Đang tải... (xem toàn văn)
Giáo trình này được thực hiện với mục đích giúp sinh viên tìm hiểu và nghiên cứu về PKI bao gồm các vấn đề cơ bản về mật mã, chứng thư số, khái niệm tổng của PKI, chức năng và các thành phần của PKI cũng như mô hình tin cậy, các dịch vụ, giao thức, bộ tiêu chuẩn PKCS. Nhóm tác giả cũng giới thiệu các mô hình hệ thống PKI đóng và mở được sử dụng phổ biến hiện nay như EntrustPKI, OpenCA, EJBCA đồng thời trình bày sơ lược các ứng dụng PKI trong VPN, SSL, SMIME,… và các thiết bị phần cứng an toàn.
GIÁO TRÌNH CHỨNG THỰC ĐIỆN TỬ HÀ NỘI, 2013 GIÁO TRÌNH CHỨNG THỰC ĐIỆN TỬ HÀ NỘI, 2013 MỤC LỤC MỤC LỤC i DANH MỤC TỪ VIẾT TẮT vi DANH MỤC HÌNH VẼ ix LỜI NÓI ĐẦU xii Chƣơng 1: CÁC KHÁI NIỆM CƠ BẢN .1 1.1 CHỨNG THỰC ĐIỆN TỬ .1 1.2 AN TỒN THƠNG TIN 1.2.1 Khái niệm an tồn thơng tin 1.2.2 Khái niệm đảm bảo an tồn thơng tin 1.2.3 Khái niệm đánh giá an tồn thơng tin 1.2.4 Những đặc tính thông tin cần đƣợc đảm bảo .3 1.2.5 Mơ hình tổng qt biện pháp đảm bảo an tồn thơng tin 1.2.6 Nhu cầu đánh giá an tồn thơng tin tiêu chí đánh giá chung 1.3 GIAO DỊCH ĐIỆN TỬ 1.4 CHÍNH PHỦ ĐIỆN TỬ 1.4.1 Một số khái niệm Chính phủ điện tử: 1.4.2 Các chức Chính phủ điện tử 1.4.3 Mục tiêu Chính phủ điện tử 1.4.4 Các giao dịch điện tử phủ điện tử: 1.4.5 Ƣu nhƣợc điểm Chính phủ điện tử 1.5 MẬT MÃ TRONG AN TỒN THƠNG TIN .10 1.5.1 Mật mã khóa đối xứng 12 1.5.2 Mật mã khóa cơng khai 13 1.5.3 Chữ ký số 15 Chƣơng 2: CÁC LÝ THUYẾT CƠ BẢN VỀ HỆ THỐNG PKI .19 2.1 GIỚI THIỆU CHUNG 19 2.2 TẠI SAO CẦN CĨ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 20 2.3 TỔNG QUAN VỀ PKI 20 PKI i 2.3.1 Khái niệm 20 2.3.2 Mơ hình tổng thể hệ thống PKI 21 2.3.3 Các chuẩn đặc tả PKI 28 2.4 CÁC DỊCH VỤ CỦA PKI 29 2.4.1 Dịch vụ đảm bảo tính bí mật 29 2.4.2 Dịch vụ đảm bảo tính tồn vẹn 31 2.4.3 Dịch vụ xác thực 36 2.4.4 Dịch vụ hỗ trợ chống chối bỏ .39 2.4.5 Dịch vụ dấu thời gian 40 2.5 CHỨNG THƢ SỐ 41 2.5.1 Chứng thƣ số 41 2.5.2 Giới thiệu chứng thƣ khố cơng khai 42 2.5.3 Đƣờng dẫn chứng thực .44 2.6 CÁC MƠ HÌNH KIẾN TRÚC TIN CẬY 46 2.6.1 Giới thiệu kiến trúc hệ thống PKI 46 2.6.2 Hệ thống kiến trúc CA đơn 47 2.6.3 Hệ thống kiến trúc cho doanh nghiệp (thƣơng mại) 50 QUY TRÌNH HOẠT ĐỘNG CỦA HỆ THỐNG PKI 59 Chƣơng 3: 3.1 CHỨC NĂNG THÀNH PHẦN CA .59 3.2 CHỨC NĂNG THÀNH PHẦN RA – REGISTRATION AUTHORITY 60 3.3 CHỨC NĂNG NGƢỜI DÙNG/THỰC THỂ ĐẦU CUỐI 61 3.4 CHỨC NĂNG CỦA CÁC HỆ THỐNG DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ 61 3.5 QUY TRÌNH QUẢN LÝ VÕNG ĐỜI CHỨNG THƢ SỐ 63 3.5.1 Hoạt động đăng ký chứng thƣ số quan đăng ký .63 3.5.2 Quản lý, trì khóa chứng thƣ số .66 3.5.3 Công bố chứng thƣ số .70 3.5.4 Các phƣơng pháp hủy bỏ chứng thƣ số 72 3.6 Chƣơng 4: QUAN BÀI THỰC HÀNH SỐ 82 MỘT SỐ GIAO THỨC QUẢN LÝ PKI VÀ CÁC CHUẨN LIÊN 83 ii 4.1 CÁC GIAO THỨC QUẢN LÝ PKI .83 4.1.1 Các chuẩn PKCS 83 4.1.2 Giao thức quản lý chứng thƣ số (CMP) .97 4.1.3 Giao thức đăng ký chứng thƣ số đơn giản (SCEP) 100 4.2 CRL NHĨM CHUẨN VỀ KHN DẠNG CHỨNG THƢ SỐ VÀ 101 4.2.1 Chứng thƣ số X.509 version 102 4.2.2 Danh sách chứng thƣ số bị thu hồi (CRL) hồ sơ trƣờng mở rộng CRL 110 4.2.3 Các trƣờng sử dụng CRL 111 4.2.4 Các trƣờng CertificateList 112 4.2.5 Trƣờng tbsCertList 113 4.2.6 Các trƣờng CRL mở rộng 114 4.3 NHÓM CHUẨN VỀ GIAO THỨC HOẠT ĐỘNG 118 4.3.1 RFC 2585 – Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP 118 4.3.2 Quy ƣớc FTP 119 4.3.3 Quy ƣớc HTTP 120 4.3.4 Đăng ký MIME .121 4.4 NHÓM CHUẨN VỀ GIAO THỨC QUẢN LÝ 122 4.4.1 Giới thiệu Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) 123 4.4.2 Tổng quan 123 4.4.3 Cấu trúc CertReqMessage 124 4.4.4 Chứng minh tính sở hữu (Proof of Possesion – POP) 124 4.4.5 Cú pháp CertReq 124 4.4.6 Cú pháp thuộc tính kiểm sốt (Controls syntax) 125 4.4.7 Kiểm soát RegInfo (RegInfo Controls) 128 4.4.8 Object Identifiers 128 4.5 NHĨM CHUẨN VỀ CHÍNH SÁCH 129 4.5.1 Chính sách chứng thƣ 130 4.5.2 Quy chế chứng thực 131 iii 4.5.3 Mối quan hệ sách chứng thƣ quy chế chứng thực 132 4.6 DỮ LIỆU NHÓM CHUẨN VỀ DẤU THỜI GIAN VÀ CHỨNG THỰC 133 4.6.1 Giới thiệu 133 4.6.2 Khái niệm chung .134 4.6.3 Các sách gắn dấu thời gian .136 4.6.4 Nghĩa vụ trách nhiệm 136 4.6.5 Những yêu cầu nghiệp vụ TSA 137 4.6.6 Những xem xét đến an ninh .143 4.7 BÀI THỰC HÀNH SỐ 144 MỘT SỐ HỆ THỐNG PKI ĐIỂN HÌNH VÀ CÁC ỨNG DỤNG 145 Chƣơng 5: CỦA PKI 5.1 CÁC HỆ THỐNG PKI ĐIỂN HÌNH 145 5.1.1 Hệ thống mã đóng 145 5.1.2 Hệ thống mã mở .163 5.2 CÁC ỨNG DỤNG PKI 170 5.2.1 Ứng dụng PKI bảo mật thƣ điện tử S/MIME 170 5.2.2 Ứng dụng PKI hệ thống mạng riêng ảo VPN 173 5.2.3 Ứng dụng PKI việc bảo mật kênh SSL 174 5.2.4 Ứng dụng PKI hệ thống Single Sign On 179 5.3 TOKEN) CÁC THIẾT BỊ PHẦN CỨNG AN TỒN (HSM, USB 180 5.3.1 Vai trị thiết bị phần cứng an toàn hệ thống PKI180 5.3.2 Thiết bị an toàn cá nhân USB Token .186 5.3.3 Thiết bị an toàn cho hệ thống PKI HSM 189 5.3.4 Chuẩn PKCS#11 sử dụng giao tiếp với USB Token HSM 189 5.4 BÀI TẬP THỰC HÀNH SỐ .194 Chƣơng 6: HÀNH LANG PHÁP LÝ PKI Ở VIỆT NAM VÀ XU HƢỚNG PHÁT TRIỂN PKI 195 6.1 MƠ HÌNH PKI TẠI VIỆT NAM 195 6.2 HÀNH LANG PHÁP LÝ .195 iv 6.2.1 Luật giao dịch điện tử số 51/2005/QH11 197 6.2.2 Nghị định 26/2007/NĐ-CP .202 6.3 XU HƢỚNG PHÁT TRIỂN 203 TÀI LIỆU THAM KHẢO .207 v DANH MỤC TỪ VIẾT TẮT 3DES Triple Data Encryption Standard ACL Access Control List AES Advanced Encryption Standard ANSI American National Standards Institute API Application Programming Interface ATTT An Tồn Thơng Tin ASN.1 Abstract Syntax Notation One CA Certificate Authority CKS Chữ Ký Số CMS Cryptographic Message Syntax CNTT Công Nghệ Thông Tin CP Certificate Policy CPĐT Chính Phủ Điện Tử CPS Certificate Practise Statement CRL Certificate Revoke List CTĐT Chứng Thực Điện Tử CTS Chứng Thƣ Số CSDL Cơ Sở Dữ Liệu DES Data Encryption Standard DOC Document DSS Digital Signature Standard EE End Entity EME Encoding Method for Encryption EMSA-PSS Encoding Method for Signature Appendise – Probalilistic Signature Scheme FIPS Federal Information Processing Standard FQDN Fully Qualified Domain Name FTP File Transfer Protocol HTTP Hypertext Transfer Protocol HSM Hardware Security Module IEEE Institute of Electrical and Electronics Engineers vi IETF Internet Engineering Task Force ISO/IEC International Organization for Standardization/ International Electrotechnical Commission KTMM Kỹ thuật mật mã LDAP Lightweight Directory Access Protocol MAC Message Authentication Code MD5 Message-Digest algorithm MDB Microsoft Database MGF Mask Generation Function NIST National Institute of Science and Technology OAEP Optimal Asymmetric Encryption Padding OID Object Identity PDF Portable Document Format PDU Protocol Data Unit PFX Personal Information Exchange PIN Personal Identificate Number PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authority RFC Request For Comments RSA Ron Rivest, Adi Shamir Len Adleman RSAES RSA Encryption Scheme RSASSA RSA Signature Scheme with Appendise SDK Software Development Kit SEC Standard for Efficient Cryptography SHA Secure Hash Algorithm SIM Subscriber Identity Module SO Security Officer SSL Secure Socket Layer S/MIME Secure/Multipurpose Internet Mail Extensions TCP/IP Transmission Control Protocol/ Internet Protocol TMĐT Thƣơng Mại Điện Tử vii TLS Transport Layer Security TSA Time Stamping Authority TSP Time stamp protocol TTP Trusted Third Party VPN Virtual Private Network USB Universal Serial Bus XML eXtensible Markup Language viii Trong hàm API dựa chuẩn PKCS#11 ứng dụng ràng buộc PKI khởi hoạt phiên hoạt động với thiết bị USB Token cách cung cấp số bí mật cá nhân PIN Nếu mã độc hại chạy máy tính mà ứng dụng ràng buộc PKI cƣ trú số bí mật cá nhân PIN dễ dàng bị chặn bắt trình dõi vết bàn phím Keylogger hay trình điều khiển thiết bị can thiệp cho phép kẻ cơng tạo phiên với thiết bị điểm tranh cãi đƣợc thừa nhận Tuy nhiên chuẩn PKCS#11 có mục đích để bảo vệ khóa mật mã nhạy cảm chí đƣợc kết nối với máy tính bị tổn hại an tồn Muốn thực hành chế tạo thiết bị USB Token phải đảm bảo an toàn sử dụng chống đƣợc tất loại cơng nhằm đánh cắp khóa mật mã nhạy cảm Thông thƣờng đối tƣợng chuẩn PKCS#11 đƣợc tham chiếu đến API thông qua cán điều khiển handle thực chất trỏ hay tên ngắn đối tƣợng Nói chung giá trị cán điều khiển handle khóa bí mật khơng làm lộ thơng tin giá trị thật khóa Các đối tƣợng có thuộc tính chuỗi bít tức giá trị khóa hay tính chất đánh tín hiệu cờ Boolean đối tƣợng xem khóa khóa lập mã thơng báo khóa lập mã khóa khác Các đối tƣợng đƣợc tạo cách gọi đến lệnh sinh khóa hay cách “mở gói” gói khóa đƣợc lập mã Trong hai trƣờng hợp cán điều khiển đƣợc trả Khi hàm API USB Token đƣợc gọi với tham chiếu đến đối tƣợng cụ thể Token kiểm tra xem thuộc tính đối tƣợng có cho phép đƣợc sử dụng hàm hay khơng Nếu hàm lập mã đƣợc gọi với cán điều khiển khóa cụ thể khóa phải có thuộc tính Encrypt đƣợc thiết lập Để bảo vệ khóa khỏi bị làm lộ thuộc tính Sensitive phải đƣợc thiết lập True Điều có nghĩa yêu cầu để xem giá trị khóa đối tƣợng thơng qua API cho kết thông báo lỗi Một thuộc tính Sensitive đƣợc thiết lập True khơng thể đƣợc thiết lập lại thành False Điều cho tính chất an tồn cho dù cơng xâm hại máy tính trạm khơng thể làm lộ khóa đƣợc đánh dấu Sensitive khóa Sensitive ln ln Sensitive Một khóa nhƣ xuất bên ngồi thiết bị đƣợc lập mã khóa khác nhƣng thuộc tính trích xuất Extractable đƣợc thiết lập True Một đối tƣợng với thuộc tính trích xuất Extractable đƣợc thiết lập False 193 đƣợc đọc API đƣợc thiết lập False thuộc tính đƣợc thiết lập thành True Bảo vệ khóa mật mã dựa thuộc tính Sensitive Extractable 5.4 BÀI TẬP THỰC HÀNH SỐ Sử dụng chứng thƣ số để ký số mã hóa tài liệu điện tử dạng PDF, Word, thƣ điện tử,… 194 Chƣơng 6: HÀNH LANG PHÁP LÝ PKI Ở VIỆT NAM VÀ XU HƢỚNG PHÁT TRIỂN PKI 6.1 MƠ HÌNH PKI TẠI VIỆT NAM Bộ Thơng tin Truyền thơng Các CA nước ngồi Chứng thực chéo Root CA quốc gia (N-Root CA) Ban Cơ yếu Chính phủ Chứng thực chéo CA Chính phủ (G-Root CA) Quản lý CA cấp phép Quản lý VNPT-CA SUB CA Các dịch vụ chứng thực Thuê bao SUB CA Các th bao Th bao Hình 6-1: Mơ hình PKI Việt Nam Hiện nay, Việt Nam có hai hệ thống PKI là: - Hệ thống PKI công cộng Bộ Thông tin Truyền thông quản lý cấp phép phục vụ giao dịch công cộng, kinh tế xã hội (bao gồm giao dịch G2B, G2C, B2B, B2C, C2C) - Hệ thống thứ hai hệ thống PKI chuyên dùng Chính phủ Ban Cơ yếu Chính phủ thiết lập trì phục vụ quan thuộc hệ thống trị: giao dịch điện tử nội quan nhà nƣớc quan nhà nƣớc với nhau; Các thông tin đạo, điều hành, tác nghiệp quan nhà nƣớc cấp 6.2 HÀNH LANG PHÁP LÝ 195 Trong thời gian gần đây, đặc biệt sau có Luật Giao dịch điện tử (GDĐT) số 51/2005/QH11 ngày 29 tháng 11 năm 2005, việc ứng dụng Công nghệ Thông tin (CNTT) vào hoạt động lãnh đạo, điều hành quan Đảng, nhà nƣớc phát triển mạnh mẽ mang lại hiệu bƣớc đầu quan trọng, đặc biệt văn quy phạm pháp luật nhà nƣớc văn Đảng tạo hành lang pháp lý điều kiện thiết thực nhằm thúc đẩy mạnh mẽ trình triển khai ứng dụng chứng thực chữ ký số- yêu cầu quan trọng trình xây dựng Chính phủ điện tử mà trƣớc hết phải triển khai có hiệu quan, bộ, ngành thuộc hệ thống trị Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005 tạo hành lang pháp lý quan trọng nhằm thúc đẩy mạnh mẽ ứng dụng Công nghệ Thông tin (CNTT), điều chỉnh quan hệ phát sinh từ giao dịch điện tử (GDĐT) tất lĩnh vực KTXH, quốc phòng, an ninh quản lý điều hành đất nƣớc…,đảm bảo quyền lợi hợp pháp Nhà nƣớc, tổ chức cá nhân; đảm bảo bình đẳng an toàn GDĐT; Tạo hành lang pháp lý cho bên tham gia GDĐT; Công nhận giá trị pháp lý thông điệp điện tử, chữ ký điện tử dịch vụ chứng thực chữ ký điện tử với điều kiện an toàn kèm theo Quy định quyền lợi trách nhiệm bên có liên quan Các loại hình GDĐT quan nhà nƣớc gồm có: GDĐT nội quan Nhà nƣớc, GDĐT quan Nhà nƣớc với nhau, GDĐT quan Nhà nƣớc với quan, tổ chức, cá nhân Trong đó, GDĐT quan Nhà nƣớc phải đƣợc chứng thực tổ chức chứng thực điện tử quan Nhà nƣớc có thẩm quyền Tiếp theo, Nghị định 64/2007/NĐ-CP ngày 10 tháng năm 2007 ứng dụng CNTT hoạt động quan nhà nƣớc Quy định tạo hành lang pháp lý việc thúc đẩy ứng dụng CNTT hoạt động quan Nhà nƣớc: Quy định điều kiện đảm bảo ứng dụng CNTT quan nhà nƣớc: hạ tầng thông tin, cung cấp thông tin, phát triển nguồn nhân lực CNTT ; Quy định hoạt động quan Nhà nƣớc môi trƣờng mạng: quy trình cơng việc, quản lý văn điện tử, đảm bảo an tồn bảo mật thơng tin, sử dụng chữ ký điện tử để xác nhận văn điện tử ; Quy định trách nhiệm quan, Bộ, ngành việc ứng dụng CNTT Nghị định Chính phủ số 26/2007/NĐ-CP ngày 15 tháng năm 2007 quy định chi tiết thi hành Luật GDĐT chữ ký số dịch vụ chứng thực chữ ký số, đối tƣợng áp dụng quan, tổ chức cung cấp dịch vụ chứng 196 thực chữ ký số quan, tổ chức, cá nhân lựa chọn sử dụng chữ ký số dịch vụ chứng thực chữ ký số GDĐT Nghị định quy định với nội dung quan trọng nhằm đảm bảo độ an toàn tin cậy tài liệu điện tử thúc đẩy trình sử dụng, làm sở để thúc đẩy q trình ứng dụng cơng nghệ thơng tin, dịch vụ hành cơng tiến tới Chính phủ điện tử Nghị định xác định sách phát triển dịch vụ chứng thực chữ ký số nhà nƣớc, khuyến khích việc ứng dụng chữ ký số dịch vụ chứng thực chữ ký số tất lĩnh vực đời sống xã hội 6.2.1 Luật giao dịch điện tử số 51/2005/QH11 Cơ cấu Luật Giao dịch điện tử gồm chƣơng với 54 điều Chƣơng I: Những quy định chung, gồm điều, từ Điều đến Điều 9; Chƣơng II: Thông điệp liệu, gồm 11 điều, từ Điều 10 đến Điều 20; Chƣơng III: Chữ ký điện tửvà chứng thực chữký điện tử, gồm 12 điều, từ Điều 21 đến Điều 32; Chƣơng IV: Giao kết thực hợp đồng điện tử, gồm điều, từ Điều 33 đến Điều 38; Chƣơng V: Giao dịch điện tửcủa cơquan nhà nƣớc, gồm điều, từ Điều 39 đến Điều 43; Chƣơng VI: An ninh, an toàn, bảo vệ, bảo mật giao dịch điện tử, gồm điều, từ Điều 44 đến Điều 49; Chƣơng VII: Giải tranh chấp xửlý vi phạm, gồm điều, từ Điều 50 đến Điều 52; Chƣơng VIII: Điều khoản thi hành, gồm điều, Điều 53 Điều 54 Những nội dung Luật 1) Chƣơng I: Những quy định chung Chƣơng quy định phạm vi điều chỉnh; đối tƣợng áp dụng; áp dụng Luật Giao dịch điện tử; giải thích từ ngữ; nguyên tắc chung tiến hành giao dịch điện tử; sách phát triển ứng dụng giao dịch điện tử; nội dung quản lý nhà nƣớc hoạt động giao dịch điện tử; trách nhiệm quản lý nhà nƣớc hoạt động giao dịch điện tử; hành vi bị nghiêm cấm giao dịch điện tử Về phạm vi điều chỉnh, Luật quy định giao điện tử hoạt động quan nhà nƣớc; lĩnh vực dân sự, kinh doanh, thƣơng mại lĩnh vực khác pháp luật quy định 197 Việc cấp giấy chứng nhận quyền sử dụng đất, quyền sở hữu nhà bất động sản khác, văn thừa kế, giấy đăng ký kết hôn, định ly hôn, giấy khai sinh, giấy khai tử, hối phiếu giấy tờ có giá khác không áp dụng quy định Luật giao dịch điện tử Về nguyên tắc, quan, tổ chức, cá nhân có quyền tự thỏa thuận tự nguyện lựa chọn phƣơng thức giao dịch (theo phƣơng thức truyền thống hay giao dịch điện tử), tự thỏa thuận việc lựa chọn loại công nghệ thực giao dịch phải chịu trách nhiệm hành vi giao dịch điện tử Khơng cơng nghệ đƣợc coi giao dịch điện tử Trong giao dịch điện tử, bình đẳng an toàn phải đƣợc bảo đảm; quyền lợi ích hợp pháp quan, tổ chức, cá nhân, lợi ích nhà nƣớc, lợi ích cơng cộng phải đƣợc bảo vệ Theo quy định Điều 9, hành vi sau bị nghiêm cấm giao dịch điện tử: Cản trở việc lựa chọn sử dụng giao dịch điện tử Cản trở ngăn chặn trái phép q trình truyền, gửi, nhận thơng điệp liệu Thay đổi, xoá, huỷ, giả mạo, chép, tiết lộ, hiển thị, di chuyển trái phép phần toàn thông điệp liệu Tạo phát tán chƣơng trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành có hành vi khác nhằm phá hoại hạ tầng công nghệ giao dịch điện tử Tạo thông điệp liệu nhằm thực hành vi trái pháp luật Gian lận, mạo nhận, chiếm đoạt sử dụng trái phép chữ ký điện tử ngƣời khác 2) Chƣơng II: Thông điệp liệu Thông điệp liệu thông tin đƣợc tạo ra, đƣợc gửi đi, đƣợc nhận đƣợc lƣu trữ phƣơng tiện điện tử Thông điệp liệu đƣợc thể dƣới hình thức trao đổi liệu điện tử, chứng từ điện tử, thƣ điện tử, điện tín, điện báo, fax hình thức tƣơng tự khác Tinh thần xuyên suốt chƣơng pháp luật công nhận giá trị pháp lý thông điệp liệu Chƣơng có mục: Mục quy định hình thức thể thơng điệp liệu; giá trị pháp lý thông điệp liệu; thông điệp liệu có giá trị nhƣ văn bản; thơng điệp liệu có giá trị nhƣ gốc; thơng điệp liệu có giá trị làm chứng cứ; lƣu trữ thơng điệp liệu 198 Mục gồm quy định ngƣời khởi tạo thông điệp liệu; thời điểm, địa điểm gửi thông điệp liệu; nhận thông điệp liệu; thời điểm, địa điểm nhận thông điệp liệu; gửi, nhận tự động thông điệp liệu Trong trƣờng hợp pháp luật yêu cầu thông tin phải đƣợc thể văn thơng điệp liệu đƣợc xem đáp ứng yêu cầu thông tin chứa thơng điệp liệu truy cập sử dụng đƣợc để tham chiếu cần thiết Thơng điệp liệu có giá trị nhƣ gốc (Điều 13) đáp ứng đƣợc điều kiện sau: Nội dung thông điệp liệu đƣợc bảo đảm toàn vẹn kể từ đƣợc khởi tạo lần dƣới dạng thơng điệp liệu hồn chỉnh (nội dung thông điệp chƣa bị thay đổi, trừ thay đổi hình thức phát sinh trình gửi, lƣu trữ hiển thị thơng điệp đó); Nội dung thơng điệp liệu truy cập sử dụng đƣợc dƣới dạng hoàn chỉnh cần thiết Thơng điệp liệu có giá trị làm chứng (Điều 14) Giá trị chứng thông điệp liệu đƣợc xác định vào độ tin cậy cách thức khởi tạo, lƣu trữ truyền gửi thông điệp liệu; cách thức bảo đảm trì tính tồn vẹn thơng điệp liệu; cách thức xác định ngƣời khởi tạo yếu tố phù hợp khác 3) Chƣơng III: Chữ ký điện tử chứng thực chữ ký điện tử Chƣơng gồm mục Mục 1: Giá trị pháp lý chữ ký điện tử, quy định chữ ký điện tử; điều kiện bảo đảm an toàn cho chữ ký điện tử; nguyên tắc sử dụng chữ ký điện tử; giá trị pháp lý chữ ký điện tử; nghĩa vụ ngƣời ký chữ ký điện tử; nghĩa vụ bên chấp nhận chữ ký điện tử; thừa nhận chữ ký điện tử chứng thƣ điện tử nƣớc Mục 2: Dịch vụ chứng thực điện tử, quy định hoạt động dịch vụ chứng thực chữ ký điện tử; nội dung chứng thƣ điện tử; tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; quyền nghĩa vụ tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử Mục 3: Quản lý dịch vụ chứng thực chữ ký điện tử quy định điều kiện để đƣợc cung cấp dịch vụ chứng thực chữ ký điện tử Chữ ký điện tử chữ ký đƣợc tạo lập dƣới dạng từ, chữ, số, ký hiệu, âm hình thức khác phƣơng tiện điện tử, gắn liền kết hợp cách lôgic với thông điệp liệu Chữ ký điện tử có giá trị xác nhận 199 ngƣời ký thông điệp liệu xác nhận chấp thuận ngƣời nội dung thông điệp liệu đƣợc ký Theo quy định Điều 22 , chữ ký điện tử đƣợc xem bảo đảm an toàn đƣợc kiểm chứng quy trình kiểm tra an tồn bên giao dịch thoả thuận đáp ứng đƣợc điều kiện sau đây: Dữ liệu tạo chữ ký điện tử gắn với ngƣời ký bối cảnh liệu đƣợc sử dụng; Dữ liệu tạo chữ ký điện tử thuộc kiểm soát ngƣời ký thời điểm ký; Mọi thay đổi chữ ký điện tử sau thời điểm ký bị phát hiện; Mọi thay đổi nội dung thông điệp liệu sau thời điểm ký bị phát Về giá trị pháp lý chữ ký điện tử, trƣờng hợp pháp luật quy định văn cần có chữ ký u cầu thơng điệp liệu đƣợc xem đáp ứng chữ ký điện tử đƣợc sử dụng để ký thơng điệp liệu đáp ứng đƣợc điều kiện sau: Phƣơng pháp tạo chữ ký điện tử cho phép xác minh đƣợc ngƣời ký chứng tỏ đƣợc chấp thuận ngƣời ký nội dung thông điệp liệu; Phƣơng pháp đủ tin cậy phù hợp với mục đích mà theo thơng điệp liệu đƣợc tạo gửi Giá trị pháp lý chữ ký điện tử chứng thƣ điện tử nƣớc đƣợc nhà nƣớc công nhận chữ ký điện tử chứng thƣ điện tử có độ tin cậy tƣơng đƣơng với độ tin cậy chữ ký điện tử chứng thƣ điện tử theo quy định pháp luật Việc xác định mức độ tin cậy chữ ký điện tử chứng thƣ điện tử nƣớc phải vào tiêu chuẩn quốc tế đƣợc thừa nhận, điều ƣớc quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam thành viên yếu tố có liên quan khác (khoản Điều 27) Chứng thực chữ ký điện tử việc xác nhận cá nhân, tổ chức đƣợc chứng thực ngƣời ký chữ ký điện tử Dịch vụ chứng thực chữ ký điện tử bao gồm hoạt động: Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thƣ điện tử Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử ngƣời ký thông điệp liệu Cung cấp dịch vụ khác liên quan đến chữ ký điện tử chứng thực chữ ký điện tử theo quy định pháp luật 200 4) Chƣơng IV: Giao kết thực hợp đồng điện tử Nội dung chƣơng công nhận giá trị pháp lý hợp đồng điện tử, quy định hợp đồng điện tử; thừa nhận giá trị pháp lý hợp đồng điện tử; nguyên tắc giao kết thực hợp đồng điện tử; giao kết hợp đồng điện tử; việc nhận, gửi, thời điểm nhận, gửi thông điệp liệu giao kết thực hợp đồng điện tử; giá trị pháp lý thông báo giao kết thực hợp đồng điện tử Hợp đồng điện tử hợp đồng đƣợc thiết lập dƣới dạng thông điệp liệu theo quy định Luật Việc giao kết thực hợp đồng điện tử dựa nguyên tắc: Các bên tham gia có quyền thỏa thuận sử dụng phƣơng tiện điện tử giao kết thực hợp đồng Việc giao kết thực hợp đồng điện tử phải tuân thủ quy định Luật pháp luật hợp đồng Khi giao kết thực hợp đồng điện tử, bên có quyền thoả thuận yêu cầu kỹ thuật, chứng thực, điều kiện bảo đảm tính tồn vẹn, bảo mật có liên quan đến hợp đồng điện tử 5) Chƣơng V: Giao dịch điện tử quan Nhà nƣớc Chƣơng quy định giao dịch điện tử quan Nhà nƣớc (cả lập pháp, hành pháp tƣ pháp), quy định loại hình giao dịch điện tử quan Nhà nƣớc; nguyên tắc tiến hành giao dịch điện tử quan Nhà nƣớc; bảo đảm an toàn, bảo mật lƣu trữ thông tin điện tử quan Nhà nƣớc; trách nhiệm quan Nhà nƣớc trƣờng hợp hệ thống thông tin điện tử bị lỗi; trách nhiệm tổ chức, cá nhân giao dịch điện tử với quan Nhà nƣớc Theo quy định Điều 39, loại hình giao dịch điện tử quan Nhà nƣớc bao gồm: Giao dịch điện tử nội quan Nhà nƣớc; giao dịch điện tử quan Nhà nƣớc với nhau; giao dịch điện tử quan Nhà nƣớc với tổ chức, cá nhân 6) Chƣơng VI: An ninh, an toàn, bảo vệ, bảo mật giao dịch điện tử Chƣơng quy định bảo đảm an ninh, an toàn giao dịch điện tử; bảo vệ thông điệp liệu; bảo mật thông tin giao dịch điện tử; trách nhiệm tổ chức cung cấp dịch vụ mạng; trách nhiệm quan, tổ chức, 201 cá nhân có yêu cầu quan Nhà nƣớc có thẩm quyền; quyền trách nhiệm quan Nhà nƣớc có thẩm quyền Điều 46 quy định: quan, tổ chức, cá nhân có quyền lựa chọn biện pháp bảo mật phù hợp với quy định pháp luật tiến hành giao dịch điện tử; không đƣợc sử dụng, cung cấp tiết lộ thơng tin bí mật đời tƣ thơng tin quan, tổ chức, cá nhân khác mà tiếp cận kiểm soát đƣợc giao dịch điện tử không đƣợc đồng ý họ, trừ trƣờng hợp pháp luật có quy định khác Tổ chức cung cấp dịch vụ mạng có trách nhiệm phối hợp với quan hữu quan xây dựng quy chế quản lý biện pháp kỹ thuật để phòng ngừa, ngăn chặn việc sử dụng dịch vụ mạng nhằm phát tán thơng điệp liệu có nội dung khơng phù hợp với truyền thống văn hố, đạo đức dân tộc, gây phƣơng hại đến an ninh quốc gia, trật tự, an toàn xã hội vi phạm quy định khác pháp luật; phải chịu trách nhiệm trƣớc pháp luật không kịp thời loại bỏ thơng điệp liệu nhận đƣợc thơng báo quan nhà nƣớc có thẩm quyền (Điều 47) 7) Chƣơng VII: Giải tranh chấp xử lý vi phạm Chƣơng quy định có tính nguyên tắc xử lý vi phạm pháp luật giao dịch điện tử; tranh chấp giao dịch điện tử; giải tranh chấp giao dịch điện tử Theo quy định Điều 50, ngƣời có hành vi vi phạm pháp luật giao dịch điện tử tuỳ theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành bị truy cứu trách nhiệm hình sự, gây thiệt hại phải bồi thƣờng theo quy định pháp luật; Cơ quan, tổ chức có hành vi vi phạm pháp luật giao dịch điện tử tuỳ theo tính chất, mức độ vi phạm mà bị xử phạt hành chính, đình hoạt động, gây thiệt hại phải bồi thƣờng theo quy định pháp luật Nhà nƣớc khuyến khích bên giải tranh chấp phát sinh giao dịch điện tử thơng qua hồ giải Trong trƣờng hợp bên khơng hồ giải đƣợc thẩm quyền, trình tự, thủ tục giải tranh chấp giao dịch điện tử đƣợc thực theo quy định pháp luật (Điều 52) 8) Chƣơng VIII: Điều khoản thi hành Chƣơng quy định hiệu lực thi hành hƣớng dẫn thi hành Luật Giao dịch điện tử 6.2.2 Nghị định 26/2007/NĐ-CP 202 Ngày 15/02/2007, Chính phủ ban hành Nghị định số 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số Theo đó, trƣờng hợp pháp luật quy định văn cần có chữ ký u cầu thông điệp liệu đƣợc xem đáp ứng thơng điệp liệu đƣợc ký chữ ký số Trong trƣờng hợp pháp luật quy định văn cần đƣợc đóng dấu quan, tổ chức u cầu thơng điệp liệu đƣợc xem đáp ứng thông điệp liệu đƣợc ký chữ ký số ngƣời có thẩm quyền theo quy định pháp luật quản lý sử dụng dấu chữ ký số đƣợc bảo đảm an tồn theo quy định Chữ ký số chứng thƣ số nƣớc ngồi đƣợc cơng nhận có giá trị pháp lý hiệu lực nhƣ chữ ký số chứng thƣ tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng Việt Nam cấp 6.3 XU HƢỚNG PHÁT TRIỂN Có số ý kiến khẳng định PKI không tồn lâu, hệ thống máy tính lƣợng tử đƣợc nghiên cứu thành cơng, có ý kiến khác lại cho PKI thực phát triển mạnh mẽ Xu hƣớng phát triển định danh số giới phẳng – giới CNTT điều tất yếu Việc sử dụng PKI để định danh hay khơng cịn tùy thuộc vào phát triển công nghệ Một số nhƣợc điểm hệ thống PKI triển khai cài đặt vận hành phức tạp tốn kém, số hệ thống CNTT khơng cần triển khai PKI mà đáp ứng đƣợc yêu cầu bảo mật xác thực tối thiểu Khi xây dựng hệ thống PKI cần số yếu tố: Một tổ chức có ủy quyền đƣợc cơng nhận Ai triển khai cài đặt làm cho PKI hoạt động? Một tự thiết lập hệ thống CA, nhƣng hệ thống có thẩm quyền, có đƣợc pháp luật cơng nhận khơng? Lý để tin chứng thƣ mà hệ thống phát hành cho mục đích bất kỳ? Trên Internet, khơng có chế đảm bảo thiết lập tính hợp pháp; đó, tổ chức có quyền lực đƣợc cơng nhận rộng rãi khó Khi khơng có tổ chức này, PKI Internet tồn cầu khó tồn Động lực: Mục đích PKI gì? Tại sử dụng PKI? Khi khơng có động hay động sai, PKI không chứng minh đƣợc có ích khơng tồn đƣợc 203 Những ngƣời sử dụng: Ai ngƣời sử dụng PKI, họ sử dụng nhƣ nào? Thơng thƣờng, mơ tả đề xuất ngƣời sử dụng ngƣời, nhƣng mơ hình khái niệm Trong thực tế, phần mềm mà tƣơng tác trực tiếp với PKI: ứng dụng sử dụng dịch vụ mà PKI cung cấp Cái giao diện ứng dụng dịch vụ? Giao diện có tiện lợi dễ hiểu cho ứng dụng ngƣời cần phải quản trị nó? Hiện nay, điều kiện cần cho PKI phát triển bắt đầu đƣợc thiết lập Tổ chức có quyền lực đƣợc cơng nhận PKI cần tổ chức để đẩy mạnh việc khai thác sử dụng chứng thƣ khố cơng khai Tổ chức cần phải đƣợc công nhận tất nhƣ tổ chức có quyền lực lĩnh vực này, việc công nhận đƣợc hỗ trợ chế bảo đảm nhƣ pháp luật, tài chính, sách… Các phủ toàn giới giai đoạn khác kế hoạch cung cấp chứng thƣ khố cơng khai tới cơng dân họ Chính phủ nƣớc có xác tài ngun đặc trƣng đƣợc đòi hỏi để trở thành tổ chức có quyền lực đƣợc cơng nhận cho PKI Các báo mới, tạp chí quảng cáo, quảng cáo ti vi, gửi thƣ đồng loạt, lời truyền miệng cơng dân – tất mang lại đảm bảo cho khẳng định phủ tổ chức có quyền lực Hơn nữa, ngƣời dân phần lớn (không phải tất cả) nƣớc quen với việc tới văn phịng quyền địa phƣơng để làm hộ chiếu, lái xe; thủ tục tƣơng tự để nhận “hộ chiếu điện tử” - đƣợc ghi đĩa mềm, CD, thẻ phần cứng ngày phát triển thay giấy tờ, thủ tục hành Động lực Đăng nhập lần khơng phải động lực mạnh cho PKI nhiều tình Ngƣời sử dụng ngƣời làm công cho bạn hay lƣớt trang Web bạn để đặt hàng đó, bạn muốn bảo đảm xác thực mạnh xem họ cho có vấn đề xảy mua bán mạng, bạn theo dõi họ thơng báo cho họ biết, phụ thuộc vào tình huống, truy cứu họ trách nhiệm Trong nhiều trƣờng hợp, việc định danh khơng đƣợc địi hỏi để phê chuẩn hồn thiện giao dịch Tuy nhiên, gần nhƣ chắn đƣợc yêu cầu có vấn đề tranh chấp xẩy Đó mà PKI đƣợc thiết kế để mang lại xác thực tin cậy 204 Chúng ta biết Web công cụ lớn đắc lực đời sống ngày Nhƣng kèm với Web có SSL mà SSL lại có sử dụng chứng thƣ số Nhƣ đủ thấy động lực PKI trở nên mạnh nhƣ Ngƣời sử dụng Trƣớc đây, điểm truy cập ứng dụng đến PKI chủ yếu thông qua API để tới cơng cụ Có hai khó khăn với phƣơng pháp Thứ nhất, ngành an tồn thơng tin có thành cơng việc cố gắng chuẩn hố API cho mục đích này, điều có nghĩa ứng dụng cần đƣợc phát triển lại nhà cung cấp PKI thay đổi Mặc dù có số chuẩn giao diện hàm mật mã (ví dụ, BSAFE, CAPI) dịch vụ (ví dụ, GSS-API), API cho dịch vụ PKI nói chung không đƣợc công nhận rộng rãi Thứ hai, với hệ thống CNTT rộng lớn, việc nâng cấp phần mềm mang lại gánh nặng quản trị đáng kể phiên cơng cụ cần phải đƣợc cài đặt máy Gần đây, ngành an tồn thơng tin cộng đồng chuẩn bắt đầu khảo sát thay cho khái niệm API công cụ máy tính ngƣời sử dụng Trong nỗ lực chiến đấu với khó khăn nhắc tới trên, nhiều công việc đƣợc làm lĩnh vực chuẩn hoá giao thức máy chủ mà tƣơng tác với phần lại PKI Nếu thoả thuận lớn đạt đƣợc khn dạng chi tiết giao thức, ngƣời phát triển ứng dụng viết mã lệnh cho giao thức mà không sợ thay đổi nhà cung cấp PKI yêu cầu ứng dụng họ phải đƣợc sửa đổi Hơn nữa, máy chủ điểm tƣơng tác với PKI, việc nâng cấp phần mềm PKI không cần thay đổi thông tin máy để bàn ngƣời sử dụng; việc nâng cấp ảnh hƣởng tới thành phần máy chủ mơi trƣờng Các nỗ lực chuẩn hố hƣớng bao gồm OCSP, phát đƣờng dẫn uỷ quyền xác nhận đƣờng dẫn uỷ quyền thông qua Simple Certificate Validation Protocol, xác nhận chữ ký số off-loaded thông qua giao thức Delegated Signature Validation (DSV) IETF PKIX dịch vụ quản lý khoá - dịch vụ đăng ký khoá (X-KRSS) dịch vụ thơng tin khố (X-KISS) W3C XKMS Nhiều số nỗ lực dƣờng nhƣ có hỗ trợ tƣơng đối rộng từ nhà cung cấp nhƣ khách hàng có tiềm năng, khó khăn vấp phải số môi trƣờng ứng dụng/tƣơng tác PKI đƣợc nhanh chóng đề cập tới sản phẩm thƣơng mại tƣơng thích chuẩn 205 Xu hƣớng phát triển PKI Việt Nam Nhƣ trình bày phần trên, PKI Việt Nam chia làm 02 khu vực, khu vực PKI cho quan thuộc hệ thống Chính trị khu vực PKI cho hoạt động cơng cộng Trong năm gần đây, hai hệ thống phát triển nhanh, đáp ứng tốt yêu cầu tin học hóa, cải cách hành chính, an tồn bảo mật doanh nghiệp Điển hình ứng dụng PKI khu vực cơng cộng hệ thống khai thuế qua mạng, nhờ có PKI ngƣời dân, doanh nghiệp đến quan thuế để khai báo thuế hàng tháng, điều giúp doanh nghiệp ngƣời dân tiết kiệm thời gian tài lớn Trong khu vực PKI cho quan phủ, PKI góp phần quan trọng việc cải cách hành cơng, phát triển Chính phủ điện tử, đặc biệt PKI thành phần thiếu hệ thống Hộ chiếu điện tử, chứng minh thƣ điện tử, giấy phép lái xe điện tử Với vai trị quan trọng lợi ích đem lại số năm triển khai PKI Việt Nam cho thấy, tƣơng lai năm tới, hệ thống PKI công nghệ phục vụ phát triển PKI Việt Nam ngày đƣợc quan tâm phát triển mạnh mẽ 206 TÀI LIỆU THAM KHẢO [1] Lê Mỹ Tú, Trần Duy Lai, Giáo trình Chứng thực điện tử, Học viện Kỹ thuật Mật Mã, (Năm 2006) [2] Nguyễn Nam Hải, Đào Thị Hồng Vân, Phạm Ngọc Thúy, Chứng thực điện tử Thương mại điện tử, NXB Khoa học kỹ thuật , (Năm 2003) [3] Suranjan Choudhury with Kartik Bhatnagar, Wasim Haque, &NIIT, Public Key Infrastructure: Implementation and Design, ISBN978-07645-4879-6, M&T Books, (Năm 2002) [4] Russ Housley, Tim Polk, Planning for PKI: Best practices Guide for Deploying Public Key Infrastructure, ISBN 0471397024, Wiley, (Năm 2001) [5] Carlisle Adams, Steve Lloyd, Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition, ISBN 0672323915, Addison Wesley, (Năm 2002) [6] Luật giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005 [7] Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 việc Quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số [8] Nguyễn Minh Dân, Một số vấn đề triển khai chứng thực điện tử Việt Nam [9] Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 việc ứng dụng công nghệ thông tin hoạt động quan nhà nƣớc [10] Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 việc Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng [11] Kartik Bhatnagar Suranjan Choudhury, and Wasim Haque, Public Key Infrastructure Implementation and Design,United States of America, M&T Books, (Năm 2002) 207