Upload
daihocngoaingu-english
View
200
Download
1
Embed Size (px)
Citation preview
TriTriểểnn
khaikhai
hhạạ
ttầầngng
khkhóóaa
côngcông
khaikhai:: Thực trạng
và
định
hướng
Hội thảo
IDG: Security World 2009Chủ đề: Chứng
thực số
và
chữ
ký
điện tử
ĐĐààoo
ĐĐììnhnh
KhKhảả
([email protected])TrungTrung
tâmtâm
ChChứứngng
ththựựcc
chchữữ
kýký
ssốố
ququốốcc
giagiaCục
UDCNTT, Bộ
TT&TT
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
2
XuXu
hưhướớngng
ssửử
ddụụngng
giaogiao
ddịịchch
điđiệệnn
ttửử
Xu
hướngứng
dụng
giao
dịch
điện tửỨng
dụng
chữký
sốtrong
thương
mại
An toàn
thông
tin cho
các
giao
dịch
kinh
doanhOnline shopping, e-commerce
Ứng
dụng
chữký
sốtrong
cơ
quan
nhà
nướcĐảm bảo
an toàn
thông
tin cho
các
dịch
vụcông
E-banking, E-Certificate of Origin, E-Intellectual Property, E-procurement, E-Tax,
Hội nhập quốc tế
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
3
Tại
sao
PKI?
An toàn thông tin cho giao dịch
điện tử là cần thiếtNếuứng
dụng
PKI, các bước 2 và 4 được coi là không
thể
PKI cho
phép
đáp
ứng
4 yêu
cầu
an toàn
thông
tin của một giao dịch
điện tử
Bí
mật, xác
thực, nhất
quán, không
chối bỏ
Cựu
nhân
viên
ngân
hàng
biển thủ
50K US$ từ
tài
khoản
một
công
ty1.
Truy
cập
đến
tài
khoản
nhà
băng
của
công
ty
nạn
nhân
để
kiểm tra còn tiền2.
Làm
giả
con dấu và chữ
ký
của công ty được
đăng
trên
mạng
3.
Điền
vào
phiếu rút tiền và đóng
dấu giả4.
Sử
dụng
chứng
minh
thư
giả5.
Rút
50K US$
Newspaper
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
4
PKI PKI vvàà
ccáácc
ddựựáánn
CNTTCNTT
Data Encryption
Digital Identity Intranet/ExtranetAccess Management
User management
Email EncryptionAnd signature
Logical Access
Digital Signature
Access Control
Vai
trò
của PKICác dựán CNTT vềe-gov
đều có mối liên hệđến việc xác thựcCác dựán thương
mại
điện tửđa
quốc gia đềuứng
dụng
PKI
Các dự án
ứng
dụng
PKI
t
hành công
có thểthấy tại
US, EU, Japan, Australia, Korea, Taiwan, Singapore, MalaysiaTrade-Van và Trade-Net
Các chương
trình
phần mềm ứng
dụng
PKI
đa dạng
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
5
1.
Hiện trạng
triển khai PKI tại Việt nam2.
Các
vấn
đềcần giải quyết3.
Các
mô
hình
CA vàứng
dụng
được hỗ trợ4.
Tiến tới
xây
dựng
khung
xác
thực quốc gia5.
Kết luận
TrTrọọngng
tâmtâm
ccủủaa
bbààii
trtrììnhnh
bbààyy
Trong
một hội
nghị
IDG năm
2007, chúng
ta
đã nhắc đến tiềm năng
ứng
dụng
của chữ
ký
số ở Việt nam
Trọng
tâm
của bài trình
bày này về thực tiễn triển khai PKI:
Chuyển từchính
sách
đến
triển khai thành
côngChuyển từứng
dụng
công
nghệđến một
ngành
kinh
doanh
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
6
MMộộtt
ssốố
ssựựkikiệệnn
liênliên
quanquan
đđếếnn
PKIPKI
2009CA công
cộng
đầu tiên được
thành
lập?
CA chuyên
dùng
của Ngân hàng Nhà nước
được
đăng
ký
2008
Ban hành
Quy
chế
báo
cáo
của các CA
Ban hành
Danh
mục
các
tiêu
chuẩn bắt buộc áp dụng
về
chữ
ký
số
và
chứng
thực chữ
ký
số
Lễ
tạo khóa của Tổ
chức cung cấp dịch
vụ
chứng
thực chữ
ký
số
quốc gia
2007CA chuyên
dùng
của
Thành
phố
HCM được
đăng
ký
Ban hành
Nghị định
về
chứ
ký
số
và
chứng
thực chữ
ký
số
2006
Ban hành
Nghị định
về
giao
dịch
điện tử
trong
Ngân
hàng
Ban hành
Nghị định
về
giao
dịch
điện tử
trong
thương
mại
Ban hành
Nghị định
về
giao
dịch
điện tử
trong
tài
chính
2005 Thông
qua Luật giao dịch
điện tử
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
7
Root CAcc
subscribers
CA
RA
CACA
CA CA
subscribers
subscribers
subscribers subscribers
Mô hMô hìình PKI cnh PKI củủa Via Việệt nam hit nam hiệện nayn nay
CA công cộng
CA chuyên dùng cho các cơ quan thuộc hệ
thống chính trị
CA
CA chuyên CA chuyên ddùùngng
CA
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
8
3-2. PKI Framework
Chuẩn bịChuẩn bị
Mô hìnhPKI
Mô hìnhPKI
Yêu cầu đối với Hệ
thống PKIYêu cầu đối với Hệ
thống PKI
Yêu cầu vận hànhYêu cầu vận hành
Chuẩn PKIChuẩn PKI Đào tạo
Thúc đẩy
Các dựánThửnghiệm
Pháp lýPháp lý
Nghị địnhNghị định
Tổ
chức triển khai
Quy hoạchQuy hoạch
Hạ
tầngvà
thiết bịHạ
tầngvà
thiết bị
Khung CPSKhung CPSKế
hoạch dịch vụ
PKI dài hạn
Xây dựngRA
Xây dựngcác CA
Xây dựngcác CA Đào tạoĐào tạo Phát triển
ứng dụngPhát triển ứng dụng
Các nội dung triển khai PKI
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
9
Yếu tố
pháp lýMIC đã sẵn sàng nhận/xem xét hồ sơ xin cấp phép
Yếu tố
công nghệRoot CA đã sẵn sàng cấp chứng thư sốCác công ty đã sẵn sàng các giải pháp CA
Các dịch vụ
hỗ
trợDịch vụ PKI chưa được coi là
một dịch vụ
bình
đẳng trong nền kinh tế: bị
coi mới/mạo hiểmYếu tố
chấp nhận của xã hội
Số
dự
án liên quan đến chữ
ký số tăng lên
Các yếu tố để
PKI-enable
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
10
Mô hình tổng thể
về
PKI cần xác định rõChứng thực chéo giữa PKI công cộng và
PKI
chuyên dùngPhạm vi cấp chứng thư số
của các CA chuyên dùng
Các biện pháp thúc đẩyCác biện pháp chế
tài
Sự
phối hợp của các ngành hỗ
trợ
Những vấn đề
cần tiếp tục nghiên cứu
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
11
SPService/Application Provider
SPSPService/Application ProviderService/Application Provider
CACertification
Authority
CACACertificationCertification
AuthorityAuthority
RARegistration
Authority
RARARegistration Registration
AuthorityAuthority
Service/ApplicationUser
Service/ApplicationService/ApplicationUserUser
Thuê bao đăng ký chứng thư từ
RA
Quá
trình đăng kýcấp chứng thư
Người dùng gửi yêu cầu dịch vụ
và
chứng thư số
CA cCA cấấp chp chứứng thư cho thuê baong thư cho thuê bao
Đăng ký /Xác thực /
Cấp quyền /
Mô hMô hìình PKInh PKI
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
12
SPService/Application Provider
SPSPService/Application ProviderService/Application Provider
CACertification
Authority
CACACertificationCertification
AuthorityAuthority
RARegistration
Authority
RARARegistration Registration
AuthorityAuthority
Service/ApplicationUser
Service/ApplicationService/ApplicationUserUser
Thuê
bao
đăng
ký
chứng
thư
từ
RA
Quá
trình
đăng
kýcấp chứng
thư
Người
dùng
gửi
yêu
cầu dịchvụ
và
chứng
thư
số
CA CA ccấấpp
chchứứngng
thưthư
chocho
thuêthuê
baobao
Đăng
ký
/Xác
thực /Cấp quyền /
CA CA côngcông
ccộộngng
Hỗ
trợ
các
giao
dịch (C,B)2(C,B) và
(C,B)2G
Đường
dẫn tin cậy
đỉnh
tại Root CA quốc gia
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
13
SPService/Application Provider
SPSPService/Application ProviderService/Application Provider
CACertification
Authority
CACACertificationCertification
AuthorityAuthority
RARegistration
Authority
RARARegistration Registration
AuthorityAuthority
Service/ApplicationUser
Service/ApplicationService/ApplicationUserUser
Thuê bao đăng ký chứng thư
Quá
trình
đăng
kýcấp chứng
thư
Người
dùng
gửi
yêu
cầu dịchvụ
và
chứng
thư
số
CA cấp chứng
thư
cho
thuê
bao
Đăng
ký
/Xác
thực /Cấp quyền /
CA CA chuyênchuyên
ddùùngng
Hỗ
trợ
các
giao
dịch
điện tử
trong
một tổ
chức
chính
phủ/doanh
nghiệp/trường
đại họcĐường
dẫn
tin cậy: Root CA của
hệ
thống
CA chuyên
dùng
(nếu
có)
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
14
SPService/Application Provider
SPSPService/Application ProviderService/Application Provider
Internal Government CA
Certification
Authority
Internal Internal Government CAGovernment CA
CertificationCertificationAuthorityAuthority
RARegistration
Authority
RARARegistration Registration
AuthorityAuthority
Service/ApplicationUser
Service/ApplicationService/ApplicationUserUser
Thuê bao đăng ký chứng thư
Quá
trình
đăng
kýcấp chứng
thư
Người
dùng
gửi
yêu
cầu dịchvụ
và
chứng
thư
số
CA cấp chứng
thư
cho
thuê
bao
Đăng
ký
/Xác
thực /Cấp quyền /
Hỗ
trợ
các
giao
dịch
điện tử
giữa
các
cơ
quan
chính
phủThống
nhất
các
CA chuyên
dùng
của
các
cơ
quan
nhà
nướcCần hoàn thiện lược
đồ
PKICục
Ứng
dụng
CNTT đã
nghiên
cứu, đề
xâất
vấn
đề
này
MôMô
hhììnhnh
CA CA chuyênchuyên
ddùùngng
chungchung
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
15
MIC trong
việc triển khai PKI
MIC ban hành
các
Quyết
định
58/2008/BTTTT và Quyết
định
59/2008/BTTTT.
Cục
UDCNTT chủ
trì
đề
xuất
các
dự
án
chương trình
ứng
dụng
CNTT liên
quan
đến dịch
vụ
công
và
xác
thựcTrung
tâm
Chứng
thực chữ
ký
số
quốc gia
Vận
hành
hệ
thống
Root CA quốc giaHướng
dẫn
các
quy
trình
cấp
phép/cấp chứng
thư/đăng
kýHướng
dẫn áp dụng
chuẩn
theo
Quyết
định
59/2008/BTTTT.Đầu mối nhận
báo
cáo
của
các
CA theo
quy
chế
trong
Quyết
định
58/2008/BTTTT.Giai
đoạn 2 của hệ
thống
Root CA
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
16
Hướng
đến
Khung
xác
thực
điện tử
MMụụcc
đđííchch
ccủủaa
viviệệcc
đđảảmm
bbảảoo
an an totoàànn
thôngthông
tin: tin: LLààmm
chocho
viviệệcc
truytruy
ccậậpp
llấấyy
ccắắpp
thôngthông
tin tin đđắắtt
hơnhơn
gigiáá trtrịị
ccủủaa
thôngthông
tin tin đưđượợcc
bbảảoo
vvệệ
PKI có
phải
là
công
nghệ
an toàn
thông
tin cho
giao dịch
điện tử
duy
nhất? “Không”
PKI là
một
công
nghệ, không
phải là một giải
phápPKI là
một
trong
các
công
nghệ để triển
khai
việc xác thực
TTấấtt
ccảả
ccáácc
giaogiao
ddịịchch
đòiđòi
hhỏỏii
ứứngng
ddụụngng
chchữữ
kýký
ssốố
đđểể đđảảmm
bbảảoo
an an totoàànn
thôngthông
tin? tin? ““KhôngKhông””
Một sốgiao
dịch
đòi
hỏi bảo mật rất caoMột sốdịch
vụcông
không
cần bảo mật cao
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
17
Hướng
đến
Khung
xác
thực
điện tử
(2)
Cần lựa chọn các phương
pháp
xác
thực
phù
hợp với từng
loại
ứng
dụng
Triển khai mô hình xác thực
phù
hợp
để
giảm
chi phíSingle sign on (ví
dụ trong
công
nghệ
portal)Quản
lý
ID theo
mô
hình
liên
bangHướng
tới
e-gov: cần một
khung
xác
thực
Phương
pháp
xác
định
các
yêu
cầu nghiệp vụ liên
quan
đến xác
thựcPhương
pháp
xác
định
mức
độ
an ninh
liên
quan
đến xác thựcPhương
pháp
xác
định
cơ
chế
xác
thựcĐối với một sốứng
dụng
cụ
thểPhương
pháp
triển khai một số
hợp phần
liên
quan
đến xác thựcPhương
thức
đánh
giá
tính
khả
thi
của xác thực
điện tử
National Centre of Digital Signature AuthenticationROOTCA
I D G 2 0 0 9
18
KKếếtt
luluậậnn
PKI là
công
nghệhiệu quảđểđápứng
các
nhu
cầu an
toàn
thông
tin trong
giao
dịch
điện tử
Thị trường
PKI
đang
hình
thành: cơ
hội
kinh
doanh
cũng
như
thách
thức
Ứng
dụng
chữký
sốcó thể thành
công
từcác
doanh nghiệp nhỏđến các
công
ty
lớn
Cácứng
dụng
chữký
số từđơn giảnđến phức tạpPhát triển hạ tầng
mã
khóa
công
khai:
Cần sựđóng
góp
của cảxã
hội: Chí
nh
phủ, các
công
ty
CNTT và
người
dùng
cuối
Cần kết hợp công
nghệPKI với các
công
nghệkhác
NATIONAL CENTRE OF Digital Signature AuthenticationROOTCA
DIAP, MIC of Vietnam6A Chua Mot Cot Tel: +84-4-37347164 Mobile: 0983 264 287e-mail:
Xin chân
thành
cảm
ơn!XinXin
chânchân
ththàànhnh
ccảảmm
ơnơn!!
Đào
Đình
Khả