có xác thực nguồn gốc dữ liệu và đảm bảo toàn vẹn dữ liệu.

\r\n\r\n

TSA phải thực sự được kiểm toán bởi bên thứ ba\r\ntheo sự thỏa thuận trước đó để xác thực tính an toàn phù hợp của các nhật ký sự kiện\r\nvà các khóa bí mật.

\r\n\r\n

9  Tem thời gian sử dụng\r\ncơ chế lưu trữ

\r\n\r\n

Trong cơ chế này, TSA gửi lại cho người\r\nyêu cầu một thẻ tem thời gian trong đó chỉ có thông tin tham chiếu để liên kết tem thời\r\ngian với messageImprint trong thẻ tem thời gian. TSA lưu trữ tại chỗ thông tin\r\nđủ để kiểm tra rằng tem thời gian là đúng.

\r\n\r\n

Các lưu trữ của TSA có thể bao gồm các\r\nthẻ tem thời gian sử dụng một cơ chế nào đó, nhật ký hoạt động, nhật ký liên lạc,...

\r\n\r\n

Khi sử dụng cơ chế lưu trữ, TSA cần được\r\ngiám sát sao cho TSA được tin cậy hoàn toàn bởi vì không có bằng chứng\r\nnào để chứng tỏ sự giả mạo của TSA.

\r\n\r\n

CHÚ THÍCH: Trong kịch bản này, TSA\r\nđóng vai trò là một Công chứng viên điện tử. Hướng dẫn về cách sử dụng và quản lý vấn đề này đối\r\nvới Bên thứ ba tin cậy có thể xem trong ISO/IEC TR 14516.

\r\n\r\n

Mỗi cuộc trao đổi thông tin giữa các\r\nchủ thể khác nhau (người yêu cầu, người kiểm tra và TSA) cần đến một sự bảo vệ\r\ntoàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu. Sự bảo vệ này có thể được\r\ncung cấp bởi bất cứ\r\nphương tiện nào chẳng hạn như qua kênh bí mật, sử dụng các khóa công khai sao\r\ncho không cần kéo dài thời gian lâu hơn thời gian giao tác.

\r\n\r\n

Để sử dụng cơ chế này, người yêu cầu sẽ\r\nsử dụng mở rộng\r\nExtMothod được đưa ra trong trường extensions của yêu cầu tem thời gian với định\r\ndanh đối tượng như sau:

\r\n\r\n

tsp-itm-archive OBJECT IDENTIFIER ::=\r\n{tsp-itm archive(3)}

\r\n\r\n

9.1  Hồi đáp của\r\nTSA

\r\n\r\n

TimeStampToken là một kiểu có cấu trúc\r\nbao gồm hai thành phần contentType và content được định nghĩa trong các khái niệm\r\ncủa trường &id và &Type của lớp\r\nđối tượng thông tin CONTENT. Cả hai thành phần này được ràng buộc nhau bởi tập đối tượng\r\nthông tin Contents là tập có chứa một đối tượng cho mỗi cơ chế tem thời gian, chẳng hạn\r\nnhư đối tượng:

\r\n\r\n

{ETSTInfo IDNETIFIED BY id-data}

\r\n\r\n

Đối với cơ chế tem thời gian lưu trữ,\r\nsự ràng buộc giữa các thành phần của TimeStampToken yêu cầu rằng thành phần\r\ncontentType có chứa giá trị id-data và thành phần content chứa một giá trị có\r\nkiểu TESTInfo.

\r\n\r\n

Giá trị định danh đối tượng id-data được\r\nđịnh nghĩa như sau:

\r\n\r\n

\r\n\r\n

content chứa giá trị dạng mã DER của cấu\r\ntrúc TESTInfo.

\r\n\r\n

Trong đó, phải có các trường tsa và\r\nextensions của TESTInfo. Trường tsa được yêu cầu cho việc kiểm tra thè. Trường\r\nextensions được yêu cầu để thực hiện việc định danh cơ chế được sử dụng.

\r\n\r\n

9.2  Kiểm tra thẻ

\r\n\r\n

Tính hợp lệ của một thẻ tem thời gian có thể được\r\nkiểm tra bằng việc kiểm tra xem:

\r\n\r\n

• Thẻ tem thời gian có được định dạng\r\nđúng cú pháp hay không.

\r\n\r\n

• Giá trị của thành phần messageImprint\r\ntrong thẻ\r\ntem\r\nthời gian có bằng giá trị\r\ncủa messageImprint được xem xét tại thời điểm Tv dựa trên tài liệu được khảo\r\nsát hay không.

\r\n\r\n

• Giá trị của thành phần messageImprint\r\ncủa mỗi mở rộng ExtHash\r\ntrong thẻ tem thời gian có bằng giá trị\r\nmessageImprint được xem xét tại thời điểm Tv dựa trên tài liệu được khảo sát\r\nhay không.

\r\n\r\n

• Chính sách mà thẻ được\r\nban hành có áp dụng được cho mục tiêu đề ra hay không.

\r\n\r\n

Ngoài ra, người kiểm tra nên thực hiện\r\nmột sự trao đổi giao thức kiểm tra với TSA (xem TCVN 7817- 1:2007) sử dụng một\r\nkênh được bảo vệ cung cấp tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu.

\r\n\r\n

TSA phải thực sự được kiểm toán bởi bên thứ ba\r\ntheo sự thỏa thuận trước đó để xác thực tính an toàn thích hợp của các nhật ký\r\nsự kiện.

\r\n\r\n

 

\r\n\r\n

Phụ\r\nlục A

\r\n\r\n

(quy\r\nđịnh)

\r\n\r\n

Module ASN.1 cho tem thời gian

\r\n\r\n

Trích đoạn này chứa đoạn ký hiệu ASN.1\r\nchính xác dựa trên các chuẩn ASN.1 đã được kiểm tra cẩn thận bởi bộ kiểm tra cú\r\npháp tin cậy thuộc dự án ASN.1 của ITU-T.

\r\n\r\n

Cú pháp ở đây tuân theo\r\nISO/IEC 8824-1998|X.680: Bản khuyến nghị ITU-T X.680 (1997) và bits-on-the-line\r\ntương thích với [RFC3161].

\r\n\r\n

\r\n\r\n

\r\n\r\n

\r\n\r\n

\r\n\r\n

\r\n\r\n

\r\n\r\n

\r\n\r\n

 

\r\n\r\n

Phụ\r\nlục B

\r\n\r\n

(tham\r\nkhảo)

\r\n\r\n

Các cấu trúc dữ liệu

\r\n\r\n

Các lược đồ sau bổ sung thêm cho các\r\nmô tả ASN trong phần\r\nvăn bản tiêu chuẩn ở trên.

\r\n\r\n

Tem thời gian sử dụng chữ ký số:

\r\n\r\n

\r\n\r\n

Tem thời gian sử dụng mã xác thực\r\nthông điệp:

\r\n\r\n

\r\n\r\n

Tem thời gian sử dụng cách lưu trữ:

\r\n\r\n

\r\n\r\n

 

\r\n\r\n

Phụ\r\nlục C

\r\n\r\n

Tài liệu tham khảo

\r\n\r\n

[RFC2459] IETF RFC 2459: Internet\r\nX.509 Public Key Infrastructure\r\nCertificate and CRL Profile (Hồ sơ CRL và Chứng chỉ theo Hạ tầng cơ sở khóa công khai\r\nX.509 Internet).

\r\n\r\n

[RFC3161] IETF RFC 3161: Internet\r\nX.509 Public Key Infrastructure\r\nTime-Stamp Protocol (TSP) (Giao thức tem thời gian theo Hạ tầng cơ sở khóa công khai\r\nX.509 Internet).

\r\n\r\n