TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nền tảng quản lý chữ ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet ĐINH HỒNG KHÁNH khanhdh.xm@gmail.com Ngành Công nghệ thông tin Giảng viên hướng dẫn: Viện: PGS.TS Cao Tuấn Dũng Viện Công nghệ thông tin Truyền thông HÀ NỘI - 2021 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nền tảng quản lý chữ ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet ĐINH HỒNG KHÁNH khanhdh.xm@gmail.com Ngành Công nghệ thông tin Giảng viên hướng dẫn: PGS.TS Cao Tuấn Dũng Viện: Viện Công nghệ thông tin Truyền thông Chữ ký GVHD CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Đinh Hồng Khánh Đề tài luận văn: Nền tảng quản lý chữ ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet Chuyên ngành: Công nghệ thông tin Mã số SV: CA190143 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 30 tháng 10 năm 2021 với nội dung sau: Chương làm rõ, rút gọn nội dung sở lý thuyết, chỉnh sửa lại mục tiêu đề tài, làm rõ vai trò chữ ký số điện tử từ xa giao dịch đảm bảob Chỉnh sửa lại mục tiêu, định hướng giải pháp đóng góp Lược bỏ số nội dung không cần thiết Chương Làm rõ mơ hình, tiêu chuẩn, bỏ bớt nội dung khơng liên quan đến mơ hình nghiên cứu đề tài Chương Sửa đổi, nêu rõ quy trình áp dung tảng với phần mềm nội doanh nghiệp (phần mềm quản lý vật tư) mà đề tài nghiên cứu áp dụng Mơ hình hóa thành luận hướng phần mềm nội để từ áp dụng nhân rộng cho toàn phần mềm nghiệp vụ cần chữ ký số điện tử từ xa cho giao dịch thực doanh nghiệp Kết luận: bổ sung làm rõ nội dung đề tài thực kết việc việc nghiên cứu cụ thể hóa thành hướng thực nghiên cứu trình kết hợp với phần mềm nội doanh nghiệp với giao dịch thực quy trình doanh nghiệp Bổ sung tài liệu tham khảo cập nhật lại danh mục bảng, hình vẽ, cỡ chữ định dạng chữ Ngày tháng Giáo viên hướng dẫn Tác giả luận văn PGS.TS Cao Tuấn Dũng Đinh Hồng Khánh CHỦ TỊCH HỘI ĐỒNG TS Vũ Thị Hương Giang năm ĐỀ TÀI LUẬN VĂN Nền tảng quản lý chữ ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet” “ GIÁO VIÊN HƯỚNG DẪN PGS.TS Cao Tuấn Dũng Lời cam đoan Tôi – Đinh Hồng Khánh – xin cam đoan: • Luận văn tốt nghiệp (LVTN) Thạc sĩ cơng trình nghiên cứu thân hướng dẫn PGS.TS Cao Tuấn Dũng • Nội dung kết nêu Luận văn trung thực, chép tồn văn cơng trình khác Tác giả LVThS Đinh Hồng Khánh Lời cám ơn Xuất phát từ khó khăn cơng việc tham gia thực dự án phần mềm quản lý doanh nghiệp, vướng mắc gặp phải hàng ngày việc trao đổi chứng từ, hợp đồng, văn bản, giấy tờ nhân sự, phận, người lao động với công ty, công ty với công ty Quá trình trao đổi tài liệu diễn liên tục qua nhiều bước, bước người thực phải in tài liệu kí vào văn gửi lên cấp chuyển phát nhanh tài liệu xuống người có nhu cầu vị trí địa lý khác Việc thực gây lãng phí tài nguyên, lãng phí tiền, lãng phí thời gian…những vấn đề lãng phí khơng hiệu quả, khơng áp dụng cơng nghệ thay cho việc kí truyền thơng vào văn khiến tơi ln hướng tới việc tìm giải pháp để khắc phục Trong trình học tập theo chương trình Thạc sĩ kỹ thuật trường Đại học Bách Khoa Hà Nội, tiếp cận với nhiều kiến thức mới, nhiều hướng giải vấn đề nhận thấy đề tài “Nền tảng quản lý kí số điện tử từ xa cho giao dịch đảm bảo Doanh nghiệp môi trường Internet” gợi ý phù hợp cho hướng tơi tìm kiếm Nhận giúp đỡ tận tình PGS.TS Cao Tuấn Dũng với mong muốn thân việc tiếp cận, tìm hiểu tài liệu từ giáo trình phân tích, thử nghiệm internet tơi thực luận văn Tôi xin chân thành cảm ơn nhà trường tạo điều kiện học tập, nghiên cứu để giúp tơi có hướng để hình thành luận văn đề tài phục vụ hữu ích hoạt động ứng dụng doanh nghiệp Đặc biệt, xin cảm ơn PGS.TS Cao Tuấn Dũng hướng dẫn, đánh giá, gợi mở cho phương hướng nghiên cứu hỗ trợ, giúp đỡ tơi khắc phục khó khăn q trình thực Luận văn để tơi hoàn thiện Luận văn Tác giả LVThS Đinh Hồng Khánh Tóm tắt nội dụng luận văn Nền tảng quản lý ký số điện tử từ xa thực cho giao dịch điện tử trao đổi đảm bảo tính pháp lý, loại bỏ việc giả mạo chữ ký, xác định nguồn gốc chữ ký Đề tài phát triển nhằm đáp ứng nhu cầu doanh nghiệp giúp doanh nghiệp hiệu hoạt động sản xuất kinh doanh doanh nghiệp, tăng suất công việc, giảm chi phí Từ tác giá lựa chọn đề tài “Nền tảng quản lý chữ ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp mơi trường Internet” Nội dung Luận văn chia làm phần cụ thể sau: Mở đầu: đặt vấn đề cho việc nghiên cứu, nêu đề xuất giới hạn phạm vi toán kết mục tiêu Chương 1: Trình bày sở lý thuyết tảng quản lý kí số gồm sở mật mã học, hạ tầng khóa cơng khai PKI, tiêu chuẩn kỹ thuật tảng ký số từ xa Các tìm hiểu phần làm sở lý thuyết cho giải pháp đề xuất tiền đề cho tảng ký số điện từ từ xa Chương 2: Trình bày tảng quản lý ký số điện tử từ xa gồm quản lý khóa bí mật, chứng thư số thực chữ ký số điện tử Dựa tảng quản lý ký số điện tử từ xa đề xuất cho phép thực tích hợp kết hợp để kết nối vào hệ thống quản trị ERP doanh nghiệp Chương 3: Trình bày ngắn gọn nghiên cứu tích hợp tảng quản lý ký số điện tử xa với hệ thống phần mềm quản trị Vật tư – ký số doanh nghiệp với mục đích thực mục tiêu nêu tảng Từ kết phép đo, đánh giá đề xuất hướng phát triển Kết luận: Tóm lược tồn nghiên cứu kết thực hiện, hướng phát triển, khả triển khai thực tế Tác giả luận văn Đinh Hồng Khánh MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 11 DANH MỤC CÁC BẢNG 14 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 15 MỞ ĐẦU 17 Đặt vấn đề 17 Đề xuất nghiên cứu 19 Bố cục luận văn 20 CHƯƠNG – CƠ SỞ LÝ THUYẾT CỦA NỀN TẢNG QUẢN LÝ KÝ SỐ ĐIỆN TỬ TỪ XA 22 Cơ sở mật mã học 22 Hạ tầng khóa công khai PKI (Public Key Infrastructure) 34 Một số tiêu chuẩn mã hóa chữ ký điện tử tổ chức quốc tế áp dụng 38 Các mô hình áp dụng chữ ký số điện tử Việt Nam 41 Tổng kết 49 CHƯƠNG – NỀN TẢNG QUẢN LÝ KÝ SỐ ĐIỆN TỬ TỪ XA 50 Mô hình tổng quan tảng ký số điện tử từ xa 51 Các tiêu chuẩn tảng ký số điện tử từ xa 54 Giải thuật giao thức dùng mơ hình ký số điện tử từ xa 60 3.1 Hệ thống mã hoá bất đối xứng 60 3.2 Giao thức tạo chữ kí số từ xa (Protocols for remote digital signature creation) 62 3.3 Giao thức kích hoạt chữ ký (Signature Activation Protocol - SAP) 64 3.4 Giao thức cho kiểm tra trạng thái chứng thư số trực tuyến (Online Certificate Status Protocol - OCSP) 65 Nguyên lý hoạt động mơ hình ký số điện tử từ xa 68 4.1 Quy trình sinh khóa 68 4.2 Quy trình ký số điện tử từ xa 70 Tổng kết 71 CHƯƠNG – NGHIÊN CỨU, PHÁT TRIỂN VÀ TRIỂN KHAI NỀN TẢNG KÝ SỐ ĐIỆN TỬ TỪ XA 72 Thực thi tảng ký số điện tử từ xa 72 1.1 Hệ thống chữ ký điện tử từ xa - Sign Server 72 1.2 Đề xuất tảng ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet 75 Thực ký số điện tử áp dụng quy trình nghiệp vụ phần mềm quản lý vật tư – ký số điện tử 77 Đánh giá lại kết áp dụng mơ hình tảng ký số điện tử từ xa cho giao dịch đảm bảo môi trường Internet 84 KẾT LUẬN 85 Tổng kết 85 Hướng phát triển 86 PHỤ LỤC A – KIỂM THỬ SIGN SERVER SAU KHI CÀI ĐẶT 88 PHỤ LỤC B THAM KHẢO DANH MỤC TIÊU CHUẨN ÁP DỤNG CHỮ KÝ SỐ THEO MƠ HÌNH KÝ SỐ ĐIỆN TỬ TỪ XA TẠI VIỆT NAM 93 TÀI LIỆU THAM KHẢO 97 10 KẾT LUẬN Tổng kết Để cho phép chuyển dịch sang giới kỹ thuật số, ngày có nhiều nhu cầu, đặc biệt công ty, giải pháp kỹ thuật số có khả cung cấp dịch vụ ký kết mạnh mẽ đáng tin cậy Sự thay đổi khơng cho phép q trình ký kết trở thành kỹ thuật số mà tăng cường đặc tính bảo mật quy định chữ ký viết tay: xác thực, khơng thối thác tồn vẹn liệu Ký số công cụ chuyển đổi số quan trọng chuyển đổi số tổ chức, doanh nghiệp Tính ký số cần tích hợp hầu hết phần mềm, giải pháp nghiệp vụ khác hoá đơn điện tử, phần mềm kế tốn, tài chính, quản lý văn bản, lưu trữ điện tử, quản lý khách hàng CRM, quản lý nhân HRM hay hệ thống điều hành ERP… thay chữ ký tay, dấu đỏ để ký số nhiều loại tài liệu quan trọng: chứng từ kế toán, chứng từ mua bán, hợp đồng điện tử, giao dịch tài – ngân hàng…, từ hình thành quy trình số tồn diện tổ chức Tuy nhiên, kén cổng kết nối thiết bị hay hệ điều hành, tương thích kém, thiếu tính động, linh hoạt, không phù hợp cho tổ chức có nhu cầu ký số lớn, ký lúc nhiều tài liệu điện tử nên việc tích hợp với hệ thống thông tin phương thức ký số sử dụng USB token, smart card bị hạn chế, đặc biệt với ứng dụng hoạt động thiết bị di động điện thoại thông minh hay máy tính bảng Trong khi, thói quen sử dụng thiết bị di động để xử lý công việc lúc nơi ngày phổ biến Vì thế, sử dụng ký số từ xa giải pháp ký số nâng cấp hoàn hảo giúp tổ chức, doanh nghiệp tránh bất tiện Với ký số từ xa – Remote Signing, người dùng ký số lúc, nơi, thiết bị mà không cần phải lo lắng thiết bị kết nối, hệ điều hành, cần mở ứng dụng ký Giải pháp đề xuất hệ thống chứng thực điện tử với mục đích cung cấp chữ ký số đủ tiêu chuẩn sử dụng yếu tố an tồn có thiết bị di động, loại bỏ nhu cầu đầu đọc bên ngoài, Nền tảng ký số điện tử xa đề xuất luận văn tn thủ theo mơ hình ký số từ xa Remote Signing đáp ứng theo quy định EU eIDAS, đồng thời đối chiếu theo quy định pháp luật Việt Nam Nghị định 130/2018/NĐ-CP Thông tư 16/2019/TTBTTTT danh mục tiêu chuẩn kỹ thuật bắt buộc áp dụng với chữ ký số dịch vụ chứng thực điện tử theo mơ hình ký số thiết bị di động ký số từ xa (module SAM đáp ứng chứng nhận CC EAL4+ với EN 419 241-2, hệ thống ký số từ xa đảm bảo tính an tồn cao cho khóa ký người dùng lưu Keystore – mơđun mã hóa bảo mật tuân thủ EN 419 2215 chống công theo chế xác thực SCAL2.) Trong trình thực chữ ký số điện tử từ xa, người dùng phải xác thực định danh cá nhân, tài khoản để truy cập vào ứng dụng tổ chức Các công trực tuyến, chẳng hạn công vẹt cạn, ngăn chặn giới hạn số lần đăng nhập bị sai đạt đến số lần xác thực tối đa Vì vậy, liệu người dùng lưu trữ an toàn thiết bị dùng đăng nhập bị cơng, tính bảo mật chữ ký số cịn ngun vẹn 85 Dựa phân tích áp dụng thực tế triển khai xây dựng ứng dụng thử nghiệm, tơi có số kết luận làm sở cho việc định hướng cho việc nghiên cứu sâu triển khai tốn thực tế: - Triển khai mơ hình tảng chữ ký điện tử từ xa cho giao dịch đảm bảo Internet tổ chức hoàn toàn khả thi ứng dụng tổ chức - Nền tảng chữ ký điện tử từ xa áp dụng cho quy trình luồng cơng việc nghiệp vụ tổ chức - Nền tảng chữ ký điện tử từ xa tích hợp với phần mềm nội phần mềm quản trị khách hàng, phần mềm quản trị nhân sự, phần mềm quản lý vật tư, phần mềm quản lý văn bản, phần mềm kế toán,…Trong luận văn tiến hành kết hợp với phần mềm ứng dụng quản lý vật tư tổ chức áp dụng ký số điện tử từ xa cho Quy trình thực nhu cầu sử dụng vật tư (theo kế hoạch đột xuất) theo cấp nhân viên, phòng ban: người lập, người giao hàng, thủ kho, kế toán trưởng - Nền tảng chữ ký điện tử từ xa áp dụng với định dạng: dạng Digital Signature Values (General); dạng CadES (CMS); dạng PadES (PDF); dạng XadES (XML), Word, text,… - Nền tảng chữ ký điện tử từ xa giúp cho giao dịch nội bảo mật tuyệt đối, đảm bảo tính cá nhân hóa phương thức usb token (người dùng chịu trách nhiệm trước ký số điện tử) với tính xác thực bước (Google Authenticator, OTP, Smart OTP) bắt đầu ký số điện tử vào chứng từ vật tư xuất, nhập, đăng ký nhu cầu vật tư Luận văn đạt mục tiêu nghiên cứu đề ra: - Tổng hợp kiến thức tàng ký số công cộng PKI, kiến trúc tiêu chuẩn kỹ thuật cần phải áp dụng cho tảng ký số điện tử từ xa - Các quy định luật sẵn sàng áp dụng chữ ký điện tử từ xa cho giao dịch môi trường Internet - Nghiên cứu tảng chữ ký điện tử từ xa Sign Server, API cho máy chủ ký số điện tử API cho phần mềm ứng dụng để tích hợp với chức luân chuyển chứng từ phần mềm quản lý vật tư để thực ký số toàn cho trình nghiệp vụ vật tư - Thiết kế thử nghiệm mơ hình tảng ký số điện tử từ xa cho giao dịch đảm bảo nghiệp vụ vật tư thông qua chữ ký điện tử, rút kết luận sở cho việc mở rộng toán Hướng phát triển Để áp dụng vào thực tế cách đầy đủ hiệu tảng ký số điện tử từ xa cho toàn q trình hoạt động doanh nghiệp tích hợp với tồn phần mềm tổ chức cần thêm thời gian để thực nghiên cứu số vấn đề: 86 - - - Tự động hóa khai báo thiết lập tồn chữ ký người dùng Phát triển, bổ sung chức cho mô đun API ký số điện tử API phần mềm ứng dung tổ chức Phát triển thêm tính nâng cao giám sát tồn trình trình ký qua nhiều cấp; xác thực chữ ký điện tử file văn thật hay giả; tích hợp với máy đọc hộ chiếu hay thẻ cước công dân (chuẩn ICAO); hệ thống xác thực tổ chức cho giao dịch;… Luồng xác minh lại chữ ký số văn bản: người dùng gửi tài liệu có ký số chủ thể cần xác minh đưa lên hệ thống, sau hệ thống kiểm tra chữ ký chủ thể tài liệu có trùng với chữ ký có sẵn hệ thống khơng để xác minh tính hợp lệ chữ ký Nếu chữ ký tài liệu khơng hợp lệ báo thơng báo Ký số đóng dấu thời gian timestamp kèm xác thực lâu dài (Long-term Validation – LTV) đảm bảo tính tồn vẹn, chống chối bỏ, xác thực lưu trữ điện tử lâu dài từ năm, 10 năm, 20 năm hay vĩnh viễn: xác thực lâu dài LTV hiểu trình chứng thực tài liệu điện tử nhằm đảm bảo hiệu lực chữ ký số thời điểm ký, thơng qua cú pháp tin mã hóa - Cryptographic Message Syntax (CMS) định dạng nâng cao Public Key Infrastructure (PKI) Hệ thống xác định xác mốc thời gian ký thông qua dấu thời gian điện tử đính kèm Khơng có LTV, văn điện tử bị giới hạn thời gian xác thực, đồng thời trở nên vô hiệu Nhà cung cấp dịch vụ chứng thực (CA) dừng cung cấp dịch vụ Công nghệ cho phép người dùng gắn kèm nhiều TimeStamp liệu xác thực lên chữ ký tệp PDF Điều lặp lại nhiều lần, mở rộng khả xác thực chứng thư số gốc bị hết hạn thu hồi Kết luận: để lựa chọn hướng mang lại giá trị cho doanh nghiệp tổ chức áp dụng phương pháp ký số truyền thống đòi hỏi thực nghiên cứu nhiều vấn đề để thực thành cơng Do thời gian thực luận văn khơng có nhiều kiến thức lý thuyết khả thực nghiệm tơi cịn chưa tốt, nên phần trình bày, kết chưa đủ sâu sắc Trong tương lai, với việc thử nghiệm hoàn thiện triển khai thực tế tảng ký số điện tử từ xa cho giao dịch Internet nghiên cứu vấn đề theo định hướng phát triển, tiếp tục cập nhật kết thêm cho nội dung 87 PHỤ LỤC A – KIỂM THỬ SIGN SERVER SAU KHI CÀI ĐẶT Mục đích phần này: sau cài đặt máy chủ ký số điện tử, tiến hành truy cập từ máy tính (hệ điều hành Windows 10) vào quản trị máy chủ ký số điện tử - Sign Server 1- Đăng ký SSL miễn phí tại: https://zerossl.com/ 2- Tạo file jks: mật file xmKeystore PKCS # 12 (còn gọi PKCS12 PFX) định dạng nhị phân để lưu trữ chuỗi chứng khóa riêng tệp mã hóa Các tệp PKCS # 12 thường sử dụng để nhập xuất chứng khóa riêng máy tính Windows macOS thường có phần mở rộng tên tệp p12 or pfx OpenSSL cơng cụ dịng lệnh mã nguồn mở để làm việc với X, 509 chứng chỉ, yêu cầu ký chứng (CSRs) khóa mật mã (sử dụng Linux macOS, OpenSSL cài đặt máy tính Windows cách cài đặt Cygwin) Có thể tạo tệp PKCS # 12 với openSSL Lưu chứng khóa riêng vào tập tin - Bước 1: Tạo PFX P12 file openssl pkcs12 -export -out signserver.erpvn.biz.pfx -inkey signserver.erpvn.biz.key -in signserver.erpvn.biz.crt -certfile INTERMEDIATE_CA.crt -name myAlias Pass: mypassword (mật khẩu: xmKeystore) - Bước 2: Tạo JKS file từ PFX P12 keytool -importkeystore -srckeystore domainname.pfx -srcstoretype pkcs12 -srcalias myAlias -srcstorepass mypassword -destkeystore domainname.jks -deststoretype jks deststorepass mypassword -destalias myalias 3- Sinh file (đặt tên file keystore.p12 Tại máy tính Windows 10 bấm vào file để thực hiên import certificate 88 89 90 4- Truy cập kiểm thử máy chủ ký số điện tử (sign server) https://103.74.121.154:8443/signserver/adminweb/ Giao diện máy chủ ký số điện tử từ xa (Sign Server) [18] 91 92 PHỤ LỤC B THAM KHẢO DANH MỤC TIÊU CHUẨN ÁP DỤNG CHỮ KÝ SỐ THEO MƠ HÌNH KÝ SỐ ĐIỆN TỬ TỪ XA TẠI VIỆT NAM Ban hành kèm theo Thông tư số 16/2019/TT-BTTTT ngày 05 tháng 12 năm 2019 Bộ trưởng Bộ Thông tin Truyền thông [1] TT Loại tiêu chuẩn Ký hiệu tiêu chuẩn Tên đầy đủ tiêu chuẩn Quy định áp dụng Tiêu chuẩn mật mã chữ ký số - Áp dụng hai tiêu RSA Cryptography Standard chuẩn - Đối với tiêu chuẩn RSA: + Phiên 2.1 + Áp dụng lược đồ RSAESPublic Key Cryptography for OAEP để mã hoá RSASSAthe Financial Services PSS để ký ANSI X9.62Industry: The Elliptic Curve + Độ dài khóa tối thiểu 2048 2005 Digital Signature Algorithm bit (ECDSA) - Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu 256 bit PKCS#1 Mật mã phi đối 1.1 xứng chữ ký số TCVN 7816:2007 (FIPS PUB 1.2 Mật mã đối xứng 197) Công nghệ thơng tin - Kỹ thuật mật mã - Thuật tốn mã hóa liệu AES Áp dụng hai tiêu chuẩn Recommendation for the NIST 800-67 Triple Data Encryption Algorithm (TDEA) Block Cipher Áp dụng hàm FIPS PUB Secure Hash Standard băm sau: 180-4 SHA-224, SHA-256, SHA-384, SHẠ-512, SHA-512/224, 1.3 Hàm băm an toàn SHA-3 Standard: Permutation- SHA-512/256, FIPS PUB 202 Based Hash and Extendable- SHA3-224 SHA3-256 Output Functions SHA3-384, SHA3-512, SHAKE128, SHAKE256 Tiêu chuẩn thông tin, liệu 93 Định dạng chứng thư số danh 2.1 RFC 5280 sách thu hồi chứng thư số Cú pháp thông 2.2 PKCS #7 điệp mật mã 2.3 Cú pháp yêu cầu PCKS#10 chứng thực Cú pháp thơng tin PKCS #8 khóa riêng Giao diện giao 2.5 tiếp với thẻ PKCS#11 mật mã 2.4 2.6 Cú pháp trao đổi PKCS #12 thông tin cá nhân Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Cryptographic Message Phiên 1.5 Syntax Standard Certification Request Syntax Standard Phiên 1.7 Private-Key Information Syntax Standard Phiên 1.2 Cryptographic token interface Phiên 2.20 standard Personal Information Exchange Syntax Standard Phiên 1.0 Tiêu chuẩn sách quy chế chứng thực chữ ký số Khung quy chế Internet X.509 Public Key chứng thực Infrastructure - Certificate 3.1 RFC 3647 sách chứng Policy and Certification thư Practices Framework Tiêu chuẩn giao thức lưu trữ truy xuất chứng thư số RFC 2587 Lược đồ Giao 4.1 thức truy nhập thư mục RFC 4523 RFC 2251 RFC 4510 4.2 Giao thức truy nhập thư mục RFC 4511 RFC 4512 Internet X.509 Public Key Infrastructure LDAPv2 Schema Áp dụng hai tiêu Lightweight Directory Access chuẩn Protocol (LDAP) Schema Definitions for X.509 Certificates Lightweight Directory Access Protocol (v3) Lightweight Directory Access Protocol (LDAP): Technical specification Road Map Lightweight Directory Access Protocol (LDAP): The Protocol Lightweight Directory Access Protocol (LDAP): Directory Information Models 94 Áp dụng tiêu chuẩn RFC 2251 bốn tiêu chuẩn: RFC 4510, RFC 4511, RFC 4512, RFC 4513 Lightweight Directory Access Protocol (LDAP): RFC 4513 Authentication Methods and Security Mechanisms Tiêu chuẩn kiểm tra trạng thái chứng thư số Giao thức truyền, nhận chứng thư 5.1 số danh sách RFC 2585 chứng thư số bị thu hồi 5.2 6.1 7.1 7.2 7.3 7.4 Internet X.509 Public Key Infrastructure - Operational Protocols: FTP and HTTP Áp dụng hai giao thức FTP HTTP Giao thức cho X.509 Internet Public Key RFC 2560; kiểm tra trạng Infrastructure - Online RFC 6960 ; thái chứng thư số Certificate status protocol RFC 5019 trực tuyến (OCSP) Tiêu chuẩn bảo mật cho modun bảo mật cứng - HSM quản lý khóa bí mật tổ chức cung cấp dịch vụ chứng thực chữ ký số - Áp dụng hai tiêu FIPS PUB Security Requirements for Yêu cầu an ninh 140-2 chuẩn Cryptographic Modules khối an - Đối với tiêu chuẩn FIPS PUB ninh phần cứng EN 419221- Protection Profiles for TSP 140-2: Cryptographic modules - Part HSM Yêu cầu tối thiểu mức (level 5:2018 5: Cryptographic Module for 3) Tiêu chuẩn hệ thống thiết bị quản lý khóa bí mật, chứng thư số tạo chữ ký số khách hàng Electronic Signatures and ETSI TS Infrastructures (ESI); Yêu cầu 119 431-1 Áp dụng tiêu chuẩn Policy and security sách an ninh requirements for trust service phần; cho máy chủ ký số Phiên V1.1.1 (12/2018) Electronic Signatures and ETSI TS Infrastructures (ESI); 119 431-2 Policy and security Electronic Signatures and Giao thức tạo chữ ETSI TS Phiên V1.1.1 Infrastructures (ESI); ký số 119 432 (03/2019) Protocols for remote digital Trustworthy Systems Ứng dụng ký EN 419241- Supporting Server Signing máy chủ ký số 1:2018 Part 1: General system security requirements Trustworthy Systems Yêu cầu cho EN419241- Supporting Server Signing Part 2: Protection Profile for module ký số 2:2019 QSCD for Server Si i 95 Yêu cầu an ninh khối an 7.5 ninh phần cứng HSM EN 4192215:2018 Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services 96 TÀI LIỆU THAM KHẢO Tiếng Việt Thông tư 16/2019/TT-BTTTT áp dụng tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng quan, tổ chức cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng, tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngồi có chứng thư số Bộ TT&TT công nhận Việt Nam cung cấp dịch vụ chứng thực chữ ký số theo mơ hình ký số thiết bị di động ký số từ xa; Tổ chức, cá nhân phát triển ứng dụng sử dụng chữ ký số, cung cấp giải pháp chữ ký số theo mơ hình ký số thiết bị di động ký số từ xa Giáo trình Cơ sơ an tồn thơng tin – PGS Nguyễn Khanh Văn – Nhà xuất Bách Khoa Hà Nội; Tiếng Anh W Diffie and M E Hellman, “New directions in cryptography,” Information Theory, IEEE Transactions on, vol 22, no 6, pp 644–654, 1976 R L Rivest, A Shamir, and L Adleman, “A method for obtaining digital signatures and public-key cryptosystems,” Commun ACM, vol 21, no 2, pp 120–126, Feb 1978 [Online] Available: http://doi.acm.org/10.1145/359340.359342 http://www.cs.miami.edu/home/burt/learning/Csc609.142/ecdsa-cert.pdf The European Parliament and the Concil of the European Union, “Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures,” Official Journal of the European Communities, vol L12, pp 12–20, 2000 [Online] Available: http://europa.eu.int/eur-ex/pri/en/oj/dat/2000/l 013/l 01320000119en00120020.pdf https://www.etsi.org/ ETSI TS 119 432 V 1.1.1 (2019-03): Electronic Signatures and Infrastructures (ESI); Protocols for Remote Digital Signature Creation ETSI TS 119 431-1 V 1.1.1 (2018-12): Electronic Signatures and Infrastructures (ESI); Policy and Security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev 10 ETSI TS 119 431-2 V 1.1.1 (2018-12): Electronic Signatures and Infrastructures (ESI); Policy and Security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation 11 EN 419 241-1: Trustworthy Systems Supporting Server Signing Part 1, General System Security Requirements, CEN February 2018 12 EN 419 241-2: Trustworthy Systems Supporting Server Signing Part 2, Protection Profile for QSCD for Server Signing, CEN April 2019 13 PP (Protection Profile) 419 221 -5: Protection profiles for TSP Cryptographic modules Part Cryptographic Module for Trust Services (https://www.commoncriteriaportal.org/files/ppfiles/ANSSI-CC-PP-2016_05%20PP.pdf) 97 14 ETSI TS 119 432: Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation (https://www.etsi.org/deliver/etsi_ts/119400_119499/119432/01.01.01_60/ts_119432v01 0101p.pdf) 15 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev (https://www.etsi.org/deliver/etsi_ts/119400_119499/11943101/01.02.01_60/ts_1194310 1v010201p.pdf) 16 RFC 6960 - X.509 Internet Public Key Infrastructure - Online Certificate Status Protocol – OCSP 17 RFC 5019 - The Lightweight Online Certificate Status Protocol (OCSP) Profile for HighVolume Environments 18 Cryptomathic: Introducing the Signature Activation Protocol for Remote Server Signing https://www.cryptomathic.com/news-events/blog/introducing-the-signature-activationprotocol-for-remote-server-signing 19 Qatar CERT Qatar Public Key Infrastructure Section: Electronic Signature - Overview & Specification https://www.qcert.org/sites/default/files/public/documents/electronic_signature_overview specification_v1.0.pdf 20 R L Rivest, A Shamir, and L Adleman, “A method for obtaining digital signatures and public-key cryptosystems,” Commun ACM, vol 21, no 2, pp 120–126, Feb 1978 [Online] Available: http://doi.acm.org/10.1145/359340.359342 21 Cryptographic Message Syntax (CMS) - https://datatracker.ietf.org/doc/html/rfc5652 22 CMS Advanced Electronic Signatures (CAdES) https://datatracker.ietf.org/doc/html/rfc5126 23 EldoS, “CAdES and Digital Signatures,” https://www.eldos.com/security/articles/7031.php?page=all, online; accessed 18November-2014 24 ISO, ISO 32000-1:2008 Document management — Portable document format — Part 1: PDF 1.7, 2008 [Online] Available: http://www.iso.org/iso/iso catalogue/catalogue tc/catalogue detail.htm?csnumber=51502 25 H Brzica, B Herceg, and H Stanci ˇ c, “Long-term Preservation of Validity of Electronically Signed ´Records,” electronic form only:: NE, 2013 26 Adobe, “Adobe Reader,” https://www.adobe.com/, online; accessed 19-November-2014 Nền tảng ký số điện tử từ xa 27 https://www.primekey.com 28 https://download.primekey.se/docs/SignServerEnterprise/5.0.0.Beta1/SignServer_Installation.html#src-34570254_safe-idaWQtLlNpZ25TZXJ2ZXJJbnN0YWxsYXRpb252NS4wLjAtOSlEZXBsb3lTaWduU2V ydmVy 98 29 https://doc.primekey.com/signserver/signserver-introduction 99 ... lớp Đảm bảo tính pháp lý giao dịch điện tử: chữ ký số có độ xác cao chữ ký tay chữ ký số hồn tồn đảm bảo tính pháp lý giao dịch điện tử doanh nghiệp Loại bỏ khả giả mạo chữ ký với chữ ký số mã... tảng ký số điện từ từ xa 20 Chương 2: Trình bày tảng quản lý ký số từ xa gồm quản lý khóa bí mật, chứng thư số thực chữ ký số điện tử Dựa tảng quản lý ký số điện tử từ xa đề xuất cho phép thực... Hệ thống chữ ký điện tử từ xa - Sign Server 72 1.2 Đề xuất tảng ký số điện tử từ xa cho giao dịch đảm bảo doanh nghiệp môi trường Internet 75 Thực ký số điện tử áp dụng