4.2.1. Yêu cầu kỹ thuật
Yêu cầu các thông số kỹ thuật của máy tính đáp ứng đƣợc việc cài đặt Hệ điều hành Linux.
4.2.2. Quản lý cấp phát chứng chỉ số
Các bước thực hiện các chức năng cơ bản:
Tạo mới một CA: RootCA cập nhật đầy đủ các thông tin vào form “Create a new CA” để tạo một CA mới.
Yêu cầu cấp phát một chứng chỉ số: Ngƣời dùng cập nhật đầy đủ các thông tin vào form “Create a new Certificate Request” để yêu cầu CA cấp chứng chỉ số.
Ký trên chứng chỉ số: CA ký vào chứng chỉ để xác thực tính hợp lệ của chứng chỉ trong hệ thống ứng dụng. Nhập khóa của CA và thời hạn tồn tại của chứng chỉ trong hệ thống ứng dụng.
Xuất khóa: Có thể xuất khóa dƣới nhiều định dạng khác nhau.
Ví dụ các khoá xuất ra nhƣ sau: trungvd@thanhhoa.gov.vn-key.pem/
Xuất chứng chỉ số: Tƣơng tự việc xuất khóa, ta có thể xuất chứng chỉ số.
4.2.3. Ứng dụng trong việc ký, xác nhận và mã hoá thông điệp
(Sử dụng phần mềm mã nguồn mở GnuPG để mô phỏng) Ký thông điệp:
Nếu A muốn gửi một thông điệp được ký đến B, trƣớc tiên A phải có khoá công khai của B, khoá công khai này đƣợc CA cấp phát nhƣ mô phỏng ở trên.
- Giả sử khoá công khai của B là trungvd@thanhhoa.gov.vn-key. - A nhập khoá công khai của B vào cơ sở dữ liệu của A bằng lệnh:
--import trungvd@thanhhoa.gov.vn-key
- Để đảm bảo rằng A đã tin tƣởng B, A khởi tạo ký nhận cho khoá của B
--sign-key “trungvd@thanhhoa.gov.vn”
(trungvd@thanhhoa.gov.vn là Realname của B)
- Xem Realname của B sau khi đã import vào CSDL:
--list-key
Chƣơng trình yêu cầu A nhập passphare của A để xác nhận.
A muốn gửi dữ liệu đã được mã hoá cho B, thực hiện như sau:
-sear "trungvd@thanhhoa.gov.vn" data_sendto_B
Chƣơng trình yêu cầu A xác nhận với passphare đã chọn. Cuối cùng nó sinh ra file data_sendto_B.asc đƣợc mã hóa. Sau đó, A có thể gửi cho B public key của A
Xác thực chữ ký:
Để đọc dữ liệu A gửi trƣớc hết B phải import a_key.asc vào database của B,
sau đó để mở file dữ liệu B chỉ cần thực hiện:
-d data_sendto_B.asc
Chƣơng trình yêu cầu B nhập passphare (khóa cá nhân của B) để xác nhận nếu đúng thì một file data_sendto_B đƣợc sinh ra với dữ liệu ban đầu và B biết đƣợc
thông tin A gửi cho anh ta. Mã hoá thông điệp:
Giả sử A đã có sẵn một cặp khoá và bây giờ dùng nó để mã hoá cho file
secret_data, ta làm nhƣ sau:
-r "a_realname" -e secret_data
(a_realname đã đƣợc A nhập lúc sinh key).
Chƣơng trình sẽ sinh ra một file dữ liệu đƣợc mã hóa với tên là secret_data.gpg
Để giải mã trở lại, ta thực hiện:
-d secret_data.gpg
Chƣơng trình yêu cầu A nhập passpharse để xác nhận. Nếu đúng nó sẽ xuất ra file secret_data ban đầu.
4.4. KẾT QUẢ CHƢƠNG TRÌNH
Cấp phát chứng chỉ số cho ngƣời dùng cuối bằng công cụ TinyCA trên nền hệ điều hành Linux.
Ngƣời gửi văn bản có thể sử dụng chứng chỉ số để ký trên văn bản. Ngƣời nhận có thể dùng chứng chỉ số để xác thực chữ ký trên văn bản.
Tổ chức, cá nhân có thể sử dụng chứng chỉ số để mã hóa văn bản truyền trên mạng công cộng.
KẾT LUẬN
Luận văn đã đề cập đến vấn đề kỹ thuật rất nóng hổi hiện nay đó là Đảm bảo an
toàn thông tin trong giao dịch điện tử. Đây là một vấn đề còn rất mới mẻ đối với
hầu hết các cơ quan nhà nƣớc, tuy nhiên muốn xây dựng các hệ thống giao dịch điện tử theo đúng nghĩa của nó lại không thể thiếu đƣợc yếu tố kỹ thuật này. Do vậy việc nghiên cứu xây dựng thành công hệ thống đảm bảo an toàn thông tin trong giao dịch điện tử là việc làm rất có ý nghĩa, có giá trị khoa học và tính thực tiễn cao trong giai đoạn hiện nay.
Luận văn đã đi sâu tìm hiểu mô hình kỹ thuật đảm bảo an toàn trong giao dịch điện tử của một số sản phẩm thƣơng mại, các sản phẩm mã nguồn mở [19], từ đó đề xuất xây dựng mô hình kỹ thuật ứng dụng thực tế trong các cơ quan Hành chính tại Việt Nam.
Kết quả nghiên cứu và sản phẩm của luận văn:
- Tác giả đã tổng hợp và hệ thống lại cơ sở lý thuyết về mật mã và an toàn thông tin, nghiên cứu về hạ tầng cơ sở PKI và mô hình áp dụng thực tế đối với các đơn vị HCNN tại Việt Nam.
- Đánh giá, phân tích thực trạng các hoạt động GDĐT phục vụ công tác Hành chính hiện nay, từ đó đề xuất xây dựng mô hình triển khai các ứng dụng giao dịch điện tử phục vụ công tác Hành chính, đảm bảo các yêu cầu về an toàn thông tin theo quy định hiện hành của pháp luật.
- Tìm hiểu một số phần mềm mã nguồn mở (OpenCA, GnuPG, TinnyCA,…), và ứng dụng để mô phỏng hệ thống thử nghiệm.
Những tồn tại và hướng phát triển:
Do thời gian và trình độ có hạn, chủ đề của luận văn tƣơng đối rộng và tác giả muốn chú trọng vào mô hình ứng dụng, nên chƣa thực sự đi sâu nghiên cứu và đề xuất các kỹ thuật mới.
Hƣớng phát triển của luận văn là nghiên cứu đánh giá, cải tiến các giải pháp kỹ thuật đảm bảo ATTT tiên tiến trên thế giới, từ đó hoàn thiện và tối ƣu hoá mô hình ứng dụng, đồng thời mở rộng phạm vi đối tƣợng nghiên cứu ra ngoài khối các cơ quan HCNN.
TÀI LIỆU THAM KHẢO
1. “Luật Giao dịch điện tử” đƣợc Quốc hội thông qua ngày 29/11/2005, luật có
hiệu lực từ ngày 01/03/2006.
2. “Luật Công nghệ thông tin”, có hiệu lực từ ngày 01/01/2007.
3. Quyết định 181/2003/QĐ-TTg của Thủ tƣớng Chính phủ về việc ban hành
quy chế thực hiện cơ chế “một cửa” tại cơ quan hành chính ở địa phƣơng.
4. Nghị định 110/2004/NĐ-CP của Chính phủ về công tác Văn thư.
5. Pháp lệnh Bảo vệ bí mật nhà nước số 30/2000/PL-UBTVQH10 ngày
28/12/2000 của Uỷ ban Thƣờng vụ Quốc hội.
6. Nghị định số 33/2002/NĐ-CP ngày 28/03/2002 của Chính phủ quy định chi
tiết thi hành Pháp lệnh Bảo vệ bí mật Nhà nƣớc.
7. Nghị định 26/2007/NĐ-CP, ban hành ngày 15/02/2007 quy định chi tiết thi
hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. 8. Phan Đình Diệu (2006), “Lý thuyết mật mã và An toàn thông tin”, Nhà xuất
bản Đại học Quốc gia Hà Nội.
9. Trịnh Nhật Tiến (12-2005), Báo cáo khoa học đề tài “Nghiên cứu xây dựng
Cơ sở hạ tầng về mật mã khóa công khai bảo đảm an toàn truyền tin trên mạng máy tính Thành phố Hà Nội”.
10.Nguyễn Ngọc Tuấn, Hồng Phúc (2005), “Công nghệ bảo mật”, Nhà xuất
bản thống kê.
11.Nguyễn Nam Hải, Đào Thị Hồng Vân, Phạm Ngọc Thúy (2004), “Chứng thực trong thương mại điện tử”, Nhà xuất bản Khoa học và Kỹ thuật.
12.D.Stinson (1995), “Cryptography: Theory and Practice”, CRC Press. 13.B.Schneider (1995), “Applied Cryptography”, 2th
edition, Wiley.
14.Lê Hồng Hà, Tổng thƣ ký Hội Tin học - Viễn thông Hà Nội, thành viên Ban soạn thảo Luật CNTT. “An toàn thông tin trong giao dịch điện tử”. 15.Nghị định 64/2007/NĐ-CP, ban hành ngày 10/04/2007 về việc ứng dụng
CNTT trong hoạt động của cơ quan nhà nƣớc.
16.D. Rechard Kuhn, Vincent C. Hu, W. Timothy Polk, Shu–Jen Chang (2001), “Introduction to Public Key Technology and the Federal PKI Infrastructure”. NIST.
17.An RSA Data Security White Paper. “Understanding Public Key Infrastructure”. RSA Data Security Inc.
18.“Daily official gazette free of charge”, “Electronic sale by credit card of any official Spanish publication”. The Official State Gazette (BOE)
Ministry of the Presidency (http://www.boe.es).
Phụ lục: MỘT SỐ QUY ĐỊNH CỦA PHÁP LUẬT VIỆT NAM BẢO ĐẢM XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG GDĐT
1. Luật giao dịch điện tử
Ngày 29/11/2005 Quốc hội nƣớc cộng hòa xã hội chủ nghĩa Việt Nam đã thông qua luật giao dịch điện tử số 51/2005/QH11, luật này có hiệu lực từ ngày 01/03/2006 [1].
Luật có 8 chƣơng và 54 điều, phạm vi điều chỉnh chủ yếu là giao dịch điện tử trong hoạt động của các cơ quan Nhà nƣớc, trong lĩnh vực dân sự, kinh doanh, thƣơng mại và một số lĩnh vực khác do pháp luật quy định. Các quy định của luật này không áp dụng đối với việc cấp giấy chứng nhận quyền sử dụng đất, quyền sở hữu nhà và các bất động sản khác, văn bản về thừa kế, giấy đăng ký kết hôn, quyết định ly hôn, giấy khai sinh, giấy khai tử, hối phiếu và các giấy tờ có giá khác.
Luật đƣợc áp dụng đối với cơ quan, tổ chức, cá nhân trên lãnh thổ Việt Nam lựa chọn giao dịch bằng phƣơng tiện điện tử.
Chƣơng V của luật này quy định về Giao dịch điện tử của cơ quan Nhà nƣớc gồm 5 điều (từ điều 39-43), cụ thể nhƣ sau:
Điều 39. Các loại hình giao dịch điện tử của cơ quan nhà nƣớc 1. Giao dịch điện tử trong nội bộ cơ quan nhà nƣớc.
2. Giao dịch điện tử giữa các cơ quan nhà nƣớc với nhau.
3. Giao dịch điện tử giữa cơ quan nhà nƣớc với cơ quan, tổ chức, cá nhân. Điều 40. Nguyên tắc tiến hành giao dịch điện tử của cơ quan nhà nƣớc 1. Các nguyên tắc quy định tại các khoản 3, 4 và 5 Điều 5 của Luật này.
2. Việc giao dịch điện tử của cơ quan nhà nƣớc phải phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan.
3. Cơ quan nhà nƣớc trong phạm vi nhiệm vụ, quyền hạn của mình chủ động thực hiện từng phần hoặc toàn bộ giao dịch trong nội bộ cơ quan hoặc với cơ quan khác của Nhà nƣớc bằng phƣơng tiện điện tử.
4. Căn cứ vào điều kiện phát triển kinh tế - xã hội và tình hình cụ thể, cơ quan nhà nƣớc xác định một lộ trình hợp lý sử dụng phƣơng tiện điện tử trong các loại hình giao dịch quy định tại Điều 39 của Luật này.
5. Cơ quan, tổ chức, cá nhân có quyền lựa chọn phƣơng thức giao dịch với cơ quan nhà nƣớc nếu cơ quan nhà nƣớc đó đồng thời chấp nhận giao dịch theo phƣơng thức truyền thống và phƣơng tiện điện tử, trừ trƣờng hợp pháp luật có quy định khác.
6. Khi tiến hành giao dịch điện tử, cơ quan nhà nƣớc phải quy định cụ thể về: a) Định dạng, biểu mẫu của thông điệp dữ liệu;
b) Loại chữ ký điện tử, chứng thực chữ ký điện tử trong trƣờng hợp giao dịch điện tử cần có chữ ký điện tử, chứng thực chữ ký điện tử;
c) Các quy trình bảo đảm tính toàn vẹn, an toàn và bí mật của giao dịch điện tử. 7. Việc cung cấp dịch vụ công của cơ quan nhà nƣớc dƣới hình thức điện tử đƣợc xác lập trên cơ sở quy định của cơ quan đó nhƣng không đƣợc trái với quy định của Luật này và quy định khác của pháp luật có liên quan.
Điều 41. Bảo đảm an toàn, bảo mật và lƣu trữ thông tin điện tử trong cơ quan nhà nƣớc
1. Định kỳ kiểm tra và bảo đảm an toàn hệ thống thông tin điện tử của cơ quan mình trong quá trình giao dịch điện tử.
2. Bảo đảm bí mật thông tin liên quan đến giao dịch điện tử, không đƣợc sử dụng thông tin vào mục đích khác trái với quy định về việc sử dụng thông tin đó, không tiết lộ thông tin cho bên thứ ba theo quy định của pháp luật.
3. Bảo đảm tính toàn vẹn của thông điệp dữ liệu trong giao dịch điện tử do mình tiến hành; bảo đảm an toàn trong vận hành của hệ thống mạng máy tính của cơ quan mình.
4. Thành lập cơ sở dữ liệu về các giao dịch tƣơng ứng, bảo đảm an toàn thông tin và có biện pháp dự phòng nhằm phục hồi đƣợc thông tin trong trƣờng hợp hệ thống thông tin điện tử bị lỗi.
5. Bảo đảm an toàn, bảo mật và lƣu trữ thông tin theo quy định của Luật này và các quy định khác của pháp luật có liên quan.
Điều 42. Trách nhiệm của cơ quan nhà nƣớc trong trƣờng hợp hệ thống thông tin điện tử bị lỗi
1. Trong trƣờng hợp hệ thống thông tin điện tử của cơ quan nhà nƣớc bị lỗi, không bảo đảm tính an toàn của thông điệp dữ liệu thì cơ quan đó có trách nhiệm thông báo ngay cho ngƣời sử dụng biết về sự cố và áp dụng các biện pháp cần thiết để khắc phục.
2. Cơ quan nhà nƣớc phải chịu trách nhiệm trƣớc pháp luật nếu không tuân thủ quy định tại khoản 1 Điều này.
Điều 43. Trách nhiệm của cơ quan, tổ chức, cá nhân trong giao dịch điện tử với cơ quan nhà nƣớc
Cơ quan, tổ chức, cá nhân khi tiến hành giao dịch điện tử với cơ quan nhà nƣớc có trách nhiệm tuân thủ các quy định của Luật này, các quy định về giao dịch điện tử do cơ quan nhà nƣớc có thẩm quyền ban hành và các quy định khác của pháp luật có liên quan.
2. Nghị định về chữ ký số và chứng thƣ số
Ngày 15/02/2007, Thủ tƣớng Chính phủ đã ký ban hành nghị định số 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số [7]. Nghị định gồm 11 chƣơng và 73 điều, phạm vi điều chỉnh quy định chi tiết về chữ ký số và chứng thƣ số; việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số. Nghị định này áp dụng đối với cơ quan, tổ chức cung cấp dịch vụ chứng thực chữ ký số và cơ quan, tổ chức, cá nhân lựa chọn sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong giao dịch điện tử.
Nghị định là cơ sở pháp lý quan trọng giúp các tổ chức, cá nhân thực thi các hệ thống giao dịch điện tử. Ngoài việc quy định trách nhiệm quyền hạn của các tổ chức, cá nhân tham gia dịch vụ chứng thực chữ ký số, công tác quản lý Nhà nƣớc về dịch vụ chứng thực chữ ký số,… nghị định còn quy định cụ thể hoạt động cung cấp dịch vụ chứng thực chữ ký số. Điều này giúp các tổ chức, cá nhân có thể tiến hành xây dựng, cung cấp, sử dụng dịch vụ chứng thực chữ ký số một cách thống nhất và đúng luật.
3. Một số quy định khác trong công tác QLHCNN
3.1. Quy chế thực hiện cơ chế “một cửa” tại CQHC địa phƣơng
Ngày 04/09/2003, Thủ tƣớngChính phủ đã ký quyết định số 181/2003/QĐ-TTg
ban hành quy chế thực hiện cơ chế “một cửa” tại cơ quan Hành chính Nhà nƣớc ở địa phƣơng. Quy chế gồm 4 chƣơng và 18 điều quy định việc áp dụng, triển khai thực hiện cơ chế “một cửa” và quy trình giải quyết công việc theo cơ chế “một cửa” tại cơ quan hành chính nhà nƣớc ở địa phƣơng [3].
Chương I. Gồm 5 điều, nêu các quy định chung, các nguyên tắc, đối tƣợng và
phạm vi áp dụng của quy chế.
Chương II. Gồm 5 điều, quy định trách nhiệm triển khai cơ chế một cửa. Đây là
cơ sở pháp lý quan trọng để xây dựng và triển khai thành công một hệ thống thông tin tại các đơn vị Hành chính Nhà nƣớc.
Chương III. Gồm 6 điều, quy định quy trình giải quyết công việc theo cơ chế
một cửa. Quy định này là cơ sở để có thể xây dựng các quy trình nghiệp vụ của các hệ thống giao dịch điện tử giữa cơ quan Nhà nƣớc với công dân và giữa các cơ quan Nhà nƣớc với nhau.
124
3.2. Nghị định của Chính phủ về công tác Văn thƣ
Nghị định số 110/2004/NĐ-CP ban hành ngày 08/04/2004 của Chính phủ về công tác Văn thƣ có 7 chƣơng và 36 điều, trong đó quy định cụ thể về công tác