Ngày nay, thiết bị di động (máy tính bảng, điện thoại di động, laptop…) đang phát triển rất mạnh và là một thiết bị không thể thiếu trong xã hội. Việc sử dụng các thiết bị di động để trao đổi thông tin, thực hiện các giao dịch điện tử như tài chính, hành chính công ngày càng trở nên phổ biến. Chỉ với thiết bị di động có khả năng kết nối Internet qua Wifi, 3G, 4G…, người dùng có thể thực hiện giao dịch mọi lúc, mọi nơi.
Hiện nay, việc sử dụng mật mã khóa công khai và dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được nhiều quốc gia trên thế giới sử dụng. Để triển khai chữ ký số trên thiết bị di động, trên thế giới đã sử dụng nhiều giải pháp khác nhau, tùy thuộc vào trình độ phát triển CNTT và hiện trạng ứng dụng PKI của từng nước. Dựa trên phương thức lưu trữ khóa bí mật trên thiết bị di động, có thể phân loại Mobile PKI theo 02 hình thức như sau:
- Khóa bí mật lưu trên thiết bị di động (SIM based)
- Khóa bí mật lưu trên máy chủ tập trung (Cloud-based)
Nhu cầu triển khia và tiêu chuẩn hóa Mobile PKI tại Việt Nam
Ở Việt Nam, chữ ký số và dịch vụ chứng thực chữ ký số truyền thống trên các máy tính đã được triển khai rộng rãi. Cùng với việc chuyển các ứng dụng từ trên máy tính sang các thiết bị di động thì chữ ký số cũng không nằm ngoài xu thế đó. Việc ứng dụng chữ ký số qua thiết bị di động đang cõ nhu cầu rất lớn do tính thuận tiện cho nghiệp vụ kinh doanh, giao dịch điện tử.
Nghị định số 130/2018/NĐ-CP (điểm b khoản 4 Điều 13; khoản 5 Điều 41; và điểm b khoản 2 Điều 46) đã quy định: tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được cấp phép; tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức được cấp giấy chứng nhận đảm bảo an toàn; tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận phải tuân thủ các quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số do Bộ TTTT ban hành.
- Đối với việc cung cấp dịch vụ chứng thực chữ ký số truyền thống, Bộ TTTT đã ban hành Thông tư 06/2015/TT-BTTTT ngày 23 /3/2015 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số.
- Đối với việc cung cấp dịch vụ chứng thực chữ ký số qua thiết bị di động, do Mobile PKI có những đặc thù riêng, nhiều giải pháp triển khai; tương ứng với mỗi giải pháp là các tiêu chuẩn kỹ thuật riêng. Thông tư 06/2015/TT-BTTTT chưa bao quát các giải pháp công nghệ và tiêu chuẩn này.
Do vậy Bộ TTTT đã tổ chức nghiên cứu, xây dựng quy định Danh mục quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc áp dụng về chữ ký số trên thiết bị di động để áp dụng cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số qua thiết bị di động, đảm bảo tính an toàn, giá trị pháp lý của chữ ký số; làm căn cứ để cấp phép, cấp giấy chứng nhận, công nhận cho tổ chức cung cấp dịch vụ chứng thực chữ ký số và thúc đẩy triển khai dịch vụ chữ ký số qua thiết bị di động tại Việt Nam.
Hiện trạng xây dựng tiêu chuẩn Moblie PKI
Hiện tại, các văn bản quy định do Bộ TTTT ban hành có liên quan đến tiêu chuẩn chữ ký số và dịch vụ chứng thực chữ ký số tại Việt Nam bao gồm:
-
-
- Thông tư số 06/2015/TT-BTTTT ngày 23 /3/2015 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số.
- Thông tư số 39/2017/TT-BTTTT ngày 15/12/2017 ban hành Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước.
- Thông tư số 41/2017/TT-BTTTT ngày 19/12/2017 quy định về sử dụng chữ ký số trên văn bản điện tử trong cơ quan nhà nước.
-
2.1 Các tổ chức ban hành tiêu chuẩn về PKI.
Theo nghiên cứu, hầu hết các nước trên thế giới đều dựa vào các tiêu chuẩn mà các tổ chức quốc tế đưa ra để áp dụng toàn bộ hoặc chọn lọc một số tiêu chuẩn để áp dụng cho nước mình. Một số nước phát triển (như Mỹ) cũng tự xây dựng các tiêu chuẩn về mật mã và cũng được các nước khác lựa chọn, chấp nhận áp dụng. Việc lựa chọn áp dụng tiêu chuẩn phụ thuộc vào trình độ phát triển CNTT và hiện trạng ứng dụng PKI của mỗi nước.
Các Tổ chức ban hành các tiêu chuẩn liên quan PKI trên thế giới gồm có:
-
-
- ISO: Tổ chức tiêu chuẩn hóa thế giới
- NIST: Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ
- ANSI: Viện tiêu chuẩn quốc gia Hoa Kỳ
- ETSI: Viện tiêu chuẩn viễn thông Châu Âu
- CEN: Ủy ban tiêu chuẩn Châu Âu
- EEE: Viện kỹ nghệ điện và điện tử
- IETF: Nhóm đặc trách về kỹ thuật Internet
- PKIX: Nhóm làm việc về khóa công khai của IETF
- RSA PKCS: Tập các tiêu chuẩn về PKI của RSA
-
2.2 Tình hình xây dựng tiêu chuẩn về Mobile PKI
2.2.1. Hiện trạng xây dựng tiêu chuẩn Mobile PKI của Châu Âu
Đối với Liên minh châu Âu (EU), thương mại điện tử là cơ hội tuyệt vời để thúc đẩy các chương trình hội nhập kinh tế. Cách tiếp cận như vậy đòi hỏi một cơ chế bảo mật thích hợp để cho phép hoàn thành các tương tác ‘từ xa’ giữa các bên một cách tin cậy. Để giải quyết vấn đề này, Chỉ thị của Nghị viện và Hội đồng Châu Âu về Chữ ký điện tử (European Parliament and Council Directive on Electronic Signatures -1999/93 / EC) đã được ban hành vào ngày 13 tháng 12 năm 1999. Trong ngữ cảnh của Chỉ thị EU 1999, quy định hiện tại tập trung vào chữ ký điện tử được tạo bằng một phương tiện mã hóa trong một “thiết bị tạo chữ ký an toàn”.
Tiêu chuẩn chữ ký số trên thiết bị di động:
Vào tháng 6 năm 2003, các điều khoản bảo mật cho các hệ thống tạo và xác minh chữ ký là các bên muốn cung cấp chữ ký yêu cầu thiết bị “đặc biệt”. Thông thường, điều này liên quan đến thẻ thông minh (smart card) và đầu đọc thẻ có đủ khả năng xử lý và khả năng hiển thị để trình bày chi tiết đầy đủ về giao dịch sẽ được “ký”. Ủy ban Châu Âu đã phân bổ ngân sách cho ETSI để thành lập Nhóm chuyên trách Specialist Task Force (STF-221) để xây dựng một bộ tiêu chuẩn cho dịch vụ chữ ký di động. Nhóm này đã tham gia hỗ trợ công việc đã được thực hiện bởi một nhóm khác của ETSI, ETSI Project M-Commerce (EP M-Comm) từ cuối năm 2000. Nhiệm vụ của EP M-COMM là phân tích nhu cầu kinh doanh của người dùng, các nhà cung cấp nội dung, các ngân hàng và các tổ chức thanh toán để bảo mật hệ thống di động. Nó cũng hợp tác chặt chẽ với các cơ quan khác như Hiệp hội di động toàn cầu (GSM), Liên minh di động mở (OMA) và Radicchio…
Đến tháng 7/2013, Dự án EP- M-Comm kết thúc, kết quả Nhóm đã hoàn thành 04 tiêu chuẩn dạng báo cáo (TR) và thông số kỹ thuật (TS) cho dịch vụ chữ ký di động, bao gồm:
-
-
- TR 102 203: Mobile Commerce (M-COMM); Mobile Signatures; Business and Functional Requirements.
- TS 102 204: Mobile Commerce (M-COMM); Mobile Signature Service; Web Service Interface
- TR 102 206: Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework.
- TS 102 207: Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services
-
Bộ các tiêu chuẩn TR và TS trên cho phép thiết kế và triển khai giải pháp chữ ký điện tử di động có thể tương tác với nhau, được chấp nhận, sử dụng rộng rãi tại Châu Âu và các nước khác.
Tiêu chuẩn chữ ký số trên nền tảng điện toán đám mây:
Tháng 4/2019, Ủy ban kỹ thuật về Cơ sở hạ tầng chữ ký điện tử (TC ESI) của ETSI ban hành một bộ 3 tiêu chuẩn kỹ thuật cho chữ ký số trên nền tảng điện toán đám mây (cloud-based) để hỗ trợ triển khai dịch vụ chứng thực chữ ký số trên các thiết bị di động, bao gồm các tiêu chuẩn:
ETSI TS 119 431-1: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev
ETSI TS 119 431-2: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation.
ETSI TS 119 432: Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation
Bộ tiêu chuẩn mới này tạo điều kiện để triển khai dịch vụ chứng thực chữ ký số trên Cloud, trong đó người dùng không phụ thuộc vào các phần mềm chuyên dụng hoặc thiết bị mã hóa (token). Người ký ủy quyền cho bên thứ ba để quản lý khóa ký và ký điện tử các tài liệu dưới sự kiểm soát của họ. Để đảm bảo rằng môi trường tạo chữ ký dựa trên đám mây là đáng tin cậy và khóa bí mật chỉ được sử dụng dưới sự kiểm soát của người ký, tổ chức cung cấp dịch vụ chữ ký số phải áp dụng các quy trình quản lý và bảo mật quản trị cụ thể và sử dụng các hệ thống, thiết bị mã hóa đáng tin cậy, bao gồm cả các kênh truyền thông điện tử an toàn.
2.2.2. Hiện trạng xây dựng tiêu chuẩn Mobile PKI của Mỹ
Ngày 30/12/2014, Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ (NIST) ban hành tài liệu hướng dẫn: NIST SP PUB 800-157 Guideline for Derived PIV Credential. Hướng dẫn này cung cấp các tiêu chuẩn kỹ thuật cho một hệ thống mà các thiết bị di động như điện thoại thông minh, máy tính bảng được cung cấp các thẻ PIV (PIV credential: thẻ xác minh danh tính cá nhân, được Chính phủ liên bang Hoa Kỳ sử dụng để truy cập các cơ sở và hệ thống thông tin do Liên bang kiểm soát ở cấp độ bảo mật thích hợp), cho phép thiết bị di động thay thế thẻ thông minh (Smard card) để xác thực từ xa cho các hệ thống CNTT Liên bang. Tài liệu này cũng mô tả cách người dùng có thẻ PIV hợp lệ có thể nhận được mã thông báo PIV được tích hợp, có nguồn gốc với thông tin liên quan bằng cách sử dụng các mô-đun mã hóa phần cứng hoặc phần mềm. Cách tiếp cận này nhằm đáp ứng với thông tin xác thực thiết bị di động được nêu trong Tiêu chuẩn xử lý thông tin liên bang (Trin) 201-2, Xác minh danh tính cá nhân (PIV) của nhân viên và nhà thầu liên bang, được công bố vào tháng 8 năm 2013.
NIST (SP) 800-157 không đề cập đến việc sử dụng PIV card với thiết bị di động, mà thay vào đó cung cấp một giải pháp thay thế cho PIV card, trong trường hợp sử dụng PIV là không thực tế. Thay vì PIV card, SP 800-157 cung cấp token thay thế, có thể được triển khai và triển khai trực tiếp với các thiết bị di động (như điện thoại thông minh và máy tính bảng). PIV credential được liên kết với Token thay thế này được gọi là Derived PIV Credential.
Nội dung của NIST SP 800-157 gồm có quy định các tiêu chuẩn về chính sách chứng thư (CP), thiết bị mã hóa – cryptographic token (loại token như Bluetooth smart card, SIM, Microsoft, thông số của token…); chữ ký số và quản lý khóa… Dựa trên NIST SP 800-157, đến thời điểm hiện tại, chính phủ Hoa Kỳ sử dụng Bluetooth smart card là phương thức chủ yếu để ký số trên các thiết bị di động.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin