Đoạn 1

Cấu trúc của dữ liệu được lưu trữ trong con chip của hộ chiếu (LDS - Logical Data Structure), bao gồm cả
chữ ký số, được minh họa ngắn gọn trong Hình 1. Dữ liệu được tách thành hai phần (Dedicated Files -
DF): (a). tệp người dùng là vùng có thể ghi và (b). LDS, cung cấp quyền truy cập chỉ đọc. LDS chứa các
khóa mật mã, hỗ trợ cơ chế kiểm soát truy cập cơ bản và xác thực hoạt động, cũng như một số thông tin
chung về chính nó (EF-COM). Mười sáu nhóm dữ liệu, chứa dữ liệu nhận dạng và sinh trắc học của chủ
sở hữu. MRZ (bao gồm số tài liệu, tên người mang theo, quốc tịch, ngày sinh, v.v.) được lưu trữ trong
Nhóm dữ liệu thứ nhất, hình ảnh khuôn mặt sinh trắc học được lưu trữ trong Nhóm dữ liệu thứ hai và
khóa công khai xác thực Hoạt động được lưu trữ trong nhóm dữ liệu thứ 15. Giá trị băm của tất cả các
nhóm dữ liệu hiện tại tạo thành một cấu trúc mới, được gọi là đối tượng bảo mật LDS. Sau đó được ký,
theo ‘Cryptographic Message Syntax’, tạo ra Đối tượng bảo mật tài liệu - SOD, được lưu trữ trong chip.

Đoạn 2

Khuyến cáo các cặp khóa CSCA (KPuCSCA, KPrCSCA) được tạo và lưu trữ trong một hệ thống được bảo
vệ cao, hạ tầng CA ngoại tuyến. Khóa cá nhân CSCA (KPrCSCA) được sử dụng để ký chứng chỉ Document
Signer (CDS), các chứng chỉ khác và CRL. Các chứng chỉ của Cơ quan cấp chứng chỉ ký quốc gia (CCSCA)
được sử dụng để xác nhận chứng chỉ Document Signer, Master List. Chứng chỉ Signer, chứng chỉ
Deviation List Signer, CRL và các chứng chỉ khác do CSCA cấp. Tất cả các chứng chỉ và CRL phải tuân thủ
các cấu hình được chỉ định và phải được phân phối bằng cách sử dụng các cơ chế phân phối. Đối với
những người tham gia PKD, mỗi chứng chỉ CSCA (CCSCA) phải được chuyển tiếp bởi tổ chức cấp chứng
chỉ tới PKD (nhằm mục đích xác thực chứng chỉ Document Signer (CDS)).

Đoạn 3

CRL phải được cấp định kỳ theo quy định trong Phần 4

Đoạn 4

It is RECOMMENDED that Document Signer key pairs (KPuDS, KPrDS) be generated and stored in a highly
protected

infrastructure.

The Document Signer private key (KPrDS) is used to sign Document Security Objects (SOD).

Document Signer certificates (CDS) are used to validate Document Security Objects (SOD).

Each Document Signer certificate (CDS) MUST comply with the certificate profile defined in Section 7
and MUST be

stored in the contactless IC of each eMRTD that was signed with the corresponding DS private key (see
Doc 9303-10

for details). This ensures that the receiving State has access to the Document Signer certificate relevant
to each eMRTD.

Document Signer certificates of PKD participants SHOULD also be forwarded by the certificate issuer to
ICAO for
publication in the ICAO Public Key Directory (PKD).

Khuyến cáo các cặp khóa của Document Signer (KPuDS, KPrDS) được tạo và lưu trữ trong cơ sở hạ tầng
được bảo vệ cao. Khóa riêng của Document Signer (KPrDS) được sử dụng để ký Đối tượng Bảo mật Tài
liệu (SOD). Chứng chỉ Document Signer (CDS) được sử dụng để xác thực Đối tượng Bảo mật Tài liệu
(SOD). Mỗi chứng chỉ Document Signer (CDS) phải tuân thủ cấu hình chứng chỉ được xác định và phải
được lưu trữ trong IC không tiếp xúc của mỗi eMRTD đã được ký bằng khóa riêng DS tương ứng (xem Tài
liệu 9303-10 để biết chi tiết). Điều này đảm bảo Nước tiếp nhận có quyền truy cập vào chứng chỉ
Document Signer liên quan đến mỗi eMRTD. Chứng chỉ Document Signer của những người tham gia PKD
cũng nên được tổ chức cấp chứng chỉ chuyển tiếp tới ICAO, để xuất bản trong Thư mục khóa công khai
của ICAO (PKD).

Đoạn 5

Inspection Systems perform Passive Authentication to ensure the integrity and authenticity of the
data stored on the eMRTD contactless IC. As part of that process, Inspection Systems MUST perform
certification path validation as indicated in Section 6.

Hệ thống kiểm tra thực hiện xác thực thụ động để đảm bảo tính toàn vẹn và tính xác thực của dữ liệu
được lưu trữ trên vi mạch không tiếp xúc eMRTD. Một phần của quá trình đó, hệ thống kiểm tra phải
thực hiện xác nhận đường dẫn chứng nhận như được chỉ ra ở Phần 6.