XÂY DỰNG HỆ THỐNG XÁC THỰC CHO HỆ THỐNG THÔNG TIN CỦA CÁC CƠ QUAN CHÍNH PHỦ ( NGUYEN HUU HUNG, GCA, VGISC) Trung tâm chứng thực điện tử chuyên dùng Chính phủ NỘI DUNG I ĐẶT VẤN ĐỀ II HỆ THỐNG THÔNG TIN CỦA CHÍNH PHỦ VÀ NHU CẦU XÁC THỰC III HỆ THỐNG PKI CHUYÊN DÙNG CHÍNH PHỦ IV MỘT SỐ KẾT QUẢ VÀ KẾ HOẠCH PHÁT TRIỂN Trung tâm chứng thực điện tử chuyên dùng Chính phủ I ĐẶT VẤN ĐỀ Các vấn đề an ninh an toàn xã hội thông tin Xã hội thực Mặt đối mặt Xã hội thông tin Internet Nảy sinh vấn đề đảm bảo an toàn thông tin: •Ai giao dịch ? (Xác thực) •Thông tin gửi có bị nghe trộm? (Bí mật) •Dữ liệu nhận có bị sửa đổi hay không? (Toàn vẹn) •Chối bỏ hành động thực (Chống chối bỏ) Trung tâm chứng thực điện tử chuyên dùng Chính phủ MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CHÍNH PHỦ Dự án mạng truyền số liệu chuyên dùng quan Đảng Nhà nước từ trung ương đến địa phương: - Hạ tầng truyền thông tốc độ cao, đa dịch vụ với công nghệ đại, an toàn bảo mật, cung cấp đường truyền dẫn cổng kết nối để liên kết mạng nội quan Đảng, Nhà nước; - Truy nhập Internet tốc độ cao, có dịch vụ gia tăng mạng: điện thoại IP, video IP, Email, Web…; - Mạng riêng ảo dùng cho nội đơn vị (cơ quan, tổ chức…); - Extranet VPN: mạng riêng ảo mạng; - Remote Access IP VPN: mạng riêng ảo truy nhập từ xa; - Ipv6 VPN: mạng riêng ảo dùng IP phiên 6; Multicast VPN for MPLS: mạng riêng ảo quảng bá chuyền mạch nhãn đa giao thức; - ………… Trung tâm chứng thực điện tử chuyên dùng Chính phủ II CÁC HỆ THỐNG THÔNG TIN CỦA CHÍNH PHỦ • Hệ thống thư điện tử Quốc gia • Hệ thống giao ban điện tử đa phương tiện Thủ tướng Chính phủ với với Bộ, ngành, địa phương • Cơ sở liệu Quốc gia dân cư • Hệ thống thông tin giao thông vận tải • Hệ thống quản lý thông tin đầu tư nước • Hệ thống thông tin quản lý y tế dự phòng • Cơ sở liệu quốc gia cán bộ, công chức, viên chức cán bộ, công chức cấp xã • Cơ sở liệu quốc gia kinh tế công nghiệp thương mại • Hệ thống thông tin văn quy phạm pháp luật thống từ Trung ương tới địa phương • Các hệ thống thông tin thuế, tài nguyên, môi trường… • …………… Trích Quyết định 48/2009/TTg - Trung tâm chứng thực điện tử chuyên dùng Chính phủ Nhu cầu xác thực Định danh đối tượng tham gia: • Con người • Thiết bị • Phần mềm • Dịch vụ Đảm bảo an toàn giao dịch: • Xác thực đăng nhập, phân cấp, phân quyền khai thác thông tin • Xác thực an toàn phiên giao dịch • … Trung tâm chứng thực điện tử chuyên dùng Chính phủ THIẾT LẬP HỆ THỐNG XÁC THỰC VÀ BẢO MẬT Trên sở hệ thống thông tin Chính phủ, hệ thống mạng truyền số liệu chuyên dùng cho quan Chính phủ, để đảm bảo an toàn, tin cậy cho toàn hệ thống cần thiết phải thiết lập hệ thống xác thực mạnh Nền tảng hệ thống sử dụng hạ tầng sở khóa công khai (PKI) phục vụ ứng dụng chứng thư số dịch vụ chứng thực chữ ký số Cần thiết lập hạ tầng PKI Trung tâm chứng thực điện tử chuyên dùng Chính phủ III PKI cho quan phủ Trung tâm chứng thực điện tử chuyên dùng Chính phủ Các thành phần PKI PKI Khung pháp lý sách Luật giao dịch điện tử Nghị định Chữ ký số Hệ mật mã bất đối xứng Hệ thống CP CPS Khung pháp lý sách Hạ tầng kỹ thuật Hạ tầng kỹ thuật Các thuật toán mật mã Hệ thống CA/RA Quản lý phân phối khóa Công bố Chứng thư CRL Các ứng dụng PKI Trung tâm chứng thực điện tử chuyên dùng Chính phủ CÁC CƠ SỞ PHÁP LÝ Sau Saukhi khiLuật LuậtGiao Giaodịch dịchđiện điệntử tửđược đượcban banhành, hành,Chính Chínhphủ phủđã đãban ban hành hànhNghị Nghịđịnh địnhSố: Số:26/2007/NĐ-CP 26/2007/NĐ-CPngày ngày15/02/2007 15/02/2007Quy Quyđịnh địnhchi chi tiết tiếtLuật LuậtGD GDĐT ĐTvề vềchữ chữký kýsố sốvà vàdịch dịchvụ vụchứng chứngthực thựcchữ chữký kýsố số Điều Điều6: 6: 4.Ban BanCơ Cơyếu yếuChính Chínhphủ phủthành thànhlập lậpvà vàduy duytrì trìhoạt hoạtđộng độngcủa củatổ tổ chức chứccung cungcấp cấpdịch dịchvụ vụchứng chứngthực thựcchữ chữký kýsố sốchuyên chuyêndùng dùngphục phục vụ vụcác cáccơ cơquan quanthuộc thuộchệ hệthống thốngchính chínhtrị trị Tháng Tháng9/2007, 9/2007,Ban BanCơ Cơyếu yếuChính Chínhđã đãthành thànhlập lậptổ tổchức chứcchứng chứng thực thựcchữ chữký kýsố sốphục phụcvụ vụcác cáccơ cơquan quanthuộc thuộchệ hệthống thốngchính chínhtrị trị.Hạ Hạ tầng tầngcung cungcấp cấpdịch dịchvụ vụchứng chứngthực thựcchữ chữký kýsố sốđang đangtích tíchcực cựctriển triển khai khaicho chocác cáccơ cơquan, quan,Bộ, Bộ,ngành ngành Quyết Quyếtđịnh địnhsố số63/QĐ-TTg 63/QĐ-TTgban banhành hànhngày ngàyngày ngày13/01/2010 13/01/2010phê phê duyệt duyệtquy quyhoạch hoạchphát pháttriển triểnan antoàn toànthông thôngtin tinsố sốquốc quốcgia giađến đếnnăm năm 2020 2020trong trongđó đóBan BanCơ Cơyếu yếuCP CPchịu chịutrách tráchnhiệm nhiệmXây Xâydựng dựng Hệ Hệthống thốngxác xácthực, thực,bảo bảomật mậtcho chocác cáchệ hệthống thốngthông thôngtin tin Chính Chínhphủ phủ Trung tâm chứng thực điện tử chuyên dùng Chính phủ Mô hình PKI Việt Nam Ban Cơ yếu CP Bộ TTTT CA nước Foreign CAs chứng thực chéo chứng thực chéo CA công cộng (N-Root CA) CA chuyên dùng (G-Root CA) quản lý/cấp phép CA cấp phép quản lý/cấp phép CA cấp phép Sub CA giao n.vụ quản lý chứng quản lý chứng cung cấp dịch vụ Các giao dịch điện tử dân Sub CA giao n.vụ e-gov service provider e-gov service provider Giao dịch điện tử quan thuộc hệ thống trị Trung tâm chứng thực điện tử chuyên dùng Chính phủ Trung tâm chứng thực điện tử chuyên dùng Chính phủ Các • • • mốc thời gian Thành lập theo khoản Điều Nghị định 26/2007/NĐ-CP Thuộc Ban Cơ yếu Chính phủ Thành lập năm 2007 Các dịch vụ cung cấp • Thiết lập trì hạ tầng PKI cho quan Chính phủ: RootCA, SubCA cho quan, Bộ, ngành • Cung cấp quản lý chứng thư số dịch vụ chứng thực chữ ký số • Tư vấn, hỗ trợ, triển khai dịch vụ chứng thực chữ ký số • Phát triển ứng dụng PKI Trung tâm chứng thực điện tử chuyên dùng Chính phủ Mô hình tổng thể • • Mô hình phân cấp hình cây: RootCA, SubCA Các SubCA quy hoạch để phục vụ quan, Bộ, ngành Trung tâm chứng thực điện tử chuyên dùng Chính phủ Mô hình quan đăng ký địa phương • • Phân tán nước Phục vụ cho nhu cầu cấp phát quản lý chứng thư số Trung tâm chứng thực điện tử chuyên dùng Chính phủ Dịch vụ cung cấp Cung cấp quản lý chứng thư số: • Tạo phân phối cặp khóa cho thuê bao • Cấp, thu hồi chứng thư số Dịch vụ chứng thực chữ ký số: • Tem thời gian (timestamping service) • Kiểm tra trạng thái chứng thư số (CRLs, OCSP) Dịch vụ công bố thông tin: • Chứng thư số RootCA, SubCA • Chính sách chữ ký số (Signature policy) • Tra cứu thông tin Trung tâm chứng thực điện tử chuyên dùng Chính phủ Chuẩn áp dụng Khuôn dạng chứng thư số chứng thư số bị thu hồi IETF RFC 3280 : Khuông dạng chứng thư số danh sách chứng thư số bị thu hồi ITU-T X.509 : Khuôn dạng chứng thư số khóa công khai chứng thư thuộc tính Mã/giải mã, ký/xác thực RSA PKCS #1 V1.5, 2.0, 2.1 Lưu trữ, thông điệp mật mã PKCS #5: Chuẩn mã hóa dựa mật PKCS #7: Chuẩn cú pháp thông điệp mật mã PKCS #8: Chuẩn cú pháp thông tin khóa bí mật PKCS #10: Chuẩn cú pháp yêu cầu chứng thực PKCS #11: Chuẩn giao tiếp thẻ mật mã PKCS #15: Chuẩn định dạng thông tin thẻ mật mã Trung tâm chứng thực điện tử chuyên dùng Chính phủ Chuẩn áp dụng (tiếp…) Nhãn thời gian IETF RFC 3161 : Giao thức gán nhãn thời gian IETF RFC 1305: Giao thức thời gian mạng V3.0 Danh bạ chứng thư, kiểm tra tình trạng IETF RFC 2251: Giao thức truy cập thư mục IETF RFC 2650: Giao thức kiểm tra tình trạng chứng thư Ứng dụng XAdES signature structure (EU) - ETSI TS 101 903 (dựa RFC 3275): khuôn dạng chữ ký số ETSI TR 102 038 (dựa RFC 3125 ): Chính sách chữ ký số Trung tâm chứng thực điện tử chuyên dùng Chính phủ IV Một số kết đạt Đã • • • triển khai bước đầu cho số quan, Bộ, ngành: Cung cấp chứng thư số Thiết lập dịch vụ chứng thực chữ ký số … Ứng dụng phục vụ xác thực, bảo mật: • Xác thực bảo mật thư điện tử • Xác thực bảo mật dịch vụ web • Ký số tài liệu điện tử Trung tâm chứng thực điện tử chuyên dùng Chính phủ KẾ HOẠCH PHÁT TRIỂN Trung tâm chứng thực điện tử chuyên dùng Chính phủ Giải pháp theo mô hình tập trung Đặc điểm: Cơ quan, Bộ, ngành sử dụng trực tiếp dịch vụ chữ ký số chứng thực chữ ký số RootCA Ban Cơ yếu Chính phủ RootCA Ban Cơ yếu Chính phủ tổ chức cấp phát chứng thư số, dịch vụ chứng thực chữ ký số Điều kiện áp dụng: Kết nối với RootCA thông qua mạng truyền số liệu chuyên dùng Chính phủ RootCA Ban Cơ yếu Chính phủ đảm bảo cung cấp dịch vụ chứng thư số chứng thực chữ ký số Số lượng chứng thư số không lớn (