Giới thiệu tóm tắt tiêu chuẩn an toàn thông tin – tiêu chí và phương pháp đánh giá an toàn hệ thống sinh trắc học – Phần 1: Phần khung

Các hệ thống sinh trắc học có thể bị tấn công bởi các cuộc tấn công trình diện, trong đó những kẻ tấn công cố gắng phá hoại chính sách an toàn hệ thống bằng cách trình diện các đặc trưng sinh trắc học tự nhiên của chúng, hoặc các vật nhân tạo sở hữu các đặc điểm đã được sao chép hoặc giả mạo. Các cuộc tấn công trình diện có thể xảy ra trong quá trình đăng ký hoặc các thủ tục định danh/xác minh. Các kỹ thuật được thiết kế để phát hiện những bản trình diện các vật nhân tạo thường khác với các kỹ thuật để chống lại các cuộc tấn công khi sử dụng các đặc điểm tự nhiên. Phòng thủ chống lại các cuộc tấn công trình diện với các đặc điểm tự nhiên thường dựa vào khả năng của hệ thống sinh trắc học để phân biệt giữa những người đăng ký thực và những kẻ tấn công, dựa trên sự khác biệt giữa các đặc trưng sinh trắc học tự nhiên giữa hai thực thể. Khả năng này được thể hiện bởi hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và phát hiện tấn công trình diện có ảnh hưởng đến tính an toàn của hệ thống sinh trắc học. Do đó, việc đánh giá các khía cạnh này của hiệu suất từ quan điểm về an toàn sẽ là những cân nhắc quan trọng đối với việc mua sắm các sản phẩm và hệ thống sinh trắc học.

Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều đặc tính của các sản phẩm và hệ thống công nghệ thông tin khác có thể đáp ứng được việc đánh giá an toàn bằng cách sử dụng loạt tiêu chuẩn TCVN 8709 và TCVN 11386 theo phương thức tiêu chuẩn. Tuy nhiên, các hệ thống sinh trắc học bao gồm một số chức năng cần các tiêu chí và phương pháp đánh giá chuyên biệt mà bộ tiêu chuẩn TCVN 8709 và TCVN 11386 không đề cập đến. Những điều này chủ yếu liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện. Đây là những chức năng được đề cập trong bộ tiêu chuẩn ISO/IEC 19989.

TCVN 11385 mô tả các khía cạnh cụ thể về sinh trắc học và chỉ rõ các nguyên tắc cần được xem xét trong quá trình đánh giá an toàn của hệ thống sinh trắc học. Tuy nhiên, TCVN 11385 không chỉ rõ các tiêu chí và phương pháp luận cụ thể cần thiết để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709.

Bộ tiêu chuẩn ISO/IEC 19989 cung cấp cầu nối giữa các nguyên tắc đánh giá cho các sản phẩm và hệ thống sinh trắc học được xác định trong TCVN 11385 và các yêu cầu về tiêu chí và phương pháp luận để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709. Bộ tiêu chuẩn ISO/IEC 19989 bổ sung cho bộ tiêu chuẩn TCVN 8709 và TCVN 11386 bằng cách cung cấp các thành phần chức năng an toàn mở rộng cùng với các hoạt động bổ sung liên quan đến các yêu cầu này. Các phần mở rộng đối với các yêu cầu và hoạt động bổ sung được tìm thấy trong bộ tiêu chuẩn TCVN 8709 và TCVN 11386 liên quan đến việc đánh giá nhận dạng sinh trắc học và phát hiện tấn công trình diện cụ thể đối với các hệ thống sinh trắc học.

Tiêu chuẩn này bao gồm việc giới thiệu phần khung để đánh giá an toàn của hệ thống sinh trắc học, bao gồm các thành phần chức năng an toàn mở rộng, các hoạt động đánh giá và phương pháp bổ sung cho đánh giá viên.

Các điểm yếu trong hệ thống sinh trắc học và đánh giá an toàn 

Các điểm yếu phổ biến của hệ thống sinh trắc học được phân loại thành 10 yếu tố sau:

a) Các giới hạn hiệu suất;

b) Vật giả mạo của đặc trưng sinh trắc học;

c) Điều chỉnh đặc trưng sinh trắc học;

d) Vấn đề của việc che giấu đặc trưng sinh trắc học;

e) Tương đồng do có quan hệ huyết thống;

f) Đặc trưng sinh trắc học đặc biệt;

g) Các mẫu sinh trắc học wolf tổng hợp;

h) Môi trường không thuận lợi;

i) Các lỗ hổng mang tính thủ tục xung quanh quá trình đăng ký;

j) Rò rỉ và sự thay đổi dữ liệu sinh trắc học.

Hình 1: Mối quan hệ của các điểm yếu với các yếu tố trong hệ thống sinh trắc học

Kẻ tấn công có thể có nhiều mục tiêu khác nhau: Kẻ giả mạo sinh trắc học sẽ cố gắng được công nhận là người đăng ký sinh trắc học khác với bản thân kẻ giả mạo. Đối tượng che giấu sinh trắc học sẽ cố gắng tránh bị trùng khớp với tham chiếu sinh trắc học của chính bản thân đối tượng đó.

Hình 2: Ví dụ về các điểm tấn công trong hệ thống sinh trắc học (theo ISO/IEC 30107-1)

Mục đích chung của hệ thống sinh trắc học là nhận biết các cá nhân bằng các đặc trưng sinh trắc học của họ. Một chủ đề dữ liệu trình diện một hoặc nhiều đặc trưng sinh trắc học cho thiết bị thu thập sinh trắc học của hệ thống sinh trắc học để đăng ký, xác minh hoặc định danh. Trong quá trình thu thập, các mẫu sinh trắc học được thu thập và từ đó các đặc trưng sinh trắc học được trích xuất. Ở giai đoạn đăng ký, các tính năng sinh trắc học đã được trích xuất được sử dụng để tạo tham chiếu sinh trắc học được lưu trữ trong cơ sở dữ liệu đăng ký. Ở giai đoạn xác minh/định danh, các đặc trưng sinh trắc học được sử dụng để tạo một mẫu sinh trắc học để so sánh với (các) tham chiếu sinh trắc học có liên quan. Hình 3 là mô tả khái niệm của hệ thống sinh trắc học có chứa hệ thống con phát hiện tấn công trình diện (Presentation attack detection – PAD). Chức năng của hệ thống con PAD thường không được triển khai như một hệ thống con riêng biệt như được chỉ ra trong Hình 3 nhưng được kết hợp trong một hoặc nhiều hệ thống con bao gồm hệ thống sinh trắc học (ví dụ: hệ thống con thu thập dữ liệu, hệ thống con xử lý tín hiệu).

Hình 3: Khung sinh trắc học chung kết hợp hệ thống con PAD (biểu diễn khái niệm)

Trong việc đánh giá hiệu suất nhận dạng sinh học, các TOE được phân thành hai loại. Loại đầu tiên là trong đó cơ chế nhận dạng sinh trắc học của TOE chỉ bao gồm các cơ chế phần mềm có thể được phân phối thông qua nhiều hệ thống con nhưng không chứa thiết bị thu thập sinh trắc học. Trong danh mục này, TOE ít nhất chứa hệ thống con so sánh và có thể chứa (các) hệ thống con khác. Loại thứ hai là TOE bao gồm một hệ thống sinh trắc học hoàn chỉnh bao gồm hệ thống con thu thập sinh trắc học (với một thiết bị thu thập sinh trắc học).

Thử nghiệm hiệu suất nhận dạng sinh trắc học phải được thực hiện bằng một thử nghiệm kỹ thuật của thuật toán nhận dạng sinh trắc học sử dụng cơ sở dữ liệu thử nghiệm đã thu được trước đó có chứa các mẫu sinh trắc học và tham chiếu sinh trắc học hoặc bằng thử nghiệm kịch bản cùng nhóm thử nghiệm đã đăng ký với một tổ hợp nhất định của các hệ thống con khác bao gồm hệ thống con thu thập dữ liệu. Với loại đầu tiên, chỉ có thể đánh giá về mặt công nghệ. Trong loại thứ hai, khả năng cao thử nghiệm hiệu suất nhận dạng sinh trắc học được thực hiện dưới hình thức đánh giá kịch bản (theo ISO/IEC 19795-1) với một nhóm thử nghiệm trong khi cả hai đánh giá đều có thể thực hiện được.

Danh sách sau đây xác định một tập hợp các loại TOE điển hình từ thế giới sinh trắc học và đưa ra một số hướng dẫn về các khía cạnh đặc biệt cần được xem xét của chúng.

TOE chỉ là phần mềm: TOE chỉ là phần mềm bao gồm một thuật toán chỉ để so sánh hoặc trích xuất và so sánh tính năng. Điều này được quan tâm cụ thể trong các trường hợp của các hệ thống được cấu tạo trong đó một nhà phát triển chỉ cung cấp thuật toán. Trong trường hợp như vậy, có thể hữu ích khi đánh giá các đặc tính an toàn của thuật toán dưới các giả định thích hợp về môi trường của nó. Sau đó, thuật toán có thể được tích hợp vào một phạm vi hệ thống rộng hơn và một đánh giá mới về hệ thống hoàn chỉnh có thể sử dụng lại kết quả đánh giá của thuật toán. Một lĩnh vực khác trong đó TOE chỉ là phần mềm có thể được hướng tới là thẻ thông minh. Ví dụ, một hệ thống so sánh trên thẻ (hoặc so sánh trên thẻ) thường chỉ bao gồm phần mềm để so sánh, được thiết kế chỉ hoạt động trên một chip điện tử an toàn.

Hệ thống hoàn chỉnh bao gồm thiết bị thu thập sinh trắc học: Một hệ thống sinh trắc học hoàn chỉnh được định nghĩa là TOE bao gồm tất cả các chức năng và đặc điểm an toàn liên quan.

Trong trường hợp đánh giá PAD, các TOE được phân loại thành ba trường hợp. Trường hợp đầu tiên là trường hợp chỉ chứa hệ thống con PAD và không cung cấp các chức năng nhận dạng sinh trắc học khác. Trường hợp thứ hai là trường hợp chứa hệ thống con thu thập dữ liệu và chức năng kiểm tra chất lượng bổ sung cho cơ chế PAD nhưng không chứa hệ thống con so sánh. Trường hợp thứ ba là trường hợp chứa ít nhất hệ thống con so sánh và hệ thống con quyết định để xác minh hoặc định danh sinh trắc học ngoài cơ chế PAD. Điều này có thể chứa hệ thống con thu thập dữ liệu hoặc không. Phần mềm xác minh sinh trắc học trên điện thoại thông minh, không được cung cấp từ nhà cung cấp điện thoại thông minh và thẻ IC chỉ cung cấp so sánh sinh trắc học trên thẻ, là hai ví dụ về TOE của trường hợp thứ ba không chứa hệ thống con thu thập dữ liệu. Khi một công cụ tấn công trình diện (Presentation attack instrument – PAI) bị TOE từ chối trong hai trường hợp sau, Đánh giá viên có thể biết hoặc không biết liệu việc từ chối có phải là kết quả của việc phát hiện bởi hệ thống con PAD hay vì một số lý do khác như không đạt được, chất lượng mẫu kém, không khớp, thời gian chờ… tùy thuộc vào thông tin do TOE cung cấp cho đánh giá viên.

Thành phần chức năng an toàn mở rộng cho Lớp FPT: Bảo vệ TSF

Mục này đưa ra định nghĩa về các họ bổ sung phát hiện tấn công trình diện FPT_PAD và thu thập sinh trắc học với phát hiện tấn công trình diện FPT_BCP của Lớp FPT, được quy định trong TCVN 8709-2, có thể được sử dụng trong các hồ sơ bảo vệ và mục tiêu an toàn để mô hình hóa các cơ chế an toàn của hệ thống con PAD và hệ thống con thu thập dữ liệu với PAD. FPT_BCP là các họ được áp dụng tương ứng cho trường hợp thứ nhất và trường hợp thứ hai của TOE.

Một số yêu cầu chức năng an toàn (Security functional requirement – SFR sau đây có các nhiệm vụ cho phép người lập ra đích an toàn (Security target – ST) hoặc hồ sơ bảo vệ (Protection profile – PP) chỉ định đặc trưng sinh trắc học được sử dụng để triển khai cơ chế (ví dụ: dấu vân tay). Những nhiệm vụ này nhằm tạo điều kiện cho người đọc hiểu được ST cuối cùng.
Xác định các yêu cầu chức năng an toàn để phát hiện các cuộc tấn công trình diện sinh trắc học.

FPT_PAD.1 phát hiện tấn công trình diện, phát hiện các cuộc tấn công trình diện cho đáp ứng sinh trắc học hoặc vượt quá các tiêu chí được quy định đối với TOE.
Xác định các yêu cầu chức năng an toàn để thu thập sinh trắc học với phát hiện tấn công trình diện được hỗ trợ bởi TSF. Họ này cũng xác định các thuộc tính bắt buộc phải dựa trên cơ chế thu thập sinh trắc học với phát hiện tấn công trình diện.

Thành phần chức năng an toàn mở rộng cho Lớp FIA: Định danh và Xác thực

Mục này cung cấp định nghĩa về các nhóm bổ sung đăng ký của tham chiếu sinh trắc học FIA_EBR, xác minh sinh trắc học FIA_BVR  và định danh sinh trắc học FIA_BID của Lớp FIA, được chỉ định trong TCVN 8709-2, có thể được sử dụng trong các hồ sơ bảo vệ và đích an toàn để mô hình hóa cơ chế an toàn của PAD cho việc đăng ký, xác minh và định danh sinh trắc học. Các nhóm được áp dụng cho các TOE thuộc một trong hai trường hợp của đánh giá hiệu suất nhận dạng sinh trắc học và cho các TOE của trường hợp thứ ba để đánh giá PAD.

Kết luận

Tiêu chuẩn ISO/IEC 19989-1:2020 đang được Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị Uỷ ban Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. Bài viết đã giới thiệu tổng quan nội dung của ISO/IEC 19989-1:2020, quy định phần khung đối với đánh giá an toàn của hệ thống sinh trắc học, bao gồm các thành phần chức năng an toàn mở rộng và các hoạt động bổ sung với phương pháp luận, là các hoạt động đánh giá bổ sung và hướng dẫn/khuyến nghị cho đánh giá viên để xử lý các hoạt động đó. Để biết thêm chi tiết về đánh giá an toàn của hệ thống xác minh sinh trắc học và hệ thống định danh sinh trắc học, độc giả tham khảo chi tiết tại ISO/IEC 19989-1:2020.

Đại tá Hồ Văn Hương 

Cục trưởng Cục Quản lý mật mã dân sự và kiểm định sản phẩm mật mã