Cơ sở hạ tầng khoá công khai sinh trắc
Ngày nay, hệ thống cơ sở hạ tầng khoá công khai - PKI đang là một cơ sở quan trọng để triển khai các giao dịch điện tử trên mạng. PKI cùng các tiêu chuẩn và các công nghệ ứng dụng của nó được coi là một giải pháp tổng hợp giải quyết bài toán đảm bảo an toàn thông tin trong xã hội hiện đại. Đây là công nghệ xác thực đầu tiên và hoàn thiện sử dụng phương pháp mã hoá dựa trên khoá bí mật và khoá công khai. PKI cho phép người sử dụng của một mạng công cộng không bảo mật, như Internet, có thể trao đổi dữ liệu một cách an toàn thông qua việc sử dụng một cặp mã khoá công khai và bí mật được cấp phát và sử dụng qua một nhà cung cấp chứng thực tín nhiệm. Hệ thống này cung cấp các chứng thư số, dùng để xác minh một cá nhân hoặc tổ chức và khi cần thì có thể thu hồi lại. Ngoài ra, PKI còn bao gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác như: liên lạc an toàn, tem thời gian, chống chối bỏ, quản lý quyền ưu tiên...
Thông thường, mỗi hệ thống PKI có phần mềm máy chủ (server), phần mềm máy khách (client), phần cứng (như thẻ thông minh smart-card) và các quy trình hoạt động liên quan. Người sử dụng có thể ký các văn bản điện tử bằng khoá bí mật của mình và người khác có thể kiểm tra bằng khoá công khai tương ứng. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước.
Tuy nhiên, nhược điểm lớn của PKI chính là vấn đề đảm bảo an toàn cho khoá bí mật của người dùng trong khi lưu trữ cũng như sử dụng. Nền tảng của hệ thống PKI chính là hệ mật mã khoá công khai: tức là dùng một cặp gồm khoá công khai và khoá bí mật để thực hiện các quá trình xác thực. Từ đó làm nảy sinh các vấn đề về an toàn của khoá bí mật. Thông thường, khoá bí mật được lưu trữ trên phương tiện máy tính cá nhân người dùng hoặc lưu trên thẻ smartcard hoặc etoken của cá nhân. Song, quyền truy nhập đến khoá này lại chỉ được bảo vệ bằng mật khẩu (thường là 6-8 ký tự) mà trên thực tế, mật khẩu rất có nguy cơ bị lộ, bị mất hoặc bị đánh cắp bằng các chương trình virus, mã độc hại.... Khi đó, độ an toàn của giao dịch trong hệ thống không bảo đảm. Cơ chế đảm bảo an toàn cho khoá bí mật bằng mật khẩu không thể hiện được tính chống phủ nhận trong mật mã học. Mật khẩu của chủ sở hữu khoá có thể bị chia sẻ với một người khác một cách vô tình hoặc cố ý. Khi đó, người có mật khẩu này sẽ có đầy đủ quyền hạn như một người chủ thực sự.
Hơn nữa, PKI còn bị hạn chế là không có dấu hiệu đặc trưng để nhận biết chủ sở hữu của chứng thư số và việc xác thực chứng thư số chỉ dựa vào số serialnumber do Cơ quan chứng thực (CA) cấp. Mặt khác, trong hệ thống xác thực dựa trên PKI tiêu chuẩn, mặc dù mỗi người sử dụng sở hữu khóa bí mật riêng của từng người, nhưng đích thân người sử dụng vẫn phải đến Cơ quan đăng ký chứng chỉ (RA) hoặc CA để khôi phục lại chứng chỉ. Ngoài ra, khi có sự xâm hại đến khóa bí mật của người sử dụng dẫn đến họ không thể thực hiện được việc ký chữ ký số thì người sử dụng phải trực tiếp đến RA hoặc CA để xác minh định danh (ID) của mình và yêu cầu thay đổi chứng thư số.
Tất cả các vấn đề này có thể được giải quyết bằng một cách đơn giản hơn, đó là kết hợp đặc điểm sinh trắc của chủ sở hữu khoá vào hệ thống PKI. Việc làm này tạo nên một cơ chế xác thực định danh mạnh hơn mật khẩu truyền thống. Về nguyên tắc, đây là giải pháp tương đối hoàn thiện cho vấn đề bảo vệ an toàn và sử dụng khoá bí mật. Hệ thống kết hợp này sẽ là hệ thống PKI sinh trắc hay BioPKI.
BioPKI mang đến sự tin cậy và tính xác thực cho các giao dịch trên mạng. Đây là một hệ thống cơ sở hạ tầng mạng được thiết lập với việc sử dụng khóa bí mật sinh trắc học. Nhìn chung, BioPKI là sự kết hợp của hai giải pháp phần mềm xác thực: hệ thống chữ ký sinh trắc học hiện đại và chữ ký kỹ thuật số. Sự kết hợp các giải pháp cho phép đảm bảo rằng, việc xác thực người sử dụng được tiến hành tin cậy và an toàn theo tiêu chuẩn của hệ thống mạng. Bằng việc bổ sung tính xác thực của chữ ký điện tử hiện hành, chữ ký sinh trắc góp phần cải thiện các chữ ký số tiêu chuẩn. Khác với sự kiểm tra đơn giản hệ thống sinh trắc học thuần túy hay môi trường chữ ký/chứng thư số, BioPKI kết hợp công nghệ sinh trắc học để truy cập khóa bí mật, tạo ra ký số dựa trên sự xác thực sinh trắc và kỹ thuật PKI theo chuẩn công nghiệp. BioPKI sử dụng kỹ thuật mật mã khoá công khai để mã hóa thông tin của chữ ký sinh trắc học cho quá trình truyền đến server của BioPKI. Gói mã hóa này có chứa một số lớp thông tin nội bộ để đảm bảo rằng, khóa sinh trắc học được bảo mật và được xác nhận trước khi truy cập bằng khóa bí mật.
Hệ thống này có điểm nổi bật là giúp nhanh chóng xác thực những người dùng cá nhân mà trước đây vẫn phải dùng mã Pin/Token đơn giản (gồm 4 số) để đảm bảo bí mật mã số cá nhân của người dùng (ví dụ như khi dùng smart card - thẻ thông minh). Server xác thực của BioPKI có quyền truy cập vào các mẫu sinh trắc học cần thiết để xác thực cá nhân trước khi truy cập khóa bí mật của người sử dụng và khả năng xử lý để chuyển chữ ký số cho quy trình giao dịch. Nó bao gồm các thực thể như: cổng thanh toán điện tử, các tổ chức tài chính hoặc tổ chức cung cấp dịch vụ chứng thực. BioPKI triển khai tính xác thực người sử dụng sinh trắc cũng giống như là kỹ thuật hạ tầng khóa bí mật. Cách tiếp cận này cho phép những khóa bí mật có thể được lưu trữ trên một máy chủ an toàn và chỉ được truy cập sau khi chữ ký sinh trắc đã được xác nhận (ví dụ như dấu vân tay).
Server và host của BioPKI được kết nối bằng phương thức bảo mật mạng khác nhau để tạo thành kiến trúc client/server. Mỗi server và các máy client tạo thành một hệ thống con phân lập cung cấp các cấp độ khác nhau của các dịch vụ xác thực cho người sử dụng trong mạng.
Hiện nay, trên thế giới đã có nhiều quốc gia nghiên cứu và ứng dụng những dịch vụ mà BioPKI cung cấp. Điển hình là Mỹ, hiện tại các ngân hàng ở Mỹ đã thay thế hầu hết thẻ tín dụng bằng thẻ thông minh vi xử lý. Sau vụ khủng bố 11/9/2001, Mỹ đã có chủ trương chuyển sang sử dụng thẻ thông minh sinh trắc học mống mắt. Đầu năm 2002, Mỹ đã trang bị 100.000 thẻ này cho toàn bộ nhân viên hàng không. Cùng với sự phát triển đó, thị trường thẻ thông minh sinh trắc ở các nước Pháp, Đức, Austria, Italia, Hà Lan, Phần Lan, NaUy, Tây Ban Nha, Canada... cũng đang phát triển mạnh do nhu cầu sử dụng loại thẻ này đã và đang trở thành thói quen trong nếp sống hàng ngày tại các nước này. Đặc biệt, Nga dù là một cường quốc về công nghệ nhưng vẫn phải nhập công nghệ thẻ thông minh sinh trắc từ Đức và Mỹ cho việc sinh trắc học hoá cư dân thủ đô Matxcơva. Châu Á cũng là nơi có tốc độ phát triển thị trường thẻ thông minh sinh trắc nhanh trên thế giới. Hiện tại, Trung Quốc, Nhật Bản, Đài Loan, Malaysia, Hồng Kông, Macao... đang hợp tác với các công ty lớn của châu Âu để xây dựng nền công nghiệp sản xuất thẻ thông minh sinh trắc phục vụ nhu cầu của dân chúng.
Hiện tại ở Việt Nam, thị trường thẻ chủ yếu tập trung ở ngành ngân hàng, lĩnh vực an ninh - quốc phòng và hầu hết chưa được tích hợp đặc trưng sinh trắc, nếu có cũng chỉ dừng lại ở dấu hiệu vân tay, trong khi trên thế giới đã tích hợp các đặc trưng như: con ngươi, lòng bàn tay, giọng nói, khuôn mặt....
Các hướng tiếp cận hệ thống BioPKI
Dùng sinh trắc học bảo vệ khoá bí mật
Bảo vệ khoá bí mật trên cơ sở thực hiện đối sánh (so sánh với trích chọn đặc trưng sinh trắc đã được lưu trữ) thẩm định các đặc trưng sinh trắc. Quá trình đối sánh đặc trưng sinh trắc độc lập với quá trình mã hoá. Khi người dùng thực hiện giao dịch thì cần nhập vào mẫu sinh trắc cùng mật khẩu. Hệ thống sẽ gửi các đặc trưng sinh trắc này cùng thông tin định danh của người dùng đến nơi chứa cơ sở dữ liệu mẫu sinh trắc. Việc đối sánh được thực hiện, nếu đặc trưng sinh trắc đưa vào được chấp nhận so với mẫu lưu trữ thì hệ thống sẽ cho phép truy xuất khoá bí mật từ nơi lưu trữ an toàn (như smartcard hay cơ sở dữ liệu...). Phương pháp này có ưu điểm là tăng cường khả năng xác thực của dịch vụ bên cạnh khả năng xác thực sẵn có của hệ thống PKI, tận dụng các công nghệ về xác minh sinh trắc học hiện tại, dễ dàng thực hiện. Tuy nhiên, nhược điểm của nó là độ an toàn, bảo mật còn phụ thuộc vào độ an toàn lưu trữ mẫu và giao thức truyền thông bảo mật từ nơi lưu trữ đến nơi sử dụng.
Sinh khoá sinh trắc trực tuyến
Hệ thống sinh ra khoá sinh trắc từ các đặc trưng sinh trắc lấy trực tuyến. Khi cần sử dụng, hệ thống sẽ cho phép truy xuất khoá bí mật trên cơ sở xác minh khoá sinh trắc. Quá trình đối sánh sinh trắc học cần phải được chứng thực sinh trắc học bởi bộ phận BioCA của trung tâm chứng thực CA. Mô hình này cho phép kết hợp chặt chẽ sinh trắc học với mật mã học, khắc phục các điểm yếu của phương pháp bảo vệ khoá như trên, tránh phải lưu trữ trực tiếp các bản mẫu sinh trắc. Tuy nhiên, mô hình hệ thống lại trở nên phức tạp hơn, trung tâm CA ngoài các chức năng xác thực chứng chỉ số thông thường cần phải có thêm bộ phận BioCA quản lý và xác thực các chứng chỉ liên quan đến thông tin đặc trưng sinh trắc.
Sinh khoá bí mật trực tiếp từ các đặc trưng sinh trắc
Việc sinh khoá bí mật sinh trắc là quy trình sinh ra một khoá bí mật trực tiếp từ các đặc trưng sinh học của cơ thể con người được lấy trực tuyến theo thời gian thực và dùng khoá bí mật này ký các dữ liệu. Ưu điểm lớn nhất của phương án khoá bí mật sinh trắc là không cần nơi lưu trữ như khoá bí mật thông thường, do đó sẽ loại bỏ được các tấn công làm mất an toàn quá trình lưu trữ và truy xuất khoá bí mật. Mặt khác, nó còn thuận tiện khi bản thân người chủ sở hữu luôn “mang” theo khoá cá nhân để sử dụng ở bất cứ đâu, không cần thiết phải có đĩa lưu trữ hay smartcard. Tuy nhiên, khó khăn lớn nhất của giải pháp này là việc sinh khoá bí mật cần chính xác đến từng bit nhưng việc thu nhận mẫu đặc trưng sinh trắc trực tuyến lại không có độ ổn định, phụ thuộc nhiều vào các yếu tố khách quan và chủ quan của con người (phụ thuộc vào loại đặc trưng sinh trắc, điều kiện thiết bị lấy mẫu sinh trắc, trạng thái người lấy mẫu, môi trường lấy mẫu...).
Kết luận
Dựa trên việc sử dụng mật mã khoá công khai, chữ ký số và các thông tin sinh trắc, BioPKI bảo đảm cho người sử dụng có thể tin cậy truyền tải các thông tin bí mật trên mạng Internet và các mạng khác. Công nghệ này cung cấp cho người dùng sự bảo vệ bí mật riêng tư bằng cách bảo đảm các giao dịch không bị chặn và không bị truy cập trái phép; đảm bảo sự toàn vẹn của liên lạc và xác minh khóa bí mật bằng chữ ký sinh trắc trước khi sử dụng; xác minh ID của các bên liên quan trong một giao dịch điện tử để đảm bảo tính chống chối bỏ.... Hơn thế nữa, BioPKI thực hiện tất cả những công việc này bằng một quá trình đơn giản, minh bạch đối với người sử dụng.
15:00 | 23/04/2012
14:00 | 14/12/2023
Sự kiện mua sắm Black Friday hàng năm đã tạo ra “cơn sốt” mua sắm giảm giá với nhiều ưu đãi lớn dành cho người tiêu dùng, vào năm nay đã chứng kiến sự phát triển chưa từng có trong các hoạt động thương mại điện tử và mua sắm trực tuyến. Sự gia tăng giao dịch trực tuyến vào sự kiện này đã tạo tiền đề cho các mối đe dọa mạng, nơi những kẻ tấn công lợi dụng sở thích mua sắm trực tuyến của người dùng để tiến hành các hành vi độc hại. Bài báo này sẽ đưa ra thống kê và đánh giá các mối đe dọa mạng trong chuỗi sự kiện Black Friday vừa qua dựa trên báo cáo phân tích của hãng bảo mật Kaspersky và Bitdefender, trong đó nhấn mạnh các cuộc tấn công lừa đảo trực tuyến và email spam.
15:00 | 04/08/2023
Quy định về định danh điện tử và dịch vụ tin cậy (eIDAS) của Liên minh châu Âu (EU) được ban hành vào năm 2014 nhằm mục đích nâng cao lòng tin đối với các giao dịch điện tử trên thị trường nội khối, bằng cách cung cấp nền tảng pháp lý chung cho giao dịch điện tử đảm bảo an toàn giữa người dân, doanh nghiệp, cơ quan nhà nước và quốc tế trong thị trường nội khối. Từ đó tăng cường hiệu quả của các dịch vụ trực tuyến công và tư, kinh doanh điện tử và thương mại điện tử trong EU. Trong phần I của bài báo, tác giả sẽ giải thích rõ hơn về quy định eIDAS và sổ cái phân tán (Distributed Ledger Technology - DLT).
07:00 | 26/06/2023
Sở TT&TT Thành phố Hà Nội vừa đề nghị các Sở, ngành trên địa bàn chỉ đạo bộ phận một cửa phối hợp với các doanh nghiệp để triển khai cấp chữ ký số miễn phí cho người dân Thủ đô.
15:00 | 22/06/2023
Với 468/477 (chiếm 94,74%) đại biểu tham gia biểu quyết tán thành, sáng 22/6, Quốc hội đã thông qua Luật Giao dịch điện tử (sửa đổi) gồm 7 chương, 54 điều với nhiều điểm mới so với luật hiện hành. Bộ trưởng Bộ Quốc phòng thực hiện quản lý Nhà nước về giao dịch điện tử trong lĩnh vực cơ yếu, chữ ký số chuyên dùng công vụ trên cơ sở tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về chữ ký số theo quy định của pháp luật.
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024