tài liệu tham khảo Ứng dụng chữ ký số trong bảo mật thông tin
Trang 1Ứng dụng chữ ký số trong bảo
mật thông tin
Ths Hoàng Sỹ Tương
1 Ứng dụng chữ kí số
Một số ứng dụng trong cuộc
sống ứng dụng chữ ký số có thể kể
đến như bảo mật máy chủ web (khi
tiến hành giao dịch trên các website
thương mại điện tử uy tín Tất cả các
thông tin nhạy cảm sẽ được mã hóa -
địa chỉ web thường có dạng “https” để
ký số và mã hóa email); đăng nhập từ
xa qua VPN, wireless (chữ ký số lúc
này được sử dụng để thay thế phương
pháp xác thực kém an toàn như
username/password)
Một số giao dịch trong ngành
ngân hàng, chứng khoán hiện nay
đang được dùng OTP (One Time
Password) Đây là một giải pháp tình
thế do lúc đó dịch vụ chứng chỉ số
chưa có mặt, trong khi Luật Giao dịch
điện tử ra đời năm 2005 đã công nhận
giá trị pháp lý của chứng chỉ số Vì
vậy, thời gian tới, rất có thể các giao
dịch ngân hàng qua Internet (Internet
banking) cũng sẽ ứng dụng chữ ký số Tuy nhiên, với các tổ chức ngân hàng đang ứng dụng OTP, giải pháp mà các
CA khuyến cáo là nên có lộ trình chuyển đổi Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn thì dùng chữ ký số)
Về căn bản, chữ ký số là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ
ký đó Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: dưới dạng file và lưu trữ trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ (smart card); thậm chí trên sim điện thoại (SIM base CA) Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base
CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động
Trên thế giới, SIM base CA được sử dụng từ những năm 2001 –
2002 Quốc gia có nhiều SIM base
Trang 2CA là Đài Loan, Hàn Quốc Theo
đánh giá của một số CA trong nước,
Việt Nam có số lượng người sử dụng
điện thoại di động khá lớn do đó thị
trường cho SIM base CA khá tiềm
năng Tuy nhiên, để có được dịch vụ
SIM base CA cần sự phối hợp giữa
nhà cung cấp dịch vụ chữ ký số và
nhà cung cấp dịch vụ viễn thông
Đối với các doanh nghiệp, chữ
ký số có thể được ứng dụng vào trong
hầu hết các hoạt động của công ty
như: đăng nhập bằng thẻ thông minh
(smart card), windows security logon,
trao đổi các tài liệu nhạy cảm, trao đổi
email, truy cập từ xa qua VPN, …
Việc triển khai một hệ thống PKI đối
với các doanh nghiệp nhỏ là rất đơn
giản, và lợi ích mà hệ thống đem lại
rất lớn so với chi phí đầu tư ban đầu
Quy trình cấp phát chứng chỉ và ứng
dụng chứng chỉ số cũng rất đơn giản
Sau đây là một ví dụ việc sử
dụng chứng chỉ số để trao đổi email
trong doanh nghiệp Quá trình sẽ bao
gồm: xin cấp phát chứng chỉ từ người
dùng, người quản trị cấp phát chứng
vào trong các email gửi cho người khác Trong ví dụ này vẫn sử dụng
mô hình phân lớp gồm RootCA, SubCA và RA, tuy nhiên trong thực tế
để đơn giản và phù hợp với các doanh nghiệp nhỏ, chúng ta có thể chỉ cần sử dụng một CA đảm nhiệm cả chức năng của RootCA và RA
Ban đầu, người dùng cần install chứng chỉ của RootCA vào máy tính
Hình 1: Install Certificate
Người dùng truy cập vào trang public của RA để tạo một yêu cầu xin cấp phát chứng chỉ
Trang 3Hình 2:Người dùng xin cấp phát
chứng chỉ
Hình 3:Chọn Browser Certificate
Request
Điền các thông tin cơ bản như:
First name, Last name, địa chỉ email,
… đây là các định danh được gắn kèm
với người sử dụng chứng chỉ
Hình 4: Khai báo các thông tin cơ
bản
Lựa chọn loại chứng chỉ là dành cho User (người sử dụng bình thường)
Hình 5: Lựa chọn loại chứng chỉ, mức
độ bảo mật,…
Trang 4Chọn lược đồ ký, độ dài của
khóa và mã PIN
Hình 6: Chọn lược đồ ký, chọn mã
PIN
Sau khi đồng ý với thỏa thuận
người dùng do CA đề ra, bước tiếp
theo sẽ khởi tạo khóa bí mật cho
người dùng
Hình 7: Khởi tạo khóa bí mật của
Sau khi người dùng đã tạo xong yêu cầu cấp phát chứng chỉ, người quản trị sẽ phải truy cập vào trang https://ra.actvn.net/pki/ra để thực hiện việc ký vào yêu cầu của người dùng
Hình 8: Yêu cầu xin cấp phát chứng
chỉ của người dùng
Hình 9: RA ký vào yêu cầu của người
Trang 5Hình 10: Yêu cầu đã được ký
Sau khi yêu cầu đã được ký bởi
RA, người quản trị tiếp tục chuyển
yêu cầu sang cho CA, để CA thực
hiện việc cấp phát chứng chỉ
Hình 11: CA tiếp nhận yêu cầu của
người dùng từ RA
Hình 12: CA chấp nhận cấp phát chứng chỉ cho người dùng
Chứng chỉ của người dùng đã được cấp phát, sau đó người quản trị phải chuyển chứng chỉ đã được cấp phát về RA Server để công bố cho người dùng
Hình 13: Chứng chỉ của người dùng
đã được cấp phát
Trang 6Khi đó, người sử dụng truy cập
vào trang https://ra.actvn.net/pki/pub
Sẽ thấy được danh sách các chứng chỉ
mà CA đã cấp phát (các chứng chỉ bị
thu hồi sẽ không có trong danh sách
này)
Hình 14: Danh sách các chứng chỉ đã
được cấp phát
Hình 15: Thông tin chứng chỉ của
Người dùng chọn chứng chỉ của mình để tải về máy Do mỗi chứng chỉ
có một mã PIN khác nhau, mà mã PIN này chỉ có người tạo yêu cầu cấp phát chứng chỉ mới biết, nên nếu có lấy chứng chỉ của người khác cũng không thể sử dụng được
Hình 16: Người dùng tải chứng chỉ về
máy
Chứng chỉ này tuân thủ theo các chính sách mà CA đề ra như:
Policy 1.2.3.3.4, Policy 1.2.3.3.5, Policy 1.2.3.3.6, Policy 1.2.3.3.7
Với chứng chỉ này, người dùng
có thể dùng để xác thực đối với các Website yêu cầu xác thực thông qua TLS, bảo vệ email hay đăng nhập vào
Trang 7Trong ví dụ này chúng ta sử
dụng Outlook Express để gửi thư và
đính kèm chữ ký số của người dùng
Để sử dụng chữ ký số ta phải install
chứng chỉ của người dùng vào máy
Sau đó lựa chọn chứng chỉ người
dùng để ký và mã hóa email như hình
dưới
Hình 17: Sử dụng chứng chỉ để bảo vệ
Thực hiện việc gửi email có
kèm theo chữ ký số và mã hóa nội
dung email Email sẽ có thêm 2 biểu
tượng: chữ ký và mã hóa như hình
dưới
Hình 18: Thực hiện việc gửi email
kèm chữ ký số
Người dùng được yêu cầu nhập khóa bí mật, để đảm bảo rằng đây là chứng chỉ của người dùng chứ không phải của người khác
Hình 19: Khóa bí mật của người dùng
Người nhận sẽ nhận được một
Trang 8Hình 20: Email đã được mã hóa khi
đến người nhận
Để đọc được nội dung bức thư,
người nhận phải có được khóa công
khai của người gửi
Hình 21: Nội dung email đã được giải
mã
Qua ví dụ trên, chúng ta có thể
giản và đạt được hiệu quả an toàn, bảo mật thông tin cần gửi đi
2 Thực trạng ứng dụng chữ ký
số ở Việt Nam
Ngoài việc là một phương tiện điện tử được pháp luật thừa nhận về tính pháp lý, chữ ký số còn là một công nghệ mã hóa và xác thực rất mạnh Nó có thể giúp bảo đảm an toàn, bảo mật cao cho các giao dịch trực tuyến, nhất là các giao dịch chứa các thông tin liên quan đến tài chính
Hiện tại công nghệ chữ ký số tại Việt Nam có thể sử dụng trong các giao dịch để mua bán hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán trực tuyến Ngoài ra, Bộ Tài chính cũng đã áp dụng chữ ký số vào kê khai, nộp thuế trực tuyến qua mạng Internet và các thủ tục hải quan điện
tử như khai báo hải quan và thông quan trực tuyến mà không phải in các
tờ khai, đóng dấu đỏ của công ty và đến cơ quan thuế chờ để nộp tờ khai này
Trang 9Trong tương lai tại Việt Nam
chữ ký số có thể sử dụng với các ứng
dụng chính phủ điện tử Khi cần làm
thủ tục hành chính hay một sự xác
nhận của cơ quan nhà nước, người
dân chỉ cần ngồi ở nhà khai vào mẫu
đơn và sử dụng chữ ký số của mình để
gửi là xong
Đối với dịch vụ chứng thực chữ
ký số công cộng chỉ có thể sử dụng
trong các giao dịch điện tử liên quan
đến người sử dụng cá nhân và tổ
chức, doanh nghiệp, trong các giao
dịch giữa người dân, doanh nghiệp
với các cơ quan nhà nước Riêng các
giao dịch nội bộ của các cơ quan nhà
nước hoặc giữa các cơ quan nhà nước
với nhau là các giao dịch đặc thù,
không dùng được hệ thống chứng
thực công cộng mà phải dùng hệ
thống riêng
Để sử dụng chữ ký số cần phải
đăng ký chứng chỉ số và tạo khóa bí
mật lưu vào trong PKI Token với các
nhà cung cấp dịch vụ chứng thực chữ
ký số Các chương trình ứng dụng
phải hỗ trợ chức năng ký số, khi đó
việc sử dụng khá đơn giản, người ký
chỉ cần cắm thiết bị Token vào cổng USB, nhập PIN code bảo vệ Token và chọn lệnh ký số trong chương trình ứng dụng
Chữ ký số không giống chữ ký bình thường ở chỗ mỗi lần ký, người
sử dụng sẽ dùng khóa bí mật để tạo chữ ký và mỗi lần ký sẽ là một chữ ký khác nhau Dựa vào các công cụ phần mềm được cung cấp, các đối tác có thể kiểm tra chứng chỉ để xác định chữ ký Cách kiểm tra là so sánh tính đồng nhất của khóa công khai trên các chữ ký số của người gửi với khóa công khai của trung tâm chứng thực chữ ký số (Root Certification Authority - Root CA)
Hiện nay ở Việt Nam có 5 nhà cung cấp dịch vụ chứng thực chữ ký
số công cộng là VNPT/VDC, Viettel, Bkis, Nacencomm và FPT Các đơn vị này đã đưa ra thị trường đầy đủ các loại chữ ký số phục vụ kê khai thuế qua mạng, giao dịch ngân hàng, chứng khoán, hải quan điện tử, ký và
mã hóa email, văn bản đáp ứng cho các đối tượng cá nhân, tổ chức, doanh nghiệp và các trang web
Trang 10KẾT LUẬN
Hiện nay, việc áp dụng mật mã
hóa khóa công khai và dịch vụ chứng
thực điện tử để đảm bảo an toàn thông
tin trong các hoạt động giao dịch điện
tử là giải pháp được nhiều quốc gia
trên thế giới sử dụng Ở Việt Nam,
tình hình triển khai cơ sở hạ tầng khóa
công khai (PKI) và chứng thực điện tử
(CA) được đánh giá là đã đi đúng
hướng và bài bản, nhưng tiến độ vẫn
còn chậm
Thực tế ở Việt Nam việc triển
khai dịch vụ chứng thực điện tử mới
chỉ ở một số cơ quan nhà nước, cơ
quan thuộc chính phủ Còn các doanh
nghiệp cũng có sử dụng chứng thực
điện tử nhưng còn ít và đều là mua
của các tổ chức cung cấp Việc triển
khai các dịch vụ cung cấp chứng thực
điện tử yêu cầu một sự đầu tư lâu dài
và nghiêm túc mới mang lại kết quả
như mong muốn Phần khó khăn nhất
trong triển khai dịch vụ này là ở khâu
tổ chức thực hiện và thay đổi nhận
chữ ký số và dịch vụ chứng thực điện
tử cũng là một vấn đề đang được đặt
ra
Tài liệu tham khảo
1 Carlisle Adams and Steve Lloyd:
“Understanding PKI second edition: Concepts, Standards, and Deployment Considerations”
2.Website http://www.openca.org 3.Website http://www.openca.info
