Đang tải... (xem toàn văn)
tài liệu tham khảo Ứng dụng chữ ký số trong bảo mật thông tin
1 Ứng dụng chữ ký số trong bảo mật thông tin Ths. Hoàng Sỹ Tương 1. Ứng dụng chữ kí số Một số ứng dụng trong cuộc sống ứng dụng chữ ký số có thể kể đến như bảo mật máy chủ web (khi tiến hành giao dịch trên các website thương mại điện tử uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa - địa chỉ web thường có dạng “https” để ký số và mã hóa email); đăng nhập từ xa qua VPN, wireless (chữ ký số lúc này được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password). Một số giao dịch trong ngành ngân hàng, chứng khoán hiện nay đang được dùng OTP (One Time Password). Đây là một giải pháp tình thế do lúc đó dịch vụ chứng chỉ số chưa có mặt, trong khi Luật Giao dịch điện tử ra đời năm 2005 đã công nhận giá trị pháp lý của chứng chỉ số. Vì vậy, thời gian tới, rất có thể các giao dịch ngân hàng qua Internet (Internet banking) cũng sẽ ứng dụng chữ ký số. Tuy nhiên, với các tổ chức ngân hàng đang ứng dụng OTP, giải pháp mà các CA khuyến cáo là nên có lộ trình chuyển đổi. Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn thì dùng chữ ký số). Về căn bản, chữ ký số là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ ký đó. Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: dưới dạng file và lưu trữ trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ (smart card); thậm chí trên sim điện thoại (SIM base CA). Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động. Trên thế giới, SIM base CA được sử dụng từ những năm 2001 – 2002. Quốc gia có nhiều SIM base 2 CA là Đài Loan, Hàn Quốc. Theo đánh giá của một số CA trong nước, Việt Nam có số lượng người sử dụng điện thoại di động khá lớn do đó thị trường cho SIM base CA khá tiềm năng. Tuy nhiên, để có được dịch vụ SIM base CA cần sự phối hợp giữa nhà cung cấp dịch vụ chữ ký số và nhà cung cấp dịch vụ viễn thông. Đối với các doanh nghiệp, chữ ký số có thể được ứng dụng vào trong hầu hết các hoạt động của công ty như: đăng nhập bằng thẻ thông minh (smart card), windows security logon, trao đổi các tài liệu nhạy cảm, trao đổi email, truy cập từ xa qua VPN, … Việc triển khai một hệ thống PKI đối với các doanh nghiệp nhỏ là rất đơn giản, và lợi ích mà hệ thống đem lại rất lớn so với chi phí đầu tư ban đầu. Quy trình cấp phát chứng chỉ và ứng dụng chứng chỉ số cũng rất đơn giản. Sau đây là một ví dụ việc sử dụng chứng chỉ số để trao đổi email trong doanh nghiệp. Quá trình sẽ bao gồm: xin cấp phát chứng chỉ từ người dùng, người quản trị cấp phát chứng chỉ, người dùng đính kèm chứng chỉ vào trong các email gửi cho người khác. Trong ví dụ này vẫn sử dụng mô hình phân lớp gồm RootCA, SubCA và RA, tuy nhiên trong thực tế để đơn giản và phù hợp với các doanh nghiệp nhỏ, chúng ta có thể chỉ cần sử dụng một CA đảm nhiệm cả chức năng của RootCA và RA. Ban đầu, người dùng cần install chứng chỉ của RootCA vào máy tính. Hình 1: Install Certificate Người dùng truy cập vào trang public của RA để tạo một yêu cầu xin cấp phát chứng chỉ 3 Hình 2:Người dùng xin cấp phát chứng chỉ Hình 3:Chọn Browser Certificate Request Điền các thông tin cơ bản như: First name, Last name, địa chỉ email, … đây là các định danh được gắn kèm với người sử dụng chứng chỉ. Hình 4: Khai báo các thông tin cơ bản Lựa chọn loại chứng chỉ là dành cho User (người sử dụng bình thường) Hình 5: Lựa chọn loại chứng chỉ, mức độ bảo mật,… 4 Chọn lược đồ ký, độ dài của khóa và mã PIN Hình 6: Chọn lược đồ ký, chọn mã PIN Sau khi đồng ý với thỏa thuận người dùng do CA đề ra, bước tiếp theo sẽ khởi tạo khóa bí mật cho người dùng. Hình 7: Khởi tạo khóa bí mật của người dùng Sau khi người dùng đã tạo xong yêu cầu cấp phát chứng chỉ, người quản trị sẽ phải truy cập vào trang https://ra.actvn.net/pki/ra để thực hiện việc ký vào yêu cầu của người dùng. Hình 8: Yêu cầu xin cấp phát chứng chỉ của người dùng Hình 9: RA ký vào yêu cầu của người dùng 5 Hình 10: Yêu cầu đã được ký Sau khi yêu cầu đã được ký bởi RA, người quản trị tiếp tục chuyển yêu cầu sang cho CA, để CA thực hiện việc cấp phát chứng chỉ Hình 11: CA tiếp nhận yêu cầu của người dùng từ RA Hình 12: CA chấp nhận cấp phát chứng chỉ cho người dùng Chứng chỉ của người dùng đã được cấp phát, sau đó người quản trị phải chuyển chứng chỉ đã được cấp phát về RA Server để công bố cho người dùng. Hình 13: Chứng chỉ của người dùng đã được cấp phát 6 Khi đó, người sử dụng truy cập vào trang https://ra.actvn.net/pki/pub . Sẽ thấy được danh sách các chứng chỉ mà CA đã cấp phát (các chứng chỉ bị thu hồi sẽ không có trong danh sách này) Hình 14: Danh sách các chứng chỉ đã được cấp phát Hình 15: Thông tin chứng chỉ của người dùng Người dùng chọn chứng chỉ của mình để tải về máy. Do mỗi chứng chỉ có một mã PIN khác nhau, mà mã PIN này chỉ có người tạo yêu cầu cấp phát chứng chỉ mới biết, nên nếu có lấy chứng chỉ của người khác cũng không thể sử dụng được. Hình 16: Người dùng tải chứng chỉ về máy Chứng chỉ này tuân thủ theo các chính sách mà CA đề ra như: Policy 1.2.3.3.4, Policy 1.2.3.3.5, Policy 1.2.3.3.6, Policy 1.2.3.3.7. Với chứng chỉ này, người dùng có thể dùng để xác thực đối với các Website yêu cầu xác thực thông qua TLS, bảo vệ email hay đăng nhập vào Windows sử dụng Smartcard. 7 Trong ví dụ này chúng ta sử dụng Outlook Express để gửi thư và đính kèm chữ ký số của người dùng. Để sử dụng chữ ký số ta phải install chứng chỉ của người dùng vào máy. Sau đó lựa chọn chứng chỉ người dùng để ký và mã hóa email như hình dưới Hình 17: Sử dụng chứng chỉ để bảo vệ email Thực hiện việc gửi email có kèm theo chữ ký số và mã hóa nội dung email. Email sẽ có thêm 2 biểu tượng: chữ ký và mã hóa như hình dưới Hình 18: Thực hiện việc gửi email kèm chữ ký số Người dùng được yêu cầu nhập khóa bí mật, để đảm bảo rằng đây là chứng chỉ của người dùng chứ không phải của người khác. Hình 19: Khóa bí mật của người dùng Người nhận sẽ nhận được một email với nội dung đã bị mã hóa 8 Hình 20: Email đã được mã hóa khi đến người nhận Để đọc được nội dung bức thư, người nhận phải có được khóa công khai của người gửi. Hình 21: Nội dung email đã được giải mã Qua ví dụ trên, chúng ta có thể thấy việc sử dụng chữ ký số rất đơn giản và đạt được hiệu quả an toàn, bảo mật thông tin cần gửi đi. 2. Thực trạng ứng dụng chữ ký số ở Việt Nam Ngoài việc là một phương tiện điện tử được pháp luật thừa nhận về tính pháp lý, chữ ký số còn là một công nghệ mã hóa và xác thực rất mạnh. Nó có thể giúp bảo đảm an toàn, bảo mật cao cho các giao dịch trực tuyến, nhất là các giao dịch chứa các thông tin liên quan đến tài chính. Hiện tại công nghệ chữ ký số tại Việt Nam có thể sử dụng trong các giao dịch để mua bán hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán trực tuyến. Ngoài ra, Bộ Tài chính cũng đã áp dụng chữ ký số vào kê khai, nộp thuế trực tuyến qua mạng Internet và các thủ tục hải quan điện tử như khai báo hải quan và thông quan trực tuyến mà không phải in các tờ khai, đóng dấu đỏ của công ty và đến cơ quan thuế chờ để nộp tờ khai này. 9 Trong tương lai tại Việt Nam chữ ký số có thể sử dụng với các ứng dụng chính phủ điện tử. Khi cần làm thủ tục hành chính hay một sự xác nhận của cơ quan nhà nước, người dân chỉ cần ngồi ở nhà khai vào mẫu đơn và sử dụng chữ ký số của mình để gửi là xong. Đối với dịch vụ chứng thực chữ ký số công cộng chỉ có thể sử dụng trong các giao dịch điện tử liên quan đến người sử dụng cá nhân và tổ chức, doanh nghiệp, trong các giao dịch giữa người dân, doanh nghiệp với các cơ quan nhà nước. Riêng các giao dịch nội bộ của các cơ quan nhà nước hoặc giữa các cơ quan nhà nước với nhau là các giao dịch đặc thù, không dùng được hệ thống chứng thực công cộng mà phải dùng hệ thống riêng. Để sử dụng chữ ký số cần phải đăng ký chứng chỉ số và tạo khóa bí mật lưu vào trong PKI Token với các nhà cung cấp dịch vụ chứng thực chữ ký số. Các chương trình ứng dụng phải hỗ trợ chức năng ký số, khi đó việc sử dụng khá đơn giản, người ký chỉ cần cắm thiết bị Token vào cổng USB, nhập PIN code bảo vệ Token và chọn lệnh ký số trong chương trình ứng dụng. Chữ ký số không giống chữ ký bình thường ở chỗ mỗi lần ký, người sử dụng sẽ dùng khóa bí mật để tạo chữ ký và mỗi lần ký sẽ là một chữ ký khác nhau. Dựa vào các công cụ phần mềm được cung cấp, các đối tác có thể kiểm tra chứng chỉ để xác định chữ ký. Cách kiểm tra là so sánh tính đồng nhất của khóa công khai trên các chữ ký số của người gửi với khóa công khai của trung tâm chứng thực chữ ký số (Root Certification Authority - Root CA). Hiện nay ở Việt Nam có 5 nhà cung cấp dịch vụ chứng thực chữ ký số công cộng là VNPT/VDC, Viettel, Bkis, Nacencomm và FPT. Các đơn vị này đã đưa ra thị trường đầy đủ các loại chữ ký số phục vụ kê khai thuế qua mạng, giao dịch ngân hàng, chứng khoán, hải quan điện tử, ký và mã hóa email, văn bản . đáp ứng cho các đối tượng cá nhân, tổ chức, doanh nghiệp và các trang web. 10 KẾT LUẬN Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được nhiều quốc gia trên thế giới sử dụng. Ở Việt Nam, tình hình triển khai cơ sở hạ tầng khóa công khai (PKI) và chứng thực điện tử (CA) được đánh giá là đã đi đúng hướng và bài bản, nhưng tiến độ vẫn còn chậm. Thực tế ở Việt Nam việc triển khai dịch vụ chứng thực điện tử mới chỉ ở một số cơ quan nhà nước, cơ quan thuộc chính phủ. Còn các doanh nghiệp cũng có sử dụng chứng thực điện tử nhưng còn ít và đều là mua của các tổ chức cung cấp. Việc triển khai các dịch vụ cung cấp chứng thực điện tử yêu cầu một sự đầu tư lâu dài và nghiêm túc mới mang lại kết quả như mong muốn. Phần khó khăn nhất trong triển khai dịch vụ này là ở khâu tổ chức thực hiện và thay đổi nhận thức của con người. Tính pháp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra. Tài liệu tham khảo 1. Carlisle Adams and Steve Lloyd: “Understanding PKI second edition: Concepts, Standards, and Deployment Considerations” 2.Website http://www.openca.org 3.Website http://www.openca.info . ng d ng ch k s trong b o m t th ng tin Ths. Ho ng S T ng 1. ng d ng ch k s M t s ng d ng trong cuộc s ng ng d ng ch k s . thực th ng qua TLS, b o vệ email hay đ ng nhập v o Windows s d ng Smartcard. 7 Trong ví d này ch ng ta s d ng Outlook Express để