PHẦN MỀM CẤP VÀ QUẢN LÝ CHỨNG CHỈ SỐ VASC CA
Sự ra đời và phát triển của Internet đã dần tạo ra định hướng số hoá nền kinh tế toàn cầu, số hoá các hoạt động xã hội. Sự hội tụ Viễn thông – Tin học trong quá trình phát triển của nó đã ngày càng khẳng định xu hướng trên và nó ngày càng ảnh hưởng mạnh mẽ đến tất cả các quốc gia, khu vực. Ngày nay, sự phổ cập Internet đến mỗi người dân, mỗi lĩnh vực, mỗi hoạt động... trong một quốc gia được coi như một tiêu chí thể hiện sự tiến bộ xã hội tại mỗi quốc gia đó.
Sự phát triển mạnh mẽ của Internet xét về mặt bản chất chính là việc đáp ứng lại sự gia tăng không ngừng của nhu cầu giao dịch trực tuyến trên hệ thống mạng toàn cầu. Các giao dịch trực tuyến trên Internet phát triển từ những hình thức sơ khai như trao đổi thông tin (email, message, v.v...), quảng bá (web-publishing, ...) đến những giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử, thương mại điện tử ngày càng phát triển mạnh mẽ trên khắp thế giới.
Một trong những vấn đề quan tâm hàng đầu của tất cả mọi người tham gia thế giới Internet đó là tính an toàn và tính xác thực của thông tin. Sở dĩ là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP. TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác mà đi qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể đi tới được đích. Chính vì điểm này, giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba” có thể thực hiện các hành động gây mất an toàn thông tin trong giao dịch, gồm:
ü Nghe trộm (Eavesdropping): Thông tin vẫn không hề bị thay đổi, nhưng sự bí mật của nó thì không còn. Ví dụ, một ai đó có thể biết được số thẻ tín dụng, hay các thông tin cần bảo mật của bạn.
ü Giả mạo (Tampering): Các thông tin trong khi truyền trên mạng bị thay đổi hoặc thay thế trước khi đến người nhận. Ví dụ, một ai đó có thể sửa đổi nội dung của một đơn đặt hàng hoặc thay đổi lý lịch của một các nhân trước khi các thông tin đó đi đến đích.
ü Mạo danh (Impersonation): Một cá nhân có thể dựa vào thông tin của người khác để trao đổi với một đối tượng. Có hai hình thức mạo danh sau:
- Bắt chước (Spoofing): Một cá nhân có thể giả vờ như một người khác. Ví dụ, dùng địa chỉ mail của một người khác hoặc giả mạo một tiên miền của một trang web.
- Xuyên tạc (Misrepresentation): Một cá nhân hay một tổ chức có thể giả vờ như một đối tượng, hay đưa ra những thông tin về mình mà không đúng như vậy. Ví dụ, có một trang chuyên về thiết bị nội thất mà có sử dụng thẻ tín dụng, nhưng thực tế là một trang chuyên đánh cắp mã thẻ tín dụng.
ü Chối cãi nguồn gốc: Một cá nhân có thể chối cãi là đã không gửi tài liệu khi xảy ra tranh chấp. Ví dụ, khi gửi email thông thường, người nhận sẽ không thể khẳng định người gửi là chính xác.
Việc sử dụng chứng chỉ số là giải pháp có hiệu quả để giúp người sử dụng trách được các nguy cơ nói trên. Khi sử dụng chứng chỉ số, người sử dụng có thể mã hoá dữ liệu để giải quyết vấn đề nghe trộm, và sử dụng chữ ký số để giải quyết vấn đề mạo danh, giả mạo, và chối cãi nguồn gốc.
Mã hoá là quá trình chuyển đổi thông tin từ dạng có thể đọc được sang dạng không thể đọc được đối với những người không được nhận thông tin đó. Giải mã là quá trình chuyển đổi thông tin từ dạng không đọc sang dạng có thể đọc được. Các thuật toán mã hoá là các hàm toán học đặc biệt.
Chữ ký số là một đặc tính quan trọng của chứng chỉ số. Khi một cá nhân sử dụng chứng chỉ số để ký cho một tài liệu và gửi đi thì không thể chối cãi là đã không gửi tài liệu đó. Người nhận sẽ kiểm tra được tính toàn vẹn và bất kỳ một sự thay đổi nào, hay thông tin về người gửi không chính xác. Điều này giúp các cơ quan chức năng thẩm tra rõ mọi vấn đề khi có tranh chấp xảy ra trong giao dịch điện tử.
Trên đây đề cập đến một phạm vi rộng, gắn liền với mạng toàn cầu Internet. Tuy nhiên, nó vẫn có ý nghĩa và giá trị nhất định trong phạm vi của một mạng nội bộ mà chúng ta thường gọi là Intranet.
Ứng dụng chứng chỉ số ngày nay được mở rộng để xác thực và đảm bảo an toàn cho nhiều lĩnh vực kinh tế xã hội khác, như: các dịch vụ công (công chứng, hộ khẩu, khai sinh, v.v...); xác thực một phần mềm; xác thực quyền truy nhập vào một hệ thống, v.v...
Các nước tiên tiến hiện nay (Mỹ, Canada, Singapore, v.v...), với một hệ thống chính phủ điện tử hiện đại, việc quản lý sinh/tử, cấp hộ khẩu, công chứng, v.v...đã có thể thực hiện hoàn toàn thông qua mạng, việc này không chỉ tạo ra một sự tiện lợi cho mọi phía mà còn tiết kiệm đáng kể chi phí hành chính.
Mua một sản phẩm (phần mềm hoặc một sản phẩm bất kỳ nào khác) thông qua một siêu thị điện tử, bạn có thể yên tâm rằng bạn đã mua được “hàng hiệu” nếu siêu thị đó sử dụng chứng chỉ số do chính phủ hoặc một tổ chức có uy tín cấp.
Chúng ta có thể kể ra rất nhiều ứng dụng hữu ích khác của chứng chỉ số trong một xã hội mà CNTT và Internet được ứng dụng rộng rãi.
VASC CA là gì?
VASC CA là một sản phẩm phần mềm do Công ty Phát triển phần mềm VASC xây dựng và phát triển, cho phép triển khai một hệ thống cấp và quản lý chứng chỉ số cho các khách hàng có nhu cầu sử dụng chứng chỉ số cho các mục đích an toàn và xác thực của mình.
Với một chứng chỉ số được cấp từ hệ thống VASC CA, khách hàng hoàn toàn có thể an tâm về vấn đề an toàn và xác thực theo đúng mục đích yêu cầu của mình trên cơ sở sử dụng các kỹ thuật mã hoá dữ liệu và chữ ký số, trách được các nguy cơ mât an toàn thông tin đã đề cập ở trên khi tham gia các giao dịch Internet.
Ở các nước phát triển, chứng chỉ số là một khái niệm rất quen thuộc và được ứng dụng rộng rãi trong nhiều lĩnh vực thương mại điện tử và chính phủ điện tử. Ở những nước ứng dụng chứng chỉ số trong thời gian gần đây (Singapore, Thái lan, v.v...), việc cấp chứng chỉ số thông thường do một hoặc một vài tổ chức do chính phủ lựa chọn và uỷ quyền. Ở một số nước tiên tiến, việc ứng dụng chứng chỉ số đã được phát triển rộng rãi trước khi chính phủ quan tâm, việc cấp chứng chỉ số thường do một số tổ chức, doanh nghiệp chuyên về các dịch vụ CNTT trên Internet cung cấp, điển hình là Mỹ và Canada với những tổ chức nổi tiếng như GlobalSign, Verisign, Netscape, Thawte.
Một tổ chức cấp chứng chỉ số cho người dùng đóng vai trò là một nhà cung cấp dịch vụ, người dùng sử dụng chứng chỉ số cho các mục đính an toàn và xác thực của mình cũng giống như sử dụng, khai thác một dịch vụ và phải đóng phí sử dụng dịch vụ cho nhà cung cấp. Cũng giống như việc cung cấp và quản lý các dịch vụ khác, nhà cung cấp dịch vụ chứng chỉ số sử dụng một hệ thống phần mềm hỗ trợ và thường được gọi là hệ thống cấp và quản lý chứng chỉ số. GlobalSign, Verisign, Netscape, Thawte nổi tiếng với các sản phẩm phần mềm cấp và quản lý chứng chỉ số do chính hãng phát triển. Các nước ứng dụng rộng rãi chứng chỉ số trong thời gian gần đây, các tổ chức cấp chứng chỉ số thường sử dụng các sản phẩm do một công ty được chỉ định bởi chính phủ (vì lý do an ninh quốc gia). Việc ứng dụng chứng chỉ số trong các phạm vi hẹp hơn (trong một hãng, một tổ chức có nhu cầu ứng dụng chứng chỉ số cho mục đích riêng) có thể mua sản phẩm, giải pháp của một nhà cung cấp phần mềm cấp và quản lý chứng chỉ số đáp ứng được yêu cầu của họ.
Công ty Phát triển phần mềm VASC sử dụng chính sản phẩm này để triển khai dịch vụ cấp và quản lý chứng chỉ số cho các khách hàng của mình có nhu cầu sử dụng chứng chỉ số. Công ty cũng sẵn sàng cung cấp sản phẩm, giải pháp và hỗ trợ các đơn vị, tổ chức có khả năng và nhu cầu tổ chức cung cấp dịch vụ theo quy mô và yêu cầu của chính đơn vị và tổ chức đó.
Các loại chứng chỉ số được cấp bởi VASC CA
Chứng chỉ số cho cá nhân
Một cá nhân khi được cấp chứng chỉ số bởi VASC CA, có thể sử dụng chứng chỉ số này cho mục đích giao dịch an toàn trên Internet: trao đổi e-mail, giao dịch thương mại điện tử, truy cập tài nguyên hệ thống (mạng riêng ảo, dịch vụ cấp quyền truy nhập, ...), v.v...
Chứng chỉ số cho Server
Một Server khi sử dụng chứng chỉ số sẽ xác thực chính Server đó với người truy cập và ngược lại. Ví dụ, một Server cung cấp dịch vụ bán máy tính trên Internet có sử dụng chứng chỉ số, khi người sử dụng truy cập và thực hiện giao dịch mua hàng sẽ được bảo đảm bởi nhà cung cấp chứng chỉ số cho Server đó về tính xác thực của nó mà không sợ bị truy cập vào một hệ thống giả mạo nhằm đánh cắp thông tin cá nhân quan trọng của người mua (số thẻ tín dụng, v.v...).
Chứng chỉ số cho phát triển phần mềm.
Một phần mềm (một hệ thống hoặc một tập hợp các applet nhúng trong các trang Web) được chứng thực bằng chứng chỉ số giúp người sử dụng trách được các nguy cơ mất an toàn trong quán trình cài đặt và sử dụng chương trình đó (ví dụ trách được việc mua, download phải chương trình không mong muốn, thậm chí chính là những virus).
Giải pháp và công nghệ
Các chức năng cơ bản của hệ thống
Đăng ký xin cấp chứng chỉ số
Người sử dụng muốn có một chứng chỉ số, trước hết phải tiến hành thủ tục đăng ký xin cấp chứng chỉ số với một tổ chức có có thẩm quyền cấp chứng chỉ số (CA). Người sử dụng có thể đăng ký thông qua Website hoặc đăng ký trực tiếp tại giao dịch của tổ chức đó.
Tuỳ theo đối tượng đăng ký sử dụng mà việc đăng ký chia ra các hình thức:
ü Đăng ký chứng chỉ số cho cá nhân
ü Đăng ký chứng chỉ số cho Server
ü Đăng ký chứng chỉ số cho phát triển phần mềm
Cấp chứng chỉ số
Sau khi nhận được thông tin đăng ký của khách hàng, tổ chức cấp chứng chỉ sẽ tiến hành thủ tục xác thực, cấp chứng chỉ số cho khách hàng và đưa chứng chỉ số của khách hàng vào hệ thống quản lý để phục vụ cho các mục đích quản trị, tìm kiếm thông tin và hỗ trợ khác. Sau đó khách hàng có thể download (hoặc chép) chứng chỉ số của mình để sử dụng.
Sau khi có được chứng chỉ số, khách hàng có thể sử dụng trong giao dịch và trao đổi thông tin qua Internet.
Yêu cầu thay đổi, gia hạn, v.v...
Trong quá trình sử dụng, khách hàng có thể để xảy ra việc đánh mất, bị đánh cắp, v.v... chứng chỉ số của mình; việc cấp chứng chỉ số cho khách hàng gắn với một hạn mức thời gian sử dụng nhất định; v.v..., tất cả các vấn đề trên khi xảy ra khách hàng đều có thể yêu cầu sự hỗ trợ tương ứng từ phía nhà cung cấp.
Tìm kiếm thông tin về chứng chỉ số
Khi cần giao dịch, trao đổi thông tin an toàn với đối tượng khác, đối tượng đó cũng cần có một chứng chỉ số, người sử dụng cần dùng đến chức năng tìm kiềm để tìm được mã khoá công khai của họ. Mã khoá công khai của tất cả các khách hàng đều được quản lý chung trên hệ thống VASC CA và là chìa khoá cho các khách hàng thực hiện giao dịch, trao đổi thông tin an toàn.
Quản lý chứng chỉ số
Để phục vụ người sử dụng với các chức năng đã nêu trên, VASC CA cần phải có một hệ thống giúp người quản trị quản lý được các chứng chỉ số đã cấp, quản lý người sử dụng ,v.v... và quản trị chính hệ thống VASC CA. Hệ thống quản lý chứng chỉ số VASC CA bao gồm các chức năng cơ bản sau:
ü Quản lý cơ sở dữ liệu chứng chỉ số
ü Quản lý khách hàng
ü Quản lý sản phẩm dịch vụ
ü Quản lý người quản trị hệ thống
ü Quản lý phả hệ VASC CA
ü Thống kê, báo cáo tình hình hoạt động của hệ thống
ü Quản lý dự phòng và khôi phục hệ thống.
Các đặc trưng cơ bản của VASC CA
ü Xây dựng trên cơ sở công nghệ hiện đại, thiết bị chuyên dụng, đảm bảo an toàn và bảo mật theo đúng tiêu chuẩn hiện hành mà các hệ thống khác trên thế giới đang sử dụng.
ü Hệ thống cấp và quản lý hoạt động ở chế độ offline, đảm bảo an toàn tuyệt đối về CSDL chứng chỉ số của người sử dụng.
ü Có khả năng giao tiếp với các hệ thống quản lý chứng chỉ số khác.
ü Tuân theo chuẩn X509 quy định về cấu trúc của chứng chỉ số do ITU ban hành.
Công nghệ phát triển sản phẩm
Các hệ thống các và quản lý chứng chỉ số thường là mục tiêu tấn công của các hacker. Công nghệ phát triển sản phẩm không chỉ quyết định tính năng và độ tin cậy của sản phẩm mà cần đảm bảo tính an toàn và bảo mật cho hệ thống. VASC CA được xây dựng và phát triển trên cơ sở công nghệ cơ bản sau:
ü Hệ thống server chuyên dụng: sử dụng các server của SUN, HP với các hệ điều hành Solaris và UNIX với các hệ thống FireWall chuyên dụng.
ü Công nghệ Database của Oracle
ü Các hệ thống giám sát, hỗ trợ quản trị VASC InfoSec Scaner và VASC InfoSec Monitoring
ü Sử dụng bộ công cụ phân tích và phát triển của Rational
Đối tượng sử dụng
Như đã trình bày ở phần trên, tuỳ theo mục đích cũng như quy mô và phạm vi cung cấp dịch vụ của tổ chức quản lý mà họ sẽ lựa chọn sản phẩm phần mềm phục vụ cấp và quản lý chứng chỉ số của nhà cung cấp thoả mãn mục đích của mình.
Công ty Phát triển phần mềm VASC sử dụng chính sản phẩm VASC CA của mình triển khai phục vụ dịch vụ cấp chứng chỉ số cho các khách hàng giao dịch an toàn trên Internet, xác thực các Server cho các hệ thống thương mại điện tử, và cho các các nhà phát triển phần mềm có nhu cầu sử dụng chứng chỉ số để xác thực sản phẩm.
Các dự án chính phủ điện tử có thể sử dụng VASC CA làm giải pháp cho việc đảm bảo an toàn và xác thực thông tin giao dịch ở mọi cấp độ quản lý. Điển hình là các hệ thống cung cấp dịch vụ công:
ü Khai báo và cấp phép qua mạng
ü Khai báo và nộp thuế qua mạng
ü Khai sinh, khai tử và Hộ khẩu điện tử
ü Công chứng điện tử
Các bộ, ban, ngành có thể thiết lập hệ thống quản lý và cấp chứng chỉ số nội bộ phục vụ cho các công tác tin học hoá và số hoá hệ thống quản lý và giao dịch nội bộ.
Các ngân hàng có thể thiết lập hệ thống cấp và quản lý chứng chỉ số cho riêng mình, phục vụ các hệ thống giao dịch nội bộ cũng như phục vụ khách hàng các dịch vụ ngân hàng điện tử (E-Banking) rất tiện lợi và hiệu quả.
Các doanh nghiệp, tuỳ theo tính chất kinh doanh, đối tượng khách hàng cũng như các đặc điểm khác trong giao dịch và quan hệ nội bộ cũng như với khách hàng, giải pháp một hệ thống cấp chứng chỉ số với quy mô và mục đích hợp lý chắc chắn sẽ mang lại cho họ tính hiệu quả và lợi ích ngày càng lớn về mọi mặt
Lợi ích mang lại từ việc triển khai VASC CA
Việc triển khai rộng rãi các ứng dụng công nghệ chứng chỉ số nói chung và VASC CA nói riêng, chắc chắn sẽ mang lại cho các bên tham gia nhiều lợi ích thiết thực về mọi mặt.
Việc tạo ra một cộng đồng người sử dụng chứng chỉ số sẽ tạo ra một môi trường Internet đảm bảo cho việc phát triển các hệ thống ứng dụng thương mại điện tử an toàn cho mọi giao dịch thông tin và tiền tệ.
Các dịch vụ hành chính công không thể trọn vẹn và mang đầy đủ lợi ích thiết thực cho người dân nếu không có ứng dụng chứng chỉ số.
Một hệ thống quản lý chứng chỉ số được triển khai cho các mục đích riêng của một tổ chức, doanh nghiệp là cơ sở cơ bản cho việc tin học hoá và số hoá triệt để các hoạt động cũng như công tác quản lý của chính tổ chức, doanh nghiệp đó. Nó không chỉ góp phần tăng hiệu quả hoạt động của doanh nghiệp mà còn tiết kiệm đáng kể chi phí khác cho công tác quản lý và hành chính.
Ứng dụng rộng rãi các công nghệ chứng chỉ số thực sự sẽ mang lại cho xã hội và cho nền kinh tế quốc gia một bộ mặt hoàn toàn mới. Với kinh tế, nó thu hẹp các khoảng cách hiện tại giữa khách hàng và các doanh nghiệp thông qua sự phát triển của các ứng dụng thương mại điện tử công nghệ cao. Về xã hội, người dân thực sự được hưởng lợi từ sự phát triển mạnh mẽ của các dịch vụ hành chính công, góp phần xoá bỏ dần các cơ quan “hành là chính”.
Sự phát triển của chứng chỉ số được coi như một tất yếu trong sự phát triển xã hội ảnh hưởng bởi cuộc cách mạng kỹ thuật số. Ở các nước tiên tiến, do nhu cầu phát triển của kinh tế, việc ứng dụng công nghệ kỹ thuật chứng chí số được phát triển từ nhiều năm nay. Đến nay, chính phủ đã thực sự quan tâm và xây dựng thành các bộ luật để ứng dụng vào nhiều lĩnh vực kinh tế, xã hội khác. Các nước phát triển hiện nay coi việc ban hành luật thương mại điện tử và xây dựng chính phủ điện tử là điều kiện cơ bản để có thể phát triển bắt kịp nền kinh tế toàn cầu, đương nhiên ứng dụng chứng chỉ số phục vụ hai mục đích trên là vấn đề được quan tâm hàng đầu của chính phủ mỗi nước.
Không còn nghi ngờ gì nữa, việc ứng dụng và sử dụng rộng rãi các công nghệ kỹ thuật chứng chỉ số là bước phát triển tất yếu của xã hội hiện đại.