BAN CƠ YẾU CHÍNH PHỦ
CỤC QUẢN LÝ MẬT MÃ DÂN SỰ VÀ KIỂM ĐỊNH SẢN PHẨM MẬT MÃ
NATIONAL AGENCY OF CRYPTOGRAPHY AND INFORMATION SECURITY
Các hệ thống sinh trắc học có thể trở thành mục tiêu của các cuộc tấn công trình diện, trong đó kẻ tấn công cố gắng xâm phạm chính sách an toàn bằng cách sử dụng các đặc trưng sinh trắc học tự nhiên của chúng hoặc các vật nhân tạo được sao chép hoặc giả mạo. Những cuộc tấn công này có thể xảy ra trong giai đoạn đăng ký hoặc trong quá trình định danh/xác minh. Các kỹ thuật phát hiện tấn công trình diện đối với vật nhân tạo thường khác biệt so với các biện pháp chống lại tấn công bằng đặc trưng sinh trắc học tự nhiên. Việc phòng thủ chống lại các cuộc tấn công sử dụng đặc trưng tự nhiên phụ thuộc vào khả năng của hệ thống sinh trắc học trong việc phân biệt giữa người dùng hợp lệ và kẻ tấn công, dựa trên sự khác biệt tự nhiên giữa hai nhóm. Khả năng này được thể hiện qua hiệu suất nhận dạng sinh trắc học của hệ thống. Hiệu suất nhận dạng sinh trắc học và khả năng phát hiện tấn công trình diện có ảnh hưởng lớn đến mức độ an toàn của hệ thống. Vì vậy, việc đánh giá các khía cạnh này từ góc độ an toàn là yếu tố quan trọng, đặc biệt trong quá trình lựa chọn và mua sắm các sản phẩm hoặc hệ thống sinh trắc học.
Các sản phẩm và hệ thống sinh trắc học chia sẻ nhiều đặc điểm chung với các sản phẩm và hệ thống công nghệ thông tin khác, cho phép áp dụng các phương pháp đánh giá an toàn dựa trên loạt tiêu chuẩn TCVN 8709 và TCVN 11386 theo cách tiếp cận tiêu chuẩn. Tuy nhiên, hệ thống sinh trắc học có những chức năng đặc thù đòi hỏi các tiêu chí và phương pháp đánh giá chuyên biệt mà các tiêu chuẩn này chưa bao quát đầy đủ. Những yêu cầu đặc biệt này chủ yếu liên quan đến việc đánh giá hiệu suất nhận dạng sinh trắc học và khả năng phát hiện tấn công trình diện—các chức năng được quy định chi tiết trong bộ tiêu chuẩn ISO/IEC 19989.
TCVN 11385 cung cấp các mô tả chi tiết về các khía cạnh đặc thù của sinh trắc học và xác định các nguyên tắc cần lưu ý trong quá trình đánh giá an toàn hệ thống sinh trắc học. Tuy nhiên, tiêu chuẩn này không đưa ra các tiêu chí cụ thể hoặc phương pháp luận cần thiết để thực hiện đánh giá an toàn theo bộ tiêu chuẩn TCVN 8709.
Bộ tiêu chuẩn ISO/IEC 19989 đóng vai trò cầu nối giữa các nguyên tắc đánh giá dành cho sản phẩm và hệ thống sinh trắc học được xác định trong TCVN 11385 và các yêu cầu về tiêu chí cùng phương pháp luận để đánh giá an toàn dựa trên bộ tiêu chuẩn TCVN 8709. Tiêu chuẩn này bổ sung cho TCVN 8709 và TCVN 11386 bằng cách cung cấp các thành phần chức năng an toàn mở rộng và các hoạt động bổ sung liên quan đến các yêu cầu này. Các phần mở rộng này tập trung vào việc đánh giá nhận dạng sinh trắc học và khả năng phát hiện tấn công trình diện, được thiết kế cụ thể cho các hệ thống sinh trắc học.
Tiêu chuẩn này cung cấp các hướng dẫn và yêu cầu chi tiết dành cho nhà phát triển và kiểm thử viên liên quan đến các hoạt động bổ sung về phát hiện tấn công trình diện, như được quy định trong ISO/IEC 19989-1. Tiêu chuẩn được xây dựng dựa trên các nguyên tắc chung được nêu trong TCVN 11385:2016 (ISO/IEC 19792:2009) và phương pháp luận thử nghiệm phát hiện tấn công trình diện từ ISO/IEC 30107-3, đồng thời bổ sung thêm các hướng dẫn cụ thể để hỗ trợ kiểm thử viên trong quá trình thực hiện đánh giá.
Trong tiêu chuẩn này, thuật ngữ "người dùng" được hiểu tương đương với thuật ngữ "đối tượng thu thập" được sử dụng trong lĩnh vực sinh trắc học.
2. Tổng quan về thử nghiệm PAD trong lớp ATE và lớp AVA
2.1 Mục tiêu và nguyên tắc
2.1.1 Lớp ATE
Các hoạt động trong Lớp ATE tập trung vào việc đánh giá xem các cơ chế PAD được cung cấp có hoạt động đúng theo quy định hay không. Thử nghiệm chức năng có thể xác định sự tồn tại của lỗ hổng trong cơ chế PAD của TOE (ví dụ: tỷ lệ lỗi lớn hơn 0), nhưng không thể đảm bảo rằng không có bất kỳ lỗ hổng nào tồn tại.
Việc thử nghiệm chức năng nhằm đánh giá tính hiệu quả của tính năng PAD trong TOE được thực hiện bằng cách đo lường mức độ thành công và thất bại trong việc phát hiện các PAI (Presentation Attack Instruments) thông qua phương pháp thử nghiệm dựa trên thống kê. Quá trình này đo lường tỷ lệ lỗi và thành công của cơ chế PAD để chứng minh rằng tính năng PAD hoạt động và đáp ứng các yêu cầu được quy định trong tài liệu ATE_FUN. Trong tài liệu ATE_IND, thử nghiệm thống kê có thể được thực hiện hoặc không, tùy thuộc vào bối cảnh và phạm vi đánh giá.
2.1.2 Lớp AVA
Đánh giá lớp AVA bao gồm các hoạt động thử nghiệm thâm nhập nhằm điều tra các lỗ hổng tiềm ẩn của TOE đối với các cuộc tấn công trình diện, đặc biệt là những lỗ hổng chưa được phát hiện trong quá trình thử nghiệm chức năng thuộc lớp ATE.
Thử nghiệm thâm nhập có thể sử dụng các PAI tiêu chuẩn, các biến thể của PAI tiêu chuẩn đã được dùng trong thử nghiệm chức năng, hoặc tạo ra các PAI mới để khám phá lỗ hổng tiềm tàng trong cơ chế PAD, bao gồm các thuật toán phần cứng và phần mềm, như xử lý tín hiệu và đối sánh sinh trắc học.
Thử nghiệm thâm nhập không áp dụng phương pháp thử nghiệm thống kê như trong thử nghiệm chức năng của lớp ATE, mà tập trung vào việc khai thác lỗ hổng thông qua các kỹ thuật chuyên sâu và tùy chỉnh.
2.2. PAl sử dụng trong các hoạt động thử nghiệm
2.2.1 Lớp ATE
Các PAI tiêu chuẩn phải được chuẩn bị và sử dụng theo các thông số kỹ thuật và hướng dẫn hiện hành, nếu có. Các PAI tiêu chuẩn có thể được cung cấp bởi tổ chức chứng nhận hoặc cộng đồng kỹ thuật, hoặc được nhà phát triển và kiểm thử viên chuẩn bị dựa trên các thông số kỹ thuật và hướng dẫn tương ứng. Trong trường hợp PAI tiêu chuẩn không được cung cấp, các PAI phi tiêu chuẩn sẽ được xây dựng và sử dụng bởi nhà phát triển và kiểm thử viên.
Nếu không có PAI tiêu chuẩn, nhà phát triển sẽ chịu trách nhiệm chuẩn bị các PAI phi tiêu chuẩn và cung cấp chúng cho kiểm thử viên. Việc lựa chọn PAI trong các thử nghiệm thuộc lớp ATE có thể thay đổi tùy thuộc vào thông tin mà kiểm thử viên có sẵn, vì đây là yếu tố quan trọng để xác định loại PAI được sử dụng. Theo mặc định, kiểm thử viên nên dựa vào PAI tiêu chuẩn, nếu có. Đồng thời, kiểm thử viên cũng cần sử dụng thông tin về các kỹ thuật tấn công hiện đại để đánh giá xem các PAI được sử dụng trong thử nghiệm chức năng có đại diện cho các PAI mà kẻ tấn công thực tế có thể sử dụng đối với TOE hay không.
2.2.2 Lớp AVA
Kiểm thử viên sẽ tạo ra và sử dụng các PAI phi tiêu chuẩn trong quá trình thử nghiệm thâm nhập.
2.3. Các hoạt động thử nghiệm
2.3.1. Lớp ATE
Mục tiêu chính của mọi hoạt động thử nghiệm chức năng trong Lớp ATE là xác định liệu cơ chế PAD có khả năng phát hiện PAI với độ tin cậy đủ cao hay không. Trong ATE_FUN.1 và ATE_FUN.2, nhà phát triển sẽ thực hiện thử nghiệm chức năng bằng cách sử dụng ít nhất các PAI tiêu chuẩn hoặc, nếu không có, các PAI phi tiêu chuẩn. Nhà phát triển cũng có thể chuẩn bị thêm các PAI phi tiêu chuẩn để tiến hành thử nghiệm chức năng bổ sung, nhằm cung cấp thông tin cụ thể về các loại PAI mà kiểm thử viên nên tập trung vào, qua đó hỗ trợ giảm bớt khối lượng công việc đánh giá của kiểm thử viên.
Kiểm thử viên sẽ thực hiện các thử nghiệm độc lập, sử dụng các PAI được chọn từ các PAI tiêu chuẩn (nếu có) hoặc từ các PAI phi tiêu chuẩn.
Các giá trị tỷ lệ lỗi tối đa được kiểm tra trong đánh giá sẽ được xác định rõ trong tài liệu TOE ATE_FUN, và ý nghĩa của những giá trị này đối với quy mô thử nghiệm sẽ được thảo luận chi tiết hơn trong mục 6.3.
Tỷ lệ lỗi phải được báo cáo riêng biệt cho từng loại PAI được thử nghiệm. Tỷ lệ lỗi tối đa của tất cả các loại PAI được thử nghiệm là chỉ số quan trọng nhất để đánh giá hiệu suất của TOE trong việc phát hiện từng loại PAI cụ thể.
2.3.2. Lớp AVA
Thử nghiệm chức năng minh bạch không cung cấp thông tin về hiệu quả của cơ chế PAD đối với các loại PAI chưa được thử nghiệm. Việc đánh giá tính dễ bị tổn thương tập trung vào xác định xem việc sử dụng các PAI bổ sung không thuộc loại PAI tiêu chuẩn hoặc các biến thể từ PAI tiêu chuẩn có thể dẫn đến lỗ hổng có thể khai thác được hay không.
Trong quá trình phân tích lỗ hổng, kiểm thử viên cần tận dụng thông tin và kiến thức thu được từ các hoạt động đánh giá thuộc các lớp đảm bảo khác để tiến hành thử nghiệm xâm nhập. Các thông tin từ những hoạt động đánh giá trước đó sẽ được sử dụng làm đầu vào cho các hoạt động đánh giá trong Lớp AVA như được mô tả trong tiêu chuẩn này.
Thử nghiệm thâm nhập yêu cầu kiểm thử viên có chuyên môn, kỹ năng và hiểu biết sâu sắc về các lỗ hổng tiềm năng của cơ chế PAD. Điều này bao gồm việc:
- Xác định các khu vực tiềm ẩn lỗ hổng.
- Thực hiện thăm dò lặp đi lặp lại bằng cách sử dụng các PAI được chuẩn bị đặc biệt.
- Điều chỉnh các PAI và kỹ thuật trình diện để khai thác lỗ hổng.
Quá trình này dựa trên các nguồn thông tin công khai và bí mật liên quan đến các lỗ hổng an toàn và các PAI. Thử nghiệm thâm nhập được mô tả như một hoạt động mang tính chuyên môn cao, dựa trên kiến thức và kỹ năng để xâm nhập vào TOE bằng các PAI cụ thể. Các tiềm năng tấn công được đánh giá dựa trên các yếu tố như mức độ chuyên môn, nỗ lực, thời gian và chi phí mà kiểm thử viên cần bỏ ra để xác định và khai thác các lỗ hổng.
2.4. Tiêu chí đạt / không đạt
TOE sẽ chỉ được coi là vượt qua đánh giá nếu đáp ứng đầy đủ các điều kiện sau:
- Thử nghiệm chức năng: Kết quả thử nghiệm chứng minh rằng TOE có khả năng phát hiện các PAI trong phạm vi tỷ lệ lỗi tối đa được quy định trong tài liệu ATE_FUN.
- Phân tích lỗ hổng: Kết quả phân tích cho thấy rằng các biến thể của PAI tiêu chuẩn hoặc bất kỳ PAI phi tiêu chuẩn nào được kiểm thử viên tạo ra không dẫn đến lỗ hổng có thể khai thác, khi cuộc tấn công nằm dưới mức được xem là có khả năng thành công theo tiêu chuẩn tiềm năng tấn công.
3. Các hoạt động bổ sung cho TCVN 11386 về thử nghiệm (ATE)
3.1. Cách tiếp cận thử nghiệm đối với PAD
Mục tiêu chính của thử nghiệm hệ thống PAD là chứng minh rằng cơ chế PAD có thể phát hiện các cuộc tấn công trình diện với độ tin cậy đủ cao. Để đạt được điều này, nhà phát triển cần xác định tỷ lệ phân loại lỗi tấn công trình diện (APCER), tức tốc độ mà tại đó TOE không thể phát hiện được một loại PAI cụ thể.
Quy trình xác định APCER:
- Chuẩn bị PAI: Nhà phát triển phải chuẩn bị các PAI tiêu chuẩn, nếu có, để sử dụng trong quá trình thử nghiệm.
- Thử nghiệm PAD: Các PAI này sẽ được trình diện cho hệ thống PAD, và kết quả (tấn công trình diện được phát hiện hoặc không được phát hiện) sẽ được ghi lại.
- Mở rộng thử nghiệm: Ngoài các PAI tiêu chuẩn, nhà phát triển có thể chuẩn bị thêm các PAI phi tiêu chuẩn để mở rộng phạm vi thử nghiệm.
Đánh giá hiệu suất PAD:
- Giá trị tối đa APCER: Các giá trị tối đa cho APCER và số lượng tối thiểu các kiểu tấn công cùng loại PAI cần thử nghiệm sẽ được quy định trong tài liệu TOE ATE_FUN.
- Yêu cầu thử nghiệm bổ sung: Theo yêu cầu của ATE_IND.2 và ATE_IND.3, kiểm thử viên sẽ:
1. Lặp lại một phần các thử nghiệm do nhà phát triển thực hiện.
2. Thực hiện các thử nghiệm bổ sung để đảm bảo tính tin cậy của các kết quả thử nghiệm.
Quy mô thử nghiệm và giá trị APCER:
- APCER tối đa và quy mô thử nghiệm tối thiểu: Những giá trị này cần được xem xét kỹ lưỡng khi thực hiện thử nghiệm ATE_IND.
- APCER theo từng loại PAI: Giá trị APCER tối đa phải được xác định riêng cho từng loại PAI, thay vì áp dụng chung cho tất cả các PAI đã chuẩn bị.
Tóm lại, Nhà phát triển và kiểm thử viên sẽ sử dụng các PAI tiêu chuẩn, nếu có, làm cơ sở cho các hoạt động thử nghiệm. Điều này đảm bảo rằng một tập hợp PAI đại diện được sử dụng để đánh giá TOE, đồng thời đảm bảo kết quả thử nghiệm có độ tin cậy và tính chính xác cao.
3.2. Các chỉ số cho thử nghiệm PAD
3.2.1. Yêu cầu chung
Bộ tiêu chuẩn ISO/IEC 30107 phân loại các kiểu trình diện dựa trên ý định của người trình diện, bao gồm trình diện trung thực và tấn công trình diện. Tuy nhiên, các hệ thống PAD thường không thể xác định được ý định thực sự của người trình diện. Thay vào đó, các kỹ thuật PAD dựa vào việc đo lường các thuộc tính vật lý và/hoặc hành vi liên quan đến trình diện, kết hợp với sơ đồ quyết định để phân loại trình diện là trung thực hoặc là tấn công.
Quyết định của PAD không phải lúc nào cũng mang tính xác định, dẫn đến các lỗi quyết định trong hệ thống sinh trắc học. Các lỗi này bao gồm việc nhầm lẫn tấn công trình diện là trình diện trung thực hoặc ngược lại, trình diện trung thực bị phân loại sai thành tấn công.
Nhận thức được những hạn chế này, ISO/IEC 30107-3 quy định một tập hợp các chỉ số PAD, bao gồm các chỉ số lỗi được xác định riêng cho cả trình diện trung thực và tấn công. Các số liệu này được yêu cầu sử dụng trong tài liệu ADV, thử nghiệm chức năng cho PAD, và các tài liệu liên quan. Số liệu cụ thể cần sử dụng sẽ phụ thuộc vào chức năng được cung cấp bởi TOE. Tỷ lệ lỗi được đo lường thông qua các chỉ số này phải được báo cáo độc lập cho từng PAI được thử nghiệm.
ISO/IEC 30107-3 cũng cung cấp một loạt thước đo hữu ích để đánh giá hiệu suất của hệ thống PAD, hỗ trợ quá trình thử nghiệm và cải thiện khả năng phát hiện tấn công trình diện.
3.2.2. Các chỉ số được sử dụng cho các TOE của hệ thống con PAD
Thử nghiệm PAD phải bao gồm các chỉ số APCER, BPCER, APNRR, và BPNRR, đây là các chỉ số bắt buộc. Ngoài ra, thời lượng xử lý của hệ thống con PAD (PS-PD) cũng có thể được đo lường và báo cáo dưới dạng giá trị trung bình. Đặc biệt, hai chỉ số APNRR và BPNRR phải được đánh giá trong khoảng thời gian xử lý của hệ thống con PAD.
Hiệu suất và khả năng sử dụng: Chỉ số BPCER có liên quan đến hiệu suất và khả năng sử dụng của hệ thống, vì các sự cố có thể gây ra vấn đề về khả năng sử dụng và sự chậm trễ, ảnh hưởng trực tiếp đến trải nghiệm người dùng. Mặc dù đánh giá an toàn theo TCVN 8709 chủ yếu tập trung vào yếu tố an toàn thay vì khả năng sử dụng hoặc hiệu suất, thử nghiệm BPCER vẫn cần thiết để xác định liệu TOE có phù hợp với mục đích sử dụng hay không.
Do APCER và BPCER có mối quan hệ phụ thuộc và thường được điều chỉnh bằng các thông số cụ thể, nhà phát triển có thể dễ dàng giảm APCER nhưng điều này có thể dẫn đến tăng BPCER. Vì vậy, điều kiện thử nghiệm BPCER cần được giữ tương đồng với điều kiện thử nghiệm APCER để đảm bảo tính nhất quán.
Yêu cầu về quy mô thử nghiệm
Thử nghiệm các chỉ số lỗi APCER và BPCER thường không đòi hỏi quy mô nhóm thử nghiệm lớn như thử nghiệm hiệu suất sinh trắc học thông thường, vì tỷ lệ lỗi APCER và BPCER trong các hệ thống PAD thường lớn hơn đáng kể so với tỷ lệ lỗi FAR (False Acceptance Rate) và FRR (False Rejection Rate) cho các trình diện trung thực. Điều này làm giảm yêu cầu về độ không đảm bảo thống kê trong thử nghiệm.
Nếu việc thử nghiệm hiệu suất định danh sinh trắc học của TOE với các trình diện trung thực cũng nằm trong phạm vi đánh giá, chỉ số BPCER có thể được lấy từ kết quả thử nghiệm đó và được báo cáo dưới dạng thông tin bổ sung trong tài liệu cho hoạt động ATE_FUN.
3.2.3 Các số liệu được sử dụng cho các TOE hệ thống con thu thập dữ liệu
Các chỉ số lỗi bắt buộc bao gồm APCER, BPCER, APNRR, BPNRR, APNCR, APAR, FTER, và FTAR. Ngoài ra, thời lượng xử lý của hệ thống con thu thập dữ liệu cũng có thể được sử dụng như một chỉ số bổ sung. Lưu ý rằng tất cả các chỉ số này phải được đánh giá trong khoảng thời gian xử lý của hệ thống con thu thập dữ liệu để đảm bảo kết quả chính xác và nhất quán.
3.2.4. Các thước đo được sử dụng cho các TOE
Các TOE khác, thuộc trường hợp thứ ba được mô tả trong ISO/IEC 19989-1:2020, chứa ít nhất các hệ thống con đối sánh và quyết định, phục vụ cho xác minh hoặc định danh sinh trắc học. Loại TOE này thường đại diện cho một hệ thống đầy đủ. Trong trường hợp TOE không phải là một hệ thống đầy đủ, việc đánh giá PAD vẫn được thực hiện trên toàn bộ hệ thống, với các thành phần bổ sung khác (nếu có) được xác định rõ trong mục tiêu an toàn (ST).
Các chỉ số đánh giá theo mục đích của TOE:
1. TOE dành cho xác minh sinh trắc học:
2. TOE dành cho từ chối nhận dạng:
3. TOE dành cho chấp thuận nhận dạng:
Tất cả các chỉ số này đều bắt buộc (tham khảo ISO/IEC 19795-1 đối với các định nghĩa FNMR, FMR, FNIR, và FPIR).
Thời lượng xử lý toàn bộ hệ thống:
Ngoài các chỉ số trên, thời lượng xử lý toàn bộ hệ thống là một thông số tùy chọn nhưng có thể được sử dụng để đánh giá hiệu suất hoạt động. Tất cả các chỉ số bắt buộc phải được đo lường và đánh giá trong khoảng thời gian xử lý của toàn bộ hệ thống để đảm bảo kết quả phản ánh chính xác khả năng của TOE.
3.3. Quy mô thử nghiệm tối thiểu và tỷ lệ lỗi tối đa
Các yêu cầu về quy mô thử nghiệm đối với thử nghiệm PAD phụ thuộc vào độ lớn của tỷ lệ lỗi đo được và giới hạn lỗi có thể chấp nhận trong kết quả thử nghiệm. Khi tỷ lệ lỗi và giới hạn lỗi có thể chấp nhận được giảm, quy mô thử nghiệm cần thiết sẽ tăng lên để đảm bảo tính chính xác thống kê.
Đối với thử nghiệm PAD, cần thử nghiệm các PAI khác nhau đại diện cho các loại PAI và kiểu tấn công khác nhau, với kết quả được báo cáo riêng lẻ cho từng loại PAI và kiểu tấn công. Quy mô thử nghiệm cần được đánh giá riêng cho từng loại PAI và từng kiểu tấn công.
Mục đích của thử nghiệm chức năng là đảm bảo rằng PAD hoạt động bình thường trên TOE. Do đó:
- Không phải tất cả các PAI tiêu chuẩn hoặc PAI phi tiêu chuẩn đều cần được sử dụng trong thử nghiệm chức năng.
- Kiểm thử viên cần xem xét thêm các PAI tiềm năng khác trong đánh giá lớp AVA.
Số lượng loại PAI tối thiểu, quy mô thử nghiệm tối thiểu và tỷ lệ lỗi tối đa trong thử nghiệm chức năng có thể được xác định trong tài liệu hướng dẫn hoặc hồ sơ bảo vệ. Nếu có khuyến nghị từ tổ chức chứng nhận, kiểm thử viên cần xem xét các khuyến nghị này để xác định quy mô thử nghiệm phù hợp cho từng loại PAI. Nếu không có hướng dẫn cụ thể, kiểm thử viên nên sử dụng ít nhất 10 mẫu khác nhau cho mỗi loại PAI được thử nghiệm.
TS. Hồ Văn Hương
