Vào thời điểm năm 2015, sau nhiều năm phát triển chữ ký số điện tử, nhiều vấn đề đã được đặt ra, trong đó có vấn đề ký số điện tử trên nền tảng web. Mặc dù trước đó đã có nhiều giải pháp như Plug-in, Add-on hay Extension, nhưng vẫn còn nhiều bài toán cần giải quyết khi triển khai. Các bài toán của giải pháp ký số trên web là: chạy trên đa nền tảng trình duyệt, đa hệ điều hành, nhiều thiết bị và ngôn ngữ lập trình hỗ trợ, dễ tích hợp và triển khai. Do đó cần một giải pháp ký số điện tử mới để đáp ứng toàn bộ bài toán trên.
Để đảm bảo an toàn cho các giao dịch điện tử thì tệp phải được ký số điện tử trên máy tính ngay sau khi mở cửa sổ chọn tệp và trước khi được đính lên một trang web, sau đó mới thực hiện gửi tệp đi. Trong khi đó, các trình duyệt là một ứng dụng chạy trong môi trường cách ly (sandbox) chỉ cho phép trang web giao tiếp với tệp bên ngoài thông qua các tiện ích như: Plug-in, Extension, Add-on hay Native Client. Ngoài ra, việc lập trình một trang web cho phép giao tiếp với tệp bên ngoài là không thể, vì các phần tử lập trình (gọi là Control) cho phép chọn tệp như <input type=”file”/> chạy trong môi trường cách ly như trình duyệt và không thể can thiệp thao tác ký số chen giữa sau khi mở cửa sổ chọn tệp, nên đây là một bài toán khó giải.
Các giải pháp ký số trên web
Các giải pháp ký số trên web hiện tại bao gồm:
Plug-in: Là phần mềm của bên thứ ba, cho phép trình duyệt giao tiếp với tệp bên ngoài. Plug-in còn có thể nhúng vào trong một trang web. Tuy nhiên vì vấn đề bảo mật mà các hãng trình duyệt đã cấm sử dụng plug-in từ năm 2015 và được thay bằng Native Client. Triển khai ký số bằng Plug-in thường khó khăn do Plug-in thường viết trên ngôn ngữ lập trình C/C++ nên khó tích hợp và cồng kềnh khi lập trình.
Extension (hoặc Add-on trên Firefox): Là phần mềm phát triển của bên thứ ba, nhưng khác với Plug-in là nó có cửa sổ giao diện mở cho người dùng cài đặt, Extension có thể chứa Plug-in. Ví dụ điển hình của Plug-in là ứng dụng tra từ điển, xóa quảng cáo, thời tiết…. Việc triển khai ký số bằng Extension thường gặp khó khăn vì phải viết mỗi Extension cho mỗi trình duyệt khác nhau, sau mỗi lần trình duyệt nâng cấp hoặc thay đổi thì phải cập nhập lại Extension cho phù hợp.
Native Client: Là giải pháp mới của Google Chrome giúp tối ưu hiệu suất thực hiện và bảo mật hơn. Giải pháp này sinh ra để thay thế cho Plug-in và cơ chế trao đổi dữ liệu giữa trình duyệt và các Extension. Ngày nay, đa số trình duyệt cập nhật lại Extension dựa trên giải pháp Native Client. Tuy nhiên, Native Client không hỗ trợ USB e-token, lệnh gọi tệp .exe bên ngoài để thực hiện ký số, hoặc lệnh mở một cửa sổ chọn tệp.
Giải pháp ký số Web Socket
Ngoài các giải pháp ký số trên web như trên, còn có giải pháp Web Socket. Ý tưởng của giải pháp này là tạo ra một cặp phần mềm khách (client) và phần mềm chủ (server) để giao tiếp với nhau trong nội bộ máy tính. Trong đó, phần mềm chủ viết trên Javascript nhúng trong trang web, giao tiếp với phần mềm khách có thể được viết bằng các ngôn ngữ khác nhau ngoài trình duyệt (như C/C++/C#/Java/Python....).
Hình 1. Mô hình giải pháp công nghệ Web Socket
Quy trình thực hiện của Web Socket như sau:
1. Người dùng thực hiện chọn chức năng ký số trên trang web, từ đây, chương trình sẽ gọi hàm Javascript để bắt đầu khởi tạo Web Socket:
var ws = new WebSocket(“ws://localhost:” + Port); // Port là tham số cổng.
2. Phần mềm chủ thực hiện bắt tay với phần mềm khách ở bên ngoài đang chờ sẵn.
3. Sau khi phần mềm chủ nhận thông tin bắt tay xong, thực hiện gửi các mã lệnh đến cho phần mềm khách đang chạy ngầm chờ sẵn:
ws.send(“MDZ” + “|” + index + “|”); // MDZ là mã lệnh chọn tệp, index là số thứ tự của tệp.
Phần mềm khách dựa vào các mã lệnh do người lập trình quy định để thực hiện và gửi trả kết quả về cho phần mềm chủ, như mở cửa sổ, ký tệp, xóa tệp, xác thực lại tệp đã ký, gửi tệp đi….
4. Hai phần mềm khách chủ giao tiếp với nhau qua lại và kết thúc phiên bằng câu lệnh websocket.close(), khi người dùng tải lại trang web, thoát trang web, tắt trình duyệt hoặc tắt phần mềm khách.
Hình 2. Một số giao dịch của giải pháp Web Socket
Web Socket ra đời là để thay thế cho giao thức HTTP truyền thống có thủ tục bắt tay nhiều bước và tốc độ chậm. Ở đây, Web Socket chạy trong nội bộ máy tính, với thủ tục bắt tay nhanh kèm theo các câu lệnh tối giản nên tốc độ thực hiện cao, đặc biệt là khi làm việc với tệp có dung lượng lớn (500MB trở lên). Có 2 cách lưu tệp như sau, nếu số lượng và dung lượng tệp ít thì lưu vào cơ sở dữ liệu SQLite của trình duyệt và gửi tệp bằng trình duyệt, còn nếu dung lượng tệp lớn hoặc nhiều tệp được chọn thì lưu ở ngoài trình duyệt và gửi bằng phần mềm khách.
Có thể sử dụng hàm băm như SHA1, SHA256 bên trong Web Socket để chống tấn công xen giữa các giao dịch của Web Socket. Web Socket cho phép xác thực bằng chứng thư số qua kênh SSL 2 chiều khi bắt tay và trước khi phần mềm khách gửi tệp ký lên máy chủ. Giải pháp Web Socket đa ngôn ngữ lập trình hỗ trợ phần mềm máy khách, có thể viết một lần cho các trình duyệt, chạy đa thiết bị (di động, máy tính bảng…) và đa hệ điều hành. Hiện nay, đây là giải pháp độc đáo và khả thi cho việc thực hiện ký web trên các thiết bị di động.
Bảng 1. So sánh giải pháp ký số Web Socket với các giải pháp ký số trên web khác
Bảng 1 so sánh các giải pháp ký số trên web. Môi trường so sánh được thực hiện trên cùng một máy tính, cùng một loại trình duyệt, cùng một hệ điều hành, cùng phiên tại một thời điểm sử dụng.
Kết luận
Kể từ cuối năm 2015, giải pháp ký số sử dụng Web Socket đã được triển khai ở nhiều nơi tại các Bộ, ban, ngành và các cơ quan nhà nước khác. Đây là giải pháp ký số có tốc độ cao, tải được dung lượng tệp lớn, chi phí thấp, dễ tích hợp, góp phần giúp cho giao dịch điện tử trong Chính phủ điện tử ngày một lưu thông hơn và giải quyết các yêu cầu của bài toán trước đó đã đặt ra. Mặc dù giải pháp ký số sử dụng Web Socket có nhiều ưu điểm, nhưng một giải pháp mới thay thế cho Web Socket trong tương lai là cần thiết với mục đích “viết một lần chạy khắp nơi” (có thể áp dụng cho tất cả các thiết bị và hệ điều hành) và để khử vòng lặp while trong Web Socket.
Lê Minh Lộc - Cục Chứng thực số và Bảo mật thông tin
20:00 | 04/02/2019
20:00 | 04/02/2019
16:00 | 29/01/2019
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
17:00 | 18/12/2023
Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
