Giải pháp OTG-MicroSD là giải pháp công nghệ đầy đủ cho ký số di động và có thể được triển khai với chi phí thấp. Giải pháp công nghệ này có thể hỗ trợ triển khai Chính phủ điện tử một cách hiệu quả. Giải pháp được tác giả thực hiện từ năm 2016 và cập nhật, hoàn thiện chính thức năm 2018.
Một số giải pháp ký số trên di động
Signing Hub – Là giải pháp ký số tập trung. Giải pháp tập hợp các tệp .pfx, các tệp này có chứa khóa bí mật và được mã hóa bằng mật khẩu của người dùng. Giải pháp này được sử dụng cho nhóm cá nhân hoặc tổ chức không yêu cầu bảo mật cao, mà chỉ để xác thực như để vào cộng đồng chia sẻ chung.
Bluetooth PKI – Là một giải pháp phù hợp với số lượng lớn các thiết bị IoT kết nối ngày một gia tăng. Khi bổ sung thêm một đầu đọc Bluetooth cho USB e-token, thì người dùng không phải mua thêm thiết bị ký số di động mà có thể tái sử dụng USB e-token. Hơn nữa, người dùng có thể sử dụng hạ tầng PKI sẵn có bởi không phụ thuộc hạ tầng PKI. Vì Bluetooth là một đầu đọc nên giải pháp có thể sử dụng cho các thiết bị hỗ trợ Bluetooth. Ngoài ra, đầu đọc Bluetooth còn có thể cắm vào máy tính qua cổng USB. Đây là một giải pháp đầy đủ về mặt ký số, nhưng chưa thực sự được tin tưởng do chưa có một giải pháp riêng đã được công bố và chứng minh được tính an toàn về bảo mật kênh truyền Bluetooth và thủ tục bắt tay.
SIM PKI – Đây là một giải pháp tốt với khóa bí mật lưu trong SIM đi cùng với hạ tầng viễn thông. Ưu điểm lớn của giải pháp này là tính tiện dụng cao, nhỏ gọn, đa hệ điều hành, có thể ký gián tiếp qua thiết bị không phải di động. Tuy nhiên, còn tồn tại một số nhược điểm như phụ thuộc hạ tầng nhà mạng nên phải dựng thêm thành phần viễn thông để giao tiếp với SIM, và dựng thêm thành phần PKI phù hợp với CA sẵn có để giao tiếp ký số với SIM; cần chứng minh về bảo mật đường truyền, thời gian ký số nhanh; xác định hạn mức số lượng người sử dụng tối đa; chi phí đắt đỏ.
Giải pháp OTG-MicroSD
Thiết kế ban đầu của giải pháp này là một dây cắm qua cổng tai nghe. Tuy nhiên, đề xuất này đã bị loại bỏ vì tính chập chờn, và ngày nay giải pháp đã được cải tiến thành OTG qua cổng sạc thiết bị di động. Vào năm 2016, ý tưởng ban đầu của giải pháp là một sợi dây OTG dài đa năng, cho phép cắm một lúc nhiều USB thậm chí e-token. Sau khi thực hiện tùy biến (customize) trình điều khiển (driver) để USB e-token trên máy tính có thể hoạt động trên di động là có thể sử dụng được giải pháp, đồng thời cho phép tái sử dụng USB e-token tương tự như giải pháp Bluetooth. Ngoài ra, giải pháp này không bị phụ thuộc vào yếu tố bảo mật như giải pháp Bluetooth. Đây là một giải pháp tốt và tốn ít chi phí. Tuy nhiên, giải pháp không khả thi do đầu nối OTG dài, không thuận tiện.
Hình 1. OTG cho USB e-token
Vào năm 2016, giải pháp đầu nối OTG được thay bằng MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030, với ý tưởng được thừa kế từ Bluetooth và OTG.
Thông số kỹ thuật IDCore 8030 được hãng bảo mật Gemalto (Hà Lan) công bố như sau: chạy trên hệ điều hành Android 4.x - 8.x, iOS 8.x - 11.x, Windows 7,8, Linux và BlackBerry OS; chứng chỉ chip bảo mật EAL5+; hỗ trợ RSA 2048 & Eliptic Curves, chứng chỉ bậc cao FIPS 140-2 Level 3 hoặc Tiêu chuẩn EAL5+; hỗ trợ Java Applets OTP-OATH và MPCOS. Thông số kỹ thuật IDPrime MD 8840 tương tự như trên nhưng cho phép kết nối tới PC thông qua driver PC/SC.
Tuy nhiên vào thời điểm đó, giải pháp này không được triển khai ngay vì chỉ chạy trên một số thiết bị di động hỗ trợ thẻ nhớ MicroSD. Nhưng rõ ràng, giải pháp OTG-MicroSD có tiềm năng trong tương lai.
Hiện tại, OTG đã hỗ trợ thẻ nhớ MicroSD nên cho phép hoàn thiện một giải pháp có thể phục vụ đa thiết bị, đa hệ điều hành và thậm chí trong các hạ tầng CA khác nhau.
Giải pháp OTG-MicroSD được thiết kế như sau:
- Thiết kế OTG chuyên dụng (có thể đưa thẻ nhớ MicroSD hẳn vào bên trong), có đầu cắm vào cổng USB máy tính và USB e-token.
- Chuyển giao driver từ hãng Gemalto cho MicroSD và USB e-token trên PC, Android, iOS, Linux, Windows.
.JPG)
Hình 2. Ý tưởng giải pháp OTG-MicroSD đa năng.
- Chuyển giao công nghệ hoặc sử dụng MicroSD 8440 và Core 8030 sẵn có.
- Cần thẩm định các chứng chỉ đã công bố từ hãng Gemalto (đã nêu ở trên) và thẩm định MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030.
Hình 3. Cấu tạo bên trong thẻ MicroSD
Việc tạo OTG đa năng, thay cho loại OTG phổ biến, cho phép chạy đa hệ điều hành, đa thiết bị, không phụ thuộc hạ tầng PKI, cho phép sử dụng các loại USB e-token hiện có; trong trường hợp không có MicroSD thì có thể cắm USB e-token vào OTG; trong trường hợp không có USB e-token thì có thể cắm OTG-MicroSD vào máy tính.
Việc sử dụng MicroSD sẵn có của các hãng có thể tận dụng được những ưu điểm của nó, tuy nhiên điều này cũng tồn tại những lỗ hổng, rủi ro tiềm ẩn và không có khả năng kiểm soát được hoàn toàn MicroSD. Do đó, để tăng cường khả năng kiểm soát và mức độ an toàn, thì cần phải làm chủ hoàn toàn MicroSD. Để làm được như vậy, có thể chuyển giao công nghệ MicroSD, kết hợp với các công cụ phần mềm chuyển giao và viết thêm cho USB e-token. Do vậy, việc sản xuất OTG-MicroSD hiện nay là hoàn toàn khả thi.
Bảng 1. So sánh các giải pháp ký số trên di động (trừ HSM)
Về việc thực hiện ký số trên web cho di động có thể áp dụng giải pháp Web Socket (đã trình bày trong Tạp chí An toàn thông tin số 4/2018), vì di động không sử dụng Plug-in và Extension nhằm chống thất thoát dữ liệu.
Kết luận
Việc hiện thực hóa OTG-MicroSD cũng có ý tưởng tương tự là giải pháp IDBridge K3000 của hãng bảo mật Gemalto, bao gồm Token + PKI Smart Card + MicroSD. Giải pháp này tạo một USB 2.0 tích hợp thẻ MicroSD và thẻ IDo Smart Card, tuy nhiên vì dùng đầu đọc USB 2.0 nên không sử dụng được cho thiết bị di động.
Hình 4. Giải pháp IDBridge K3000
Yêu cầu về một giải pháp chữ ký số trên di động chạy đa hệ điều hành, đa thiết bị có thể được giải quyết bằng việc chế tạo một OTG đa năng thay vì loại OTG phổ biến, kết hợp với một thiết bị lưu khóa có chứng chỉ bảo mật cao như MicroSD. Đây là giải pháp phù hợp với các cơ quan, đơn vị, tổ chức muốn triển khai PKI di động đảm bảo an toàn, với hiệu năng cao của việc mã hoá (bao gồm cả mã thoại), ký số và xác thực, đồng thời chạy đa hệ điều hành, đa thiết bị di động và cả trên máy tính cá nhân.
Lê Minh Lộc
16:00 | 10/06/2019
08:00 | 28/10/2019
13:00 | 18/02/2020
14:00 | 04/06/2019
08:00 | 03/09/2019
10:00 | 20/09/2019
08:00 | 23/04/2019
17:00 | 27/05/2019
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
08:00 | 07/04/2023
Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
23:00 | 22/01/2023
Với sự bùng nổ và phát triển của công nghệ mạng Internet cùng nhiều tiện ích và giải trí hiện nay, kéo theo đó là tần suất gia tăng các cuộc tấn công mạng, việc sử dụng hàng loạt những website lừa đảo không an toàn, nhằm mục đích đánh lừa người dùng truy cập vào những website độc hại để thực hiện hành vi đánh cắp thông tin, hay lây lan những phần mềm chứa mã độc đang trở thành một xu hướng tấn công của tin tặc. Nhận thức được tầm quan trọng của việc truy cập an toàn trên môi trường mạng, bài báo sau đây sẽ cung cấp đến độc giả những kỹ năng cần thiết để sử dụng các công cụ hỗ trợ nhằm kiểm tra chỉ số về độ an toàn của website, qua đó giúp người dùng an tâm và tránh được việc thông tin của bản thân bị đánh cắp và lợi dụng cho những mục đích xấu.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
