Các tiêu chuẩn cho phần hệ thống thiết bị quản lý khóa bí mật, chứng thư số và tạo chữ ký số theo mô hình ký số từ xa (Remote Signing)
1. Tổng quan mô hình ký số từ xa (remote signing)
Chữ ký số dựa trên đám mây (cloud-based digital signature), hoặc “chữ ký từ xa – Remote signature” là một thế hệ chữ ký số mới có thể hoạt động trên các thiết bị máy tính để bàn, thiết bị di động và web – và đáp ứng mức độ tuân thủ và đảm bảo cao nhất cho xác thực người ký. Mỗi người ký được cấp ID số dựa trên chứng thư số cấp bởi các nhà cung cấp dịch vụ tin cậy (TSP). Khi ký số một tài liệu, ID người dùng được sử dụng với mã PIN cá nhân và các bước xác minh khác để chứng minh danh tính của người ký.
Mô hình tổng quan Cloud PKI
Nhà cung cấp dịch vụ CA:
-
- Cung cấp module Server Signing Application (máy chủ ứng dụng ký số). Module này cần tuân thủ tiêu chuẩn bảo mật EN 419 241-1.
- Cung cấp module Signature Activation Module (SAM) có chức năng điều khiển việc truy cập khóa bí mật người dung. Module này cần tuân thủ tiêu chuẩn 419 241-2.
- Cung cấp Crypto Module. Đây còn gọi là module HSM có chức năng sinh khóa và mã hóa khóa người dùng. Module này cần tuân thủ tiêu chuẩn bảo mật PP (Protection Profile) 419 221 -5.
Người sử dụng:
-
- Đăng ký sử dụng, được cấp chứng thư số cho dịch vụ ký số từ xa.
- Xác thực quyền ký số trên thiết bị di động cá nhân (Signer Interaction Component).
- Thực hiện ký số từ xa theo dịch vụ.
Thông tin trao đổi giữa thiết bị di động cá nhân (Signer Interaction Component) và máy chủ ứng dụng ký số (Server Signing Application) cần tuân theo giao thức TS 119 432.
Quy trình tạo chữ ký đưa ra các kịch bản mà chữ ký số AdES và / hoặc chữ ký số (DSV) được tạo ra bằng cách sử dụng khóa mật mã tạo chữ ký số được lưu giữ quản lý trong một mô-đun mật mã gọi là Thiết bị tạo chữ ký số (SCDev) và được vận hành bởi Nhà cung cấp dịch vụ tạo chữ ký số (SCSP).
Dựa trên phân loại quản lý dữ liệu khác nhau trong các lệnh và phản hồi, hai cấu phần chính trong sơ đồ quy trình trên cung cấp các giao diện khác nhau cho quá trình ký số: Thành phần dịch vụ ứng dụng máy chủ ký số (SSASC) và Thành phần dịch vụ ứng dụng tạo chữ ký số (SCASC) được đặc tả sau đây:
+ SSASC là thành phần hỗ trợ tạo chữ ký số (DVS). SSASC có khả năng tương tác với SCDev đang quản lý khóa riêng của người ký. Khi SSASC sử dụng SCDev, người ký có khả năng kiểm soát khóa mật mã tạo chữ ký số với các cấp độ tin cậy xác định.
Đầu vào chính cho giao diện SSASC là Đại diện dữ liệu cần ký số (DTBSR) và các tham số khác hỗ trợ và đầu ra chính là chữ ký số (DVS).
+ SCASC là cấu phần hỗ trợ tạo chữ ký số AdES và thực hiện một số chức năng cụ thể của quy trình tạo chữ ký số. SCASC có khả năng tương tác với SSASC cholệnh tạo chữ ký số (DVS).
Giao tiếp với SCASC là các tài liệu cần được ký số (SD) hoặc đại diện của các tài liệu cần được ký số (SDR) và các tham số khác là đầu vào chính và các tài liệu đã ký số hoặc các chữ ký số(DVS) là đầu ra chính.
SCS chỉ dịch vụ TSP triển khai Ứng dụng Tạo chữ ký số (SCA) và / hoặc ứng dụng máy chủ ký số (SSA).
Một số tùy chọn giao tiếp tùy thuộc vào sự phân chia chức năng giữa SCS và phía hệ thống cục bộ từ người ký.
Tiêu chuẩn bảo mật 419 241-1
Tiêu chuẩn bảo mật 419 241-1 định nghĩa một tập hợp các yêu cầu và đề xuất bảo mật để có một hệ thống đáng tin cậy được tạo ra ở phía máy chủ ứng dụng ký số (Trustworthy System Supporting Server Signing (TW4S)). Định nghĩa chi tiết trong tài liệu prEN 419 241-1.
Tài liệu prEN 419 241-1 cung cấp các mô hình chức năng thường được công nhận của TW4S, chỉ định các yêu cầu tổng thể áp dụng trên tất cả các dịch vụ được xác định trong mô hình chức năng, chỉ định các yêu cầu bảo mật cho từng dịch vụ được xác định trong SSA, chỉ định các yêu cầu bảo mật cho các thành phần hệ thống nhạy cảm có thể được SSA sử dụng (ví dụ: Thiết bị tạo chữ ký (SCDev)).
Lưu ý: Các khía cạnh sau đây được coi là ngoài phạm vi của tài liệu prEN 419 241-1: Các dịch vụ đáng tin cậy khác có thể được sử dụng cùng với dịch vụ này như dịch vụ xác thực chữ ký, dịch vụ đánh dấu thời gian và dịch vụ bảo quản thông tin, bất kỳ ứng dụng hoặc hệ thống nào bên ngoài SSA, giải thích pháp lý của bất kỳ hình thức chữ ký nào (ví dụ: ý nghĩa của chữ ký, của nhiều chữ ký và chữ ký bao gồm các cấu trúc thông tin phức tạp có chứa các chữ ký khác).
Tiêu chuẩn bảo mật 419 241-2
Tiêu chuẩn 419 241-2 đặc tả cấu hình bảo vệ cho Signature Activation Module (SAM), module này có chức năng điều khiển việc truy cập khóa bí mật cho người dùng, nhằm đáp ứng các yêu cầu của QSCD như được chỉ định trong Quy định (EU) số 910/2014 [eIDAS] (Định nghĩa chi tiết trong tài liệu prEN 419 241-2:2017 được trình bày bởi Technical Committee CEN/TC 224).
Tiêu chuẩn bảo mật 119 431
Tiêu chuẩn ETSI TS 119 431 -1 v1.1.1 chỉ định các yêu cầu về chính sách và bảo mật cho TSP nhằm triển khai hệ thống dịch vụ vận hành tạo chữ ký số từ xa (SCDev). Những yêu cầu này áp dụng cho khi thiết bị là QSCD được quy định trong (EU) No 910/2014. Tiêu chuẩn ETSI EN 319 411-1 phù hợp các yêu cầu chính sách và tài liệu tuyên bố thực hành áp dụng cho các TSPs.
Các yêu cầu về chính sách và bảo mật được xác định theo việc tạo, duy trì, quản lý vòng đời và việc sử dụng key trong tạo chữ ký số.
Tiêu chuẩn này được sử dụng cho các cơ quan độc lập làm cơ sở cho việc đánh giá sự phù hợp của TSP để có thể tin cậy vận hành QSCD/SCDev từ xa.
Tiêu chuẩn không chỉ định giao thức truy cập SSASC. Tiêu chuẩn hiện tại xác định các kiểm soát cụ thể cần thiết để giải quyết các rủi ro liên quan đến các dịch vụ hoạt động từ xa QSCD / SCDev.
Tiêu chuẩn có tham chiếu tới tiêu chuẩn CEN EN 419 214-1 (chỉ định mức độ an toàn cho việc kiểm soát duy nhất). Thuật ngữ “sole control – kiểm soát duy nhất” không có nghĩa chỉ áp dụng cho chữ ký điện tử theo quy định (EU) No 910/2014 được giải thích trong tiêu chuẩn CEN EN 4190241 – 1 điều 5.3. Các yêu cầu này còn có thể áp dụng cho con dấu điện tử.
Tiêu chuẩn bảo mật 119 432
Tài liệu ETSI TS 119 432 đặc tả các giao thức và các giao tiếp đối với quy trình tạo chữ ký số chuẩn AdES (Được định nghĩa trong tài liệu ETSI TS 119 102-1 [i.7]) và / hoặc chữ ký số DSV (Digital Signature Value) là kết quả của Đại diện cho tài liệu cần ký số DTBSR (Data To Be Signed Representation). Được thực hiện trên máy chủ dịch vụ ký số đặt từ xa, sử dụng giải pháp phân tán Cloud PKI bao gồm hai hoặc nhiều hệ thống / dịch vụ / thành phần.
Đặc tả kỹ thuật của tiêu chuẩn ETSI TS 119 432 chỉ giới hạn ở việc ký số tạo chữ ký số trên máy chủ đặt từ xa, tức là khóa mật mã để ký được lưu giữ quản lý từ một hệ thống dịch vụ chia sẻ ở xa người ký.
LƯU Ý: Việc ký số từ xa nhưng quá trình tạo chữ ký số được thực hiện bởi trạm đầu cuối (thiết bị cá nhân của người ký), như là khóa mật mã để ký được lưu giữ quản lý ở tại thiết bị đầu cuối của người ký còn các bước thực hiện thủ tục ký số được thực hiện từ các dịch vụ trên mạng Internet không thuộc phạm vi tài liệu này.
Tài liệu ETSI TS 119 432 đặc tả các giao thức với hai định dạng: XML và JSON.
Giao thức cho phép yêu cầu tạo và trả về kết quả cho các định dạng chữ ký số AdES sau đây:
-
- Dạng Digital Signature Values (General)
- Dạng CadES (CMS)
- Dạng PadES (PDF)
- Dạng XadES (XML)
Giao thức hỗ trợ cả hai phương thức đồng bộ và dị bộ cho quản lý các yêu cầu và phản hồi.
Giao thức hỗ trợ tạo ra chữ ký số đính kèm và không đính kèm nội dung.
Các giao thức trong tài liệu này sử dụng lại hệ thống cấu trúc theo những đặc tả XML CSC JSON và OASIS DSS-X. Những trường hợp không thể sử dụng lại, tài liệu này xây dựng thêm đặc tả ngữ nghĩa và cú pháp theo hai định dạng: XML và JSON. Cho các thành phần mới.
Việc xác thực quyền sử dụng khóa mật mã tạo chữ ký số của người ký yêu cầu cơ chế kiểm tra nhiều lớp để đảm bảo sự kiểm soát người ký hợp lệ. Cách thức quy trình xác thực người ký được thực hiện bởi nhà cung cấp dịch vụ bằng các cơ chế xác thực đa nhân tố không thuộc phạm vi tài liệu này
Tiêu chuẩn bảo mật 419 221-5
Đây là tiêu chuẩn bảo mật áp dụng cho mô đun mật mã HSM.
Protection Profile (PP) – Hồ sơ bảo vệ, xác định yêu cầu bảo mật cho các mô-đun mật mã sử dụng bởi nhà cung cấp dịch vụ tin cậy, hỗ trợ ký điện tử và dịch vụ xác thực. Nó bao gồm hỗ trợ tùy chọn để sao lưu khóa được bảo vệ.
Protection Profile hỗ trợ các nhà cung cấp dịch vụ tin cậy được xác định theo quy định đề xuất của Nghị viện Châu Âu và của Hội đồng về nhận dạng điện tử và dịch vụ tin cậy cho các giao dịch điện tử trên thị trường nội bộ châu Âu (eIDAS).
TOE (Target of Evaluation) là mô đun bảo mật, tạo và/hoặc bảo vệ khóa bí mật cũng như các dữ liệu nhạy cảm khác và cho phép việc kiểm soát các dữ liệu hoặc các service mật mã được hỗ trợ bởi nhà cung cấp d.vụ.
Có thể xem kiến trúc của TOE là định hướng chung mà các nhà sản xuất HSM phải tuân thủ để đạt chứng nhận PP-5. TOE là một tập các phần mềm và phần cứng được cấu hình. Kiến trúc TOE chung được hiển thị trong sơ đồ:
Kiến trúc TOE của HSM
a) Quy trình sinh khóa:
-
- Người dùng xác thực quyền trên ứng dụng của thiết bị di động cá nhân
- Ứng dụng trên thiết bị di động cá nhân gửi thông tin và yêu cầu sinh khóa về server
- Server tiếp nhận và sử dụng thông tin, sinh cặp khóa tại HSM và chia sẻ với ứng dụng trên thiết bị di động cá nhân.
- Hệ thống đồng bộ thông tin, xác nhận sinh khóa thành công, lưu trữ thông tin người dùng vào CSDL và công bố chính thức cặp khóa
- Sử dụng cặp khóa đã được hệ thống công bố để tạo request và cấp chứng thư số
b) Quy trình số:
Người dùng gửi yêu cầu ký số dữ liệu về hệ thống
-
- Hệ thống xử lý yêu cầu và bắt buộc người dùng xác thực quyền qua ứng dụng trên thiết bị di động cá nhân
- Hệ thống kiểm tra tính hợp lệ và thực hiện ký số đối với dữ liệu của người dùng
- Hệ thống trả về dữ liệu đã được ký số, thông báo đến người dùng ký số thành công.
Bảng dưới đây so sánh tất cả các quy trình hoạt động của CA theo mô hình chữ ký số truyền thống và mô hình chữ ký số sử dụng máy chủ ký (remote signing):
| Quy trình hoạt động của CA mô hình chữ ký số truyền thống | Quy trình hoạt động của CA mô hình máy chủ ký (remote signing) |
| Máy chủ cấp và quản lý CTS: sử dụng tất cả các hệ thống (Microsoft CA, EJBCA…) | Máy chủ cấp và quản lý CTS: sử dụng tất cả các hệ thống (Microsoft CA, EJBCA…) |
| Lưu trữ khóa riêng của CA trên tất cả các loại HSM (Utimaco, nCipher, SafeNet…) | Lưu trữ khóa riêng của CA trên tất cả các loại HSM (Utimaco, nCipher, SafeNet…) |
| Cơ chế sinh khóa đơn trên thiết bị lưu trữ khóa người dùng (token, smartcard, sim…) | Cơ chế sinh khóa phức trên HSM (server) và xác thực từ thiết bị di động cá nhân (client), có sự liên kết logic chặt chẽ giữa các thành phần của khóa) |
| Công bố chứng thư sử dụng LDAP, AD | Công bố chứng thư sử dụng LDAP, AD |
| Ký số và xác thực theo mô hình khóa đơn | Ký số và xác thực theo mô hình ký server, có sự xác thực từ thiết bị di động cá nhân |
| Chứng thực theo CRL, OCSP | Chứng thực theo CRL, OCSP |
| Thu hồi chứng thư theo hệ thống quản lý chứng thư | Thu hồi chứng thư theo hệ thống quản lý chứng thư |
2. Các đối tượng cần chuẩn hóa
Các đối tượng cần chuẩn hóa bao gồm:
- Chính sách và yêu cầu an ninh cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số
- Giao thức tạo chữ ký số;
- Module ký số (PP);
- Ứng dụng ký trên server;
- HSM ký số tập trung.
3. Kinh nghiệm quốc tế
Quy định eIDAS ban hành năm 2014 của EU cho phép chữ ký điện tử được tạo từ xa (remote qualified signature) bằng các khóa bí mật của người dùng, phương thức này còn được gọi là ký số tập trung (Central signing), ký số phía máy chủ (Server signing) hoặc ký số trên đám mây (Cloud signing). Chữ ký số tạo ra theo phương thức này được chấp nhận về mặt pháp lý tương đương với chữ viết tay trên toàn EU.
Với những lợi thế của giải pháp ký số từ xa mang lại cho người dùng cuối (cá nhân và doanh nghiệp, tổ chức). quy định của eIDAS đã mở đường cho một loạt các công ty hoạt động trong lĩnh vực chứng thực điện tử (CA, doanh nghiệp cung cấp thiết bị HSM) phát triển và cung cấp các giải pháp chữ ký số từ xa không chỉ trong phạm vi EU mà còn cả các nước khác trên thế giới.
Các hãng nổi tiếng có thể kể đến gồm: Adobe, Docusign (Mỹ), Cryptomathic (Đan Mạch), Ascertia, n-Cipher (Anh), SK solution…
4. Đề xuất tiêu chuẩn
Đề xuất lựa chọn áp dụng bộ tiêu chuẩn của Châu Âu cho dịch vụ chứng thực chữ ký số trên nền tảng điện toán đám mây.
| Loại Tiêu chuẩn | Ký hiệu tiêu chuẩn | Tên đầy đủ của tiêu chuẩn | Quy định áp dụng |
| Tiêu chuẩn cung cấp dịch vụ chứng thực chữ ký số theo mô hình điện toán đám mây | |||
| Chính sách và yêu cầu an ninh cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số | ETSI TS 119 431-1 | Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev | Áp dụng cả bộ tiêu chuẩn 2 phần; Phiên bản V1.1.1 |
| ETSI TS 119 431-2 | Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation | ||
| Giao thức tạo chữ ký số | ETSI TS 119 432 | Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation | Phiên bản V1.1.1 |
| Ứng dụng ký trên server | CEN EN 419 241-1 | Security Requirements for Trustworthy Systems Supporting Server Signing; | |
| Yêu cầu cho module ký | CEN EN 419 241-2 | Trustworthy Systems Supporting Server Signing Part 2: Protection Profile for QSCD for Server Signing | Phiên bản V0.16 |
| Yêu cầu cho HSM | CEN EN 419 221-5 | Protection profiles for TSP Cryptographic modules – Part 5 Cryptographic Module for Trust Services | Phiên bản V0.15 |
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
