Nghiên cứu ứng dụng hạ tầng cơ sở mật mã khoá công khai cho hệ thống đấu thầu qua mạng

ỨNG DỤNG HẠ TẦNG MẬT MÃ KHOÁ CÔNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG .... ĐỀ XUẤT MÔ HÌNH CUNG CẤP VÀ QUẢN LÝ CHỨNG CHỈ SỐ CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error!. MỞ ĐẦUTheo thống kê, vi

ĐẠI HỌC QUỐC GIA HÀ NỘI

MỤC LỤC

DANH MỤC CÁC HÌNH 7

BẢNG TỪ VIẾT TẮT 9

MỞ ĐẦU 11

Chương 1 TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 13

1.1 VẤN ĐỀ ĐẤU THẦU 13

1.1.1 Khái niệm chung về đấu thầu 13

1.1.2 Mục tiêu của đấu thầu 14

1.1.3 Quy trình đấu thầu 15

1.2 NHU CẦU VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 18

1.2.1 Xu hướng ứng dụng CNTT trong hoạt động của Chính phủ 18

1.2.2 Những bất cập trong đấu thầu thủ công 20

1.2.3 Thực trạng ứng dụng CNTT trong đấu thầu ở Việt Nam 21

1.2.4 Xu thế ứng dụng TMĐT trong mua sắm công trên thế giới 21

1.2.5 Giới thiệu dự án Ứng dụng TMĐT trong Mua sắm công 23

1.3 MÔ HÌNH HỆ THỐNG ĐẤU THẦU QUA MẠNG MÁY TÍNH 24

1.3.1 Mô hình mô tả mối quan hệ về mặt luật pháp 24

1.3.2 Mô hình mô tả mối quan hệ về sử dụng và liên kết đến hệ thốngError! Bookmark not defined.

1.3.3 Mô hình chức năng hệ thống đấu thầu qua mạngError! Bookmark not defined.

1.3.4 Mô hình phân lớp của hệ thống đấu thầu qua mạngError! Bookmark not defined.

1.3.5 Lộ trình triển khai hệ thống đấu thầu qua mạngError! Bookmark not defined.

Chương 2 - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI Error! Bookmark not defined 2.1 VẤN ĐỀ ĐẢM BẢO AN TOÀN THÔNG TINError! Bookmark not defined

2.2.1 Các hiểm hoạ đối với TMĐT Error! Bookmark not defined.

2.2.1.1 Đối với máy khách Error! Bookmark not defined.

2.2.1.2 Đối với kênh truyền thông Error! Bookmark not defined 2.2.1.3 Các mối hiểm hoạ đối với máy chủ Error! Bookmark not defined.

2.2 HỆ MÃ HOÁ Error! Bookmark not defined 2.2.1 Các thuật ngữ Error! Bookmark not defined 2.2.2 Định nghĩa hệ mật mã Error! Bookmark not defined 2.2.3 Những yêu cầu đối với hệ mật mã Error! Bookmark not defined 2.2.4 Mật mã đối xứng Error! Bookmark not defined 2.2.5 Mật mã khoá công khai Error! Bookmark not defined.

2.2.5.1 Các nguyên lý Error! Bookmark not defined 2.2.5.2 Các hệ mật mã khoá công khai Error! Bookmark not defined 2.2.5.3 Các ứng dụng hệ thống khoá công khaiError! Bookmark not defined 2.2.5.4 Lược đồ trao đổi khoá Diffie – HellmanError! Bookmark not defined 2.2.5.5 Lược đồ chia sẻ bí mật Error! Bookmark not defined 2.2.5.6 Một số hệ mật mã khoá công khai Error! Bookmark not defined 2.2.5.7 Vấn đề quản lý khoá Error! Bookmark not defined.

2.3 CHỮ KÝ SỐ Error! Bookmark not defined 2.3.1 Các yêu cầu Error! Bookmark not defined 2.3.2 Phân lớp các sơ đồ chữ ký số Error! Bookmark not defined.

2.3.2.1 Sơ đồ chữ ký kèm thông điệp Error! Bookmark not defined 2.3.2.2 Sơ đồ chữ ký khôi phục thông điệp Error! Bookmark not defined.

2.3.3 Một số sơ đồ chữ ký số tiêu biểu Error! Bookmark not defined.

2.3.3.1 Sơ đồ chữ ký RSA Error! Bookmark not defined 2.3.3.2 Sơ đồ chữ kí ELGAMAL Error! Bookmark not defined 2.3.3.3 Chuẩn chữ ký số DSS Error! Bookmark not defined.

2.3.4 Chữ ký số và vấn đề xác thực thông điệpError! Bookmark not defined.

2.3.5 Hàm băm Error! Bookmark not defined 2.3.6 Tấn công chữ ký số Error! Bookmark not defined 2.4 HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAIError! Bookmark not

defined

2.4.1 Các yêu cầu Error! Bookmark not defined 2.4.2 Các thành phần logic của PKI Error! Bookmark not defined 2.4.3 Các cấu trúc quan hệ của CA Error! Bookmark not defined.

2.4.3.1 Cấu trúc phân cấp tổng quát Error! Bookmark not defined 2.4.3.2 Cấu trúc phân cấp với liên kết bổ sungError! Bookmark not defined 2.4.3.3 Cấu trúc phân cấp top-down Error! Bookmark not defined 2.4.3.4 Cơ sở hạ tầng PEM Error! Bookmark not defined 2.4.3.5 Mô hình chứng thực của PGP Error! Bookmark not defined.

2.4.4 Chứng chỉ số Error! Bookmark not defined.

2.4.4.1 Giới thiệu về các chứng chỉ khoá công khaiError! Bookmark not defined 2.4.4.2 Quản lý cặp khoá công khai và khoá riêngError! Bookmark not defined 2.4.4.3 Phát hành các chứng chỉ Error! Bookmark not defined 2.4.4.4 Phân phối chứng chỉ Error! Bookmark not defined 2.4.4.5 Thu hồi chứng chỉ Error! Bookmark not defined 2.4.4.6 Chứng chỉ được ký chồng chéo nhiều lầnError! Bookmark not defined 2.4.4.7 Treo chứng chỉ Error! Bookmark not defined.

2.4.5 Chính sách chứng chỉ Error! Bookmark not defined.

2.4.5.1 Khái niệm chính sách chứng chỉ Error! Bookmark not defined 2.4.5.2 Các nội dung của một chính sách chứng chỉError! Bookmark not defined.

2.4.6 Tìm các đường dẫn chứng thực và phê chuẩnError! Bookmark not defined.

2.4.7 Giới thiệu hai mô hình PKI Error! Bookmark not defined.

2.4.7.1 Cơ sở hạ tầng SET Error! Bookmark not defined 2.4.7.2 Cơ sở hạ tầng DoD MISSI Error! Bookmark not defined.

2.5 KHUNG PHÁP LÝ CHO HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI Error! Bookmark not defined 2.5.1 Tìm hiểu Luật khung về chữ ký điện tửError! Bookmark not defined.

2.5.1.1 Mục đích của Luật khung Error! Bookmark not defined 2.5.1.2 Nội dung của Luật khung Error! Bookmark not defined.

2.5.2 Khung kháp lý cho PKI ở Việt NamError! Bookmark not defined.

2.5.2.1 Luật Giao dịch điện tử Error! Bookmark not defined 2.5.2.2 Nghị định 57/2006/NĐ-CP Error! Bookmark not defined 2.5.2.3 Nghị định 26/2007/NĐ-CP Error! Bookmark not defined 2.5.2.4 Nghị định 27/2007/NĐ-CP Error! Bookmark not defined 2.5.2.5 Nghị định 35/2007/NĐ-CP Error! Bookmark not defined.

Chương 3 ỨNG DỤNG HẠ TẦNG MẬT MÃ KHOÁ CÔNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error! Bookmark not defined 3.1 KHẢ NĂNG ĐÁP ỨNG CỦA PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error! Bookmark not defined 3.1.1 Yêu cầu bảo mật đối với đấu thầu qua mạngError! Bookmark not defined.

3.1.1.1 Yêu cầu bảo mật đối với công tác đấu thầu truyền thống Error!

Bookmark not defined.

3.1.1.2 Yêu cầu về bảo mật đối với đấu thầu qua mạngError! Bookmark not

defined.

3.1.2 PKI đáp ứng tất cả yêu cầu về an toàn thông tin khi đấu thầu qua mạng

Error! Bookmark not defined 3.1.3 Các bước mã hoá khi đấu thầu qua mạngError! Bookmark not defined.

3.2 ĐỀ XUẤT MÔ HÌNH CUNG CẤP VÀ QUẢN LÝ CHỨNG CHỈ SỐ CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error! Bookmark not defined 3.2.1 Tình hình xây dựng PKI của Việt NamError! Bookmark not defined.

3.2.1.1 Mô hình kiến trúc Error! Bookmark not defined 3.2.1.2 Tiến độ triển khai Error! Bookmark not defined 3.2.1.3 Xây dựng khung pháp lý Error! Bookmark not defined.

3.2.2 Đề xuất xây dựng CA cho hệ thống đấu thầu qua mạng Error! Bookmark not defined.

3.2.2.1 Lựa chọn mô hình Error! Bookmark not defined 3.2.2.2 Mô hình công nghệ Error! Bookmark not defined.

3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error! Bookmark not defined 3.3.1 Quản trị hệ thống CA Error! Bookmark not defined.

3.3.1.1 Quản trị chính hệ thống CA Error! Bookmark not defined.

3.4.1.2 Quản trị viên an ninh Error! Bookmark not defined 3.3.1.3 Quản trị viên Error! Bookmark not defined 3.3.1.4 Quản trị hệ thống directory Error! Bookmark not defined 3.3.1.5 Kiểm soát viên Error! Bookmark not defined.

3.3.2 Vận hành hệ thống Error! Bookmark not defined.

3.3.2.1 Qui trình cấp phát chứng chỉ mới Error! Bookmark not defined 3.3.2.2 Qui trình cập nhật chứng chỉ Error! Bookmark not defined 3.3.2.3 Qui trình hủy bỏ chứng chỉ Error! Bookmark not defined.

3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHẢO 27

DANH MỤC CÁC HÌNH

Hình 1.1 Quy trình đấu thầu tổng quát 17

Hình 1.2 Mô hình mối quan hệ về mặt pháp luật 24

Hình 1.3 Mô hình mối quan hệ về sử dụng và liên kết Error! Bookmark not defined.

Hình 1.4 Chu trình đấu thầu qua mạng điển hình Error! Bookmark not defined.

Hình 1.5 Mô hình chức năng hệ thống đấu thầu qua mạng Error! Bookmark not defined.

Hình 1.6 Mô hình phân lớp hệ thống đấu thầu qua mạng Error! Bookmark not defined.

Hình 1.7 Mô hình chi tiết hệ thống đấu thầu qua mạng Error! Bookmark not defined.

Hình 2.1 Mô hình mã hoá đối xứng Error! Bookmark not defined.

Hình 2.2 Mô hình hệ mật đối xứng Error! Bookmark not defined.

Hình 2.3 Mã hoá khoá công khai Error! Bookmark not defined.

Hình 2.4 minh hoạ quá trình mã hoá và xác thực khoá công khai Error! Bookmark not defined.

Hình 2.5 Hệ mật khoá công khai: Xác thực Error! Bookmark not defined.

Hình 2.6 Hệ mật khoá công khai: Bí mật và xác thực Error! Bookmark not defined.

Hình 2.7 Phân phối khoá công khai không kiểm soát Error! Bookmark not defined.

Hình 2.8 Công bố khoá công khai Error! Bookmark not defined.

Hình 2.9 Lược đồ phân phối khoá công khai Error! Bookmark not defined.

Hình 2.10 Sử dụng mã khoá công khai để thiết lập một khoá phiên Error! Bookmark not defined.

Hình 2.11 Phân phối khoá công khai qua các khoá bí mậtError! Bookmark not defined.

Hình 2.12 Phân lớp các sơ đồ chữ ký số Error! Bookmark not defined.

Hình 2.13 Sơ đồ chữ ký kèm thông điệp Error! Bookmark not defined.

Hình 2.14 Sơ đồ chữ ký khôi phục thông điệp Error! Bookmark not defined.

Hình 2.15 Sơ đồ chữ ký DSS Error! Bookmark not defined.

Hình 2.16 Các sử dụng cơ bản của hàm băm Error! Bookmark not defined.

Hình 2.17 Các thành phần của PKI Error! Bookmark not defined.

Hình 2.18 Cấu trúc phân cấp tổng quát Error! Bookmark not defined.

Hình 2.19 Cấu trúc phân cấp với các liên kết bổ sung Error! Bookmark not defined.

Hình 2.20 Cấu trúc phân cấp top-down Error! Bookmark not defined Hình 2.21 Cơ sở hạ tầng PEM Error! Bookmark not defined.

Hình 2.22 Danh sách các chứng chỉ bị huỷ bỏ Error! Bookmark not defined.

Hình 3.1 Mô hình cung cấp dịch vụ Time-stamp Error! Bookmark not defined.

Hình 3.2 Mô hình kiến trúc PKI áp dụng cho Việt Nam Error! Bookmark not defined.

Hình 3.3 Đề xuất mô hình CA cho hệ thống đấu thầu qua mạng Error! Bookmark not defined.

BẢNG TỪ VIẾT TẮT

12 Root CA Đơn vị chứng thực số gốc

13 Sub CA Đơn vị chứng thực số cấp dưới

bị thu hồi )

17 DSS Digital Signature Standard (Chuẩn chữ ký số)

18 DSA Digital Signature Algorithm (Giải thuật ký số)

hành chứng chỉ)

MỞ ĐẦU

Theo thống kê, việc mua sắm công của Chính phủ các nước thường chiếm khoảng từ 10% đến hơn 20% GDP, riêng đối với Việt Nam - một nước đang phát triển nên con số này thường chiếm khoảng 40% GDP, phần lớn trong đó được thực hiện dưới hình thức đấu thầu

Công nghệ thông tin trong thời gian qua đã có bước phát triển mạnh mẽ và tác động đến mọi mặt đời sống xã hội, làm thay đổi cách sống, cách làm việc của mọi cá nhân và tổ chức Điều này đã dặt ra vấn đề ứng dụng TMĐT trong việc mua sắm công, làm thay đổi phương thức đấu thầu truyền thống Nó làm cho quá trình mua sắm công trở nên công khai, minh bạch và hiệu quá Đó chính là mục đích của

Dự án “Ứng dụng TMĐT trong mua sắm công” - dự án thành phần thuộc kế

hoạch tổng thể phát triển phát triển TMĐT giai đoạn 2006-2010 đã được Thủ tướng Chính phủ phê duyệt tại Quyết định số 222/2005/QĐ-TTg ngày 27/12/2005, kết quả của Dự án là hệ thống cho phép hoạt động đấu thầu được thực qua mạng

Hệ thống đấu thầu qua mạng là một hệ thống lớn, bao gồm nhiều thành phần, trong đó thành phần không thể thiếu là hạ tầng khoá công khai Luận văn này tập trung vào việc nghiên cứu áp dụng chữ ký số, chứng thực số cho hệ thống đấu thầu qua mạng

Do đây là một dự án thực tế, vì vậy, ngoài việc nghiên cứu về mặt công nghệ, NVLV còn xem xét trên khía cạnh khung pháp lý, triển khai thực tế trong điều kiện hiện nay của Việt Nam Vào thời điểm thực hiện luận văn này, hệ thống đấu thầu qua mạng vẫn chưa được xây dựng, vì vậy giải pháp NVLV trình bày ở đây được đúc rút từ kinh nghiệm triển khai của các nước rất phát triển về đấu thầu qua mạng trên thế giới như Hàn Quốc, Anh, Canada, … và từ thực tế triển khai CA cho các hệ thống có yêu cầu tương tự về bảo mật như hệ thống ngân hàng, kho bạc Cấu trúc luận văn chia thành 3 chương:

Chương 1 - Tổng quan về đấu thầu qua mạng máy tính Phần này giới thiệu

tổng quan về hoạt động đấu thầu, về nhu cầu xây dựng hệ thống đấu thầu qua mạng máy tính và mô hình hệ thống đấu thầu qua mạng xét trên các khía cạnh pháp luật,

sử dụng, chức năng và công nghệ

Chương 2 - Tổng quan về Hạ tầng khoá công khai Phần này trình bày các

vấn đề liên quan đến đảm bảo an toàn thông tin cho TMĐT nói chung trong đó nhận diện những hiểm hoạ có thể xẩy ra đối với TMĐT và các kỹ thuật để giải quyết như hệ mật mã, chữ ký số, hàm băm, … Tiếp đó trình bày về các vấn đề liên quan đến hạ tầng khoá công khai xét trên các khía cạnh công nghệ và khung pháp

lý

Chương 3 - Ứng dụng hạ tầng khoá công khai cho hệ thống đấu thầu qua

mạng Phần này phân tích đặc thù về yêu cầu bảo mật đối với một hệ thống đấu thầu qua mạng, trên cơ sở xem xét thực tế, tiến độ xây dựng hạ tầng khoá công khai ở Việt Nam, đề xuất xây dựng hệ thống CA cho hệ thống đấu thầu qua mạng

Chương 1 TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG

1.1.1 Khái niệm chung về đấu thầu

Thuật ngữ “đấu thầu” đã xuất hiện trong xã hội từ xa xưa Theo Từ điển tiếng Việt (Viện Ngôn ngữ học xuất bản năm 1998) thì đấu thầu được giải thích là việc “đọ công khai, ai nhận làm, nhận bán với điều kiện tốt nhất thì được giao cho làm hoặc được bán hàng (một phương thức giao làm công trình hoặc mua hàng)” Như vậy bản chất của việc đấu thầu đã được xã hội thừa nhận như là một sự ganh đua (cạnh tranh) để được thực hiện một công việc, một yêu cầu nào đó

Trên thực tế đã tồn tại một số thuật ngữ về đấu thầu trong các văn bản pháp quy khác nhau Tuy nhiên, bản chất của thuật ngữ về đấu thầu xuất phát từ một thuật ngữ có xuất xứ từ tiếng Anh là “Procurement” (nghĩa là mua sắm)

Từ khi đất nước ta tiến hành công cuộc đổi mới, nền kinh tế mở cửa với thế giới thì bắt đầu xuất hiện khái niệm “đấu thầu” Theo giải thích về thuật ngữ “đấu thầu” trong Luật Đấu thầu của Việt Nam thì đó là quá trình lựa chọn nhà thầu đáp ứng các yêu cầu của BMT để thực hiện gói thầu thuộc dự án sử dụng vốn nhà nước Kết quả của sự lựa chọn là có hợp đồng được ký kết với các điều khoản quy định chi tiết trách nhiệm của hai bên Một bên là nhà thầu phải thực hiện các nhiệm

vụ như nêu trong HSMT (có thể là dịch vụ tư vấn, cung cấp hàng hoá hoặc xây lắp một công trình ), một bên là CĐT (là cơ quan chủ sở hữu vốn hoặc dùng vốn nhà nước để thực hiện dự án) có trách nhiệm giám sát, kiểm tra, nghiệm thu và thanh toán tiền Như vậy thực chất của quá trình đấu thầu ở Việt Nam đối với các dự án

sử dụng vốn nhà nước là một quá trình mua sắm - chi tiêu, sử dụng vốn của Nhà nước.

1.1.2 Mục tiêu của đấu thầu

Tất cả các hệ thống đấu thầu mua sắm công trong một nền kinh tế hiện đại đều nhằm đạt được tất cả hoặc hầu hết các mục tiêu sau đây:

a) Công khai, minh bạch

Một hệ thống công khai mang đến cơ hội công bằng cho tất cả các nhà thầu hợp lệ trong việc cạnh tranh để cung cấp hàng hóa, công trình và dịch vụ Một hệ thống minh bạch có các quy định và cơ chế rõ ràng để đảm bảo tuân thủ đúng các quy định đó

b) Kinh tế

Chỉ tiêu kinh tế được tập trung chủ yếu vào ”giá cả” nhưng cũng bao gồm các chỉ tiêu khác mà mang đến các lợi ích kinh tế đối với các chủ thể tham gia vào hợp đồng, cụ thể như sau:

 Phù hợp với mục tiêu (cụ thể là Chất lượng);

 Đáp ứng tiến độ và khả năng sẵn có của hàng hóa, dịch vụ; khả năng sẵn sàng cung cấp dịch vụ tư vấn, xây dựng công trình;

 Chi phí cả đời dự án (ví dụ chi phí vận hành, bảo dưỡng);

 Chi phí phù hợp (ví dụ vận tải và lưu kho);

 Quản lý chi phí đối với các hoạt động đấu thầu

Hầu hết các hợp đồng kinh tế không phải lúc nào cũng đồng nghĩa với giá cả rẻ nhất Giá trị tốt nhất của đồng tiền (value for money- VFM) cần đạt được các mục tiêu kinh tế và có thể được tổng hợp theo "5 Đúng” (Five rights) sau đây:

 "Đúng số lượng đối với hàng hóa, Đúng con người đối với tư vấn và xây lắp”;