Để triển khai đƣợc chữ ký số, việc cần thiết nhất là phải xõy dựng đƣợc hệ thống PKI.
3.1.Tổng quan về PKI
PKI là một cơ chế để bờn thứ 3 cú thể cung cấp và xỏc thực cỏc bờn tham gia vào quỏ trỡnh trao đổi thụng tin. Cơ chế này cho phộp gỏn mỗi ngƣời dựng trong hệ thống với một cặp khúa cụng khai và bớ mật. Cỏc quỏ trỡnh này đƣợc thực hiện bởi một phần phềm đặt tại trung tõm và cỏc phần mềm khỏc đặt tại cỏc địa điểm của ngƣời dựng. Khúa cụng khai đƣợc phõn phối rộng rói trong PKI.
PKI thƣờng đƣợc dựng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số CA cựng cỏc cơ chế liờn quan đồng thời với toàn bộ cỏc thuật toỏn mó húa cụng khai trong trao đổi thụng tin. Tuy nhiờn phần sau đƣợc bao gồm khụng hoàn toàn chớnh xỏc do cỏc cơ chế trong PKI khụng nhất thiết phải sử dụng cỏc thuật toỏn mó húa cụng khai.
3. 2. Cỏc thành phần của PKI 3.2.1. Cỏc thành phần của PKI 3.2.1. Cỏc thành phần của PKI
PKI dựa vào một thiết bị mật mó để bảo đảm cỏc khoỏ cụng khai đƣợc quản lý an toàn. Cỏc thiết bị này khụng hoạt động cựng lỳc đƣợc thực hiện ở cỏc hàm mảng rộng cú liờn quan đến việc quản lý phõn phối khoỏ, bao gồm cỏc thành phần sau:
- Chứng thực và đăng ký ngƣời dựng
- Kiểm tra tớnh toàn vẹn của khoỏ cụng khai
39
- Bớ mật cấp phỏt khoỏ cụng khai
- Huỷ bỏ khoỏ cụng khai khi nú khụng cú đủ giỏ trị độ dài
- Duy trỡ việc thu hồi cỏc thụng tin về khoỏ cụng cộng (CRL) và phõn bổ thụng tin (thụng qua CRL cấp phỏt hoặc đỏp ứng đến Online Certificate Status Protocol [OCSP] messages).
- Đảm bảo an toàn về độ lớn của khoỏ.
Chứng thực khúa cụng khai (Public Key Certificate):
Mục tiờu của việc trao đổi khúa bất đối xứng là cấp phỏt một cỏch an toàn khúa cụng khai từ ngƣời gửi đến ngƣời nhận. PKI tạo điều kiện cho việc trao đổi khúa an toàn để đảm bảo xỏc thực cỏc bờn trao đổi với nhau.
Chứng thực khúa cụng khai đƣợc cấp phỏt bởi CA. Ngƣời dựng đăng ký sử dụng, kớch hoạt và đƣợc PKI chứng nhận theo quỏ trỡnh sau:
-Ngƣời dựng đăng ký với CA hoặc RA (Registration Authorities) với cỏc tiờu chớ để nhận biết. CA sẽ xỏc thực và cấp phỏt khúa cụng khai.
- Ngƣời dựng tạo ra một cặp khúa cụng khai và bớ mật rồi gửi đến CA
- CA lƣu mật hiệu lờn khúa cụng khai cựng với khúa bớ mật để tạo một chứng thực khúa cụng khai cho ngƣời dựng.
Lỳc này ngƣời dựng cú thể yờu cầu chứng thực khúa cụng khai từ cỏc ngƣời dựng khỏc.
Tổ chức đăng ký chứng thực (Registration Authorities):
Trong nhiều trƣờng hợp, CA sẽ cung cấp tất cả cỏc dịch vụ cần thiết của PKI để quản lý cỏc khúa cụng khai bờn trong mạng. Tuy nhiờn cú nhiều trƣờng hợp CA cú thể uỷ nhiệm Cho RA. Một số chức năng mà CA cú thể uỷ nhiệm thay thế cho RA nhƣ:
- Kiểm tra ngƣời dựng đó đăng ký khúa cụng khai với CA để cú khúa bớ mật mà đƣợc dựng để kết hợp với khúa cụng khai.
- Cấp phỏt cặp khúa cụng khai và bớ mật dựng để khởi tạo quỏ trỡnh đăng ký. - Xỏc nhận cỏc thụng số của khúa cụng khai.
40
Tổ chức cấp chứng thực (CA - Certificate Authorities):
CA cấp phỏt chứng thực, xỏc thực ngƣời dựng và khi cần thỡ thu hồi cỏc chứng thực CA địa diện cho nguồn tin cậy chớnh của PKI vỡ CA là tổ chức duy nhất trong PKI cú thể cấp phỏt chứng thực khúa cụng khai.
CA cũng luụn đỏp ứng cho việc duy trỡ CRL và phục vụ cỏc loại nhƣ: CRL Issuer. PKI khụng phải chỉ cú 1 CA mà PKI cú thể thiết lập nhiều CAs.
CAs giỳp thiết lập cho việc nhận dạng của cỏc thực thể giao tiếp với nhau đƣợc đỳng đắn. CAs khụng chỉ chứng thực cho ngƣời dựng cỏ nhõn mà cũn chứng thực cho cỏc CA khỏc cú liờn quan trong quỏ trỡnh giao dịch.
3.2.2. Mục tiờu và cỏc chức năng của PKI
PKI cho phộp những ngƣời tham gia xỏc thực lẫn nhau và sử dụng cỏc thụng tin từ cỏc chứng thực khoỏ cụng khai để mật mó hoỏ và giải mó thụng tin trong quỏ trỡnh trao đổi.
PKI đảm bảo cho cỏc giao dịch điện tử đƣợc bớ mật, toàn vẹn và xỏc thực đƣợc cỏc bờn tham gia mà khụng cần trao đổi cỏc thụng tin bảo mật từ trƣớc.
Mục tiờu chớnh của PKI chớnh là cung cấp khúa cụng khai và xỏc định mối liờn hệ giữa khúa và ngƣời dựng, nhờ vậy ngƣời dựng cú thể ỏp dụng vào một số ứng dụng nhƣ:
- Mó hoỏ Email hoặc xỏc thực ngƣời gửi Email - Mó hoỏ hoặc chứng thực văn bản
- Xỏc thực ngƣời dựng ứng dụng
- Cỏc giao thức truyền thụng an toàn: Trao đổi bằng khoỏ bất đối xứng, mó hoỏ bằng khoỏ đối xứng.
PKI bao gồm cỏc thành phần sau đõy:
- Phỏt sinh một cặp khoỏ riờng và khoỏ chung cho ngƣời dựng - Tạo và xỏc nhận chữ ký điện tử
- Cấp phỏt chứng nhận ngƣời dựng
41
- Hủy bỏ những đăng ký sai và hết hạn - Xỏc nhận ngƣời dựng
3.2.3. Mục đớch của PKI
PKI đƣợc sử dụng với cỏc mục đớch :
- Mó hoỏ: Giữ bớ mật thụng tin và chỉ cú ngƣời cú khoỏ bớ mật mới giải mó đƣợc. - Tạo chữ ký số: Cho phộp kiểm tra một văn bản cú phải đó đƣợc tạo với một khoỏ bớ mật nào đú hay khụng.
- Thoả thuận khoỏ: Cho phộp thiết lập khoỏ dựng để trao đổi thụng tin bảo mật giữa 2 bờn.
3.3. Cơ sở hạ tầng của PKI 3.3.1. Cỏc bƣớc mó hoỏ: 3.3.1. Cỏc bƣớc mó hoỏ: Bƣớc 1:
Dựng giải thuật băm để thay đổi thụng điệp cần truyền đi. Kết quả là ta đƣợc một bản túm tắt. Dựng giải thuật MD5 (message digest 5) ta đƣợc bản túm lƣợc cú chiều dài 128 bit, dựng giải thuật SHA (Secure Hash Algorithm) ta cú chiều dài 160 bit.
Bƣớc 2:
Sử dụng khúa bớ mật của ngƣời gửi để mó húa bản túm tắt thu đƣợc ở bƣớc 1. Thụng thƣờng ở bƣớc này dựng giải thuật RSA ( hay DSA, RC2, 3DES, …). Kết quả thu đƣợc gọi là chữ ký số của thụng điệp ban đầu.
Bƣớc 3:
Sử dụng khúa cụng khai của ngƣời nhận để mó hoỏ những thụng tin cần gửi đi.
42
Bƣớc 4:
Gộp chữ ký số vào thụng điệp đó đƣợc mó hoỏ và gửi đi. Nhƣ vậy sau khi đó ký số vào thụng điệp đó đƣợc mó hoỏ, mọi sự thay đổi trờn thụng điệp sẽ bị phỏt hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo ngƣời nhận tin tƣởng thụng điệp này này xuất phỏt từ ngƣời gửi chứ khụng phải là ai khỏc.
3.3.2. Cỏc bƣớc kiểm tra: Bƣớc 1:
Ngƣời nhận dựng khúa bớ mật của mỡnh để giải mó thụng tin nhận đƣợc gồm 2 phần: Phần thụng điệp và phần chữ ký ngƣời gửi.
Bƣớc 2:
Dựng khúa cụng khai của ngƣời gửi (khoỏ này đƣợc thụng bỏo đến mọi ngƣời ) để giải mó chữ ký số của thụng điệp ta đƣợc bản túm tắt.
Bƣớc 3:
Dựng giải thuật MD5 ( hoặc SHA) với thụng điệp đớnh kốm ta cú bản túm tắt.
Bƣớc 4:
So sỏnh kết quả thu đƣợc ở bƣớc 2 và 3 nếu trựng nhau, ta kết luận thụng điệp này khụng bị thay đổi trong quỏ trỡnh truyền và thụng điệp này chớnh xỏc là của ngƣời gửi.
43
3.4. Tạo và thẩm định chữ ký số
Hỡnh 1: Quỏ trỡnh đăng ký, cấp và sử dụng chữ ký số
44
Thẩm định chữ ký số:
Hỡnh 3: Thẩm định chữ ký số
Xỏc thực toàn vẹn của thụng tin:
45
Chƣơng 3: AN TOÀN THễNG TIN TRONG HẢI QUAN ĐIậ́N TƢ̉ 1. Thực trạng an toàn trong hải quan điện tử ở Việt Nam
1.1. Thực trạng an toàn thụng tin ở Việt Nam
Tại Ngày An toàn thụng tin Việt Nam 2009 tổ chức hụm 24/11 tại Hà Nội, Hiệp hội An toàn thụng tin Việt Nam (VNISA) đó cụng bố kết quả điều tra nghiờn cứu thực trạng an toàn thụng tin (ATTT) tại Việt Nam từ cuối năm 2008 đến nay với sự tham gia khảo sỏt của gần 500 tổ chức, DN trờn phạm vi cả nƣớc.
Thời gian qua, hàng loạt cỏc vấn đề liờn quan đến ATTT đó liờn tục xảy ra nhƣ Hacker tấn cụng hệ thống website làm tờ liệt mạng thụng tin của Chớnh phủ Mỹ và Chớnh phủ Hàn Quốc. Hàng loạt ngõn hàng lớn trờn thế giới bị mất cắp tiền qua mạng hay phỏt hiện nhiều lỗ hổng lớn trong hệ thống DNS… Từ đú cú thể thấy ngoài những cơ hội thỡ thƣơng mại điện tử cũng mang đến nhiều rủi ro cho nền kinh tế và xó hội hiện đại.
Theo kết quả điều tra ở Việt Nam thỡ 58,89% ý kiến cho rằng, cỏc cuộc tấn cụng mà tổ chức hay gặp phải chủ yếu vẫn là hệ thống nhiễm phải virus hay worm (cú thể tự lõy lan), hoặc hệ thống nhiễm phải trojan hay rootkit (khụng tự lõy lan).
Tuy nhiờn, khả năng nhận biết tấn cụng thấp và khụng rừ động cơ tấn cụng.
- 48% Tổ chức thừa nhận khụng rừ nguồn gốc địa chỉ IP tấn cụng xuất hiện từ đõu - 73% Tổ chức khụng định lƣợng đƣợc thiệt hại khi bị tấn cụng
- 53% Tổ chức khụng cú quy trỡnh thao tỏc chuẩn để phản ứng lại những cuộc tấn cụng đú.
Khi bị tấn cụng 45,77% thụng bỏo cho lónh đạo cấp cao của tổ chức, 64,14% thụng bỏo cho trung tõm tin học
Cỏc cụng nghệ đƣợc sử dụng: Tƣờng lửa (60,93%); phần mềm chống vi rỳt (83,09%); bộ lọc thƣ rỏc (50,15%). Trong đú 33% thừa nhận đang dựng tƣờng lửa của hóng Cisco, Check Point (13%). 24 % tổ chức đang dựng phần mềm diệt virut của Kasperky, Symantec (21%), BKV (16%), AVG (11%)...
Khảo sỏt cũng cho thấy vấn đề khú khăn nhất trong thực thi bảo vệ an toàn cho hệ thống thụng tin đú là việc nõng cao nhận thức cho ngƣời sử dụng về bảo mật mỏy tớnh
46
(43,73%), sự thiếu hiểu biết về ATTT trong tổ chức (46,06%), lónh đạo chƣa hỗ trợ đỳng mức cần thiết cho ATTT (33,24%).
Thực tế đỏng buồn là đa số ngƣời dựng cỏ nhõn hay doanh nghiệp ở Việt Nam chƣa ý thức đƣợc điều đú. Họ đang sống trong những ảo tƣởng mà cú thể gõy ảnh hƣởng rất nghiờm trọng tới nguồn thụng tin vụ giỏ. Số liệu nghiờn cứu chuyờn nghiệp của hóng CheckPoint cho thấy: Cú tới 35% số ngƣời dựng cỏ nhõn đƣợc hỏi tuyờn bố bảo mật thụng tin khụng phải là "việc của tụi", trong khi 45% tự nhận mỡnh khụng phải "mục tiờu đỏng giỏ" cho hacker. 52% đƣa ra một lập luận rất "vụ tƣ" cho việc bảo mật hớ hờnh là "Tụi chƣa đủ nổi tiếng để bị hacker chỳ ý" hoặc "Bọn tội phạm mạng làm sao kiếm đƣợc tiền từ thụng tin cỏ nhõn của tụi?".
(Theo khảo sỏt của VNISA về thực trạng ATTT ở Việt Nam năm 2008)
Trƣớc thực trạng nhƣ thế bộ Thụng tin và Truyền thụng đó trỡnh lờn Thủ tƣớng quy hoạch ATTT với nhiều giải phỏp đƣợc cho là thiết thực, khả thi và mang ý nghĩa dài hạn. Tuy nhiờn nỗ lực bảo vệ tài nguyờn thụng tin khụng thể chỉ xuất phỏt từ cỏc nhà làm chớnh sỏch, mà cần cú sự hợp tỏc phối hợp, gắn kết chặt chẽ giữa 3 khối là Nhà nƣớc, Doanh nghiệp/Tổ chức và cỏc Cỏ nhõn. Đƣơng nhiờn HQĐT Việt Nam cũng là một thành phần trong liờn khối chặt chẽ đú.
1.2. Thực trạng an toàn trong hải quan điện tử 1.2.1. Quy trỡnh thụng quan điện tử 1.2.1. Quy trỡnh thụng quan điện tử
Vào cỏc ngày 19/07/2005 và 22/06/2007, Bộ Tài Chớnh ra quyết định số 50/2005/QĐ-BTC và số 52/2007/QĐ-BTC, ban hành quy định “Quy trỡnh thực hiện thớ điểm thủ tục HQĐT đối với hàng húa xuất khẩu, nhập khẩu”. Về cơ bản qui trỡnh cú thể đƣợc mụ tả nhƣ sơ đồ 1:
Cỏc bƣớc trong qui trỡnh thủ tục HQĐT cú thể đƣợc mụ tả ngắn gọn nhƣ sau:
Bƣớc 1: Tiếp nhận hồ sơ điện tử
Doanh nghiệp khai HQĐT và truyền dữ liệu đến Chi cục HQĐT. Hệ thống xử lý dữ liệu điện tử tiếp nhận tờ khai điện tử, kiểm tra điều kiện tham gia hệ thống của doanh nghiệp, kiểm tra tớnh logic của cỏc tiờu chớ khai bỏo, kiểm tra việc khai và tớnh thuế,.... Kết thỳc quỏ trỡnh kiểm tra, phản hồi cho doanh nghiệp chi tiết tỡnh trạng hiện tại của hồ
47
sơ (hợp lệ/khụng hợp lệ/,...). Nếu hồ sơ hợp lệ tờ khai điện tử sẽ đƣợc cấp số tờ khai chớnh thức và đƣợc chuyển sang khõu phõn luồng.
Bƣớc 2: Phõn luồng hàng húa
Trờn cơ sở bộ tiờu trớ QLRR và thụng tin và hàng húa XNK do doanh nghiệp khai hải quan, hệ thống tự động phõn luồng hàng húa. Kết quả cho ra 3 luồng:
- Luồng xanh - Luồng vàng - Luồng đỏ
(Hệ thống chờ cỏn bộ hải quan phờ duyệt phõn luồng)
Bƣớc 3: Phờ duyệt phõn luồng
- Trờn cơ sở kết quả phõn luồng của hệ thống cỏn bộ hải quan cú trỏch nhiệm kiểm tra, điều chỉnh luồng (trong một số trƣờng hợp cần thiết) và phờ duyệt kết quả phõn luồng (thực hiện trờn mỏy tớnh).
- Thụng bỏo hƣớng dẫn thủ tục HQĐT gồm thụng tin phõn luồng, số tờ khai, thụng bỏo thuế cho doanh nghiệp.
+ Đối với hàng húa thuộc luồng xanh: Miễn kiểm tra; chấp nhận thụng quan hàng húa. Chuyển sang bƣớc 5.
+ Đối với hàng húa thuộc luồng vàng: Kiểm tra hồ sơ trƣớc khi thụng quan (Kiểm tra giấy phộp XNK, kiểm tra việc ỏp mó, kiểm tra xỏc định trị giỏ tớnh thuế, ...). Chuyển sang bƣớc 4.
+ Đối với hàng húa thuộc luồng đỏ: Kiểm tra hồ sơ và thực tế hàng húa trƣớc khi thụng quan. Chuyển sang bƣớc 4
Bƣớc 4: Chấp nhận thụng quan
Cỏn bộ kiểm tra hồ sơ căn cứ trờn kết quả kiểm tra hồ sơ và/ hoặc kiểm tra thực tế hàng húa chấp nhận cho thụng quan.
Bƣớc 5: Xỏc nhận thực xuất/ thực nhập
Cỏn bộ giỏm sỏt căn cứ kết quả chấp nhận thụng quan in lệnh thụng quan từ hệ thống, ký và đúng dấu xỏc nhận lờn lệnh thụng quan.
48
Thủ tục hải quan điện tử
C h i c ụ c h ả I q u a n đ iệ n t ử
3.2. Kiểm tra hồ sơ 3.1. Miễn kiểm tra
4. Chấp nhận thông quan
3.3. Kiểm tra hồ sơ và kiểm tra thực tế
hàng hoá 3. Duyệt phân luồng
2. Phân luồng Bắt đầu
1. Tiếp nhận, kiểm tra tự động tờ khai điện tử
5. Xác nhận thực xuất/ nhập
Kết thúc
49
Thụng tin khai của người khai
Hải quan Cụng chức Hải quan thực hiệm nhiệm vụ kiểm tra sơ bộ thụng tin khai Thụng tin khai cú cần kiểm tra sơ bộ ?
Cấp số và phõn luồng cho tờ khai
Chấp nhận thụng tin khai Phàn hồi lý do về
cho người khai Hải quan
Đỳng
Khụng cần kiểm tra sơ bộ
Hỡnh 6: Quỏ trỡnh kiểm tra sơ bộ của cơ quan hải quan đối với thụng tin khai
1.2.2. Hệ thống thụng quan điện tử
- Cỏc đối tƣợng tham gia hệ thống: Ngƣời khai hải quan: doanh nghiệp XNK, doanh nghiệp khai thuế; Tổ chức truyền nhận dữ liệu điện tử (VAN); Cơ quan Hải quan.
- Chuẩn trao đổi dữ liệu điện tử giữa doanh nghiệp và hải quan: XML; - Phƣơng tiện trao đổi: thụng qua Internet.
50
Hỡnh 7: Mụ hỡnh khỏi quỏt hệ thống TQĐT
- Từ trụ sở, doanh nghiệp khai tờ khai hải quan và thụng tin về hàng húa XNK qua mạng Internet. Thụng tin sẽ đƣợc đúng gúi trƣớc khi gửi đến trung tõm xử lý dữ liệu của tổ chức cung cấp dịch vụ truyền nhận dữ liệu HQĐT C-VAN;
- Tại trung tõm xử lý dữ liệu của của C-VAN dữ liệu đƣợc kiểm tra hợp chuẩn (chuẩn này do hải quan cụng bố theo chuẩn WCO-Dataset version 2.0). Nếu đỏp ứng dữ liệu sẽ đƣợc gửi đến cơ quan Hải quan;
- Tại cơ quan hải quan dữ liệu đƣợc gải mó và đƣa vào xử lý trong hệ thống của hải quan theo qui trỡnh thủ tục nhƣ đó nờu.