thực tập an toàn thông tin

Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ chứng thực điện tử CA - Certification authority cung cấp cho chứng chỉ số vàphải được gán một cặp khoá mã kh

PHẦN I CHỨNG THỰC

I/ Tổng quan về chứng thực điện tử

Cùng với sự phát triển của các ứng dụng trên mạng, đặc biệt các ứng dụng nhưChính phủ điện tử, thương mại điện tử thì chứng thực điện tử trở thành một yếu tốkhông thể thiếu được Việc ra đời chứng thực điện tử không những đáp ứng được cácnhu cầu hiện nay của xã hội mà còn có tác dụng rất to lớn trong việc phát triển cácứng dụng trên mạng

Vậy chứng thực điện tử là gì? Chứng thực điện tử là hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua mạng, đồng thời cung cấp cho họ những công cụ, những dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin

Hạ tầng công nghệ của chứng thực điện tử là cơ sở hạ tầng khoá công khai(PKI - Public Key Infrastructure) với nền tảng là mật mã khoá công khai và chữ ký

số

Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch

vụ chứng thực điện tử (CA - Certification authority) cung cấp cho chứng chỉ số vàphải được gán một cặp khoá mã (khoá bí mật và khoá công khai) để có thể tham gia

sử dụng chứng thực điện tử trong các ứng dụng mà mình tham gia

Chứng thực điện tử có các chức năng chính sau :

- Tính xác thực : Đảm bảo xác định được thực thể hợp pháp.

- Tính bảo mật : Mã hoá thông tin gửi đi trên mạng, đảm bảo bí mật thông tin

- Tính toàn vẹn dữ liệu : Xác định được thông tin nhận được có đúng như

thông tin được gửi đi không hay đã bị thay đổi

- Tính không chối bỏ : Chứng thực điện tử đảm bảo cho người sử dụng không

thể chối bỏ về các dữ liệu của mình đã gửi

Chính vì có những tính năng như vậy chứng thực điện tử được sử dụng trongkhá nhiều các ứng dụng như :

- Ký vào tài liệu điện tử

- Thư điện tử bảo đảm

- Thương mại điện tử

- Bảo vệ mạng WLAN ( Wireless Lan Area Network)

- Bảo đảm an toàn cho các dịch vụ Web

Cơ quan chứng thực (CA)

Cơ quan chứng thực (CA)

Cơ quan đăng ký

(RA)

Cơ quan đăng ký

Cơ quan chứng thực gốc (root CA)

- Bảo đảm an toàn cho Web Server

- Mạng riêng ảo

Để có thể cung cấp được dịch vụ chứng thực điện tử, cần có hệ thống luật phápcông nhận tính pháp lý của chữ ký số, quy định hoạt động của dịch vụ chứng thựcđiện tử ( thường là luật chữ ký số hoặc luật giao dịch điện tử) và các nhà cung cấpdịch vụ chứng thực điện tử (CA) Về cấu trúc tổ chức của hệ thống CA có thể chialàm ba loại : cấu trúc riêng lẻ, cấu trúc mắt lưới và cấu trúc hình cây

Trong hệ thống cấu trúc riêng lẻ, CA tự cấp chứng chỉ số cho mình, cấu trúcnày thường được sử dụng trong nội bộ một đơn vị như trong một trường đại học, một

cơ quan nghiên cứu Cấu trúc mắt lưới được ứng dụng trong một cộng đồng các CAtin cậy lẫn nhau Các CA trong cấu trúc mắt lưới có quan hệ ngang hàng và thườngcấp chứng chỉ cho nhau Cấu trúc hình cây là cấu trúc phổ biến nhất, nó bao gồm cácthành phần cơ bản như sau (hình 1) :

Hình 1 : Cấu trúc tổ chức hệ thống CA hình cây

- Cơ quan chứng thực gốc (root CA) : là cơ quan cấp chứng chỉ số cho các cơ

quan chứng thực Cơ quan chứng thực gốc là duy nhất trong một hệ thống các CA.Đây chính là điểm tin cậy của toàn bộ người dùng trong hệ thống các CA Điều này

có nghĩa khi người dùng tin cậy vào cơ quan chứng thực gốc họ sẽ tin cậy vào dịch

vụ của các CA được cấp chứng chỉ số bởi cơ quan chứng thực gốc này

Người dùng

- Cơ quan chứng thực (CA) : là cơ quan cấp chứng chỉ số cho người sử dụng.

- Cơ quan đăng ký (RA - Registration Authority) : là các đơn vị được CA uỷ

quyền việc thực hiện các nhiệm vụ liên quan đến việc cấp chứng chỉ số bao gồm cáccông việc như tiếp nhận hồ sơ đăng ký, kiểm tra tính chính xác và hợp lệ về cácthông tin đăng ký của người muốn đăng ký được cấp chứng chỉ số

- Người sử dụng : là người được cấp chứng chỉ số để sử dụng trong các ứng

dụng của mình

Một khía cạnh rất quan trọng trong hoạt động chứng thực điện tử là hoạt độngchứng thực chéo Chứng thực chéo là quá trình các CA hoặc các root CA thiết lậpquan hệ tin cậy lẫn nhau, nhờ đó cộng đồng những người sử dụng có thể thực hiệncác giao dịch điện tử đối với các đối tác không cùng một CA

II/ Hiện trạng triển khai chứng thực điện tử tại một số nước

Trong vài năm gần đây dịch vụ chứng thực điện tử đã ra đời và ngày càng pháttriển ở nhiều nước trên thế giới Đây là dịch vụ được cung cấp bởi các đơn vị có thẩmquyền chứng thực Rất nhiều quốc gia trên thế giới đã cung cấp dịch vụ chứng thựcđiện tử Một số CA nổi tiếng trên thế giới có thể kể đến như CA của các công tyVeriSign, WISeKey, eTrust, có chi nhánh tại rất nhiều nước trên thế giới

Để cung cấp dịch vụ chứng thực điện tử các nước đều ban hành các văn bảnpháp lý về hoạt động chứng thực điện tử, cấp phép cho các CA và tổ chức hệ thống

CA Về cấu trúc hệ thống cung cấp dịch vụ chứng thực điện tử có nước tổ chức theo

sơ đồ hình cây trong đó mức cao nhất là root CA quốc gia, mức duới là các CA cấpdưới Bên cạnh đó cũng có quốc gia không thành lập root CA mà tổ chức các CAtheo dạng mắt lưới hoặc riêng rẽ

Ở các nước trong khu vực dịch vụ chứng thực điện tử phát triển khá mạnh.Nhật bản đã ban hành Luật về chữ ký điện tử và các dịch vụ chứng thực vào năm

2001 Hàn quốc ban hành luật chữ ký điện tử vào năm 1999 và ban hành bản sửa đổivào năm 2001 Hiện nay Hàn quốc có 6 CA được cấp phép hoạt động Hồng kôngban hành sắc lệnh về giao dịch điện tử vào năm 2000 Đài loan ban hành luật chữ ký

số vào năm 2001 Malaysia ban hành luật chữ ký số vào năm 1997, hiện nay có 3 CAđược cấp phép hoạt động Singapore ban hành luật giao dịch điện tử vào năm 1998 vàQuy định về giao dịch điện tử cho các CA vào năm 1999 Thái lan ban hành luật giaodịch điện tử năm 2001

Tuy chứng thực điện tử phát triển khá nhanh và được sử dụng khá hiệu quảtrong rất nhiều ứng dụng như vậy nhưng không phải không có những yếu tố cản trở

sự phát triển của nó Ở đây có thể nêu lên một số yếu tố chính cản trở sự phát triểncủa chứng thực điện tử, đó là :

- Còn ít các phần mềm ứng dụng hỗ trợ sử dụng chứng thực điện tử

- Giá thành hệ thống CA cũng như phí cung cấp dịch vụ cao

- Thiếu hiểu biết về PKI

- Có quá nhiều công nghệ được sử dụng

- Khó sử dụng đối với người dùng

- Khả năng kết hợp làm việc giữa các hệ thống chưa tốt

- Thiếu việc hỗ trợ quản lý

- Quá nhiều yêu cầu về mặt luật pháp

Tóm lại việc phát triển chứng thực điện tử là một xu hướng tất yếu trên thế giớinhưng trong quá trình phát triển nó cũng gặp những rào cản nhất định Các nước hầuhết đã triển khai cung cấp dịch vụ chứng thực điện tử đặc biệt là những nước có cácứng dụng trên mạng phát triển

III/ Chứng thực điện tử tại Việt nam

Trước nhu cầu sử dụng chứng thực điện tử ngày càng tăng cao tại Việt nam,trong thời gian qua tại Việt nam đã có một số đơn vị cung cấp dịch vụ chứng thựcđiện tử như công ty VASC, công ty VDC, Trung tâm tin học Bộ Khoa học Côngnghệ, Ban Cơ yếu chính phủ, một số ngân hàng Ngoài ra còn một số đơn vị cũng thửnghiệm xây dựng các CA nội bộ Trong các CA đã nêu này hầu hết là các CA riêng

rẽ nghĩa là tự cấp chứng chỉ cho mình, chỉ có CA của VDC là đại lý cho CA của công

ty VeriSign Ngoài ra trong các CA đã nêu chỉ có CA của VASC và CA của VDC làcung cấp dịch vụ chứng thực cho cộng đồng Các ứng dụng sử dụng chứng thực điện

tử ở Việt nam chủ yếu là ký vào dữ liệu điện tử, E mail bảo đảm, xác thực quyền truynhập, thanh toán điện tử.Tuy vậy cho đến hiện nay tại Việt nam vẫn chưa có một vănbản nào mang tính pháp lý quy định về hoạt động chứng thực điện tử Hiện tại, chúng

ta đang xây dựng bốn văn bản pháp lý liên quan đến hoạt động chứng thực điện tử,

đó là :

- Pháp lệnh thương mại điện tử do Bộ Thương mại chủ trì

- Luật Giao dịch điện tử do Uỷ ban Khoa học Công nghệ và Môi trường củaQuốc hội chủ trì

- Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứng thựcđiện tử do Bộ Bưu chính, Viễn thông chủ trì

- Nghị định của Chính phủ quy định việc nghiên cứu, sản xuất và sử dụng mật

mã không thuộc phạm vi bí mật nhà nước do Ban Cơ yếu Chính phủ chủ trì

Ngoài ra còn phải kể đến Luật Công nghệ thông tin do Bộ Bưu chính, Viễnthông chủ trì soạn thảo.

Ba trong bốn văn bản pháp lý đã nêu ở trên dù ít hay nhiều trong bản dự thảođều có đề cập đến tính pháp lý của chữ ký số cũng như quy định một số điều liênquan đến việc quản lý, cung cấp, sử dụng dịch vụ chứng thực điện tử Văn bản còn lạiliên quan đến việc sử dụng mật mã trong chứng thực điện tử

Vấn đề đặt ra là sự phối hợp giữa các đơn vị xây dựng các văn bản pháp lý nàynhư thế nào để tránh được sự chồng chéo về nội dung chứng thực điện tử trong cácvăn bản này

Để có thể cung cấp dịch vụ chứng thực điện tử một cách tốt nhất, chúng ta cầnquan tâm đến các vấn đề sau trong việc xây dựng hệ thống cung cấp dịch vụ này :

- Xây dựng hành lang pháp lý

- Xây dựng hệ thống tiêu chuẩn về chứng thực điện tử

- Triển khai xây dựng hệ thống CA

- Giám sát đánh giá hoạt động của các CA

- Tuyên truyền hướng dẫn người sử dụng và đào tạo đội ngũ kỹ thuật

- Khuyến khích xây dựng các phần mềm hỗ trợ chứng thực điện tử

Như ở trên đã nói hiện nay chúng ta đang đồng thời đang xây dựng bốn vănbản pháp luật có liên quan đến hoạt động chứng thực điện tử, vấn đề đặt ra là làm thếnào để tránh chồng lặp các quy định về chứng thực điện tử trong các văn bản này.Một vấn đề nữa là việc chỉ định cơ quan quản lý nhà nước về hoạt động chứng thựcđiện tử có trách nhiệm quản lý các hoạt động liên quan đến chứng thực điện tử : cấpphép hoạt động, ban hành chuẩn, giám sát, thu hồi giấy phép cho các CA cũng nhưđóng vai trò như root CA quốc gia

Vấn đề chuẩn trong hoạt động chứng thực điện tử liên quan trực tiếp đến độtin cậy của các dịch vụ và sự an toàn thông tin của mỗi CA, liên quan đến hoạt động

chứng thực chéo và các hoạt động tương tác giữa các CA trong cùng một hệ thống.Việc xây dựng, ban hành các tiêu chuẩn kỹ thuật liên quan đến chứng thực điện tử ởđây đề cập đến là các chuẩn về chứng chỉ số và chuẩn về mật mã cũng như các yêucầu kỹ thuật khác mà các CA cần phải đáp ứng như vấn đề an toàn, bảo mật hệthống, sao lưu dữ liệu, bảo vệ vật lý, phòng chống cháy nổ, đảm bảo chất lượng dịch

vụ

Chuẩn về chứng chỉ số quy định về khuôn dạng của chứng chỉ số, tổ chức thưmục chứng chỉ, danh sách chứng chỉ thu hồi, còn chuẩn về mật mã liên quan đếnđến các thuật toán mã hoá, hàm băm, tạo khoá và phân phối khoá

Hiện nay các chuẩn này trên thế giới đã được xây dựng khá đầy đủ và tươngđối đa dạng Vấn đề của chúng ta là lựa chọn chuẩn nào cho phù hợp và cân nhắcgiữa việc xây dựng các tiêu chuẩn riêng của chúng ta hay tuân thủ các tiêu chuẩn thếgiới Một vấn đề nữa cần đề cập ở đây là vấn đề mật mã sử dụng trong chứng thựcđiện tử, hiện nay Ban Cơ yếu Chính phủ đang chủ trì xây dựng "Nghị định của Chínhphủ quy định việc nghiên cứu, sản xuất và sử dụng mật mã không thuộc phạm vi bímật nhà nước" chính vì vậy việc sử dụng mật mã trong chứng thực điện tử cũng cầncân nhắc xem có phù hợp với nghị định này không

Triển khai xây dựng hệ thống CA : Ở đây chúng ta cũng cần phải cân nhắc lựachọn mô hình tổ chức hệ thống CA quốc gia, cũng như số CA sẽ được cấp phép hoạtđộng Ngoài ra việc lựa chọn hạ tầng kỹ thuật của từng CA cho phù hợp và đảm bảocác yêu cầu về an toàn, bảo mật cũng cần phải xem xét một cách kỹ lưỡng Bên cạnh

đó việc xây dựng quy định về thủ tục chứng thực (CPS - Certification PracticeStatment) của từng CA cũng cần được quan tâm một cách đúng mực

Giám sát đánh giá hoạt động của các CA : Vì chứng thực điện tử là một dịch

vụ mang tính pháp lý cao nên cơ quan quản lý nhà nước cần kiểm tra chặt chẽ hoạtđộng, việc đảm bảo các yêu cầu kỹ thuật và chất lượng dịch vụ của các CA Bêncạnh đó cần có quy định rõ ràng trong việc báo cáo định kỳ về hoạt động của các CA.Việc kiểm tra các CA cần được tiến hành định kỳ và có thể kiểm tra đột xuất khi cầnthiết

Tuyên truyền hướng dẫn người sử dụng và đào tạo đội ngũ kỹ thuật: Nhu cầu

sử dụng dịch vụ chứng thực ở nước ta cùng với thời gian ngày càng một phát triển.Tuy nhiên hiện nay đây là một dịch vụ mới nên phần lớn cộng đồng không biết đếnchứng thực điện tử và đội ngũ kỹ thuật có hiểu biết một cách đầy đủ về chứng thựcđiện tử vẫn còn ít Bên cạnh đó có một thực tế là do thiếu hiểu biết về chứng thựcđiện tử nên vấn đề để lộ hoặc làm mất khoá bí mật cũng là một vấn đề hay xảy ra đốivới những người sử dụng dịch vụ chứng thực điện tử Điều này có thể gây ra nhữngrắc rối và hậu quả khó mà lường hết được

Chính vì thế muốn phát triển dịch vụ chứng thực ở nước ta một cách nhanhchóng vấn đề tuyên truyền hướng dẫn sử dụng chứng thực điện tử, nâng cao ý thức antoàn, bảo mật trong cộng đồng xã hội và đào tạo đội ngũ kỹ thuật có đủ năng lực đểduy trì và phát triển hệ thống cung cấp dịch vụ chứng thực điện tử cần phải được đẩymạnh.

Khuyến khích xây dựng các phần mềm hỗ trợ chứng thực điện tử : Như đãtrình bày ở trên một trong những yếu tố cản trở việc phát triển hoạt động chứng thựcđiện tử là thiếu các phần mềm hỗ trợ sử dụng chứng thực điện tử Chính vì vậy cầnkhuyến khích sử dụng và xây dựng các phần mềm ứng dụng hỗ trợ sử dụng chứngthực điện tử

Chứng thực chéo : Một vấn đề khi xây dựng hệ thống cung cấp dịch vụ chứngthực điện tử là cần phải cân nhắc lựa chọn cấu trúc tổ chức hệ thống CA, cũng nhưcác vấn đề kỹ thuật, chính sách liên quan sao cho thuận lợi nhất cho việc chứng thựcchéo sau này Việc chứng thực chéo là một điều bắt buộc khi chúng ta hội nhập vớithế giới Chứng thực chéo có thể thực hiện giữa các quốc gia, các CA quốc tế hoặcgiữa các CA trong nước

Hợp tác quốc tế về chứng thực điện tử: Các hoạt động trên mạng là không biêngiới, bên cạnh đó vấn đề chứng thực chéo giữa các tổ chức, các quốc gia là một vấn

đề rất quan trọng trong hoạt động chứng thực điện tử Hiện nay trên thế giới và khuvực các diễn đàn về PKI và các hoạt động liên quan đến chứng thực điện tử hoạtđộng rất sôi nổi Chính vì vậy việc hợp tác quốc tế là rất cần thiết trong hoạt độngchứng thực điện tử Có tham gia vào hợp tác quốc tế thì hoạt động chứng thực điện tửcủa chúng ta mới có thể phát triển bền vững được

 "Khóa bí mật" là một khóa trong cặp khóa thuộc hệ thống mật mã không đốixứng, được dùng để tạo chữ ký số

 “Khóa công khai" là một khóa trong cặp khóa thuộc hệ thống mật mã khôngđối xứng, được sử dụng để kiểm tra chữ ký số được tạo bởi khóa bí mậttương ứng trong cặp khóa

 "Ký số" là việc đưa khóa bí mật vào một chương trình phần mềm để tự độngtạo và gắn chữ ký số vào thông điệp dữ liệu

 "Người ký" là thuê bao dùng đúng khóa bí mật của mình để ký số vào mộtthông điệp dữ liệu dưới tên của mình

 "Người nhận" là tổ chức, cá nhân nhận được thông điệp dữ liệu được ký sốbởi người ký, sử dụng chứng thư số của người ký đó để kiểm tra chữ ký sốtrong thông điệp dữ liệu nhận được và tiến hành các hoạt động, giao dịch cóliên quan

Chữ ký số (Digital Signature) hay chữ ký điện tử (Electronic Signature) là thông

tin đi kèm theo dữ liệu nhằm mục đích xác nhận người chủ của dữ liệu đó

Chữ ký số được phát triển dựa trên lý thuyết mật mã, cụ thể là kỹ thuật mật mã hoácông khai Trong mô hình này, một hệ mã khoá công khai sẽ có hai chìa khoá: Mộtchìa khoá công khai (public key) và một chìa khoá bí mật (private key), mỗi chìakhoá là một số cố định được sử dụng trong quá trình mã hoá và giải mã; trong đó,khoá công khai được công bố rộng rãi cho mọi người và được sử dụng để mã hoá,còn khoá bí mật thì được giữ kín và được sử dụng để giải mã

2 Sơ đồ tạo và kiểm tra chữ ký số

Toàn bộ quá trình gồm 3 thuật toán:

- Thuật toán tạo khóa

- Thuật toán tạo chữ ký số

- Thuật toán kiểm tra chữ ký số

Ví dụ: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó

thực sự do chính Bob gửi Bob gửi cho Alice bản tin kèm với chữ ký số Chữ ký nàyđược tạo ra với khóa bí mật của Bob Khi nhận được bản tin, Alice kiểm tra sự thốngnhất giữa bản tin và chữ ký bằng thuật toán kiểm tra sử dụng khóa công cộng củaBob Bản chất của thuật toán tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó(gần như không thể) tạo ra được chữ ký của Bob nếu không biết khóa bí mật củaBob Nếu phép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực sự

Việc sử dụng chữ ký số mang lại một số lợi điểm sau:

a Khả năng xác định nguồn gốc

Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản vớikhóa bí mật mà chỉ có người chủ của khóa biết Để sử dụng chữ ký số thì văn bản cầnphải được mã hóa bằng hàm băm (văn bản được "băm" ra thành chuỗi, thường có độdài cố định và ngắn hơn văn bản) sau đó dùng khóa bí mật của người chủ khóa để mãhóa, khi đó ta được chữ ký số

Khi cần kiểm tra, bên nhận giải mã (với khóa công khai) để lấy lại chuỗi gốc(được sinh ra qua hàm băm ban đầu) và kiểm tra với hàm băm của văn bản nhậnđược Nếu 2 giá trị (chuỗi) này khớp nhau thì bên nhận có thể tin tưởng rằng văn bảnxuất phát từ người sở hữu khóa bí mật Tất nhiên là chúng ta không thể đảm bảo100% là văn bản không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ

Vấn đề nhận thực đặc biệt quan trọng đối với các giao dịch tài chính Chẳng

hạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới dạng (a,b), trong đó

a là số tài khoản và b là số tiền chuyển vào tài khoản đó Một kẻ lừa đảo có thể gửi

một số tiền nào đó để lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần đểthu lợi ( tấn công truyền lại gói tin)

b Tính toàn vẹn

Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bảnkhông bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽthay đổi và lập tức bị phát hiện Quá trình mã hóa sẽ ẩn nội dung của gói tin đối vớibên thứ 3 nhưng không ngăn cản được việc thay đổi nội dung của nó

Một ví dụ cho trường hợp này là tấn công đồng hình (homomorphism attack):tiếp tục ví dụ như ở trên, một kẻ lừa đảo gửi 1.000.000 đồng vào tài khoản của a,

chặn gói tin (a,b) mà chi nhánh gửi về trung tâm rồi gửi gói tin (a,b 3 ) thay thế để lập

tức trở thành triệu phú!Nhưng đó là vấn đề bảo mật của chi nhánh đối với trung tâmngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ người gửi tớichi nhánh, bởi thông tin đã được băm và mã hóa để gửi đến đúng đích của nó tức chinhánh, vấn đề còn lại vấn đề bảo mật của chi nhánh tới trung tâm của nó

c Tính không thể phủ nhận

Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mìnhgửi Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ

ký số với văn bản Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng

cứ để bên thứ ba giải quyết Tuy nhiên, khóa bí mật vẫn có thể bị lộ và tính không thểphủ nhận cũng không thể đạt được hoàn toàn