Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực đểthúc đẩy và phát triển Công nghệ Thông tin CNTT, phát triển các dịch vụ trên mạng, bảo đảmcho các hoạt động giao dịch, trao
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
TCVN xxxx-2:2015 ISO/IEC 13888-2:2010 Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –
CHỐNG CHỐI BỎ – PHẦN 2: CÁC CƠ CHẾ SỬ DỤNG
KỸ THUẬT ĐỐI XỨNG
Information technology – Security techniques – Non-repudation –
Part 2: Mechanisms using symmetric techniques
HÀ NỘI, THÁNG 10-2014
Trang 2MỤC LỤC
1 Tên gọi và ký hiệu tiêu chuẩn 1
2 Giới thiệu chung 1
3 Đặt vấn đề 1
3.1 Tầm quan trọng của tiêu chuẩn chống chối bỏ phần 2: Các cơ chế chống chối bỏ sử dụng kỹ thuật đối xứng 1
3.2 Khái quát về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa đối xứng 2
3.3 Tình hình tiêu chuẩn hóa liên quan đến phần 2 của bộ tiêu chuẩn 3
3.3.1.Các vấn đề cần xem xét trong xây dựng cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa đối xứng 3
3.3.2.Tình hình tiêu chuẩn hóa về chống chối bỏ có liên quan đến tiêu chuẩn chống chối bỏ phần 2 4
3.3.3.Tình hình xây dựng tiêu chuẩn tại Việt Nam 5
3.3.4.ISO/IEC 13888-2:2010 và vai trò của nó trong tiêu chuẩn chống chối bỏ 6
3.4 Lý do và mục đích xây dựng tiêu chuẩn 7
4 Sở cứ xây dựng tiêu chuẩn 8
5 Phương pháp xây dựng tiêu chuẩn 8
6 Nội dung chính của dự thảo tiêu chuẩn 8
7 Bảng đối chiếu tiêu chuẩn viện dẫn 9
8 Khả năng ứng dụng thực tế 11
8.1 Nhu cầu về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa đối xứng 11
8.2 Minh họa dịch vụ chống chối bỏ 14
8.3 Ví dụ về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa đối xứng 15
9 Khuyến nghị áp dụng tiêu chuẩn 17
9.1 Đối tượng sử dụng 17
9.2 Yêu cầu về trình độ của đối tượng sử dụng tiêu chuẩn 17
9.3 Phạm vi sử dụng tiêu chuẩn 17
9.4 Mô hình triển khai áp dụng tiêu chuẩn 17
10 Kết luận 18
Trang 31 Tên gọi và ký hiệu tiêu chuẩn
Tên tiêu chuẩn: “Công nghệ thông tin – Các kỹ thuật an toàn - Chống chối bỏ – Phần 2: Các cơ chế sử dụng kỹ thuật đối xứng”
Ký hiệu tiêu chuẩn: TCVN xxxx-2:2015
2 Giới thiệu chung
Bộ tiêu chuẩn về chống chối bỏ của tổ chức ISO/IEC 13888 là một thể thống nhất cho các dịch
vụ chống chối bỏ Ba phần tiêu chuẩn ISO/IEC 13888-1, ISO/IEC 13888-2, ISO/IEC 13888-3bao gồm các nội dung liên quan mật thiết đến nhau, cụ thể là:
- ISO/IEC 13888-1: Mô tả mô hình tổng quan của bộ tiêu chuẩn và các cơ chế chống chối bỏ
- ISO/IEC 13888-2: Mô tả các cơ chế chống chối bỏ sử dụng kỹ thuật đối xứng
- ISO/IEC 13888-3: Mô tả các cơ chế chống chối bỏ sử dụng kỹ thuật bất đối xứng
Trong phần thuyết minh này, tiêu chuẩn ISO/IEC 13888-2:2010 được sử dụng làm cơ sở để xâydựng tiêu chuẩn quốc gia về các cơ chế chống chối bỏ sử dụng kỹ thuật đối xứng TCVN xxxx-2:2015
Chính vì sự liên quan của ba tiêu chuẩn phục vụ cho mục đích chống chối bỏ, phần thuyết minhcủa tiêu chuẩn được trình bày có một số nội dung gần tương tự thuyết minh của tiêu chuẩnISO/IEC 13888-1
Mặt khác, các nguy cơ tấn công mạng ngày càng nhiều, tập trung nhiều vào các giao dịch trênmạng Ngoài ra còn phải kể đến các hành vi gian lận, giả mạo, lừa đảo trong các giao dịch trênmạng, đặc biệt là các hành vi chối bỏ việc đã thực hiện một hoạt động giao dịch chẳng hạn
Kể cả khi được bảo vệ với mã hóa, dữ liệu vẫn còn có thể bị làm xáo trộn khi truyền tải, hoặcthông qua một cuộc tấn công Man-in-the-Middle hoặc lừa đảo Do lỗ hổng này, tính toàn vẹn dữliệu tốt nhất là cần được xác minh và khẳng định khi người nhận đã sở hữu các thông tin xácminh cần thiết
An toàn bảo mật nhằm đảm bảo thông tin được cung cấp đúng thẩm quyền (tính bí mật), sẵndùng khi cần tới (tính sẵn sàng), chính xác và đầy đủ (tính toàn vẹn) đang là vấn đề cấp thiết trên
Trang 4toàn thế giới và cả ở Việt Nam Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực đểthúc đẩy và phát triển Công nghệ Thông tin (CNTT), phát triển các dịch vụ trên mạng, bảo đảmcho các hoạt động giao dịch, trao đổi thông tin trên mạng như: giao dịch điện tử, thương mạiđiện tử, thanh toán điện tử, chính phủ điện tử, cung cấp các dịch vụ hành chính công trênmạng,v.v…
Mục tiêu chống chối bỏ là Thu thập, duy trì, cung cấp và xác minh bằng chứng không thể phủnhận về một sự kiện, hành động đã xảy ra; giải quyết tranh cãi về việc đã hoặc không xảy ra một
sự kiện hay hành động trong quá khứ
Có thể thấy, chống chối bỏ rất cần thiết cho giao dịch điện tử, thương mại điện tử, các dịch vụtrên mạng khác và việc tiêu chuẩn hóa về chống chối bỏ là hết sức cần thiết
Để có được bộ tiêu chuẩn về chống chối bỏ, tiêu chuẩn về chống chối bỏ phần 1: TCVN 1:2015 về một mô hình tổng quan về chống chối bỏ đã được xây dựng dự thảo Việc chuẩn hóacác cơ chế chống chối bỏ và các dịch vụ chống chối bỏ là hết sức cần thiết Đó cũng là mục tiêu
xxxx-của tiêu chuẩn chống chối bỏ phần 2 dưới tên: ISO/IEC 13888 phần 2 “Công nghệ thông tin – Các kỹ thuật an toàn - Chống chối bỏ – Phần 2: Các cơ chế sử dụng kỹ thuật mã hóa đối xứng” do tổ chức ISO đưa ra.
1.2 Khái quát về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa đối xứng
Thuật ngữ chống chối bỏ xuất hiện lần đầu năm 1988 trong tiêu chuẩn OSI/ISO 7498-2:1988.Chống chối bỏ được hiểu là một dịch vụ an toàn nhằm chống lại việc chối bỏ một sự kiện hoặchành động nào đó đã xảy ra hoặc đã thực hiện Điều đó nghĩa là sự từ chối của một trong các bêntham gia vào trao đổi thông tin về việc đã tham gia vào tất cả hoặc một phần của giao dịch traođổi thông tin (theo ISO 7498-2) Ví dụ, một bên có thể từ chối việc gửi, nhận, hoặc từ chối nộidung thông điệp, hoặc từ chối thời gian chuyển phát,
Định nghĩa này bao hàm toàn bộ khía cạnh của dịch vụ thương mại điện tử (e-commerce) Trongdịch vụ đó, có thể có nhiều khả năng chối bỏ như: chối bỏ một đơn đặt hàng, chối bỏ cung cấp,thanh toán, chuyển phát, chất lượng đã cam kết,
Một vân đề với giao dịch thương mại điện tử là tương đối dễ chối bỏ Vấn đề này bắt nguồn từkhả năng dễ dàng tạo ra và thực hiện giao dịch điện tử trên mạng Khàng có thể từ chối giaodịch, từ chối đã nhấn nút chuyển, sử dụng trái phép thông tin cá nhân bị giả mạo,
Mục tiêu của dịch vụ chống chối bỏ là thu thập, duy trì, cung cấp và xác minh bằng chứngkhông thể chối cãi liên quan đến một sự kiện hay hành động tuyên bố về thâm quyền để giảiquyết tranh chấp về sự xuất hiện hoặc không xảy ra sự kiện hoặc hành động Các dịch vụ Chốngchối bỏ có thể được áp dụng trong một số hoàn cảnh khác nhau và các tình huống Dịch vụ này
có thể áp dụng đối với việc tạo ra dữ liệu, lưu trữ dữ liệu, hoặc truyền tải dữ liệu Không phủnhận về việc tạo ra bằng chứng cho thấy có thể sử dụng chúng để chứng minh rằng một số sự
Trang 5kiện hay hành động đã diễn ra, do đó, những sự kiện này hay hành động này là không thể chối
bỏ sau này
Một vấn đề quan trọng đặt ra trong thực tiễn là cần có quy định về các cơ chế chống chối bỏ sửdụng kỹ thuật mật mã đối xứng, trong đó có quy định về việc bảo đảm toàn vẹn dữ liệu, tạo ra vàgắn kết bằng chứng kèm theo thông điệp; Cơ chế chống chối bỏ cụ thể với kỹ thuật mật mã đốixứng Đây chính là vấn đề trọng tâm và nhu cầu thực tế để tổ chức ISO đưa ra tiêu chuẩnISO/IEC 13888 phần 2
1.3 Tình hình tiêu chuẩn hóa liên quan đến phần 2 của bộ tiêu chuẩn
3.3.1 Các vấn đề cần xem xét trong xây dựng cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa
đối xứng
Như đã trình bày, chống chối bỏ được coi là một dịch vụ cung cấp bằng chứng về sự toàn vẹn vànguồn gốc của dữ liệu
Những vấn đề cần xem xét xây dựng tiêu chuẩn về chống chối bỏ gồm: bằng chứng, chống chối
bỏ nguồn gốc, chống chối bỏ vận chuyển, chống chối bỏ bên nhận, hàm băm, mã hóa, chứng chỉ,chữ ký số, bên thứ ba tin cậy, công chứng
Bằng chứng về tính toàn vẹn dữ liệu thường là dễ nhất trong số các yêu cầu để thực hiện Mộthàm băm dữ liệu, chẳng hạn như SHA2, thường là đủ để thiết lập khả năng kiểm chứng sự thayđổi của dữ liệu Tuy nhiên, kể cả được bảo vệ với hàm băm, dữ liệu vẫn còn có thể bị làm xáotrộn khi truyền tải, hoặc thông qua một cuộc tấn công Man-in-the-Middle hoặc lừa đảo Do lỗhổng này, tính toàn vẹn dữ liệu tốt nhất là cần được xác minh và khẳng định khi người nhận đã
sở hữu các thông tin xác minh cần thiết
Phương pháp phổ biến nhất để xác minh nguồn gốc của dữ liệu là thông qua chứng chỉ số, mộtdạng của cơ sở hạ tầng khóa công khai có sử dụng chữ ký số Lưu ý rằng khóa công khai khôngđược sử dụng để mã hóa theo hình thức này, vì không thể bảo mật chỉ đơn thuần bằng cách kýmột thông điệp với một khóa riêng Xác minh nguồn gốc có nghĩa là các chứng chỉ / chữ ký làhợp lệ, đáng tin cậy từ một người nào đó sở hữu khóa riêng tương ứng với chứng chỉ đã cho
Căn cứ vào định nghĩa chống chối bỏ, các vấn đề sau đây được quan tâm trong xây dựng tiêuchuẩn chống chối bỏ phần 2:
- Bằng chứng: Thông tin được sử dụng, hoặc kết hợp với thông tin khác, để thiết lập chứng cớ
về một sự kiện hoặc hành động
- Tính toàn vẹn của dữ liệu: bằng chứng về tính toàn vẹn = kiểm chứng nếu có thay đổi dữ liệu.Thường dùng hàm băm (VD SHA2)
Trang 6- Chữ ký số: Dữ liệu chèn thêm vào cho phép bên nhận xác minh nguồn gốc và tính toàn vẹn củakhối dữ liệu và bảo vệ chống lại sự giả mạo.
- Chứng chỉ: Dữ liệu biểu thị không thể giả mạo với khóa riêng hoặc khóa bí mật của một cơquan chứng thực
3.3.2 Tình hình tiêu chuẩn hóa về chống chối bỏ có liên quan đến tiêu chuẩn chống chối bỏ
phần 2
Như đã nêu, một phần quan trọng của an toàn thông tin trong nền kinh tế số là việc cung cấp các
cơ chế chống chối bỏ giúp cho việc thu thập và bảo vệ các bằng chứng chống chối bỏ cần thiếttheo quy định Các cơ chế chống chối bỏ cơ bản được chuẩn hóa gồm:
· Chống chối bỏ nguồn gốc: Dịch vụ này sẽ xác minh bên khởi phát chứ ký và nội dung thôngđiệp thông qua kiểm tra tính hợp lệ dữ liệu
· Chống chối bỏ chuyển phát: Dịch vụ này sẽ cho chữ ký số là một bằng chứng của X.400 khitruyền thông điệp
· Chống chối bỏ trình duyệt: Dịch vụ này sẽ cho chữ ký số là một bằng chứng của việc trìnhduyệt thông điệp với X.400
· Chống chối bỏ vận chuyển: Dịch vụ này cung cấp bằng chứng cho việc vận chuyển tới ngườinhận và xác nhận của phía bên nhận
Thế giới đã có rất nhiều cố gắng trong việc chuẩn hóa, đưa ra các tiêu chuẩn về dịch vụ và cơchế chống chối bỏ Tổ chức chuẩn hóa quốc tế (ISO) và Hiệp hội Viễn thông quốc tế (ITU) cungcấp các tiêu chuẩn nhằm đưa ra các hướng dẫn cụ thể cho phát triển và ứng dụng công nghệthông tin và truyền thông Bộ tiêu chuẩn về chống chối bỏ là một trong số các tiêu chuẩn về dịch
vụ an toàn trong bộ khung tiêu chuẩn an toàn thông tin của ISO/IEC
Tổ chức tiêu chuẩn quốc tế (ISO) cung cấp các tiêu chuẩn chính về chống chối bỏ trong mô hìnhtham chiếu hệ thống mở, bao gồm các tiêu chuẩn ISO/IEC 7498, ISO/IEC 10181, tiếp đó là cáctiêu chuẩn ISO / IEC 13888-1, 2 và 3
Ngoài ra còn có 10 tiêu chuẩn quan trọng khác liên quan đến chống chối bỏ Cụ thể là:ISO/IEC
9594, ISO/IEC 9796, ISO/IEC 9797, ISO/IEC 9798, ISO/IEC 11770, ISO/IEC TR 14516,ISO/IEC 15945, ISO/IEC 15946 và ISO/IEC 18014
Trong một cơ sở hạ tầng mã khóa công khai (PKI), chứng chỉ số có thể được sử dụng để tạo ramột chữ ký số Điều này làm cho bên gửi không thoái thác được và được sử dụng để cung cấpbằng chứng trong các dịch vụ có nguồn gốc minh bạch Cách duy nhất để cung cấp các dịch vụgửi và vận chuyển là thông qua việc sử dụng một bên thứ ba tin cậy (TTP)
Trang 7Sau đây, ta tóm lược một số tiêu chuẩn có liên quan nhiều đến các cơ chế chống chối bỏ sử dụng
kỹ thuật mã hóa đối xứng, nghĩa là liên quan đến tiểu chuẩn ISO/IEC 13888-2: “Công nghệthông tin – Các kỹ thuật an toàn - Chống chối bỏ – Phần 2: Các cơ chế chống chối bỏ sử dụng kỹthuật đối xứng”
Tiêu chuẩn ISO/IEC 13888: Chống chối bỏ
Đây là bộ tiêu chuẩn chính về chống chối bỏ của tổ chức ISO/IEC Bộ tiêu chuẩn này bao gồm:ISO/IEC 13888-1: Mô hình tổng quan, ISO/IEC 13888-2: Các cơ chế sử dụng kỹ thuật đối xứng
và ISO/IEC 13888-3: Các cơ chế sử dụng kỹ thuật bất đối xứng
ISO/IEC 13888-2: Các cơ chế sử dụng kỹ thuật bất đối xứng chính là tiêu chuẩn gốc được sửdụng làm cơ sở để xây dựng tiêu chuẩn quốc gia về các cơ chế chống chối bỏ sử dụng kỹ thuật
mã hóa đối xứng như sẽ được trình bày tiếp ở phần sau
Ngoài ra, ISO/IEC còn cung cấp một số tiêu chuẩn khác liên quan đến các cơ chế chống chối bỏ
sử dụng kỹ thuật đối xứng Quan trọng là các tiêu chuẩn sau:
- ISO/IEC 10118, Công nghệ thông tin – Các kỹ thuật an toàn – Các hàm băm, (ISO/IEC
10181, Information technology – Security techniques - Hash-functions) Tiêu chuẩn này
mô tả các hàm băm sử dụng trong các dịch vụ chống chối bỏ sử dụng kỹ thuật mật mã đốixứng
- ISO/IEC 11770, Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý khóa, (ISO/IEC
11770, Information technology – Security techniques – Key Management) Tiêu chuẩnnày trình bày về cơ chế quản lý khóa, rất cần trong hạ tầng mã khóa công khai được sửdụng cho các dịch vụ chống chối bỏ sử dụng kỹ thuật mật mã bất đối xứng
- ISO/IEC 15946, Công nghệ thông tin – Các kỹ thuật an toàn – Các kỹ thuật mã hóa dựatrên đường cong elliptic, (ISO/IEC 15496, Information technology – Security techniques– Cryptographic techniques based on elliptic curves) Tiêu chuẩn này mô tả kỹ thuật mãhóa sử dụng đường cong elliptic, có thể sử dụng trong các dịch vụ chống chối bỏ
- ISO/IEC 18014, Công nghệ thông tin – Các kỹ thuật an toàn – Các dịch vụ gán tem thờigian, ISO/IEC 18014, Information technology – Security techniques – Time-stampingservices) Đây là tiêu chuẩn mô tả các dịch vụ gán tem thời gian, cần thiết cho các tham
số liên quan đến thời gian trong các dịch vụ chống chối bỏ
3.3.3 Tình hình xây dựng tiêu chuẩn tại Việt Nam
Trong những năm gần đây, nhiều tiêu chuẩn quốc gia về an toàn thông tin đã được xây dựng vàban hành Những tiêu chuẩn quan trọng có thể kể tới là TCVN 27000, TCVN 27001, TCVN
Trang 827002 về các vấn đề kỹ thuật liên quan đến hệ thống quản lý an toàn thông tin Một số tiêuchuẩn về đánh giá an toàn thông tin cũng đã được xây dựng và trình ban hành, như TCVN 8709-
1 (dịch từ ISO/IEC 15408-1), TCVN 8709-2 (dịch từ ISO/IEC 15408-2), TCVN 8709-3 (dịch từISO/IEC 15408-3), TCVN 27005, Một số tiêu chuẩn về an toàn thông tin trong những lĩnh vựckhác vẫn đang tiếp tục được xây dựng, trong đó có những tiêu chuẩn về mật mã an toàn thôngtin
Tiêu chuẩn về kỹ thuật an toàn thông tin tại Việt Nam vẫn còn thiếu nhiều Cho tới nay, cònchưa có các tiêu chuẩn riêng về chống chối bỏ được xây dựng ở Việt Nam Việc tiêu chuẩn hóa
về các dịch vụ chống chối bỏ là rất cần thiết cho triển khai các dịch vụ và góp phần chuẩn hóacông tác bảo đảm ATTT theo chuẩn quốc tế
3.3.4 ISO/IEC 13888-2:2010 và vai trò của nó trong tiêu chuẩn chống chối bỏ
ISO/IEC 13888-2:2010, Information technology — Security techniques — Non-repudiation
— Part 2: Mechanisms using symmetric techniques (ISO/IEC 13888-2:2010, Công nghệ thông tin – Các kỹ thuật an toàn – Chống chối bỏ – Phần 2: Các cơ chế sử dụng kỹ thuật đối xứng).
Tiêu chuẩn này cung cấp các mô tả về cấu trúc chung có thể sử dụng cho các dịch vụchống chối bỏ và về một số cơ chế truyền thông liên quan đến việc trao đổi cụ thể có thể sửdụng để cung cấp các dịch vụ chống chố bỏ nguồn gốc (NRO) và chống chối bỏ chuyển phát(NRD) Các dịch vụ chống chối bỏ khác cũng có thể được xây dựng với các cấu trúc chung đãđược mô tả trong tiêu chuẩn này để đáp ứng các yêu cầu được định nghĩa bởi chính sách an toàn
Kể từ năm 1998, ISO/IEC đã ban hành ra tiêu chuẩn quốc tế ISO/IEC 13888-2:1998, do tínhquan trọng của tiêu chuẩn này Đây là phiên bản đầu tiên của tiêu chuẩn
ISO/IEC 13888-2:2010 là phiên bản thứ hai, ra đời thay thế cho phiên bản thứ 1 là ISO/IEC13888-2:1998
ISO/IEC 13888-2:2010 được biên soạn bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công
nghệ thông tin (Joint Technical Committee ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT (Information Technology Subcommittee SC 27, IT security techniques).
Các dịch vụ chống chối bỏ thiết lập bằng chứng: bằng chứng thiết lập trách nhiệm giải trình liênquan đến một sự kiện hoặc hành động cụ thể Thực thể chịu trách nhiệm về hành động, hoặc sựkiện liên quan, có liên quan đến bằng chứng đã tạo ra, còn được gọi là chủ thể bằng chứng.Các cơ chế chống chối bỏ cung cấp các thủ tục cho việc trao đổi các thẻ chống chối bỏ cụ thểcho từng dịch vụ chống chối bỏ Các thẻ chống chối bỏ bao gồm bao thư bảo đảm và/hoặc chữ
ký số, và có thể cả dữ liệu bổ sung Trong đó:
Trang 9- Bao thư bảo đảm được tạo ra bởi một cơ quan tạo ra bằng chứng sử dụng kỹ thuật mật mãđối xứng.
- Chứ ký số được tạo ra bởi một cơ quan tạo ra bằng chứng sử dụng kỹ thuật mật mã bấtđối xứng
Các thẻ chống chối bỏ có thể được lưu trữ dưới dạng thông tin chống chối bỏ có thể được sửdụng vè sau trong việc giải quyết tranh chấp hoặc trong tòa án
Tùy vào chính sách chống chối bỏ hiện hành cho một ứng dụng cụ thể, tùy môi trường pháp lýcho khai thác ứng dụng, có thể cần các dữ liệu bổ sung để hoàn tất thông tin chống chối bỏ, ví
dụ như:
- Bằng chứng bao gồm một tem thời gian tin cậy
- Bằng chứng cung cấp bởi công chứng viên, tạo ra sự bảo đảm cho dữ liệu đã tạo lập hoặc
sự kiện, hành động đã thực hiện bởi một hay nhiều thực thể
a) Mục tiêu của tiêu chuẩn
Phần 2 của bộ tiêu chuẩn (TCVN xxxx-2:2015) cung cấp các mô tả về cấu trúc chung có thể sửdụng cho các dịch vụ chống chối bỏ, và một số cơ chế liên quan đến trao đổi cụ thể có thể sửdụng để cung cấp chống chố bỏ nguồn gốc (NRO) và chống chối bỏ chuyển phát (NRD) Cácdịch vụ chống chối bỏ khác cũng có thể được xây dựng bằng các cấu trúc đã được mô tả trongphần này của bộ tiêu chuẩn (TCVN xxxx-2:2015) để đáp ứng các yêu cầu được định nghĩa bởichính sách an toàn
Tiêu chuẩn này dựa trên sự tồn tại của bên thứ ba tin cậy (TTP) để ngăn chặn việc giả mạochống chối bỏ hoặc cáo buộc Thông thường cần có một TTP trực tuyến
b) Cấu trúc tiêu chuẩn
Tiêu chuẩn này gồm 9 Điều và một phụ lục cụ thể như sau:
- Từ Điều 1 đến Điều 4 nêu những quy định chung của tiêu chuẩn
- Điều 5 trình bày các ký hiệu lấy từ phần 1 của bộ tiêu chuẩn và ký hiệu dùng riêng chotiêu chuẩn này
- Từ Điều 6 đến Điều 9 trình bày các vấn đề cụ thể trong tiêu chuẩn bao gồm: bao thưu bảođảm, việc tạo ra và xác minh các thẻ chống chối bỏ, các cơ chế chống chối bỏ cụ thể Phụ lục A gồm 4 nhom ví dụ về các cơ chế chống chối bỏ cụ thể
1.4 Lý do và mục đích xây dựng tiêu chuẩn
Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực để thúc đẩy và phát triển Công nghệThông tin (CNTT) Tiêu chuẩn về kỹ thuật an toàn thông tin tại Việt Nam vẫn còn thiếu nhiều.Một trong những vấn đề quan trọng đối với việc bảo đảm an toàn thương mại điện tử, giao dịch
Trang 10qua mạng và các dịch vụ hành chính công qua mạng cũng như chính phủ điện tử là sự tin cậy.Nền tảng của sự tin cậy là xác thực, có liên quan mật thiết đến chữ ký số và chống chối bỏ.Tiêu chuẩn ISO/IEC 13888-2: 2010 là phiên bản thứ hai do nhóm kỹ thuật JTC 1, SC27 hiệuchỉnh lại từ phiên bản đầu ISO/IEC 13888-2:1998 Phiên bản 2010 được thay thế cho phiên bảnđầu năm 1998 Đây là một tiêu chuẩn quan trọng cho các dịch vụ an toàn thông tin, được sửdụng phổ biến trong bảo đảm thương mại điện tử, giao dịch điện tử, chính phủ điện tử Tiêuchuẩn này được áp dụng làm mô hình chung cho các phần tiếp theo của bộ tiêu chuẩn đặc tả cơchế chống chối bỏ sử dụng các kỹ thuật mã hóa
Tiêu chuẩn chống chối bỏ - Phần 2 (Các cơ chế sử dụng kỹ thuật đối xứng) này được xây dựngnhằm cung cấp các mô tả về cấu trúc chung có thể sử dụng cho các dịch vụ chống chối bỏ và vềmột số cơ chế truyền thông liên quan đến việc trao đổi cụ thể có thể sử dụng để cung cấp cácdịch vụ chống chố bỏ nguồn gốc và chống chối bỏ chuyển phát
4 Sở cứ xây dựng tiêu chuẩn
Nhóm thực hiện đã xây dựng tiêu chuẩn này dựa trên tiêu chuẩn ISO/IEC 13888-2:2010 Đâycũng là tài liệu đã được một số quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩnquốc gia tương đương
5 Phương pháp xây dựng tiêu chuẩn
- ISO/IEC 13888-2:2010 là tài liệu tham chiếu làm cơ sở để xây dưng tiêu chuẩn này
- Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an toàn thông tin,cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ qui chuẩn, nhóm xây dựng
TCVN khuyến nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận nguyên vẹn (có chỉnh sửa theo qui định Tiêu chuẩn Quốc gia)
6 Nội dung chính của dự thảo tiêu chuẩn
Tiêu chuẩn được xây dựng với các nội dung như sau:
