Chữ ký điện tử không hoàn toàn được xác định “bằng xương bằng thịt” giống các loại chữ ký thông thường, mà chỉ là thông tin đi kèm theo thông điệp dữ liệu có thể là văn bản, hình ảnh hay
Trang 1CHỮ KÝ ĐIỆN TỬ
Sử dụng chữ ký điện tử như thế nào?
Thời gian gần đây, khái niệm chữ ký điện tử được đề cập rất nhiều tại Việt Nam, thậm chí còn được nhiều người đề cao, gọi đó là “chữ ký của thời đại”
Chữ ký điện tử không hoàn toàn được xác định “bằng xương bằng thịt” giống các loại chữ ký thông thường, mà chỉ là thông tin đi kèm theo thông điệp dữ liệu (có thể là văn bản, hình ảnh hay video…) nhằm mục đích xác định người chủ của dữ liệu đó Chữ ký điện tử có thể là các cam kết gửi bằng email, hay là các số định dạng cá nhân (PIN) khi nhập vào các máy rút tiền ATM, hay là ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền, chấp nhận các điều khoản người dùng khi cài đặt phần mềm máy tính, hoặc là ký các hợp đồng điện tử online…
Tuy nhiên, loại chữ ký điện tử được nói đến nhiều nhất và được sử dụng phổ biến nhất hiện nay
là chữ ký số Công nghệ của loại chữ ký này là hạ tầng mã khóa công khai (PKI) Người sử dụng chữ ký số sẽ có hai loại khóa là khóa công khai (được gửi công khai trên mạng) và khóa bí mật (được giữ kín)
Khi ông A hoàn chỉnh xong một văn bản và muốn gửi qua mạng đến đối tác B có kèm theo chữ
ký của mình, ông A sẽ sử dụng chữ ký bí mật để tạo chữ ký số (thực chất là một đoạn mã hóa dữ liệu của văn bản cần gửi), rồi ghép vào văn bản và gửi đi Khi đối tác B nhận được văn bản từ ông A và muốn mở văn bản này thì phải sử dụng mã khóa công khai của A
Tất cả các công đoạn nghe chừng phức tạp và chuyên sâu về mã hóa và giải mã chữ ký này đều được thực hiện bằng phần mềm Người sử dụng chỉ cần tiến hành một vài thao tác đơn giản trên máy tính là có thể hoàn chỉnh việc gửi, nhận một văn bản có chữ ký điện tử
Cần lưu ý, một thành phần không thể thiếu khi muốn sử dụng chữ ký số là các nhà cung cấp dịch
vụ chứng thực chữ ký số (tổ chức CA) Đây là tổ chức cung cấp các cặp khóa công khai và bí mật, xác minh tính chính xác, an toàn của người sử dụng… Trong môi trường điện tử đang ngày càng phát triển như thương mại điện tử, chính phủ điện tử…, việc sử dụng chữ ký điện tử là rất quan trọng vì nó đảm bảo tính xác thực của người gửi, độ an toàn, tính toàn diện (không bị thay đổi) của thông điệp được gửi
Với chữ ký tay trên văn bản, người nhận rất khó có thể kiểm tra được độ chính xác, tính xác thực của chữ ký Tình trạng sử dụng chữ ký giả rất dễ xảy ra bởi không cần phải làm đăng ký cho loại chữ ký này (trừ công chức cao cấp) Tuy nhiên, với chữ ký số, người sử dụng phải đăng ký, vừa được đảm bảo độ an toàn, chính xác bằng công nghệ hiện đại, vừa được xác thực bởi các tổ chức chứng thực… Do đó, độ an toàn của chữ ký số cao hơn rất nhiều so với chữ ký tay truyền thống Chính bởi những ưu việt trên, cùng với sự phát triển nhanh chóng của môi trường giao dịch điện
tử, chữ ký điện tử đã được công nhân và sử dụng rộng rãi tại nhiều nước trên thế giới Ngoài các nước phát triển như Mỹ, EU, Singapore, Nhật Bản, Hàn Quốc…, chữ ký điện tử cũng đã được các nước Trung Quốc, Ấn Độ, Brazil… công nhận và sử dụng
Tại Việt Nam, chữ ký điện tử đã được các cơ quan Nhà nước coi trọng Quốc hội đã ban hành Luật Giao dịch điện tử (có hiệu lực từ tháng 3/2006) và công nhận tính pháp lý của loại chữ ký này Sau khi ban hành Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số, Bộ Thông tin và
Trang 2Truyền thông đang gấp rút xây dựng mô hình hệ thống chứng thực CA quốc gia nhằm đẩy mạnh việc sử dụng chữ ký số trong xã hội
Chữ ký điện tử cũng đã được sử dụng chính thức trong các giao dịch của ngành ngân hàng (thanh toán liên ngân hàng), ngành tài chính (thanh toán điện tử liên kho bạc) Một số cơ quan Nhà nước như Bộ Công thương, Sở Bưu chính Viễn thông TP Hồ Chí Minh, Sở Khoa học và Công nghệ Đồng Nai… cũng bắt đầu sử dụng chữ ký điện tử trong giao dịch nội bộ
Nói tóm lại, những công nghệ mã hóa, công nghệ xác thực… nghe rất cao siêu, phức tạp, nhưng
đó là việc của nhà cung cấp dịch vụ, các nhà làm công nghệ Còn đối với người sử dụng thì mọi chuyện lại rất đơn giản, dễ dàng bởi tất cả đều do các chương trình phần mềm “lo liệu”, chỉ cần vài cú click chuột là đã có thể tạo ra chữ ký điện tử và gửi thông điệp tới nơi cần đến một cách
an toàn
Theo THTC VN
Chữ ký điện tử
Trong cuộc sống hàng ngày, ta cần dùng chữ ký để xác nhận các văn bản tài liệu nào đó và
có thể dùng con dấu với giá trị pháp lý cao hơn đi kèm với chữ ký
1 Khái niệm chữ ký điện tử và chứng chỉ điện tử.
Cùng với sự phát triển nhanh chóng của công nghệ thông tin, các
văn bản tài liệu được lưu dưới dạng số, dễ dàng được sao chép,
sửa đổi Nếu ta sử dụng hình thức chữ ký truyền thống như trên
sẽ rất dễ dàng bị giả mạo chữ ký Vậy làm sao để có thể ký vào
các văn bản, tài liệu số như vậy?
Câu trả lời đó là sử dụng chữ ký điện tử! Chữ ký điện tử đi kèm
với các thông tin chủ sở hữu và một số thông tin cần thiết khác sẽ
trở thành Chứng chỉ điện tử
Vậy chữ ký điện tử và chứng chỉ điện tử hoạt động như thế nào?
Chữ ký điện tử hoạt động dựa trên hệ thống mã hóa khóa công khai Hệ thống mã hóa này gồm hai khóa, khóa bí mật và khóa công khai (khác với hệ thống mã hóa khóa đối xứng, chỉ gồm một khóa cho cả quá trình mã hóa và giải mã) Mỗi chủ thể có một cặp khóa như vậy, chủ thể đó sẽ giữ khóa bí mật, còn khóa công khai của chủ thể sẽ được đưa ra công cộng để bất kỳ ai cũng có thể biết Nguyên tắc của hệ thống mã hóa khóa công khai đó là, nếu ta mã hóa bằng khóa bí mật thì chỉ khóa công khai mới giải mã thông tin được, và ngược lại, nếu ta mã hóa bằng khóa công khai, thì chỉ có khóa bí mật mới giải mã được
Quá trình ký văn bản tài liệu ứng dụng hệ thống mã hóa trên diễn ra như thế nào?
Trước hết, giả sử anh A có tài liệu TL cần ký Anh A sẽ mã hóa tài liệu đó bằng khóa bí mật để thu được bản mã TL Như vậy chữ ký trên tài liệu TL của anh A, chính là bản mã TL
Sau khi ký như vậy, làm sao để xác nhận chữ ký?
Giả sử anh B muốn xác nhận tài liệu TL là của anh A, với chữ ký là bản mã TL Anh B sẽ dùng khóa công khai của anh A để giải mã bản mã TL của anh A Sau khi giải mã, anh B thu được một bản giải mã TL, anh ta so sánh bản giải mã TL này mới tài liệu TL Nếu bản giải mã TL giống với tài liệu TL thì chữ ký là đúng của anh A
Những vấn đề có thể xảy ra là gì?
Trang 3Một số trường hợp xảy ra với chữ ký điện tử, cũng giống như các trường hợp xảy ra với chữ ký truyền thống Ví dụ, khi tài liệu TL của A bị thay đổi (dù chỉ một ký tự, một dấu chấm, hay một
ký hiệu bất kỳ), khi B xác nhận, anh ta sẽ thấy bản giải mã TL khác với tài liệu TL của anh A B
sẽ kết luận rằng tài liệu đó đã bị thay đổi, không phải là tài liệu anh A đã ký
Trường hợp khác, nếu anh A để lộ khóa bí mật, nghĩa là văn bản tài liệu của anh có thể ký bởi người khác có khóa bí mật của A Khi một ai đó xác nhận tài liệu được cho là của A ký, chữ ký vẫn là hợp lệ, mặc dù không phải chính A ký Như vậy, chữ ký của A sẽ không còn giá trị pháp
lý nữa Do đó, việc giữ khóa bí mật là tuyệt đối quan trọng trong hệ thống chữ ký điện tử
Chứng chỉ số là gì?
Trong trường hợp ví dụ trên, anh A có một cặp khóa để có thể ký trên văn bản, tài liệu số Tương
tự như vậy, anh B hay bất cứ ai sử dụng chữ ký điện tử, đều có một cặp khóa như vậy Khóa bí mật được giữ riêng, còn khóa công khai được đưa ra công cộng Vậy vấn đề đặt ra là làm thế nào
để biết một khóa công khai thuộc về A, B hay một người nào đó?
Hơn nữa, giả sử trong môi trường giao dịch trên Internet, cần sự tin cậy cao, A muốn giao dịch với một nhân vật X X và A cần trao đổi thông tin cá nhân cho nhau, các thông tin đó gồm họ tên, địa chỉ, số điện thoại, email… Vậy làm sao để A có thể chắc chắn rằng mình đang giao dịch với nhân vật X chứ không phải là ai khác giả mạo X?
Chứng chỉ số được tạo ra để giải quyết vấn đề này!
Chứng chỉ số có cơ chế để xác nhận thông tin chính xác về các đối tượng sử dụng chứng chỉ số Thông tin giữa A và X sẽ được xác nhận bằng một bên trung gian mà A và X tin tưởng
Bên chung gian đó là nhà cung cấp chứng chỉ số CA (Certificate Authority)
CA có một chứng chỉ số của riêng mình, CA sẽ cấp chứng chỉ số cho A và X cũng như những đối tượng khác
Trở lại vấn đề trên, A và X sẽ có cách kiểm tra thông tin của nhau dựa trên chứng chỉ số như sau: khi A giao dịch với X, họ sẽ chuyển chứng chỉ số cho nhau, đồng thời họ cũng có chứng chỉ số của CA, phần mềm tại máy tính của A có cơ chế để kiểm tra chứng chỉ số của X có hợp lệ
không, phần mềm sẽ kết hợp chứng chỉ số của nhà cung cấp CA và chứng chỉ của X để thông báo cho A về tính xác thực của đối tượng X
Nếu phần mềm kiểm tra và thấy chứng chỉ của X là phù hợp với chứng chỉ CA, thì A có thể tin tưởng vào X
Cơ chế chữ ký điện tử và chứng chỉ số sử dụng các thuật toán mã hóa đảm bảo không thể giả mạo CA để cấp chứng chỉ không hợp pháp, mọi chứng chỉ giả mạo đều có thể dễ dàng bị phát hiện
Trở lại tình huống trên, với cơ chế chứng chỉ số, mọi chứng chỉ đều được công khai để bất kỳ ai cũng có thể truy cập được
Vậy trong chứng chỉ số có những tham số gì? Theo cơ chế chữ ký điện tử như đã đề cập ở trên thì trong chứng chỉ, một tham số quan trọng phải có đó là khóa công khai Ngoài ra chứng chỉ số còn chứa các thông tin về danh tính của đối tượng được cấp chứng chỉ, bao gồm thông tin về chủ
sở hữu chứng chỉ như email, số điện thoại… các thông tin này là tùy chọn theo qui định của nhà cung cấp chứng chỉ số
Vậy còn một tham số quan trọng trong sử dụng chứng chỉ số, đó là khóa bí mật? Khóa bí mật sẽ không được lưu trong chứng chỉ số Nó được lưu tại máy tính của chủ sở hữu, chủ sở hữu cần chịu trách nhiệm giữ an toàn khóa bí mật này
Trang 4Trở lại với việc ký văn bản, tài liệu, khóa bí mật sẽ dùng để ký các văn bản, tài liệu của chủ sở hữu Như đã đề cập trong ví dụ ở trên, giả sử A muốn gửi một văn bản kèm với chữ ký của mình trên văn bản đó, A sẽ dùng khóa bí mật để mã hóa thu được bản mã văn bản, bản mã đó chính là chữ ký điện tử của A trên văn bản
Khi A gửi văn bản và chữ ký, để người khác có thể xác nhận văn bản của mình với thông tin đầy
đủ về chủ sở hữu, A sẽ gửi cả chứng chỉ của mình đi kèm với văn bản
Giả sử X nhận được văn bản A gửi kèm với chứng chỉ, khi đó X có thể dễ dàng xác nhận tính hợp pháp của văn bản đó
Làm thế nào để có một chứng chỉ số?
Để có một chứng chỉ số, trước hết cần có một cơ quan cung cấp chứng chỉ số, tên tiếng anh là
CA (Certificate Authority) Các cá nhân, tổ chức muốn có chứng chỉ số, cần đăng ký với tổ chức này, và khi đăng ký, đương nhiên họ chấp nhận uy tín của tổ chức này Trên thế giới, hiện có nhiều tổ chức CA như vậy, một số tổ chức lớn như Verisign, RSA, Entrust… được sử dụng chứng chỉ số rất phổ biến
Sau khi đăng ký với CA, CA sẽ kiểm tra thông tin của người đăng ký và sẽ cấp một chứng chỉ cho họ Thông thường chứng chỉ được lưu dưới dạng file để cài đặt vào thiết bị (PC, Server,…), hoặc đặc biệt hơn, với mức độ bảo mật cao, nó có thể lưu
trong các Token (loại thẻ lưu dữ liệu), sử dụng giống như một USB lưu trữ chứng chỉ số
Ví dụ thực tế trong việc sử dụng chứng chỉ số
Ta có thể xem xét một số ví dụ điển hình, phổ biến, đó là trường hợp truy cập vào các trang web
sử dụng chứng chỉ số để bảo mật thông tin
Thông thường, khi truy cập web, với địa chỉ http://vnexperts , nghĩa là ta đang truy cập một trang web không có cơ chế mã hóa dữ liệu truyền đi giữa người dùng và trang web đó (web server) Điều đó có nghĩa là mọi dữ liệu truyền đi giữa người sử dụng đến trang web đó, có thể bị nghe lén giữa đường đi Đây là điểm không an toàn
Vậy một trang web bảo mật có gì khác? Điểm khác ở đây chính là trang web đó sử dụng chứng chỉ số, khi truy cập vào trang web đó, ta không dùng địa chỉ thông thường http://vnexperts mà
sử dụng https://vnexperts Có nghĩa ta sử dụng qua HTTPS
Một trong vô số các trang web sử dụng chứng chỉ số để bảo mật, đó là https://gmail.com Khi truy cập vào đây, ta có thể yên tâm là dữ liệu truyền đi giữa người dùng và trang web đó được bảo mật cao, nghĩa là khó có thể lộ thông tin giao dịch Sử dụng Internet Explorer để truy cập vào trang web, ta có thể thấy các thông tin về bảo mật, chứng chỉ số được chỉ ra cụ thể:
Trang 5Như hình trên, sử dụng Internet Explore (IE) để truy cập vào một trang web sử dụng chứng chỉ
số để bảo mật, ta thấy dấu hiệu bảo mật ở Khóa vàng góc dưới Nếu kích chuột vào đây, IE sẽ hiển thị chứng chỉ số của trang web này
Vậy các thông tin này có nghĩa là gì? Hình trên hiển thị ra một chứng chỉ số (Certificate), trong
đó có các thông tin có ý nghĩa như sau: chứng chỉ số này được cấp cho www.google.com, đơn vị cung cấp chứng chỉ là ‘Thawte SGC CA’, đơn vị cung cấp chứng chỉ cấp cao hơn cho ‘Thawte SGC CA’ là ‘VeriSign Class 3 Public Primary CA’
Như vậy, với ý nghĩa của chứng chỉ số, ta có thể nói rằng: trang web đang được truy cập là https://gmail.com, có chủ sở hữu với tên ký hiệu là www.google.com, chủ sở hữu này đã sử dụng chứng chỉ số được cung cấp bởi CA: ‘Thawte SGC CA’ ( thuộc ‘VeriSign Class 3 Public
Primary CA’) Mọi thông tin truyền đi giữa người dùng và trang web (web server) là hoàn toàn được bảo mật
Trên đây là cách thức sử dụng chứng chỉ số ở mức đơn giản Cách thức sử dụng này mới chỉ là bảo mật một phía, người dùng tin cậy chứng chỉ của trang web (web server) mà họ truy cập, trong khi đó
Cách thức bảo mật cao hơn là trường hợp người dùng phải có chứng chỉ để truy cập trang web Khi đó, để người dùng và web (web server) có thể xác thực được nhau, chứng chỉ của người dùng và của web (web server) phải được cung cấp từ một CA Trong ví dụ trên, chứng chỉ của người dùng cũng phải được cung cấp bởi ‘Thawte SGC CA’ ( thuộc ‘VeriSign Class 3 Public Primary CA’)
Việc sử dụng chứng chỉ số không chỉ áp dụng cho trường hợp giao dịch web như trên, ngoài ra còn có nhiều hình thức sử dụng khác, ví dụ, sử dụng chứng chỉ số cho email, cho các thiết bị di động…
2 Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam
Việc sử dụng chứng chỉ số trên thế giới hiện nay rất phổ biến, chủ yếu nhằm bảo mật các giao dịch điện tử như bảo mật email, website, thanh đoán điện tử…
Trang 6Các đơn vị chứng thực (CA) được xây dựng ở nhiều qui mô, cấp độ khác nhau Từ các cơ quan chính phủ đến các tổ chức doanh nghiệp, cá nhân đều có thể xây dựng CA, tùy thuộc vào yêu cầu
sử dụng
Các CA có thể được xây dựng với mục đích chuyên dụng hoặc thương mại CA chuyên dụng được áp dụng trong phạm vi một cơ quan nhà nước, một tổ chức, một doanh nghiệp hoặc có thể
là do cá nhân tự xây dựng Những đối tượng sử dụng CA chuyên dụng được cấp chứng chỉ bởi
CA đó và qui định tin tưởng nhau trong phạm vi CA
CA thương mại được xây dựng nhằm mục đích thương mại, kinh doanh dịch vụ xác thực điện tử Những đối tượng sử dụng chứng chỉ của CA thương mại phải có thỏa thuận pháp lý tin tưởng
CA thương mại đó và tin tưởng những đối tượng khác được cấp chứng chỉ bởi CA
Hiện trên thế giới có một số CA lớn, được thành lập vào những năm 90, với mục đích thương mại như Verisign, Entrust, RSA…
Các quốc gia phát triển chính phủ điện tử được coi là hàng đầu thế giới như USA, Canada, Anh, Thụy sĩ, Hàn Quốc, Nhật Bản… có những đơn vị chứng thực (CA) lớn mạnh
Ở Châu Á, Hàn Quốc được coi là quốc gia áp dụng Chính phủ điện tử hiệu quả cao Một trong những yếu tố giúp cho thành công của Chính phủ điện tử đó là chứng thực điện tử Hàn Quốc có một hệ thống mạng lưới thông tin thông suốt từ Chính phủ đến các thành phố, quận huyện, làng mạc Thông tin cá nhân thống nhất trên nhiều lĩnh vực, do đó việc áp dụng chứng thực điện tử tại Hàn Quốc có hiệu quả cao
Ở Việt Nam, việc xây dựng Hệ thống Chứng thực điện tử là một trong số các nhân tố quan trọng của Chính phủ điện tử cũng như trong giao dịch thương mại
Chúng ta đang từng bước xây dựng hệ thống này Về luật pháp, hiện ta đã có Luật giao dịch điện
tử (2005), Nghị định 26 (Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch
vụ chứng thực chữ ký số), Nghị định 27 (Về giao dịch điện tử trong hoạt động tài chính) Các đơn vị nhà nước, tổ chức doanh nghiệp cũng đã và đang xây dựng hệ thống chứng thực chuyên dùng, đáp ứng cho yêu cầu nội bộ
3 Trung tâm Chứng thực điện tử Quốc gia
Bộ Thông tin và Truyền thông (MIC) đang xây dựng trung tâm chứng thực điện tử quốc gia RootCA (CA gốc)
Ceous (theo Vnexperts Research Department)
Nguy cơ bị thay đổi, sao chép hoặc mất dữ liệu trên mạng thật sự là một trở ngại trong giao dịch điện tử Vì thế, bảo đảm tính toàn vẹn dữ liệu là một phần trong các biện pháp đảm bảo an toàn thông tin theo chuẩn ISO 17799
THẾ NÀO LÀ MỘT HỆ THỐNG AN TOÀN THÔNG TIN?
Thanh toán bằng thẻ tín dụng qua dịch vụ web có thể gặp các rủi ro như:
Thông tin truyền từ trình duyệt web của khách hàng ở dạng thuần văn bản nên có thể bị lọt vào
"con mắt" người khác
Trình duyệt web của khách hàng không thể xác định máy chủ mà mình trao đổi thông tin là thật hay giả mạo
Không thể đảm bảo được thông tin truyền đi có bị thay đổi hay không
Trang 7Vì vậy cần phải có một cơ chế bảo đảm an toàn trong quá trình giao dịch điện tử Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng các yêu cầu sau:
Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi không bị đánh cắp
Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, mạo nhận
Hệ thống phải có khả năng kiểm tra tính toàn vẹn dữ liệu
GIAO THỨC SSL
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP
Cơ chế hoạt động của giao thức SSL dựa trên nền tảng các ứng dụng mã hóa đã được kiểm chứng như: giải thuật mã hóa đối xứng và bất đối xứng, giải thuật băm (hash) một chiều, giải thuật tạo chữ ký số, v.v
PHƯƠNG PHÁP MÃ HÓA DỮ LIỆU
Mã hóa khóa bí mật
Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography) Với phương pháp này (xem hình 1), người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã dữ liệu Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã Có nhiều thuật toán ứng dụng cho mã hóa khóa bí mật như: DES - Data Encrytion Standard, 3DES - triple-strength DES, RC2 – Rons Cipher 2 và RC4, v.v
Nhận xét: Nhược điểm chính của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không cao Ưu điểm là tốc độ mã hóa và giải mã rất nhanh
Mã hóa khóa công khai
Phương pháp mã hóa khóa công khai (public key cryptography) đã giải quyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóa public key và private key Public key được gửi công khai trên mạng, trong khi đó private key được giữ kín Public key và private key có vai trò trái ngược nhau, một khóa dùng để mã hóa và khóa kia sẽ dùng để giải mã (xem hình 2) Phương pháp này còn được gọi là mã hóa bất đối xứng (asymmetric cryptography) vì nó sử dụng hai khóa khác nhau để mã hóa và giải mã dữ liệu Phương pháp này sử dụng thuật toán mã hóa RSA (tên của ba nhà phát minh ra nó: Ron Rivest, Adi Shamir và Leonard Adleman) và thuật toán DH (Diffie-Hellman)
Giả sử B muốn gửi cho A một thông điệp bí mật sử dụng phương pháp mã hóa khóa công khai Ban đầu, A có cả private key và public key A sẽ giữ private key ở nơi an toàn và gửi public key cho B B mã hóa và gửi cho A thông điệp đã mã hóa bằng public key nhận được của A Sau đó A
sẽ giải mã thông điệp bằng private key của mình Ngược lại nếu A muốn gửi thông điệp cho B thì A phải mã hóa thông điệp bằng public key của B
Nhận xét: Phương pháp cho phép trao đổi khóa một cách dễ dàng và tiện lợi Tuy nhiên, tốc độ
mã hóa khá chậm nên chỉ được sử dụng cho mẩu dữ liệu nhỏ
TỔ CHỨC CHỨNG NHẬN KHÓA CÔNG KHAI
Trang 8Hãy xem ví dụ A muốn gửi thông điệp cho B và mã hóa theo phương pháp khóa công khai Lúc này A cần phải mã hóa thông điệp bằng public key của B Trường hợp public key bị giả mạo thì sao? Hacker có thể tự sinh ra một cặp khóa public key/private key, sau đó đưa cho A khóa public key này và nói đây là khóa public key của B Nếu A dùng public key giả này mà tưởng là của B thì dẫn đến hệ quả mọi thông tin A truyền đi đều bị hacker đọc được
Vấn đề này được giải quyết nếu có một bên thứ ba được tin cậy, gọi là C, đứng ra chứng nhận public key Những public key đã được C chứng nhận gọi là chứng nhận điện tử (public key certificate hay digital certificate)
Một chứng nhận điện tử có thể được xem như là một “hộ chiếu” hay “chứng minh thư” Nó được một tổ chức tin cậy (như VeriSign, Entrust, CyberTrust, v.v ) tạo ra Tổ chức này được gọi là tổ chức chứng nhận khóa công khai Certificate Authority (CA) Một khi public key đã được CA chứng nhận thì có thể dùng khóa đó để trao đổi dữ liệu trên mạng với mức độ bảo mật cao
Cấu trúc của một chứng nhận điện tử gồm các thành phần chính như sau:
Issuer: tên của CA tạo ra chứng nhận
Period of validity: ngày hết hạn của chứng nhận
Subject: bao gồm những thông tin về thực thể được chứng nhận
Public key: khóa công khai được chứng nhận
Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng nhận
5 CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc
Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo
ra bản phân tích văn bản (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số (xem hình 3)
Các bước mã hóa:
1 Dùng giải thuật băm để thay đổi thông điệp cần truyền đi Kết quả ta được một message digest Dùng giải thuật MD5 (Message Digest 5) ta được digest có chiều dài 128-bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160-bit
2 Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1 Thông thường ở bước này ta dùng giải thuật RSA Kết quả thu được gọi là digital signature của message ban đầu
3 Gộp digital signature vào message ban đầu Công việc này gọi là “ký nhận” vào message Sau khi đã ký nhận vào message, mọi sự thay đổi trên message sẽ bị phát hiện trong giai đoạn kiểm tra Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng message này xuất phát từ người gửi chứ không phải là ai khác (xem hình 4)
Các bước kiểm tra:
Trang 91 Dùng public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký
số của message
2 Dùng giải thuật (MD5 hoặc SHA) băm message đính kèm
3 So sánh kết quả thu được ở bước 1 và 2 Nếu trùng nhau, ta kết luận message này không bị thay đổi trong quá trình truyền và message này là của người gửi
6 NHẬN XÉT VỀ ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử là mô hình đảm bảo an toàn dữ liệu khi truyền trên mạng và được sử dụng để tạo chứng nhận điện tử trong các giao dịch điện tử qua mạng Internet
Ví dụ A gửi đến tổ chức Certificate Authority yêu cầu cấp chứng nhận điện tử kèm theo khóa công khai của họ Tổ chức CA sẽ “ký nhận” vào đó và cấp digital certificate cho A Khách hàng này sẽ thông báo certificate của mình trên mạng Giả sử có B muốn gửi cho A một message thì công việc đầu tiên B sẽ lấy certificate của A và kiểm tra tính hợp lệ của certificate Nếu hợp lệ, B
sẽ lấy public key trong digital certificate để mã hóa dữ liệu và gửi cho A
Thiều Quang Trung
Hochiminh city Postel
(New Horizons Vietnam Instructor & NIS Collaborator)
(Thứ Năm, 17/09/2009-3:12 PM)
VNPT trở thành nhà cung cấp chứng thực chữ ký số đầu tiên
Chiều qua (15/9), tại Hà Nội, Bộ TT&TT đã trao giấy phép cung cấp dịch vụ Chứng thực chữ ký số (CKS) công cộng cho Tập đoàn Bưu chính Viễn thông Việt Nam (VNPT)
Tham dự buổi lễ có Bộ trưởng Bộ TT&TT Lê Doãn Hợp, các Thứ trưởng Nguyễn Minh Hồng, Trần Đức Lai
VNPT là đơn vị đầu tiên nộp hồ sơ xin cấp phép cung cấp dịch vụ CKS Với giấy phép vừa nhận được, VNPT chính thức trở thành nhà cung cấp dịch vụ chứng thực chữ ký số công cộng đầu tiên tại Việt Nam
Trang 10Theo giấy phép, VNPT được cung cấp dịch vụ Chứng thực chữ ký số cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng Các loại chứng thư số được VNPT cung cấp bao gồm: Chứng thư số cá nhân cho cơ quan, tổ chức, cá nhân; Chứng thư số SSL (chứng thư số dành cho website); Chứng thư số cho CodeSigning (chứng thư số dành cho ứng dụng)
Phát biểu tại buổi lễ, Bộ trưởng Bộ TT&TT Lê Doãn Hợp nhấn mạnh, chúng ta đang ngày càng tiến sâu vào cuộc sống số Về mặt giao dịch, thông tin, đây là một bước tiến ngoạn mục Tiến tới nếu chúng ta làm thành công chứng minh thư nhân dân điện tử, hộ chiếu điện tử thì tất cả các giao dịch của tổ chức với tổ chức, cá nhân với cá nhân trở nên đơn giản, hiệu quả giúp giải quyết công việc nhanh nhất và chi phí thấp nhất
“Hy vọng VNPT sẽ triển khai chủ trương này tốt, tạo ra những bài học kinh nghiệm, những thực tiễn phong phú, những hiệu quả về mặt xã hội có sức hấp dẫn để từ đó mở rộng hình thức này
Đó là ước nguyện của cơ quan quản lý nhà nước và cũng là ước nguyện của nhân dân”, Bộ
trưởng nói
Tổng giám đốc Tập đoàn VNPT Vũ Tuấn Hùng khẳng định VNPT đã và đang nỗ lực và đẩy mạnh các hoạt động nghiên cứu, triển khai các ứng dụng CNTT cho các lĩnh vực của đời sống xã hội, trong đó có dịch vụ chữ ký số
Hiện VNPT đã ký kết thỏa thuận hợp tác với Bộ Tài chính về việc ứng dụng chứng thực CKS cho các dịch vụ hành chính công điện tử của ngành Tài chính Trong giai đoạn tới, VNPT sẽ mở rộng dịch vụ này cho các ứng dụng ngân hàng, thương mại điện tử, đáp ứng yêu cầu của các tổ chức và doanh nghiệp Việt Nam VNPT cam kết sẽ cung cấp dịch vụ CKS có khả năng đáp ứng tốt các yêu cầu về đảm bảo an toàn thông tin cho các giao dịch thương mại, cam kết hướng đến một chất lượng dịch vụ được người sử dụng tin dùng
Theo chiến lược phát triển quốc gia về CNTT của Bộ TT&TT, các ứng dụng Chính phủ điện tử, thương mại điện tử, giao dịch trực tuyến đóng một vai trò rất quan trọng và đều yêu cầu bắt buộc phải sử dụng chữ ký số Vì thế, việc VNPT tiên phong cung cấp dịch vụ Chứng thực chữ ký số công cộng sẽ góp phần vào công cuộc cải cách hành chính và thúc đẩy phát triển thương mại điện tử, chính phủ điện tử của Việt Nam
Theo ICTNews
Chữ ký số và thương mại điện tử
Ngày 31/12/2008, bộ TTTT đã ban hành 6 loại tiêu chuẩn trong giao dịch điện tử được quy định buộc phải áp dụng “chữ ký số” (CKS) và chứng thực số Như vậy
về mặt pháp lý, CKS đã được luật hoá Bài viết sau đây sẽ giúp bạn đọc hiểu rõ hơn về lợi ích của CKS