Để áp dụng vào thực tế một cách đầy đủ và hiệu quả nền tảng ký số điện tử từ xa trên cho toàn bộ quá trình hoạt động của doanh nghiệp và tích hợp với toàn bộ các phần mềm của tổ chức thì vẫn cần thêm thời gian để thực hiện nghiên cứu một số vấn đề:
87
- Tự động hóa được khai báo và thiết lập toàn bộ chữ ký của người dùng. - Phát triển, bổ sung các chức năng cho mô đun API ký số điện tử và API phần
mềm ứng dung trong tổ chức.
- Phát triển thêm các tính năng nâng cao như giám sát toàn bộ quá trình trình ký qua nhiều cấp; xác thực chữ ký điện tử trong file văn bản là thật hay giả; tích hợp với các máy đọc hộ chiếu hay thẻ căn cước công dân (chuẩn ICAO); là một hệ thống xác thực trong tổ chức cho mọi giao dịch;…
- Luồng xác minh lại chữ ký số trong văn bản: người dùng gửi tài liệu đã có ký số của chủ thể cần xác minh đưa lên hệ thống, sau đó hệ thống kiểm tra chữ ký của chủ thể trong tài liệu có trùng với chữ ký có sẵn trong hệ thống không để xác minh tính hợp lệ của chữ ký. Nếu chữ ký trong tài liệu không hợp lệ sẽ báo thông báo. - Ký số đóng dấu thời gian timestamp kèm xác thực lâu dài (Long-term Validation –
LTV) đảm bảo tính toàn vẹn, chống chối bỏ, xác thực và lưu trữ điện tử lâu dài từ 5 năm, 10 năm, 20 năm hay vĩnh viễn: xác thực lâu dài LTV được hiểu là quá trình chứng thực tài liệu điện tử nhằm đảm bảo về hiệu lực của chữ ký số tại thời điểm ký, thông qua cú pháp bản tin mã hóa - Cryptographic Message Syntax (CMS) và định dạng nâng cao của Public Key Infrastructure (PKI). Hệ thống xác định chính xác mốc thời gian ký thông qua dấu thời gian điện tử đính kèm. Không có LTV, các văn bản điện tử sẽ bị giới hạn về thời gian xác thực, đồng thời trở nên vô hiệu khi Nhà cung cấp dịch vụ chứng thực (CA) dừng cung cấp dịch vụ. Công nghệ này cho phép người dùng gắn kèm nhiều TimeStamp và dữ liệu xác thực lên các chữ ký trên cùng một tệp PDF. Điều này có thể được lặp lại nhiều lần, mở rộng khả năng xác thực ngay cả khi chứng thư số gốc đã bị hết hạn hoặc thu hồi.
Kết luận: để lựa chọn một hướng mới và mang lại giá trị cho doanh nghiệp hoặc tổ
chức đang áp dụng phương pháp ký số truyền thống sẽ đòi hỏi thực hiện nghiên cứu nhiều vấn đềđể có thể thực hiện thành công. Do thời gian thực hiện luận văn không có nhiều cũng như kiến thức lý thuyết và khả năng thực nghiệm của tôi còn chưa tốt, nên các phần trình bày, các kết quả chưa đủ sâu sắc. Trong tương lai, cùng với việc thử nghiệm và hoàn thiện triển khai thực tế nền tảng ký số điện tử từ xa cho các giao dịch trên Internet cũng như nghiên cứu các vấn đềtheo định hướng phát triển, tôi sẽ tiếp tục cập nhật kết quả thêm cho nội dung này.
88
PHỤ LỤC A – KIỂM THỬ SIGN SERVER SAU KHI CÀI ĐẶT
Mục đích của phần này: sau khi cài đặt máy chủ ký số điện tử, tiến hành truy cập từ máy tính (hệ điều hành Windows 10) vào quản trị của máy chủ ký số điện tử - Sign Server
1- Đăng ký 1 SSL miễn phí tại: https://zerossl.com/ 2- Tạo file jks: mật khẩu của file là xmKeystore
PKCS # 12 (còn được gọi là PKCS12 hoặc PFX) là định dạng nhị phân để lưu trữ chuỗi chứng chỉ và khóa riêng trong một tệp mã hóa duy nhất. Các tệp PKCS # 12 thường được sử dụng để nhập và xuất chứng chỉ và khóa riêng trên máy tính Windows và macOS và thường có phần mở rộng tên tệp .p12 or .pfx.
OpenSSL là một bộ công cụ dòng lệnh mã nguồn mở để làm việc với X, 509 chứng chỉ, yêu cầu ký chứng chỉ (CSRs) và các khóa mật mã (sử dụng được trên Linux hoặc macOS, OpenSSL có thể đã được cài đặt trên máy tính Windows bằng cách cài đặt Cygwin). Có thể tạo tệp PKCS # 12 với openSSL.
Lưu chứng chỉ và khóa riêng vào tập tin - Bước 1: Tạo PFX hoặc P12 file
openssl pkcs12 -export -out signserver.erpvn.biz.pfx -inkey signserver.erpvn.biz.key -in signserver.erpvn.biz.crt -certfile INTERMEDIATE_CA.crt -name myAlias
Pass: mypassword (mật khẩu: xmKeystore) - Bước 2: Tạo JKS file từ PFX hoặc P12
keytool -importkeystore -srckeystore domainname.pfx -srcstoretype pkcs12 -srcalias myAlias -srcstorepass mypassword -destkeystore domainname.jks -deststoretype jks - deststorepass mypassword -destalias myalias
3- Sinh được file (đặt tên file keystore.p12
91
4- Truy cập kiểm thử máy chủ ký sốđiện tử (sign server)
https://103.74.121.154:8443/signserver/adminweb/
93
PHỤ LỤC B. THAM KHẢO DANH MỤC TIÊU CHUẨN ÁP DỤNG CHỮ KÝ SỐ THEO MÔ HÌNH KÝ SỐĐIỆN TỬ TỪ XA TẠI VIỆT NAM
Ban hành kèm theo Thông tư số 16/2019/TT-BTTTT ngày 05 tháng 12 năm 2019 của Bộ trưởng Bộ Thông tin và Truyền thông [1]
TT Loại
tiêu chuẩn tiêu cKý hiệuhuẩn của tiêu chuẩnTên đầy đủ Quy định áp dụng
1 Tiêu chuẩn mật mã và chữ ký số
1.1
Mật mã phi đối xứng và chữ ký số
PKCS#1 RSA Cryptography Standard - Áp dụng một trong hai tiêu chuẩn.
- Đối với tiêu chuẩn RSA: + Phiên bản 2.1
+ Áp dụng lược đồ RSAES- OAEP để mã hoá và RSASSA- PSS để ký.
+ Độ dài khóa tối thiểu là 2048 bit
- Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu là 256 bit ANSI X9.62-
2005
Public Key Cryptography for the Financial Services
Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA) 1.2 Mật mã đối xứng TCVN 7816:2007 (FIPS PUB 197)
Công nghệ thông tin - Kỹ thuật mật mã - Thuật toán mã
hóa dữ liệu AES Áp dụng một trong hai tiêu chuẩn
NIST 800-67
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
1.3 Hàm băm an toàn
FIPS PUB
180-4 Secure Hash Standard
Áp dụng một trong các hàm băm sau: SHA-224, SHA-256, SHA-384, SHẠ-512, SHA-512/224, SHA-512/256, SHA3-224. SHA3-256 SHA3-384, SHA3-512, SHAKE128, SHAKE256 FIPS PUB 202
SHA-3 Standard: Permutation- Based Hash and Extendable- Output Functions
94 2.1 Định dạng chứng thư số và danh sách thu hồi chứng thư số RFC 5280
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
2.2 Cú pháp thông điệp mật mã PKCS #7 Cryptographic Message Syntax Standard Phiên bản 1.5 2.3 Cú pháp yêu cầu
chứng thực PCKS#10 Certification Request Syntax Standard Phiên bản 1.7 2.4 Cú pháp thông tin
khóa riêng PKCS #8
Private-Key Information
Syntax Standard Phiên bản 1.2 2.5
Giao diện giao tiếp với các thẻ
mật mã PKCS#11
Cryptographic token interface
standard Phiên bản 2.20
2.6 Cú pháp trao đổi
thông tin cá nhân PKCS #12
Personal Information
Exchange Syntax Standard Phiên bản 1.0
3 Tiêu chuẩn chính sách và quy chế chứng thực chữ ký số
3.1 Khung quy chế chứng thực và chính sách chứng thư RFC 3647
Internet X.509 Public Key Infrastructure - Certificate Policy and Certification Practices Framework
4 Tiêu chuẩn giao thức lưu trữ và truy xuất chứng thư số
4.1
Lược đồ Giao thức truy nhập thư mục
RFC 2587
Internet X.509 Public Key Infrastructure LDAPv2 Schema
Áp dụng một trong hai tiêu chuẩn
RFC 4523
Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates
4.2 Giao thức truy nhập thư mục
RFC 2251 Lightweight Directory Access Protocol (v3)
Áp dụng tiêu chuẩn RFC 2251 hoặc bộ bốn tiêu chuẩn:
RFC 4510, RFC 4511, RFC 4512, RFC 4513 RFC 4510
Lightweight Directory Access Protocol (LDAP): Technical specification Road Map
RFC 4511
Lightweight Directory Access Protocol (LDAP): The
Protocol
RFC 4512
Lightweight Directory Access Protocol (LDAP): Directory Information Models
95 RFC 4513
Lightweight Directory Access Protocol (LDAP):
Authentication Methods and Security Mechanisms
5 Tiêu chuẩnkiểm tra trạng thái chứng thư số
5.1 Giao thức truyền, nhận chứng thư số và danh sách chứng thư số bị thu hồi RFC 2585
Internet X.509 Public Key Infrastructure - Operational Protocols: FTP and HTTP
Áp dụng một hoặc cả hai giao thức FTP và HTTP 5.2 Giao thức cho kiểm tra trạng thái chứng thư số trực tuyến RFC 2560; RFC 6960 ; RFC 5019
X.509 Internet Public Key Infrastructure - Online Certificate status protocol (OCSP)
6 Tiêu chuẩn bảo mật cho modun bảo mật cứng - HSM quản lý khóa bí mật của tổ chức cung
cấp dịch vụ chứng thực chữ ký số
6.1
Yêu cầu an ninh đối với khối an ninh phần cứng HSM
FIPS PUB 140-2
Security Requirements for Cryptographic Modules
- Áp dụng một trong hai tiêu chuẩn.
- Đối với tiêu chuẩn FIPS PUB 140-2:
Yêu cầu tối thiểu mức 3 (level 3)
EN 419221- 5:2018
Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for
7 Tiêu chuẩn hệ thống thiết bị quản lý khóa bí mật, chứng thư số và tạo chữ ký số của khách
hàng 7.1 Yêu cầu chính sách và an ninh cho máy chủ ký số ETSI TS 119 431-1
Electronic Signatures and Infrastructures (ESI); Policy and security
requirements for trust service Áp dụng cả bộ tiêu chuẩn 2 phần; Phiên bản V1.1.1 (12/2018) ETSI TS 119 431-2
Electronic Signatures and Infrastructures (ESI); Policy and security
7.2 Giao thức tạo chữ ký số ETSI TS 119 432
Electronic Signatures and Infrastructures (ESI); Protocols for remote digital
Phiên bản V1.1.1 (03/2019)
7.3 Ứng dụng ký trên
máy chủ ký số EN 419241-1:2018
Trustworthy Systems
Supporting Server Signing - Part 1: General system security requirements
7.4 Yêu cầu cho
module ký số EN419241- 2:2019
Trustworthy Systems
Supporting Server Signing - Part 2: Protection Profile for QSCD for Server
96 7.5
Yêu cầu an ninh đối với khối an ninh phần cứng HSM
EN 419221- 5:2018
Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services
97
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Thông tư 16/2019/TT-BTTTT áp dụng đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng, tổ chức cung cấp dịch vụ chứng thực chữ ký sốnước ngoài có chứng thư sốđược Bộ TT&TT công nhận tại Việt Nam cung cấp dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa; Tổ chức, cá nhân phát triển ứng dụng sử dụng chữ ký số, cung cấp giải pháp chữ ký số theo mô hình ký số trên thiết bịdi động và ký số từ xa. 2. Giáo trình Cơ sơ an toàn thông tin – PGS Nguyễn Khanh Văn – Nhà xuất bản Bách Khoa
Hà Nội;
Tiếng Anh
3. W. Diffie and M. E. Hellman, “New directions in cryptography,” Information Theory, IEEE Transactions on, vol. 22, no. 6, pp. 644–654, 1976.
4. R. L. Rivest, A. Shamir, and L. Adleman, “A method for obtaining digital signatures and public-key cryptosystems,” Commun. ACM, vol. 21, no. 2, pp. 120–126, Feb. 1978. [Online]. Available: http://doi.acm.org/10.1145/359340.359342
5. http://www.cs.miami.edu/home/burt/learning/Csc609.142/ecdsa-cert.pdf
6. The European Parliament and the Concil of the European Union, “Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures,” Official Journal of the European Communities, vol. L12, pp. 12–20, 2000. [Online]. Available: http://europa.eu.int/eur-ex/pri/en/oj/dat/2000/l 013/l 01320000119en00120020.pdf
7. https://www.etsi.org/
8. ETSI TS 119 432 V 1.1.1 (2019-03): Electronic Signatures and Infrastructures (ESI); Protocols for Remote Digital Signature Creation.
9. ETSI TS 119 431-1 V 1.1.1 (2018-12): Electronic Signatures and Infrastructures (ESI); Policy and Security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev.
10.ETSI TS 119 431-2 V 1.1.1 (2018-12): Electronic Signatures and Infrastructures (ESI); Policy and Security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation.
11.EN 419 241-1: Trustworthy Systems Supporting Server Signing Part 1, General System Security Requirements, CEN February 2018.
12.EN 419 241-2: Trustworthy Systems Supporting Server Signing Part 2, Protection Profile for QSCD for Server Signing, CEN April 2019.
13.PP (Protection Profile) 419 221 -5: Protection profiles for TSP Cryptographic modules - Part 5 Cryptographic Module for Trust Services
98
14.ETSI TS 119 432: Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation
(https://www.etsi.org/deliver/etsi_ts/119400_119499/119432/01.01.01_60/ts_119432v01
0101p.pdf)
15.Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev
(https://www.etsi.org/deliver/etsi_ts/119400_119499/11943101/01.02.01_60/ts_1194310
1v010201p.pdf)
16. RFC 6960 - X.509 Internet Public Key Infrastructure - Online Certificate Status Protocol – OCSP.
17.RFC 5019 - The Lightweight Online Certificate Status Protocol (OCSP) Profile for High- Volume Environments.
18.Cryptomathic: Introducing the Signature Activation Protocol for Remote Server Signing
https://www.cryptomathic.com/news-events/blog/introducing-the-signature-activation-
protocol-for-remote-server-signing
19.Qatar CERT Qatar Public Key Infrastructure Section: Electronic Signature - Overview & Specification
https://www.qcert.org/sites/default/files/public/documents/electronic_signature_overview __specification_v1.0.pdf
20.R. L. Rivest, A. Shamir, and L. Adleman, “A method for obtaining digital signatures and public-key cryptosystems,” Commun. ACM, vol. 21, no. 2, pp. 120–126, Feb. 1978. [Online]. Available: http://doi.acm.org/10.1145/359340.359342
21.Cryptographic Message Syntax (CMS) - https://datatracker.ietf.org/doc/html/rfc5652 22.CMS Advanced Electronic Signatures (CAdES) -
https://datatracker.ietf.org/doc/html/rfc5126 23.EldoS, “CAdES and Digital Signatures,”
https://www.eldos.com/security/articles/7031.php?page=all, online; accessed 18- November-2014
24.ISO, ISO 32000-1:2008. Document management — Portable document format — Part 1: PDF 1.7, 2008. [Online]. Available: http://www.iso.org/iso/iso catalogue/catalogue tc/catalogue detail.htm?csnumber=51502
25.H. Brzica, B. Herceg, and H. Stanci ˇ c, “Long-term Preservation of Validity of Electronically Signed ´Records,” electronic form only:: NE, 2013
26.Adobe, “Adobe Reader,” https://www.adobe.com/, online; accessed 19-November-2014.
Nền tảng ký sốđiện tử từ xa 27.https://www.primekey.com 28.https://download.primekey.se/docs/SignServer- Enterprise/5.0.0.Beta1/SignServer_Installation.html#src-34570254_safe-id- aWQtLlNpZ25TZXJ2ZXJJbnN0YWxsYXRpb252NS4wLjAtOSlEZXBsb3lTaWduU2V ydmVy
99