Categories
Thương mại điện tử

Chứng chỉ số: chứng minh thư trong TMĐT

Computer trivia: What popular computer operating system was invented by Finnish college student Linus Torvalds?
Answer: Linux.

Để triển khai thương mại điện tử (TMĐT), các hình thức chứng thực danh
tính qua mạng cần được sử dụng rất hiệu quả, tạo sự tin cậy cho người
sử dụng. Chứng chỉ số đã và đang là một trong những công cụ chứng thực
hiệu quả nhất cho ngành công nghiệp TMĐT của thế giới. Vietnamnet xin
giới thiệu sơ lược về cơ sở công nghệ và những ứng dụng thực tiến của
công cụ này.


Vì sao phải dùng chứng chỉ số?


Xác minh bằng chứng chỉ số, hình thức chứng thực phổ biến trong hoạt động TMĐT.


Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu cầu
cấp thiết. Các thông tin truyền trên mạng đều rất quan trọng, như mã số
tài khoản, thông tin mật… Tuy nhiên, với các thủ đoạn tinh vi, nguy
cơ bị ăn cắp thông tin qua mạng cũng ngày càng gia tăng. Hiện giao tiếp
qua Internet chủ yếu sử dụng giao thức TCP/IP. Đây là giao thức cho
phép các thông tin được gửi từ máy tính này tới máy tính khác thông qua
một loạt các máy trung gian hoặc các mạng riêng biệt. Chính điều này đã
tạo cơ hội cho những \’\’kẻ trộm\’\’công nghệ cao có thể thực hiện các hành
động phi pháp. Các thông tin truyền trên mạng đều có thể bị nghe trộm
(Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) .v.v.
Các biện pháp bảo mật hiện nay, chẳng hạn như dùng mật khẩu, đều không
đảm bảo vì có thể bị nghe trộm hoặc bị dò ra nhanh chóng.



Do vậy, để bảo mật, các thông tin truyền trên Internet ngày nay đều có
xu hướng được mã hoá. Trước khi truyền qua mạng Internet, người gửi mã
hoá thông tin, trong quá trình truyền, dù có \’\’chặn\’\’ được các thông
tin này, kẻ trộm cũng không thể đọc được vì bị mã hoá. Khi tới đích,
người nhận sẽ sử dụng một công cụ đặc biệt để giải mã. Phương pháp mã
hoá và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số
(Digital Certificate). Với chứng chỉ số, người sử dụng có thể mã hoá
thông tin một cách hiệu quả, chống giả mạo (cho phép người nhận kiểm
tra thông tin có bị thay đổi không), xác thực danh tính của người gửi.
Ngoài ra chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc,
ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi.


Chứng chỉ số là gì?


VASC CA, hệ thống quản lý chứng chỉ số đầu tiên tại Việt Nam.


Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một công ty… trên Internet. Nó giống như bằng lái
xe, hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân.



Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng
chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin
của bạn là chính xác, được gọi là Nhà cung cấp chứng thực số
(Certificate Authority, viết tắt là CA). CA phải đảm bảo về độ tin cậy,
chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp.


Trong chứng chỉ số có ba thành phần chính:


– Thông tin cá nhân của người được cấp


– Khoá công khai (Public key) của người được cấp


– Chữ ký số của CA cấp chứng chỉ

Thông tin cá nhân:

Đây là các thông tin của đối tượng được cấp chứng chỉ số, gồm tên, quốc
tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v. Phần này giống như
các thông tin trên chứng minh thư của mỗi người.


Khoá công khai

Trong khái niệm mật mã, khoá công khai là một giá trị được nhà cung cấp
chứng thực đưa ra như một khoá mã hoá, kết hợp cùng với một khoá cá
nhân duy nhất được tạo ra từ khoá công khai để tạo thành cặp mã khoá
bất đối xứng.



Nguyên lý hoạt động của khoá công khai trong chứng chỉ số là hai bên
giao dịch phải biết khoá công khai của nhau. Bên A muốn gửi cho bên B
thì phải dùng khoá công khai của bên B để mã hoá thông tin. Bên B sẽ
dùng khoá cá nhân của mình để mở thông tin đó ra. Tính bất đối xứng
trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã dữ liệu được mã
hoá bằng khoá công khai (trong cùng một cặp khoá duy nhất mà một cá
nhân sở hữu), nhưng khoá công khai không có khả năng giải mã lại thông
tin, kể cả những thông tin do chính khoá công khai đó đã mã hoá. Đây là
đặc tính cần thiết vì có thể nhiều cá nhân B,C, D… cùng thực hiện
giao dịch và có khoá công khai của A, nhưng C,D… không thể giải mã
được các thông tin mà B gửi cho A dù cho đã chặn bắt được các gói thông
tin gửi đi trên mạng.



Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân,
thì khoá công khai đóng vai trò như danh tính của bạn trên giấy chứng
minh thư (gồm tên địa chỉ, ảnh…), còn khoá cá nhân là gương mặt và
dấu vân tay của bạn. Nếu coi một bưu phẩm là thông tin truyền đi, được
"mã hoá" bằng địa chỉ và tên người nhận của bạn, thì dù ai đó có dùng
chứng minh thư của bạn với mục đich lấy bưu phẩm này, họ cũng không
được nhân viên bưu điện giao bưu kiện vì ảnh mặt và dấu vân tay không
giống.


Chữ ký số của CA cấp chứng chỉ:

Còn gọi là chứng chỉ gốc. Đây chính là sự xác nhận của CA, bảo đảm tính
chính xác và hợp lệ của chứng chỉ. Muốn kiểm tra một chứng chỉ số,
trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không. Trên
chứng minh thư, đây chính là con dấu xác nhận của Công An Tỉnh hoặc
Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm tra chứng minh
thư, đúng ra đầu tiên phải là xem con dấu này, để biết chứng minh thư
có bị làm giả hay không.


Nhà cung cấp chứng thực số CA


Trong các hệ thống quản lý chứng thực số đang hoạt động trên thế giới,
Nhà cung cấp chứng thực số (Certificate authority – CA) là một tổ chức
chuyên đưa ra và quản lý các nội dung xác thực bảo mật trên một mạng
máy tính, cùng các khoá công khai để mã hoá thông tin. Là một phần
trong Cơ sở hạ tầng khoá công khai (public key infrastructure – PKI),
một CA sẽ kiểm soát cùng với một nhà quản lý đăng ký (Registration
authority – RA) để xác minh thông tin về một chứng chỉ số mà người yêu
cầu xác thực đưa ra. Nếu RA xác nhận thông tin của người cần xác thực,
CA sau đó sẽ đưa ra một chứng chỉ.



Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ
số sẽ bao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực
của chứng chỉ, tên chủ sở hữu và các thông tin khác về chủ khoá công
khai.


Cơ sở hạ tầng khoá công khai – PKI


Hệ thống PKI cung cấp một môi trường chứng thực bảo mật trên Internet.


Một PKI (public key infrastructure) cho phép người sử dụng của một mạng
công cộng không bảo mật, chẳng hạn như Internet, có thể trao đổi dữ
liệu và tiền một cách an toàn thông qua việc sử dụng một cặp mã khoá
công khai và cá nhân được cấp phát và sử dụng qua một nhà cung cấp
chứng thực được tín nhiệm. Nền tảng khoá công khai cung cấp một chứng
chỉ số, dùng để xác minh một cá nhân hoặc tổ chức, và các dịch vụ danh
mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số. Mặc dù
các thành phần cơ bản của PKI đều được phổ biến, nhưng một số nhà cung
cấp đang muốn đưa ra những chuẩn PKI riêng khác biệt. Một tiêu chuẩn
chung về PKI trên Internet cũng đang trong quá trình xây dựng.


Một cơ sở hạ tầng khoá công khai bao gồm: 


Một Nhà cung cấp chứng thực số (CA) chuyên cung cấp và xác minh các
chứng chỉ số. Một chứng chỉ bao gồm khoá công khai hoặc thông tin về
khoá công khai


Một nhà quản lý đăng ký (Registration Authority (RA) đóng vai trò như
người thẩm tra cho CA trước khi một chứng chỉ số được cấp phát tới
người yêu cầu


Một hoặc nhiều danh mục nơi các chứng chỉ số (với khoá công khai của
nó) được lưu giữ, phục vụ cho các nhu cầu tra cứu, lấy khoá công khai
của đối tác cần thực hiện giao dịch chứng thực số.


Một hệ thống quản lý chứng chỉ


Nhà quản lý đăng ký – RA



Một nhà quản lý đăng ký (Registration Authority – RA) là một cơ quan
thẩm tra trên một mạng máy tính, xác minh các yêu cầu của người dùng
muốn xác thực một chứng chỉ số, và yêu cầu CA đưa ra kết quả. RA là một
phần trong cơ sở hạ tầng khoá công khai PKI, một hệ thống cho phép các
công ty và người dùng trao đổi các thông tin và hoạt động tài chính một
cách an toàn bảo mật.



Lợi ích của chứng chỉ số

Mã hoáLợi ích đầu tiên của chứng chỉ số là tính bảo mật thông
tin. Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn,
chắc chắn chỉ có bạn mới giải mã được thông tin để đọc. Trong quá trình
truyền thông tin qua Internet, dù có đọc được các gói tin đã mã hoá
này, kẻ xấu cũng không thể biết được trong gói tin có thông tin gì. Đây
là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy
về khả năng bảo mật thông tin. Những trao đổi thông tin cần bảo mật
cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán
bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.


Hệ thống quản lý chứng chỉ số VASC-CA


VASC-CA là Nhà cung cấp chứng chỉ số đầu tiên tại Việt Nam, với các giải pháp:


– Chứng chỉ số cá nhân VASC-CA: Giúp mã hoá thông tin, bảo mật e-mail,
sử dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua
giao thức bảo mật SSL.



– Chứng chỉ số SSL Server VASC-CA: Giúp bảo mật hoạt động trao đổi
thông tin trên website, xác thực người dùng bằng SSL, xác minh tính
chính thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn
chặn hacker dò mật khẩu.



Chứng chỉ số Nhà phát triển phần mềm VASC-CA: Cho phép nhà phát triển
phần mềm ký vào các chương trình applet, script, Java software, ActiveX
control, EXE, CAB và DLL, đảm bảo tính hợp pháp của sản phẩm, cho phép
người sử dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi
của chương trình (do hỏng, bị ***** hay virus phá hoại).

Chống giả mạo

Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có
sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có
bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của
thông điệp gốc đều sẽ bị phát hiện. Địa chỉ mail của bạn, tên domain…
đều có thể bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus,
ăn cắp thông tin quan trọng. Tuy nhiên, chứng chỉ số thì không thể làm
giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an
toàn.


Xác thực

Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận – có thể là đối
tác kinh doanh, tổ chức hoặc cơ quan chính quyền – sẽ xác định rõ được
danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ
thống chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận sẽ
biết chắc chắn đó là bạn chứ không phải là một người khác. Xác thực là
một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử
qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền. Các
hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư
cách pháp nhân. Đây chính là nền tảng của một Chính phủ điện tử, môi
trường cho phép công dân có thể giao tiếp, thực hiện các công việc hành
chính với cơ quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng chỉ số
là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử.


Chống chối cãi nguồn gốc

Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối
cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn
một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận có được sẽ là
bằng chứng khẳng định người gửi là tác giả của thông tin đó. Trong
trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách
nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được
gửi.



Với TMĐT, câu "Bút sa, gà chết" có lẽ phải đổi thành "Chứng chỉ số gửi… gà chết".


Chữ ký điện tử

Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng
ngày của chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng. Những thông điệp
có thể gửi đi nhanh chóng, qua Internet, đến những khách hàng, đồng
nghiệp, nhà cung cấp và các đối tác. Tuy nhiên, email rất dễ bị tổn
thương bởi các hacker. Những thông điệp có thể bị đọc hay bị giả mạo
trước khi đến người nhận.



Bằng việc sử dụng chứng chỉ số cá nhân, bạn sẽ ngăn ngừa được các nguy
cơ này mà vẫn không làm giảm những lợi thế của email. Với chứng chỉ số
cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào email như một bằng
chứng xác nhận của mình. Chữ ký điện tử cũng có các tính năng xác thực
thông tin, toàn vẹn dữ liệu và chống chối cãi nguồn gốc.



Ngoài ra, chứng chỉ số cá nhân còn cho phép người dùng có thể chứng
thực mình với một web server thông qua giao thức bảo mật SSL. Phương
pháp chứng thực dựa trên chứng chỉ số được đánh giá là tốt, an toàn và
bảo mật hơn phương pháp chứng thực truyền thống dựa trên mật khẩu.


Bảo mật Website

Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho
những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và
khách hàng của bạn có thể bị lộ. Để tránh nguy cơ này, bạn có thể dùng
chứng chỉ số SSL Server để bảo mật cho Website của mình.



Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình
theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số
này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo
với khách hàng của bạn về tính xác thực và tính hợp pháp của Website.
Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo
mật giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua
công nghệ SSL mà nổi bật là các tính năng:



+ Thực hiện mua bán bằng thẻ tín dụng



+ Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng



+ Đảm bảo hacker không thể dò tìm được mật khẩu


Đảm bảo phần mềm

Nếu bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những \’\’con
tem chống hàng giả\’\’ cho sản phẩm của mình. Đây là một công cụ không
thể thiếu trong việc áp dụng hình thức sở hữu bản quyền. Chứng chỉ số
Nhà phát triển phần mềm sẽ cho phép bạn ký vào các applet, script, Java
software, ActiveX control, các file dạng EXE, CAB, DLL… Như vậy,
thông qua chứng chỉ số, bạn sẽ đảm bảo tính hợp pháp cũng như nguồn gốc
xuất xứ của sản phẩm. Hơn nữa người dùng sản phẩm có thể xác thực được
bạn là nhà cung cấp, phát hiện được sự thay đổi của chương trình (do vô
tình hỏng hay do virus phá, bị ***** và bán lậu…).



Với những lợi ích về bảo mật và xác thực, chứng chỉ số hiện đã được sử
dụng rộng rãi trên thế giới như một công cụ xác minh danh tính của các
bên trong giao dịch thương mại điện tử. Đây là một nền tảng công nghệ
mang tính tiêu chuẩn trên toàn cầu, mặc dù ở mỗi nước có một số chính
sách quản lý chứng thực số khác nhau. Mỗi quốc gia đều cần có những CA
bản địa để chủ động về các hoạt động chứng thực số trong nước. Nhưng
ngoài ra, nếu muốn thực hiện TMĐT vượt ra ngoài biên giới, các quốc gia
cũng phải tuân theo các chuẩn công nghệ chung, và thực hiện chứng thực
chéo, trao đổi và công nhận các CA của nhau. Đây cũng là những yếu tố
quan trọng đối với một quốc gia đang trong quá trình phát triển TMĐT
như Việt Nam.


(st)

Chứng chỉ số: chứng minh thư trong TMĐT’]