Chữ ký số - Một cách để đảm bảo an toàn thông tin

03/11/2015 21:58
Theo dõi ICTVietnam trên

Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được nhiều quốc gia trên thế giới sử dụng.

1. Ứng dụng chữ kí số

Một ứng dụng của chữ ký số có thể kể đến là bảo mật máy chủ web (khi tiến hành giao dịch trên các website thương mại điện tử uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa - địa chỉ web thường có dạng “https” để ký số và mã hóa email); đăng nhập từ xa qua VPN, vô tuyế (chữ ký số lúc được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password).

Hiện nay, một số giao dịch trong ngành ngân hàng, chứng khoán đang sử dụng mật khẩu sử dụng một lấn OTP (One Time Password). Tuy nhiên khi Dịch vụ chứng chỉ số xuất hiện và Luật Giao dịch điện tử ra đời năm 2005 đã công nhận giá trị pháp lý của chứng chỉ số. Do vậy, thời gian tới, các giao dịch ngân hàng qua Internet (Internet banking) cũng sẽ ứng dụng chữ ký số. Đối với các tổ chức ngân hàng đang ứng dụng OTP, giải pháp mà nhà cung cấp chứng thực điện tử (CA) khuyến cáo là nên có lộ trình chuyển đổi. Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn chuyển sang dùng chữ ký số).

Về căn bản, chữ ký số là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ ký đó. Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ thông minh (smart card); thậm chí trên SIM điện thoại (SIM base CA). Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động.

Trên thế giới, SIM base CA được sử dụng từ những năm 2001 – 2002. Quốc gia có nhiều SIM base CA là Đài Loan, Hàn Quốc. Theo đánh giá của một số CA trong nước, Việt Nam có số lượng người sử dụng điện thoại di động khá lớn do đó thị trường cho SIM base CA khá tiềm năng. Tuy nhiên, để có được dịch vụ SIM base CA cần sự phối hợp giữa nhà cung cấp dịch vụ chữ ký số và nhà cung cấp dịch vụ viễn thông.

Đối với các doanh nghiệp, chữ ký số có thể được ứng dụng vào trong hầu hết các hoạt động của công ty như: đăng nhập bằng thẻ thông minh, windows security logon, trao đổi các tài liệu nhạy cảm, trao đổi email, truy cập từ xa qua VPN, … Việc triển khai một hệ thống khóa công khai (PKI) đối với các doanh nghiệp nhỏ là rất đơn giản, và lợi ích mà hệ thống đem lại rất lớn so với chi phí đầu tư ban đầu. Quy trình cấp phát chứng chỉ và ứng dụng chứng chỉ số cũng rất đơn giản.

Sau đây là ví dụ về việc sử dụng chứng chỉ số để trao đổi email trong doanh nghiệp. Quá trình này sẽ bao gồm: xin cấp phát chứng chỉ từ người dùng, người quản trị cấp phát chứng chỉ, người dùng đính kèm chứng chỉ vào trong các email gửi cho người khác. Trong ví dụ này vẫn sử dụng mô hình phân lớp gồm RootCA, SubCA và RA, tuy nhiên trong thực tế để đơn giản và phù hợp với các doanh nghiệp nhỏ, chúng ta có thể chỉ cần sử dụng một CA đảm nhiệm cả chức năng của RootCA và RA. Cụ thể:

Bước 1: Tạo yêu cầu cấp phát chứng chỉ

Ban đầu, người dùng cần cài đặt chứng chỉ của RootCA vào máy tính. Tiếp theo truy cập vào trang public của RA để tạo một yêu cầu xin cấp phát chứng chỉ bằng cách điền các thông tin cơ bản như: Họ, tên, địa chỉ email, … đây là các định danh được gắn kèm với người sử dụng chứng chỉ. Và lựa chọn loại chứng chỉ là dành cho người sử dụng như mức độ bảo mật, lược đồ ký, độ dài của khóa và mã PIN;

CA chấp nhận cấp phát chứng chỉ cho người dùng

Bước 2: Khởi tạo khóa bí mật cho người dùng

Sau khi người dùng đã tạo xong yêu cầu cấp phát chứng chỉ, người quản trị sẽ phải truy cập vào trang https://ra.actvn.net/pki/ra để thực hiện việc ký vào yêu cầu của người dùng.

Khi yêu cầu đã được ký bởi RA, người quản trị tiếp tục chuyển yêu cầu sang cho CA, để CA thực hiện việc cấp phát chứng chỉ

Chứng chỉ của người dùng đã được cấp phát, sau đó người quản trị phải chuyển chứng chỉ đã được cấp phát về RA Server để công bố cho người dùng.

Qua 2 bước này người sử dụng có thể nhận được danh sách các chứng chỉ mà CA đã cấp phát (các chứng chỉ bị thu hồi sẽ không có trong danh sách này) thông qua việc truy cập vào trang https://ra.actvn.net/pki/pub. Người dùng chọn chứng chỉ của mình để tải về máy. Do mỗi chứng chỉ có một mã PIN khác nhau, mà mã PIN này chỉ có người tạo yêu cầu cấp phát chứng chỉ mới biết, nên nếu có lấy chứng chỉ của người khác cũng không thể sử dụng được.

Bước 3: Sử dụng chữ ký số

Để sử dụng chữ ký số, phải cài đặt chứng chỉ của người dùng vào máy. Sau đó lựa chọn chứng chỉ người dùng để ký và mã hóa email. Thực hiện việc gửi email có kèm theo chữ ký số và mã hóa nội dung email. Email sẽ có thêm 2 biểu tượng: chữ ký và mã hóa.

Người dùng được yêu cầu nhập khóa bí mật, để đảm bảo rằng đây là chứng chỉ của người dùng chứ không phải của người khác.

Người nhận sẽ nhận được một email với nội dung đã bị mã hóa. Để đọc được nội dung bức thư, người nhận phải có được khóa công khai của người gửi.

2. Ứng dụng chữ ký số ở Việt Nam

  Hiện tại công nghệ chữ ký số tại Việt Nam có thể sử dụng trong các giao dịch để mua bán hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán trực tuyến. Ngoài ra, Bộ Tài chính cũng đã áp dụng chữ ký số vào kê khai, nộp thuế trực tuyến qua mạng Internet và các thủ tục hải quan điện tử như khai báo hải quan và thông qua trực tuyến mà không phải in các tờ khai, đóng dấu đỏ của công ty và đến cơ quan thuế chờ để nộp tờ khai này.

            Trong tương lai tại Việt Nam chữ ký số có thể sử dụng cho các ứng dụng chính phủ điện tử. Khi cần làm thủ tục hành chính hay một sự xác nhận của cơ quan nhà nước, người dân chỉ cần ngồi ở nhà khai vào mẫu đơn và sử dụng chữ ký số của mình để gửi là xong.

            Đối với dịch vụ chứng thực chữ ký số công cộng chỉ có thể sử dụng trong các giao dịch điện tử liên quan đến người sử dụng cá nhân và tổ chức, doanh nghiệp, trong các giao dịch giữa người dân, doanh nghiệp với các cơ quan nhà nước. Riêng các giao dịch nội bộ của các cơ quan nhà nước hoặc giữa các cơ quan nhà nước với nhau là các giao dịch đặc thù, không dùng được hệ thống chứng thực công cộng mà phải dùng hệ thống riêng.

            Để sử dụng chữ ký số cần phải đăng ký chứng chỉ số và tạo khóa bí mật lưu vào trong PKI Token của các nhà cung cấp dịch vụ chứng thực chữ ký số. Các chương trình ứng dụng phải hỗ trợ chức năng ký số, khi đó việc sử dụng khá đơn giản, người ký chỉ cần cắm thiết bị Token vào cổng USB, nhập mã PIN bảo vệ Token và chọn lệnh ký số trong chương trình ứng dụng.

            Chữ ký số không giống chữ ký bình thường ở chỗ mỗi lần ký, người sử dụng sẽ dùng khóa bí mật để tạo chữ ký và mỗi lần ký sẽ là một chữ ký khác nhau. Dựa vào các công cụ phần mềm được cung cấp, các đối tác có thể kiểm tra chứng chỉ để xác định chữ ký. Cách kiểm tra là so sánh tính đồng nhất của khóa công khai trên các chữ ký số của người gửi với khóa công khai của trung tâm chứng thực chữ ký số (Root Certification Authority - Root CA).

            Hiện nay ở Việt Nam có 5 nhà cung cấp dịch vụ chứng thực chữ ký số công cộng là VNPT/VDC, Viettel, Bkis, Nacencomm và FPT. Các đơn vị này đã đưa ra thị trường đầy đủ các loại chữ ký số phục vụ kê khai thuế qua mạng, giao dịch ngân hàng, chứng khoán, hải quan điện tử, ký và mã hóa email, văn bản... đáp ứng cho các đối tượng cá nhân, tổ chức, doanh nghiệp và các trang web.

KẾT LUẬN

            Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được nhiều quốc gia trên thế giới sử dụng.

Ở Việt Nam, tình hình triển khai cơ sở hạ tầng khóa công khai (PKI) và chứng thực điện tử (CA) được đánh giá là đã đi đúng hướng và bài bản, nhưng tiến độ vẫn còn chậm. Việc triển khai dịch vụ chứng thực điện tử mới chỉ ở một số cơ quan nhà nước, cơ quan thuộc chính phủ. Còn các doanh nghiệp cũng có sử dụng chứng thực điện tử nhưng còn ít và đều là mua của các tổ chức cung cấp. Việc triển khai các dịch vụ cung cấp chứng thực điện tử yêu cầu một sự đầu tư lâu dài và nghiêm túc mới mang lại kết quả như mong muốn. Phần khó khăn nhất trong triển khai dịch vụ này là ở khâu tổ chức thực hiện và thay đổi nhận thức của con người. Tính pháp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra.

Tài liệu tham khảo

1. CARLISLE ADAMS and STEVE LOYD, “Understanding PKI second edition: Concepts, Standards, and Deployment Considerations

2.Website http://www.openca.org

3.Website http://www.openca.info      

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Chữ ký số - Một cách để đảm bảo an toàn thông tin
POWERED BY ONECMS - A PRODUCT OF NEKO