Lượt xem: 5122 | Gửi lúc: 29/03/2012 13:57:20
Bookmark and Share

PKI chuyên dùng Chính phủ: Hiện trạng và định hướng phát triển

Đến nay, Trung tâm Chứng thực điện tử chuyên dùng Chính phủ thuộc Ban Cơ yếu Chính phủ đã thiết lập được hệ thống PKI chuyên dùng Chính phủ với hạ tầng kỹ thuật công nghệ hiện đại, đồng bộ, hoạt động ổn định, trực tuyến 24/7, đáp ứng đầy đủ các yêu cầu cấp chứng thư số và các dịch vụ chứng thực chữ ký số cần thiết cho các cơ quan Đảng và Nhà nước.

I. Giới thiệu hệ thống PKI chuyên dùng Chính phủ
Để triển khai cho các cơ quan thuộc hệ thống chính trị trên phạm vi toàn quốc, hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ được thiết lập dạng hình cây hai cấp là cơ quan chứng thực gốc (RootCA) tại Ban Cơ yếu Chính phủ và các cơ quan chứng thực cấp 2 (SubCAs) được quy hoạch để phục vụ riêng cho các cơ quan, Bộ, ngành khác nhau (Hình 1).
Hệ thống kỹ thuật được thiết lập thành các khu vực theo các nhóm chức năng, được phân chia theo mức độ an toàn và được tách biệt về mặt vật lý, bao gồm:
- Khu vực RootCA: tạo khóa gốc, cấp chứng thư số cho các SubCAs.
- Khu vực SubCAs: tạo khóa, cấp chứng thư số cho thuê bao.
- Khu vực Government Netword: khu vực cung cấp dịch vụ chứng thực chữ ký số, kết nối với mạng chuyên dùng của các cơ quan Đảng và Nhà nước hoặc Internet.
- Khu vực quản trị hạ tầng và tác nghiệp.
- Khu vực hỗ trợ trực tuyến.
Hiện trạng triển khai


Hình 1: Kiến trúc hệ thống cung cấp dịch vụ chứng thực chữ ký số

Hiện nay Trung tâm CTĐTCDCP đã triển khai cung cấp chứng thư số và phần mềm phục vụ ký xác thực trên hệ thống thư điện tử cho các cơ quan của Đảng và Nhà nước, cụ thể như sau:
- Các cơ quan Đảng: Triển khai chứng thư số và phần mềm phục vụ ký xác thực trên hệ thống thư điện tử và triển khai chứng thư số cho hệ thống bảo mật CSDL đảng viên, hệ thống thông tin chuyên ngành tổ chức xây dựng Đảng.
- Bộ Công an: Triển khai chứng thư số và phần mềm phục vụ ký xác thực trên hệ thống thư điện tử.
- Bộ Ngoại giao: Triển khai chứng thư số phục vụ xác thực người sử dụng cho hệ thống phần mềm NetOfffice.
- Bộ Tài chính: Triển khai chứng thư số phục vụ ứng dụng báo cáo thanh tra, ứng dụng quản lý công sản, cho hệ thống Hải quan và hệ thống Kho bạc.
- Văn phòng Chính phủ: Triển khai chứng thư số, phần mềm ký và xác thực chữ ký số trên hệ thống thư điện tử; hệ thống Voffice.
- Cục Tần số: Triển khai chứng thư số cho phần mềm cấp phép điện tử.
Và một số Bộ khác như Bộ Nội vụ, Bộ Thông tin & Truyền thông, Bộ Giao thông vận tải,....
Ngoài ra nhiều tỉnh, thành phố cũng đã triển khai chứng thư số của hệ thống PKI chuyên dùng như Thanh Hóa, Đồng Nai, Đồng Tháp, An Giang, Thái Bình,....
Hiện nay, Trung tâm đã cung cấp một số sản phẩm và dịch vụ cho các cơ quan tổ chức trong cả nước:
- Dịch vụ tiếp nhận và xử lý các yêu cầu đăng ký cấp mới, cấp lại, thu hồi các chứng thư số và quản lý các chứng thư số trong suốt vòng đời của chúng.
- Dịch vụ công bố thông tin qua website http://ca.gov.vn nhằm hỗ trợ các thuê bao tìm hiểu thông tin về các dịch vụ, chính sách và tải các chứng thư số về sử dụng.
- Dịch vụ cung cấp Dấu thời gian với nguồn thời gian chuẩn được đồng bộ từ vệ tinh hoặc các nguồn thời gian chuẩn khác cho chữ ký số, nhằm ngăn chặn khả năng chối bỏ thời gian tạo chữ ký của người ký. Đây là một tính chất rất quan trọng của chữ ký số trong các giao dịch điện tử.
- Dịch vụ kiểm tra chứng thư số trực tuyến nhằm cung cấp khả năng kiểm tra các chứng thư số trực tuyến một cách nhanh chóng và chính xác, trợ giúp thuê bao kiểm tra tình trạng hợp lệ của chứng thư số khi có yêu cầu.
Các sản phẩm:
- Đảm bảo chứng thư số cho người sử dụng trong các cơ quan thuộc hệ thống chính trị để tích hợp chữ ký số vào văn bản điện tử, thư điện tử, ứng dụng phần mềm điều hành tác nghiệp (Chứng thư số cho công chức).
- Đảm bảo tính xác thực của các hệ thống trang thông tin điện tử của các cơ quan Nhà nước (Chứng thư số cho Web Server).



- Đảm bảo chứng thư số cho các hệ thống dịch vụ mạng và bảo mật của Nhà nước (Chứng thư số cho Mail Server, VPN Server).
- Gói sản phẩm xác thực và bảo mật cho người dùng cuối: xác thực bảo mật các tài liệu điện tử, thư điện tử, các tài liệu Ms Office như: (Ms Word, Excel) xác thực, bảo mật tài liệu định dạng PDF, bảo mật các ổ đĩa lưu trữ....
- Bộ PKI Toolkit nhằm trợ giúp các cơ quan, đơn vị tự tích hợp chữ ký số, chứng thư số vào các ứng dụng chuyên ngành của mình.
- Bộ phần mềm ký web nhằm trợ giúp tích hợp chữ ký số vào các ứng dụng web- based của các cơ quan thuộc hệ thống chính trị.
Bước đầu, quá trình triển khai hệ thống PKI Chính phủ thời gian qua có những thuận lợi, khó khăn sau:
Thuận lợi
- Hạ tầng kỹ thuật và đội ngũ chuyên gia hệ thống PKI chuyên dùng Chính phủ có khả năng đáp ứng tốt các nhu cầu ứng dụng chữ ký số của các cơ quan thuộc hệ thống chính trị.
- Tốc độ tin học hóa hành chính công, triển khai chính phủ điện tử tăng nhanh trong những năm vừa qua tạo điều kiện thuận lợi cho việc ứng dụng chữ ký số trong các cơ quan Đảng và Nhà nước.
- Nhận thức về an toàn thông tin và vai trò của chữ ký số trong cơ quan Đảng và Nhà nước ngày càng được nâng cao.
Khó khăn
- Thực tế thời gian qua, việc ứng dụng chữ ký số vẫn còn khá khiêm tốn. Ngoài một vài Bộ, ngành mang tính tiên phong, còn rất nhiều đơn vị khác chưa thực sự quan tâm tới ứng dụng này.
- Việc triển khai chữ ký số đòi hỏi sự tương tác rất lớn, trong khi ứng dụng CNTT chưa đồng đều giữa các Bộ, ngành, địa phương nên mới chỉ ứng dụng được ở một vài đơn vị và địa phương có CNTT phát triển mà chưa thực hiện rộng rãi được. Nguyên nhân là do nhu cầu thực sự chưa nhiều, việc ứng dụng chữ ký số còn phức tạp và thiếu đồng bộ.
- Một số tỉnh, thành phố chưa nhận thức đúng và đầy đủ về hệ thống PKI chuyên dùng Chính phủ nên đã tự ý xây dựng các hệ thống CA riêng, gây chồng chéo chức năng nhiệm vụ và lãng phí ngân sách Nhà nước.

II. Định hướng nghiên cứu phục vụ hệ thống PKI chuyên dùng Chính phủ
- MobilePKI
Ngày nay thiết bị di động (máy tính bảng, điện thoại di động,...) đang phát triển rất mạnh và trở thành một loại thiết bị không thể thiếu trong xã hội hiện đại. Khái niệm về Mobile PKI, đã có từ năm 2001, tuy nhiên, ứng dụng quy mô rộng của Mobile PKI chủ yếu phát triển trong năm 2008 - 2009. Nhiều công nghệ và giao thức đang được sử dụng trong Mobile PKI được công bố công khai.  Việc nghiên cứu về MobilePKI đã được Ban Cơ yếu Chính phủ quan tâm nhằm ứng dụng chữ ký số và các thiết bị di động cầm tay của các cơ quan Đảng và Nhà nước trong thời gian sắp tới.
- e-Passport (hộ chiếu điện tử)
Trên thế giới, nhiều quốc gia đã triển khai hệ thống hộ chiếu điện tử để kiểm soát xuất nhập cảnh với mục đích chống giả mạo hộ chiếu, thuận tiện cho việc quản lý. Ở Việt Nam, triển khai hộ chiếu điện tử là cần thiết trong quá trình hội nhập và phát triển. Chương trình xây dựng và triển khai hộ chiếu điện tử để phù hợp với các nhu cầu phát triển của xã hội, tăng tính an toàn/an ninh cũng như chống giả mạo hộ chiếu/thị thực là rất cần thiết. Những nghiên cứu về hộ chiếu điện tử đang được một số cơ quan dầu tư nghiên cứu.
- Giấy phép lái xe điện tử
Mẫu giấy phép lái xe mới (thẻ nhựa) đã được Tổng cục Đường bộ Việt Nam nghiên cứu và sẽ triển khai đưa vào sử dụng trong năm 2012. Trong quá trình xây dựng phần mềm quản lý cấp phép lái xe mới, Tổng cục ĐBVN  đã được Ban Cơ yếu Chính phủ hỗ trợ tích hợp chữ ký số vào phần mềm này. Như vậy, giấy phép lái xe trong thời gian tới sẽ được tích hợp chip điện tử và sẽ phải tích hợp chứng thư số.
- Chứng minh thư điện tử
Chứng minh thư điện tử đang được sử dụng rộng rãi ở các nước phát triển. Việt Nam đã có dự án triển khai chứng minh thư điện tử. Việc
tích hợp chứng thư số và chứng minh thư điện tử đã được một số nước phát triển ứng dụng mang nhiều tiện lợi, đây là một định hướng nghiên cứu mới trong triển khai chứng minh thư điện tử.

III. Ứng dụng trong Điện toán đám mây
Điện toán đám mây là một thuật ngữ được nhắc tới khá nhiều trong giới công nghệ gần đây. Thuật ngữ này liên quan tới rất nhiều các công nghệ mới đang phát triển và bản thân định nghĩa về điện toán đám mây cũng còn đang được điều chỉnh cho phù hợp.
Điện toán đám mây được cung cấp theo các loại hình dịch vụ chính là: Dịch vụ dạng cơ sở hạ tầng (IaaS - Infrastructure as a Service), Dịch vụ dạng nền tảng (PaaS - Platform as a Service) và Dịch vụ dạng phần mềm (SaaS – Software as a Service). Hiện nay, điện toán đám mây có một số kiểu mô hình ứng dụng như: Điện toán đám mây riêng tư, điện toán đám mây công cộng, điện toán đám mây cộng đồng và điện toán đám mây lai ghép.
Yêu cầu về an toàn dữ liệu sử dụng công nghệ điện toán đám mây cũng là những yêu cầu về bảo đảm an toàn dữ liệu nói chung, bao gồm: Ngăn chặn truy nhập trái phép thông tin;  Đảm bảo tính toàn vẹn của thông tin; Đảm bảo thông tin luôn được sẵn sàng (Availability): thông tin luôn được sẵn sàng khi cần sử dụng hoặc truy cập. Đây cũng chính là những tính chất mà một hệ thống PKI nói chung hay hệ thống PKI chuyên dùng Chính phủ có thể đảm bảo.
Bên cạnh đó, Công nghệ điện toán đám mây cũng tiềm ẩn những rủi ro như: Độ an toàn của đám mây phụ thuộc vào khả năng đảm bảo an toàn của nhà cung cấp dịch vụ; Chia sẻ tài nguyên cho các khách hàng không đáng tin cậy; Khả năng mất an toàn trong việc cung cấp các giao diện ứng dụng và các API khi sử dụng dịch vụ trên đám mây; Xác thực, phân quyền chưa đủ mạnh; Không rõ ràng về xuất xứ thiết bị sử dụng làm tài nguyên trong đám mây.

Một số giải pháp đảm bảo an toàn cho điện toán đám mây
- Có thủ tục đăng ký và xác nhận sử dụng chặt chẽ.
- Đảm bảo các biện pháp xác thực mạnh và mã hóa kênh truyền.
- Kiểm tra và giám sát đối với các thủ tục đảm bảo an toàn của nhà cung cấp dịch vụ cũng như nhân lực vận hành.
- Mã hóa và đảm bảo tính toàn vẹn của dữ liệu khi truyền, nhận.
- Tận dụng kỹ thuật xác thực mạnh, đa nhân tố.
Ứng dụng PKI cho điện toán đám mây
- Quản lý truy cập an toàn cho SaaS bằng cách sử dụng cơ chế xác thực đa nhân tố (certificate, smartcard) để đăng nhập vào ứng dụng phần mềm trên đám mây.
- Đảm bảo an toàn cho máy ảo nhằm đảm bảo xác thực an toàn và mã hóa dữ liệu của máy ảo.
- Mã hóa dữ liệu lưu trữ trên đám mây.
- Mã hóa dữ liệu trên kênh truyền khi khách hàng kết nối với đám mây, thiết lập kênh mã hóa trong đám mây và thiết bị kết nối vào dịch vụ trên đám mây.
- Đảm bảo tính bảo mật và toàn vẹn của dữ liệu trong đám mây (sử dụng chữ ký số) (Hình 2).


Hình 2: Mô hình bảo mật kênh và dữ liệu sử dụng chứng thư số cho điện toán đám mây

Với những ứng dụng hạ tầng sẵn có của PKI chuyên dùng Chính phủ hiện nay, hoàn toàn có thể đáp ứng tốt bài toán bảo mật và xác thực cho các hệ thống và ứng dụng sử dụng điện toán đám mây.

Kết luận
Quy trình, thủ tục cung cấp và quản lý sử dụng kết hợp với hạ tầng kỹ thuật đồng bộ hiện đại của hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng do Ban Cơ yếu Chính phủ thành lập và duy trì sẵn sàng đáp ứng mọi nhu cầu ứng dụng và triển khai của các cơ quan Đảng và Nhà nước. Thời gian qua, Ban Cơ yếu Chính phủ đã phối hợp với một số cơ quan, Bộ, ngành triển khai cung cấp hàng nghìn chứng thư số trên các mạng CNTT, đồng thời đã triển khai mô hình phân tán cho một số Bộ đạt kết quả tốt.
Hạ tầng kỹ thuật PKI và đội ngũ chuyên gia sẵn sàng chuẩn bị đáp ứng các loại dịch vụ chứng thực chữ ký số chuyên dùng cho các loại môi trường CNTT mới như tính toán đám mây, liên lạc vô tuyến di động,....

Việc triển khai chữ ký số và dịch vụ chứng thực chữ ký số liên quan đến nhiều yếu tố, đặc biệt là sự phối hợp chặt chẽ giữa các cơ quan, Bộ, ngành và Ban Cơ yếu Chính phủ trong việc xây dựng kế hoạch triển khai cụ thể

KS. Nguyễn Hữu Hùng