Nghiên cứu thử nghiệm xây dựng và sử dụng hạ tầng cơ sở về mật mã khóa công khai cho hệ thống mạng của ngân hàng nhà nước việt nam

giám sát các hoạt động của N H TM , thực hiện chính sách tiền tệ, N IỈN N còn thực hiện vai trò đầu mối thanh toán cho toàn bộ hệ thống Ngân hàng.. giám sát các hoạt động của NHTM , thực

T R Ư Ờ N G ĐẠI HỌC C Ô N G N G H Ệ • • •

Đ À M M Ạ N H HỪNG

HẠ TẦNG CO SỞ VÈ MẬT MÃ KHÓA CÔNG KHAI CHO

LỜI CẢM ƠN

Tôi xin chân thành cảm ơn các Thầv c ỏ siá o trôna khoa C ône nuhç th ô n s tin và các cán bộ nhàn viên các phòng Đào tạo Sau đại học trườns Đại học c ỏ n e nahệ Đại học Quốc gia Hà N ội đã luôn nhiệt tình giúp đỡ và tạo diều kiện tốt nhất cho tôi tron2 suốt quá trình học tập tại trường.

X in chân thành cảm ơn các anh các chị và các bạn học viên lớp Cao học K l 1T3 - trường Đại học C ông nghệ thuộc Đại học Q uốc gia Hà N ội đã luôn độn g viên, giúp đỡ

và nhiột tình chia sẻ với tôi những kinh nghiệm học tập, công tác trona suốt khoá học Dặc biệt tôi xin bày tỏ lòng biết ơn sâu sắc đến P G S T S T rịnh N h ậ t T iến dà tận tình giúp đờ tôi hình thành, nghiên cứu và hoàn chỉnh luận văn.

Mục dù dà có nhiều cố gắng, song do sự hạn hẹp về thời gian, diều kiện nghiên cứu và trình độ, luận văn không tránh khỏi những khiếm khuyết Tôi chân thành mong nhận được sự đóng eóp V kiến của các thầy, cô giáo và đồng nạhiệp gần xa.

H à Nội, tháng 11 năm 2 0 0 8

N gư ờ i th ự c hiện lu ận văn

Đ àm M ạnh H ùn g

Mực LỤC

LỜI CAM Đ O A N i

LỜI CẢM Ơ N ii

MỤC L Ụ C iii

DANH MỤC BẢNG B I É U viii

DANH MỤC CÁC KÝ HI ỆU ix

MỞ Đ Ầ U 1

Chương 1 VÁN ĐÈ BẢO ĐẢM AN TOÀN T H ÔN G TIN TRONG HỆ THÓNG N H N N 3

1.1 HIỆN TRẠNG VẤN ĐÈ BÀO ĐAM ATTT TRONG N H N N 3

1.1.1 Các hệ thống thông tin của N H N N 3

1.1.2 M ạ n s truyền thôna của N H N N 5

1.1.3 Hiện trạng vấn đề bảo đảm A TTT trons hệ thống N H N N 9

1.1.4 Yêu cầu tăng cường bảo đảm A T TT trong hệ thống N H N N 10

1.2 H Ệ T H Ó N G T H A N H T O Á N Đ IỆ N T Ừ L IÊ N N G Â N H À N G (IB P S ) 1 I 1.2.1 Mục tiêu của hệ thống IB P S 11

1.2.2 Chức năng chính của hệ thống 1B P S ! 1

1.2.3 Mô hỉnh nghiệp vụ chune của hệ thống IB P S 12

1.2.4 Các dịch vụ của hệ thống I B P S 15

1 ) Thanh toán giá trị cao (H V ) 16

2) Thanh toán giá trị thấp ( L V ) 17

1.2.5 Cấu trúc phần mềm cua hệ thong IB P S 18

ỉ 2.6 Hiện trạng an ninh hệ thống I B P S 20

Chương 2 MỘT SÓ KỸ THUẬT MẬT M Ã 22

2.1 K Ỹ T H U Ậ T M Ã H Ó A 22

2.1 1 Khái niệm mã h ó a 22

2.1.2 Hệ mã hóa khóa đối x ứ n g 24

2.1.3 Mã hóa khóa công khai 26

2.1 4 Kỹ thuật mã hóa m ột chiều (thuật toán b ă m ) 30

2.3 C H Ử N G C H Í S Ố 36

2.3 1 Khái niệm chứ na chỉ s ố 36

2.3.2 Phân loại chứng chỉ s ố 38

2 3 3 Mục đích và ỷ nghĩa của ch ứ n e chỉ s ố 39

1 ) Xác thực băna chứng chỉ s ố 39

2) Phân phối khoá an t o à n 4 0 2.3 4 Thu hồi c h ứ n s chỉ s ố 41

1 ) Lý do thu hồi chứng c h ỉ 41

2) Danh sách thu hồi chứne c h ỉ 41

3) Phân loại danh sách thu hồi chứ ns c h ỉ 42

4) Cập nhật danh sách thu hồi chứ ng c h i 42

5) Quảng bá CRL 43

Chương 3 HẠ TÀNG c o SỎ VÊ MẬT MÃ KHÓA CÔNG KHAI ( P K I ) 45

3.1 T Ổ N G Q U A N V Ề P K i 45

3.1.1 Khái niệm P K I 45

3.1.2 Các dịch vụ và phạm vi ứng dụng của P K I 45

3.1.3 Các thành phần của P K I 46

3 i 4 Các chức năng của P K I 47

1) Quản lý k h ó a 47

2) Ọuản lý chứng c h ỉ 49

3) Ọuản lý thời g i a n 50

4) Giao tiếp giữa các P K I 50

3.2 C Á C C Ô N G C Ụ V À P H Ư Ơ N G T IỆ N C H Í N H 51

3.2.1 C ông cụ mã h ó a 51

1 ) Khái niệm hệ mã hóa R S A 51

2) Đ ộ an toàn của hệ mã hóa R S A 53

3) Một sổ tính chất của hệ mã hóa R S A 54

4) U n s dụng của hệ mã hóa R S A 54

3.2.2 C ông cụ ký s ố 55

1 ) Thuật toán sinh khóa của sơ đồ chữ ký R S A 55

3) Một sổ tính chất của sư đồ chừ ký R S A 56

4) Ú n g dụns của sơ đồ chừ ký R S A 56

3.3 HỆ THỐNG CUNG CẤP VÀ QUAN LÝ CHỬNG C H Ỉ 57

3 3 1 N hà phát hành c h ứ n s chỉ (Certification Authority - C A ) 57

3.3 2 Cơ quan đăng ký chim e chi (Registration Authority - R A ) 59

3 3 3 Kho chứa c h ứ n s c h i 60

3 3 4 Các m ô hình triên khai hệ th ô n s C A 61

1 ) Kiến trúc phân c ấ p 61

2) Kiến trúc m ạ n e l ư ớ i 63

3) Kiên trúc cầu liên k ế t 65

3.4 TÌ NH HÌNH S Ừ DỤNCi P K I 67

Chương 4 PHÂN TÍCH, THIÉT KÉ PKI CHO N H N N 69

4.1 P H Â N T ÍC H H Ệ T H Ố N G 69

4 1 1 Phân tích yêu càu hệ thống P K 1 69

1 ) Y êu cầu ch u n g 69

2) Y ê u cầu kỹ thuật c ơ b ả n 69

3) Nhiệm vụ của P K I 70

4) Y êu cầu về Directory L D A P 70

5) Y êu cầu về quản lý khóa và chứng chỉ s ố 71

6) Y êu cầu về sao lưu, dự p h ò n g 71

7) Y êu cầu về hỗ trợ ứng d ụ n g 71

4 1 2 Phân tích yêu cầu hệ thống C A 72

1) Y êu cầu vê m ô hình kết n ố i 72

2) Yêu cầu về quản t r ị 72

3) Phân tích lựa chọn mô hình C A 73

4.2 T H IẾ T K É H Ệ T H Ố N G C A 76

4.2 1 Mô hình vật lý của hệ thống C A 76

4.2 2 Các thành phần của SB V C A 79

4 2 3 Mô hình quan trị hộ t h ố n e H3

1 ) N s ư ờ i chủ hệ thốn 2 (M aster U s e r ) 84

2) N&ưòi quản trị an ninh th ô n s tin (Security O f f i c e r ) 85

3) Ọuan trị viên (A dm inistrator) 85

4) Người quản trị hệ thống thư mục (Directory A dm inistrator) 86

5) Kiêm soát viên (A u d ito r ) 86

4 2 4 Một số quy trình c ơ bản của S B V _ C A 87

1 ) Quy trình tạo chứng chi số cho R o o tC A 87

2) Q uy trình cấp ch ứ n g chỉ sô ch o S u b C A 88

3) Q u y trình cấp ch ứ n a chi số ch o người sử d ụ n » 89

4) Thu hồi ch ứ n g chỉ s ố 91

5) Tạm dừng chứnu chi s ố 92

6) Gia hạn chứng chỉ s ố 93

7) Khôi phục chứng chỉ s ố 94

8) Thay đối cặp k h ó a 95

Chương 5 ĐẺ XƯÁT GIẢI PHÁP VÀ THỦ NGHIỆM TÍCH HỌP SBV CA VỚI IBPS 96

5.1 C Á C BIỆN PIỈÁP BẢO Đ ẢM A T TT TR O N G I B P S 97

5.1.1 Biện pháp xác t h ự c 97

5.1.2 Biện pháp bảo m ậ t 103

5.1.3 Biện pháp bảo to à n 104

5.2 G IA I P H Á P T ÍC H HỢP S B V C A V Ớ I IB P S 105

5 2 1 Quan hệ giữa S B V CA với IB P S 105

5.2.2 Ket nối, khởi tạo phiên làm việc giữa CÎ và PPC 107

5.2.3 Đ ồng bộ chứng chỉ số tại PPC 108

1) M ô hình c h u n g 108

2) Đ ồn g bộ chứng chỉ số đầu n g à y 109

3) Cập nhật danh sách chứng chỉ số bị thu hồi (C R L ) 1 11 4 ) Đ ồn g bộ chứna chỉ số mới trong n e à y 1 13 5) Danh sách các trường tạo và kiểm tra H M A C 1 14 5.2.4 Q uy trình ký và xác thực tin điện đối với CI sử dụna chứ ng chỉ s ố 115

1 ) Ký trên tin điện gửi đ i 115

2) X á c thực tin điện đ ế n 1 17 5.2.5 Q u y trình xác thực tin điện tại P P C 1 19 5.3 T H Ú ' N G H I Ệ M TÍ CH HỢP SBV CA VÓI I B P S 121

5.3.1 Bộ côn g cụ phục vụ SB V CA thử n g h iệ m 121

5.3.2 Cài đặt thừ nghiệm SB V C A 123

ỉ ) Cấu hình phần c ứ n a 123

2) Cài đặt phần m ềm 124

5.3.3 Thử nghiệm tích h ợ p 126

1 ) N hừ n ẹ hạn chế trona việc thử n g h iệm 126

2) Chuân bị m ôi trư ờ n g 127

3) N âng cấp ứng dụng IB P S 133

4) Q uy trình thực h iệ n 134

5) Khôi phục lại hệ th ố n g 135

5.3.4 Ket quả thu được của quá trình tích h ợ p 136

KÉT L U Ậ N 137

TÀI LIỆU THAM K H ẢO 138

DANH M Ụ C BẢNG BIÉU

Hình 1 Mô hình m ạne cua N H N N

Hình 2 Mô hình nghiệp vụ, tổ chúc cua hệ thống IBPS

Hình 3 Sơ đồ xử lý lệnh thanh toán giá trị cao

Hình 4 Mô hình xử lý giá trị thấp

Hình 5 Cấu trúc phần m ềm hệ thống IB PS

Hình 6 Mô hình mã hóa khóa đổi xứne

Hình 7 Mô hình mã hóa khóa côn ẹ khai

Hình 8 Sơ đồ m ô tả phương thức mã hóa một chiều

Hình 10 Sơ đồ xác thực chù' ký

Hình 11 Mô hình chứng chi số

Hình 12 Các ứng dụng dựa trên hệ thons PKI

Hình 13 Mô hình kiến trúc phân cấp

Hình 14 Mô hình kiến trúc m ạng lưới

Hình 15 Mô hình kiến trúc cầu liên kết

Hình 16 Mô hình CA tổng quát cho N H N N

Hình 17 Mô hình vật lý của hệ thống CA

Hình 18 Mô hình quản trị của S B V CA

Hình 19 So đồ kết nối mạne, truyền thôn a

Hình 20 Sơ đồ xác nhận tin điện đi

Hình 21 Sơ đồ m ô tả phương thức phân phối mã xác thực AAC Hình 22 Quy trình tạo và kiểm tra E -Sign trong IB PS

Hình 23 Luồng xử lý tin điện giao dịch giữa CI và PPC

Hình 24 Mô hình kết nối và khởi tạo phiên làm việc tại CI Hình 25 Mô hình chung đ ồn e bộ chứng chỉ số tại PPC

Hình 26 Ọuy trình đồng bộ chửng chỉ số đầu nsày

Hình 27 Quy trình cập nhật CRL

Hình 28 Quy trình đône bộ ch ứ n s chỉ số mới trone neày

Hình 29 Quy trình ký và gửi tin điện

Hình 30 Quy trình xác thực tin điện đến

Hình 31 Quy trình xác thực tin điện tại PCP

DANH MỤ C CÁC KÝ HIỆU

PPC Province Payment Center

Q T D N D Ọuĩ till dụng Nhân dân

M Ỏ ĐẦU

Sau nhữns năm đôi mới và hội nhập, đất nước ta đà đạt được những thành tựu và

nh ữ ns khởi săc nhât định tro na công cuộc phát triên kinh tê Cùng với sự phát íriên chun g đó neành N gân hàna luôn thể hiện vai trò của mình là ngành huyết mạch cho nền kinh tế có vai trò quyết định đến sự ôn định, phát triển và sự phồn vinh của nền kinh tế dất nước.

Sự bùng nô của công nghệ thông tin trone những thập kỷ qua đã tác động mạnh

m ẽ đến mọi lĩnh vực của nền kinh tế và đặc biệt đã tạo ra những biến đổi rất lớn trong lĩnh vực ngân hàng Các hoạt động nehiệp vụ của neành ngân hàng từ chồ chủ yểu được thực hiện bane tay, với số lượng rất lớn các loại giấy tờ như chứng từ bảng kê, phiếu th u thì nay đa sổ đã được thực hiện trên máy tính V iệc các hệ thống thông tin lớn ra đời, đặc biệt là các hệ thong thanh toán điện tử có vai trò vô cùng to lớn trong

v iệ c thúc dây lưu thông tiền tệ, giúp cho việc lưu chuyến tiền tệ giừa các ngân hàng trong cả nước diễn ra nhanh chóng và dễ dàng, nâng cao hiệu quả sử dụng vốn cua các ngân hàng, từ đó góp phần thúc đấy sự phát triên chung của đất nước.

Trong hệ thống Ngân hàng cua nước ta, Naàn hàng Nhà nước Việt Nam (N H N N )

là ngân hàng có vị trí và vai trò chủ đạo N goài các chức năng như quản lý giám sát các hoạt động của N H TM , thực hiện chính sách tiền tệ, N IỈN N còn thực hiện vai trò đầu mối thanh toán cho toàn bộ hệ thống Ngân hàng D e thực hiện các chức năng đó hiện nay có rất nhiều hệ th on s thône till lớn đang hoạt động tại N H N N Tron li đó hệ thống thanh toán điện tử liên ngân hàng được coi là hệ thống thanh toán cốt lõi của toàn bộ hệ thốna ngân hàng Việt Nam , đâ góp phàn khône nhỏ vào việc thúc đây nền kinh tế V iệt Nam phát triển.

Tuy nhiên trong thực tế, ngoài những lợi ích to lớn mà các hệ thống thông tin dỏ

đã mang lại thì vần tồn tại một sổ vấn đề đán2 quan tâm như: việc giả mạo Irons các giao dịch điện tử làm sai lệch thôns tin để ăn cap tiền hoặc xâm phạm an ninh quốc

g ia

Mức độ thiệt hại do những truv nhập hav tan côn e trái phép eây ra có thê lên tới nhiều tỉ đồng và có thê ảnh hưởng tới hoạt động của nhiều ngân hàng hay thậm chí làm rối loạn thị trườne tiền tệ V iệt Nam Bất cứ một đổ vỡ nào của hệ thống cũng ảnh hưởng khôn lườna đến uy tín hay nền kinh tế đất nước.

Luận văn này tập trung vào nghiên cứu các thành phần của một C ơ sơ hạ tâna về

m ậ t mã khóa cô n g khai (Public K ey Infrastructure - PKI), từ đó đưa ra siai pháp và

c ô n g nghệ đe xây d ự n e một PKI nhăm đảm hảo an ninh, an toàn cho các hoạt độn a

n g h iệ p vụ của N H N N

Phương pháp nghiên cứu chính của luận văn là tìm hiểu các bài báo khoa học các

m ô hình triển khai PKI cho các hệ thống lớn trên thế giới, tìm hiếu về mỏ hình và thực trạng về an ninh, an toàn thông tin tại N H N N , để từ đó đưa ra aiải pháp phù hợp.

N ội dung của luận văn 2 ồm có phần m ở đầu, năm chư ơng và phần kết luận:

C h ư ơ n g 1: v ấ n đề bảo đảm an toàn thông tin trong hệ thốn 2 N H N N

Giới thiệu về m ô hình tô chức của Ngân hàna Nhà nước Việt Nam, các hệ thốne

th ôn e tin đang hoạt động, thực trạng về an toàn thông tin và giới thiệu về Hệ thống

thanh toán điện tử liên ngân hàng ( I B P S ) - hệ thống thanh toán cốt lõi trong lĩnh vực ngân hàng của V iệt Nam

C h u o n g 2: Một số kỹ thuật mật mà

Trình bày về kỹ thuật mã hóa, hàm băm, chữ ký số, chứng chỉ số.

C h ư ơ n g 3: Hạ ta n s c ơ sở v ề mật mã khóa c ô n g khai (PK.I)

Giới thiệu tông quan về PKI, các chức năng của PKI, hệ thốna cung cấp và quan lý chứng chí và tình hình sử dụng PK.1 trên thế giới và ở V iệt Nam.

C hiroìig 4: Phân tích, thiết kế PKI cho NI INN

Phân tích yêu cầu hệ thống PKI, phân tích yêu cầu hệ thống CA từ đỏ thiết kế hệ thống CA cho N H N N (S B V CA).

C h ư ơ n g 5: Đ e xuất giải pháp và thử nghiệm tích hợp S B V C A với IBPS.

Phân tích các biện pháp bảo đảm an toàn thông tin đans sử dụng trons hệ thốne IBPS, từ đó đưa ra giải pháp tích hợp SB V CA với IBPS và thử nghiệm tích hợp

S B V CA với IBPS.

Chương / V Ấ N Đ È B Ả O Đ Ả IM AN T O À N T H Ô N G TIN

T R O N G HỆ T H Ố N G N H N N

Chương 1 sẽ đưa ra nhũ'112 lý luận, chứna minh những căn neuvên và đưa ra nhữns lập luận khoa học cho mục đích cua đê tài Qua chương này chúns ta sè hiêu được mô hình tổ chức Hệ thốne, Ngân hàng cua V iệt Nam hiếu được thực trạns các

H ệ thống thông tin và mức độ an ninh, an toàn của các hệ thống đó tại NH NN.

Dặc biệt, chúng ta sẽ tìm hiểu về Hệ thống Thanh toán diện tử liên ngân hàng (1BPS), hệ thống thanh toán cốt lõi của hệ thốna Ntiân hàng V iệt Nam phân tích nhừns nhược diêm về an ninh, an toàn của hệ thống này Từ dó chúne ta sẽ thấy được yêu cầu cấp bách mà đề tài cần giải quyết, cũnu như thấy dược sự thuyết phục khoa học mà đề tài sẽ đáp ứng.

1 1 H I Ệ N T R Ạ N G V Á N Đ È B Ả O Đ Á M A T T T T R O N G N H N N

1.1.1 Các hệ thống thông tin của N H N N

Ngân hàng Nhà nước V iệt Nam, ngoài các nghiệp vụ như quản lý giám sát các hoạt động của NHTM , thực hiện chính sách tiền tệ N gân hàng, còn thực hiện vai trò đâu mối thanh toán cho toàn bộ hệ thống Ngân hàng Các hệ thống thòna tin (HTTT) của N H N N cũng nhằm đáp ứng các nghiệp vụ này Hiện nay, tại N H N N có một số hệ thống thông tin lớn đang hoạt động:

C á c H T T T c u ng cấp ứ n g d ụ n g, dịch vụ cho nội bộ N H N N :

• Hệ thống kế toán giao dịch (hỗ trợ nghiệp vụ kê toan cho toàn bộ hệ thống

N H N N ).

• Hệ thống chuyển tiền điện tử (thanh toán nội bộ N H N N ).

• Hệ thông quản lý các eiấy tờ có giá, tín p h iế u ,

• Hệ thống báo cáo thống kê (thốne kê báo cáo từ tất cả các chi nhánh N H N N tinh, thành phổ).

Cá c H T T T c u n g c ấp ứng dụ ng , dịch vụ giữa N H N N và các T C T D :

Chuyên cac khoan thanh toan liên ngân hang gi a cac chi nhanh hoăc hỏi s chinh cua cac TCTD; bu tr cac khoan thanh toan gia tri thâp; thực hiện nghĩa vụ thanh toán trực tuyến (online) giá trị cao và kết quả bù trừ giữa các thành viên tham gia thông qua các tài khoan quyết toán được mở tại N H N N ; xử lý kết qua thanh toán bù trừ giấy; giao diện với hệ thống chuyền tiền điện tư hiện tại của N H N N (EIS-G).

• Hệ t h o n g ngh iệp vụ thị trư ờng mớ đau thau tín p h i ế u kho bạc:

Th c hiên cac nghiêp vu liên quan đên mua ban nh ng giây t co gia ngăn han như tin phiêu kho bac, ch ng chi tiên g i, tin phiêu Ngân hang Nha n c va cac giây

t co gia ngăn han khac Thông qua đo NH TW tac dông tr c tiêp đên nguôn vôn kha dung cua cac TC TD , t đo điêu tiêt 1 ng cung ng tiên tê va tac đông gian tiêp đên lai suât thi tr ng.

T ông h p bao cao t cac TCTD theo cac nhom chi tiêu va kiêt xuât ra cac bao cao cho cac Vu, Cue liên quan cua N H N N nhăm hô tr hoach đinh chinh sach va điêu tiêt thi tr ng tiên tê.

Hồ trợ nghiệp vụ thanh toán tronc địa bàn tỉnh, thành phố N H N N chi nhanh tinh, thanh phô đong vai tro la ngân hang chu tri, th c hiên bu tr cho cac ngân hang thanh viên co tai khoan tai N H N N (cac ngân hang, TCTD trong dia ban).

Cac hê thông thông tin trên la cac hê thông 1 n va quan trong nhât, phuc vu cho

N H N N th c hiên cac ch c năng, nhiêm vu cua minh đông th i co vai tro to 1 n trong

v iêc thuc đây iưu thông tiên tê, giup cho viêc lưu chuyên tiên tê gi a cac ngân hang trong ca n c diên ra nhanh chong va dê ç~¥ig.

Trong các hệ thống thông tin tại N H N N kê trên, hệ thons thanh toán điện tử liên ngân hàng (IBPS) được coi là hệ thống xương sốna,, có quy mô và vai trò lớn nhât dã góp phần không nhỏ vào việc thúc đấy nền kinh tế V iệt Nam phát triển.

C ùng với tốc độ phát triển kinh tế của đất nước, các hệ thống thône tin tại N H N N dana naày càna được hoàn thiện, phát triển và mở rộna Một vấn đề được đặt ra là:

L iệu việc trao đ ỗ i th ô n g tin trẽn các h ệ th ố n g đỏ có đ ư ợ c an toàn h a y k h ô n g ? Vì

vậy vấn đồ bảo đam an ninh, an toàn cho các hệ thốnR thôna tin đó cần được xem xét đầy đủ và kỹ lưỡna về mọi mặt.

Hiện nay, hệ thônu tin học cua N H N N đã dược kết nổi m ạng trên phạm vi cả nước, hầu hết các n ghiệp vụ neân hàng đã được tin học hoá và hoạt đ ộ n e trên mạna các đ ư ờ n e kết nối m a n s giữa N H N N với các N H T M và các tổ chức khác c ù n s đã được triển khai (do nhu câu cấp thiết phai thực hiện đê phục vụ che) hoạt động thanh toán trên toàn quốc của các N H T M và c ô n g tác quan lý của N H N N ) H ệ th ố n s m ạng

N H N N đã được m ở rộng về qui m ô thuận tiện cho v iệ c kết nối và truy cập tạo môi trườn 2 thuận lợi cho cá c dịch vụ neân hàng ứng dụna c ô n g nghệ thông tin phát triên.1.1.2 Mạng truyền thông cüa NH NN

Switch Dial-up\

I l i l 18 Uial-up\

u u II Æ

2620

Chi nhanh NHNN Tinh

^ f Jac cFnnhânh W h u yén7~j

NH ngoài quôc (fcanh cua Oial-up

G &' s 0 ^ »,

điện thoại

nội tình

ISwitch Dial-upV

M

mm lipF

2620

Chi nhjnh NHNNTinh

- Cac chi nhantfMTHuyen ' '

NH ngoái quóc Cnanh cùa Dial-Up

Network

\

Dial up

Private line

• Trung tâm d ữ liệu d ự p h ò n g :

Đặt tại Sơn Tây là trung tâm lưu trừ dữ liệu backup cho dừ liệu tại Cục CNTH.

• 06 PPC:

Là các trung tâm thanh toán tỉnh của hệ thống IBPS, đặt tại 5 tỉnh/thànlì phố: Hà

N ội (02 PPC: OC-PPC, H A N -PPC ), Hải Phòng (HPH-PPC) Đà Nằng (D N A -P P C ), Cần Thơ (CTH-PPC), TP Hồ Chí Minh (HCM C-PPC) PPC dóng vai trò là đầu mối thanh toán cho tỉnh thành trọng điếm kinh tế N hiệm vụ của trung tâm là tạo cong kếl nối cho các chi nhánh NH TM , N H N N ở tỉnh kết nối với hệ thống IBPS, thực hiện bù trừ các giao dịch giá trị thấp trong nội tỉnh và chuyến tiếp các giao dịch giá trị cao lên

T hi ết bị mạ n g - t ruy ề n thông:

• Router: ch o kết nối TCP/IP.

• Giừa NHTW và Cục CNTH được kêt nối bằng cả đườníi cáp quan<2 và d i r o n s

Leased Line.

• Giữa NPSC và PPC được kết nối bằng 2 đườns X 25 Leased Line.

• Giữa Cục CNTII và Trung tâm dừ liệu dự phòng, Cục C N T H - các Chi nhánh Cục CNTH - Chi Cục CNTH được kết nối bans đường Leased Line.

• Kết nối giữa các N H , TCTD với các PPC, các Chi nhánh là dial-up qua PSTN, hoặc đườne leased line.

• N H N N đưa ra chính sách, qui trình vận hành đối với các hệ th ố n e th ô n s tin.

• Cấp cho người dùng tên truy cập và mật khẩu đê cho phép, từ chối hoặc hạn chế truy cập vào các chương trình ứng dụng.

• Phân quyền sử dụne chức năns sử dụns quyền tạo lập kiêm duyệt thông tin aiao dịch, thực hiện lưu dừ liệu dự phòng cho hộ thốne.

• Kêt nối giữa NPSC và PPC là sử dụng đường truyền thuê bao kênh riêng.

• Xây đ ự n s một hệ thống các bức tườne lửa (Firewall) để neăn cách siừa các đối tượng.

• Sử dụng phương pháp mã hóa khóa đối xứng để mã hóa dữ liệu được aửi đi trên đườne truyên (trong hệ thống IBPS).

• Sử dụns chữ ký điện tử trong một vài chương trình ứng dụna (Bù trừ điện tử

N ghiệp vụ Thị trường mở)

• Một số biện pháp bảo mật bằng phần cứng và hệ điều hành k h á c,

Nhừna cơ chế đảm bảo an ninh an toàn thông tin nêu trên hiện đana được sử dụng

m ột cách đơn lẻ ở các chương trình ứ ns dụns khác nhau V iệc mới chỉ sử dụng các phương pháp mã hóa đối xứng là chưa đủ v ấ n đề xác thực hay chổng chối bỏ chưa được đảm bảo, việc giả mạo dễ xảy ra Hiện chưa có sự kết hợp chặt chẽ giữa các biện pháp nêu trên để tạo ra các hệ thống thông tin an toàn (ví dụ như kết hợp giữa sử dụng chữ ký số và mã hóa, thay vì chỉ sử dụne, đơn lẻ chúng ở các ứng dụng khác

n h a u )

Vân đề cấp thiết được đưa ra là cần thực hiện một số biện pháp đê đảm hao an ninh, an toàn của hệ thống hơn nữa Ọua đó sẽ làm cho các hoạt độna nghiệp vụ ứng dụng còng nehệ thông tin của N H N N nói riêng và ngành Ngân hàng cua Việt Nam nói chung được an toàn, lành mạnh và ngày càng phát triến.

1.1.4 Yêu cầu tăng c u ò n g bảo đảm A T T T trong hệ thống N H N N

Ọua việc tìm hiêu thực trạng vấn đề bao đảm an toàn thông tin tại N H N N ta thấv: hiện nay so n e sona với sự phát triên ngày càng nhanh của các hệ th ôn s thôn a tin tại

N H N N , hệ thốne, cũng ton tại rất nhiều rủi ro về an toàn thông tin Các phươne pháp đảm bao an toàn thông tin hiện đang được sử dụns (m ã hóa, firew all, kiểm soát truy nhập) chưa đem đến một cơ chế bảo vệ thông tin đồng bộ chưa đáp ứne được yêu cầu ngày càng cao của các hệ thống thông tin tại N IỈN N

V ới các hệ thống thông tin đã nêu, bất cứ một truy nhập trái phép nào cũng đều gây nguy hiêm cho hệ thống như: tạo ra các aiao dịch giả m ạo làm sai lệch thông tin

đê ăn cắp tiền hoặc xâm phạm an ninh quốc g ia M ức độ thiệt hại do nhữnẹ truy nhập hay tấn công trái phép gây ra có thể lên tới nhiều tỉ đồng và có thể ảnh hưởne tới hoạt độn il của nhiều ngân hàng hay thậm chí làm rối loạn thị trườna tiền tệ Việt Nam Bất cứ một đố vỡ nào cua hệ thong cùng ảnh hưởne khôn lườna đen uy tín hay nền kinh tê đât nước D o đó đảm báo an ninh, an toàn cho hệ th o n s thông tin ngân hàng là yêu câu rất cấp bách.

Hiện nay, các NHTM và rất nhiều doanh nghiệp ngoài ngành đã xây dựng chính sách vẽ an toàn thông tin, triển khai các hệ thống bảo đảm an ninh an toàn để bao vệ

hệ thống công nghệ thông tin (C N TT) của họ.

Dê ngăn chặn, phòng ngừa các rủi ro và hiểm hoạ tiềm ân trong các hoạt dộng ngân hàng ứng dụng CNTT, đảm bảo an toàn hệ thống thông tin của N ÍIN N , thì cần có giải pháp an ninh hệ thống, xây dựng chính sách an toàn, bảo mật phù hợp với m ô hình

tổ chức và hạ tầng sẵn có, triển khai với quy trình khoa học và phù hợp nham tạo ra hệ thống an ninh, an toàn hiện đại cho N H N N đây là côn g việc cấp thiết cần sớm thực hiện.

V ới vai írò là hệ thống xương sống, có quv m ô và vai trò lớn nhất tronc các hệ thons, thông tin tại N H N N là hệ thốne thanh toán cốt lõi của hệ thống ngân hàng V iệt Nam , cũng là hệ thons có sự trao đôi thông tin nhiều nhất với các đơn vị ngoài N H N N

và luôn tiềm ân rất nhiều rủi ro, hệ thống IBPS chính là hệ thong cần phải được tập trung trước tiên trong việc xây dựns giải pháp đảm bảo an ninh, an toàn thông tin Phan tiếp theo sẽ mô tả tổng quan về hệ thống IBPS Qua đó chúng ta sẽ hiểu sâu hơn vê hoạt động thanh toán của N H N N cũne là hoạt động đặc trưng và chu yếu của toàn bộ hệ thống Ngân hàng nói chung.

1.2 HỆ T H Ó N G T H A N H T O Á N Đ I Ệ N T Ử LIÊN N G Â N H À N G (IBPS)

1 2 1 M ụ c tiê u c ủ a h ệ t h ố n g IB P S

Hệ th on s IBPS có nhữne mục tiêu chính sau:

• Cìiúp N H N N kiểm soát tốt hơn các khoan thanh toán, thông qua việc quan lý tập trung về số dư tài khoản quyết toán của các TCTD.

• Giúp các TCTD tăng cường, von khả dụng, thông qua việc tập truns hoá tài khoản.

• l ăng tốc độ lưu chuyền tiền tệ giảm lượng tiền trôi nôi, nâng cao hiệu quả sử dụna các nguồn vốn của TCTD.

• Bảo đảm hệ th ốn e Q u y ế t toán và Bù trừ c ó độ tin cậy cao an toàn và nhanh ch ón g.

• Cải tiến việc quản lý các chính sách tiền tệ của N H N N , nhờ có các thôn2 tin kịp thời và chính xác về các luồne chu chuyển vốn và các số dư tài khoản của các TCTD.

Với 5 mục tiêu trén, 1BPS trở thành một hệ thống xương sống cho các hoạt độna thanh toán của V iệt Nam N ó có tác dụne tích cực đến sự phát triển của nền kinh kế

V iệt Nam.

1.2.2 C h ứ c năng chính của hệ thống IBPS

Hệ thống IBPS có các chức năng chính sau:

• Chuyên các khoản thanh toán liên ngân hàng (giá trị cao và giá trị thấp) giữa các chi nhánh hoặc hội sở chính của các TCTD.

• Bù trừ các khoản thanh toán giá trị thấp.

• Thực hiện nghĩa vụ thanh toán trực tuyến (o n -lin e) giá trị cao, và kết quả bù trừ giữa các thành viên tham gia thông qua các tài khoản quyết toán được mở tại

N H N N

• Xử lý kết quả thanh toán bù trừ giấy.

• Giao diện với hệ thống chuyến tiền điện tử hiện tại cua N H N N (EIS-G).

1.2.3 Mô hình nghiệp vụ chun g cua hệ thống IBPS

Hệ thống IBPS có phạm vi triển khai trên ca nước với 1 trung tâm thanh toán (TTTT) cấp quốc aia, 1 trung tâm giao dịch o c 5 TTTT cấp tỉnh (PPC ), 1 trung tâm

dừ liệu dự phòng và hơn 400 đơn vị ngân hàng thành viên (C ỉ).

• ỉ trung tám thanh toán q u ố c g ia N PSC đ ặ t tại Cục C N T H :

NPSC thực hiện các hoạt động hàng ngày (khởi tạo đầu neày, kết thúc tieày giao

d ịc h ), kiếm soát trạng thái của các bộ phận (PPC CI truyền thôna ) quản lý và cấp phát các loại mã (mã CI, mã naưới d ù n g ).

N g o à i các ch ứ c n ă n e ch u n g đó ra, N P S C c ó vai trò trung tâm trong v iệ c XU' lí các giao dịch tức thời, bù trừ các giao dịch giá trị thâp liên tinh giữa các N gân hàng, xử lý giao dịch giá trị cao xử lý tài khoản quyết toán (S A P S ), giao diện với Sở G iao dịch

N H N N (trao đối thông tin về số dư và hạn mức), giao diện với hệ thốna chuyền tiền điện tử và thực hiện quyết toán cuối ngày.

Vai trò của trung tâm thanh toán quốc aia N PSC là vận hành, kiếm soát, điều khiển toàn bộ hệ thống thanh toán IBPS.

• 1 trung tâm d ữ liệu d ự p h ò n g B N PSC đ ặ t tạ i Sơn Tày:

BN PSC được thiết kế như NPSC và kết nối trực tuyến với N PSC bàng đường truyền tốc độ cao, đê đảm bảo trung tâm dự phòng có đầy đủ dữ liệu Ihay thế trung tâm chính, khi có sự cố xảy ra với truníì tâm chính.

• 5 trung tâm thanh toán tinh PPC đặt tại 5 thành p h ổ trọng điêm kinh tê là Hà nội,

Hài Phòng, Đà nang, Can thơ , Hồ Chí Minh:

Các PPC đóng vai trò là đầu mối thanh toán cho tỉnh thành trọng điểm kinh tế.

N hiệm vụ của trung tâm là tạo cổng kết nối cho các chi nhánh N IỈTM Ngân hàng nhà nước ở tỉnh kết nổi với hệ thống thanh toán, thực hiện kiểm soát tính hợp lệ của các giao dịch đi và đến, bù trừ các giao dịch giá trị thấp trona nội tỉnh và chuyên tiếp các giao dịch aiá trị cao lên trung tâm thanh toán quốc RÌa đế xử lí và hạch toán tức thời vào tài khoản duy nhất của mỗi Ne,ân hàng m ở tại Sở giao địch.

Cuối ngày, PPC tiến hành quyết toán nội tỉnh và tạo dữ liệu đối chiểu cho các chi nhánh và hội sở chính của TCTD Các PPC được kết nối on-line tới N PSC Hiện nay, các PPC đang được nâng cấp đế trở thành trung tâm thanh toán khu vực (đầu mối thanh toán cho nhiều tỉnh thành) thay vì chỉ cho một tính thành.

• / trung tâm giao dịch OC-PPC lò Sớ giao dịch của N H N N đặt tại 49 Lý Thái Tô.

Hà nội:

OC-PPC đón a vai trò là 1 trung tâm trong việc quan lí các tài khoan duy nhất cua các Ngàn hàng, cấp phát, bô xunẹ vốn và hạn mức thanh toán cua các Noân hàng trong

hệ th ons thanh toán OC-PPC quản lý và hạch toán thấu chi trons thanh toán, làm đầu

m ối cho hệ thống thanh toán kẻt nối với các hệ thốim thanh toán khác tồn tại trong hệ thống N gân hàng như hệ th on s kế toán ojao dịch, chuyến tiền điện tử

o c cũ ne có vai trò như một trunu tâm thanh toán tỉnh PPC Tuy nhiên, o c với chức năng riêng của mình chỉ cho phép các Hội sở chính cua các NHTM kêt nòi đèn.

Đ ó là các N H T M , chi nhánh các NHTM đăng ký tham gia hệ thống và kết nối với các PPC qua đường dial-up hoặc leased-line để thực hiện các dịch vụ thanh toán.

Cỉ khởi phát và nhận các lệnh thanh toán eiá trị cao và giá trị thấp: làm đại lý thanh toán cho các thành vién gián tiếp; hạch toán tài khoản khách hàng và đối chiểu

dữ liệu; giao diện với các hệ thống khác trong cùng chi nhánh; thực hiện một số chức năna, klìác liên quan đến quá trình eiao dịch (vấn tin báo c á o ).

R iêng với các hội sở chính của TCTD (CIHO), ngoài chức năng như một CI ra, còn có chức năng theo dõi và duy trì sổ dư tài khoản thanh toán và hạn mức thanh toán giá trị thấp tại SCỈD; thanh quyết toán về vốn với các chi nhánh trong cùng hệ thons; cung với N H N N xây dựng hạn mức cho các khoản thanh toán giá trị thấp; xử lý các công việc khác liên quan đến hệ thống thanh toán.

DA NANG PPC

HO CHI MINH PPC

Hình 2 M ô hì nh n g h i ệ p vụ, tổ c h ứ c c ủa hệ t h ố n g I BPS

1.2.4 Các dich VII cüa hê thốn g IBPS• • • “

• Hệ th o n s IBPS c ó n h ừ n e dịch vụ chính sau:

• Thanh toán giá trị cao I IV ( H igh V a lu e)

• Thanh toán trị thấp LV (L ow V a lu e)

• Tiếp nhận kêt quả bù trù giấy (P a p er clea rin g )

• Vấn tin tài khoan (In q u ir y A cco u n t)

• Tra soát lệnh thanh toán (C h e c k su m in stru ctio n )

• Hoàn chuyến lệnh thanh toán (R efu n d in stru ction )

• Thực hoá (N ettin g )

• Đôi chiếu cuôi rmày và in báo cáo cuối ngày (R eport).

Trong các dịch vụ trên của hộ thống IBPS, thì HV và LV là hai dịch vụ quan trọnạ nhất Chúng thực hiện 98% tống số các giao dịch và tác vụ của hệ thống Các dịch vụ khác ít được sử dụng, thưừna sứ dụng vào cuối ngày hay trong tình huône đặc biệt Dưới đày, tôi chỉ xin trình bày về hai dịch vụ HV và LV.

ỉ) Thanh toán g iá trị cao (H V )

HV lá dịch vụ thanh toán trực tuyên quan trọ na nhất cua hệ thons, xứ lý các lệnh thanh toán có giá trị tiền từ 500 triệu V N D trỏ' lên.

Giao dịch I IV dược khởi tạo từ N gân hàng tham gia CI và gửi về PPC PPC kiêm tra tính hợp lệ của giao dịch như bảo mật bảo toàn, tính đúne đan và hợp lệ cua lệnh thanh toán, sau đó sửi chuyên tiếp đến trune tâm thanh toán quốc aia NPSC kiêm tra

và xử lí lệnh thanh toán.

Thông qua SA PS, hệ thống sẽ uhi nợ và ghi có online cho tài khoan tiên aửi của các bên tham gia Tuỳ theo giá trị sổ vốn có trona tài khoản của N eân hàna có du đê ghi nợ cho lệnh thanh toán hay không, mà lệnh thanh toán sẽ được xử lí neay lập tức hay đợi tron a hàng đợi lệnh thanh toán.

Các lệnh thanh toán trone hàng đợi sẽ tự động được xử lý khi có du vốn trên tài khoản Kốt quả xử lí lệnh thanh toán sẽ được thông báo cho các bên tham gia.

2) Thanh toán g iá trị th ấ p (L V)

LV là dịch vụ thanh toán cho các lệnh thanh toán có 2.iá trị tiền nhỏ hơn 500 triệu

V N D

Kêt qua thanh toán của các lệnh L.v được thực hiện tuỳ theo hạn mức cua từna Neân hàng có được trên thị trường liên Ngân hàng Hạn mức đỏ được thiết lập trên cơ

sở các giấy tờ có giá ký quỹ tại Sở eiao dịch-N H N N

Kêt qua thanh toán được ghi nợ và ghi có tạm thời cho các bên và được th ự c hoá

(chính thức cộng hay trừ tiền Irong tài khoản) theo các phiên bù trừ tron a neày.

Các lệnh LV siừ a các Ngân hàng trong cùng PPC sẽ được 2hi nợ và có vào banc giá trị bù trừ của các N gân hàng ngay tại PPC Các lệnh LV eiữa các Ngân hàng khác PPC sẽ đưọ'c PPC tiếp nhận chuyển thắna lên NPSC đê ehi nợ và có vào bảne eiá trị

bù trừ của các N gân hàng tại NPSC Tống thu và chi thực tế cua các Ngân hàng sẽ được thực hiện tại thời điếm thực hoá của hệ thống.

N P S C (1 v s s

1.2.5 Cấu trúc phần mềm của hệ thống IBPS

Phan mềm aiao diện client CI-TAD tại các chi nhánh NH TM viết trên nền của

w in d ow s ban s naôn n sữ Delphi CSDL client là Oracle hoặc C SD L InterBase.

EISHOST

TÉ

SAPS LVSS

S w ik h in a n v s sEfS i w

Tạ i N P S C có các m o d ul e chính:

SAPS - m odule thực hoá lệnh thanh toán;

LV SS Sw itching - m odule chuyển mạch và xử lí LV;

H V SS - m odule xử lí các giao dịch eiá trị cao;

EIS G /W - cổng kết nối với hệ thống chuyển tiền điện tứ.

1.2.6 Hiện trạng an ninh hệ thốn g ĨBPS

Hệ thong 1BPS có một sô cơ chế đảm bảo an toàn thông tin:

• Mà hoá dừ liệu trên đường truyền bănụ khóa phiên.

• Khỏa phiên được tạo tại PPC và được truyền cho CI trên một kênh k h ôn s an toàn.

• Cap mã xác thực cho thành viên tham gia hệ thống.

• Dâu hiệu xác thực (thay cho chữ ký) được tạo ra bằng cách sử dụ n s thuật toán DES đế tạo bản tóm tắt của dừ liệu với khỏa là mã xác thực và phương thức thực hiện CBC (cipher block chaining) PPC biết mã xác thực của tất cả các CI.

• Sư dụna user/password đăne nhập chương trình.

• Ban hành các quy định về đảm bảo an ninh, an toàn hệ thống (quy trình vận hành, thời sian hiệu lực của Mã xác th ự c )

• Phân quyền sử dụng, chức năng sử dụng, quyền tạo lập, kiểm duyệt thông tin eiao dịch, thực hiện lưu dừ liệu dự phòng cho hệ thống tại C I-TA D

• Hộ thốníì m ạng truyền dừ liệu giữa N PSC và PPC sử dụng đường truvền thuê bao kênh riêng X 25, L eased-line.

N h â n jié t:

Với n h ừ ns CO' chẻ đảm bảo an ninh an toàn trên của hệ thốne, ch Ún í! ta thấy là chưa đủ ở thời điêm hiện tại khi mà các tội phạm c ô n e nạhệ thông, tin có kv thuật Iieày càng cao và ngàv cà n c đôna đảo.

V iệc khóa phiên được eửi từ PPG cho CI khôna được mà hóa thực sự khôno an toàn.

Mã xác thực của CI (dùng đê tạo dừ liệu xác thực thay cho chừ ký) thì tại PPC cũng biêt sẽ khône 2Ĩải quyết được vấn dề chổng chối bỏ.

Ngoài ra việc đảm bảo an toàn thông tin bàne cơ chế phân quyền sử dụne chươne trình, băng tài khoản dăna nhập và các quy định không đủ đê tạo ra một hệ thốna thực

sự an toàn.

Do đó đè đảm bảo an ninh cho hệ thống, các cơ chế bảo đảm an toàn thông tin cũ đang sử dụng cần được nâng cấp đồng thời đưa vào các cône nahệ mới an toàn hơn Chang hạn: nâne cấp các thuật toán mã hóa (không chỉ sử dụnẹ các thuật toán mã hóa đối xứng như hiện tại), xác thực người dùng dựa trên một hạ tans cơ sở về mật mà khóa công khai (PKI) nhằm tạo ra một cơ chế bảo mật đồna bộ giữa tất cả các thành phần của hệ th ons IBPS.

ở những chương tiếp theo đây, chúng ta sẽ cùng tìm hiểu chi tiết hơn về một số phương pháp bảo vệ thông tin và hạ tầng cơ sở về mật mà khóa công khai Từ đó đưa

ra những đánh RĨá về khả năng ứng dụng PKI cho N H N N nói chung và đặc biệt là cho

hệ thong Thanh toán điện tử liên ngân hàng 1BPS nói riêng.

Chương 2. M Ộ T so KỲ T H U Ậ T MẬ T MÃ

2 1 K Ỷ T H U Ậ T M Ã H Ó A

2.1.1 Khái niêm mã hóa

Mã hóa là công cụ cơ ban cua v iệc đảm bảo an toàn dừ liệu Ban đầu mật mà học được sư dụne phô biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò cua mật mã ngày càng quan trọng và mang lại nhiều thành quả không nhỏ như các hệ mà cổ điên Caeser, P layfair, Chúne đã là nền tảna cho mật mà học ngày nay.

Ngày nay, khi toán học được áp dụng cho mật mã học thì lịch sử của mật mà học

đà sang trang m ới V iệc ra đời các hệ mã hóa đối xứng không làm mất đi vai trò của các hệ mật mã cô điển mà còn bô sung cho ngành mật mã nhiều phương pháp mã hóa mới Từ năm 1976 khi hệ mật mã phi đối xứng (mật mã khóa côn g khai) ra đời nhiều khái niệm mới gắn với mật mã học ra đời: chữ ký số, hàm băm mã đại diện, chứna chi'

số Mật mã học không chỉ áp dụng cho quân sự mà còn cho các lĩnh vực kinh tế xà hội khác (giao dịch hành chính, thương mại điện tử).

Hiện nay có nhiều phương pháp mã hóa khác nhau, m ỗi phương pháp có ưu nhược điểm riêng Tùy theo yêu cầu của m ôi trường ứng dụng nào người ta có thể dùng phương pháp này hay phương pháp kia Có những m ôi trường cần phải an toàn tuyệt đôi bât kê thời gian và chi phí Có nhữníì m ôi trường lại can giải pháp dune hòa giữa bảo mật và chi phí.

Các thông điệp cần chuyên đi và cần được bảo vệ an toàn gọi là bản rõ (plaintext),

và dược ký hiệu là p N ó có thể là một dòng vào các bit, các file, âm thanh, số h ó a Ban rõ được dùng đê lưu trữ hoặc đề truyền đạt thông tin Trong m ọi trường hợp bản

rõ là thông điệp cần mã hóa Quá trình xử lý m ột thông điệp trước khi 2ửi được gọi là quá trinh mã hóa (encryption) M ột thông điệp đã được mã hóa được eọi là bản mà (ciphertext), và được ký hiệu là c Quá trình xử lý ngược lại từ bản mã thành bản rõ gọi là quá trình giải mã (decryption).

H ệ m ã h ó a là tập hợp các thuật toán, các khóa nhằm che giấu thôtm tin cìiníi như

Với mỗi k € K có một hàm lập mà Ek € E (E k : p -> C) và một hàm giải mã D k e

D (D k : c -> P) sao cho D k(Ek(x)) = X , với m ọi X G p.

Hiện nay các hệ mã hóa được phân làm hai loại chính là: Hệ mã hóa khóa đối xứng và hệ mã hóa phi đối xứng (hay còn gọi là hệ mã hóa khóa công khai).

Một số hệ mã hóa khóa dối xứ n e là: Caesar, ID E A , D ES, Triple D E S

Một so hệ mã hóa phi đối xứng là: R SA , Elgam al, E C C

H ệ mã hóa khóa đ ố i xứ ne h ay là hệ mà hóa mà khóa mà hóa có thê “ d ề " tín h toán

ra được từ khóa g iả i mã và ngược lạ i T ro n g n h iê u trư ờ n e hợp kh ó a mà hóa và khóa

g iả i m à là g iố n g nhau Hệ mã hóa này còn g ọ i là hệ mã hóa khóa bí m ật

K h ó a sử d ụ n e tro n s hệ mã hóa này pha i được g iữ bí m ật và phải được aửi đi trên

k ê n h an toàn Đ ộ an toàn của hệ m ã hóa này phụ th u ộ c và o sự bí m ật của khóa

M ô h ìn h m ã hóa khóa đ ố i xứ n g được m ô tả như sau:

2.1.2 Hệ mã hóa khóa đối xứng

C ó lia i lo ạ i mã hóa khóa đ ố i xứ n g : M ã hóa theo từ n g k h ố i (D E S ID E A R C 2 )

và m ã hóa theo các b it dữ liệ u (R C 4 )

* ư u điếm của mã hóa khóa đối xứng:

- T ô c độ m ã hóa nhanh

- Sử d ụ n g đơn g iản

* N h ư ợ c điếm cua hệ mã hóa khóa đối xứng:

- H ệ mã hóa khóa dổi x ứ n g k h ô n g an toàn nếu c ó xác suất cao khóa n gư ời eưi bị

lộ

- V â n đề quan lý và phân p h ố i kh ó a là k h ó kh ă n và phức tạp N a ư ờ i aửi và neười nhận phả i lu ô n th ố n g nhất v ớ i nhau về kh ó a V iệ c th a y đ ổ i kh ó a là k h ỏ và dề b ị lộ

- K h u y n h hư ớne cu n g cấp kh ó a dài m à nó p h ả i được thay đ ô i th ư ờ n g x u y ê n cho

m ọ i naư ờ i, tro n g k h i vẫn d u y trì cả tín h an to à n lầ n h iệ u quả c h i p h í sẽ cản trở nhiều

tớ i v iệ c phát triể n hệ m ã hóa khóa đ ố i xứ ng

* Nơi úng dụng:

- Sử d ụ n g tro n g m ô i trườn a mà khóa dề d a im dược tra o đ ố i như là ir o n s CÙ112 m ộ t văn phòng

- M à hóa các th ô n g tin dè lưu trên đĩa

* M ột số lo ạ i mã hóa khóa đối x ứ n g:

- D E S : 56 b it, m ã h ó a khối dừ liệ u 64 h it.

- T r ip le D E S , D E S X , G D E S , R D E S : m ở rộ n g độ dài của khóa ở mã hóa DES lên tới 168 b it

- RC2 R C 4 R C 5 : độ dài khóa có thể lên tới 2 0 4 8 bit.

- ID E A ( In te rn a tio n a l Data E n c ry p tio n A lg o r ith m ) : 128 b it th ư ò n g dùn g tro n g các chư ơ ng trìn h e m a il

- Blowfish: 448 bit

Đ ê khắc p h ụ c đ iế m hạn chế của phư ơ ng pháp m ã hóa khóa đ ố i xứriR, tro n g quá trìn h trao đ ô i kh ó a bí m ật, neười ta sử dụrm phư ơ ng pháp mà hóa p h i đ ô i xứ na (m ã hóa khóa c ô n g kh a i)

Phương pháp mã hóa khóa công kh a i được phát m in h bở i W h itfie ld D itĩie và

M a rtin H e llm a n vào năm 1975 Phương thứ c mã hóa n à y sử dụna hai kh ó a là khóa cóng khai (P u b lic K e y ) và khóa bí mật (P riv a te K e y ) có các quan hệ toán học vớ i

n ha u ĩ r o n g đó P riv a te K e y được g iữ bí m ật và k h ô n g có khả năng b ị lộ do k h ô n s cần

p h ả i trao đ ô i trên m a n s P u b lic K e y k h ô n e phả i aiừ bí m ật và m ọ i ngườ i đều có thê

n h ậ n dược khóa này

Do phư ơ ng thức m ã hóa này sử d ụ n s 2 kh ỏ a khác nhau nên người ta g ọ i là phươna thứ c n ã hóa phi đ ố i xứ ng M ặ c dù P riv a te K e y được g iữ bí m ật như n g k h ô n g 2 10 112

v ớ i "secret k e y " sử dụ n e tro n g phươ ng thứ c mã hóa khóa đ ổ i xứ ne do P riva te K e y

k h ô n e được tra o đ ô i trê n m ạng

M ô h ìn h mã hóa khóa cô n g khai được m ô tả như sau:

2.1.3 Mã hóa khóa công khai

Bản mã

1

Hình 7 Mô hình mã hóa khóa công khai

K h ó a lập mã (P u b lic K e y ) và khóa g iả i m ã (P riv a te K e y ) tư ơ ng ứ ng có quan hệ toán học v ớ i nhau và được sinh ra sau k h i thự c hiệ n các hàm toán học N h ư n g các hàm toán hạc n ày lu ô n thỏa m ãn điều k iệ n là nếu kẻ xấu b iế t P u b lic K e y và cố gắng tín h toán X í. P riv a te K e y , th ì sẽ phải đươne đầu v ớ i trư ờ n g hợp nan g iả i khône khả th i vê

th ờ i gian

M ) t cặp khóa g ồ m P u b lic K e y và P riv a te K e y được g ọ i là K e y Pair

IM )t th ô n e diệ p được m ã hóa bằng P u b lic K e y , c h ỉ có thể g iả i m ã được bằng

P riva te K e y tư ơ ne ứng M ộ t th ô n g đ iệ p được m ã hóa b a n e P riv a te K e y , c h ỉ có thê a iả i

mã diu'JC b ă n s P u b lic K e y tươna ứng của nó

K c xấu m u ố n tín h toán ra th ô n e đ iệ p ban đầu dựa vào P u b lic K e y và bản mã, thì phai g ải q u y ế t bài toán “ k h ó ” vớ i số phép thử là v ô cù n g lớ n do đó k h ô n e kha th i

G iả sư A m u ô n eưi cho B m ộ t th ô n g đ iệ p : Dầu tiê n B phai sin h cặp khóa P u b lic

K e y - P riva te K e y N e il A m u o n aưi cho B m ộ t th ô n s đ iệ p được mã hóa, A yêu cầu

P u b lic K e y cua B B eứi cho A P u b lic K e y cua B trê n m ạne k h ô n e an toàn và A dùng

k h ó a này đê m ã hóa thông điệp A gửi th ô n g đ iệ p được mã hóa cho B và B g ia i mă

k h ó a công k h a i như sau:

c là m ộ t ngư ờ i nghe trộ m , c có thể lấy được ban m ã (c ip h e rte x t) c h u yế n từ A dẻn

B như ng k h ô n a thế g iả i mã được bản mã này vì c k h ô n g có P riv a te K e y của B

V à n đề đặt ra là làm thế nào để A có thế b iế t c h ín h xác P u b lic K e y m à A sử dụn g

đ ú n g là P u b lic K e y của B T ro n g trư ờ n g hợp này, nếu Đ g iả i m ạo B gửi P u b lic K e y của D đến A ( A nhận được P u b lic K e y của D m à k h ô n g phải là của B ) và A vẫn mã hóa thông đ iệ p của m ìn h ; k h i đỏ th ỏ n e đ iệ p đến D sẽ vẫn g iả i m ã được do D có

P riva te K e y của m ìn h Đ ể khắc p h ụ c hạn chế này, ngư ờ i ta xây d ự n s m ộ t hệ th ố n g các

tổ chức thứ ba đó n e vai trò tru n g g ia n tro n g v iệ c xác thự c tín h đ ú n g đắn cua m ột

P u b lic K e y Đ ó là các tỏ chức x â y dự ng hệ th o n s chứ ng thự c điệ n tử (tro n e nhữ ng

p h ầ n sau sẽ trìn h bày k ỹ hơn về C e rtific a te )

N ê u như A sử dụ n a P riv a te K e y của m ìn h để mã hóa m ộ t th ô n g d iệ p và gửi tó i B

K h i đo, B có th ể sử dụn a P u b lic K e y của A đế e iả i m ã th ô n g đ iệ p từ A M ộ t ngườ i thứ

ba c jũ n g có P u b lic K e y của A (P u b lic K e y là m ộ t khóa c ô n g k h a i) nên nếu nhận

đư ợ c thông đ iệ p gử i từ A cũng có thể g iả i m ã được và đọc nó D o đó A k h ô n ẹ thề sứ

d ụ n g Jriv a te K e y của m ìn h đế m ã hóa m ộ t th ô n g đ iệp T u y n h iê n dựa vào đặc điếm ánh xa 1 : 1 g iữ a P riva te K e y và P u b lic K e y ta có thê th ấ v ra n g th ô n g đ iệ p được mã hóa là được sử i từ A m à k h ô n g p h ả i là m ộ t ngư ờ i khác Đ iề u này c ũ n s trả lờ i cho câu

hỏ i 2.

MỘI hạn chể của phương thức m ã hóa kh ó a cô n g khai là là m g iâ m tốc độ thự c hiện thao tác x u ố n g từ 100 đến 1000 lần so v ớ i phư ơ ne thứ c m ã hóa khóa đ ố i xứ na D o dó phưưnR thứ c mà hóa này ít được sư d ụ n g đê m ã hóa dừ liệ u k íc h thước lớn Phương thức này thư ờ ng được sử dụ nu cho g ia i đoạn k h ơ i đầu của kế t n ố i giữ a hai thự c thê cân

g ia o tiế p v ớ i nhau, và sau đó m ộ t kh ó a bí m ậ t (secret k e y ) được tạo đê thự c hiện quá trìn h trao đ ô i dừ liệ u (kh ó a bí m ật này c h ỉ tồ n tạ i tro n g m ộ t p h iê n là m v iệ c d u y nhất)

V iệ c sư d ụ n ° k ỹ th u ậ t mà hóa kh ó a công k h a i cho quá trìn h bat tav aiừa hai thực thè cần tra o đ ổ i th ô n s tin có yêu cầu bảo m ật, kết hợp v ớ i dù n g hệ m ã hóa kh ó a b í m ật cho quá trìn h trao đ ổ i dừ liệ u tạo thành m ộ t p hư ơ ne thứ c m ã hóa lai Đ ê thự c h iệ n được phư ơ na thức m ã hóa la i, Netscape đã đưa ra s ia o thứ c SSL thực hiện các quá trìn h trên

Q ua các phân tíc h trên, ch ú n g ta thay ra n e có hai vấn đề cần p h ả i khắc p h ụ c k h i sử

d ụ n g phươ ng thứ c m ã hóa dựa trê n nền tả n g kh ó a c ô n g k h a i đó là:

[1 ] N e u sử d ụ n g P u b lic K e y đe m ã hóa m ộ t th ô n g đ iệ p , thì đảm báo th ô n a đ iệ p đó là hoàn toàn bảo m ật nhưnR cân p h ả i k iể m tra tín h xác thự c của P u b lic K e y

[2 ] N eu sử d ụ n g P riv a te K e y để m ã hóa m ộ t th ô n g đ iệ p , th ì có thể g iả i m ã được bởi nhiêu ngư ờ i có được P u b lic K e y , n h ư n s lạ i có thê sử d ụ n a phư ơ na thứ c này dê

k iế m tra tín h xác thực của ngư ờ i gử i th ô n g đ iệp

* N ơi ứng dụng

- Sử d ụ n g chủ yế u trê n các m ạ n g c ô n g k h a i như Inte rn e t V í dụ sử d ụ n g kh ó a cô n s

k h a i tro n g các g ia o d ịch diện tử

* M ột sổ loại m ã hóa khóa công khai:

- R S A : L o ạ i m ã hóa này được d ù n g n h iề u nhấ t cho W e b và chư ơ ng trìn h e m a il Đ ộ dài khóa th ô n g thư ờ ng là từ 512 đến 1024 h it

- H IG a m a l: Đ ộ dài kh ó a th ô n g thư ờ na tù' 512 đến 1024 b it

• Cúc chuẩn mã hóa khóa công khai (PKCS).

P K C S (P u b lic K e y C ry p to g ra p h y Standards) là các chuân do p h ò n g th í n g h iệ m

R S A S e c u rity và các nhà phát triể n hệ th ố n g trê n thế g iớ i (n h ư M ic ro s o ft, A p p le

S u n ) phát triể n v ớ i m ục đích ẹ iú p cho v iệ c triể n k h a i các hệ m ật m ã khóa cô n g kh a i nhanh chón g, dễ dàng hơn T ro n g lĩn h vực hảo m ật ta có thể thấy các chuân này hiện đang được sử d ụ n g ở khắp m ọ i nơi P K C S được đ ịn h n g h ĩa cho cả các th ô n e đ iệ p d ạ n2

B in a ry và dạng A S C II P K C S hiện tại bao gồm các chuẩ n P K C S # 1 P K C S # 3

P K C S # 5 , P K C S # 6 , P K C S #7, P K C S # 8 , P K C S # 9 , P K C S # 1 0 , P K C S # 1 1 , P K C S # 1 2 ,

P K C S # 1 3 , P K C S # 1 4 , P K C S #15 H iệ n tạ i p h iê n bản của các bản d a n s sử d ụ n g là 2.1

T ro n g đó:

• P K C S #1 : C huẩn mà hóa dữ liệ u R S A Chuấn này đ ịn h ng h ĩa các cơ chê cho việ c

mã hóa và k ý chữ k ý số sử d ụ n s các hệ m ật mã khóa cô n g k h a i R S A

• P K C S #3: C huân thỏa thuận khóa D iíììe -H e llm a n C h uẩn này đ ịn h n g h ĩa g ia o thức thỏa thuận kh ó a D iffie -H e llm a n

• P K C S #5: C h uấn mã hóa dựa trê n m ật khấu (P assw ord -b ased e n c ry p tio n Standard

- P B E ) C huân này m ô tả phương thứ c sinh ra m ộ t kh ó a bí m ật dựa trê n m ộ t m ật khấu có sẵn

• P K C S #7: C h uẩn qui đ ịn h cấu trú c của các th ô n g đ iệ p k h i sử d ụ n g chừ k ý diện tử

và m ã hóa

• PK.CS #8: C h uân này đ ịn h nghĩa m ộ t phương thứ c để lư u th ô n g tin khóa riê n g

• P K C S #1 1: C h uẩn này đ ịn h nghĩa m ộ t g ia o d iệ n chư ơ ng trìn h cô n g nghệ độc lập cho các th iế t b ị m ật mã, v í dụ như các thỏ th ô n a m in h

• P K C S #12: C h uân qui đ ịn h m ộ t đ ịn h dạng lin h đ ộ n g cho v iệ c lư u trừ và phân p h ố i

các khóa riê n g , các chứng c h ỉ

• P K C S #13: C h uấn m ật mã đườne cong E lip ( E llip tic c u rv e c ry p to g ra p h y - E C C )

C h u â n này m ô tả các cơ chế đế mã hóa và k ý chữ k ý điệ n tư sử d ụ n e lý th u y ế t m ật

mã đường co n g E lip

• P K C S #14: B ao hàm v iệ c sinh sổ g iả naẫu n h iê n (pseud o ra n d o m n u m b e r

g e n e ra tio n - P R N G ) C huân này hiện nay đang tro n g quá trìn h phá t triể n

• PK.CS #15: C h uân này đang tro n g quá trìn h phát triể n ; nó đưa ra m ộ t cách thức chuân cho các khả năn® lưu trữ trê n các to ke n (các thẻ th ô n g m in h )