Tại Việt Nam, các tổ chức và cá nhân đã và đang thực hiện ký số để xác minh cho các giao dịch điện tử như nộp thuế, hóa đơn điện tử, gửi báo cáo tài chính,…Trong phần này sẽ giới thiệu các mô hình các tổ chức tại Việt Nam đang sử dụng.
USB TOKEN – Chữ ký số
Có hình dạng như một chiếc USB nên được gọi là USB Token. Đây là thiết bị phần
cứng dùng đểlưu trữ khóa bí mật và chứng thư số của cá nhân, tổ chức – doanh nghiệp. Thông tin của cá nhân, tổ chức được mã hóa và sử dụng khóa cá nhân để bảo mật, một mã khóa công khai đểngười dùng có thể đăng nhập vào thiết bịmáy tính để ký số. Khi mã khóa công khai khớp với mã khóa cá nhân thì cá nhân, tổ chức đó sẽ có thể thực hiện ký số qua một thiết bị vật lý gọi là USB Token. Người dùng sử dụng USB Token thực hiện ký lên các văn bản khi đó chữ ký đó được gọi là chữ ký số.
USB Token là thiết bị đã mã hóa tất cả dữ liệu, thông tin của một doanh nghiệp, dùng ký thay cho chữ ký trên các loại văn bản và tài liệu số thực hiện trong giao dịch điện tử hay qua mạng internet.
Hình 1.11 – Mô hình ký số bằng USB Token
42
• Phần cứng - giống một chiếc USB (được gọi là USB token) và được bảo mật bằng mật khẩu hay còn gọi là mã PIN;
• Chứng thư số là phần không thể tách rời của chữ ký số, chứa tất cả dữ liệu đã được mã hóa của doanh nghiệp. Chứng thư số là phần mã hóa bên trong chữ ký số chứa đựng các thông tin định danh nhằm xác nhận cá nhân, doanh nghiệp nào là người sử dụng chữ ký số. Nội dung của chứng thư trong chữ ký số của doanh nghiệp gồm các thông tin cơ bản sau:
o Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số (ví dụ: VIETTEL-CA)
o Thông tin của doanh nghiệp mua chữ ký số như: Tên công ty, mã số thuế...
o Số hiệu của chứng thư số (số seri)
o Thời hạn có hiệu lực của chứng thư số
o Khóa công khai của doanh nghiệp được cấp chứng thư số
o Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số
o Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số
o Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số
o Thuật toán mật mã
o Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông
• Các thiết bị lưu khóa bí mật có thể kể đến như: USB Token, SmartCard, simcard, thẻ nhớ, …
• Khi gia hạn chữ ký số thì người dùng chỉ cần gia hạn chứng thư số, chứng thư số là một phần của chữ ký số. Hiện tại chứng thư số được cung cấp bởi các nhà cung cấp như: NewCA, BkavCA, Viettel, FPT, VNPT…
Chữ ký số trên thiết bịdi động – Mobile PKI (Mobile CA)
Là giải pháp thực hiện xác thực điện tử trên nền tảng di động sẽ trở thành nền tảng kỹ thuật để thực hiện các giao dịch điện tử có độ bảo mật cao như: e-Banking, e-Government, e- Commerce, e-Health, ….Thực hiện các xác thực điện tử trên nền tảng điện thoại di động bằng cách sử dụng PKI SIM card với chứng thư số công cộng làm công cụ định danh dựa trên hạ tầng mã hóa công khai PKI có khảnăng xác thực mạnh, chống giả mạo, chống chối bỏ, có tính pháp lý và được pháp luật nhà nước bảo hộ. Công nghệ Mobile PKI đã được các công ty viễn thông nghiên cứu, đưa vào triển khai đối với người dùng sử dụng SIM điện thoại.
43
Chứng thực chữ ký số mà khóa riêng và khóa công khai được lưu trữ trên SIM. Với SIM CA, người dùng có thể thực hiện ký điển tử ngay trên chiếc điện thoại di động của mình ở bất cứnơi nào có sóng di động. Chuẩn chữ ký sốPKCS#1, PKCS#7 được áp dụng cho kí số trên thiết bịdi động.
Hình 1.12 – Quy trình ký số bằng SIM PKI
44
Hình 1.14 – Phương thức cung cấp dịch vụ Mobile PKI
Trong triển khai dựa trên SIM PKI, việc tạo chữ ký đạt được bằng cách sử dụng bộ xử lý mã hóa trên thẻ SIM.
Hình 1.15 - Xử lý mã hóa ký số trên thẻ SIM trong SIM PKI
Yêu cầu ký số nhận được tại thiết bị di động của người dùng kích hoạt ứng
dụng "ký" trên thẻ SIM. Điều này cho phép hiển thị văn bản giao dịch trên màn hình thiết bị di động và cung cấp tùy chọn cho công dân nhập mã PIN ký tên của mình. Hành động nhập mã PIN ký chính xác sẽ bắt đầu tạo chữ ký di động trong thẻ SIM và truyền chữ ký đến dịch vụ chữ ký di động. Bằng cách nhập mã PIN ký chính xác, công dân được coi là đã xác nhận ý định của mình để tiến hành các chi tiết giao dịch được hiển thị trên màn hình thiết bị di động của họ.
45 MNO Nhà mạng di động AP 1 AP 2 AP 3 AP n CA 1 CA 2 CA 3 CA n RA 1 RA 2 RA 3 RA n Home MSSP Other MSSP Other MSSP Roaming MSSP Solution/System Other MSSP Other MSSP Other MSSP ETSI 102 204 - Giao diện tương tác AP và MSSP ETSI 102 207 - Chuyển vùng
ETSI 102 206 - Khung bảo mật
ETSI 102 207 - Yêu cầu chức năng nghiệp vụ
GSM
FIPS PUB 140-2 level 2 hay
Common Criteria (ISO/IEC 15408) level 4
SIM CA
Hình 1.16- Mô hình tổng quan giải pháp SIM PKI
Các thành phần chính gồm:
- MSSP: Nhà cung cấp dịch vụ chữ ký di động.
- AP: Nhà cung cấp ứng dụng.
- RA: Nhà cung cấp dịch vụ đăng ký sử dụng.
- CA: Nhà cung cấp dịch vụ chứng chữ ký số.
- SIM CA: Thiết bị thẻ thông minh trong thiết bị di động.
- MNO: Nhà mạng di động
Chữ ký số bằng thiết bị phần cứng chuyên dụng – Hardware Security Module (HSM)
HSM (Hardware Security Module) là một thiết bị điện toán vật lý có chức năng quản trị và bảo vệ các cặp khóa, chứng thư số cho các ứng dụng xác thực mạnh và xử lý mật mã. HSM thường được sản xuất dưới dạng một card PCI cắm vào máy tính hoặc một thiết bị độc
46
lập có kết nối mạng. Chữ ký số HSM là chữ ký số sử dụng công nghệ HSM để lưu trữ cặp hóa và sử dụng các giao thức mạng để truyền nhận và xử lý lệnh ký.
Xét về mặt bản chất thì chữ ký số HSM cũng mang nguyên lý hoạt động và chức năng tương tự như USB Token. Tuy nhiên nếu như USB Token được sử dụng như một loại hình offline thì chữ ký số HSM lại phát huy tính năng khi sử dụng trực tuyến.
Cụ thể, khi sử dụng chữ ký số HSM, người dùng được đăng ký và tạo lập một tài khoản như các trang mạng xã hội thông thường, sau đó thực hiện ký số trực tuyến qua mạng Internet. Còn đối với USB Token, khi người dùng muốn sử dụng, họ phải cắm trực tiếp USB Token vào đầu nối tương thích.
Như vậy, có thể dễ dàng nhận thấy chữ ký số HSM có một điểm ưu việt hơn cả, đó chính là không cần mang theo bên người mỗi khi sử dụng như USB Token. HSM phù hợp với các tổ chức, doanh nghiệp cần ký nhiều và nhanh (có thể ký tự động)
Hình 1.17 – Mô hình ký số thông qua thiết bị chuyên dụng HSM Điểm giống nhau giữa USB Token và HSM:
47
Thiết bị USB Token và HSM đều tạo ra môi trường lưu trữ và tính toán cách ly an toàn và không thể nhân bản được nên không thể bị sao chép hoặc làm giả. Chất lượng an toàn mật mã của HSM và USB Token được đánh giá tuân theo các tiêu chuẩn quốc tế như Tiêu chuẩn Modul mật mã an toàn (FIPS 140 – 2) và Tiêu chí chung (Common Criteria – CC) hay Tiêu chuẩn ISO/IEC 15408.
Điểm khác nhau giữa USB Token và HSM:
TT USB Token HSM
1
Ký số theo mô hình phân tán tại client. Người dùng bắt buộc phải luôn mang theo thiết bị bên mình.
Ký số tập trung, người dùng không phải mang thiết bị ký số như USB Token. 2
Tại một thời điểm chỉ có 01 người sử dụng, không thể phân quyền rộng rãi và chi tiết cho từng bộ phận sử dụng.
Nhiều bộ phận thực hiện ký số cùng lúc, phân quyền sử dụng cho các bộ phận liên quan dễ dàng.
3 Ký số lần lượt và tốc độ ký chậm, ~ 4-5 hóa đơn/phút.
Ký số tốc độ cao & ký đồng thời đảm bảo nguyên tắc số hóa đơn liền dãy – liên tục theo trình tự thời gian, tốc độ lên đến 1,500 hóa đơn/giây.
Bảng 1.2 – Điểm khác nhau giữa USB Token và HSM
Chữ ký số từ xa
Chữ ký số từ xa (Remote Signing) có một số tên gọi khác như chữ ký online, chữ ký số di động,… Loại chữ ký số này sử dụng nền tảng chính là hệ thống đám mây của nhà cung cấp để ký. Nhờ đó, người dùng không cần sử dụng thêm phần cứng như chữ ký số USB Token hay SIM Card,… Ngoài ra, khi sử dụng chữ ký số từ xa, người dùng có thể ký ngay trên các thiết bị điện tử như điện thoại hoặc máy tính bảng, máy tính để bàn.
Hiện nay, chữ ký số từ xa muốn đảm bảo yêu cầu về an toàn bảo mật thì phải đáp ứng được tiêu chuẩn châu Âu eIDAS. eIDAS là quy định về “Định danh, xác thực điện tử và dịch vụ tin cậy” dành cho Liên minh châu Âu, được coi là bộ quy định hoàn chỉnh nhất về định danh số. Với quy định này, các tổ chức hoặc cá nhân tại châu Âu có thể sử dụng hệ thống định danh cấp quốc gia (eID) để xác thực danh tính khi thực hiện các giao dịch điện tử hoặc dịch vụ công tại các quốc gia thành viên sử dụng eID. Theo eIDAS, nếu chữ ký số thông thường phải sử dụng khóa bí mật được lưu trên thiết bị của người dùng (USB) để tạo chữ ký, thì chữ ký số từ xa chỉ cần thông qua nhà cung cấp dịch vụ chữ ký số ủy thác (TSP – Trust Service
48
Provider) để tạo và quản lý từ xa các khóa này dưới sự ủy quyền của người sử dụng. Theo đó, người ký sẽ phải chứng minh danh tính chính xác cho các đơn vị TSP để có thể tạo được chữ ký số ngay trên thiết bịdi động.
Nguyên lý hoạt động của chữ ký số theo tiêu chuẩn eIDAS như sau: mỗi đơn vị/cá nhân sử dụng chữ ký số sẽ được cấp một ID số dựa theo chứng thư số được xác thực bởi nhà cung cấp dịch vụ chữ ký số ủy thác TSP. Người ký sẽ xác thực mọi giao dịch ký liên quan đến khóa bí mật của mình bằng cách sử dụng ID và mã PIN cá nhân để xác minh danh tính thông qua thiết bịđiện thoại/máy tính. Khi đó, ứng dụng chữ ký số sẽ tạo một thông báo xác minh quyền truy cập chữ ký số được liên kết mật mã với tài liệu được ký, ID của người ký và mã PIN. Thông báo xác minh quyền truy cập này sẽđược ký bằng khóa bí mật lưu trữ trong một con chip chống giả mạo của nhà cung cấp dịch vụ TSP (mô hình nền tảng ký số điện tử từ xa sẽ được trình bày chi tiết tại chương 2).
Trên các phương pháp sử dụng chữ ký số điện tử và để có hướng đi nghiên cứu, tìm hiểu sau đây là so sánh tất cả các quy trình hoạt động của CA theo mô hình chữ ký số truyền thống và mô hình chữ ký số sử dụng máy chủ ký (remote signing):
Quy trình hoạt động của CA mô hình chữ ký số truyền thống
Quy trình hoạt động của CA mô hình chữ ký điện tử từ xa (remote signing)
- Máy chủ cấp và quản lý CTS: sử dụng tất cả các hệ thống (Microsoft CA, EJBCA…)
- Máy chủ cấp và quản lý CTS: sử dụng tất cả các hệ thống (Microsoft CA, EJBCA…) - Lưu trữ khóa riêng của CA trên tất cả các
loại HSM (Utimaco, nCipher, SafeNet…) - Lưu trữ khóa riêng của CA trên tất cả các loại HSM (Utimaco, nCipher, SafeNet…) - Cơ chế sinh khóa đơn trên thiết bị lưu trữ
khóa người dùng (token, smartcard, sim…)
- Cơ chế sinh khóa phức trên HSM (server) và xác thực từ thiết bị di động cá nhân (client), có sự liên kết logic chặt chẽ giữa các thành phần của khóa)
- Công bố chứng thư sử dụng LDAP, AD - Công bố chứng thư sử dụng LDAP, AD - Ký số và xác thực theo mô hình khóa đơn - Ký số và xác thực theo mô hình ký server, có sự xác thực từ thiết bị di động cá nhân - Chứng thực theo CRL, OCSP - Chứng thực theo CRL, OCSP
49 - Thu hồi chứng thư theo hệ thống quản lý chứng thư
- Thu hồi chứng thư theo hệ thống quản lý chứng thư
Bảng 1.3 – So sánh quy trình hoạt động giữa chữ ký truyền thống và chữ ký điện tử từ xa
Mô tả USB Token Chữ ký số điện tử từ xa
Cần thiết bị phần cứng Có Không
Ký số online Không Có
Thông tin khoá bí mật Do người dùng nắm giữ Người dùng uỷ quyền cho nhà cung cấp bảo vệ Tính phổ biến Phổ biến, được sử dụng nhiều Chưa phổ biến, mới có số ít nhà cung cấp nghiên cứu và phát triển
Chi phí Phí thuê bao + phí USB Token Phí thuê bao
Bảng 1.4- So sánh giữa việc sử dụng chữ ký số bằng USB Token và Chữ ký số điện tử từ xa
Từ các bảng so sánh nhận thấy các phương pháp đều có ưu và nhược điểm, phương pháp dùng usb token/smart card, Sim PKI mang tính cá nhân hóa khi ký số nhưng bất tiện phải đi kèm thiết bị, còn phương pháp HSM với chi phí phần cứng cao cũng như khảnăng mở rộng và nâng cấp bị hạn chế, còn phương pháp ký số điện tử từ xa tiện lợi có thể sử dụng cùng với thiết bị HSM hoặc không sử dụng có tính mở rộng cao và kết hợp với các phương pháp xác thực khác như Google Authenticator/F2A/OTP/Smart OTP.