Chương 2 : HẠ TẦNG MOBILE PKI
2.3. BẢO MẬT TRONG MOBILE PKI
PKI được áp dụng trong nhiều lĩnh vực về công nghệ thông tin, bao gồm cả an ninh mạng, an ninh hệ điều hành, bảo mật dữ liệu ứng dụng và quản lý
quyền số hóa (DRM – Digital Rights Management). Do đó, các chuẩn liên quan
tới di động đã áp dụng PKI như là một yếu tố nền tảng trong việc xây dựng an ninh cho môi trường không dây trong tương lai.
Mật mã khóa cơng khai được biết đến là một kỹ thuật có trong các chuẩn, cho phép các biện pháp phòng ngừa, bằng cách cung cấp:
- Mã hóa – cho phép che giấu thơng tin được truyền tải giữa hai bên. Người gửi mã hóa thơng tin sau đó gửi đi, và người nhận giải mã thơng tin trước khi đọc nó. Thơng tin trong trung chuyển không cho kẻ nghe lén hiểu được.
- Tính tồn vẹn (phát hiện giả mạo)- Cho phép người nhận thông tin xác nhận rằng một bên thứ ba đã thay đổi thông tin trong khi trung chuyển. Dữ liệu bị sửa đổi trái phép trong giao dịch.
- Xác thực – cho phép người nhận thông tin xác minh nguồn gốc của thông tin, xác thực các đối tượng giao dịch.
- Chống chối bỏ - ngăn chặn người gửi thông tin chối bỏ giao dịch, chối bỏ hành động gửi dữ liệu, ký dữ liệu, sửa dữ liệu, …
Mặc dù hệ thống MobilePKI được coi là một giải pháp cho vấn đề an ninh và xác thực hiện nay, nhưng bản thân hệ thống cũng như cơ chế, mơ hình hoạt động của nó vẫn cịn nhiều sơ hở. Các sơ hở này thường không phải do cơ chế mật mã học mà do các nhân tố chủ quan và khách quan khác nhau, trong đó phải
kể đến yếu tố con người. Một hệ thống MobilePKI về cơ bản vẫn tồn tại một số rủi ro về bảo mật, ví dụ như mất khóa cá nhân, giả mạo khóa cá nhân, giả mạo định danh chủ thể.
Bảo mật khóa cá nhân: trong hệ thống MobilePKI hiện nay, khóa cá nhân được lưu trữ trên smartcard, thiết bị di động … và phương tiện này được bảo vệ truy cập bằng một mật khẩu có độ dài từ 6 đến 8 ký tự, độ an toàn của người dùng phụ thuộc vào mật khẩu này. Cơ chế đảm bảo an tồn cho khóa cá nhân bằng mật khẩu khơng thể hiện được tính chống phủ nhận trong mật mã học. Bản thân mật khẩu có nhiều nguy cơ dễ bị lộ, bị mất bởi virus, bị đánh cắp. Bảo mật khóa cá nhân là vấn đề quan trọng trong hệ thống MobilePKI cũng là điểm yếu trong hoạt động của các hệ PKI truyền thống.
Giả mạo khóa cơng khai: trong trường hợp khóa này được bảo vệ bằng chữ ký của CA, tức là được kiểm tra bằng khóa cơng khai của CA, có nguy cơ kẻ tấn cơng thay thế khóa của CA trên máy người dùng, sau đó thay thế khóa cơng khai của người dùng bằng khóa giả. Giả mạo khóa cơng khai dẫn đến lộ thông tin trong hệ thống.
Định danh người dùng: Chứng thư số có chứa tên của người dùng và phải có thêm các thơng tin bổ sung để tránh trường hợp định danh sai do các thông tin cá nhân của người dùng trùng nhau.
Một số giải pháp đã được các công ty nghiên cứu và đưa ra thị trường gần đây nhằm bảo vệ cho các giao dịch thương mại điện tử.
Giải pháp SoftToken đã được nghiên cứu và cung cấp chính thức, cho phép người dùng sử dụng chứng thư số của mình dễ dàng và an tồn ngay trên mobile phone.
Giải pháp lõi về chữ ký số của Bkav bao gồm: hệ thống xác thực tập trung OCSP, hệ thống cấp phát chữ ký số SubRA và hệ thống ký số tập trung SignServer. Các hệ thống được tích hợp một cách trong suốt vào nghiệp vụ chứng khoán điện tử và Internet Banking, do đó mọi giao dịch trực tuyến trên hệ thống được xác thực và bảo mật.
Chữ ký số là giải pháp đã được công nhận về tính pháp lý, có thể giải quyết triệt để các nguy cơ an ninh trong giao dịch trực tuyến. Do đó, hầu hết các ngân hàng và công ty chứng khoán đã sử dụng chữ ký số thay thế cho các phương thức xác thực mật khẩu 1 lần như OTP SMS và OTP token, vốn tiềm ẩn rủi ro cao trong các giao dịch trực tuyến.