3. Một số công nghệ liên quan tới phát triển CNTT và Internet 1 Trao đổi dữ liệu điện tử (EDI)
3.2. Chữ ký điện tử và chứng thực điện tử
Việc kết n ối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP. TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể đi tới đích. Tính linh hoạt này của giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba” có thể thực hiện các hành động bất hợp pháp, cụ thể là:
- Nghe trộm: thông tin vẫn không bị thay đổi, nhưng sự bí mật của nó thì không còn. Ví dụ, số thẻ tín dụng hoặc các thông tin cần bảo mật bị lộ.
- Giả mạo: các thông tin trong khi truyền đi bị thay đổi hoặc thay thế trước khi đến người nhận. Ví dụ, đơn đặt hàng hay lý lịch của một cá nhân bị thay đổi.
- Mạo danh: thông tin được gửi tới một cá nhân mạo nhận là người nhận hợp pháp theo hai hình thức. Hình thức thứ nhất là bắt chước, tức là một cá nhân có thể giả vờ như một người khác như dùng địa chỉ mail của một người khác hoặc giả mạo một tên miền của một trang web. Hình thức thứ hai là xuyên tạc, tức là một cá nhân hay một tổ chức có thể đưa ra những thông tin không đúng sự thật về họ như một trang web mạo nhận chuyên về kinh doanh trang thiết bị nội thất, nhưng thực tế lại là một trang chuyên ăn cắp mã thẻ tín dụng và không bao giờ gửi hàng cho khách.
Sự phát triển thương mại điện tử gắn chặt với việc đảm bảo an toàn thông tin được trao đổi trên mạng và sự tin cậy của bên tham gia giao dịch. Công nghệ phổ biến hiện nay chống đỡ có hiệu quả nhữ ng hành động bất hợp pháp nêu trên và đảm bảo sự tin cậy của các bên là chữ ký số và chứng thực điện tử. Công nghệ này cho phép:
- Mã hoá và giải mã: cho phép hai đối tác giao dịch với nhau trên mạng có thể che giấu thông tin. Người gửi mã hoá các thông tin trước khi gửi chúng đi, người nhận sẽ giải mã trước khi đọc. Trong khi truyền, các thông tin sẽ không bị lộ.
- Chống lại sự giả mạo: cho phép người nhận có thể kiểm tra thông tin có bị thay đổi hay không. Bất kỳ một sự thay đổi hay thay thế nội dung của thông tin gốc đều bị phát hiện.
- Xác thực: cho phép người nhận có thể xác định danh tính của người gửi.
Mặc dù Việt nam chưa chính thức có quy định pháp lý về việc cung cấp dịch vụ chữ ký số và chứng thực điện tử nhưng một số công ty đã năng động trong việc nghiên cứu và đưa vào ứng dụng công nghệ này.
Từ giữa năm 2003, Công ty Misoft đã đưa ra thị trường sản phẩm thương mại MiCA sử dụng để cấp phát, quản lý chứng chỉ số, các chứng chỉ số này được lưu trữ trong các thiết bị chuyên dụng như iKey, SmartCard. Đồng thời thực hiện chuyển giao công nghệ trong việc tích hợp chứng chỉ số vào các hệ thống tin học trên nền Web, Mail cũng như các phần mềm phát triển xây dựng trên các ngôn ngữ lập trình khác nhau như Microsoft.Net, DELPHI, Visual Basic, C++, ASP, JSP,… Ngoài ra, Misoft còn thực hiện các khóa đào tạo về áp dụng chứng chỉ số trong thương mại điện tử cho các cơ quan, đơn vị. Đội ngũ chuyên gia của Misoft được đào tạo, cấp chứng chỉ từ các hãng lớn trên thế giới như Entrust. Misoft cũng là nhà phân phối sản phẩm về hệ thống cấp phát chứng chỉ của EnTrust tại Việt Nam.
Misoft có khả năng cung cấp, chuyển giao các sản phẩm chứng chỉ số liên quan đến thương mại điện tử cho mọi mức độ khách hàng khác nhau, từ các hệ thống giao dịch nộ i bộ tới các hệ thống diện rộng, phân cấp, xác thực chéo. Misoft đã thực hiện cung cấp sản phẩm, đào tạo cho các khách hàng lớn như Ngân hàng Nhà nước, Bộ tài chính.
Song song với các hệ thống cấp phát chứng chỉ số, Misoft còn là nhà cung cấp giải pháp an toàn an ninh mạng nói chung và thương mại điện tử nói riêng. Các giải pháp chủ yếu tập trung vào các lĩnh vực như: dò tìm, đánh giá điểm yếu (Found Stone); các hệ thống tường lửa (CheckPoint); hệ thống phát hiện và phòng chống xâm nhập (Internet Security Systems); hệ thống phòng chống virus tập trung (TrendMicro). Các hệ thống này đã được kiểm chứng thực tế từ các khách hàng lớn như Công ty Thông tin Di dộng (VMS), Vietnam Airline, Ngân hàng Nhà nước, Ngân hàng Công Thương Việt Nam, Bộ Tài chính.
Hộp 1.7
Một hãng đi tiên phong trong lĩnh vực bảo mật
Entrust - một trong những hãng đi đầu về phát triển PKI.
Giải pháp của EnTrust không những đáp ứng đầy đủ các yêu cầu về hệ thống CA mà còn cung cấp thêm nhiều các ứng dụng của chứng chỉ số, tích hợp chúng trong các ứng dụng khác như e-mail, mã hoá file thư mục…
Các sản phẩm của Entrust tập trung cho việc nhận dạng và quản lý truy nhập bằng sử dụng xác thực mạnh, phân quyền, chữ ký điện tử và mã hoá các dịch vụ bảo mật cho các doanh nghiệp sử dụng giao dịch điện tử qua hệ thống mạng nội bộ, mạng WAN, mạng Internet, các dịch vụ Web, VPN. Chứng chỉ số do Entrust cung cấp tuân theo chuẩn X509 V3, ngoài ra còn tuân theo các chuẩn quốc tế về mã hoá như PKCS, RFC.
Công ty VASC đã xây dựng thành công hệ thống quản lý và cấp chứng chỉ số của mình từ tháng 4/2002 và từ 8/2002 đã chính thức phục vụ khách hàng. Chứng chỉ số VASC CA được dùng trong các giao dịch trên môi trường mạng hoặc Internet để:
- Chứng thực các đối tượng sử dụng
- Đảm bảo an toàn và bảo mật thông tin
- Cung cấp bằng chứng pháp lý nếu xảy ra tranh chấp
VASC CA cung cấp ba loại ch ứng chỉ số : chứng chỉ số cho cá nhân, chứng chỉ số cho máy chủ (server) và chứng chỉ số cho phát triển phần mềm.
Trung tâm tin học Nacencom đã nghiên cứu và triển khai thành công việc cấp và quản lý chứng chỉ số dùng thẻ thông minh “PKI SmartCard” cho các đối tượng tham gia trong môi trường giao dịch điện tử, bao gồm các cá nhân, tổ chức và các hệ thống TMĐT.
Thẻ thông minh PKI SmartCard của Nacencomm như một máy tính thu nhỏ, là một công cụ cơ động với kh ả năng chống giả mạo, an toàn cho các khoá mã hoá, khoá xác thự c và các thông tin nhậy cảm, hoạt động độc lập với máy tính trong xác thực, chữ ký điện tử và trao đổi khoá. Thẻ tuân theo chuẩn quốc tế ISO 7816, EN 726 -3 và hỗ trợ đ a ứng dụng. Cặp khoá được sinh bên trong thẻ, khoá riêng được bảo mật tuyệt đối trong thẻ vớ i thu ật toán mã hoá RSA 1024 bit. Thẻ được bảo vệ bằng PIN, hỗ trợ nhiều chứng thự c và cặp khoá lưu trong thẻ. Ngoài ra, thẻ h ỗ trợ giao tiếp với các hệ thống quản lý chứng thực số khác. Việc cấp chứng thực số tuân theo chuẩn X509 quy định cấu trúc của chứng thực số do Liên minh viễn thông quốc tế (ITU) ban hành.