Giới thiệu về chứng chỉ số và các chuẩn giao dich thương mại điện tử việt nam

Giới thiệu về chứng chỉ số và các chuẩn giao dịch thương mại điện tử việt nam

A Chứng chỉ số

I.Khái quát về chứng chỉ số.

1 Chứng chỉ số là gì?

 Chứng chỉ số (SSL) – Secure Sockets Layer- là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khóa công khai (public key) Giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ nhận diện cá nhân thông thường khác, chứng chỉ số cung cấp bằng chứng cho sự nhận diện của một đối tượng Hệ mã khóa công khai sử dụng chứng chỉ số để giải quyết vấn đề mạo danh

 Là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt luôn được bảo mật an toàn Khi thực hiện kết nối bảo mật với SSL, người dùng sẽ thấy các trình duyệt chuyển đổi http thành https, xuất hiện ổ khóa vàng và thanh địa chỉ chuyển màu xanh ( trong trường hợp chứng thư EV SSL)

 Chứng thư số (SSL) cài trên website của doanh nghiệp cho phép khách hàng khi truy cập

có thể xác minh được tính xác thực, tin cậy của website, đảm bảo mọi dữ liệu và thông tin trao đổi giữa website và khách hàng được mã hóa, tránh nguy cơ bị can thiệp

2 Chứng chỉ số bao gồm những gì?

 Trong chứng chỉ số có ba thành phần chính:

+ Dữ liệu cá nhân của người được cấp

+ Khoá công khai (Public key) của người được cấp

+ Chữ ký số của CA cấp chứng chỉ

Dữ liệu cá nhân:

Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v Phần này giống như các thông tin trên chứng minh thư của mỗi người

Khoá công khai:

Là một giá trị được nhà cung cấp chứng thực đưa ra như một khóa mã hoá, kết hợp cùng với một khoá cá nhân duy nhất được tạo ra từ khoá công khai để tạo thành cặp mã khoá bất đối xứng

Nguyên lý hoạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch phải biết khoá công khai của nhau Bên A muốn gửi cho bên B thì phải dùng khoá công khai của bên B

để mã hoá thông tin Bên B sẽ dùng khoá cá nhân của mình để mở thông tin đó ra

Tính bất đối xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã dữ liệu được mã hoá bằng khóa công khai, nhưng khoá công khai không có khả năng giải mã lại thông tin, kể

cả những thông tin do chính khoá công khai đó đã mã hoá

Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân, thì khoá công khai đóng vai trò như danh tính của bạn trên giấy chứng minh thư (gồm tên địa chỉ, ảnh ), còn khoá cá nhân là gương mặt và dấu vân tay của bạn

Nếu coi một bưu phẩm là thông tin truyền đi, được "mã hoá" bằng địa chỉ và tên người nhận của bạn, thì dù ai đó có dùng chứng minh thư của bạn với mục đich lấy bưu phẩm này, họ cũng không được nhân viên bưu điện giao bưu kiện vì ảnh mặt và dấu vân tay không giống

Chữ ký số của CA cấp chứng chỉ:

Còn gọi là chứng chỉ gốc Đây chính là sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ chứng chỉ Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp

lệ hay không

3 Chứng chỉ số làm việc như thế nào?

Một chứng chỉ số gắn một public key với một cá nhân hay một tổ chức, sự kết hợp này là duy nhất và tính xác thực của nó được đảm bảo bởi nhà cung cấp chứng chỉ số

Chứng chỉ số được dựa trên thuật toán mã khóa công khai mà mô hình là việc dùng cặp khóa public key và private key

Private key được sở hữu riêng bởi người có chứng chỉ số và nó được dùng để tạo nên chữ ký điện tử Khóa này luôn luôn phải giữ bí mật và chỉ thuộc về người sở hữu chứng chỉ số đó Public key thì được công khai, nó được dùng để chứng thực một chữ ký điện tử Sự chứng thực một chữ ký điện tử tức là bạn muốn biết đích danh là ai đã ký vào thông tin bạn nhận được

Cặp khóa public key và private key vốn không gắn với bất kỳ một chỉ danh nào, nó chỉ đơn giản là một cặp khóa và giá trị của nó là các con số.Chứng chỉ số là một sự kết hợp của một public key với một chỉ danh

Căn cứ vào chứng chỉ số của bạn, hệ thống có thể kiểm tra xem bạn có đủ thẩm quyền khi truy cập vào hệ thống hay không, tránh khỏi sự mạo danh bạn để truy cập các hệ thống cũng như trao đổi thông tin Với việc mã hóa thì chứng chỉ số đã cung cấp cho bạn một giải pháp thực

sự đảm bảo giúp bạn hòan tòan yên tâm khi tham gia trao đổi thông tin trên Internet

4 Phân loại

- DV-SSL ( domain validation) chứng thư số SSL chứng thực cho tên miền –website Khi một website sử dụng DV SSL thì sẽ được xác thực tên miền (domain), website đã được mã hóa an toàn khi trao đổi dữ liệu

- OV-SSL (organization validation) chứng thư số SSL chứng thực cho website và xác thực doanh nghiệp đang sở hữu website đó

- EV-SSL (extended validation) cho khách hàng của bạn thấy website đang sử dụng chứng thư SSL có độ bảo mật cao nhất và được rà soát pháp lý kỹ càng hơn với thanh đại, chỉ sáng màu xanh, hiển thị đầy đủ thông tin của công ty, cung cấp một cấp độ cao hơn tin tưởng vào website của bạn

- Wildcard SSL (wildcard SSL certificate) sản phẩm lý tưởng dành cho các cổng thương mại điện tử Các website dạng này thường có thể tạo ra các trang e-store dành cho các chủ cửa hàng trực tuyến, mỗi e-store là một sub domains và được chia sẻ một địa chỉ IP duy nhất Khi

đó, để triển khai giải pháp bảo mật giao dịch trực tuyến ( khi đặt hàng, thanh toán, đăng ký và đăng nhập tài khỏan…) bằng SSL, chúng ta có thể dùng duy nhất một chứng chỉ số wildcard cho tên miền chính của website và dùng chung một địa chỉ IP duy nhất để chia sẻ cho tất cả mọi sub domains

II Hệ thống quản lý và phát hành.

1 Hệ thống cấp phát và quản lý chứng chỉ số.

- Certificate Authority ( CA ): Tổ chức phát hành chứng thực các loại chứng thư số cho

người dùng, doanh nghiệp, máy chủ (server), mã nguồn

- Nhà cung cấp chứng thực số đóng vai trò bên thứ 3 độc lập (được cả 2 bên tin tưởng) để hỗ

trợ cho quá trình trao đổi thông tin an toàn hoặc các tổ chức tự vận hành phần mềm cấp chứng chỉ số của mình

- Hệ thống CA được hoạt động theo mô hình sau:

CA server

switch

Doanh nghiệp

Modem

PSTN

MODEM

ĐĂNG KÝ TỪ XA

DOANH NGHIỆP

- Caserver: là thành phần quan trọng nhất trong hệ thống, nó được cài phần mềm CA và lưu

giữ khóa riêng của CA Vì vậy cần đảm bảo an toàn tuyệt đối cho CAserver

- RAserver: cài đặt các chương trình quản lý các đăng ký chứng chỉ và các chứng chỉ Nó

thực hiện kiểm tra các yêu cầu đăng ký chứng chỉ, chấp nhận hủy bỏ các yêu cầu đăng ký chứng chỉ trước khi chúng được CA ký, đồng thời, gửi chứng chỉ đã được CA phát hành xuống các điểm đăng ký từ xa để chuyển cho doanh nghiệp

- LDAP server: là máy chủ chứa tất cả các chứng chỉ đã được phát hành, cho phép doanh

nghiệp sử dụng dịch vụ thư mục để tra cứu thông tin về chứng chỉ

- Đăng ký từ xa: có trách nhiệm kiểm tra thông tin đăng ký của doanh nghiệp và ký xác

nhận trước khi chuyển cho RAserver

Để thiết lập mạng cấp phát chứng chỉ, các điểm đăng ký từ xa được thiết lập trước và được cấp chứng chỉ trong quá trình thiết lập mạng cấp phát

- Một số CA được nhiều người biết đến: VeriSign, Thawt, GeoTrust, GoDaddy

Trong đó, GeoTrust- một trong những doanh nghiệp đầu tiên trên thế giới được công nhận là nhà cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp tất

cả các loại chứng thư, gói chứng thư, giải pháp chứng thư số cho các ngành tài chính- ngân hàng, y tế, giáo dục và các lĩnh vực kinh doanh khác

Hiện nay có nhiều CA thương mại mà người dùng phải trả phí khi sử dụng Các tổ chức và chính phủ cũng có thể có những CA riêng Bên cạnh đó thì cũng có những CA cung cấp dịch

vụ miễn phí

- Hệ thống quản lý chứng chỉ số VASC-CA

VASC-CA là nhà cung cấp chứng chỉ số đầu tiên tại Việt Nam, với các giải pháp:

 Chứng chỉ số cá nhân VASC-CA: giúp mã hóa thông tin, bảo mật e-mail, sử dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua giao thức bảo mật SSL

 Chứng chỉ số SSL Server VASC-CA: giúp bảo mật hoạt động trao đổi thông tin trên website, xác thực người dùng bằng SSL, xác minh tính chính thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn chặn hacker dò mật khẩu

 Chứng chỉ số nhà phát triển phần mềm VASC-CA: cho phép nhà phát triển phần mềm ký vào các chương trình applet, script, Java software, ActiveX control, EXE, CAB và DLL, đảm bảo tính hợp pháp của sản phẩm, cho phép người sử dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi của chương trình (do hỏng, bị crack hay virus phá hoại)

III Thực trạng sử dụng

1 Hiện trạng sử dụng chứng chỉ số trên thế giới

Việc sử dụng chứng chỉ số trên thế giới hiện nay rất phổ biến, chủ yếu nhằm bảo mật các giao dịch điện tử như bảo mật email, website, thanh đoán điện tử…

Các đơn vị chứng thực (CA) được xây dựng ở nhiều qui mô, cấp độ khác nhau Từ các cơ quan chính phủ đến các tổ chức doanh nghiệp, cá nhân đều có thể xây dựng CA, tùy thuộc vào yêu cầu sử dụng

Các CA có thể được xây dựng với mục đích chuyên dụng hoặc thương mại CA chuyên dụng được áp dụng trong phạm vi một cơ quan nhà nước, một tổ chức, một doanh nghiệp hoặc có thể là do cá nhân tự xây dựng Những đối tượng sử dụng CA chuyên dụng được cấp chứng chỉ bởi CA đó và qui định tin tưởng nhau trong phạm vi CA

CA thương mại được xây dựng nhằm mục đích thương mại, kinh doanh dịch vụ xác thực điện

tử Những đối tượng sử dụng chứng chỉ của CA thương mại phải có thỏa thuận pháp lý tin tưởng CA thương mại đó và tin tưởng những đối tượng khác được cấp chứng chỉ bởi CA Hiện trên thế giới có một số CA lớn, được thành lập vào những năm 90, với mục đích thương mại như Verisign, Entrust, RSA…

Các quốc gia phát triển chính phủ điện tử được coi là hàng đầu thế giới như USA, Canada, Anh, Thụy sĩ, Hàn Quốc, Nhật Bản… có những đơn vị chứng thực (CA) lớn mạnh

Ở Châu Á, Hàn Quốc được coi là quốc gia áp dụng Chính phủ điện tử hiệu quả cao Một trong những yếu tố giúp cho thành công của Chính phủ điện tử đó là chứng thực điện tử Hàn Quốc

có một hệ thống mạng lưới thông tin thông suốt từ Chính phủ đến các thành phố, quận huyện, làng mạc Thông tin cá nhân thống nhất trên nhiều lĩnh vực, do đó việc áp dụng chứng thực điện tử tại Hàn Quốc có hiệu quả cao

2 Ở Việt Nam,

- Việc xây dựng Hệ thống Chứng thực điện tử là một trong số các nhân tố quan trọng của

Chính phủ điện tử cũng như trong giao dịch thương mại

Chúng ta đang từng bước xây dựng hệ thống này Về luật pháp, hiện ta đã có Luật giao dịch điện tử (2005), Nghị định 26 (Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số

và dịch vụ chứng thực chữ ký số), Nghị định 27 (Về giao dịch điện tử trong hoạt động tài chính)… Các đơn vị nhà nước, tổ chức doanh nghiệp cũng đã và đang xây dựng hệ thống chứng thực chuyên dùng, đáp ứng cho yêu cầu nội bộ

Bộ Thông tin và Truyền thông (MIC) đã xây dựng trung tâm chứng thực điện tử quốc gia RootCA (CA gốc)

IV Vai trò và ứng dụng.

1 Tại sao nên sử dụng SSL

- Việc kết nối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP TCP/IP cho

phép các thông tin đựơc gửi từ một máy tính này tới một máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể đi tới được đích Tuy nhiên chính vì tính linh hoạt này của giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba”có thể thực hiện các hành động bất hợp pháp, cụ thể là:

 Nghe trộm (Eavesdropping) : thông tin vẫn không hề bị thay đổi, nhưng sự bí mật của nó

thì không còn Ví dụ: một ai đó có thể biết được số thẻ tín dụng, các thông tin cần bảo mật của bạn

 Giả mạo (Tampering): các thông tin trong khi truyền đi bị thay đổi hoặc thay thế trước khi

đến người nhận Ví dụ một ai đó có thể sửa đổi một đơn đặt hàng hoặc thay đổi lý lịch của một cá nhân

 Mạo danh (Impersonation): thông tin được gửi tới một cá nhân mạo nhận là người nhận

hợp pháp Có 2 hình thức mạo danh sau:

 Bắt chước (Spoofing) : một cá nhân có thể giả vờ như một người khác Ví dụ, dùng địa chỉ mail cua một người khác hoặc giả mạo một tên miền của của một trang web

 Xuyên tạc ( Misrepresentation ): một cá nhân hay một tổ chức có thể đưa ra những thông tin không đúng sự thật về họ Ví dụ, có một trang web mạo nhận chuyên về kinh doanh trang thiết bị nội thất, nhưng thực tế nó lại là một trang chuyên đánh cắp mã thẻ tín dụng và không bao giờ gửi hàng cho khách hàng

->Bạn đăng ký tên miền để sử dụng các dịch vụ website, email… luôn có những lỗ hổng bảo mật-> nguy cơ bị tấn công->SSL bảo vệ website và khách hàng của bạn

Mã hóa và giải mã: cho phép hai đối tác giao thiệp với nhau có thể che giấu thông tin mà

họ gửi cho nhau Người gửi mã hóa các thông tin trước khi gửi chúng đi, người nhận sẽ giải

mã trước khi đọc Trong khi truyền, các thông tin sẽ không bị lộ

Chống lại sự giả mạo: cho phép người nhận có thể kiểm tra thông tin có bị thay đổi hay không Bất kỳ một sự thay đổi hay thay thế nội dụng của thông điệp gốc đều bị phát hiện

Xác thực: cho phép người nhận có thể xác định chỉ danh của người gửi

Không thể chối cãi nguồn gốc: ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi

2 Lợi ích khi sử dụng SSL?

 Xác thực website, giao dịch

 Nâng cao hình ảnh, thương hiệu và uy tín doanh nghiệp

 Bảo mật các giao dịch giữa khách hàng và doanh nghiệp, các dịch vụ truy nhập hệ thống

 Bảo mật webmail và các ứng dụng như outlook web access, exchange và office communication server

 Bảo mật các ứng dụng ảo như Citrix Delivery Platform hoặc các ứng dụng điện toán đám mây

 Bảo mật dịch vụ FTP

 Bảo mật truy cập control panel

 Bảo mật các dịch vụ truyền dữ liệu trong mạng nội bộ, file sharing, extranet

 Bảo mật VPN access servers, Citrix access gateway…

Website không được xác thực và bảo mật sẽ luôn ẩn chứa nguy cơ bị xâm nhập dữ liệu, dẫn đến hậu quả khách hàng không tin tưởng sử dụng dịch vụ

3 Ứng dụng của chứng chỉ số:

Chứng chỉ số SSL có vai trò rất quan trọng trong các giao dịch trực tuyến như: đặt hàng, thanh toán, trao đổi thông tin, đặc biệt là trong các lĩnh vực thương mại điện tử, sàn giao dịch vàng và chứng khoán, cổng thanh toán, ví điện tử, ngân hàng điện tử, chính phủ điện tử Một số ứng dụng phổ biến của chứng chỉ số SSL :

a Chữ ký điện tử

- Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn

bản, hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu đó

- Chữ ký điện tử được sử dụng trong các giao dịch điện tử Xuất phát từ thực tế, chữ ký điện

tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video, dữ liệu đó có bị thay đổi hay không

- Hai khái niệm chữ ký số (digital signature) và chữ ký điện tử (electronic signature) thường được dùng thay thế cho nhau mặc dù chúng không hoàn toàn có cùng nghĩa Chữ ký số chỉ là một tập con của chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số

- Chữ ký số tương đương với chữ ký tay nên có giá trị sử dụng trong các ứng dụng giao dịch điện tử với máy tính và mạng Internet cần tính pháp lý cao

Nó có thể giúp bảo đảm an toàn, bảo mật cao cho các giao dịch trực tuyến, nhất là các giao dịch chứa các thông tin liên quan đến tài chính

- Một số ứng dụng của chữ ký điện tử :

Nhóm các dịch vụ chính phủ điện tử e-Government:

· Hóa đơn điện tử (E-Invoice)

· Thuế điện tử (E-Tax Filing)

· Hải quan điện tử (E-Customs)

· Bầu cử điện tử (E-Voting)

· E-Passport

· PKI-based National ID Card

· Các dịch vụ của chính phủ cho doanh nghiệp G2B (các ứng dụng đăng ký kê khai, thăm

dò qua mạng đối với các doanh nghiệp)

· Các dịch vụ của chính phủ cho công dân G2C (dịch vụ y tế )

Nhóm các dịch vụ ngân hàng trực tuyến (Online Banking)

· Thanh toán trực tuyến (E-Payment)

· Tiền điện tử (E-Billing)

Nhóm các dịch vụ khác

· Kinh doanh chứng khoán trực tuyến (Online security trading)

· Đấu thầu trực tuyến (E-Procurement)

· Bảo hiểm trực tuyến (E-Insurance)

· Quản lý tài liệu

· Bảo mật email

Chữ ký điện tử mang lại nhiều chức năng quan trọng như:

Tính xác thực

An toàn và toàn vẹn dữ liệu

Không chối cãi nguồn gốc

b Bảo mật Website

Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị lộ

Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL trên Server để bảo mật cho Website của mình Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer)

Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng và nhân viên

Công nghệ SSL có các tính năng nổi bật như:

+ Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng + Đảm bảo hacker không thể dò tìm được mật khẩu

c Xác thực phần mềm

Nếu bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những ''con tem chống hàng giả'' cho sản phẩm của mình Đây là một công cụ không thể thiếu trong việc áp dụng hình thức

sở hữu bản quyền Chứng chỉ số Nhà phát triển phần mềm sẽ cho phép bạn ký vào các applet, script, Java software, ActiveX control, các file dạng EXE, CAB, DLL

Như vậy, thông qua chứng chỉ số, bạn sẽ đảm bảo tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm Hơn nữa người dùng sản phẩm có thể xác thực được bạn là nhà cung cấp, phát hiện được sự thay đổi của chương trình (do vô tình hỏng hay do virus phá, bị crack và bán lậu )

B Chuẩn giao dịch thương mại điện tử