Xây dựng hệ thống xác thực cho hệ thống thông tin của các cơ quan chính phủ

I. ĐẶT VẤN ĐỀ
Các vấn đề an ninh an toàn trong xã hội thông tin

Nảy sinh các vấn đề về đảm bảo an toàn thông tin:
•Ai đang giao dịch ? (Xác thực)
•Thông tin gửi đi có bị nghe trộm? (Bí mật)
•Dữ liệu nhận được có bị sửa đổi hay không? (Toàn vẹn)
•Chối bỏ hành động đã thực hiện. (Chống chối bỏ)

MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CHÍNH PHỦ

Dự án mạng truyền số liệu chuyên dùng của các cơ quan Đảng và Nhà nước từ trung ương đến địa phương:
-Hạ tầng truyền thông tốc độ cao, đa dịch vụ với công nghệ hiện đại, an toàn và bảo mật, cung cấp đường truyền dẫn và các cổng kết nối để liên kết các mạng nội bộ của các cơ quan Đảng, Nhà nước;
– Truy nhập Internet tốc độ cao, có các dịch vụ gia tăng trên mạng: điện thoại IP, video IP, Email, Web…;
-Mạng riêng ảo dùng cho nội bộ một đơnvị (cơ quan, tổ chức…);
– Extranet VPN: mạng riêng ảo giữa các mạng;
– Remote Access IP VPN: mạng riêng ảo truy nhập từ xa;
– Ipv6 VPN: mạng riêng ảo dùng IP phiên bản 6; Multicast VPN for MPLS: mạng riêng ảo quảng bá trên nền chuyển mạch nhãn đa giao thức;

II. CÁC HỆ THỐNG THÔNG TIN CỦA CHÍNH PHỦ
•Hệ thống thư điệntử Quốc gia
•Hệ thống giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các Bộ, ngành, địa phương
•Cơ sở dữ liệu Quốc gia về dân cư
•Hệ thống thông tin giao thông vận tải
•Hệ thống quản lý thông tin đầutư nước ngoài
•Hệ thống thông tin quản lý y tế dự phòng
•Cơ sở dữ liệu quốc gia về cán bộ, công chức, viên chức và cán bộ, công chức cấp xã
•Cơ sở dữ liệu quốc gia kinh tế công nghiệp và thương mại
•Hệ thống thông tin về văn bản quy phạm pháp luật thống nhất từ Trung ương tới các địa phương
• Các hệ thống thông tin về thuế, tài nguyên, môi trường…

Nhu cầu xác thực
Định danh các đối tượng tham gia:
• Con người
• Thiết bị
• Phần mềm
• Dịch vụ
Đảm bảo an toàn trong các giao dịch:
• Xác thực đăng nhập, phân cấp, phân quyền khai thác thông tin
• Xác thực và an toàn các phiên giao dịch
• …

THIẾT LẬP HỆ THỐNG XÁC THỰC VÀ BẢO MẬT
Trên cơ sở các hệ thống thông tin của Chính phủ, hệ thống mạng truyềnsố liệu chuyên dùng cho các cơ quan Chính phủ, để đảm bảo an toàn, tin cậy cho toàn bộ hệ thống thì cần thiết phải thiết lập hệ thống xác thực mạnh .Nền tảng của hệ thống này chính là sử dụng hạ tầng cơ sở khóa công khai (PKI) phục vụ ứng dụng chứng thực số và các dịch vụ chứng thực chữ ký số.


Cần thiết lập hạ tầng PKI

III. PKI cho cáccơ quan chính phủ
Các thành phần chính của PKI

Sau khi Luật Giao dịch điện tử được ban hành, Chính phủ đã ban hành Nghị địnhSố: 26/2007/NĐ-CP ngày 15/02/2007 Quy định chi tiết Luật GD ĐT về chữ ký số và dịch vụ chứng thực chữ kýsố Sau khi Luật Giao dịch điện tử được ban hành, Chính phủ đã ban hành Nghị địnhSố: 26/2007/NĐ-CP ngày 15/02/2007 Quy định chi tiết Luật GD ĐT về chữ ký số và dịch vụ chứng thực chữ ký số
Điều 6:
Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị
Tháng 9/2007, Ban Cơ yếu Chính đã thành lập tổ chức chứng thực chữ ký số phục vụ các cơ quan thuộc hệ thống chính trị. Hạ tầng cung cấp dịch vụ chứng thực chữ ký số đang tích cực triển khai cho cáccơ quan, Bộ, ngành
Quyết định số 63/QĐ-TTg ban hành ngày ngày 13/01/2010 phê duyệt quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 trong đó Ban Cơ yếu CP chịu trách nhiệm Xây dựng Hệ thống xác thực, bảo mật cho các hệ thống thông tin Chính phủ

Mô hình PKI hiện tại của Việt Nam

Các dịch vụ cung cấp
• Thiết lập và duy trì hạ tầng PKI cho các cơ quan Chính phủ: RootCA, các SubCA cho cáccơ quan, Bộ, ngành
• Cung cấp và quản lý chứng thư số và các dịch vụ chứng thực chữ ký số
• Tư vấn, hỗ trợ, triển khai dịch vụ chứng thực chữ ký số
• Phát triển các ứng dụng trên nền PKI Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Mô hình tổng thể

• Mô hình phâncấp hình cây: RootCA, SubCA
• Các SubCA được quy hoạch để phục vụ các cơ quan, Bộ, ngành

Mô hình các cơ quan đăng ký địa phương

• Phân tán trêncả nước
• Phục vụ cho các nhu cầu cấp phát và quản lý chứng thư số

Dịch vụ cung cấp
Cung cấp và quản lý chứng thư số:
• Tạo và phân phối các cặp khóa cho thuê bao
• Cấp, thu hồi chứng thư số
Dịchvụ chứng thực chữ kýsố:
• Tem thời gian (timestamping service)
• Kiểm tra trạng thái chứng thư số (CRLs, OCSP)
Dịchvụ côngbố thông tin:
• Chứng thư số RootCA, SubCA
• Chính sách chữ kýsố (Signature policy)
• Tracứu thông tin

Khuôn dạng chứng thư số và chứng thư số bị thu hồi
IETF RFC 3280 : Khuông dạng chứng thư số và danh sách chứng thư số bị thu hồi
ITU-T X.509 : Khuôn dạng chứng thư số khóa công khai và chứng thư thuộc tính
Mã/giải mã, ký/xác thực RSA
PKCS #1 V1.5, 2.0, 2.1
Lưu trữ, thông điệp mật mã…
PKCS #5: Chuẩn mã hóa dựa trên mật khẩu
PKCS #8: Chuẩn cú pháp thông tin khóa bí mật
PKCS #11: Chuẩn giao tiếp thẻ mật mã
PKCS #15: Chuẩn định dạng thông tin thẻ mật mã
PKCS #7: Chuẩn cú pháp thông điệp mật mã
PKCS #10: Chuẩn cú pháp yêu cầu chứng thực
Nhãn thời gian
IETF RFC 3161 : Giao thức gán nhãn thời gian
IETF RFC 1305: Giao thức thời gian mạng V3.0
Danh bạ chứng thư, kiểm tra tình trạng
IETF RFC 2251:  Giao thức truycập thư mục
Ứngdụng
XAdES signature structure (EU) – ETSI TS 101 903 (dựa trên RFC 3275): khuôn dạng chữ ký số
ETSI TR 102 038 (dựa trên RFC 3125 ): Chính sách chữ kýsố
IETF RFC 2650:  Giao thức kiểm tra tình trạng chứng thư

Đã triển kha ibước đầu cho một số cơ quan, Bộ, ngành:
• Cung cấp chứng thư số
• Thiết lập dịch vụ chứng thực chữ ký số
• …
Ứng dụng phục vụ xác thực, bảo mật:
• Xác thực và bảo mật thư điện tử
• Xác thực và bảo mật dịch vụ web
• Ký số các tài liệu điện tử

IV. Một số kết quả đạt được

Giải pháp theo mô hình tập trung

Đặc điểm:

Cơ quan, Bộ, ngành sử dụng trực tiếp các dịch vụ chữ ký số và chứng thực chữ ký số tại RootCA Ban Cơ yếu
Chính phủ
RootCA Ban Cơ yếu Chính phủ tổ chức cấp phát chứng thư số, các dịch vụ chứng thực chữ ký số

Điều kiện áp dụng:

Kết nối với RootCA thông qua mạng truyền số liệu chuyên dùng Chính phủ
Số lượng chứng thư số không lớn (<1500 thuê bao)

Giải pháp theo mô hình phân tán

Đặc điểm:

Các dịch vụ chứng thực chữ ký số được phân tán xuống mạng của các cơ quan, Bộ, ngành
RootCA Ban Cơ yếu Chính phủ đảm bảo việc cấp chứng thư số

Điều kiện áp dụng:

Kết nối với RootCA thông qua mạng truyền số liệu chuyên dùng Chính phủ Có bộ phận CA chuyên trách
Có hệ thống server dành riêng cho các dịch vụ LDAP, TimeStamp, OCSP, NTP, Web

Tổ chức quản lý cấp phát chứng thư số 

User: Thuê bao thuộc cáccơ quan, Bộ, ngành
LRA: Tổ chức quản lý thuê bao
RA:  Cơ quanxử lý yêucầu chứng thực
RootCA: Ban Cơ yếu Chính phủ
Quy trình:

LRA lập danh sách trên cơ sở nhu cầu sử dụng chứng thư số từ thuê bao gửi RA
RA kiểm tra thông tin gửi RootCA
RootCA tổ chức tạo chứng thư số, gửi khóa bí mật được lưu trên thiết bị cho RA, RA gửi cho LRA.
RootCA cập nhật và công bố danh bạ chứng thư số

Văn Phú (theo kenhgiaiphap)