P. 1
CHỮ KÝ ĐIỆN TỬ

CHỮ KÝ ĐIỆN TỬ

4.0

|Views: 1,209|Likes:
Được xuất bản bởidangdoan1408

More info:

Published by: dangdoan1408 on Oct 09, 2009
Bản quyền:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

05/02/2013

pdf

text

original

CHỮ KÝ ĐIỆN TỬ Sử dụng chữ ký điện tử như thế nào?

Thời gian gần đây, khái niệm chữ ký điện tử được đề cập rất nhiều tại Việt Nam, thậm chí còn được nhiều người đề cao, gọi đó là “chữ ký của thời đại”.

Chữ ký điện tử không hoàn toàn được xác định “bằng xương bằng thịt” giống các loại chữ ký thông thường, mà chỉ là thông tin đi kèm theo thông điệp dữ liệu (có thể là văn bản, hình ảnh hay video…) nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký điện tử có thể là các cam kết gửi bằng email, hay là các số định dạng cá nhân (PIN) khi nhập vào các máy rút tiền ATM, hay là ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền, chấp nhận các điều khoản người dùng khi cài đặt phần mềm máy tính, hoặc là ký các hợp đồng điện tử online… Tuy nhiên, loại chữ ký điện tử được nói đến nhiều nhất và được sử dụng phổ biến nhất hiện nay là chữ ký số. Công nghệ của loại chữ ký này là hạ tầng mã khóa công khai (PKI). Người sử dụng chữ ký số sẽ có hai loại khóa là khóa công khai (được gửi công khai trên mạng) và khóa bí mật (được giữ kín). Khi ông A hoàn chỉnh xong một văn bản và muốn gửi qua mạng đến đối tác B có kèm theo chữ ký của mình, ông A sẽ sử dụng chữ ký bí mật để tạo chữ ký số (thực chất là một đoạn mã hóa dữ liệu của văn bản cần gửi), rồi ghép vào văn bản và gửi đi. Khi đối tác B nhận được văn bản từ ông A và muốn mở văn bản này thì phải sử dụng mã khóa công khai của A. Tất cả các công đoạn nghe chừng phức tạp và chuyên sâu về mã hóa và giải mã chữ ký này đều được thực hiện bằng phần mềm. Người sử dụng chỉ cần tiến hành một vài thao tác đơn giản trên máy tính là có thể hoàn chỉnh việc gửi, nhận một văn bản có chữ ký điện tử. Cần lưu ý, một thành phần không thể thiếu khi muốn sử dụng chữ ký số là các nhà cung cấp dịch vụ chứng thực chữ ký số (tổ chức CA). Đây là tổ chức cung cấp các cặp khóa công khai và bí mật, xác minh tính chính xác, an toàn của người sử dụng… Trong môi trường điện tử đang ngày càng phát triển như thương mại điện tử, chính phủ điện tử…, việc sử dụng chữ ký điện tử là rất quan trọng vì nó đảm bảo tính xác thực của người gửi, độ an toàn, tính toàn diện (không bị thay đổi) của thông điệp được gửi. Với chữ ký tay trên văn bản, người nhận rất khó có thể kiểm tra được độ chính xác, tính xác thực của chữ ký. Tình trạng sử dụng chữ ký giả rất dễ xảy ra bởi không cần phải làm đăng ký cho loại chữ ký này (trừ công chức cao cấp). Tuy nhiên, với chữ ký số, người sử dụng phải đăng ký, vừa được đảm bảo độ an toàn, chính xác bằng công nghệ hiện đại, vừa được xác thực bởi các tổ chức chứng thực… Do đó, độ an toàn của chữ ký số cao hơn rất nhiều so với chữ ký tay truyền thống. Chính bởi những ưu việt trên, cùng với sự phát triển nhanh chóng của môi trường giao dịch điện tử, chữ ký điện tử đã được công nhân và sử dụng rộng rãi tại nhiều nước trên thế giới. Ngoài các nước phát triển như Mỹ, EU, Singapore, Nhật Bản, Hàn Quốc…, chữ ký điện tử cũng đã được các nước Trung Quốc, Ấn Độ, Brazil… công nhận và sử dụng. Tại Việt Nam, chữ ký điện tử đã được các cơ quan Nhà nước coi trọng. Quốc hội đã ban hành Luật Giao dịch điện tử (có hiệu lực từ tháng 3/2006) và công nhận tính pháp lý của loại chữ ký này. Sau khi ban hành Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số, Bộ Thông tin và

Truyền thông đang gấp rút xây dựng mô hình hệ thống chứng thực CA quốc gia nhằm đẩy mạnh việc sử dụng chữ ký số trong xã hội. Chữ ký điện tử cũng đã được sử dụng chính thức trong các giao dịch của ngành ngân hàng (thanh toán liên ngân hàng), ngành tài chính (thanh toán điện tử liên kho bạc). Một số cơ quan Nhà nước như Bộ Công thương, Sở Bưu chính Viễn thông TP. Hồ Chí Minh, Sở Khoa học và Công nghệ Đồng Nai… cũng bắt đầu sử dụng chữ ký điện tử trong giao dịch nội bộ. Nói tóm lại, những công nghệ mã hóa, công nghệ xác thực… nghe rất cao siêu, phức tạp, nhưng đó là việc của nhà cung cấp dịch vụ, các nhà làm công nghệ. Còn đối với người sử dụng thì mọi chuyện lại rất đơn giản, dễ dàng bởi tất cả đều do các chương trình phần mềm “lo liệu”, chỉ cần vài cú click chuột là đã có thể tạo ra chữ ký điện tử và gửi thông điệp tới nơi cần đến một cách an toàn. Theo THTC VN Chữ ký điện tử Trong cuộc sống hàng ngày, ta cần dùng chữ ký để xác nhận các văn bản tài liệu nào đó và có thể dùng con dấu với giá trị pháp lý cao hơn đi kèm với chữ ký. 1. Khái niệm chữ ký điện tử và chứng chỉ điện tử. Cùng với sự phát triển nhanh chóng của công nghệ thông tin, các văn bản tài liệu được lưu dưới dạng số, dễ dàng được sao chép, sửa đổi. Nếu ta sử dụng hình thức chữ ký truyền thống như trên sẽ rất dễ dàng bị giả mạo chữ ký. Vậy làm sao để có thể ký vào các văn bản, tài liệu số như vậy? Câu trả lời đó là sử dụng chữ ký điện tử! Chữ ký điện tử đi kèm với các thông tin chủ sở hữu và một số thông tin cần thiết khác sẽ trở thành Chứng chỉ điện tử. Vậy chữ ký điện tử và chứng chỉ điện tử hoạt động như thế nào? Chữ ký điện tử hoạt động dựa trên hệ thống mã hóa khóa công khai. Hệ thống mã hóa này gồm hai khóa, khóa bí mật và khóa công khai (khác với hệ thống mã hóa khóa đối xứng, chỉ gồm một khóa cho cả quá trình mã hóa và giải mã). Mỗi chủ thể có một cặp khóa như vậy, chủ thể đó sẽ giữ khóa bí mật, còn khóa công khai của chủ thể sẽ được đưa ra công cộng để bất kỳ ai cũng có thể biết. Nguyên tắc của hệ thống mã hóa khóa công khai đó là, nếu ta mã hóa bằng khóa bí mật thì chỉ khóa công khai mới giải mã thông tin được, và ngược lại, nếu ta mã hóa bằng khóa công khai, thì chỉ có khóa bí mật mới giải mã được. Quá trình ký văn bản tài liệu ứng dụng hệ thống mã hóa trên diễn ra như thế nào? Trước hết, giả sử anh A có tài liệu TL cần ký. Anh A sẽ mã hóa tài liệu đó bằng khóa bí mật để thu được bản mã TL. Như vậy chữ ký trên tài liệu TL của anh A, chính là bản mã TL. Sau khi ký như vậy, làm sao để xác nhận chữ ký? Giả sử anh B muốn xác nhận tài liệu TL là của anh A, với chữ ký là bản mã TL. Anh B sẽ dùng khóa công khai của anh A để giải mã bản mã TL của anh A. Sau khi giải mã, anh B thu được một bản giải mã TL, anh ta so sánh bản giải mã TL này mới tài liệu TL. Nếu bản giải mã TL giống với tài liệu TL thì chữ ký là đúng của anh A. Những vấn đề có thể xảy ra là gì?

Một số trường hợp xảy ra với chữ ký điện tử, cũng giống như các trường hợp xảy ra với chữ ký truyền thống. Ví dụ, khi tài liệu TL của A bị thay đổi (dù chỉ một ký tự, một dấu chấm, hay một ký hiệu bất kỳ), khi B xác nhận, anh ta sẽ thấy bản giải mã TL khác với tài liệu TL của anh A. B sẽ kết luận rằng tài liệu đó đã bị thay đổi, không phải là tài liệu anh A đã ký. Trường hợp khác, nếu anh A để lộ khóa bí mật, nghĩa là văn bản tài liệu của anh có thể ký bởi người khác có khóa bí mật của A. Khi một ai đó xác nhận tài liệu được cho là của A ký, chữ ký vẫn là hợp lệ, mặc dù không phải chính A ký. Như vậy, chữ ký của A sẽ không còn giá trị pháp lý nữa. Do đó, việc giữ khóa bí mật là tuyệt đối quan trọng trong hệ thống chữ ký điện tử. Chứng chỉ số là gì? Trong trường hợp ví dụ trên, anh A có một cặp khóa để có thể ký trên văn bản, tài liệu số. Tương tự như vậy, anh B hay bất cứ ai sử dụng chữ ký điện tử, đều có một cặp khóa như vậy. Khóa bí mật được giữ riêng, còn khóa công khai được đưa ra công cộng. Vậy vấn đề đặt ra là làm thế nào để biết một khóa công khai thuộc về A, B hay một người nào đó? Hơn nữa, giả sử trong môi trường giao dịch trên Internet, cần sự tin cậy cao, A muốn giao dịch với một nhân vật X. X và A cần trao đổi thông tin cá nhân cho nhau, các thông tin đó gồm họ tên, địa chỉ, số điện thoại, email… Vậy làm sao để A có thể chắc chắn rằng mình đang giao dịch với nhân vật X chứ không phải là ai khác giả mạo X? Chứng chỉ số được tạo ra để giải quyết vấn đề này! Chứng chỉ số có cơ chế để xác nhận thông tin chính xác về các đối tượng sử dụng chứng chỉ số. Thông tin giữa A và X sẽ được xác nhận bằng một bên trung gian mà A và X tin tưởng. Bên chung gian đó là nhà cung cấp chứng chỉ số CA (Certificate Authority). CA có một chứng chỉ số của riêng mình, CA sẽ cấp chứng chỉ số cho A và X cũng như những đối tượng khác. Trở lại vấn đề trên, A và X sẽ có cách kiểm tra thông tin của nhau dựa trên chứng chỉ số như sau: khi A giao dịch với X, họ sẽ chuyển chứng chỉ số cho nhau, đồng thời họ cũng có chứng chỉ số của CA, phần mềm tại máy tính của A có cơ chế để kiểm tra chứng chỉ số của X có hợp lệ không, phần mềm sẽ kết hợp chứng chỉ số của nhà cung cấp CA và chứng chỉ của X để thông báo cho A về tính xác thực của đối tượng X. Nếu phần mềm kiểm tra và thấy chứng chỉ của X là phù hợp với chứng chỉ CA, thì A có thể tin tưởng vào X. Cơ chế chữ ký điện tử và chứng chỉ số sử dụng các thuật toán mã hóa đảm bảo không thể giả mạo CA để cấp chứng chỉ không hợp pháp, mọi chứng chỉ giả mạo đều có thể dễ dàng bị phát hiện. Trở lại tình huống trên, với cơ chế chứng chỉ số, mọi chứng chỉ đều được công khai để bất kỳ ai cũng có thể truy cập được. Vậy trong chứng chỉ số có những tham số gì? Theo cơ chế chữ ký điện tử như đã đề cập ở trên thì trong chứng chỉ, một tham số quan trọng phải có đó là khóa công khai. Ngoài ra chứng chỉ số còn chứa các thông tin về danh tính của đối tượng được cấp chứng chỉ, bao gồm thông tin về chủ sở hữu chứng chỉ như email, số điện thoại… các thông tin này là tùy chọn theo qui định của nhà cung cấp chứng chỉ số. Vậy còn một tham số quan trọng trong sử dụng chứng chỉ số, đó là khóa bí mật? Khóa bí mật sẽ không được lưu trong chứng chỉ số. Nó được lưu tại máy tính của chủ sở hữu, chủ sở hữu cần chịu trách nhiệm giữ an toàn khóa bí mật này.

Trở lại với việc ký văn bản, tài liệu, khóa bí mật sẽ dùng để ký các văn bản, tài liệu của chủ sở hữu. Như đã đề cập trong ví dụ ở trên, giả sử A muốn gửi một văn bản kèm với chữ ký của mình trên văn bản đó, A sẽ dùng khóa bí mật để mã hóa thu được bản mã văn bản, bản mã đó chính là chữ ký điện tử của A trên văn bản. Khi A gửi văn bản và chữ ký, để người khác có thể xác nhận văn bản của mình với thông tin đầy đủ về chủ sở hữu, A sẽ gửi cả chứng chỉ của mình đi kèm với văn bản. Giả sử X nhận được văn bản A gửi kèm với chứng chỉ, khi đó X có thể dễ dàng xác nhận tính hợp pháp của văn bản đó. Làm thế nào để có một chứng chỉ số? Để có một chứng chỉ số, trước hết cần có một cơ quan cung cấp chứng chỉ số, tên tiếng anh là CA (Certificate Authority). Các cá nhân, tổ chức muốn có chứng chỉ số, cần đăng ký với tổ chức này, và khi đăng ký, đương nhiên họ chấp nhận uy tín của tổ chức này. Trên thế giới, hiện có nhiều tổ chức CA như vậy, một số tổ chức lớn như Verisign, RSA, Entrust… được sử dụng chứng chỉ số rất phổ biến. Sau khi đăng ký với CA, CA sẽ kiểm tra thông tin của người đăng ký và sẽ cấp một chứng chỉ cho họ. Thông thường chứng chỉ được lưu dưới dạng file để cài đặt vào thiết bị (PC, Server,…), hoặc đặc biệt hơn, với mức độ bảo mật cao, nó có thể lưu trong các Token (loại thẻ lưu dữ liệu), sử dụng giống như một USB lưu trữ chứng chỉ số. Ví dụ thực tế trong việc sử dụng chứng chỉ số Ta có thể xem xét một số ví dụ điển hình, phổ biến, đó là trường hợp truy cập vào các trang web sử dụng chứng chỉ số để bảo mật thông tin. Thông thường, khi truy cập web, với địa chỉ http://vnexperts...., nghĩa là ta đang truy cập một trang web không có cơ chế mã hóa dữ liệu truyền đi giữa người dùng và trang web đó (web server). Điều đó có nghĩa là mọi dữ liệu truyền đi giữa người sử dụng đến trang web đó, có thể bị nghe lén giữa đường đi. Đây là điểm không an toàn. Vậy một trang web bảo mật có gì khác? Điểm khác ở đây chính là trang web đó sử dụng chứng chỉ số, khi truy cập vào trang web đó, ta không dùng địa chỉ thông thường http://vnexperts... mà sử dụng https://vnexperts... Có nghĩa ta sử dụng qua HTTPS Một trong vô số các trang web sử dụng chứng chỉ số để bảo mật, đó là https://gmail.com. Khi truy cập vào đây, ta có thể yên tâm là dữ liệu truyền đi giữa người dùng và trang web đó được bảo mật cao, nghĩa là khó có thể lộ thông tin giao dịch. Sử dụng Internet Explorer để truy cập vào trang web, ta có thể thấy các thông tin về bảo mật, chứng chỉ số được chỉ ra cụ thể:

Như hình trên, sử dụng Internet Explore (IE) để truy cập vào một trang web sử dụng chứng chỉ số để bảo mật, ta thấy dấu hiệu bảo mật ở Khóa vàng góc dưới. Nếu kích chuột vào đây, IE sẽ hiển thị chứng chỉ số của trang web này. Vậy các thông tin này có nghĩa là gì? Hình trên hiển thị ra một chứng chỉ số (Certificate), trong đó có các thông tin có ý nghĩa như sau: chứng chỉ số này được cấp cho www.google.com, đơn vị cung cấp chứng chỉ là ‘Thawte SGC CA’, đơn vị cung cấp chứng chỉ cấp cao hơn cho ‘Thawte SGC CA’ là ‘VeriSign Class 3 Public Primary CA’. Như vậy, với ý nghĩa của chứng chỉ số, ta có thể nói rằng: trang web đang được truy cập là https://gmail.com, có chủ sở hữu với tên ký hiệu là www.google.com, chủ sở hữu này đã sử dụng chứng chỉ số được cung cấp bởi CA: ‘Thawte SGC CA’ ( thuộc ‘VeriSign Class 3 Public Primary CA’). Mọi thông tin truyền đi giữa người dùng và trang web (web server) là hoàn toàn được bảo mật. Trên đây là cách thức sử dụng chứng chỉ số ở mức đơn giản. Cách thức sử dụng này mới chỉ là bảo mật một phía, người dùng tin cậy chứng chỉ của trang web (web server) mà họ truy cập, trong khi đó. Cách thức bảo mật cao hơn là trường hợp người dùng phải có chứng chỉ để truy cập trang web. Khi đó, để người dùng và web (web server) có thể xác thực được nhau, chứng chỉ của người dùng và của web (web server) phải được cung cấp từ một CA. Trong ví dụ trên, chứng chỉ của người dùng cũng phải được cung cấp bởi ‘Thawte SGC CA’ ( thuộc ‘VeriSign Class 3 Public Primary CA’). Việc sử dụng chứng chỉ số không chỉ áp dụng cho trường hợp giao dịch web như trên, ngoài ra còn có nhiều hình thức sử dụng khác, ví dụ, sử dụng chứng chỉ số cho email, cho các thiết bị di động… 2. Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam Việc sử dụng chứng chỉ số trên thế giới hiện nay rất phổ biến, chủ yếu nhằm bảo mật các giao dịch điện tử như bảo mật email, website, thanh đoán điện tử…

Các đơn vị chứng thực (CA) được xây dựng ở nhiều qui mô, cấp độ khác nhau. Từ các cơ quan chính phủ đến các tổ chức doanh nghiệp, cá nhân đều có thể xây dựng CA, tùy thuộc vào yêu cầu sử dụng. Các CA có thể được xây dựng với mục đích chuyên dụng hoặc thương mại. CA chuyên dụng được áp dụng trong phạm vi một cơ quan nhà nước, một tổ chức, một doanh nghiệp hoặc có thể là do cá nhân tự xây dựng. Những đối tượng sử dụng CA chuyên dụng được cấp chứng chỉ bởi CA đó và qui định tin tưởng nhau trong phạm vi CA. CA thương mại được xây dựng nhằm mục đích thương mại, kinh doanh dịch vụ xác thực điện tử. Những đối tượng sử dụng chứng chỉ của CA thương mại phải có thỏa thuận pháp lý tin tưởng CA thương mại đó và tin tưởng những đối tượng khác được cấp chứng chỉ bởi CA. Hiện trên thế giới có một số CA lớn, được thành lập vào những năm 90, với mục đích thương mại như Verisign, Entrust, RSA… Các quốc gia phát triển chính phủ điện tử được coi là hàng đầu thế giới như USA, Canada, Anh, Thụy sĩ, Hàn Quốc, Nhật Bản… có những đơn vị chứng thực (CA) lớn mạnh. Ở Châu Á, Hàn Quốc được coi là quốc gia áp dụng Chính phủ điện tử hiệu quả cao. Một trong những yếu tố giúp cho thành công của Chính phủ điện tử đó là chứng thực điện tử. Hàn Quốc có một hệ thống mạng lưới thông tin thông suốt từ Chính phủ đến các thành phố, quận huyện, làng mạc. Thông tin cá nhân thống nhất trên nhiều lĩnh vực, do đó việc áp dụng chứng thực điện tử tại Hàn Quốc có hiệu quả cao. Ở Việt Nam, việc xây dựng Hệ thống Chứng thực điện tử là một trong số các nhân tố quan trọng của Chính phủ điện tử cũng như trong giao dịch thương mại. Chúng ta đang từng bước xây dựng hệ thống này. Về luật pháp, hiện ta đã có Luật giao dịch điện tử (2005), Nghị định 26 (Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số), Nghị định 27 (Về giao dịch điện tử trong hoạt động tài chính). Các đơn vị nhà nước, tổ chức doanh nghiệp cũng đã và đang xây dựng hệ thống chứng thực chuyên dùng, đáp ứng cho yêu cầu nội bộ. 3. Trung tâm Chứng thực điện tử Quốc gia Bộ Thông tin và Truyền thông (MIC) đang xây dựng trung tâm chứng thực điện tử quốc gia RootCA (CA gốc). Ceous (theo Vnexperts Research Department) Nguy cơ bị thay đổi, sao chép hoặc mất dữ liệu trên mạng thật sự là một trở ngại trong giao dịch điện tử. Vì thế, bảo đảm tính toàn vẹn dữ liệu là một phần trong các biện pháp đảm bảo an toàn thông tin theo chuẩn ISO 17799. THẾ NÀO LÀ MỘT HỆ THỐNG AN TOÀN THÔNG TIN? Thanh toán bằng thẻ tín dụng qua dịch vụ web có thể gặp các rủi ro như: Thông tin truyền từ trình duyệt web của khách hàng ở dạng thuần văn bản nên có thể bị lọt vào "con mắt" người khác . Trình duyệt web của khách hàng không thể xác định máy chủ mà mình trao đổi thông tin là thật hay giả mạo. Không thể đảm bảo được thông tin truyền đi có bị thay đổi hay không.

Vì vậy cần phải có một cơ chế bảo đảm an toàn trong quá trình giao dịch điện tử. Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng các yêu cầu sau: Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi không bị đánh cắp. Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, mạo nhận. Hệ thống phải có khả năng kiểm tra tính toàn vẹn dữ liệu. GIAO THỨC SSL Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP. Cơ chế hoạt động của giao thức SSL dựa trên nền tảng các ứng dụng mã hóa đã được kiểm chứng như: giải thuật mã hóa đối xứng và bất đối xứng, giải thuật băm (hash) một chiều, giải thuật tạo chữ ký số, v.v... PHƯƠNG PHÁP MÃ HÓA DỮ LIỆU Mã hóa khóa bí mật Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography). Với phương pháp này (xem hình 1), người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã dữ liệu. Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã. Có nhiều thuật toán ứng dụng cho mã hóa khóa bí mật như: DES - Data Encrytion Standard, 3DES triple-strength DES, RC2 – Rons Cipher 2 và RC4, v.v... Nhận xét: Nhược điểm chính của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh. Mã hóa khóa công khai Phương pháp mã hóa khóa công khai (public key cryptography) đã giải quyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóa public key và private key. Public key được gửi công khai trên mạng, trong khi đó private key được giữ kín. Public key và private key có vai trò trái ngược nhau, một khóa dùng để mã hóa và khóa kia sẽ dùng để giải mã (xem hình 2) Phương pháp này còn được gọi là mã hóa bất đối xứng (asymmetric cryptography) vì nó sử dụng hai khóa khác nhau để mã hóa và giải mã dữ liệu. Phương pháp này sử dụng thuật toán mã hóa RSA (tên của ba nhà phát minh ra nó: Ron Rivest, Adi Shamir và Leonard Adleman) và thuật toán DH (Diffie-Hellman). Giả sử B muốn gửi cho A một thông điệp bí mật sử dụng phương pháp mã hóa khóa công khai. Ban đầu, A có cả private key và public key. A sẽ giữ private key ở nơi an toàn và gửi public key cho B. B mã hóa và gửi cho A thông điệp đã mã hóa bằng public key nhận được của A. Sau đó A sẽ giải mã thông điệp bằng private key của mình. Ngược lại nếu A muốn gửi thông điệp cho B thì A phải mã hóa thông điệp bằng public key của B. Nhận xét: Phương pháp cho phép trao đổi khóa một cách dễ dàng và tiện lợi. Tuy nhiên, tốc độ mã hóa khá chậm nên chỉ được sử dụng cho mẩu dữ liệu nhỏ. TỔ CHỨC CHỨNG NHẬN KHÓA CÔNG KHAI

Hãy xem ví dụ A muốn gửi thông điệp cho B và mã hóa theo phương pháp khóa công khai. Lúc này A cần phải mã hóa thông điệp bằng public key của B. Trường hợp public key bị giả mạo thì sao? Hacker có thể tự sinh ra một cặp khóa public key/private key, sau đó đưa cho A khóa public key này và nói đây là khóa public key của B. Nếu A dùng public key giả này mà tưởng là của B thì dẫn đến hệ quả mọi thông tin A truyền đi đều bị hacker đọc được. Vấn đề này được giải quyết nếu có một bên thứ ba được tin cậy, gọi là C, đứng ra chứng nhận public key. Những public key đã được C chứng nhận gọi là chứng nhận điện tử (public key certificate hay digital certificate). Một chứng nhận điện tử có thể được xem như là một “hộ chiếu” hay “chứng minh thư”. Nó được một tổ chức tin cậy (như VeriSign, Entrust, CyberTrust, v.v...) tạo ra. Tổ chức này được gọi là tổ chức chứng nhận khóa công khai Certificate Authority (CA). Một khi public key đã được CA chứng nhận thì có thể dùng khóa đó để trao đổi dữ liệu trên mạng với mức độ bảo mật cao. Cấu trúc của một chứng nhận điện tử gồm các thành phần chính như sau: Issuer: tên của CA tạo ra chứng nhận. Period of validity: ngày hết hạn của chứng nhận. Subject: bao gồm những thông tin về thực thể được chứng nhận. Public key: khóa công khai được chứng nhận. Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng nhận. 5. CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc. Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi. Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số (xem hình 3). Các bước mã hóa: 1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả ta được một message digest. Dùng giải thuật MD5 (Message Digest 5) ta được digest có chiều dài 128-bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160-bit. 2. Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1. Thông thường ở bước này ta dùng giải thuật RSA. Kết quả thu được gọi là digital signature của message ban đầu. 3. Gộp digital signature vào message ban đầu. Công việc này gọi là “ký nhận” vào message. Sau khi đã ký nhận vào message, mọi sự thay đổi trên message sẽ bị phát hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng message này xuất phát từ người gửi chứ không phải là ai khác (xem hình 4). Các bước kiểm tra:

1. Dùng public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số của message. 2. Dùng giải thuật (MD5 hoặc SHA) băm message đính kèm. 3. So sánh kết quả thu được ở bước 1 và 2. Nếu trùng nhau, ta kết luận message này không bị thay đổi trong quá trình truyền và message này là của người gửi. 6. NHẬN XÉT VỀ ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử là mô hình đảm bảo an toàn dữ liệu khi truyền trên mạng và được sử dụng để tạo chứng nhận điện tử trong các giao dịch điện tử qua mạng Internet. Ví dụ A gửi đến tổ chức Certificate Authority yêu cầu cấp chứng nhận điện tử kèm theo khóa công khai của họ. Tổ chức CA sẽ “ký nhận” vào đó và cấp digital certificate cho A. Khách hàng này sẽ thông báo certificate của mình trên mạng. Giả sử có B muốn gửi cho A một message thì công việc đầu tiên B sẽ lấy certificate của A và kiểm tra tính hợp lệ của certificate. Nếu hợp lệ, B sẽ lấy public key trong digital certificate để mã hóa dữ liệu và gửi cho A. Thiều Quang Trung Hochiminh city Postel (New Horizons Vietnam Instructor & NIS Collaborator)

(Thứ Năm, 17/09/2009-3:12 PM) VNPT trở thành nhà cung cấp chứng thực chữ ký số đầu tiên Chiều qua (15/9), tại Hà Nội, Bộ TT&TT đã chữ ký số (CKS) công cộng cho Tập đoàn trao giấy phép cung cấp dịch vụ Chứng thực Bưu chính Viễn thông Việt Nam (VNPT).

Tham dự buổi lễ có Bộ trưởng Bộ TT&TT Lê Doãn Hợp, các Thứ trưởng Nguyễn Minh Hồng, Trần Đức Lai. VNPT là đơn vị đầu tiên nộp hồ sơ xin cấp phép cung cấp dịch vụ CKS. Với giấy phép vừa nhận được, VNPT chính thức trở thành nhà cung cấp dịch vụ chứng thực chữ ký số công cộng đầu tiên tại Việt Nam.

Theo giấy phép, VNPT được cung cấp dịch vụ Chứng thực chữ ký số cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Các loại chứng thư số được VNPT cung cấp bao gồm: Chứng thư số cá nhân cho cơ quan, tổ chức, cá nhân; Chứng thư số SSL (chứng thư số dành cho website); Chứng thư số cho CodeSigning (chứng thư số dành cho ứng dụng). Phát biểu tại buổi lễ, Bộ trưởng Bộ TT&TT Lê Doãn Hợp nhấn mạnh, chúng ta đang ngày càng tiến sâu vào cuộc sống số. Về mặt giao dịch, thông tin, đây là một bước tiến ngoạn mục. Tiến tới nếu chúng ta làm thành công chứng minh thư nhân dân điện tử, hộ chiếu điện tử thì tất cả các giao dịch của tổ chức với tổ chức, cá nhân với cá nhân trở nên đơn giản, hiệu quả giúp giải quyết công việc nhanh nhất và chi phí thấp nhất. “Hy vọng VNPT sẽ triển khai chủ trương này tốt, tạo ra những bài học kinh nghiệm, những thực tiễn phong phú, những hiệu quả về mặt xã hội có sức hấp dẫn để từ đó mở rộng hình thức này. Đó là ước nguyện của cơ quan quản lý nhà nước và cũng là ước nguyện của nhân dân”, Bộ trưởng nói. Tổng giám đốc Tập đoàn VNPT Vũ Tuấn Hùng khẳng định VNPT đã và đang nỗ lực và đẩy mạnh các hoạt động nghiên cứu, triển khai các ứng dụng CNTT cho các lĩnh vực của đời sống xã hội, trong đó có dịch vụ chữ ký số. Hiện VNPT đã ký kết thỏa thuận hợp tác với Bộ Tài chính về việc ứng dụng chứng thực CKS cho các dịch vụ hành chính công điện tử của ngành Tài chính. Trong giai đoạn tới, VNPT sẽ mở rộng dịch vụ này cho các ứng dụng ngân hàng, thương mại điện tử, đáp ứng yêu cầu của các tổ chức và doanh nghiệp Việt Nam. VNPT cam kết sẽ cung cấp dịch vụ CKS có khả năng đáp ứng tốt các yêu cầu về đảm bảo an toàn thông tin cho các giao dịch thương mại, cam kết hướng đến một chất lượng dịch vụ được người sử dụng tin dùng. Theo chiến lược phát triển quốc gia về CNTT của Bộ TT&TT, các ứng dụng Chính phủ điện tử, thương mại điện tử, giao dịch trực tuyến đóng một vai trò rất quan trọng và đều yêu cầu bắt buộc phải sử dụng chữ ký số. Vì thế, việc VNPT tiên phong cung cấp dịch vụ Chứng thực chữ ký số công cộng sẽ góp phần vào công cuộc cải cách hành chính và thúc đẩy phát triển thương mại điện tử, chính phủ điện tử của Việt Nam. Theo ICTNews

Chữ ký số và thương mại điện tử

Ngày 31/12/2008, bộ TTTT đã ban hành 6 loại tiêu chuẩn trong giao dịch điện tử được quy định buộc phải áp dụng “chữ ký số” (CKS) và chứng thực số. Như vậy về mặt pháp lý, CKS đã được luật hoá. Bài viết sau đây sẽ giúp bạn đọc hiểu rõ hơn về lợi ích của CKS.

Phân biệt “chữ ký số” và “chữ ký điện tử” Trên môi trường mạng, bất cứ dạng thông tin nào được sử dụng để nhận biết một con người đều được coi là chữ ký điện tử (CKĐT). Ví dụ: 1 đoạn âm thanh hoặc hình ảnh được chèn vào cuối email, đó là CKĐT. CKS là một dạng CKĐT, với độ an toàn cao và được sử dụng rộng rãi. CKS được phát triển trên lý thuyết về mật mã và thuật toán mã hóa bất đối xứng. Thuật toán mã hóa dựa vào cặp khoá bí mật (Privatekey) và công khai (Publickey), trong đó người chủ chữ ký sẽ giữ khóa Privatekey cho cá nhân dùng để tạo chữ ký, PublicKey của cá nhân hay tổ chức đó được công bố rộng rãi dùng để kiểm tra chữ ký. Khi được sử dụng cho việc mã hóa: PrivateKey để giải mã; PublicKey dùng cho mã hóa. CKS được phát triển và ứng dụng rộng rãi hiện nay dựa trên thuật toán RSA (Tên viết tắt của ba tác giả: Rivest, Shamir và Adleman), là cơ sở quan trọng để hình thành hạ tầng khóa công khai (PublicKey Infrastructure) cho phép người sử dụng của một mạng công cộng không bảo mật như Internet trao đổi dữ liệu và tiền một cách an toàn, thông qua việc sử dụng một cặp mã khóa công khai và bí mật được cấp phát, sử dụng qua một nhà cung cấp chứng thực CA (Certificate Authority) được tín nhiệm. Việc thừa nhận CKS thuộc quyền sở hữu của một cá nhân nào đó, cần phải được một tổ chức CA chứng thực. Và CA chứng nhận phải được thừa nhận về tính pháp lý và kỹ thuật. Dùng “Chữ ký số” như thế nào? Bạn có thể tự tạo cho mình một CKS bằng rất nhiều phần mềm sẵn có như OpenSSL, hoặc đăng ký với một tổ chức cấp CA nào đó. Việc đăng ký này có tính phí, và chữ ký được cấp đó sẽ được tổ chức CA chứng thực. Định dạng file *.PFX hay *.P12 sau khi tạo ra sẽ bao gồm PrivateKey, PublicKey và chứng thư của bạn. Nếu sử dụng Windows, chỉ cần tiến hành cài đặt và làm theo chỉ dẫn. Kết thúc quá trình, chứng thư của bạn sẽ được cài đặt trong máy tính, nếu bạn cài lại máy phải cài lại chứng thư đó. Tuy nhiên, việc lưu CKS của bạn trong máy tính cũng có thể phát sinh rủi ro do có thể bị sao chép và vô tình bị lộ mật khẩu bảo vệ PrivateKey. Để giải quyết vấn đề này, người ta thường dùng thẻ thông minh để lưu CKS, nhằm nâng cao tính bảo mật và duy nhất của CKS đó. Tính pháp lý của “Chữ ký số”? Theo quyết định số 25/2006/QĐ-BTM về quy chế sử dụng CKS của bộ Thương Mại, mọi văn bản điện tử được ký bằng CKS có giá trị pháp lý tương đương văn bản giấy được ký và đóng dấu. Ngoài ra, nghị định 26 về CKS và dịch vụ chứng thực CKS đã được Thủ Tướng Chính Phủ ban hành ngày 15/2/2007, qua đó công nhận CKS và chứng thực số có giá trị pháp lý trong giao dịch điện tử, bước đầu thúc đẩy sự phát triển của thương mại điện tử tại Việt Nam. Đơn vị nào cung cấp giải pháp “chữ ký số”? Do CKS vẫn đang là một khái niệm mới tại Việt Nam, nên số lượng đơn vị cung cấp chứng thực số (CA) hiện nay ở Việt Nam chưa nhiều, nếu có sẽ là một đơn vị hoặc tổ chức thuộc sự quản lý của Nhà Nước.

Cung cấp chứng chỉ số tại Việt Nam hiện nay có VASC-CA với các giải pháp: - Chứng chỉ số cá nhân VASC-CA: Giúp mã hóa thông tin, bảo mật e-mail, sử dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua giao thức bảo mật SSL.

6 loại tiêu chuẩn trong giao dịch điện tử bao gồm: Chuẩn bảo mật cho HSM; Chuẩn mã hóa; Chuẩn tạo yêu cầu và trao đổi chứng thư số; Chuẩn về chính sách và quy chế chứng thực chữ ký số; Chuẩn về lưu trữ và truy xuất chứng thư số; chuẩn về kiểm tra trạng thái chứng thư số.

- Chứng chỉ số SSL Server VASC-CA: Giúp bảo mật hoạt động trao đổi thông tin trên website, xác thực người dùng bằng SSL, xác minh tính chính thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn chặn hacker dò mật khẩu. - Chứng chỉ số nhà phát triển phần mềm VASC-CA: Cho phép nhà phát triển phần mềm ký vào các chương trình applet, script, Java software, ActiveX control, EXE, CAB và DLL, đảm bảo tính hợp pháp của sản phẩm, cho phép người sử dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi của chương trình (do hỏng, bị hacker hay virus phá hoại). Tương tự như vậy, số lượng đơn vị cung cấp giải pháp ứng dụng có dùng CKS ở Việt Nam hiện nay cũng chưa nhiều. Các công ty như Giải Pháp Thẻ Minh Thông (www.tomica.vn), MISOFT(www.misoft.com.vn)... là những công ty cung cấp tích hợp giải pháp chữ ký số HSM (Hardware Security Module) vào thẻ thông minh và USB Token vào các ứng dụng và giao dịch cần bảo mật như: Internet Banking, Money Tranfer, VPN hay e-Signing. Để CKS được sử dụng rộng rãi tại Việt Nam, việc quan trọng là cần có một tổ chức cấp CA được thừa nhận, và được sự ủng hộ mạnh mẽ của Nhà Nước trong việc ứng dụng thương mại điện tử và hành chính điện tử. Ứng dụng “Chữ ký số” tại Việt Nam Khả năng ứng dụng của CKS khá lớn, do có tác dụng tương tự như chữ ký tay, nhưng dùng cho môi trường điện tử. Thường CKS được sử dụng trong giao dịch cần an toàn qua mạng Internet, như giao dịch thương mại điện tử, tài chính, ngân hàng. Thứ 2 là dùng để ký lên eMail, văn bản tài liệu SoftCopy, phần mềm... module phần mềm và việc chuyển chúng thông qua Internet hay mạng công cộng. Tuy nhiên, sử dụng hay không sử dụng CKS vẫn còn tùy vào sự lựa chọn của người dùng.

Hiện nay nhiều ngân hàng Việt Nam đã ứng dụng CKS trong các hệ thống như Internet Banking, Home Banking hay hệ thống bảo mật nội bộ. Ngoài ra các website của các ngân hàng, công ty cần bảo mật giao dịch trên đường truyền, mạng riêng ảo VPN đã áp dụng CKS. Có thể nói, càng ngày càng nhiều sự hiện diện của CKS trong các hệ thống, ứng dụng CNTT bảo mật của DN, tổ chức ở Việt Nam. “Chữ ký số” đem lại lợi ích gì? Ứng dụng CKS giúp giải quyết tốt hơn các giải pháp xác thực và bảo mật. CKS giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet. Đối với lĩnh vực trao đổi thông tin, với sự phổ biến hiện nay của e-mail nhờ tính nhanh chóng linh hoạt, việc sử dụng CKS sẽ giúp cho việc trao đổi văn bản nội dung trở nên dễ dàng và đảm bảo. Ví dụ: Hệ thống quản lý văn bản, hợp đồng số sẽ được lưu trữ, tìm kiếm bằng hệ thống máy tính. Các giao dịch, trao đổi văn bản giữa cá nhân - tổ chức nhà nước (C2G), DN - Nhà Nước(BG), DN-DN(B2B) hay giữa các tổ chức cơ quan nhà nước với nhau sẽ nhanh chóng và đảm bảo tính pháp lý, tiết kiệm rất nhiều thời gian, chi phí giấy tờ và vận chuyển, đi lại. Đặc biệt, tăng cường ứng dụng CKS sẽ thúc đẩy việc ứng dụng thương mại điện tử, chính phủ điện tử, hành chính điện tử và kinh doanh điện tử, đồng thời cũng bảo vệ bản quyền các tài sản số hóa.
Sở TTTT TP.HCM là đơn vị đi tiên phong trong việc triển khai ứng dụng chữ ký số trong hoạt động giao dịch điện tử phục vụ công tác quản lý nhà nước tại địa phương. Hiện sở cũng đã có trung tâm Chứng Thực Chuyên Dùng, được bộ TTTT và Ban Cơ Yếu chính phủ (đơn vị chứng thực điện tử chuyên dùng chính phủ (GCA), cung cấp và quản lý chứng chỉ điện tử phục vụ các cơ quan trong hệ thống chính trị thực hiện các yêu cầu xác thực thông tin và bảo mật thông tin thuộc phạm vi bí mật nhà nước trên các hệ thống tác nghiệp, điều hành điện tử) đồng ý. Với trung tâm này sở TTTT đã và đang triển khai chứng thực CKS miễn phí cho khối quản lý đô thị như: Sở Tài Nguyên Môi Trường, sở Kiến Trúc, sở Tài Chính, trung tâm Tài Nguyên Môi Trường và Đăng Ký Nhà Đất…Trong năm 2009, sở TTTT TP.HCM sẽ tiếp tục nâng cấp trung tâm này và mở rộng chứng thực cho các sở, ngành khác. Đầu tháng 3/2009, sở TTTT đã có buổi làm việc với 2 cơ quan thuế và hải quan TP.HCM về việc chứng thực chữ ký số cho 2 đơn vị này để tiến tới thực hiện cơ chế “một cửa” và kê khai thuế qua mạng. Ngoài trung tâm Chứng Thực Chuyên Dùng, sở TTTT TP.HCM hiện đang chờ UBND TP.HCM phê duyệt cho phép thành lập trung tâm Chứng Thực Công Cộng. Với trung tâm này, sở TTTT sẽ chứng thực cho mọi đối tượng: DN, người dân, tổ chức...Trung tâm sẽ phục vụ theo loại hình dịch vụ”. Ông Nguyễn Anh Tuấn, phó giám đốc sở TTTT.

Theo PCWorld VN

You're Reading a Free Preview

Tải về
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->