1. Trang chủ
  2. » Luận Văn - Báo Cáo

công nghệ thông tin các kỹ thuật an toàn chống chối bỏ phần 3 các cơ chế sử dụng kỹ thuật bất đối xứng

27 0 0
Tài liệu được quét OCR, nội dung có thể không chính xác
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Công nghệ thông tin — Các kỹ thuật an toàn - Chống chối bỏ — Phần 3: Các cơ chế sử dụng kỹ thuật bất đối xứng
Trường học Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành Công Nghệ Thông Tin
Thể loại Thuyết Minh Dự Thao Tiêu Chuẩn Quốc Gia
Năm xuất bản 2014
Thành phố Hà Nội
Định dạng
Số trang 27
Dung lượng 3,35 MB

Nội dung

Đề có được bộ tiêu chuẩn về chống chối bỏ, hai tiêu chuẩn trong bộ tiêu chuân chống chối bỏ về phan 1: TCVN xxxx-I:2015 về một mô hình tông quan về chống chối bỏ và phần 2: TCVN xxxx-2:2

Trang 1

BO THONG TIN VA TRUYEN THONG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG

THUYET MINH DU THAO TIEU CHUAN QUOC GIA

TCVN xxxx-3:2015 ISO/IEC 13888-3:2009 Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOAN - CHÓNG CHÓI

BO — PHAN 3: CAC CO CHE SU DUNG KY THUAT BAT DOI XỨNG Information technology — Security techniques — Non-repudation — Part 2: Mechanisms using asymmetric techniques

HA NOI, THANG 10-2014

Trang 2

MỤC LỤC

I _ Tên gọi và ký hiệu tiêu chuân s- 5s 2121 E1EE12121121111211111111 1111 rreg 1

3.1 Tầm quan trọng của tiêu chuân chống chối bỏ phần 3: Các cơ ché chéng chéi bo str dung ky thuật bất đối xứng - 5à s1 2E 11271211212 121 H1 H1 n1 H21 tr re 1 3.2 Khái quát về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa bất đối xứng 2 3.3 Tình hình tiêu chuân hóa liên quan đến phần 3 của bộ tiêu chuân - -55¿ 3 3.3.1.Các vấn đề cần xem xét trong xây dựng cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa bất đối xứng _ ST HH HH HH HH HH H1 221 urờg 3 3.3.2.Tình hình tiêu chuân hóa về chống chối bỏ có liên quan đến tiêu chuân chống chối bỏ

5 Phương pháp xây dựng tiêu chuẩn

6 Nội dung chính của dự thảo tiêu chuẩn 9

§.1 Nhu cầu về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa bát đối xứng 12

8.2 Dịch vụ chống chối bỏ sử dụng chữ ký TT 13

§.3 Vấn đề thực tế về chống chối bỏ sử dụng chữ ký sỐ - 6S nrrerrre 15 8.4 Ví dụ về dịch vụ VNPT-CA th HH gu ng 18 8.5 Minh họa dịch vụ chống HOT DO cceccececcccscecesescscecesesvscssesesesveveseavevevevevevsvavstevsesvsesess 19

§.6 Ví dụ về dịch vụ chống chối bỏ sử dụng kỹ thuật mã hóa bất đối xứng 20

9.1 Đối tượng sử dụng 5c St E211 11211221221 212 t2 121 1112 cn run 22

Trang 3

9.2 Yêu cầu vẻ trình độ của đối tượng sử dụng tiêu chuẩn 2s S221 525311252555 ezxey 9,3 Phạm vi sử dụng tiêu TT

9.4 Mô hình triển khai áp dụng tiêu chuẩn - 2 5c ST E2 1221211212121

10 Kết luận

Trang 4

1 Tên gọi và ký hiệu tiêu chuẩn

Tên tiêu chuẩn: “Công nghệ thông tin — Các kỹ thuật an toàn - Chống chối bỏ — Phần 3: Các cơ chế sử dụng kỹ thuật bất đối xứng”

Ký hiệu tiêu chuẩn: TCVN xxxx-3:2015

2 Giới thiệu chung

Bộ tiêu chuẩn về chống chối bỏ của tô chức ISO/IEC 13888 là một thể thống nhất cho các dịch

vụ chồng chôi bỏ Ba phan tiêu chuân ISO/TIEC 13888-1, ISO/IEC 13888-2, ISO/TEC 13888-3 bao gồm các nội dung liên quan mật thiết đến nhau, cụ thể là:

- ISO/IEC 13888-I: Mô tả mô hình tổng quan của bộ tiêu chuân và các cơ chế chống chỗi bỏ

- ISO/IEC 13888-2: Mô tả các cơ chế chống chối bỏ sử dụng kỹ thuật đối xứng

- ISO/IEC 13888-3: Mô tả các cơ chế chống chối bỏ sử dụng kỹ thuật bất đối xứng

Ba tiêu chuẩn này được sử dụng để xây dựng ba tiêu chuẩn quốc gia về chống chối bỏ TCVN xxxx-1:2015, TCVN xxxx-2:2015, TCVN xxxx-3:2015

Trong phan thuyét minh nay, tiéu chuan ISO/IEC 13888-3:2009 duoc str dung lam co sé dé xdy dựng tiêu chuân quốc gia về mô hình tông quan chống chỗi bỏ TCVN xxxx-3:2015

Mặt khác, các nguy cơ tân công mạng ngảy cảng nhiều, tập trung nhiều vảo các giao dịch trên mạng Ngoải ra còn phải kê đến các hành vi gian lận, giả mạo, lừa đảo trong các giao dịch trên mạng, đặc biệt là các hành vị chối bỏ việc đã thực hiện một hoạt động giao dịch chang han Thuat ngit chéng chéi bé xuat hién lan dau nam 1988 trong tiéu chuan OSI/ISO 7498-2: 1988 Chéng chối bỏ được hiểu là một địch vụ an toàn nhằm chéng lại việc chối bỏ một sự kiện hoặc hành động nảo đó đã xảy ra hoặc đã thực hiện Điều đó nghĩa là sự từ chối của một trong các bên tham gia vảo trao đôi thông tin về việc đã tham gia vao tat cả hoặc một phần của giao dịch trao đổi thông tin (theo ISO 7498-2) Ví dụ, một bên có thể từ chối việc gửi, nhận, hoặc từ chối nội dung thông điệp, hoặc từ chối thời gian chuyền phát

Trang 5

Định nghĩa trên về chống chối bỏ bao hàm toàn bộ khía cạnh của dịch vụ thương mại điện tử Trong dịch vụ đó, có thể có nhiều khả năng chối bỏ như: chối bỏ một đơn đặt hàng, chối bỏ cung cấp, thanh toán, chuyên phát, chất lượng đã cam kết,

Đề chống chối bỏ, rất cần thu thập, lưu giữ, cung cấp và xác minh băng chứng: cần bảo đảm sự tin cậy dựa trên nên tảng xác thực - đây là những yếu tổ liên quan mật thiết đến chống chối bỏ Mục tiêu chống chối bỏ là Thu thập, duy trì, cung cấp và xác minh bằng chứng không thê phủ nhận về một sự kiện, hành động đã xảy ra; giải quyết tranh cãi về việc đã hoặc không xảy ra một

sự kiện hay hành động trong quá khứ

Có thể thay, chéng chối bỏ rất cần thiết cho giao dịch điện tử, thương mại điện tử, các dịch vụ trên mạng khác và việc tiêu chuẩn hóa về chống chối bỏ là hết sức cần thiết

Đề có được bộ tiêu chuẩn về chống chối bỏ, hai tiêu chuẩn trong bộ tiêu chuân chống chối bỏ về phan 1: TCVN xxxx-I:2015 về một mô hình tông quan về chống chối bỏ và phần 2: TCVN xxxx-2:20L5 về các cơ chế sử dụng kỹ thuật mã hóa đối xứng đã được xây đựng Việc chuẩn hóa các cơ chế chống chối bỏ và các dịch vụ chống chối bỏ sử dụng kỹ thuật mã hóa bất đối xứng cũng hết sức cần thiết Đó cũng là mục tiêu của tiêu chuẩn chống chối bỏ phần 3 dưới tên: TCVN xxxx-3:2015 “Công nghệ thông tin — Các kỹ thuật an toàn - Chống chối bỏ — Phần 3: Các cơ chế sử dụng kỹ thuật mã hóa bắt đối xứng”

1.2 Khái quát về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa bắt đối xứng

Thuật ngữ chống chối bỏ xuất hiện lần đầu năm 1988 trong tiêu chuẩn OSI/ISO 7498-2:1988 Chống chối bỏ được hiểu là một địch vụ an toàn nhằm chéng lại việc chối bỏ một sự kiện hoặc hành động nảo đó đã xảy ra hoặc đã thực hiện Điều đó nghĩa là sự từ chối của một trong các bên tham gia vảo trao đôi thông tin về việc đã tham gia vao tat cả hoặc một phần của giao dịch trao đổi thông tin (theo ISO 7498-2) Ví dụ, một bên có thể từ chối việc gửi, nhận, hoặc từ chối nội dung thông điệp, hoặc từ chối thời gian chuyền phát

Những vân đề cân xem xét xây dựng tiêu chuan ve chong choi bo gom: bang ching, chong choi

bỏ nguồn gốc, chông chôi bỏ vận chuyên, chông chôi bỏ bên nhận, hàm băm, mã hóa, chứng chi, chữ ký số, bên thứ ba tin cậy, công chứng

Liên quan đến tiêu chuẩn thứ 3 về các cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa bắt đối xứng, ta thấy nôi lên vấn đề sau đây:

- _ Cần có quy định về các cơ chế chống chối bỏ sử dụng kỹ thuật mật mã đối xứng, trong đó

có quy định về Chữ ký số, cơ chế tạo ra và bảo đảm bằng chứng: Cơ chế chống chối bỏ

cu thé voi kỹ thuật mật mã bất đối xứng Đây chính là vấn đề trọng tâm và nhu cầu thực

tế để tô chức ISO đưa ra tiêu chuân ISO/IEC 13888 phần 3.

Trang 6

1.3 Tình hình tiêu chuẩn hóa liên quan đến phần 3 của bộ tiêu chuẩn

3.3.1 Các vấn đề cần xem xét trong xây dựng cơ chế chống chối bỏ sử dụng kỹ thuật mã hóa

Một bên thứ ba tin cậy phô biến nhất là công chứng viên Một công chứng cung cấp việc xác minh danh tính của một bên tham gia bằng cách kiểm tra các thông tin khác và gắn chứng nhận của họ Công chứng viên cũng duy trì các bản ghi giao dịch độc lập của họ cho việc xác minh Sau này

Căn cứ vào định nghĩa chống chối bỏ, các vấn để sau đây được quan tâm trong xây dựng tiêu chuẩn chống chối bỏ phần 3:

- Bằng chứng: Thông tin được sử dụng, hoặc kết hợp với thông tin khác, đề thiết lập chứng cớ về một sự kiện hoặc hành động

- Chữ ký số: Dữ liệu chèn thêm vào cho phép bên nhận xác minh nguồn gốc vả tính toản vẹn của khối đữ liệu và bảo vệ chéng lai su gia mao

- Chứng chỉ: Dữ liệu biểu thị không thế giả mạo với khóa riêng hoặc khóa bí mật của một cơ quan chứng thực

- Chống chối bỏ nguồn gốc: Xác minh bên khởi tạo và phát đữ liệu Thường qua cử ký, chứng chỉ, sở hữu khóa riêng

- Chống chối bỏ việc nhận tin: Chống lại việc bên nhận khước từ đã nhận 1 thông điệp

- Chống chối bỏ việc gửi tin: Chống lại việc bên gửi khước từ đã gửi I thông điệp

- Chống chối bỏ việc vận chuyển: Cung cấp bằng chứng cho nguồn phát là cơ quan chuyển phát

đã chuyên 1 thông điệp tới bên nhận đã định

- Bên thứ ba tin cậy: bên được tin cậy cho mục đích xác minh chống chối bỏ

Trang 7

3.3.2 Tình hình tiêu chuẩn hóa về chống chỗi bó có liên quan đến tiêu chuẩn chống chối bỏ phan 3

Thế giới đã có rất nhiều cỗ gắng trong việc chuân hóa, đưa ra các tiêu chuẩn về dịch vụ vả cơ chế chống chối bỏ Tô chức chuẩn hóa quốc tế (ISO) và Hiệp hội Viễn thông quốc tế (ITU) cung cấp các tiêu chuẩn nhằm đưa ra các hướng dẫn cụ thế cho phát triển vả ứng dụng công nghệ thông tin và truyền thông Bộ tiêu chuẩn về chống chối bỏ là một trong số các tiêu chuẩn về dịch

vụ an toản trong bộ khung tiêu chuẩn an toản thông tin của ISO/IEC

Tổ chức tiêu chuân quốc tế (ISO) cung cấp các tiêu chuẩn chính về chống chối bỏ trong mô hình tham chiếu hệ thống mở, bao gồm các tiêu chuẩn ISO/IEC 7498, ISO/IEC 10181, tiếp đó là các tiêu chuan ISO / IEC 13888-1, 2 và 3

Ngoài ra còn có 10 tiêu chuẩn quan trọng khác liên quan đến chống chối bỏ Cụ thê là:ISO/IEC

9594, ISO/IEC 9796, ISO/IEC 9797, ISO/IEC 9798, ISO/IEC 11770, ISO/IEC TR 14516, ISO/IEC 15945, ISO/IEC 15946 va ISO/IEC 18014

Việc cung cấp các cơ chế chống chối bỏ giúp cho việc thu thập vả bảo vệ các bằng chứng chống chối bỏ cần thiết theo quy định Các dịch vụ chống chối bỏ cơ bản được chuẩn hóa gồm:

- Chống chối bỏ nguồn gốc: Dịch vụ này sẽ xác minh bên khởi phát chứ ký vả nội dung thông điệp thông qua kiểm tra tính hợp lệ dữ liệu

- Chống chối bỏ chuyến phát: Dịch vụ nảy sẽ cho chữ ký số là một băng chứng của X.400 khi truyền thông điệp

- Chống chối bỏ trình duyệt: Dịch vụ này sẽ cho chữ ký số là một băng chứng của việc trình duyệt thông điệp với X.400

- Chống chối bỏ vận chuyến: Dịch vụ nảy cung cấp băng chứng cho việc vận chuyên tới người nhận và xác nhận của phía bên nhận

Trong một cơ sở hạ tầng mã khóa công khai (PKI), chứng chỉ số có thế được sử dụng dé tạo ra một chữ ký số Điều nảy làm cho bên gửi không thoái thác được và được sử dụng để cung cấp bằng chứng trong các dịch vụ có nguồn gốc minh bạch Cách duy nhất đề cung cấp các dịch vụ gửi vả vận chuyên là thông qua việc sử dụng một bên thứ ba tin cay (TTP)

Sau đây, ta tóm lược một số tiêu chuẩn có liên quan nhiều đến các cơ chế chống chối bỏ sử dụng

kỹ thuật mã hóa bất đối xứng, nghĩa là liên quan đến tiêu chuẩn ISO/IEC 13888-3: “Công nghệ thông tin — Cac kỹ thuật an toàn - Chống chỗi bỏ — Phần 3: Các cơ chế chống chối bỏ sử dụng kỹ thuật bất đối xứng”

ñ_ Tiêu chuẩn ISO/IEC 13888: Chống chối bỏ

Đây là bộ tiêu chuân chính về chống chối bỏ của tô chức ISO/IEC ISO/IEC 13888-3: Cac co chế sử dụng kỹ thuật bất đối xứng chính là bộ tiêu chuẩn gốc được sử dụng làm cơ sở để xây dựng ba phân tiêu chuẩn quốc gia về chống chối bỏ, như sẽ được trình bày tiếp ở phần sau

Trang 8

Một số tiêu chuân khác liên quan đến các cơ chế chống chối bỏ sử dụng kỹ thuật bất đối xứng Quan trọng là các tiêu chuan sau:

ISO/IEC 9594, Công nghệ thông tin - Liên kết hệ thông mở - Bộ khung danh bạ khóa công khai và chứng chỉ thuộc tính (ISO/IEC 9594, Information technology — Open Systems Interconnection—The Directory Public-Key and attribute certificate frameworks) Tiêu chuẩn này đưa ra bộ khung đanh bạ khóa công khai và chứng chỉ số phục vụ các dịch vụ chống chối bỏ

ISO/IEC 9796, Công nghệ thông tin - Các kỹ thuật an toàn — Lược đồ chữ ký số cho khôi phuc théng di¢p (ISO/IEC 9796, Information technology — Security techniques — Digital signature schemes giving message recovery) Tiéu chuan nay m6 ta cac quy dinh vé chit

ký số phục vụ việc khôi phục thông điệp trong các dịch vụ chống chối bỏ

ISO/IEC 9797, Công nghệ thông tin — Các kỹ thuật an toàn — Mã xác thực thông điệp (ISO/IEC 9797, Information technology — Security techniques - Message Authentication Codes MACs) Tiéu chuan này đưa ra quy định về các mã xác thực thông điệp phục vụ các dịch vụ chéng chối bỏ

ISO/IEC 9798, Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực cho thực thể (ISO/IEC 9798, Information technology — Security techniques — Entity Authentication) Tiêu chuẩn này mô tả các quy trình xác thực cho thực thế tham gia trong các dịch vụ chống chối bỏ Ví đụ về các thực thế là bên gửi, bên nhận thông điệp

ISO/IEC 11770, Công nghệ thông tin — Các kỹ thuật an toàn — Quản lý khóa, (ISO/IEC

11770, Information technology — Security techniques — Key Management) Tiéu chuan này trình bảy về cơ chế quản lý khóa, rất cần trong hạ tầng mã khóa công khai được sử dụng cho các dịch vụ chống chối bỏ sử đụng kỹ thuật mật mã bất đối xứng

ISO/IEC TR 14516, Công nghệ thông tin — Các kỹ thuật an toản — Hướng dẫn sử dụng và quản lý các dịch vụ của bên thứ ba tin cay, (ISO/IEC TR 14516, Information technology

— Security techniques — Guidelines for use and management of Trusted Third Party services) Tiêu chuẩn này đưa ra hướng dẫn về quản lý và sử dụng địch vụ của bên thứ ba tin cậy sử dụng cho các dịch vụ chống chối bỏ

ISO/IEC 15945, Công nghệ thông tin — Các kỹ thuật an toàn — Đặc tả của các dịch vụ TTP đề hỗ trợ ứng dụng với chữ ký SỐ, (ISO/IEC 15945, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures) Tiêu chuẩn nảy trình bảy về các dịch vụ của bên thứ ba tin cậy TTP sử dụng cho các dịch vụ chống chối bỏ, cụ thể là cho xác minh chữ ký SỐ

ISO/IEC 18014, Công nghệ thông tin — Các kỹ thuật an toàn — Các dịch vy gan tem thoi gian, ISO/IEC 18014, Information technology — Security techniques — Time-stamping

Trang 9

services) Đây lả tiêu chuân mô tả các dịch vụ gán tem thời gian, cân thiệt cho các tham

số liên quan đên thời g1an trong các dich vu chong choi bo

3.3.3 Tình hình xây dựng tiêu chuẩn tại Việt Nam

Trong những năm gần đây, nhiều tiêu chuân quốc gia về an toản thông tin đã được xây dựng và ban hành Những tiêu chuẩn quan trọng có thê kế tới là TCVN 27000, TCVN 27001, TCVN 27002 về các vấn đề kỹ thuật liên quan đến hệ thông quản lý an toàn thông tin Một số tiêu chuẩn về đánh giá an toàn thông tin cũng đã được xây dựng và trình ban hành, như TCVN 8709-

| (dich tir ISO/IEC 15408-1), TCVN 8709-2 (dich tir ISO/IEC 15408-2), TCVN 8709-3 (dich tir ISO/IEC 15408-3), TCVN 27005, Mét s6 tiêu chuẩn về an toàn thông tin trong những lĩnh vực khác vẫn đang tiếp tục được xây dựng, trong đó có những tiêu chuẩn về mật mã an toản thông tin

Tiêu chuân về kỹ thuật an toàn thông tin tại Việt Nam vẫn còn thiếu nhiều Một trong những van

đề quan trọng đối với việc bảo đảm an toàn thương mại điện tử, giao dịch qua mạng và các dịch

vụ hành chính công qua mạng cũng như chính phủ điện tử lả sự tin cậy Nền tảng của sự tin cậy

là xác thực, có liên quan mật thiết đến chữ ký số vả chống chối bỏ Cho tới nay, còn chưa có các tiêu chuẩn riêng về chống chối bỏ được xây dựng ở Việt Nam Việc tiêu chuẩn hóa về các dịch

vụ chống chối bỏ là rất cần thiết cho triển khai các địch vụ và góp phần chuẩn hóa công tác bảo đảm ATTT theo chuẩn quốc tế

3.3.4, LSO/LEC 13888-3:2009 và vai trò của nó trong tiêu chuẩn chống chỗi bỏ

ISO/IEC 13888-3:2009, Information technology — Security techniques — Non-repudiation

— Part 3: Mechanisms using asymmetric techniques (ISO/IEC 13888-3:2009, Cong nghé thong tin — Các kỹ thuật an toàn — Chống chối bó — Phần 3: Các cơ chế sử dụng kỹ thuật bất doi xứng)

Tiêu chuẩn này xác định các cơ chế để cung cấp các dịch vụ chống chối bỏ cụ thế, có liên quan đến trao đổi, sử dụng các kỹ thuật mật mã bất đối xứng

Tiêu chuân nảy chỉ đề cập đến các dịch vụ chống chối bỏ sau đây:

Trang 10

ISO/IEC 13888-3:2009 được biên soạn bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công nghé théng tin (Joint Technical Committee ISO/IEC JTC) va Tiéu ban SC 27 vé cac ky thuat an toan CNTT (information Technology Subcommittee SC 27, IT security techniques)

Mục đích của địch vụ chống chối bỏ là để tạo ra, thu thập, duy trì, sẵn sảng cung cấp và xác nhận bằng chứng liên quan đến một sự kiện hoặc hành động đã tuyên bố dé giải quyết tranh chấp về việc xảy ra hoặc không xảy ra sự kiện hoặc hành động Tiêu chuẩn nảy dựa trên sự tồn tại của bên thir ba tin cay (TTP) nham ngăn chặn sự cáo buộc hoặc chối bỏ gian lận Chống chối

bỏ chỉ có thể được cung cấp trong ngữ cảnh một chính sách an toàn đã định nghĩa rõ ràng cho một ứng dụng cụ thê vả môi trường pháp lý của nó Các chính sách chống chối bỏ được định nghĩa trong tiêu chuân ISO/IEC 10181-4

Các dịch vụ chống chối bỏ thiết lập bằng chứng: bằng chứng thiết lập trách nhiệm giải trình liên quan đến một sự kiện hoặc hành động cụ thể Thực thê chịu trách nhiệm về hành động, hoặc sự kiện liên quan, có liên quan đến bằng chứng đã tạo ra, còn được gọi là chủ thể bằng chứng Các cơ chế chống chối bỏ cung cấp các thủ tục cho việc trao đổi các thẻ chống chối bỏ cụ thế cho từng dịch vụ chống chỗi bỏ Các thẻ chống chối bỏ bao gồm bao thư bảo đảm và/hoặc chữ

ký số, và có thể cả đữ liệu bố sung Trong đó:

- Bao thu bao dam được tạo ra bởi một cơ quan tạo ra bằng chứng sử đụng kỹ thuật mật mã đối xứng

- - Chứ ký số được tạo ra bởi một cơ quan tạo ra băng chứng sử dụng kỹ thuật mật mã bất đối xứng

Các thẻ chống chối bỏ có thế được lưu trữ đưới dạng thông tin chống chối bỏ có thể được sử dụng vẻ sau trong việc giải quyết tranh chấp hoặc trong tòa án

Tùy vào chính sách chống chối bỏ hiện hành cho một ứng dụng cụ thể, tùy môi trường pháp lý cho khai thác ứng đụng, có thể cần các đữ liệu bổ sung để hoàn tất thông tin chống chối bỏ, ví

dụ như:

- Bang ching bao gồm một tem thời gian tin cậy

- _ Bằng chứng cung cấp bởi công chứng viên, tạo ra sự bảo đảm cho đữ liệu đã tạo lập hoặc

sự kiện, hành động đã thực hiện bởi một hay nhiều thực thé

4) Mục tiêu của tiêu chuẩn

Phần 3 của bộ tiêu chuân (TCVN xxxx-3:2015) xác định các cơ chế để cung cấp các dịch vụ chống chối bỏ cụ thê, có liên quan đến trao đôi, sử dụng các kỹ thuật mật mã bất đối xứng Tiêu chuân này dựa trên sự tồn tại của bên thứ ba tin cậy (TTP) và chỉ đề cập đến các dịch vụ chống chối bỏ sau đây:

- Chống chối bỏ nguồn gốc;

- Chống chối bỏ chuyên phát:

Trang 11

- Chống chối bỏ nộp hỗ sơ;

- Chống chối bỏ vận chuyền

Bằng chứng về các địch vụ trên được tạo ra hoặc trực tiếp bởi một thực thể đầu cuối, hoặc bởi một bên thứ ba tin cậy

b)_ Cấu trúc tiêu chuẩn

Tiêu chuẩn nảy gồm 11 Điều cụ thê như sau:

- _ Từ Điều I đến Điều 4 nêu những quy định chung của tiêu chuẩn

- _ Điều 5 nêu các yêu cầu

Từ Điều 6 đến Điều 9 trình bảy các vấn đề cụ thể trong tiêu chuẩn bao gồm: sự tham gia của bên thứ ba tin cậy, chữ ký số, sử dụng thẻ chống chối bỏ, bằng chứng tạo ra bởi các thực thê đầu cuối

và cơ quan chuyến phát, các cơ chế bảo đảm thẻ được ký trước một thời điểm

1.4 Lý do và mục đích xây dựng tiêu chuẩn

Tổ chức chuẩn hóa quốc tế (ISO) vả Hiệp hội Viễn thông quốc tế (TTU) cung cấp các tiêu chuân nhằm đưa ra các hướng dẫn cụ thê cho phát triển và ứng dụng công nghệ thông tin và truyền thông

Bộ tiêu chuẩn về chống chối bỏ là một trong số các tiêu chuẩn về địch vụ an toản trong bộ khung tiêu chuẩn an toản thông tin của ISO/IEC

Thế giới đã có rất nhiều có gắng trong việc chuân hóa, đưa ra các tiêu chuẩn về dịch vụ và cơ chế chống chối bỏ Điền hình là bộ tiêu chuân ISO/IEC 13888 (gồm 3 phần), và bộ tiêu chuẩn ISO/IEC

10181 (gồm 4 phân)

Quá trình xây đựng bộ tiêu chuẩn ba phan ISO/IEC 13888 được khởi nguồn từ nghiên cứu của nhóm xây dựng tiêu chuẩn an toàn thông tin ISO/IEC JTC1/SC27 từ tháng 8 năm 1991 Cho đến nay, nhóm xây dựng tiêu chuân đã nhận ra các điểm yếu vả hạn chế của bộ tiêu chuẩn, đã bố sung vai trò của tem thời gian trong bằng chứng chống chối bỏ đã mô tả trong tiêu chuẩn Năm 2006, theo yêu cầu của Ban Thư ky ISO Tiéu ban SC 27, nhom công tác WG2 của Tiểu ban SC27 đã thực hiện chỉnh sửa lại bộ tiêu chuẩn nảy Bản dự thảo của ba tiêu chuẩn thuộc bộ ISO/IEC 13888 đã được trao đổi, thảo luận kỹ lưỡng nhiều lần với nhiều tranh cãi trong nhóm WG2, tuy nhiên, bản tiêu chuẩn cuối cùng được phê chuẩn trong các năm 2009 và 2010 Đảm bảo an toàn an toàn thông tin là một nhu cầu thiết thực đề thúc đây và phát triên Công nghệ Thong tin (CNTT) Tiêu chuẩn về kỹ thuật an toàn thông tin tại Việt Nam van còn thiếu nhiều Một trong những vấn đề quan trọng đối với việc bảo đảm an toàn thương mại điện tử, giao dich qua mạng và các dịch vụ hành chính công qua mạng cũng như chính phủ điện tử là sự tin cậy Nên tảng của sự tin cậy là xác thực, có liên quan mật thiệt đên chữ ký sô và chông chối bỏ

Trang 12

Tiêu chuẩn ISO/IEC 13888-3: 2009 là phiên bản thứ hai đo nhóm kỹ thuật JTC 1, SC27 hiệu chỉnh lại từ phiên bản đầu ISO/IEC 13888-3:1997 Phiên bản 2010 được thay thế cho phiên bản đầu năm 1997, Đây là một tiêu chuẩn quan trọng cho các dịch vụ an toàn thông tin, được sử dụng phổ biến trong bảo đảm thương mại điện tử, giao dịch điện tử, chính phủ điện tử Tiêu chuẩn này được áp dụng làm mô hình chung cho các phân tiếp theo của bộ tiêu chuân đặc tả cơ chế chống chối bỏ sử dụng các kỹ thuật mã hóa

Bộ tiêu chuân về chống chối bỏ phần 3 vẫn chưa được xây đựng tại Việt Nam Chính vì vậy, việc xây đựng và ban hảnh tiêu chuẩn này lả điều hết sức cần thiết, nhằm phục vụ cho việc triển khai các dịch vụ an toàn thông tin cũng như xây dựng các hướng dẫn bảo đảm an toàn cho thương mại điện tử, giao dịch điện tử, chính phủ điện tử theo chuân quốc tế

Tiêu chuân chống chối bỏ - Phần 3 (Các cơ chế sử dụng kỹ thuật bất đối xứng) này được xây dựng nhằm cung cấp các mô tả về các cơ chế chống chối bỏ sử dụng kỹ thuật bất đối xứng có thể sử dụng cho các dịch vụ chéng chối bỏ và về một số cơ chế truyền thông liên quan đến việc trao đôi cụ thể có thể sử đụng để cung cấp các dịch vụ chống chố bỏ nguồn gốc và chống chối

bỏ chuyên phát

4 Sở cứ xây dựng tiêu chuẩn

Nhóm thực hiện đã xây dựng tiêu chuân nảy dựa trên tiêu chudn ISO/IEC 13888-3:2009 Day cũng là tải liệu đã được một số quốc gia sử dụng lảm tài liệu gốc để xây đựng các tiêu chuẩn quốc gia tương đương

s Phương pháp xây dựng tiêu chuẩn

- ISO/IEC 13888-3:2009 là tài liệu tham chiếu làm cơ sở đề xây dựng tiêu chuẩn nảy

- Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an toàn thông tin, cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ qui chuân, nhóm xây dựng TCVN khuyến nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận nguyên vẹn (có chính sửa theo qui định Tiêu chuẩn Quốc gia)

6 Nội dung chính của dự thảo tiêu chuẩn

Tiêu chuân được xây dựng với các nội dung như sau:

PHAM VI AP DUNG

TIEU CHUAN VIEN DAN

THUAT NGU VA DINH NGHIA

KY HIEU VA CAC THUAT NGU VIET TAT

CAC YEU CAU

Trang 13

6_ SỰ THAMGIA CỦA BÊN THỨ BA TIN CẬY

7 CHỮ KỸ SỐ

8 SU DUNG THE CHONG CHOI BO CUNG VOI CAC CO QUAN CHUYEN PHAT

VÀ KHONG CUNG CO QUAN CHUYEN PHAT

9 BANG CHUNG TAO RA BOI CAC THUC THE DAU CUOI

10 BANG CHUNG TAO RA BOI MOT CO QUAN CHUYEN PHAT

II CÁC CƠ CHẾ BẢO DAM THE NR DUGC KY TRUGC MOT THOI GIAN T THU MUC TAI LIEU THAM KHẢO

Về vai trò của TCVN xxxx-3:2015 trong bộ tiêu chuẩn chống chối bỏ Tiêu chuẩn này được áp dụng Mô tả các cơ chê đê cung câp các dich vu chong choi bỏ cụ thê, có liên quan đên trao đôi,

sử dụng các kỹ thuật mật mã bất đối xứng

Về câu trúc của tiêu chuân Tiêu chuân này gôm LI điêu như sau

Từ Điều I đến Điều 4: nêu những quy định chung của tiêu chuẩn

Điều 5: trình bảy các yêu câu

Từ Điều 6 đến Điều 9: trình bày các vấn đề cụ thể trong tiêu chuẩn như sau đây Điều 6: Sự tham gia của bên thứ 3 tin cậy

Điều 7: Chữ ký số

Điều 8: Sử dụng thẻ chống chối bỏ có và không có mặt cơ quan chuyên phát

Điều 9: Băng chứng tạo ra bởi các thẻ đầu cuối

Điều 10: Bằng chứng tạo ra bởi cơ quan chuyên phát

Điều 11: Cơ chế bảo đảm thẻ NR được ký trước một khoảng thời gian T cho trước Tiêu chuân TCVN xxxx-3:xxxx có các nội dung chính như sau

Tiêu chuẩn ISO/IEC 13888-3: 2009 là phiên bản thứ hai do nhóm ky thuat JTC 1, SC27 hiệu chỉnh lại từ phiên bản đầu ISO/IEC 13888-3:1997

Tiêu chuẩn chống chối bỏ - Phần 3 (Các cơ chế sử dụng kỹ thuật bất đối xứng) này được xây dựng nhằm cung cấp các mô tả về cấu trúc chung có thế sử dụng cho các dịch vụ chống chối bỏ và về một số cơ chế truyền thông liên quan đến việc trao đôi cụ thể có thế

sử dụng đề cung cấp các dịch vụ chống chỗ bỏ nguồn gốc và chống chối bỏ chuyên phát Bảng đối chiếu tiêu chuẩn viện dẫn

Bảng 1: Bảng đôi chiêu tiêu chuân viện dan

Ngày đăng: 03/07/2024, 15:59

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w