Đặ t v ấn đề
Với sự phát triển mạnh mẽ của Internet, mạng máy tính ngày càng trở nên quan trọng trong mọi lĩnh vực của xã hội, dẫn đến nhu cầu bảo mật thông tin trở thành ưu tiên hàng đầu Để khắc phục vấn đề xác nhận chữ ký truyền thống trong giao dịch kinh doanh, việc ứng dụng công nghệ thông tin là cần thiết, giúp tối ưu hóa quy trình xử lý và bảo mật Do đó, việc áp dụng chữ ký điện tử trong các hoạt động và công việc hàng ngày sẽ mang lại hiệu quả cao hơn.
Giao dịch điện tử đang trở nên phổ biến, yêu cầu doanh nghiệp cần các công cụ như hóa đơn điện tử, đăng ký doanh nghiệp, kê khai và nộp thuế, BHXH, Hải quan, hợp đồng kinh tế và hợp đồng lao động Do đó, chữ ký số điện tử ra đời để đáp ứng nhu cầu của các doanh nghiệp và tổ chức.
Doanh nghiệp cần giải pháp chữ ký sốđiện tử
Hiện nay, doanh nghiệp và tổ chức đang tích cực áp dụng chuyển đổi số vào mọi hoạt động, dẫn đến sự phát triển mạnh mẽ của giao dịch điện tử Do đó, việc sử dụng “chữ ký điện tử” và “chữ ký số” đã trở thành yêu cầu bắt buộc đối với các doanh nghiệp.
Thực trạng hiện tại các doanh nghiệp chi phí cho công tác văn bản và giao tiếp bằng các văn bản kí truyền thông gây tốn kém:
- In ấn: 5.000 đồng đến 10.000 đồng thường cho 4 bộ, 10 trang / bộ
- Việc vận chuyển các văn bản cho chữ ký truyền thống từ phía doanh nghiệp đến khách hàng và ngược lại phát sinh chi phí từ30.000 đồng đến 60.000 đồng
- Công tác quản lý để thuê không gian và đầu tư kệ tủ chi phí doanh nghiệp phải bỏ ra cỡ10.000 đồng
- Tổng chi phí để thực hiện tài liệu từ 45.000 đồng đến 80.000 đồng/tài liệu
Quá trình vận chuyển tài liệu kéo dài từ 4-5 ngày làm giảm hiệu suất trao đổi công việc, trong khi việc duyệt ký cũng mất từ 3-5 ngày Thêm vào đó, công tác tìm kiếm và lưu trữ tài liệu tốn từ 30 phút đến 2 tiếng Tổng cộng, thời gian mất cho mỗi giao dịch lên đến 7-10 ngày, ảnh hưởng đáng kể đến hiệu quả công việc.
Sự khác biệt về vị trí địa lý giữa các công ty, cùng với giãn cách xã hội do dịch bệnh, đã dẫn đến việc thủ tục ký truyền thống trở nên kéo dài và làm tăng thời gian xử lý công việc.
Chữ ký số và chữ ký điện tử được quy định tại khoản 6, Điều 3 của Nghị định 130/2018/NĐ-CP, nhằm hướng dẫn thực thi Luật giao dịch điện tử liên quan đến chữ ký số và dịch vụ chứng thực chữ ký số.
Chữ ký điện tử là một hình thức chữ ký được tạo ra từ chữ, số, ký hiệu, âm thanh và các hình thức khác thông qua các công cụ điện tử Nó có khả năng xác nhận danh tính người ký và thể hiện sự đồng ý của họ đối với nội dung của thông điệp dữ liệu.
Chữ ký điện tử có thể được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực, cho phép các bên trong giao dịch ký hợp đồng qua ba phương thức phổ biến: chữ ký scan, chữ ký hình ảnh và chữ ký số.
Chữ ký số, một dạng chữ ký điện tử, được tạo ra thông qua việc biến đổi dữ liệu bằng hệ thống mã hóa không đối xứng, sử dụng cặp khóa công khai và khóa riêng Nhờ vào quá trình này, người nhận có thể xác định chính xác nguồn gốc của thông điệp dữ liệu và khóa công khai của người ký.
Chữ ký scan là phương thức ký kết hợp đồng phổ biến, trong đó người ký in hợp đồng từ tệp dữ liệu điện tử và ký trực tiếp trên bản giấy bằng chữ ký sống Sau đó, hợp đồng cùng chữ ký sẽ được chuyển đổi sang dạng điện tử thông qua quét hình và gửi đi qua thư điện tử Phương pháp này thường được áp dụng trong các hợp đồng có nhiều bên tham gia và khi các bên không ở cùng một địa điểm, giúp thuận tiện trong việc ký kết Chữ ký scan đặc biệt hữu ích trong các giao dịch đa quốc gia và các hợp đồng có yếu tố nước ngoài.
Tiêu chí Chữký điện tử
Chữ ký số (Digiatal Signature)
Chữ ký điện tử là biểu tượng hoặc hình ảnh được gắn liền với tin nhắn hoặc tài liệu, thể hiện danh tính của người ký và thể hiện sự đồng ý của họ đối với nội dung đó.
Chữ ký số có thể được hình dung như một dấu vân tay điện tửđược mã hóa và xác định danh tính người thực sự ký nó
Tiêu chuẩn Không phụ thuộc vào các tiêu chuẩn
Không sử dụng mã hóa Sử dụng các phương thức mã hóa mật mã
Cơ chế xác thực Xác minh danh tính người ký thông qua email, mã PIN, điện thoại, v.v… ID kỹ thuật số dựa trên chứng chỉ
Mục đích của việc xác minh tài liệu là để xác định nguồn gốc và các tác giả liên quan, nhằm đảm bảo tính xác thực Đồng thời, việc này cũng giúp bảo mật tài liệu, ngăn chặn khả năng giả mạo từ những người không có thẩm quyền.
Quá trình xác nhận hiện tại không rõ ràng và có nhiều vấn đề liên quan đến tính xác thực Việc này cần được thực hiện bởi các cơ quan chứng nhận uy tín hoặc nhà cung cấp dịch vụ ủy thác đáng tin cậy.
Bảo mật Dễ bị giả mạo Độ an toàn cao
Bảng 1.1 – Đánh giá tiêu chí giữa Chữ ký điện tử và Chữ ký số
Theo quy định của Luật giao dịch điện tử, hợp đồng điện tử được hình thành dưới dạng thông điệp điện tử, cụ thể tại điều 33 của Luật giao dịch điện tử năm 2005 Bên cạnh đó, nguyên tắc giao kết và thực hiện hợp đồng điện tử cũng được quy định tại điều 35 của Luật này.
2005 – các bên tham gia có quyền thỏa thuận sử dụng phương tiện điện tử trong giao kết và
Doanh nghiệp ngày càng cần áp dụng chữ ký số điện tử để giải quyết hiệu quả các vấn đề nội bộ và bên ngoài trong quá trình thực hiện hợp đồng.
- Phục vụ ký hợp đồng lao động giữa doanh nghiệp và người lao động
- Phục vụ ký hợp đồng kinh tế với khách hàng
- Phục vụ ký các loại văn bản trao đổi trong nội bộ
Trong những năm gần đây việc ứng dụng chữ ký số điện tửđang thu hút sự chú ý bởi tính tiện lợi khi thực hiện các giao dịch điện tử:
Đề xu ấ t nghiên c ứ u
Doanh nghiệp hiện nay có thể áp dụng chữ ký điện tử vào các hoạt động giao dịch trên Internet, nhờ vào các quy định pháp luật cho phép Việc này không chỉ đáp ứng nhu cầu của doanh nghiệp mà còn đảm bảo tính hợp pháp và an toàn trong các giao dịch trực tuyến.
- Luật giao dịch điện tử số 51/2005/QH11 (“Luật giao dịch điện tử 2005”
Nghị định số 130/2018/NĐ-CP quy định chi tiết thi hành Luật giao dịch điện tử liên quan đến chữ ký số và dịch vụ chứng thực chữ ký số, nhằm tạo ra khung pháp lý rõ ràng cho việc sử dụng chữ ký số trong giao dịch điện tử tại Việt Nam Nghị định này đóng vai trò quan trọng trong việc thúc đẩy sự phát triển của giao dịch điện tử, bảo đảm tính an toàn và hợp pháp cho các hoạt động trực tuyến.
- Đánh giá tiêu chuẩn kỹ thuật áp dụng cho ký số từ xa theo Thông tư số 16/2019/TT- BTTTT [1]
- Thông tư số 41/2017/TT-BTTTT ngày 19/12/2017 quy định về sử dụng chữ ký số trên văn bản điện tử trong cơ quan nhà nước.
Tôi đề xuất nghiên cứu và triển khai nền tảng ký số điện tử từ xa cho các giao dịch đảm bảo trong doanh nghiệp trên môi trường Internet Nền tảng này sẽ hỗ trợ các hệ thống quản trị doanh nghiệp (ERP), mang lại sự tiện lợi và bảo mật cho các giao dịch Phạm vi của nền tảng ký số điện tử từ xa sẽ được mở rộng để đáp ứng nhu cầu của doanh nghiệp.
Chữ ký số được phát triển dựa trên công nghệ mã hóa công khai (PKI) và sử dụng thuật toán mã hóa RSA, mang lại sự bảo vệ đa lớp cho chữ ký này.
Chữ ký số mang lại độ chính xác cao hơn chữ ký tay, do đó nó hoàn toàn có khả năng đảm bảo tính pháp lý trong các giao dịch điện tử của doanh nghiệp.
- Loại bỏ khảnăng giả mạo chữ ký với chữ ký số bằng mã khóa bảo mật an toàn
Chữ ký số giúp xác định nguồn gốc và tính nguyên gốc của văn bản, cho phép nhận diện tác giả Khi một văn bản đã được ký số, bất kỳ sự thay đổi nào, ngay cả một chữ số, sẽ làm cho văn bản không còn hợp lệ, từ đó dẫn đến việc vô hiệu hóa Do đó, chữ ký số là công cụ duy nhất đảm bảo tính toàn vẹn và nguồn gốc của tài liệu Văn bản điện tử được ký bằng chữ ký số được coi là căn cứ pháp lý, bảo vệ quyền lợi hợp pháp cho các bên tham gia giao dịch điện tử.
Trong khuôn khổ luận văn, thời gian và nguồn lực hạn chế không cho phép thực hiện toàn bộ nghiên cứu Mục đích của nghiên cứu này là xây dựng nền tảng ban đầu cho việc áp dụng ký số từ xa, mở rộng sang các hướng nghiên cứu khác như Timestamp, giúp chữ ký số có giá trị vĩnh viễn, và ePassport, đảm bảo tính tương thích với chuẩn ICAO trong việc trao đổi dữ liệu với hộ chiếu điện tử và Căn cước công dân.
Nghiên cứu này sẽ hỗ trợ doanh nghiệp trong việc áp dụng nền tảng chữ ký số điện tử từ xa, giúp tối ưu hóa các hoạt động và giải quyết những bài toán kinh doanh hiệu quả hơn.
B ố c ụ c lu ận văn
Luận văn chia làm 4 phần chính:
Trong phần mở đầu, bài viết sẽ trình bày vấn đề nghiên cứu, dựa trên các phân tích để đề xuất và xác định rõ phạm vi của bài toán, cũng như các kết quả mục tiêu mà nghiên cứu hướng tới.
Chương 1 trình bày cơ sở lý thuyết cho nền tảng quản lý ký số, bao gồm hạ tầng khóa công khai PKI và các tiêu chuẩn kỹ thuật bắt buộc trong nền tảng ký số từ xa Các nghiên cứu trong phần này tạo nền tảng lý thuyết cho giải pháp đề xuất và là tiền đề cho nền tảng ký số điện tử từ xa.
Chương 2 trình bày nền tảng quản lý ký số từ xa, bao gồm quản lý khóa bí mật, chứng thư số và thực hiện chữ ký số điện tử Nền tảng này đề xuất tích hợp và kết nối vào các hệ thống quản trị ERP của doanh nghiệp, nhằm nâng cao hiệu quả và bảo mật trong quy trình ký số.
Chương 3 trình bày ngắn gọn về việc tích hợp nền tảng ký số điện tử xa vào hệ thống quản trị vật tư và ký số của doanh nghiệp, nhằm đạt được các mục tiêu đã đề ra cho nền tảng này.
Từ kết quả các phép đo, đánh giá và đề xuất hướng phát triển
Kết luận: Tóm lược toàn bộ nghiên cứu về kết quả thực hiện, hướng phát triển, khảnăng triển khai thực tế
CƠ SỞ LÝ THUY Ế T C Ủ A N Ề N T Ả NG QU Ả N LÝ KÝ S Ố ĐIỆ N T Ử T Ừ
Cơ sở m ậ t mã h ọ c
Mật mã là công cụ bảo mật dữ liệu và thông tin hiệu quả, giúp ẩn dấu nội dung, xác thực thông tin, và kiểm tra tính toàn vẹn Nó cũng được sử dụng trong ký số để đảm bảo an toàn cho thông tin liên lạc Quy trình mật mã bao gồm hai phần chính: mã hóa và giải mã Hiện nay, có hai hệ mật mã cơ bản thường được áp dụng.
Hệ mật mã khóa bí mật, hay còn gọi là khóa đối xứng, sử dụng một khóa duy nhất cho cả quá trình mã hóa và giải mã Để đảm bảo tính bí mật trong truyền thông, các bên tham gia phải giữ kín thông tin về khóa này Một số thuật toán mã hóa phổ biến trong hệ thống khóa đối xứng bao gồm DES (Data Encryption Standard) và AES (Advanced Encryption Standard).
- Hệ mật mã khóa công khai (Public Key Cryptography) – mã hóa phi đối xứng:
Mã hóa và giải mã sử dụng hai khóa riêng biệt: khóa công khai và khóa bí mật, có mối quan hệ toán học với nhau mà không thể tìm ra khóa này từ khóa kia Khóa công khai được công bố rộng rãi, trong khi khóa bí mật chỉ được người sở hữu biết Thông thường, khóa công khai được dùng để mã hóa, còn khóa bí mật được sử dụng để giải mã, đảm bảo chỉ người sở hữu khóa bí mật mới có thể đọc được thông tin đã mã hóa Hệ mật mã khóa công khai lần đầu tiên được giới thiệu bởi Diffie và Hellman, với các thuật toán mã hóa bất đối xứng phổ biến như RSA, Elgamal và Eliptic.
Thuật toán RSA, được phát triển bởi Ron Rivest, Adi Shamir và Leonard Adleman, là giải thuật mã hóa công khai phổ biến trong mã hóa và công nghệ chữ ký điện tử Trong quá trình này, Alice, người khởi tạo, gửi một tài liệu đã ký đến Bob, người nhận Alice tạo ra một giá trị băm từ thông điệp và mã hóa nó bằng khóa riêng của mình, tạo ra chữ ký điện tử Chữ ký này được gửi cùng với tin nhắn đến Bob Khi nhận được, Bob sử dụng khóa công khai của Alice để giải mã chữ ký, thu được giá trị băm ban đầu Sau đó, Bob so sánh giá trị băm này với giá trị băm mới từ tin nhắn đã nhận Nếu hai giá trị khớp nhau, chữ ký điện tử được xác minh thành công, cho phép Bob đảm bảo rằng thông điệp không bị sửa đổi và được ký bởi Alice.
Sự đảm bảo này phụ thuộc vào việc khóa riêng của Alice vẫn được bảo mật và chưa bị tiết lộ cho bất kỳ ai, đồng thời không có ai khác có khả năng thực hiện thao tác ký tên này.
Hình 1.1- RSA sử dụng khóa công khai để mã hóa và khóa bí mật để giải mã
Khi sử dụng hệ thống mật mã, việc giữ bí mật cho khóa riêng và xác minh nguồn gốc của khóa công khai là rất quan trọng Tin tưởng vào khóa công khai đảm bảo sự liên kết chính xác với chủ sở hữu, vì nếu mối liên kết này bị phá vỡ, tài liệu có thể bị ký giả Để giải quyết vấn đề này, Cơ sở hạ tầng khóa công khai (PKI) được áp dụng, trong đó các Tổ chức phát hành chứng chỉ (CA) chứng nhận quyền sở hữu của các cặp khóa, ràng buộc khóa công khai với danh tính người dùng tương ứng.
Hàm băm là một quá trình tính toán dùng để mã hóa dữ liệu, với mục tiêu nén và chuyển đổi dữ liệu thành dạng tóm lược Dữ liệu tóm lược này sau đó được áp dụng thuật toán sinh chữ ký, và chữ ký sẽ được gửi đến người nhận kèm theo dữ liệu đã ký.
Chữ ký số là công cụ quan trọng để xác minh tính toàn vẹn của dữ liệu và danh tính của người ký Nó được sử dụng để ký lên dữ liệu trước khi gửi đi, đảm bảo rằng thông tin không bị thay đổi và người gửi có thể được xác nhận.
Mỗi người dùng có một cặp khóa bao gồm khóa bí mật và khóa công khai Khóa bí mật được sử dụng để tạo chữ ký số, trong khi khóa công khai dùng để xác minh chữ ký đó Khóa công khai được công bố trên cơ sở dữ liệu công cộng, trong khi khóa bí mật chỉ có người sở hữu biết Điều này cho phép bất kỳ ai xác minh chữ ký của người khác bằng khóa công khai, nhưng chỉ người sở hữu cặp khóa mới có thể tạo ra chữ ký Hiện nay, hai sơ đồ chữ ký số phổ biến là sơ đồ chữ ký RSA và chuẩn chữ ký số DSA.
Quy trình sử dụng chữ ký số bao gồm hai quá trình tạo chữ ký và xác minh chữ ký:
Chữ ký số được tạo ra bằng cách sử dụng một hàm băm để nén dữ liệu, biến thông tin thành một bản tóm tắt Sau đó, thuật toán ký số được áp dụng lên bản tóm tắt này Cuối cùng, chữ ký sẽ được gửi đến người nhận kèm theo dữ liệu đã ký.
- Xác minh chữ ký số:
• Bên nhận sẽ sử dụng hàm băm để băm dữ liệu được ký, thu được giá trị băm 1
• Bên nhận sử dụng khóa công khai của bên gửi để giải mã file chữ ký để thu được giá trị băm 2
Bên nhận sẽ tiến hành so sánh hai giá trị băm; nếu chúng trùng khớp, chữ ký trên dữ liệu sẽ được xác thực, ngược lại, nếu không giống nhau, chữ ký sẽ không được công nhận.
Thuật toán ký sốđiện tử
Commonly used digital signature algorithms include the Digital Signature Algorithm (DSA) and Elliptic Curve Digital Signature Algorithm (ECDSA) The primary differences between these algorithms lie in their signature creation and verification processes, as well as their performance efficiency.
Thuật toán chữ ký số DSA (Digital Signature Algorithm) là một kỹ thuật toán học quan trọng, được sử dụng để xác nhận tính xác thực và tính toàn vẹn của thông điệp, phần mềm hoặc tài liệu kỹ thuật số Nó tương đương với chữ ký viết tay nhưng mang lại mức độ bảo mật cao hơn, giúp giải quyết vấn đề giả mạo và mạo danh trong truyền thông kỹ thuật số DSA cung cấp bằng chứng về nguồn gốc, danh tính và trạng thái của tài liệu điện tử, giao dịch hoặc thông điệp kỹ thuật số, đồng thời cho phép người ký xác nhận sự đồng ý Thuật toán này dựa trên công nghệ mã hóa khóa công khai (public key), sử dụng các thuật toán như RSA (Rivest-Shamir-Adleman) để tạo ra hai khóa: một khóa công khai và một khóa riêng tư.
- public key và một khóa riêng - private key
Cách tạo chữ ký số DSA như sau:
Để áp dụng kỹ thuật ký điện tử, cần sử dụng phần mềm ký, chẳng hạn như email, nhằm cung cấp hàm băm một chiều (one way hash) cho dữ liệu điện tử cần được ký.
Hàm hash là chuỗi ký tự và số có độ dài cố định, được tạo ra bởi một thuật toán Sau đó, khóa riêng (private key) của người tạo chữ ký được sử dụng để mã hóa hàm hash này Hàm hash sau khi mã hóa sẽ được kết hợp với các thông tin khác.
Hạ tầng khóa công khai PKI (Public Key Infrastructure)
Hạ tầng khóa công khai PKI (Public Key Infrastructure, viết tắt là PKI) ra đời năm
Năm 1995, các tiêu chuẩn chung được phát triển dựa trên phương pháp mã hoá nhằm hỗ trợ hạ tầng bảo mật trên Internet Mục tiêu lúc bấy giờ là xây dựng một bộ tiêu chuẩn bảo mật toàn diện, cung cấp công cụ và lý thuyết cho phép người dùng và các tổ chức, bao gồm doanh nghiệp và tổ chức phi lợi nhuận, có khả năng tạo lập, lưu trữ và trao đổi thông tin một cách an toàn trong cả không gian cá nhân và công cộng.
Cơ sở hạ tầng khoá công khai (PKI) là một hệ thống kết hợp giữa mô hình và công nghệ, bao gồm kiến trúc và các chuẩn cần thiết Nó hỗ trợ việc khởi tạo, lưu trữ và quản lý chứng thư số, cũng như quản lý và phân phối khóa công khai và khóa bí mật Hệ thống này còn cung cấp cơ chế chứng thực cho các chứng thư số, đảm bảo tính bảo mật và tin cậy trong các giao dịch điện tử.
Thành phần cốt lõi của hệ thống PKI là các chứng thư số, bao gồm định danh và khoá công khai của đối tượng sử dụng Các chứng thư số này được tạo ra và ký bởi đối tượng quản lý chứng thư thông qua chữ ký số Trong một số hệ thống, đối tượng quản lý đăng ký (RA) được tách biệt khỏi CA và không tạo ra chứng thư số, mà chỉ xác minh đối tượng truyền thông cho CA để cấp phát chứng thư số Quá trình xác thực khi yêu cầu chứng thư số từ CA do RA đảm nhận, cho thấy PKI là dịch vụ nền tảng cho các dịch vụ an toàn dựa trên chứng thư số.
Hệ thống PKI (Public Key Infrastructure) đóng vai trò quan trọng trong việc tạo lập, quản lý và phân phối chứng thư số cho các đối tượng truyền thông Các chức năng quản lý của PKI tập trung vào việc quản lý người dùng và khoá công khai của họ Tại Việt Nam, nghiên cứu và triển khai PKI, đặc biệt là dịch vụ chứng thư số, vẫn còn tương đối mới mẻ Việc sử dụng chứng thư số và chữ ký số giúp PKI cung cấp nhiều tính năng bảo đảm an toàn thông tin cho người dùng Hiện có hai mô hình cung cấp chứng thư số: một là do CA (Certificate Authority) tạo cặp khóa cho người dùng, và hai là do chính người dùng tự tạo cặp khóa Hiện tại, Việt Nam đang nghiên cứu và triển khai hệ thống PKI theo mô hình đầu tiên.
Dựa trên nền tảng của mật mã khóa công khai, Hệ thống Quản lý Khóa Công khai (PKI) bao gồm phần mềm, dịch vụ, chuẩn định dạng, giao thức, quy trình và chính sách nhằm đảm bảo an toàn và tin cậy cho các phiên truyền thông.
PKI cung cấp các giải pháp cho xác thực, bảo mật, toàn vẹn và chống chối từ cho thông điệp trao đổi Hệ thống này hỗ trợ việc ký số điện tử thông qua tiêu chuẩn PKI và mã hóa PGP (Pretty Good Privacy), giúp giảm thiểu các vấn đề bảo mật tiềm ẩn.
Việc truyền khóa công khai (public key) là một quá trình quan trọng nhằm xác thực rằng khóa công khai của người gửi thực sự thuộc về cá nhân đó Điều này giúp xác minh danh tính của người gửi, đảm bảo tính an toàn và bảo mật trong giao tiếp.
PKI là một khuôn khổ cho các dịch vụ liên quan đến việc tạo, phân phối, quản lý và xác thực các chứng chỉ khóa công khai Hệ thống PKI sử dụng CA để xác thực và liên kết danh tính người dùng với chữ ký điện tử.
Hiệu quả bảo mật của chữ ký số điện tử phụ thuộc vào độ mạnh của khóa riêng Thiếu PKI, việc xác minh danh tính và thu hồi khóa bị xâm phạm trở nên khó khăn, tạo cơ hội cho kẻ xấu mạo danh người dùng.
Các thành phần của PKI
Ngoài các thành phần cơ bản chứng chỉ số, chữ ký số và mật mã PKI còn được tạo nên bởi các thành phần chức năng chuyên biệt sau:
Chứng chỉ Authority (CA) là một tổ chức đáng tin cậy, có nhiệm vụ tạo, quản lý, phân phối, lưu trữ và thu hồi các chứng chỉ số CA tiếp nhận các yêu cầu cấp chứng chỉ số và chỉ cấp cho những cá nhân hoặc tổ chức đã xác minh được danh tính của họ.
Cơ quan Đăng ký (RA) hoạt động như một cầu nối giữa Chứng thực số (CA) và người dùng Khi người dùng cần một chứng chỉ số mới, họ sẽ gửi yêu cầu đến RA RA có trách nhiệm xác nhận tất cả thông tin nhận dạng cần thiết trước khi chuyển tiếp yêu cầu đến CA, nơi thực hiện việc tạo và ký số chứng chỉ, sau đó gửi lại cho RA hoặc trực tiếp cho người dùng.
Trong kiến trúc của PKI, có hai kho chứa quan trọng là Certificate Repository và Archive Kho công khai được sử dụng để lưu trữ và phân phối các chứng chỉ cùng với CRL, danh sách các chứng chỉ không còn hiệu lực Trong khi đó, Archive là cơ sở dữ liệu mà CA dùng để sao lưu các khóa hiện đang sử dụng và lưu trữ các khóa đã hết hạn, cần được bảo vệ an toàn tương tự như CA.
Máy chủ bảo mật (Security Server) là một hệ thống cung cấp dịch vụ quản lý tập trung cho tất cả tài khoản người dùng, chính sách bảo mật chứng chỉ số, và các mối quan hệ tin cậy giữa các CA trong PKI Nó cũng có khả năng lập báo cáo và cung cấp nhiều dịch vụ khác.
Các ứng dụng hỗ trợ PKI và người dùng PKI bao gồm những người sử dụng dịch vụ của PKI cũng như các phần mềm cho phép cài đặt và sử dụng chứng chỉ số, chẳng hạn như trình duyệt web và ứng dụng email trên máy khách.
Quy mô và khả năng của từng tổ chức mà có thể chọn triển khai một trong 3 mô hình PKI phổ biến sau:
Kiến trúc phân cấp: Hierarchical PKI
Kiến trúc lưới: Mesh PKI
Kiến trúc đơn: Single CA
Kiến trúc đơn - Single CA
Mô hình PKI đơn giản nhất là kiến trúc Single CA, phù hợp cho các tổ chức nhỏ với một CA duy nhất cung cấp dịch vụ cho toàn hệ thống Tất cả người dùng đều tin tưởng vào CA này để xin cấp chứng chỉ Mặc dù dễ thiết kế và triển khai, mô hình này có những hạn chế như khả năng mở rộng kém, vì khi tổ chức phát triển, một CA khó có thể quản lý hiệu quả Ngoài ra, CA này là điểm chịu lỗi duy nhất; nếu nó ngừng hoạt động, dịch vụ sẽ bị gián đoạn Hơn nữa, nếu CA bị xâm hại, độ tin cậy của toàn bộ hệ thống sẽ bị ảnh hưởng và tất cả chứng chỉ số sẽ cần được cấp lại sau khi CA được phục hồi.
Một số tiêu chuẩn mã hóa chữ ký điện tử các tổ chức quốc tế áp dụng
Hầu hết các quốc gia trên thế giới dựa vào tiêu chuẩn từ các tổ chức quốc tế, áp dụng toàn bộ hoặc chọn lọc một số tiêu chuẩn phù hợp với tình hình của mình Các nước phát triển như Mỹ cũng tự xây dựng tiêu chuẩn mật mã, được nhiều quốc gia khác chấp nhận Quyết định áp dụng tiêu chuẩn phụ thuộc vào trình độ phát triển công nghệ thông tin và tình trạng ứng dụng PKI của từng quốc gia.
Các Tổ chức ban hành các tiêu chuẩn liên quan PKI trên thế giới gồm có:
- ISO: Tổ chức tiêu chuẩn hóa thế giới
- NIST: Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ
- ANSI: Viện tiêu chuẩn quốc gia Hoa Kỳ
- ETSI: Viện tiêu chuẩn viễn thông Châu Âu
- CEN: Ủy ban tiêu chuẩn Châu Âu
- IEEE: Viện kỹ nghệđiện và điện tử
- IETF: Nhóm đặc trách về kỹ thuật Internet
- PKIX: Nhóm làm việc về khóa công khai của IETF
- RSA PKCS: Tập các tiêu chuẩn về PKI của RSA
Tiêu chuẩn chữ ký điện tử của Liên minh châu Âu (EU) đã thúc đẩy sự phát triển của thương mại điện tử và yêu cầu một cơ chế bảo mật đáng tin cậy cho các tương tác từ xa Để đáp ứng nhu cầu này, Chỉ thị của Nghị viện và Hội đồng Châu Âu về Chữ ký điện tử (1999/93/EC) đã được ban hành vào ngày 13 tháng 12 năm 1999 Chỉ thị này tập trung vào việc sử dụng chữ ký điện tử được tạo ra bằng phương tiện mã hóa trong một "thiết bị tạo chữ ký an toàn", nhằm đảm bảo tính bảo mật và độ tin cậy trong giao dịch điện tử.
Ủy ban Châu Âu đã cấp ngân sách cho ETSI để thành lập Nhóm chuyên trách Specialist Task Force (STF-221) nhằm xây dựng tiêu chuẩn cho dịch vụ chữ ký di động Nhóm này hỗ trợ công việc của ETSI Project M-Commerce (EP M-Comm), được thành lập từ cuối năm 2000, với nhiệm vụ phân tích nhu cầu của người dùng, nhà cung cấp nội dung, ngân hàng và tổ chức thanh toán để bảo mật hệ thống di động EP M-COMM cũng hợp tác chặt chẽ với các cơ quan như Hiệp hội di động toàn cầu (GSM) và Liên minh di động mở (OMA) Kết quả, nhóm đã hoàn thành 04 tiêu chuẩn dạng báo cáo (TR) và thông số kỹ thuật (TS) cho dịch vụ chữ ký di động.
• TR 102 203: Mobile Commerce (M-COMM); Mobile Signatures; Business and Functional Requirements
• TS 102 204: Mobile Commerce (M-COMM); Mobile Signature Service; Web Service Interface
• TR 102 206: Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework
• TS 102 207: Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services
Bộ tiêu chuẩn TR và TS cho phép thiết kế và triển khai giải pháp chữ ký điện tử di động tương tác, được chấp nhận và sử dụng phổ biến tại Châu Âu và nhiều quốc gia khác.
Tiêu chuẩn chữ ký số trên nền tảng điện toán đám mây:
Vào tháng 4 năm 2019, Ủy ban kỹ thuật về Cơ sở hạ tầng chữ ký điện tử (TC ESI) của ETSI đã ban hành bộ ba tiêu chuẩn kỹ thuật cho chữ ký số dựa trên nền tảng điện toán đám mây Những tiêu chuẩn này nhằm hỗ trợ triển khai dịch vụ chứng thực chữ ký số trên các thiết bị di động, bao gồm các tiêu chuẩn [8] [9] [10].
• ETSI TS 119 431-1: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev
• ETSI TS 119 431-2: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation
• ETSI TS 119 432: Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation
Bộ tiêu chuẩn mới cho phép triển khai dịch vụ chứng thực chữ ký số trên Cloud, giúp người dùng không còn phụ thuộc vào phần mềm chuyên dụng hay thiết bị mã hóa Người ký có thể ủy quyền cho bên thứ ba quản lý khóa ký và thực hiện ký điện tử tài liệu dưới sự giám sát của họ Để đảm bảo môi trường tạo chữ ký trên đám mây an toàn, tổ chức cung cấp dịch vụ phải thực hiện quy trình quản lý và bảo mật chặt chẽ, sử dụng hệ thống và thiết bị mã hóa đáng tin cậy, cùng với các kênh truyền thông điện tử an toàn.
Tiêu chuẩn chữký điên tử của Mỹ
Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ (NIST) ban hành tài liệu hướng dẫn: NIST
Hướng dẫn SP PUB 800-157 cung cấp tiêu chuẩn kỹ thuật cho hệ thống cấp thẻ PIV (thẻ xác minh danh tính cá nhân) cho các thiết bị di động như điện thoại thông minh và máy tính bảng Thẻ PIV cho phép các thiết bị này thay thế thẻ thông minh để xác thực từ xa cho các hệ thống CNTT của Chính phủ Liên bang Hoa Kỳ Tài liệu cũng hướng dẫn cách người dùng có thẻ PIV hợp lệ nhận mã thông báo PIV tích hợp thông qua các mô-đun mã hóa phần cứng hoặc phần mềm Phương pháp này nhằm đáp ứng yêu cầu về xác thực thiết bị di động theo Tiêu chuẩn xử lý thông tin liên bang (Trin) 201-2, được công bố vào tháng 8 năm 2013.
NIST (SP) 800-157 không khuyến nghị sử dụng PIV card cho thiết bị di động, mà thay vào đó cung cấp giải pháp thay thế Trong trường hợp việc sử dụng PIV card không khả thi, SP 800-157 giới thiệu token thay thế có thể triển khai trực tiếp trên các thiết bị di động như điện thoại thông minh và máy tính bảng Credential PIV được liên kết với token thay thế này được gọi là Derived PIV Credential.
NIST SP 800-157 quy định các tiêu chuẩn về chính sách chứng thư (CP), thiết bị mã hóa (cryptographic token) như Bluetooth smart card, SIM, và Microsoft, cùng với các thông số liên quan Tài liệu này cũng đề cập đến chữ ký số và quản lý khóa Hiện nay, chính phủ Hoa Kỳ chủ yếu sử dụng Bluetooth smart card làm phương thức ký số trên các thiết bị di động.
Các mô hình đang áp dụ ng ch ữ ký s ố điệ n t ử t ạ i Vi ệ t Nam
Tại Việt Nam, nhiều tổ chức và cá nhân đã áp dụng chữ ký số để xác thực các giao dịch điện tử như nộp thuế, hóa đơn điện tử và gửi báo cáo tài chính Bài viết này sẽ giới thiệu các mô hình mà các tổ chức đang sử dụng trong việc triển khai chữ ký số.
USB TOKEN – Chữ ký số
USB Token là thiết bị phần cứng có hình dạng giống như một chiếc USB, được sử dụng để lưu trữ khóa bí mật và chứng thư số của cá nhân hoặc tổ chức Thông tin của người dùng được mã hóa và bảo mật bằng khóa cá nhân, trong khi mã khóa công khai cho phép đăng nhập vào máy tính để thực hiện ký số Khi mã khóa công khai khớp với mã khóa cá nhân, người dùng có thể ký số trên các văn bản, tạo ra chữ ký số thông qua USB Token.
USB Token là thiết bị mã hóa dữ liệu và thông tin doanh nghiệp, cho phép ký thay chữ ký trên văn bản và tài liệu số trong giao dịch điện tử qua mạng internet.
Hình 1.11 – Mô hình ký số bằng USB Token
Chữ ký số lúc này bao gồm:
• Phần cứng - giống một chiếc USB (được gọi là USB token) và được bảo mật bằng mật khẩu hay còn gọi là mã PIN;
Chứng thư số là thành phần quan trọng trong chữ ký số, chứa dữ liệu mã hóa của doanh nghiệp để xác nhận danh tính Nội dung chứng thư số bao gồm tên tổ chức cung cấp dịch vụ (như VIETTEL-CA), thông tin doanh nghiệp (tên công ty, mã số thuế), số hiệu chứng thư (số seri), thời hạn hiệu lực, khóa công khai của doanh nghiệp, chữ ký số của tổ chức cung cấp, cùng với các hạn chế về mục đích và trách nhiệm pháp lý Ngoài ra, chứng thư số còn áp dụng thuật toán mật mã và các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
• Các thiết bị lưu khóa bí mật có thể kể đến như: USB Token, SmartCard, simcard, thẻ nhớ, …
Khi gia hạn chữ ký số, người dùng chỉ cần thực hiện gia hạn chứng thư số, vì chứng thư số là thành phần quan trọng của chữ ký số Hiện nay, chứng thư số được cung cấp bởi nhiều nhà cung cấp uy tín như NewCA, BkavCA, Viettel, FPT và VNPT.
Chữ ký số trên thiết bịdi động – Mobile PKI (Mobile CA)
Giải pháp xác thực điện tử trên nền tảng di động sẽ là nền tảng kỹ thuật cho các giao dịch điện tử an toàn như e-Banking, e-Government, e-Commerce và e-Health Việc thực hiện xác thực này thông qua PKI SIM card với chứng thư số công cộng giúp định danh dựa trên hạ tầng mã hóa công khai PKI, cung cấp khả năng xác thực mạnh mẽ, chống giả mạo và chống chối bỏ, đồng thời có tính pháp lý và được nhà nước bảo hộ Công nghệ Mobile PKI đã được các công ty viễn thông nghiên cứu và triển khai cho người dùng sử dụng SIM điện thoại.
Chứng thực chữ ký số mà khóa riêng và khóa công khai được lưu trữ trên SIM Với
Với SIM CA, người dùng có thể dễ dàng thực hiện ký điện tử trên điện thoại di động ở bất kỳ đâu có sóng di động Chữ ký số được áp dụng theo chuẩn PKCS#1 và PKCS#7, mang lại sự an toàn và tiện lợi cho việc ký số trên thiết bị di động.
Hình 1.12 – Quy trình ký số bằng SIM PKI
Hình 1.13 – Quy trình đăng ký và sinh chứng thư số Mobile PKI cho người dùng
Hình 1.14 – Phương thức cung cấp dịch vụ Mobile PKI
Trong triển khai dựa trên SIM PKI, việc tạo chữ ký đạt được bằng cách sử dụng bộ xử lý mã hóa trên thẻ SIM
Hình 1.15 - Xử lý mã hóa ký số trên thẻ SIM trong SIM PKI
Yêu cầu ký số được gửi đến thiết bị di động của người dùng thông qua ứng dụng "ký" trên thẻ SIM Điều này cho phép hiển thị nội dung giao dịch trên màn hình di động và cung cấp cho công dân tùy chọn nhập mã PIN để ký tên.
Nhập mã PIN ký chính xác sẽ khởi động quá trình tạo chữ ký di động trên thẻ SIM và gửi chữ ký đến dịch vụ chữ ký di động Việc này cho phép công dân xác nhận ý định của họ để thực hiện các giao dịch hiển thị trên màn hình thiết bị di động.
MNO Nhà mạng di động
ETSI 102 204 - Giao diện tương tác AP và MSSP
ETSI 102 207 - Yêu cầu chức năng nghiệp vụ
Hình 1.16- Mô hình tổng quan giải pháp SIM PKI
Các thành phần chính gồm:
- MSSP: Nhà cung cấp dịch vụ chữ ký di động
- AP: Nhà cung cấp ứng dụng.
- RA: Nhà cung cấp dịch vụ đăng ký sử dụng.
- CA: Nhà cung cấp dịch vụ chứng chữ ký số.
- SIM CA: Thiết bị thẻ thông minh trong thiết bị di động
- MNO: Nhà mạng di động
Chữ ký số bằng thiết bị phần cứng chuyên dụng – Hardware Security Module (HSM)
HSM (Module bảo mật phần cứng) là thiết bị vật lý có nhiệm vụ quản lý và bảo vệ các cặp khóa cùng chứng thư số, phục vụ cho các ứng dụng xác thực mạnh mẽ và xử lý mã hóa Thông thường, HSM được thiết kế dưới dạng thẻ PCI để gắn vào máy tính hoặc dưới dạng thiết bị độc lập.
Chữ ký số HSM là loại chữ ký số được lưu trữ bằng công nghệ HSM, cho phép bảo mật cặp khóa và sử dụng các giao thức mạng để truyền nhận và xử lý lệnh ký một cách hiệu quả.
Chữ ký số HSM và USB Token đều hoạt động theo nguyên lý tương tự, nhưng chữ ký số HSM nổi bật hơn khi được sử dụng trực tuyến, trong khi USB Token thường hoạt động ở chế độ offline.
Khi sử dụng chữ ký số HSM, người dùng có thể dễ dàng đăng ký và tạo tài khoản như trên các mạng xã hội, sau đó thực hiện ký số trực tuyến qua Internet Ngược lại, với USB Token, người dùng cần cắm trực tiếp thiết bị vào đầu nối tương thích để sử dụng.
Chữ ký số HSM nổi bật với ưu điểm không cần mang theo bên mình như USB Token, mang lại sự tiện lợi cho người dùng HSM rất phù hợp cho các tổ chức và doanh nghiệp có nhu cầu ký nhiều tài liệu một cách nhanh chóng, thậm chí có thể thực hiện ký tự động.
Hình 1.17 – Mô hình ký số thông qua thiết bị chuyên dụng HSM Điểm giống nhau giữa USB Token và HSM:
Thiết bị USB Token và HSM cung cấp môi trường lưu trữ và tính toán an toàn, không thể sao chép hoặc làm giả Chất lượng bảo mật của chúng được đánh giá theo các tiêu chuẩn quốc tế như FIPS 140-2, Common Criteria và ISO/IEC 15408 Sự khác biệt giữa USB Token và HSM nằm ở khả năng và ứng dụng của từng thiết bị trong việc bảo vệ thông tin.
Ký số theo mô hình phân tán tại client
Người dùng bắt buộc phải luôn mang theo thiết bị bên mình.
Ký số tập trung, người dùng không phải mang thiết bị ký số như USB Token.
Tại một thời điểm chỉ có 01 người sử dụng, không thể phân quyền rộng rãi và chi tiết cho từng bộ phận sử dụng.
Nhiều bộ phận thực hiện ký số cùng lúc, phân quyền sử dụng cho các bộ phận liên quan dễ dàng.
3 Ký số lần lượt và tốc độ ký chậm, ~ 4-5 hóa đơn/phút.
T ổ ng k ế t
Dựa trên cơ sở lý thuyết mật mã học và hạ tầng khóa công khai PKI, việc áp dụng chữ ký điện tử từ xa đang trở thành một nhu cầu đột phá, mang lại phương thức ký số thuận lợi mà không cần thiết bị phần cứng, đồng thời đảm bảo chi phí thấp cho các giao dịch của doanh nghiệp trên Internet Do đó, tôi đề xuất tiếp tục nghiên cứu nền tảng quản lý ký số điện tử xa với các mô hình, tiêu chuẩn kỹ thuật, và nguyên lý hoạt động sẽ được trình bày trong chương tiếp theo.
