Nghiên cứu thử nghiệm xây dựng và sử dụng hạ tầng cơ sở về mật mã khóa công khai cho hệ thống mạng của ngân hàng nhà nước việt nam

Nội dung của luận văn 2 ồm có phần mở đầu, năm chương và phần kết luận: C h ư ơ n g 1: v ấ n đề bảo đảm an toàn thông tin trong hệ thốn 2 N H NN Giới thiệu về mô hình tô chức của Ngân hà

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ • • •

ĐÀM MẠNH HỪNG

HẠ TẦNG CO SỞ VÈ MẬT MÃ KHÓA CÔNG KHAI CHO

Ngành: C ông nghệ thông tin

M a so : 1 0 1 1 0

LUẬN VĂN THẠC SỸ

N G Ư Ờ I H Ư Ớ N G D Ẳ N K H O A HỌC PGS TS TRỊNH NHẬT TIÉN

HÀ NỘI - 2008

LỜI CAM ĐOAN

Với mục đích học tập nshiên cứu đê nâne cao kiên thức và trình độ chuyên môn nên tôi đã làm luận văn này một cách nghiêm túc và hoàn toàn trung thực.

Trong luận văn, tôi có sử dụnẹ một số tài liệu tham khao của một số tác giả Tôi đã nêu ra trong phần tài liệu tham khảo ở cuối luận văn.

l ôi xin cam đoan và chịu trách nhiệm về nội dung và sự trune, thực tron 2 luận văn tốt nghiệp Thạc sĩ của mình!

Học viên, Đàm Mạnh I lùng

LỜI CẢM ƠN

Tôi xin chân thành cảm ơn các Thầv c ỏ siáo trôna khoa Cône nuhç thôns tin và các cán bộ nhàn viên các phòng Đào tạo Sau đại học trườns Đại học c ỏ n e nahệ Đại học Quốc gia Hà Nội đã luôn nhiệt tình giúp đỡ và tạo diều kiện tốt nhất cho tôi tron2 suốt quá trình học tập tại trường.

Xin chân thành cảm ơn các anh các chị và các bạn học viên lớp Cao học K l 1T3 - trường Đại học Công nghệ thuộc Đại học Quốc gia Hà Nội đã luôn động viên, giúp đỡ

và nhiột tình chia sẻ với tôi những kinh nghiệm học tập, công tác trona suốt khoá học Dặc biệt tôi xin bày tỏ lòng biết ơn sâu sắc đến PG S.TS Trịnh N hật Tiến dà tận tình giúp đờ tôi hình thành, nghiên cứu và hoàn chỉnh luận văn.

Mục dù dà có nhiều cố gắng, song do sự hạn hẹp về thời gian, diều kiện nghiên cứu và trình độ, luận văn không tránh khỏi những khiếm khuyết Tôi chân thành mong nhận được sự đóng eóp V kiến của các thầy, cô giáo và đồng nạhiệp gần xa.

Hà Nội, tháng 11 năm 2008

Người thực hiện luận văn

Đàm M ạnh Hùng

Mực LỤC

LỜI CAM Đ O A N i

LỜI CẢM Ơ N ii

MỤC L Ụ C iii

DANH MỤC BẢNG B IÉ U viii

DANH MỤC CÁC KÝ HIỆU ix

MỞ ĐẦU 1

Chương 1 VÁN ĐÈ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HỆ THÓNG NHNN 3

1.1 HIỆN TRẠNG VẤN ĐÈ BÀO ĐAM ATTT TRONG NHNN 3

1.1.1 Các hệ thống thông tin của N H N N 3

1.1.2 M ạns truyền thôna của N H N N 5

1.1.3 Hiện trạng vấn đề bảo đảm ATTT trons hệ thống N H N N 9

1.1.4 Yêu cầu tăng cường bảo đảm ATTT trong hệ thống N H N N 10

1.2 H Ệ T H Ó N G T H A N H T O Á N Đ IỆ N T Ừ L IÊ N N G Â N H À N G (IB P S ) 1 I 1.2.1 Mục tiêu của hệ thống IBPS 11

1.2.2 Chức năng chính của hệ thống 1BPS ! 1

1.2.3 Mô hỉnh nghiệp vụ chune của hệ thống IBPS 12

1.2.4 Các dịch vụ của hệ thống IB P S 15

1 ) Thanh toán giá trị cao (H V ) 16

2) Thanh toán giá trị thấp (L V ) 17

1.2.5 Cấu trúc phần mềm cua hệ thong IBPS 18

ỉ 2.6 Hiện trạng an ninh hệ thống IB P S 20

Chương 2 MỘT SÓ KỸ THUẬT MẬT M Ã 22

2.1 K Ỹ T H U Ậ T M Ã H Ó A 22

2.1.1 Khái niệm mã h óa 22

2.1.2 Hệ mã hóa khóa đối xứng 24

2.1.3 Mã hóa khóa công khai 26

2.1.4 Kỹ thuật mã hóa một chiều (thuật toán b ă m ) 30

2.3 C H Ử N G CHÍ S Ố 36

2.3.1 Khái niệm chứna chỉ s ố 36

2.3.2 Phân loại chứng chỉ số 38

2.3.3 Mục đích và ỷ nghĩa của chứne chỉ s ố 39

1 ) Xác thực băna chứng chỉ s ố 39

2) Phân phối khoá an to à n 40

2.3.4 Thu hồi chứns chỉ s ố 41

1 ) Lý do thu hồi chứng c h ỉ 41

2) Danh sách thu hồi chứne ch ỉ 41

3) Phân loại danh sách thu hồi chứns ch ỉ 42

4) Cập nhật danh sách thu hồi chứng c h i 42

5) Quảng bá CRL 43

Chương 3 HẠ TÀNG c o SỎ VÊ MẬT MÃ KHÓA CÔNG KHAI (PKI) 45

3.1 T Ổ N G Q U A N V Ề P K i 45

3.1.1 Khái niệm PK I 45

3.1.2 Các dịch vụ và phạm vi ứng dụng của PK I 45

3.1.3 Các thành phần của PK I 46

3 i 4 Các chức năng của P K I 47

1) Quản lý k h óa 47

2) Ọuản lý chứng c h ỉ 49

3) Ọuản lý thời gian 50

4) Giao tiếp giữa các PK I 50

3.2 C Á C C Ô N G CỤ V À PHƯ Ơ NG T IỆ N C H ÍN H 51

3.2.1 Công cụ mã hóa 51

1 ) Khái niệm hệ mã hóa R SA 51

2) Độ an toàn của hệ mã hóa R S A 53

3) Một sổ tính chất của hệ mã hóa R SA 54

4) U n s dụng của hệ mã hóa R SA 54

3.2.2 Công cụ ký s ố 55

1 ) Thuật toán sinh khóa của sơ đồ chữ ký R S A 55

2) Thuật toán ký và kiểm tra chừ ký 55

3) Một sổ tính chất của sư đồ chừ ký R S A 56

4) Úng dụns của sơ đồ chừ ký R SA 56

3.3 HỆ THỐNG CUNG CẤP VÀ QUAN LÝ CHỬNG C H Ỉ 57

3.3.1 Nhà phát hành chứns chỉ (Certification Authority - C A ) 57

3.3.2 Cơ quan đăng ký chime chi (Registration Authority - R A ) 59

3.3.3 Kho chứa chứns ch i 60

3.3.4 Các mô hình triên khai hệ thôns C A 61

1 ) Kiến trúc phân c ấ p 61

2) Kiến trúc mạne lư ớ i 63

3) Kiên trúc cầu liên k ế t 65

3.4 TÌNH HÌNH SỪ DỤNCi P K I 67

Chương 4 PHÂN TÍCH, THIÉT KÉ PKI CHO N H N N 69

4.1 P H Â N T ÍC H HỆ T H Ố N G 69

4.1.1 Phân tích yêu càu hệ thống PK 1 69

1 ) Yêu cầu chung 69

2) Yêu cầu kỹ thuật cơ bản 69

3) Nhiệm vụ của PK I 70

4) Yêu cầu về Directory L D A P 70

5) Yêu cầu về quản lý khóa và chứng chỉ s ố 71

6) Yêu cầu về sao lưu, dự phòng 71

7) Yêu cầu về hỗ trợ ứng dụng 71

4.1.2 Phân tích yêu cầu hệ thống C A 72

1) Yêu cầu vê m ô hình kết n ố i 72

2) Yêu cầu về quản tr ị 72

3) Phân tích lựa chọn mô hình C A 73

4.2 T H IẾ T KÉ HỆ T H Ố N G C A 76

4.2.1 Mô hình vật lý của hệ thống C A 76

4.2.2 Các thành phần của SBV C A 79

4.2.3 Mô hình quan trị hộ th ố n e H3

1 ) N sười chủ hệ thốn 2 (Master U se r ) 84

2) N&ưòi quản trị an ninh thôns tin (Security O fficer) 85

3) Ọuan trị viên (Adm inistrator) 85

4) Người quản trị hệ thống thư mục (Directory Administrator) 86

5) Kiêm soát viên (A uditor) 86

4.2.4 Một số quy trình cơ bản của S B V _ C A 87

1 ) Quy trình tạo chứng chi số cho RootCA 87

2) Quy trình cấp chứng chỉ sô cho SubC A 88

3) Quy trình cấp chứna chi số cho người sử d ụ n » 89

4) Thu hồi chứng chỉ s ố 91

5) Tạm dừng chứnu chi s ố 92

6) Gia hạn chứng chỉ s ố 93

7) Khôi phục chứng chỉ số 94

8) Thay đối cặp khóa 95

Chương 5 ĐẺ XƯÁT GIẢI PHÁP VÀ THỦ NGHIỆM TÍCH HỌP SBV CA VỚI IBPS 96

5.1 CÁC BIỆN PIỈÁP BẢO ĐẢM ATTT TRONG IBPS 97

5.1.1 Biện pháp xác th ự c 97

5.1.2 Biện pháp bảo m ật 103

5.1.3 Biện pháp bảo toàn 104

5.2 G IA I PHÁP T ÍC H HỢP S BV C A VỚ I IB P S 105

5 2 1 Quan hệ giữa SBV CA với IBPS 105

5.2.2 Ket nối, khởi tạo phiên làm việc giữa CÎ và PPC 107

5.2.3 Đồng bộ chứng chỉ số tại PPC 108

1) Mô hình chun g 108

2) Đồng bộ chứng chỉ số đầu ngày 109

3) Cập nhật danh sách chứng chỉ số bị thu hồi (C R L ) 1 11 4) Đồng bộ chứna chỉ số mới trong n eày 1 13 5) Danh sách các trường tạo và kiểm tra H M AC 1 14 5.2.4 Quy trình ký và xác thực tin điện đối với CI sử dụna chứng chỉ s ố 115

1 ) Ký trên tin điện gửi đ i 115

2) Xác thực tin điện đ ế n 1 17 5.2.5 Quy trình xác thực tin điện tại PPC 1 19 5.3 THÚ'NGHIỆM TÍCH HỢP SBV CA VÓI IB P S 121

5.3.1 Bộ công cụ phục vụ SBV CA thử n gh iệm 121

5.3.2 Cài đặt thừ nghiệm SBV C A 123

ỉ ) Cấu hình phần c ứ n a 123

2) Cài đặt phần m ềm 124

5.3.3 Thử nghiệm tích h ợ p 126

1 ) Nhừnẹ hạn chế trona việc thử nghiệm 126

2) Chuân bị môi trường 127

3) Nâng cấp ứng dụng IBPS 133

4) Quy trình thực h iệ n 134

5) Khôi phục lại hệ thống 135

5.3.4 Ket quả thu được của quá trình tích h ợ p 136

KÉT L U Ậ N 137

TÀI LIỆU THAM KHẢO 138

DANH MỤC BẢNG BIÉU

Hình 1 Mô hình mạne cua NHNN

Hình 2 Mô hình nghiệp vụ, tổ chúc cua hệ thống IBPS

Hình 3 Sơ đồ xử lý lệnh thanh toán giá trị cao

Hình 4 Mô hình xử lý giá trị thấp

Hình 5 Cấu trúc phần mềm hệ thống IB PS

Hình 6 Mô hình mã hóa khóa đổi xứne

Hình 7 Mô hình mã hóa khóa cônẹ khai

Hình 8 Sơ đồ mô tả phương thức mã hóa một chiều

Hình 9 Sơ đồ tạo chừ ký

Hình 10 Sơ đồ xác thực chù' ký

Hình 11 Mô hình chứng chi số

Hình 12 Các ứng dụng dựa trên hệ thons PKI

Hình 13 Mô hình kiến trúc phân cấp

Hình 14 Mô hình kiến trúc mạng lưới

Hình 15 Mô hình kiến trúc cầu liên kết

Hình 16 Mô hình CA tổng quát cho NHNN

Hình 17 Mô hình vật lý của hệ thống CA

Hình 18 Mô hình quản trị của SBV CA

Hình 19 So đồ kết nối mạne, truyền thôn a

Hình 20 Sơ đồ xác nhận tin điện đi

Hình 21 Sơ đồ mô tả phương thức phân phối mã xác thực AAC Hình 22 Quy trình tạo và kiểm tra E-Sign trong IB PS

Hình 23 Luồng xử lý tin điện giao dịch giữa CI và PPC

Hình 24 Mô hình kết nối và khởi tạo phiên làm việc tại CI Hình 25 Mô hình chung đồne bộ chứng chỉ số tại PPC

Hình 26 Ọuy trình đồng bộ chửng chỉ số đầu nsày

Hình 27 Quy trình cập nhật CRL

Hình 28 Quy trình đône bộ chứns chỉ số mới trone neày

Hình 29 Quy trình ký và gửi tin điện

Hình 30 Quy trình xác thực tin điện đến

Hình 31 Quy trình xác thực tin điện tại PCP

DANH MỤC CÁC KÝ HIỆU

ARL Authority Revocation List

API Application Programming Interface

BNPSC Backup National Processing Setlement Center

DSS Digital Signature Standard

HỈS-G Extend Information System - Gateway

IBPS Inter Bank Payment System

LDAP Leightweight Directory A ccess Protocol

NPSC National Processing Setlement Center

NHNN Ngân hang Nha n c Viêt Nam

PPC Province Payment Center

PSTN Public Switched Telephone Network QTDND Ọuĩ till dụng Nhân dân

SAPS Settlement Account Process System

MỎ ĐẦU

Sau nhữns năm đôi mới và hội nhập, đất nước ta đà đạt được những thành tựu và nhữns khởi săc nhât định tro na công cuộc phát triên kinh tê Cùng với sự phát íriên chung đó neành Ngân hàna luôn thể hiện vai trò của mình là ngành huyết mạch cho nền kinh tế có vai trò quyết định đến sự ôn định, phát triển và sự phồn vinh của nền kinh tế dất nước.

Sự bùng nô của công nghệ thông tin trone những thập kỷ qua đã tác động mạnh

m ẽ đến mọi lĩnh vực của nền kinh tế và đặc biệt đã tạo ra những biến đổi rất lớn trong lĩnh vực ngân hàng Các hoạt động nehiệp vụ của neành ngân hàng từ chồ chủ yểu được thực hiện bane tay, với số lượng rất lớn các loại giấy tờ như chứng từ bảng kê, phiếu thu thì nay đa sổ đã được thực hiện trên máy tính Việc các hệ thống thông tin lớn ra đời, đặc biệt là các hệ thong thanh toán điện tử có vai trò vô cùng to lớn trong việc thúc dây lưu thông tiền tệ, giúp cho việc lưu chuyến tiền tệ giừa các ngân hàng trong cả nước diễn ra nhanh chóng và dễ dàng, nâng cao hiệu quả sử dụng vốn cua các ngân hàng, từ đó góp phần thúc đấy sự phát triên chung của đất nước.

Trong hệ thống Ngân hàng cua nước ta, Naàn hàng Nhà nước Việt Nam (NHNN)

là ngân hàng có vị trí và vai trò chủ đạo Ngoài các chức năng như quản lý giám sát các hoạt động của NHTM, thực hiện chính sách tiền tệ, NIỈNN còn thực hiện vai trò đầu mối thanh toán cho toàn bộ hệ thống Ngân hàng De thực hiện các chức năng đó hiện nay có rất nhiều hệ thons thône till lớn đang hoạt động tại NHNN Tron li đó hệ thống thanh toán điện tử liên ngân hàng được coi là hệ thống thanh toán cốt lõi của toàn bộ hệ thốna ngân hàng Việt Nam, đâ góp phàn khône nhỏ vào việc thúc đây nền kinh tế Việt Nam phát triển.

Tuy nhiên trong thực tế, ngoài những lợi ích to lớn mà các hệ thống thông tin dỏ

đã mang lại thì vần tồn tại một sổ vấn đề đán2 quan tâm như: việc giả mạo Irons các giao dịch điện tử làm sai lệch thôns tin để ăn cap tiền hoặc xâm phạm an ninh quốc gia

Mức độ thiệt hại do những truv nhập hav tan cône trái phép eây ra có thê lên tới nhiều tỉ đồng và có thê ảnh hưởng tới hoạt động của nhiều ngân hàng hay thậm chí làm rối loạn thị trườne tiền tệ Việt Nam Bất cứ một đổ vỡ nào của hệ thống cũng ảnh hưởng khôn lườna đến uy tín hay nền kinh tế đất nước.

Luận văn này tập trung vào nghiên cứu các thành phần của một Cơ sơ hạ tâna về

m ật mã khóa công khai (Public Key Infrastructure - PKI), từ đó đưa ra siai pháp và

cô n g nghệ đe xây dựne một PKI nhăm đảm hảo an ninh, an toàn cho các hoạt độn a nghiệp vụ của N H N N.

Phương pháp nghiên cứu chính của luận văn là tìm hiểu các bài báo khoa học các

m ô hình triển khai PKI cho các hệ thống lớn trên thế giới, tìm hiếu về mỏ hình và thực trạng về an ninh, an toàn thông tin tại NHNN, để từ đó đưa ra aiải pháp phù hợp.

Nội dung của luận văn 2 ồm có phần mở đầu, năm chương và phần kết luận:

C h ư ơ n g 1: v ấ n đề bảo đảm an toàn thông tin trong hệ thốn 2 N H NN

Giới thiệu về mô hình tô chức của Ngân hàna Nhà nước Việt Nam, các hệ thốne

thône tin đang hoạt động, thực trạng về an toàn thông tin và giới thiệu về Hệ thống

thanh toán điện tử liên ngân hàng ( I B P S ) - hệ thống thanh toán cốt lõi trong lĩnh vực ngân hàng của Việt Nam.

C huong 2: Một số kỹ thuật mật mà

Trình bày về kỹ thuật mã hóa, hàm băm, chữ ký số, chứng chỉ số.

C h ư ơ n g 3: Hạ tans cơ sở về mật mã khóa công khai (PK.I)

Giới thiệu tông quan về PKI, các chức năng của PKI, hệ thốna cung cấp và quan lý chứng chí và tình hình sử dụng PK.1 trên thế giới và ở Việt Nam.

Chiroìig 4: Phân tích, thiết kế PKI cho NI INN

Phân tích yêu cầu hệ thống PKI, phân tích yêu cầu hệ thống CA từ đỏ thiết kế hệ thống CA cho NHNN (SBV CA).

Chương 5: Đe xuất giải pháp và thử nghiệm tích hợp S B V C A với IBPS.

Phân tích các biện pháp bảo đảm an toàn thông tin đans sử dụng trons hệ thốne IBPS, từ đó đưa ra giải pháp tích hợp SBV CA với IBPS và thử nghiệm tích hợp SBV CA với IBPS.

Chương / VẤN ĐÈ BẢO ĐẢ IM AN TO À N TH Ô NG TIN

T RO NG HỆ TH Ố NG NHNN

Chương 1 sẽ đưa ra nhũ'112 lý luận, chứna minh những căn neuvên và đưa ra nhữns lập luận khoa học cho mục đích cua đê tài Qua chương này chúns ta sè hiêu được mô hình tổ chức Hệ thốne, Ngân hàng cua Việt Nam hiếu được thực trạns các

Hệ thống thông tin và mức độ an ninh, an toàn của các hệ thống đó tại NHNN.

Dặc biệt, chúng ta sẽ tìm hiểu về Hệ thống Thanh toán diện tử liên ngân hàng (1BPS), hệ thống thanh toán cốt lõi của hệ thốna Ntiân hàng Việt Nam phân tích nhừns nhược diêm về an ninh, an toàn của hệ thống này Từ dó chúne ta sẽ thấy được yêu cầu cấp bách mà đề tài cần giải quyết, cũnu như thấy dược sự thuyết phục khoa học mà đề tài sẽ đáp ứng.

1.1 H IỆ N T R Ạ N G V Á N Đ È B Ả O Đ Á M A T T T T R O N G N H N N

1.1.1 Các hệ thống thông tin của NHNN

Ngân hàng Nhà nước Việt Nam, ngoài các nghiệp vụ như quản lý giám sát các hoạt động của NHTM, thực hiện chính sách tiền tệ Ngân hàng, còn thực hiện vai trò đâu mối thanh toán cho toàn bộ hệ thống Ngân hàng Các hệ thống thòna tin (HTTT) của NHNN cũng nhằm đáp ứng các nghiệp vụ này Hiện nay, tại NHNN có một số hệ thống thông tin lớn đang hoạt động:

Các HTTT cung cấp ứng dụng, dịch vụ cho nội bộ NHNN:

• Hệ thống kế toán giao dịch (hỗ trợ nghiệp vụ kê toan cho toàn bộ hệ thống NHNN).

• Hệ thông kho quỹ (hỗ trợ nghiệp vụ phát hành và kho quỹ).

• Hệ thống chuyển tiền điện tử (thanh toán nội bộ NHNN).

• Hệ thông quản lý các eiấy tờ có giá, tín phiếu,

• Hệ thống báo cáo thống kê (thốne kê báo cáo từ tất cả các chi nhánh NHNN tinh, thành phổ).

Các HTTT cung cấp ứng dụng, dịch vụ giữa NHNN và các TCTD:

Chuyên cac khoan thanh toan liên ngân hang gi a cac chi nhanh hoăc hỏi s chinh cua cac TCTD; bu tr cac khoan thanh toan gia tri thâp; thực hiện nghĩa vụ thanh toán trực tuyến (online) giá trị cao và kết quả bù trừ giữa các thành viên tham gia thông qua các tài khoan quyết toán được mở tại NHNN; xử lý kết qua thanh toán bù trừ giấy; giao diện với hệ thống chuyền tiền điện tư hiện tại của NHNN (EIS-G).

• Hệ t h o n g nghiệp vụ thị trường mớ đau thau tín p h i ế u kho bạc:

Th c hiên cac nghiêp vu liên quan đên mua ban nh ng giây t co gia ngăn han như tin phiêu kho bac, ch ng chi tiên g i, tin phiêu Ngân hang Nha n c va cac giây

t co gia ngăn han khac Thông qua đo NHTW tac dông tr c tiêp đên nguôn vôn kha dung cua cac TCTD, t đo điêu tiêt 1 ng cung ng tiên tê va tac đông gian tiêp đên lai suât thi tr ng.

Tông h p bao cao t cac TCTD theo cac nhom chi tiêu va kiêt xuât ra cac bao cao cho cac Vu, Cue liên quan cua NHNN nhăm hô tr hoach đinh chinh sach va điêu tiêt thi tr ng tiên tê.

• Hệ th ô n g thanh toán bù trừ điện tử:

Hồ trợ nghiệp vụ thanh toán tronc địa bàn tỉnh, thành phố NHNN chi nhanh tinh, thanh phô đong vai tro la ngân hang chu tri, th c hiên bu tr cho cac ngân hang thanh viên co tai khoan tai NHNN (cac ngân hang, TCTD trong dia ban).

Cac hê thông thông tin trên la cac hê thông 1 n va quan trong nhât, phuc vu cho NHNN th c hiên cac ch c năng, nhiêm vu cua minh đông th i co vai tro to 1 n trong viêc thuc đây iưu thông tiên tê, giup cho viêc lưu chuyên tiên tê gi a cac ngân hang trong ca n c diên ra nhanh chong va dê ç~¥ig.

Trong các hệ thống thông tin tại NHNN kê trên, hệ thons thanh toán điện tử liên ngân hàng (IBPS) được coi là hệ thống xương sốna,, có quy mô và vai trò lớn nhât dã góp phần không nhỏ vào việc thúc đấy nền kinh tế Việt Nam phát triển.

Cùng với tốc độ phát triển kinh tế của đất nước, các hệ thống thône tin tại NHNN dana naày càna được hoàn thiện, phát triển và mở rộna Một vấn đề được đặt ra là:

Liệu việc trao đỗi thông tin trẽn các hệ thống đỏ có được an toàn hay không? Vì

vậy vấn đồ bảo đam an ninh, an toàn cho các hệ thốnR thôna tin đó cần được xem xét đầy đủ và kỹ lưỡna về mọi mặt.

Hiện nay, hệ thônu tin học cua N H N N đã dược kết nổi mạng trên phạm vi cả nước, hầu hết các nghiệp vụ neân hàng đã được tin học hoá và hoạt độne trên mạna các đườne kết nối m ans giữa N H N N với các NHTM và các tổ chức khác cùns đã được triển khai (do nhu câu cấp thiết phai thực hiện đê phục vụ che) hoạt động thanh toán trên toàn quốc của các NHTM và công tác quan lý của N H N N ) Hệ thốns mạng

N H N N đã được mở rộng về qui mô thuận tiện cho việc kết nối và truy cập tạo môi trườn 2 thuận lợi cho các dịch vụ neân hàng ứng dụna công nghệ thông tin phát triên.1.1.2 Mạng truyền thông cüa NHNN

Các ctii nhánh NH TCTD' C ac chi nhánh NH TCTD Dial- - - - * 0 *

Switch Dial-up\

I l i l 18 Uial-up\

u u II Æ

2620

Chi nhanh NHNN Tinh

^ f Jac cFnnhânh W h u yén7~j

NH ngoài quôc (fcanh cua Oial-up

G &'s 0 ^ »,

điện thoại

nội tình

ISwitch Dial-upV

M

mm lipF

2620

Chi nhjnh NHNNTinh

- Cac chi nhantfMTHuyen ' '

NH ngoái quóc Cnanh cùa Dial-Up

Network

\

Dial up

Private line

Ĩ rone; đó:

• A gan /làng Trung ương:

Quản lý tài khoản của các Ngân hàng được mở tại NHNN Khai thác các chương trình nghiệp vụ liên quan (báo cáo thống kê, thị trường mở kế toán eiao d ịch ).

• Cục Công nghệ Tin học (CNTH):

Địa diêm tại Nguyễn Chí Thanh (Hà Nội), là trung tâm dừ liệu của nsành Ngân hàng Tại đây còn là Trung tâm thanh toán quốc gia (NPSC) có vai trò trung tâm trong việc xử lý các aiao dịch tức thời, bù trừ các siao dịch 2Ĩá trị thấp (< 50()triệu) liên tỉnh giữa các Ngân hàng và thực hiện quyết toán cuối naày.

• Trung tâm dữ liệu dự phòng:

Đặt tại Sơn Tây là trung tâm lưu trừ dữ liệu backup cho dừ liệu tại Cục CNTH.

• 06 PPC:

Là các trung tâm thanh toán tỉnh của hệ thống IBPS, đặt tại 5 tỉnh/thànlì phố: Hà Nội (02 PPC: OC-PPC, HAN-PPC), Hải Phòng (HPH-PPC) Đà Nằng (DNA-PPC), Cần Thơ (CTH-PPC), TP Hồ Chí Minh (HCMC-PPC) PPC dóng vai trò là đầu mối thanh toán cho tỉnh thành trọng điếm kinh tế Nhiệm vụ của trung tâm là tạo cong kếl nối cho các chi nhánh NHTM, NHNN ở tỉnh kết nối với hệ thống IBPS, thực hiện bù trừ các giao dịch giá trị thấp trong nội tỉnh và chuyến tiếp các giao dịch giá trị cao lên NPSC để xử lí và hạch toán.

• Các NH, TCTD:

Là các NH, TCTD ngoài NHNN và tham gia vào các Hệ thống thôns tin nghiệp vụ của NHNN Các đơn vị này giao tiếp với các Hệ thống nshiệp vụ của NHNN thông qua Chi nhánh NHNN tỉnh/thành phố hoặc các PPC.

Thiết bị mạng - truyền thông:

• Router: cho kết nối TCP/IP.

• Giừa NHTW và Cục CNTH được kêt nối bằng cả đườníi cáp quan<2 và d i r o n s

Leased Line.

• Giữa NPSC và PPC được kết nối bằng 2 đườns X25 Leased Line.

• Giữa Cục CNTII và Trung tâm dừ liệu dự phòng, Cục C N T H - các Chi nhánh Cục CNTH - Chi Cục CNTH được kết nối bans đường Leased Line.

• Kết nối giữa các NH, TCTD với các PPC, các Chi nhánh là dial-up qua PSTN, hoặc đườne leased line.

1.1.3 H iện trạ n g vấn đề bảo đảm A T T T tron g hệ th ốn g N H N N

Với sự phát triên, mở rộng nhanh chóng của các hệ thốn2 thôn<2 tin và mạnu lưới kết nòi cua NI INN hiện nay, yêu cầu về an ninh, an toàn thông tin cũne, được đòi hỏi ơ một mức cao hơn Các phươna pháp đảm bảo an toàn thông tin hiện đanu dược sử dụna bao eồm:

• N HNN đưa ra chính sách, qui trình vận hành đối với các hệ thốne thôns tin.

• Cấp cho người dùng tên truy cập và mật khẩu đê cho phép, từ chối hoặc hạn chế truy cập vào các chương trình ứng dụng.

• Phân quyền sử dụne chức năns sử dụns quyền tạo lập kiêm duyệt thông tin aiao dịch, thực hiện lưu dừ liệu dự phòng cho hộ thốne.

• Kêt nối giữa NPSC và PPC là sử dụng đường truyền thuê bao kênh riêng.

• Xây đựns một hệ thống các bức tườne lửa (Firewall) để neăn cách siừa các đối tượng.

• Sử dụng phương pháp mã hóa khóa đối xứng để mã hóa dữ liệu được aửi đi trên đườne truyên (trong hệ thống IBPS).

• Sử dụns chữ ký điện tử trong một vài chương trình ứng dụna (Bù trừ điện tử Nghiệp vụ Thị trường mở)

• Một số biện pháp bảo mật bằng phần cứng và hệ điều hành khác,

Nhừna cơ chế đảm bảo an ninh an toàn thông tin nêu trên hiện đana được sử dụng một cách đơn lẻ ở các chương trình ứns dụns khác nhau Việc mới chỉ sử dụng các phương pháp mã hóa đối xứng là chưa đủ vấn đề xác thực hay chổng chối bỏ chưa được đảm bảo, việc giả mạo dễ xảy ra Hiện chưa có sự kết hợp chặt chẽ giữa các biện pháp nêu trên để tạo ra các hệ thống thông tin an toàn (ví dụ như kết hợp giữa sử dụng chữ ký số và mã hóa, thay vì chỉ sử dụne, đơn lẻ chúng ở các ứng dụng khác nhau )

Vân đề cấp thiết được đưa ra là cần thực hiện một số biện pháp đê đảm hao an ninh, an toàn của hệ thống hơn nữa Ọua đó sẽ làm cho các hoạt độna nghiệp vụ ứng dụng còng nehệ thông tin của NHNN nói riêng và ngành Ngân hàng cua Việt Nam nói chung được an toàn, lành mạnh và ngày càng phát triến.

1.1.4 Yêu cầu tăng cuòng bảo đảm ATTT trong hệ thống NHNN

Ọua việc tìm hiêu thực trạng vấn đề bao đảm an toàn thông tin tại NHNN ta thấv: hiện nay sone sona với sự phát triên ngày càng nhanh của các hệ thôns thôn a tin tại NHNN, hệ thốne, cũng ton tại rất nhiều rủi ro về an toàn thông tin Các phươne pháp đảm bao an toàn thông tin hiện đang được sử dụns (mã hóa, firewall, kiểm soát truy nhập) chưa đem đến một cơ chế bảo vệ thông tin đồng bộ chưa đáp ứne được yêu cầu ngày càng cao của các hệ thống thông tin tại NIỈNN.

Với các hệ thống thông tin đã nêu, bất cứ một truy nhập trái phép nào cũng đều gây nguy hiêm cho hệ thống như: tạo ra các aiao dịch giả mạo làm sai lệch thông tin

đê ăn cắp tiền hoặc xâm phạm an ninh quốc gia Mức độ thiệt hại do nhữnẹ truy nhập hay tấn công trái phép gây ra có thể lên tới nhiều tỉ đồng và có thể ảnh hưởne tới hoạt độn il của nhiều ngân hàng hay thậm chí làm rối loạn thị trườna tiền tệ Việt Nam Bất cứ một đố vỡ nào cua hệ thong cùng ảnh hưởne khôn lườna đen uy tín hay nền kinh tê đât nước Do đó đảm báo an ninh, an toàn cho hệ thons thông tin ngân hàng là yêu câu rất cấp bách.

Hiện nay, các NHTM và rất nhiều doanh nghiệp ngoài ngành đã xây dựng chính sách vẽ an toàn thông tin, triển khai các hệ thống bảo đảm an ninh an toàn để bao vệ

hệ thống công nghệ thông tin (CNTT) của họ.

Dê ngăn chặn, phòng ngừa các rủi ro và hiểm hoạ tiềm ân trong các hoạt dộng ngân hàng ứng dụng CNTT, đảm bảo an toàn hệ thống thông tin của NÍINN, thì cần có giải pháp an ninh hệ thống, xây dựng chính sách an toàn, bảo mật phù hợp với mô hình

tổ chức và hạ tầng sẵn có, triển khai với quy trình khoa học và phù hợp nham tạo ra hệ thống an ninh, an toàn hiện đại cho NHNN đây là công việc cấp thiết cần sớm thực hiện.

Với vai írò là hệ thống xương sống, có quv mô và vai trò lớn nhất tronc các hệ thons, thông tin tại NHNN là hệ thốne thanh toán cốt lõi của hệ thống ngân hàng Việt Nam, cũng là hệ thons có sự trao đôi thông tin nhiều nhất với các đơn vị ngoài NHNN

và luôn tiềm ân rất nhiều rủi ro, hệ thống IBPS chính là hệ thong cần phải được tập trung trước tiên trong việc xây dựns giải pháp đảm bảo an ninh, an toàn thông tin Phan tiếp theo sẽ mô tả tổng quan về hệ thống IBPS Qua đó chúng ta sẽ hiểu sâu hơn vê hoạt động thanh toán của NHNN cũne là hoạt động đặc trưng và chu yếu của toàn bộ hệ thống Ngân hàng nói chung.

1.2 HỆ THÓNG THANH TOÁN ĐIỆN T Ử LIÊN NGÂN HÀNG (IBPS)1.2.1 M ục tiêu của hệ th ố n g IBPS

Hệ thons IBPS có nhữne mục tiêu chính sau:

• Cìiúp NHNN kiểm soát tốt hơn các khoan thanh toán, thông qua việc quan lý tập trung về số dư tài khoản quyết toán của các TCTD.

• Giúp các TCTD tăng cường, von khả dụng, thông qua việc tập truns hoá tài khoản.

• l ăng tốc độ lưu chuyền tiền tệ giảm lượng tiền trôi nôi, nâng cao hiệu quả sử dụna các nguồn vốn của TCTD.

• Bảo đảm hệ thốne Quyết toán và Bù trừ có độ tin cậy cao an toàn và nhanh chóng.

• Cải tiến việc quản lý các chính sách tiền tệ của NHNN, nhờ có các thôn2 tin kịp thời và chính xác về các luồne chu chuyển vốn và các số dư tài khoản của các TCTD.

Với 5 mục tiêu trén, 1BPS trở thành một hệ thống xương sống cho các hoạt độna thanh toán của Việt Nam N ó có tác dụne tích cực đến sự phát triển của nền kinh kế Việt Nam.

1.2.2 Chức năng chính của hệ thống IBPS

Hệ thống IBPS có các chức năng chính sau:

• Chuyên các khoản thanh toán liên ngân hàng (giá trị cao và giá trị thấp) giữa các chi nhánh hoặc hội sở chính của các TCTD.

• Bù trừ các khoản thanh toán giá trị thấp.

• Thực hiện nghĩa vụ thanh toán trực tuyến (on-line) giá trị cao, và kết quả bù trừ giữa các thành viên tham gia thông qua các tài khoản quyết toán được mở tại NHNN.

• Xử lý kết quả thanh toán bù trừ giấy.

• Giao diện với hệ thống chuyến tiền điện tử hiện tại cua NHNN (EIS-G).

1.2.3 Mô hình nghiệp vụ chung cua hệ thống IBPS

Hệ thống IBPS có phạm vi triển khai trên ca nước với 1 trung tâm thanh toán (TTTT) cấp quốc aia, 1 trung tâm giao dịch o c 5 TTTT cấp tỉnh (PPC), 1 trung tâm

dừ liệu dự phòng và hơn 400 đơn vị ngân hàng thành viên (Cỉ).

• ỉ trung tám thanh toán q u ố c gia NPSC đặt tại Cục C N T H :

NPSC thực hiện các hoạt động hàng ngày (khởi tạo đầu neày, kết thúc tieày giao dịch ), kiếm soát trạng thái của các bộ phận (PPC CI truyền thôna ) quản lý và cấp phát các loại mã (mã CI, mã naưới dùng ).

Ngoài các chức năne chung đó ra, NPSC có vai trò trung tâm trong việc XU' lí các giao dịch tức thời, bù trừ các giao dịch giá trị thâp liên tinh giữa các Ngân hàng, xử lý giao dịch giá trị cao xử lý tài khoản quyết toán (SAPS), giao diện với Sở Giao dịch NHNN (trao đối thông tin về số dư và hạn mức), giao diện với hệ thốna chuyền tiền điện tử và thực hiện quyết toán cuối ngày.

Vai trò của trung tâm thanh toán quốc aia NPSC là vận hành, kiếm soát, điều khiển toàn bộ hệ thống thanh toán IBPS.

• 1 trung tâm dữ liệu dự phòng BNPSC đặt tại Sơn Tày:

BNPSC được thiết kế như NPSC và kết nối trực tuyến với NPSC bàng đường truyền tốc độ cao, đê đảm bảo trung tâm dự phòng có đầy đủ dữ liệu Ihay thế trung tâm chính, khi có sự cố xảy ra với truníì tâm chính.

• 5 trung tâm thanh toán tinh PPC đặt tại 5 thành phổ trọng điêm kinh tê là Hà nội,

Các PPC đóng vai trò là đầu mối thanh toán cho tỉnh thành trọng điểm kinh tế Nhiệm vụ của trung tâm là tạo cổng kết nối cho các chi nhánh NIỈTM Ngân hàng nhà nước ở tỉnh kết nổi với hệ thống thanh toán, thực hiện kiểm soát tính hợp lệ của các giao dịch đi và đến, bù trừ các giao dịch giá trị thấp trona nội tỉnh và chuyên tiếp các giao dịch aiá trị cao lên trung tâm thanh toán quốc RÌa đế xử lí và hạch toán tức thời vào tài khoản duy nhất của mỗi Ne,ân hàng mở tại Sở giao địch.

Cuối ngày, PPC tiến hành quyết toán nội tỉnh và tạo dữ liệu đối chiểu cho các chi nhánh và hội sở chính của TCTD Các PPC được kết nối on-line tới NPSC Hiện nay, các PPC đang được nâng cấp đế trở thành trung tâm thanh toán khu vực (đầu mối thanh toán cho nhiều tỉnh thành) thay vì chỉ cho một tính thành.

• / trung tâm giao dịch OC-PPC lò Sớ giao dịch của NHNN đặt tại 49 Lý Thái Tô.

o c cũne có vai trò như một trunu tâm thanh toán tỉnh PPC Tuy nhiên, o c với chức năng riêng của mình chỉ cho phép các Hội sở chính cua các NHTM kêt nòi đèn.

Đó là các NHTM, chi nhánh các NHTM đăng ký tham gia hệ thống và kết nối với các PPC qua đường dial-up hoặc leased-line để thực hiện các dịch vụ thanh toán.

Cỉ khởi phát và nhận các lệnh thanh toán eiá trị cao và giá trị thấp: làm đại lý thanh toán cho các thành vién gián tiếp; hạch toán tài khoản khách hàng và đối chiểu

dữ liệu; giao diện với các hệ thống khác trong cùng chi nhánh; thực hiện một số chức năna, klìác liên quan đến quá trình eiao dịch (vấn tin báo cáo ).

Riêng với các hội sở chính của TCTD (CIHO), ngoài chức năng như một CI ra, còn có chức năng theo dõi và duy trì sổ dư tài khoản thanh toán và hạn mức thanh toán giá trị thấp tại SCỈD; thanh quyết toán về vốn với các chi nhánh trong cùng hệ thons; cung với NHNN xây dựng hạn mức cho các khoản thanh toán giá trị thấp; xử lý các công việc khác liên quan đến hệ thống thanh toán.

NPSC OC

DA NANG PPC

HO CHI MINH PPC

Hình 2 Mô hình nghiệp vụ, tổ chức của hệ thống IBPS

1.2.4 Các dich VII cüa hê thống IBPS• • • “

• Hệ thons IBPS có nhừne dịch vụ chính sau:

• Thanh toán giá trị cao IIV ( High V alue)

• Thanh toán trị thấp LV (Low Value)

• Tiếp nhận kêt quả bù trù giấy (Paper clearing)

• Vấn tin tài khoan (Inquiry A ccount)

• Tra soát lệnh thanh toán (C hecksum instruction)

• Hoàn chuyến lệnh thanh toán (R efund instruction)

• Thực hoá (N etting)

• Đôi chiếu cuôi rmày và in báo cáo cuối ngày (Report).

Trong các dịch vụ trên của hộ thống IBPS, thì HV và LV là hai dịch vụ quan trọnạ nhất Chúng thực hiện 98% tống số các giao dịch và tác vụ của hệ thống Các dịch vụ khác ít được sử dụng, thưừna sứ dụng vào cuối ngày hay trong tình huône đặc biệt Dưới đày, tôi chỉ xin trình bày về hai dịch vụ HV và LV.

ỉ) Thanh toán giá trị cao (HV)

HV lá dịch vụ thanh toán trực tuyên quan trọ na nhất cua hệ thons, xứ lý các lệnh thanh toán có giá trị tiền từ 500 triệu V N D trỏ' lên.

Giao dịch IIV dược khởi tạo từ Ngân hàng tham gia CI và gửi về PPC PPC kiêm tra tính hợp lệ của giao dịch như bảo mật bảo toàn, tính đúne đan và hợp lệ cua lệnh thanh toán, sau đó sửi chuyên tiếp đến trune tâm thanh toán quốc aia NPSC kiêm tra

và xử lí lệnh thanh toán.

Thông qua SAPS, hệ thống sẽ uhi nợ và ghi có online cho tài khoan tiên aửi của các bên tham gia Tuỳ theo giá trị sổ vốn có trona tài khoản của Neân hàna có du đê ghi nợ cho lệnh thanh toán hay không, mà lệnh thanh toán sẽ được xử lí neay lập tức hay đợi tron a hàng đợi lệnh thanh toán.

Các lệnh thanh toán trone hàng đợi sẽ tự động được xử lý khi có du vốn trên tài khoản Kốt quả xử lí lệnh thanh toán sẽ được thông báo cho các bên tham gia.

2) Thanh toán giá trị thấp (L V)

LV là dịch vụ thanh toán cho các lệnh thanh toán có 2.iá trị tiền nhỏ hơn 500 triệu VND.

Kêt qua thanh toán của các lệnh L.v được thực hiện tuỳ theo hạn mức cua từna Neân hàng có được trên thị trường liên Ngân hàng Hạn mức đỏ được thiết lập trên cơ

sở các giấy tờ có giá ký quỹ tại Sở eiao dịch-NHNN.

Kêt qua thanh toán được ghi nợ và ghi có tạm thời cho các bên và được thực hoá

(chính thức cộng hay trừ tiền Irong tài khoản) theo các phiên bù trừ tron a neày.

Các lệnh LV siừa các Ngân hàng trong cùng PPC sẽ được 2hi nợ và có vào banc giá trị bù trừ của các Ngân hàng ngay tại PPC Các lệnh LV eiữa các Ngân hàng khác PPC sẽ đưọ'c PPC tiếp nhận chuyển thắna lên NPSC đê ehi nợ và có vào bảne eiá trị

bù trừ của các Ngân hàng tại NPSC Tống thu và chi thực tế cua các Ngân hàng sẽ được thực hiện tại thời điếm thực hoá của hệ thống.

N P S C (1 v s s

1.2.5 Cấu trúc phần mềm của hệ thống IBPS

SAPS LVSS

S w ikhina n v s sEfS i w

Tại NPSC có các module chính:

SAPS - module thực hoá lệnh thanh toán;

LVSS Switching - module chuyển mạch và xử lí LV;

HVSS - module xử lí các giao dịch eiá trị cao;

EIS G/W - cổng kết nối với hệ thống chuyển tiền điện tứ.

1.2.6 Hiện trạng an ninh hệ thống ĨBPS

Hệ thong 1BPS có một sô cơ chế đảm bảo an toàn thông tin:

• Mà hoá dừ liệu trên đường truyền bănụ khóa phiên.

• Khỏa phiên được tạo tại PPC và được truyền cho CI trên một kênh khôns an toàn.

• Cap mã xác thực cho thành viên tham gia hệ thống.

• Dâu hiệu xác thực (thay cho chữ ký) được tạo ra bằng cách sử dụns thuật toán DES đế tạo bản tóm tắt của dừ liệu với khỏa là mã xác thực và phương thức thực hiện CBC (cipher block chaining) PPC biết mã xác thực của tất cả các CI.

• Sư dụna user/password đăne nhập chương trình.

• Ban hành các quy định về đảm bảo an ninh, an toàn hệ thống (quy trình vận hành, thời sian hiệu lực của Mã xác th ự c )

• Phân quyền sử dụng, chức năng sử dụng, quyền tạo lập, kiểm duyệt thông tin eiao dịch, thực hiện lưu dừ liệu dự phòng cho hệ thống tại CI-TAD.

• Hộ thốníì mạng truyền dừ liệu giữa NPSC và PPC sử dụng đường truvền thuê bao kênh riêng X25, Leased-line.

N hânjiét:

Với nhừns CO' chẻ đảm bảo an ninh an toàn trên của hệ thốne, ch Ún í! ta thấy là chưa đủ ở thời điêm hiện tại khi mà các tội phạm cône nạhệ thông, tin có kv thuật Iieày càng cao và ngàv cànc đôna đảo.

Việc khóa phiên được eửi từ PPG cho CI khôna được mà hóa thực sự khôno an toàn.

Mã xác thực của CI (dùng đê tạo dừ liệu xác thực thay cho chừ ký) thì tại PPC cũng biêt sẽ khône 2Ĩải quyết được vấn dề chổng chối bỏ.

Ngoài ra việc đảm bảo an toàn thông tin bàne cơ chế phân quyền sử dụne chươne trình, băng tài khoản dăna nhập và các quy định không đủ đê tạo ra một hệ thốna thực

sự an toàn.

Do đó đè đảm bảo an ninh cho hệ thống, các cơ chế bảo đảm an toàn thông tin cũ đang sử dụng cần được nâng cấp đồng thời đưa vào các cône nahệ mới an toàn hơn Chang hạn: nâne cấp các thuật toán mã hóa (không chỉ sử dụnẹ các thuật toán mã hóa đối xứng như hiện tại), xác thực người dùng dựa trên một hạ tans cơ sở về mật mà khóa công khai (PKI) nhằm tạo ra một cơ chế bảo mật đồna bộ giữa tất cả các thành phần của hệ thons IBPS.

ở những chương tiếp theo đây, chúng ta sẽ cùng tìm hiểu chi tiết hơn về một số phương pháp bảo vệ thông tin và hạ tầng cơ sở về mật mà khóa công khai Từ đó đưa

ra những đánh RĨá về khả năng ứng dụng PKI cho NHNN nói chung và đặc biệt là cho

hệ thong Thanh toán điện tử liên ngân hàng 1BPS nói riêng.

Chương 2. MỘT so KỲ THUẬT MẬT MÃ

2.1 K Ỷ T H U Ậ T M Ã H Ó A

2.1.1 Khái niêm mã hóa

Mã hóa là công cụ cơ ban cua việc đảm bảo an toàn dừ liệu Ban đầu mật mà học được sư dụne phô biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò cua mật mã ngày càng quan trọng và mang lại nhiều thành quả không nhỏ như các hệ mà cổ điên Caeser, Playfair, Chúne đã là nền tảna cho mật mà học ngày nay.

Ngày nay, khi toán học được áp dụng cho mật mã học thì lịch sử của mật mà học

đà sang trang mới Việc ra đời các hệ mã hóa đối xứng không làm mất đi vai trò của các hệ mật mã cô điển mà còn bô sung cho ngành mật mã nhiều phương pháp mã hóa mới Từ năm 1976 khi hệ mật mã phi đối xứng (mật mã khóa công khai) ra đời nhiều khái niệm mới gắn với mật mã học ra đời: chữ ký số, hàm băm mã đại diện, chứna chi'

số Mật mã học không chỉ áp dụng cho quân sự mà còn cho các lĩnh vực kinh tế xà hội khác (giao dịch hành chính, thương mại điện tử).

Hiện nay có nhiều phương pháp mã hóa khác nhau, mỗi phương pháp có ưu nhược điểm riêng Tùy theo yêu cầu của môi trường ứng dụng nào người ta có thể dùng phương pháp này hay phương pháp kia Có những môi trường cần phải an toàn tuyệt đôi bât kê thời gian và chi phí Có nhữníì môi trường lại can giải pháp dune hòa giữa bảo mật và chi phí.

Các thông điệp cần chuyên đi và cần được bảo vệ an toàn gọi là bản rõ (plaintext),

và dược ký hiệu là p Nó có thể là một dòng vào các bit, các file, âm thanh, số hóa Ban rõ được dùng đê lưu trữ hoặc đề truyền đạt thông tin Trong mọi trường hợp bản

rõ là thông điệp cần mã hóa Quá trình xử lý một thông điệp trước khi 2ửi được gọi là quá trinh mã hóa (encryption) Một thông điệp đã được mã hóa được eọi là bản mà (ciphertext), và được ký hiệu là c Quá trình xử lý ngược lại từ bản mã thành bản rõ gọi là quá trình giải mã (decryption).

H ệ m ã hóa là tập hợp các thuật toán, các khóa nhằm che giấu thôtm tin cìiníi như

Với mỗi k € K có một hàm lập mà Ek € E (Ek : p -> C) và một hàm giải mã Dk e

D (D k : c -> P) sao cho D k(Ek(x)) = X , với mọi X G p.

Hiện nay các hệ mã hóa được phân làm hai loại chính là: Hệ mã hóa khóa đối xứng và hệ mã hóa phi đối xứng (hay còn gọi là hệ mã hóa khóa công khai).

Một số hệ mã hóa khóa dối xứne là: Caesar, IDEA, DES, Triple D E S

Một so hệ mã hóa phi đối xứng là: RSA, Elgamal, ECC

Hệ mã hóa khóa đối xứne hay là hệ mà hóa mà khóa mà hóa có thê “ dề" tính toán

ra được từ khóa giải mã và ngược lại T rong nhiêu trườne hợp khóa mà hóa và khóa

g iả i mà là giống nhau Hệ mã hóa này còn gọi là hệ mã hóa khóa bí mật

Khóa sử dụne tro n s hệ mã hóa này phai được giữ bí mật và phải được aửi đi trên kênh an toàn Đ ộ an toàn của hệ mã hóa này phụ thuộc vào sự bí m ật của khóa

M ô hình mã hóa khóa đối xứng được m ô tả như sau:

2.1.2 Hệ mã hóa khóa đối xứng

Hình 6 Mô hình mã hóa khóa đối xứng

C ó liai loại mã hóa khóa đối xứng: M ã hóa theo từng khối (D E S ID E A R C 2 )

và mã hóa theo các b it dữ liệu (R C 4)

* ưu điếm của mã hóa khóa đối xứng:

- Tôc độ mã hóa nhanh

- Sử dụng đơn giản

* N hược điếm cua hệ mã hóa khóa đối xứng:

- Hệ mã hóa khóa dổi xứng không an toàn nếu có xác suất cao khóa người eưi bị

lộ

- Vân đề quan lý và phân phối khóa là kh ó khăn và phức tạp N aười aửi và neười nhận phải luôn thống nhất với nhau về khóa V iệ c thay đổi khóa là khỏ và dề bị lộ

- K h u yn h hướne cung cấp khóa dài mà nó phải được thay đôi thường xuyên cho

m ọi naười, tron g kh i vẫn duy trì cả tính an toàn lần hiệu quả chi phí sẽ cản trở nhiều tới việ c phát triể n hệ mã hóa khóa đối xứng

* Nơi úng dụng:

- Sử dụng trong m ô i trườn a mà khóa dề daim dược trao đối như là iro n s CÙ112 m ột văn phòng

- Mà hóa các thông tin dè lưu trên đĩa

* Một số loại mã hóa khóa đối xứng:

- DES: 56 bit, mã hóa khối dừ liệu 64 hit.

- T rip le DES, D E S X , G D ES, RD ES: mở rộng độ dài của khóa ở mã hóa DES lên tới 168 bit

- RC2 RC4 RC5: độ dài khóa có thể lên tới 2048 bit.

- ID E A ( International Data E n cryp tio n A lg o rith m ): 128 bit thư òng dùng trong các chương trìn h em ail

- Blowfish: 448 bit

Đê khắc phục điếm hạn chế của phương pháp mã hóa khóa đối xứriR, trong quá trình trao đôi khóa bí mật, neười ta sử dụrm phương pháp mà hóa phi đôi xứna (mã hóa khóa công khai)

Phương pháp mã hóa khóa công khai được phát m inh bởi W h itfie ld D itĩie và

M a rtin H e llm an vào năm 1975 Phương thức mã hóa này sử dụna hai khóa là khóa cóng khai (P ublic K ey) và khóa bí mật (P rivate K e y) có các quan hệ toán học với nhau ĩro n g đó Private K ey được giữ bí mật và không có khả năng bị lộ do khôns cần phải trao đôi trên m ans Public K ey khône phải aiừ bí mật và m ọi người đều có thê nhận dược khóa này

Do phương thức mã hóa này sử dụns 2 khỏa khác nhau nên người ta gọi là phươna thức n ã hóa phi đối xứng M ặc dù Private K ey được giữ bí mật nhưng không 210 112 với "secret k e y " sử dụne trong phương thức mã hóa khóa đổi xứne do Private Key khône được trao đôi trên mạng

M ô hình mã hóa khóa công khai được m ô tả như sau:

2.1.3 Mã hóa khóa công khai

Hình 7 Mô hình mã hóa khóa công khai

Khóa lập mã (P ublic K e y) và khóa g iải mã (P rivate K e y) tương ứng có quan hệ toán học với nhau và được sinh ra sau kh i thực hiện các hàm toán học N hư ng các hàm toán hạc này luôn thỏa mãn điều kiệ n là nếu kẻ xấu biết P ublic Key và cố gắng tính toán Xí. P rivate K ey, thì sẽ phải đươne đầu vớ i trường hợp nan giải khône khả thi vê thời gian

M ) t cặp khóa gồm P ublic K ey và P rivate K ey được gọi là K e y Pair

IM )t thône diệp được mã hóa bằng P ublic K ey, chỉ có thể giải mã được bằng Private K e y tươne ứng M ột thông điệp được mã hóa bane P rivate K e y, chỉ có thê aiải

mã diu'JC băns P ublic K ey tươna ứng của nó

Kc xấu m uốn tính toán ra thône điệp ban đầu dựa vào P ublic K ey và bản mã, thì phai g ải quyết bài toán “ khó” với số phép thử là vô cùng lớn do đó khône kha thi

Giả sư A m uôn eưi cho B m ột thông điệp: Dầu tiên B phai sinh cặp khóa Public

K ey - Private K ey N eil A m uon aưi cho B m ột thôns điệp được mã hóa, A yêu cầu

P ublic K ey cua B B eứi cho A P ublic K ey cua B trên m ạne khône an toàn và A dùng khóa này đê mã hóa thông điệp A gửi thông điệp được mã hóa cho B và B giai mă bàng Private K ey của B

Đò thực hiện được phươna thức mà hóa dùng khóa công khai, có m ột số vấn đề cần giãi quyết như sau:

• Cáu hỏi 1 : Là m thế nào đê A có thê biết chính xác P ublic K ev mà A sử dụna đúne

là Public K ey của B ?

• Câu hỏi 2: Làm thế nào đê B biết được chính xác là thông diệp được gửi đi từ A ?Chúng ta xem xét các tình huống có thể bị tấn công đối với phương thức mã hóa khóa công khai như sau:

c là m ột người nghe trộm , c có thể lấy được ban mã (ciphe rtext) chuyến từ A dẻn

B nhưng khôna thế giải mã được bản mã này vì c không có Private K ey của B

Vàn đề đặt ra là làm thế nào để A có thế biết chính xác P ublic K ey mà A sử dụng

đ ú n g là P u blic K ey của B T rong trường hợp này, nếu Đ giải mạo B gửi P ublic Key của D đến A (A nhận được P ublic K ey của D mà không phải là của B) và A vẫn mã hóa thông điệp của m ình; khi đỏ thỏne điệp đến D sẽ vẫn g iải mã được do D có Private K ey của m ình Để khắc phục hạn chế này, người ta xây dựns m ột hệ thống các

tổ chức thứ ba đóne vai trò trung gian trong việc xác thực tính đúng đắn cua m ột

P ublic K ey Đ ó là các tỏ chức xây dựng hệ thons chứng thực điện tử (trone những phần sau sẽ trìn h bày kỹ hơn về C e rtificate)

Nêu như A sử dụna Private K ey của m ình để mã hóa m ột thông diệp và gửi tó i B

K h i đo, B có thể sử dụna Public K e y của A đế eiải m ã thông điệp từ A M ộ t người thứ

ba c jũ n g có P ublic K ey của A (P ublic K e y là m ột khóa công kh a i) nên nếu nhận được thông điệp gửi từ A cũng có thể g iả i mã được và đọc nó D o đó A khônẹ thề sứ

d ụn g Jrivate K e y của m ình đế mã hóa m ột thông điệp T uy nhiên dựa vào đặc điếm ánh xa 1 : 1 giữa Private Key và P ublic K ey ta có thê thấv rang thông điệp được mã hóa là được sửi từ A mà không phải là m ột người khác Đ iều này cũns trả lời cho câu hỏi 2.

MỘI hạn chể của phương thức mã hóa khóa công khai là làm giâm tốc độ thực hiện thao tác xuống từ 100 đến 1000 lần so với phươne thức mã hóa khóa đối xứna Do dó phưưnR thức mà hóa này ít được sư dụng đê mã hóa dừ liệu kích thước lớn Phương thức này thường được sử dụ nu cho giai đoạn khơi đầu của kết nối giữa hai thực thê cân giao tiếp với nhau, và sau đó m ột khóa bí m ật (secret key) được tạo đê thực hiện quá trình trao đôi dừ liệu (khóa bí mật này chỉ tồn tại trong m ột phiên làm việc duy nhất)

V iệc sư dụn° kỹ thuật mà hóa khóa công khai cho quá trìn h bat tav aiừa hai thực thè cần trao đổi th ô n s tin có yêu cầu bảo mật, kết hợp với dùng hệ mã hóa khóa bí mật cho quá trình trao đổi dừ liệu tạo thành m ột phươne thức mã hóa lai Đê thực hiện được phươna thức mã hóa lai, Netscape đã đưa ra siao thức SSL thực hiện các quá trình trên

Qua các phân tích trên, chúng ta thay rane có hai vấn đề cần phải khắc phục khi sử dụng phương thức mã hóa dựa trên nền tảng khóa công khai đó là:

[1] N eu sử dụng P ublic Key đe mã hóa m ột thông điệp, thì đảm báo thôna điệp đó là hoàn toàn bảo mật nhưnR cân phải kiểm tra tính xác thực của P ublic K ey

[2] Neu sử dụng Private K ey để mã hóa m ột thông điệp, thì có thể g iải mã được bởi nhiêu người có được Public K e y, nhưns lại có thê sử dụna phươna thức này dê kiếm tra tính xác thực của người gửi thông điệp

* Nơi ứng dụng

- Sử dụng chủ yếu trên các m ạng công khai như Internet V í dụ sử dụng khóa côns khai trong các giao dịch diện tử

* Một sổ loại mã hóa khóa công khai:

- R S A : Loại mã hóa này được dùng nhiều nhất cho W eb và chương trìn h em ail Độ dài khóa thông thường là từ 512 đến 1024 hit

- H IG am al: Đ ộ dài khóa thông thườna tù' 512 đến 1024 bit

• Cúc chuẩn mã hóa khóa công khai (PKCS).

PKCS (P ublic Key C ryptography Standards) là các chuân do phòng thí nghiệm RSA S ecurity và các nhà phát triển hệ thống trên thế giớ i (như M ic ro s o ft, A pple

S u n ) phát triển vớ i mục đích ẹiúp cho việc triển khai các hệ mật mã khóa công khai nhanh chóng, dễ dàng hơn T rong lĩnh vực hảo mật ta có thể thấy các chuân này hiện đang được sử dụng ở khắp m ọi nơi PKCS được định nghĩa cho cả các thône điệp dạn2

B inary và dạng A S C II PKCS hiện tại bao gồm các chuẩn PK C S #1 PKCS#3 PKC S#5, PKCS#6, PKCS#7, PKCS#8, PKCS#9, P K C S #10, PK C S #11, PKCS#12, PKC S#13, PKC S#14, PKCS#15 H iện tại phiên bản của các bản dans sử dụng là 2.1

T ro n g đó:

• PKCS #1 : Chuẩn mà hóa dữ liệu RSA Chuấn này định nghĩa các cơ chê cho việc

mã hóa và ký chữ ký số sử dụns các hệ mật mã khóa công khai R SA

• PKCS #3: Chuân thỏa thuận khóa D iíììe -H e llm a n Chuẩn này định nghĩa giao thức thỏa thuận khóa D iffie -H e llm a n

• PKCS #5: Chuấn mã hóa dựa trên mật khấu (Password-based e ncryptio n Standard

- PBE) Chuân này mô tả phương thức sinh ra m ộ t khóa bí mật dựa trên m ột mật khấu có sẵn

• PKCS #7: Chuẩn qui định cấu trúc của các thông điệp khi sử dụng chừ ký diện tử

và mã hóa

• PK.CS #8: Chuân này định nghĩa m ột phương thức để lưu thông tin khóa riêng

• PKCS #1 1: Chuẩn này định nghĩa m ột giao diện chương trìn h công nghệ độc lập cho các thiết bị mật mã, ví dụ như các thỏ thôna m inh

• PKCS #12: Chuân qui định m ột định dạng lin h động cho việc lưu trừ và phân phối

các khóa riêng, các chứng c h ỉ

• PKCS #13: Chuấn mật mã đườne cong E lip (E llip tic curve cryptography - ECC)

C huân này m ô tả các cơ chế đế mã hóa và ký chữ ký điện tư sử dụne lý thuyết mật

mã đường cong E lip

• PK C S #14: Bao hàm việc sinh sổ giả naẫu nhiên (pseudo random num ber generation - PR N G ) Chuân này hiện nay đang trong quá trình phát triển

• PK.CS #15: Chuân này đang trong quá trình phát triển; nó đưa ra m ột cách thức chuân cho các khả năn® lưu trữ trên các token (các thẻ thông m in h )