Tính pháp lý và ứng dụng chữ ký số trong và ngoài nước

Một phần của tài liệu chữ ký số và các vấn đề bảo mật thông tin (Trang 73 - 88)

4. Tổng quan luận văn

2.5.1 Tính pháp lý và ứng dụng chữ ký số trong và ngoài nước

2.5.1.1 Trong nước

Hành lang pháp lý:

- Luật giao dịch điện tử ngày 29/11/2005 (có hiệu lực từ 1/3/2006). Luật giao dịch điện tử quy định về thông điệp điện tử, chữ ký số và chứng thực chữ ký số; giao kết và thực hiện hợp đồng điện tử; giao dịch điện tử của cơ quan nhà nƣớc; an ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử; giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử...

- Nghị định 26/2007/NĐ-CP, ngày 15/2/2007, quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Nghị định này quy định chi tiết về Chữ ký số và Chứng chỉ số; việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số. Áp dụng đối với cơ quan, tổ chức cung cấp dịch vụ chứng thực chữ ký số và cơ quan, tổ chức, cá nhân lựa chọn sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong giao dịch điện tử.

- Nghị định 64/2007/NĐ-CP, ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nƣớc. Tại Nghị định này (Điều 40) cũng quy định việc sử dụng chữ ký số trong các giao dịch điện tử của các cơ

quan nhà nƣớc.

Tình hình ứng dụng chữ ký số và thực chữ ký số trong nước:

Trong thời gian qua tại Việt Nam đã có một số đơn vị cung cấp và thử nghiệm dịch vụ chứng thực chữ ký số - CA (Certificate Authority) công cộng nhƣ công ty truyền thông VASC, công ty Điện toán và truyền số liệu VDC, CA của VDC là đại lý cho CA của công ty VeriSign. Ngoài ra còn một số đơn vị cũng thử nghiệm xây dựng các CA nội bộ: Trung tâm tin học Bộ Khoa học Công nghệ, Ban Cơ yếu chính phủ, Vụ Thƣơng mại điện tử - Bộ Thƣơng mại, Sở khoa học công nghệ tỉnh Đồng Nai, Sở Bƣu chính viễn thông TP. Hồ Chí Minh, Ngân hàng Nhà nƣớc Việt Nam ... Các ứng dụng sử dụng chứng thực chữ ký số ở Việt Nam chủ yếu là ký vào dữ liệu điện tử, thƣ điện tử bảo đảm, xác thực chứng thực chữ ký số quyền truy nhập, thanh toán điện tử.

Một số đơn vị đã triển khai sử dụng chữ ký số:

- Ngân hàng Thƣơng mại Cổ phần Á Châu (ACB) từ tháng 9/2003 đã hợp tác với Công ty VASC trong việc cung cấp dịch vụ chứng thực chữ ký số dịch vụ Homebanking của ACB.

- Sở Khoa học - Công nghệ Đồng Nai đã thành công trong chƣơng trình chế tạo khóa an toàn USK (Usb Security Key) và ứng dụng chữ ký số, để vận hành văn phòng điện tử, các file văn bản đƣợc gửi, nhận bằng cách truyền trên mạng nội bộ, mạng diện rộng và Internet, đòi hỏi phải đƣợc xác thực nguyên bản và mã hóa đối với thông tin cần bảo mật.

- Bộ Thƣơng mại (từ tháng 8/2006) đã triển khai sử dụng chữ ký số và giao cho Vụ Thƣơng mại điện tử chịu trách nhiệm cung cấp dịch vụ chứng thực chữ ký số.

đã triển khai sử dụng chữ ký số trong giao dịch, trở thành cơ quan nhà nƣớc đầu tiên tại thành phố sử dụng chữ ký điện tử đối với các văn bản số. Mỗi chuyên viên của sở sẽ đƣợc cấp một thẻ thông minh chứa chữ ký số đƣợc chứng thực bởi Trung tâm chứng thực Sở Bƣu chính Viễn thông.

- Ngân hàng Vietcombank (từ 5/2007), Ngân hàng Đông Á (từ 9/2007) đã sử dụng dịch vụ chứng thực số của Verisign trong các giao dịch trực tuyến.

- Ngân hàng Nhà nƣớc Việt Nam đã xây dựng hệ thống chữ ký số, chứng thực số và ban hành các quy chế hoạt động từ tháng 2/2008.

- Bộ Thông tin - Truyền thông đã lần lƣợt cấp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng cho VNPT, Nacencomm, Bkav và Viettel, Công ty cổ phần hệ thống thông tin FPT (FPT IS) .

2.5.1.2 Ở một số nước trên thế giới

- Ở các nƣớc phát triển nhƣ Mỹ, Canada …hệ thống chứng thực số đã khá hoàn thiện, với một hệ thống chính phủ điện tử hiện đại, việc quản lý sinh/tử, cấp hộ khẩu, công chứng, v.v...đã có thể thực hiện hoàn toàn thông qua mạng, đặc biệt những năm gần đây dịch vụ chứng thực chữ ký số (CA) ngày càng phát triển. Một số CA nổi tiếng có thể kể đến nhƣ CA của các công ty VeriSign, WISeKey, eTrust,... có chi nhánh tại rất nhiều nƣớc trên thế giới.

- Ở các nƣớc trong khu vực dịch vụ chứng thực chữ ký số phát triển khá mạnh. Nhật Bản đã ban hành Luật về chữ ký điện tử và các dịch vụ chứng thực vào năm 2001.

- Hàn Quốc ban hành luật chữ ký điện tử vào năm 1999 và sửa đổi vào năm 2001. Hiện nay Hàn Quốc có 6 CA đƣợc cấp phép hoạt động.

- Hồng Kông ban hành sắc lệnh về giao dịch điện tử vào năm 2000. - Đài Loan ban hành luật chữ ký số vào năm 2001.

cấp phép hoạt động.

- Singapore ban hành luật giao dịch điện tử vào năm 1998 và Quy định về giao dịch điện tử cho các CA vào năm 1999.

- Thái Lan ban hành luật giao dịch điện tử năm 2001. Hiện nay chứng thực chữ ký số đƣợc sử dụng trong khá nhiều ứng dụng, theo số liệu điều tra gần đây của tổ chức thúc đẩy các tiêu chuẩn thông tin theo cấu trúc OASIS (Organization for the Advancement of Structured Information Standards) , 13,2% dùng trong thƣơng mại điện tử, 9,1% sử dụng để bảo vệ WLAN, 8% sử dụng bảo đảm an toàn cho các dịch vụ Web, 6% sử dụng bảo đảm an toàn cho Web Server, 6% sử dụng trong các mạng riêng ảo (VPN). Ngoài ra chứng thực điện tử còn đƣợc sử dụng trong một số ứng dụng khác

2.5.1.3 Ứng dụng trong thực tế

Dựa trên các tính năng cơ bản của chữ ký số là: Tính xác thực, tính bảo mật, tính toàn vẹn dữ liệu, tính chống chối bỏ trong việc thực hiện các giao dịch điện tử qua mạng, cũng nhƣ các thủ tục hành chính với cơ quan pháp quyền, nên chữ ký số đƣợc sử dụng trong các công việc nhƣ: ký vào văn bản, tài liệu điện tử; bảo mật thƣ điện tử; bảo đảm an toàn cho Web Server (thiết lập kênh trao đổi bảo mật giữa Web client và Web server trên Internet)

Đây chính là nền tảng của Chính phủ điện tử, môi trƣờng cho phép công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nƣớc hoàn toàn qua mạng. Có thể nói, chữ ký số là một phần không thể thiếu của Chính phủ điện tử.

Lƣợc đồ chữ ký RSA và lƣợc đồ chữ ký chuẩn DSA là hai lƣợc đồ đƣợc dùng phổ biến nhất trong các ứng dụng bảo mật do có độ an toàn và hiệu quả thực hiện tốt nhất hiện nay. Các thuật toán cũng đơn giản và dễ thực hiện.

Lƣợc đồ chữ ký điện tử RSA đƣợc chọn để tích hợp vào hệ thống bảo mật thông tin và xác thực chữ ký điện tử của đề tài. Kèm theo với lƣợc đồ chữ ký RSA là thuật băm MD5 cũng đƣợc chọn để phù hợp cho yêu cầu tạo thông điệp thu gọn (message degest) dài 128-bits từ thông điệp đầu vào có chiều dài bất kỳ, phục vụ cho hệ thống chữ ký.

Chương 3: Cài đặt demo chương trình 3.1 Lĩnh vực ứng dụng của chương trình

Chƣơng trình đƣợc ứng dụng trong hoạt động điều hành và quản lý văn bản của Sở Giáo dục và Đào tạo Hải Phòng. Để đảm bảo tính an toàn và toàn vẹn dữ liệu khi trao đổi thông tin giữa các phòng ban và Ban Lãnh đạo Sở, giữa Sở Giáo dục và các đơn vị trƣờng học trên địa bàn Thành phố Hải Phòng thông qua đƣờng truyền mạng cục bộ.

Chƣơng trình ứng dụng có thể đƣợc phát triển thành những chƣơng trình ứng dụng có quy mô lớn hơn phù hợp quy định của Nhà nƣớc về Luật Giao dịch điện tử .

3.2 Chức năng của chương trình

Chƣơng trình đƣợc thiết kế theo các chức năng sau:

3.2.1 Phần bảo mật thông tin

3.2.1.1 Chức năng mã hóa văn bản

Chƣơng trình cho phép ngƣời dùng tạo ra một cặp khoá bao gồm một khoá riêng (private key) và một khoá công khai (public key). Sau đó để thực hiện mã hóa và giải mã, ngƣời dùng sử dụng chức năng Mã hóa và giải mã dữ liệu.

Chọn file cần mã hóa, chọn Mã hóa dữ liệu trong chức năng Mã hóa và giải mã dữ liệu.

3.2.1.2 Chức năng giải mã

Ngƣời nhận văn bản chọn file khóa mật (private.key) để chọn file khóa riêng đƣợc lƣu trữ tại một nơi an toàn. Chọn chức năng giải mã đối với file

đƣợc chọn. Chức năng giải mã cũng đƣợc áp dụng cho file dạng văn thuần tuý hoặc file có cấu trúc bất kỳ.

3.2.2 Phần chữ ký số

3.2.2.1 Thực hiện ký văn bản

Chƣơng trình cho phép chọn file cần ký, sau đó đồng thời cho biết họ tên của ngƣời ký để đảm bảo cho việc kiểm tra chữ ký sau này. Việc ký tài liệu có thể tách chữ ký ra một file riêng hoặc kèm chữ ký cùng với file văn bản để gửi đi.

Cuối cùng là thực hiện thao tác ký của chƣơng trình.

3.2.2.2 Kiểm tra và xác thực chữ ký

Chức năng này thực hiện công việc xác nhận chữ ký trên một file tài liệu. Chƣơng trình đòi hỏi nhập vào tên ngƣời ký cùng với file khóa công khai tƣơng ứng, chọn file tài liệu đã ký để kiểm tra xác thực chữ ký. Việc kiểm tra các thực chữ ký nhằm mục đích xác định chủ nhân của tài liệu và đồng thời cho biết nội dung của tài liệu có bị thay đổi hay không.

3.3 Một số màn hình giao diện của chương trình

3.3.1 Màn hình giao diện chính

Màn hình giao diện chính gồm 6 menu: menu Thao tác với tệp văn bản,

menu Chỉnh sửa văn bản, menu Định dạng văn bản, menu Mã hóa và giải mã dữ liệu, menu help vàmenu Người dùng.

Hình 3.2 Menu Thao tác với tệp văn bản

3.3.2 Chức năng mã hóa

Hình 3.4 Nội dung file văn bản đã mã hoá

Hình 3.6 Thông tin người ký

Hình 3.8 Mở file văn bản đã ký

Hình 3.9 Xác thực chữ ký

3.4 Kết luận chương

Chƣơng 3 đã đề cập đến việc xây dựng và cài đặt ứng dụng chữ ký số, trong mã hoá bảo mật thông tin; dùng chữ ký số để ký vào văn bản điện tử. Văn bản điện tử có thể là dạng text hoặc dạng bất kỳ. Sau khi ký vào văn bản và gửi đến cho ngƣời nhận nào đó, ngƣời nhận dùng chức năng xác thực để kiểm tra chính xác chữ ký đó có phải xuất phát từ ngƣời gửi đã biết trƣớc không.

Kết quả và hướng phát triển

Chữ ký số, sẽ trở thành một thành tố quan trọng trong văn bản điện tử. Ðối với Việt nam vấn đề chữ ký số vẫn còn là một vấn đề mà chúng ta mới có những bƣớc đi đầu tiên. Vấn đề bảo đảm an toàn thông tin trong giao dịch điện tử, nhìn nhận một cách toàn diện, thực sự là một vấn đề phức tạp và bao hàm nhiều khía cạnh. Nó không đơn giản nhƣ lời khuyên của một số chuyên gia là “muốn tiếp cận với Internet thì hãy trang bị bức tƣờng lửa, nếu cần sự bảo vệ thì hãy mã hóa và mật khẩu là đủ để xác thực”. Thực tế, để đạt hiệu quả thiết thực và tiết kiệm, cần phải hiểu vấn đề này theo khái niệm “biết cách bảo vệ để chống lại sự tấn công tiềm ẩn”. Bởi vậy, nó phải là tổng hòa các giải pháp của hạ tầng cơ sở bảo mật.

Đối với bản Luận văn này, đã có những đóng góp phần khiêm tốn vào việc bảo mật thông tin cho cơ quan đơn vị nói riêng và ngành mật mã nói chung.

Kết quả đạt được của luận văn

Luận văn đã đề cập một cách hệ thống các kiến thức cơ bản nhƣ các khái niệm về mật mã, cơ sở toán học áp dụng trong mã hoá, các ví dụ về sử dụng số nguyên tố và hệ phƣơng trình đồng dƣ thƣờng đƣợc sử dụng trong mã hoá.

Hai hệ mật mã đó là hệ mã hoá khoá bí mật và hệ mã hoá khoá công khai, đại diện của hai hệ này là hệ DES và RSA đã đƣợc phân tích đánh giá; có so sánh ƣu khuyết điểm của hai hệ và đi đến chọn hệ mã hoá khoá công khai RSA để ứng dụng vào việc xây dựng chƣơng trình tạo chữ ký số. Mô hình quản lý và phân phối khoá công khai đã đƣợc đề cập khá chi tiết giúp cho việc định hƣớng mở rộng về sau này khi có điều kiện phát triển đề tài.

Luận văn đã trình bày các lƣợc đồ chữ ký số, đi đến chọn ra hai lƣợt đồ đƣợc có ƣu điểm nổi trội hơn và đang đƣợc ứng dụng rộng rãi hiện nay đó là lƣợt đồ chữ ký RSA và lƣợt đồ chữ ký chuẩn DSA. Các thuật toán hàm băm

MD5, SHA-1, SHA-2 cũng đã đƣợc để cập và đi sâu phân tích làm rõ bản chất của các thuật toán này trong việc ứng dụng để tạo ra chữ ký số.

Trên cơ sở tìm hiểu và tập hợp lại một cách có hệ thống phần lý thuyết liên quan, Luận văn đã tạo đƣợc cơ sở lý thuyết cho việc xây dựng chƣơng trình ứng dụng mang tính chất demo, nhằm minh hoạ việc bảo mật thông tin, ký và xác thực chữ ký số.

Chƣơng trình phần mềm đã thực hiện đƣợc các chức năng cơ bản của một hệ mật mã nhƣ tạo cặp khoá công khai và khoá riêng, mã hoá file văn bản điện tử, sau đó thực hiện việc ký chữ ký số vào văn bản để gửi đi. Hệ thống chƣơng trình còn cho phép giải mã file đã đƣợc mã hoá và xác thực chữ ký đã ký.

Hướng phát triển

Với hệ thống thông tin mở, sử dụng công nghệ đa phƣơng tiện nhƣ hiện nay thì về mặt lý thuyết không thể đảm bảo an toàn thông tin 100%. Điều cốt yếu là các đơn vị sử dụng phải tiên liệu đƣợc các nguy cơ tấn công tiềm ẩn đối với cái cần phải bảo vệ và biết bảo vệ nhƣ thế nào cho hiệu quả đối với hệ thống của mình. Đối với lĩnh vực nghiên cứu của luận văn có thể mở rộng, phát triển theo hƣớng xây dựng mô hình kiểm soát tính toàn vẹn thông tin và các lƣợt đồ mã khoá hoá công khai, đảm bảo độ an toàn cao và tiến tiến hơn. nhƣ các phiên bản của tiêu chuẩn mật mã hoá khoá công khai (Public Key Cryptography Standards - PKCS)[12]do cơ quan bảo mật RSA công bố.

Do thời gian nghiên cứu có hạn, nên đề tài chƣa đề cập đến hết các hệ mật mã một cách hoàn chỉnh và chƣơng trình mới chỉ mô phỏng đƣợc các thao tác: ký, xác thực chữ ký, mã hóa và giải mã tập tin mà chƣa thiết kế một cách hoàn chỉnh để có thể kết nối trực tiếp vào một số phần mềm : gửi nhận email, phần mềm quản lý văn bản … Hƣớng phát triển của đề tài là xây dựng chƣơng trình để có thể kết nối trực tiếp vào một số phần mềm gửi nhận email và phần

mềm quản lý văn bản. Đồng thời xây dựng một hệ thống chứng thực khóa công khai cho các thành viên, nhằm tránh trƣờng hợp bị ngƣời khác giả mạo khóa công khai của ngƣời nhận khi thực hiện trao đổi thông tin.

Tuy còn có những hạn chế nhất định, nhƣng trong quá trình nghiên cứu, hoàn thành luận văn đã giúp tôi trang bị thêm nhiều kỹ năng cơ bản về bảo mật thông tin. Từ đó có thể xây dựng các ứng dụng bảo mật hoàn chỉnh hơn, phục vụ cho việc tham mƣu, điều hành trong việc ứng dụng tin học hoá vào công tác

Một phần của tài liệu chữ ký số và các vấn đề bảo mật thông tin (Trang 73 - 88)

Tải bản đầy đủ (PDF)

(88 trang)