Chữ ký số: Quy trình và ứng dụng
Đến nay, đã có 5 nhà cung cấp dịch vụ chữ ký số (CKS) được cấp phép hoạt động. Tiềm năng thị trường dịch vụ này không nhỏ. Nhưng, để chữ ký số thực sự đi vào các ứng dụng thì cần có những công đoạn, quy trình nào?
Điều kiện cần và đủ
Tháng 9/2009, Bộ TTTT cấp phép cung cấp dịch vụ chứng thực chữ ký số. Nhưng đến nay đã sau 1 năm mà VNPT (doanh nghiệp (DN) đầu tiên được cấp phép) vẫn chưa có dịch vụ nào ra mắt thị trường!
Ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực CKS quốc gia (Root CA) cho biết "Việc được Bộ TTTT cấp giấy phép chỉ là điều kiện cần. Sau khi nhận giấy phép, các DN mới đi vào đầu tư về hạ tầng, phần mềm. Sau khi kiếm tra thực tế, nếu đạt yêu cầu, Bộ TTTT, cụ thể là Trung tâm Chứng thực CKS quốc gia mới cấp chứng thư số cho các DN này".
Đó chính là điều kiện đủ. Việc cấp chứng thư số cho các CA (DN cung cấp dịch vụ chứng thực chữ ký số) được hiểu tương tự như việc công nhận vai trò pháp lý của các CA. Từ đó, các CKS do các CA này phát ra mới có giá trị pháp lý. Sau khi nhận chứng thư số, DN mới tiến hành các hoạt động kinh doanh và đưa dịch vụ chữ ký số (CA) ra thị trường.
Được biết, trong số 5 giấy phép đã cấp, hiện đã có 1 DN được cấp chứng thư số. Một số DN đang nỗ lực để được nhận chứng thư số và có thể đưa dịch vụ ra thị trường vào đầu quý III tới.
Ứng dụng CKS = công nghệ + quy trình
Có thể hình dung CKS như một bộ gồm khóa và chìa. Nó được áp dụng để bảo mật các ứng dụng. Điều đó có nghĩa là bản thân CKS không tách riêng như một giải pháp độc lập mà cần được nghiên cứu, phân tích kỹ lưỡng khả năng tích hợp lên các ứng dụng. Đó là một quy trình dựa trên công nghệ lõi của hệ thống CA: những chính sách bảo mật, cách thức tích hợp ứng dụng để có thể tạo ra nền tảng bảo mật hoàn chỉnh. "CKS là một tập hợp các công nghệ, quy trình và chính sách chứ không đơn thuần là một công cụ. Do đó, để tích hợp CKS vào ứng dụng của khách hàng một cách có hiệu quả, đòi hỏi nhà cung cấp phải rất hiểu ứng dụng của khách hàng", ông Dương Dũng Triều, Tổng Giám đốc FPT IS nhấn mạnh.
Chính vì vậy, khi lựa chọn đối tác, DN cần tìm nhà cung cấp có khả năng tích hợp CKS vào hệ thống hiện có (bao gồm việc tư vấn cho khách hàng cần thực hiện thêm những gì, viết thêm mô-đun nào trong ứng dụng…).
Cân nhắc hiệu quả khi đầu tư cho CKS
Nếu so sánh CKS với các giải pháp xác thực mạnh khác như One Time Password (OTP), ma trận (SMS OTP) thì CKS cung cấp khả năng bảo mật đầy đủ và toàn diện hơn bởi ngoài tính chống từ chối mà các giải pháp bảo mật khác không có, CKS còn được pháp luật công nhận có giá trị như chữ ký tay. Thậm chí, một số giao dịch trực tuyến còn được pháp luật yêu cầu phải sử dụng CKS, chẳng hạn như kê khai thuế trực tuyến, hải quan trực tuyến… Đây là điểm mấu chốt để đảm bảo hiệu quả đầu tư cho CKS.
Ngoài ra, ứng dụng CKS có thể đem lại hiệu quả chi phí đầu tư rất lớn cho DN, người dân. Lấy ví dụ tại hệ thống e-Tax Filling (Khai thuế điện tử của Đài Loan, mô hình được bình chọn là ứng dụng CKS tốt nhất châu Á): Trước khi áp dụng hệ thống e-Tax, trung bình mỗi người dân mất 3 ngày, và chi phí không nhỏ để di chuyển thu thập chứng từ nộp thuế giữa các địa điểm. Sau khi hệ thống e-Tax hoàn thành, người dân chỉ mất 5 phút để hoàn thành việc khai thuế qua mạng. Tất cả các thông tin đều được bảo mật an toàn dựa trên nền tảng của CKS.
Vài ứng dụng CKS phổ biến
Một số ứng dụng trong cuộc sống ứng dụng CKS có thể kể đến như bảo mật máy chủ web (khi tiến hành giao dịch trên các website TMĐT uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa – địa chỉ web thường có dạng "https" để ký số và mã hóa email); Đăng nhập từ xa qua VPN, wireless (CKS lúc này được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password).
Một số giao dịch trong ngành ngân hàng, chứng khoán hiện nay đang được dùng OTP. Đây là một giải pháp tình thế do lúc đó dịch vụ CKS chưa có mặt trong khi Luật Giao dịch Điện tử ra đời năm 2005 đã công nhận giá trị pháp lý của CKS. Vì vậy, thời gian tới, rất có thể các giao dịch ngân hàng qua Internet (Internet banking) cũng sẽ ứng dụng CKS. Tuy nhiên, với các tổ chức ngân hàng đang ứng dụng OPT, giải pháp mà các CA khuyến cáo là nên có lộ trình chuyển đổi. Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn thì dùng CKS).
Ứng dụng trên "SIM base CA"
Về căn bản, CKS là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ ký đó. Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: dưới dạng file và lưu trữ trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ (smart card); thậm chí trên sim điện thoại (SIM base CA). Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động.
Trên thế giới, SIM base CA được sử dụng từ những năm 2001 – 2002. Quốc gia có nhiều SIM base CA là Đài Loan, Hàn Quốc. Theo đánh giá của một số CA trong nước, Việt Nam có số lượng người sử dụng điện thoại di động khá lớn do đó thị trường cho SIM base CA khá tiềm năng. Tuy nhiên, để có được dịch vụ SIM base CA cần sự phối hợp giữa nhà cung cấp dịch vụ CKS và nhà cung cấp dịch vụ viễn thông.
Ngày 10/8/2010, Bộ TTTT chính thức trao giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng thứ 5 cho Công ty cổ phần Hệ thống Thông tin FPT (FPT IS). Theo đó, FPT IS được cung cấp 3 loại chứng thư số, bao gồm: chứng thư số cho cơ quan, tổ chức, cá nhân; Chứng thư số SSL (dành cho website) và Chứng thư số Code Signing (dành cho các sản phẩm phần mềm).
Thứ trưởng Bộ TTTT Nguyễn Minh Hồng đặt vấn đề cần thành lập Hiệp hội các CA Việt Nam, hợp tác CA các nước để CKS của Việt Nam được quốc tế công nhận, trước mắt là với các nước trong khu vực
Tháng 9/2009, Bộ TTTT cấp phép cung cấp dịch vụ chứng thực chữ ký số. Nhưng đến nay đã sau 1 năm mà VNPT (doanh nghiệp (DN) đầu tiên được cấp phép) vẫn chưa có dịch vụ nào ra mắt thị trường!
Ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực CKS quốc gia (Root CA) cho biết "Việc được Bộ TTTT cấp giấy phép chỉ là điều kiện cần. Sau khi nhận giấy phép, các DN mới đi vào đầu tư về hạ tầng, phần mềm. Sau khi kiếm tra thực tế, nếu đạt yêu cầu, Bộ TTTT, cụ thể là Trung tâm Chứng thực CKS quốc gia mới cấp chứng thư số cho các DN này".
Đó chính là điều kiện đủ. Việc cấp chứng thư số cho các CA (DN cung cấp dịch vụ chứng thực chữ ký số) được hiểu tương tự như việc công nhận vai trò pháp lý của các CA. Từ đó, các CKS do các CA này phát ra mới có giá trị pháp lý. Sau khi nhận chứng thư số, DN mới tiến hành các hoạt động kinh doanh và đưa dịch vụ chữ ký số (CA) ra thị trường.
Được biết, trong số 5 giấy phép đã cấp, hiện đã có 1 DN được cấp chứng thư số. Một số DN đang nỗ lực để được nhận chứng thư số và có thể đưa dịch vụ ra thị trường vào đầu quý III tới.
Ứng dụng CKS = công nghệ + quy trình
Có thể hình dung CKS như một bộ gồm khóa và chìa. Nó được áp dụng để bảo mật các ứng dụng. Điều đó có nghĩa là bản thân CKS không tách riêng như một giải pháp độc lập mà cần được nghiên cứu, phân tích kỹ lưỡng khả năng tích hợp lên các ứng dụng. Đó là một quy trình dựa trên công nghệ lõi của hệ thống CA: những chính sách bảo mật, cách thức tích hợp ứng dụng để có thể tạo ra nền tảng bảo mật hoàn chỉnh. "CKS là một tập hợp các công nghệ, quy trình và chính sách chứ không đơn thuần là một công cụ. Do đó, để tích hợp CKS vào ứng dụng của khách hàng một cách có hiệu quả, đòi hỏi nhà cung cấp phải rất hiểu ứng dụng của khách hàng", ông Dương Dũng Triều, Tổng Giám đốc FPT IS nhấn mạnh.
Chính vì vậy, khi lựa chọn đối tác, DN cần tìm nhà cung cấp có khả năng tích hợp CKS vào hệ thống hiện có (bao gồm việc tư vấn cho khách hàng cần thực hiện thêm những gì, viết thêm mô-đun nào trong ứng dụng…).
Cân nhắc hiệu quả khi đầu tư cho CKS
Nếu so sánh CKS với các giải pháp xác thực mạnh khác như One Time Password (OTP), ma trận (SMS OTP) thì CKS cung cấp khả năng bảo mật đầy đủ và toàn diện hơn bởi ngoài tính chống từ chối mà các giải pháp bảo mật khác không có, CKS còn được pháp luật công nhận có giá trị như chữ ký tay. Thậm chí, một số giao dịch trực tuyến còn được pháp luật yêu cầu phải sử dụng CKS, chẳng hạn như kê khai thuế trực tuyến, hải quan trực tuyến… Đây là điểm mấu chốt để đảm bảo hiệu quả đầu tư cho CKS.
Ngoài ra, ứng dụng CKS có thể đem lại hiệu quả chi phí đầu tư rất lớn cho DN, người dân. Lấy ví dụ tại hệ thống e-Tax Filling (Khai thuế điện tử của Đài Loan, mô hình được bình chọn là ứng dụng CKS tốt nhất châu Á): Trước khi áp dụng hệ thống e-Tax, trung bình mỗi người dân mất 3 ngày, và chi phí không nhỏ để di chuyển thu thập chứng từ nộp thuế giữa các địa điểm. Sau khi hệ thống e-Tax hoàn thành, người dân chỉ mất 5 phút để hoàn thành việc khai thuế qua mạng. Tất cả các thông tin đều được bảo mật an toàn dựa trên nền tảng của CKS.
Vài ứng dụng CKS phổ biến
Một số ứng dụng trong cuộc sống ứng dụng CKS có thể kể đến như bảo mật máy chủ web (khi tiến hành giao dịch trên các website TMĐT uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa – địa chỉ web thường có dạng "https" để ký số và mã hóa email); Đăng nhập từ xa qua VPN, wireless (CKS lúc này được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password).
Một số giao dịch trong ngành ngân hàng, chứng khoán hiện nay đang được dùng OTP. Đây là một giải pháp tình thế do lúc đó dịch vụ CKS chưa có mặt trong khi Luật Giao dịch Điện tử ra đời năm 2005 đã công nhận giá trị pháp lý của CKS. Vì vậy, thời gian tới, rất có thể các giao dịch ngân hàng qua Internet (Internet banking) cũng sẽ ứng dụng CKS. Tuy nhiên, với các tổ chức ngân hàng đang ứng dụng OPT, giải pháp mà các CA khuyến cáo là nên có lộ trình chuyển đổi. Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn thì dùng CKS).
Ứng dụng trên "SIM base CA"
Về căn bản, CKS là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ ký đó. Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: dưới dạng file và lưu trữ trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ (smart card); thậm chí trên sim điện thoại (SIM base CA). Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động.
Trên thế giới, SIM base CA được sử dụng từ những năm 2001 – 2002. Quốc gia có nhiều SIM base CA là Đài Loan, Hàn Quốc. Theo đánh giá của một số CA trong nước, Việt Nam có số lượng người sử dụng điện thoại di động khá lớn do đó thị trường cho SIM base CA khá tiềm năng. Tuy nhiên, để có được dịch vụ SIM base CA cần sự phối hợp giữa nhà cung cấp dịch vụ CKS và nhà cung cấp dịch vụ viễn thông.
Ngày 10/8/2010, Bộ TTTT chính thức trao giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng thứ 5 cho Công ty cổ phần Hệ thống Thông tin FPT (FPT IS). Theo đó, FPT IS được cung cấp 3 loại chứng thư số, bao gồm: chứng thư số cho cơ quan, tổ chức, cá nhân; Chứng thư số SSL (dành cho website) và Chứng thư số Code Signing (dành cho các sản phẩm phần mềm).
Thứ trưởng Bộ TTTT Nguyễn Minh Hồng đặt vấn đề cần thành lập Hiệp hội các CA Việt Nam, hợp tác CA các nước để CKS của Việt Nam được quốc tế công nhận, trước mắt là với các nước trong khu vực
Theo: tuvancongnghe
http://www.chukyso.net/thong-tin-cong-nghe/kien-thuc-chu-ky-so/67-chu-ky-so-quy-trinh-va-ung-dung.html
Không có nhận xét nào:
Đăng nhận xét