Để mã hoá dữ liệu cho một thành viên từ xa, hoặc để kiểm tra một chữ ký số, người sử dụng cần có bản sao chứng thư, từ đó có được khoá công khai các thành viên ở xa, do vậy các chứng thư của một CA bất kỳ phải tạo thành một đường dẫn chứng thực đầy đủ. Đây không hoàn toàn là một vấn đề an toàn mà là vấn đề phổ biến dữ liệu, chứng thư không cần chuyển giao thông qua các hệ thống hoặc các giao thức an toàn bởi vì chứng thư tự bảo vệ. Mục này sẽ trình bày một số cách phân phối chứng thư khác nhau.
Chứng thư kèm theo chữ ký
Với một chữ ký số, chúng ta có nhiều cách phân phối chứng thư thích hợp. Nói chung, người ký sẽ có một bản sao chứng thư của mình và gắn kèm
bản sao này với chữ ký số. Nếu thực hiện được điều này, bất cứ người nào muốn kiểm tra chữ ký phải có chứng thư trong tay. Tương tự, người ký có thể gắn kèm các chứng thư khác, chúng có thể cần cho việc phê chuẩn chứng thư của người ký. Ví dụ như các chứng thư dành cho CA của người ký nhưng lại do các CA khác phát hành. Hầu hết
các giao thức truyền thông có sử dụng chữ ký số thường gắn kèm các chứng thư vào các chữ ký số theo cách này.
Việc gắn kèm các chứng thư vào các chữ ký số có thể gây lãng phí trong truyền thông và lãng phí khả năng lưu giữ vì người kiểm tra chữ ký có thể đã có chứng thư cần thiết trong tay (chứng thư này được lưu giữ cục bộ). Chính vì lý do này, người ký tự lựa chọn, nên hay không nên gắn kèm các chứng thư.
Tương tự, người ký sẽ không biết chính xác người kiểm tra sẽ cần một hay nhiều chứng thư, cho nên sẽ tồn tại nhiều đường dẫn chứng thực đi từ những người kiểm tra khác nhau đến một người ký. Do vậy, trừ khi tồn tại một cấu trúc không mềm dẻo của CA, nó đảm bảo rằng chỉ có một đường dẫn chứng thực đi từ tất cả những người kiểm tra đến một người ký thì việc người ký phải đảm bảo rằng tất cả các chứng thư yêu cầu được gắn kèm vào một chữ ký là không thực tế. Do vậy, người kiểm tra cần một giải pháp lưu trữ để lấy lại các chứng thư bị thất lạc, ví dụ như là một thư mục hoặc kho chứa.
Phân phối thông qua dịch vụ thư mục
Khi sử dụng kỹ thuật khoá công khai để mã hoá một thông báo, trước tiên người khởi tạo thông báo phải có khoá công khai đã được chứng thực của người nhận. Để giải quyết vấn đề này, một dịch vụ thư mục công cộng hoặc kho chứa là đặc biệt thích hợp.
Một kỹ thuật dịch vụ thư mục trực tuyến toàn diện đã và đang được phát triển thông qua các quá trình chuẩn hoá của Liên hiệp Viễn thông Quốc tế (ITU) và Tổ chức Tiêu chuẩn Quốc tế (IOS). Các chuẩn thư mục được ITU thiết kế là X.500. X.500 này cung cấp cơ sở cho việc xây dựng một dịch vụ thư mục phân tán đa mục đích bằng cách liên kết các hệ thống máy tính thuộc quyền sở hữu của các nhà cung cấp dịch vụ, các chính phủ và các tổ chức tư nhân trên phạm vi toàn cầu. Nhiều ứng dụng lớn có thể được hỗ trợ, từ tìm kiếm đơn giản tên đến địa chỉ, duyệt qua hoặc tìm kiếm có khoá thuộc tính. Thư mục X.500 có thể là một nguồn thông tin cho tất cả mọi người, cho các thành phần của mạng truyền thông, cho các ứng dụng máy tính, hoặc cho các hệ thống tự động khác.
Các chuẩn X.500 được phát triển từ năm 1984-1988. Nói chung, sự chấp nhận X.500 trên thị trường chậm hơn nhiều so với mong đợi. Do quá phức tạp, nó không tồn tại cho đến giữa những năm 1990. Hơn nữa, các nhà cung cấp dịch vụ không chấp nhận việc liên kết các thư mục trực tuyến của họ, lý do là việc liên kết này cho phép các đối tượng cạnh tranh có cơ hội truy nhập trực tiếp vào danh sách thuê bao của họ. Tuy vậy, X.500 đang được đẩy mạnh phát triển trong các công ty lớn và một số tổ chức đang tìm kiếm các cách phân phối chứng thư khoá công khai. Các hệ thống thư mục độc quyền cũng được sử dụng để phân phối các chứng thư khoá công khai trong các môi trường phần mềm riêng; Ví dụ như các thư mục Microsoft Exchange, Lotus Notes và Netware Directory Service.
LDAP là một giao thức truy nhập thư mục Internet, tương thích với mô hình thư mục X.500. LDAP đơn giản hơn nhiều do không cần đến cơ sở dữ liệu thư mục cơ bản và bổ xung thuận tiện hơn các giao thức của X.500. LDAP tạo thành một giao thức chuẩn hữu ích cho việc truy nhập vào các thông tin được lưu giữ trong một thư mục, bao gồm cả các chứng thư khoá công khai.
Các giải pháp phân phối khác
Do các chứng thư không cần được bảo vệ đặc biệt và nó được phân phối thông qua các hệ thống không cần tin cậy và sử dụng các giao thức
không an toàn nên web là một cách để phổ biến các chứng thư từ các máy chủ chuyên dụng. Các chứng thư được sử dụng lặp đi lặp lại nhiều lần cũng thường được lưu giữ cục bộ trong các hệ thống sử dụng các khoá công khai
7. Khuôn dạng của chứng thư
Khuôn dạng chứng thư khoá công khai được chấp nhận rộng rãi nhất được định nghĩa trong chuẩn X.509 của ISO/IFC/ITU
8. Việc thu hồi chứng thư
Thời gian tồn tại của một chứng thư khoá công khai bị giới hạn, có thể biết được thời gian này thông qua giờ/ngày bắt đầu có hiệu lực và giờ/ngày hết hạn của một chứng thư, tất cả những thông tin này nằm trong phần được ký của chứng thư. Khoảng thời gian hợp lệ này kéo dài bao lâu là do chính sách của CA phát hành, thông thường thời gian tồn tại kéo dài từ vài tháng đến vài năm.
Khi một chứng thư được phát hành, nó có thể được sử dụng trong suốt thời gian hợp lệ của mình. Tuy nhiên, trong một số trường hợp, những người sử dụng không nên tiếp tục tin tưởng vào một chứng thư mặc dù thời hạn hợp lệ của chứng thư này chưa kết thúc. Những trường hợp đó bao gồm phát hiện hoặc nghi ngờ khoá riêng tương ứng bị lộ, thay đổi tên và thay đổi mối quan hệ giữa chủ thể và CA (ví dụ như một người làm công kết thúc hợp đồng làm thuê với một tổ chức). Trong những trường hợp như vậy, CA có thể thu hồi chứng thư. Do có thể thu hồi được nên khoảng thời gian hoạt động của một chứng thư có thể ngắn hơn so với khoảng thời gian hợp lệ được định trước
6. Giải pháp bảo vệ CSDL
Trong chiến lược bảo mật dữ liệu, đa số các công ty hiện nay tập trung nguồn lực vào bảo vệ dữ liệu trên đường truyền. Trong khi đó vấn đề bảo vệ dữ liệu nằm trong cơ sở dữ liệu (CSDL, database) chưa được quan tâm đúng mức.
Thực tế cho thấy, sự cố về an ninh xảy ra với CSDL có thể ảnh hưởng nghiêm trọng đến danh tiếng của công ty và quan hệ với khách hàng. Sự cố an ninh mất cắp 40 triệu thẻ tín dụng của khách hàng gần đây xảy ra với Master Card và Visa Card đã phần nào gia tăng sự chú ý đến các giải pháp bảo mật CSDL.
Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL là hình thức mã hóa. Tuy nhiên, mã hóa dữ liệu ở mức độ này là giải pháp mang tính “được ăn cả, ngã về không”, giải pháp này không cung cấp mức độ bảo mật truy cập đến CSDL ở mức độ bảng (table), cột (column) và dòng (row). Một điểm yếu nữa của giải pháp này là bất cứ ai với quyền truy xuất CSDL đều có thể truy cập vào tất cả dữ liệu trong CSDL. Điều này phát sinh một nguy cơ nghiêm trọng, cho phép các đối tượng với quyền quản trị (admin) truy cập tất cả các dữ liệu nhạy
cảm. Thêm vào đó, giải pháp này bị hạn chế vì không cho phép phân quyền khác nhau cho người sử dụng CSDL.
Giải pháp thứ hai, đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải quyết vấn đề mã hóa ở mức ứng dụng. Giải pháp này xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an ninh và hỗ trợ các chính sách an ninh dựa trên vai trò (Role Based Access Control – RBAC). Tuy nhiên, xử lý mã hóa trên tầng ứng dụng đòi hỏi sự thay đổi toàn diện kiến trúc của ứng dụng, thậm chí đòi hỏi ứng dụng phải được viết lại. Đây là một vấn đề đáng kể cho các công ty có nhiều ứng dụng chạy trên nhiều nền CSDL khác nhau.
KẾT LUẬN
Sự ra đời của TMĐT là tất yếu trong tiến trình phát triển chung của kinh tế, xã hội và các tiến bộ khoa học công nghệ. Có rất nhiều yếu tố ảnh hưởng đến sự phát triển của TMĐT nhưng tựu chung lại, để thành công trong triển khai và phát triển TMĐT, cần có sự đồng bộ trong mọi lĩnh vực, không chỉ ở trong nội bộ tổ chức của công ty mà còn các vấn đề về kỹ thuật, công nghệ, các vấn đề pháp lý, các vấn đề về văn hoá, xã hội.
Nếu nhìn từ bên ngoài, ta sẽ thấy TMĐT là các ứng dụng cụ thể như tiếp thị trực tiếp, ngân hàng trực tuyến, thanh toán qua mạng, chính phủ điện tử, trao đổi giữa các doanh nghiệp, đấu giá, tìm kiếm việc làm, c-commerce, m-commerce, ấn phẩm online, các dịch vụ khách hàng trên mạng.
Để các dịch vụ này có thể thực hiện được, đứng trên góc độ người tổ chức cần tập hợp được các chủ thể tham gia, đó là người mua, người bán, người cung cấp các dịch vụ mạng, các ứng dụng trên mạng và các nhà quản lý. Cần có các chính sách, luật pháp, quy định để các chủ thể nói trên có thể kết hợp với nhau. Bên cạnh đó còn cần tiếp thị, quảng cáo, nghiên cứu thị trường cũng như các dịch vụ hỗ trợ như thanh toán, bảo mật, hậu cần. Cuối cùng là phải đảm bảo duy trì được quan hệ bạn hàng, đối tác.
Hiện nay, hầu như các quốc gia đều quan tâm đến việc phát triển nền kinh tế của nước mình thông qua các giao dịch buôn bán đa chiều. TMĐT sẽ là công cụ hữu hiệu để rút ngắn khoảng cách giao dịch giữa các công ty trên thế giới. Do vậy việc thúc đẩy hoạt động giao dịch TMĐT được các quốc gia chú trọng và để đặt nền móng vững chắc cho giao dịch TMĐT, các quốc gia thường thành lập ra các Trung tâm Xúc tiến và Hỗ trợ kỹ thuật, công nghệ trong giao dịch TMĐT.
Sự xuất hiện hệ thống thông tin toàn cầu Internet đã đánh dấu một bước ngoặt quan trọng về công nghệ, về kỹ thuật và chuyển giao thông tin dữ liệu. Từ đó, nhu cầu Khách hàng trở thành một áp lực mạnh mẽ buộc các Ngân hàng phải thỏa mãn với nhiều dịch vụ mới với chất lượng cao trên cơ sở ứng dụng công nghệ hiện đại, đặc biệt là trong các giao dịch thanh toán.
Các giao dịch điện tử (bao gồm thanh toán và giao dịch thông tin nội dung) từ trước tới nay thực hiện thông qua việc xử lý từng giao dịch của từng khách hàng thông qua hệ thống kỹ thuật của Ngân hàng. Đến giai đoạn ngày nay (thời đại CNTT và Internet) mối quan hệ xử lý thông tin và giao dịch phức tạp hơn bao giờ hết vì nó đòi hỏi cơ sở hạ tầng công nghệ hiện đại, khả năng tích hợp cao, môi trường pháp lý rất đa dạng
của mỗi quốc gia, sự khác biệt về văn hóa ngôn ngữ, tham gia/ hoặc quan hệ liên đới trong xử lý giao dịch có thể gồm các cơ quan Chính phủ, cơ quan công chứng/ xác thực, cơ quan hảo hiểm, hải quan, thuế, ngân hàng, hệ thống vận chuyển, đơn vị cung cấp cơ sở hạ tầng, người mua, người bán, người môi giới. Trên nền tảng cơ sở hạ tầng cho các giao dịch trong mạng Internet, các sản phẩm dịch vụ của Ngân hàng có thể bao gồm: các giao dịch tiền tệ trực tuyến như các giao dịch thẻ, tiền điện tử, ví điện tử, thanh toán chuyển khoản, thẻ thông minh, thanh toán giá trị thấp, giao dịch B2B, thanh toán hóa đơn điện tử vv… Trong các mối quan hệ đa chiều đó của TMĐT, chúng ta cần thiết lập những tiêu chuẩn và thông lệ để định vị về pháp lý/ kinh tế/ kỹ thuật cho mỗi thành viên tham gia và vai trò quan trọng không thể thiếu được hoặc quyết định sự thành công của giao dịch chính là hệ thống thanh toán của Ngân hàng.
Với hệ thống công nghệ mới, Ngân hàng có thể thực hiện kế toán theo từng sản phẩm/ nhóm sản phẩm dịch vụ; theo từng khách hàng/ ngành kinh tế; theo khu vực…Với hệ thống xử lý tập trung, Khách hàng có thể thực hiện giao dịch mọi lúc, mọi nơi, bằng các phương tiện thích hợp (xóa bỏ các giới hạn mang tính vật lý). Về quản lý nội bộ, hệ thống cho phép quản lý hoạt động của từng giao dịch viên, theo cấp phòng ban/ theo chi nhánh/ theo từng kênh phân phối sản phẩm dịch vụ (Chi nhánh, Telephone, Mobilephone, ATM, POS, EDI, SWIFT, VISA/ MASTER card, Internet, Telex…) hay theo địa bàn khu vực do chính Ngân hàng từng xác định. Hệ thống Ngân hàng dữ liệu tập trung (data ware house) dựa trên cơ sở các giao dịch trực tuyến tức thời (realtime/ online) cho phép thực hiện việc thống kê phân tích thông tin đa chiều một cách linh hoạt cho các hoạt động quản lý tập trung, giao dịch phân tán, kiểm tra giám sát theo phân cấp, sử dụng hệ thống thông tin quản lý MIS đảm bảo tính minh bạch và tích hợp các nghiệp vụ nhằm tối ưu hóa hiệu quả kinh doanh.
Kê khai điện tử (Electronic filing hay E-filing) là quá trình tạo lập và truyền các văn bản hoặc thông tin liên quan tới nơi tiếp nhận thông qua các phương tiện điện tử. Việc kê khai điện tử đã được áp dụng ở nhiều nước trên thế giới từ nhiều năm nay và trong nhiều lĩnh vực khác nhau như: kê khai thuế, kê khai hải quan, kê khai xuất nhập cảnh, đăng ký kinh doanh, gửi đơn khiếu tố - khiếu nại tới tòa án v.v. Công nghệ áp dụng cho kê khai điện tử (E-filing) và trao đổi dữ liệu điện tử EDI có nhiều điểm giống nhau, ví dụ như XML/EDI, ebXML v.v.
Kê khai điện tử nói chung và kê khai thuế điện tử, nói riêng, đã và đang trở thành một trong các phương thức chủ yếu để các ĐTNT ở nhiều nước trên thế giới thực hiện nghĩa vụ kê khai và nộp thuế của mình.
Cơ quan Thuế các nước đều coi kê khai điện tử là một trong các nội dung chủ yếu của việc hiện đại hóa ngành thuế.
Việc triển khai áp dụng hình thức kê khai thuế điện tử có thể nhanh, chậm tùy từng nước, nhưng luôn được tiến hành một cách bài bản theo quy trình: thiết kế hệ thống, thử nghiệm công nghệ, triển khai thí điểm và từng bước triển khai diện rộng.
Sự phát triển của TMĐT trên thế giới đã làm thay đổi cách thức kinh doanh, giao dịch truyền thống và đem lại những lợi ích to lớn cho xã hội. Tuy nhiên bên cạnh đó cũng phải thừa nhận rằng những rủi ro gặp phải trong quá trình giao dịch, kinh doanh trên mạng là hiện thực và việc này đòi hỏi phải có các giải pháp không chỉ về mặt kỹ thuật mà còn cần phải hình thành được một cơ sở pháp lý đầy đủ. Những kinh nghiệm thực tế trên thế giới cho thấy để thúc đẩy TMĐT phát triển thì vai trò của Nhà nước phải được thể