Chứng chỉ số: chứng minh thư trong thương mại điện tử

Để triển khai thương mại điện tử (TMĐT), các hình

thức
chứng thực danh tính qua mạng cần được sử dụng rất hiệu quả, tạo sự

tin cậy cho người sử dụng. Chứng chỉ số đã và đang là một trong những

công
cụ chứng thực hiệu quả nhất cho ngành công nghiệp TMĐT của thế

giới.Xin

giới thiệu sơ lược về cơ sở công nghệ và

những ứng dụng thực tiến
của công cụ này.

Ngày

nay, việc

giao tiếp qua mạng Internet đang trở thành một nhu cầu cấp
thiết. Các

thông tin truyền trên mạng đều rất quan trọng, như mã số
tài khoản,

thông tin mật… Tuy nhiên, với các thủ đoạn tinh vi, nguy
cơ bị ăn cắp

thông tin qua mạng cũng ngày càng gia tăng. Hiện giao
tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP. Đây là

giao thức
cho phép các thông tin được gửi từ máy tính này tới máy tính

khác
thông qua một loạt các máy trung gian

hoặc các mạng riêng biệt. Chính
điều này đã tạo cơ hội cho những ”kẻ

trộm”công nghệ cao có thể
thực hiện các hành động phi pháp. Các thông tin truyền trên mạng

đều
có thể bị nghe

trộm (Eavesdropping),giả mạo (Tampering),mạo danh (Impersonation) .v.v.

Các biện pháp bảo mật hiện
nay, chẳng hạn như dùng mật khẩu, đều không

đảm bảo vì có thể bị nghe
trộm hoặc bị dò ra nhanh chóng. 

Chứng

chỉ số là

một tệp tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một công ty… trên Internet. Nó giống như

bằng
lái xe, hộ chiếu, chứng minh thư hay những giấy

tờ xác minh cá nhân.

Để
có chứng minh thư,
bạn

phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng vậy,
phải do một

tổ chức đứng ra chứng nhận những thông tin

của bạn là
chính xác, được gọi là Nhà cung cấp chứng thực số (Certificate

Authority, viết tắt là CA). CA phải

đảm bảo về độ tin
cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số

mà mình cấp.

Trong
chứng chỉ số có
ba

thành phần chính:

• Thông

  tin cá

  nhân của người được cấp

• Khoá

  công khai (Public key) của người được cấp

• Chữ ký số
  của CA cấp chứng chỉ

Thông

tin cá nhân:

Đây là các
thông

tin của đối tượng được cấp chứng chỉ số, gồm tên, quốc tịch,
địa chỉ,

điện thoại, email, tên tổ chức .v.v. Phần này giống như các
thông tin

trên chứng minh thư của mỗi người.

 

Khoá công khai

 

Trong
khái niệm mật mã, khoá công khai là một giá

trị được nhà cung cấp
chứng thực đưa ra như một khoá mã hoá, kết hợp

cùng với một khoá cá
nhân duy nhất được tạo ra từ khoá công khai để tạo

thành cặp mã khoá
bất đối xứng.

Nguyên

lý hoạt động của khoá công

khai trong chứng chỉ số là hai bên giao
dịch phải biết khoá công khai

của nhau. Bên A muốn gửi cho bên B thì
phải dùng khoá công khai của bên B

để mã hoá thông tin. Bên B sẽ
dùng khoá cá nhân của mình để mở thông

tin đó ra. Tính bất đối xứng
trong mã hoá thể hiện ở chỗ khoá

cá nhân có thể giải mã dữ
liệu được mã hoá bằng khoá công khai

(trong cùng một cặp khoá duy
nhất mà một cá nhân sở hữu),

nhưng khoá công khai không có khả
năng giải mã lại thông tin,

kể cả những thông tin do
chính khoá công khai đó đã mã hoá. Đây là đặc

tính cần thiết vì có
thể nhiều cá nhân B,C, D… cùng thực hiện giao

dịch và có khoá công
khai của A, nhưng C,D… không thể giải mã được các

thông tin mà B
gửi cho A dù cho đã chặn bắt được các gói thông tin gửi

đi trên mạng.

Một cách
hiểu nôm na, nếu chứng chỉ số là một chứng

minh thư nhân dân, thì
khoá công khai đóng vai trò như danh tính của bạn

trên giấy chứng
minh thư (gồm tên địa chỉ, ảnh…), còn khoá cá nhân là

gương mặt và
dấu vân tay của bạn. Nếu coi một bưu phẩm là thông tin

truyền đi,
được "mã hoá" bằng địa chỉ và tên người nhận của
bạn, thì dù

ai đó có dùng chứng minh thư của bạn với mục đich lấy bưu

phẩm này, họ cũng không được nhân viên bưu điện giao bưu kiện vì ảnh

mặt
và dấu vân tay không giống.

 

Chữ ký số của

CA cấp chứng chỉ:

 

Còn

gọi là chứng chỉ gốc. Đây chính là sự xác

nhận của CA, bảo đảm tính
chính xác và hợp lệ của chứng chỉ. Muốn kiểm

tra một chứng chỉ số,
trước tiên phải kiểm tra chữ ký số của CA có hợp

lệ hay không. Trên
chứng minh thư, đây chính là con dấu xác nhận của

Công An Tỉnh hoặc
Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm

tra chứng minh
thư, đúng ra đầu tiên phải là xem con dấu này, để biết

chứng minh thư
có bị làm giả hay không.

 

Một

PKI (public key infrastructure)

cho phép người sử dụng của một mạng
công cộng không bảo mật, chẳng hạn

như Internet, có thể trao đổi dữ
liệu và tiền một cách an toàn thông qua

việc sử dụng một cặp mã khoá
công khai và cá nhân được cấp phát và sử

dụng qua một nhà cung cấp
chứng thực được tín nhiệm. Nền tảng khoá công

khai cung cấp một chứng
chỉ số, dùng để xác minh một cá nhân hoặc tổ

chức, và các dịch vụ
danh mục có thể lưu trữ và khi cần có thể thu hồi

các chứng chỉ số.
Mặc dù các thành phần cơ bản của PKI đều được phổ

biến, nhưng một số
nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng

khác biệt. Một
tiêu chuẩn chung về PKI trên Internet cũng đang trong quá

trình xây
dựng.

Một cơ sở
hạ tầng khoá công khai bao gồm:  

• Một

  Nhà cung

  cấp chứng thực số (CA) chuyên cung cấp và xác minh các
  chứng chỉ số. Một

  chứng chỉ bao gồm khoá công khai hoặc thông tin về
  khoá công khai

• Một

  nhà quản

  lý đăng ký (Registration Authority (RA) đóng vai trò như
  người thẩm tra

  cho CA trước khi một chứng chỉ số được cấp phát tới
  người yêu cầu

• Một

  hoặc nhiều

  danh mục nơi các chứng chỉ số (với khoá công khai của
  nó) được lưu giữ,

  phục vụ cho các nhu cầu tra cứu, lấy khoá công
  khai của đối tác cần

  thực hiện giao dịch chứng thực số.

• Một hệ
  thống

  quản lý chứng chỉ

Nhà quản lý đăng

ký – RA

Mã

hoá
 Lợi

ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi

đã
mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có

bạn mới giải
mã được thông tin để đọc. Trong quá trình truyền

thông
tin qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu

cũng không thể biết được trong gói tin có thông tin gì. Đây là một tính

năng rất quan
trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng

bảo mật thông
tin. Những trao đổi thông tin cần bảo mật cao, chẳng hạn

giao dịch
liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín

dụng, đều
cần phải có chứng chỉ số để đảm bảo an toàn. 

Hệ thống quản lý chứng chỉ số VASC-CA

VASC-CA là Nhà cung cấp chứng chỉ số đầu tiên tại Việt Nam, với các giải pháp: – Chứng chỉ số cá nhân VASC-CA: Giúp mã hoá thông tin, bảo mật e-mail, sử dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua giao thức bảo mật SSL. – Chứng chỉ số SSL Server VASC-CA: Giúp bảo mật hoạt động trao đổi thông tin trên website, xác thực người dùng bằng SSL, xác minh tính chính thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn chặn hacker dò mật khẩu. Chứng chỉ số Nhà phát triển phần mềm VASC-CA: Cho phép nhà phát triển phần mềm ký vào các chương trình applet, script, Java software, ActiveX control, EXE, CAB và DLL, đảm bảo tính hợp pháp của sản phẩm, cho phép người sử dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi của chương trình (do hỏng, bị crack hay virus phá hoại).

Chống

giả
mạo
Khi
bạn gửi đi một thông tin, có thể
là một dữ liệu

hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ
kiểm tra được thông tin của bạn có bị thay đổi hay

không. Bất kỳ một
sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát
hiện. Địa chỉ

mail của bạn, tên domain… đều có thể bị kẻ xấu làm
giả để đánh lừa

người nhận để lây lan virus, ăn cắp thông tin quan
trọng. Tuy nhiên,

chứng chỉ số thì không thể làm giả, nên việc trao
đổi thông tin có kèm

chứng chỉ số luôn đảm bảo an toàn.  

Xác
thực

Khi

bạn gửi một thông tin

kèm chứng chỉ số, người nhận – có thể là đối
tác kinh doanh, tổ chức

hoặc cơ quan chính quyền – sẽ xác định rõ
được danh tính của bạn. Có

nghĩa là dù không nhìn thấy bạn, nhưng qua
hệ thống chứng chỉ số mà bạn

và người nhận cùng sử dụng, người nhận
sẽ biết chắc chắn đó là bạn chứ

không phải là một người khác. Xác
thực là một tính năng rất quan
trọng

trong việc thực hiện các giao
dịch điện tử qua mạng, cũng
như các

thủ tục hành chính với cơ quan pháp quyền. Các hoạt động
này cần phải

xác minh rõ người gửi thông tin để sử dụng tư cách pháp
nhân. Đây chính

là nền tảng của một Chính
phủ điện tử, môi

trường cho phép

công dân có thể giao tiếp, thực hiện các công việc
hành chính với cơ

quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng
chỉ số là một phần

không thể thiếu, là phần cốt lõi của Chính phủ
điện tử. 

Chống chối cãi nguồn gốc

Khi

sử dụng một chứng chỉ số, bạn phải chịu trách

nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường

hợp người gửi
chối cãi, phủ nhận một thông tin nào đó không phải do mình

gửi
(chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận

có
được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin

đó.
Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ

chịu
trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông

tin
được gửi.

Chữ

ký điện tử
Email đóng một
vai trò khá quan trọng

trong trao đổi thông tin hàng ngày 
của chúng ta vì ưu điểm nhanh, rẻ

và
dễ sử dụng. Những thông điệp có thể gửi đi nhanh chóng, qua Internet,

đến những khách hàng, đồng nghiệp, nhà cung cấp và các đối tác. Tuy
nhiên, email

rất dễ bị tổn thương bởi các hacker. Những thông điệp
có thể bị đọc hay

bị giả mạo trước khi đến người nhận.

Bằng việc sử dụng chứng

chỉ
số cá nhân, bạn sẽ ngăn ngừa
được các nguy cơ này mà vẫn không

làm giảm những lợi thế của email.
Với chứng chỉ số cá nhân, bạn có thể

tạo thêm một chữ ký điện tử
vào email như một bằng chứng xác nhận

của mình. Chữ ký điện tử cũng
có các tính năng xác thực thông tin, toàn

vẹn dữ liệu và chống chối
cãi nguồn gốc. 

Ngoài

ra, chứng chỉ số cá nhân còn

cho phép người dùng có thể chứng thực
mình với một

web server thông qua giao thức bảo mật SSL.

Phương
pháp chứng thực dựa trên chứng chỉ số được đánh giá là tốt, an

toàn
và bảo mật hơn phương pháp chứng thực truyền thống dựa trên mật

khẩu.

Bảo mật Website

Khi

Website của bạn sử dụng cho mục đích thương mại

điện tử hay cho
những mục đích quan

trọng khác, những thông tin trao đổi giữa bạn và
khách hàng của bạn có

thể bị lộ. Để tránh nguy cơ này, bạn có thể

dùngchứng chỉ số SSL Server để bảo mật cho Website của mình.

Chứng
chỉ số

SSL
Server sẽ cho phép bạn

lập cấu hình Website
của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng
chỉ số này sẽ cung cấp cho Website

của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực

và tính
hợp pháp của Website. Chứng chỉ
số

SSL Server cũng cho phép trao đổi thông tin an

toàn và bảo mật
giữa Website với khách hàng, nhân viên và đối tác
của bạn thông qua công nghệ SSL mà nổi bật là các tính

năng:

+
Thực hiện mua bán
bằng thẻ tín dụng

+
Bảo vệ những thông tin cá nhân nhạy cảm của khách

hàng

+
Đảm bảo hacker
không thể dò tìm

được mật khẩu

Đảm
bảo phần mềm
Nếu

bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những ”con tem

chống
hàng giả” cho sản phẩm của mình. Đây là một công cụ không thể

thiếu
trong việc áp dụng hình thức sở

hữu bản quyền. Chứng chỉ

số Nhà phát triển phần
mềm sẽ cho phép bạn ký vào các
applet,

script, Java software, ActiveX control, các file dạng EXE,
CAB, DLL… Như

vậy, thông qua chứng chỉ số,
bạn sẽ đảm bảo

tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm.
Hơn nữa người

dùng sản phẩm có thể xác thực được bạn là nhà cung

cấp,
phát hiện được sự thay đổi của chương trình (do vô tình hỏng

hay do
virus phá, bị crack và bán lậu…).

Với

những lợi ích về bảo mật và xác

thực, chứng chỉ số hiện đã được sử
dụng rộng rãi trên thế giới như một

công cụ xác minh danh tính của
các bên trong giao dịch thương mại điện

tử. Đây là một nền tảng công
nghệ mang tính tiêu chuẩn trên toàn cầu,

mặc dù ở mỗi nước có một số
chính sách quản lý chứng thực số khác nhau.

Mỗi quốc gia đều cần có
những CA bản địa để chủ động về các hoạt động

chứng thực số trong
nước. Nhưng ngoài ra, nếu muốn thực hiện TMĐT vượt

ra ngoài biên
giới, các quốc gia cũng phải tuân theo các chuẩn công nghệ

chung, và
thực hiện chứng thực chéo, trao đổi và công nhận các CA của

nhau.
Đây cũng là những yếu tố quan trọng đối với một quốc gia đang

trong
quá trình phát triển TMĐT như Việt Nam.