Categories
Thương mại điện tử

Chứng chỉ số: chứng minh thư trong thương mại điện tử

chungchisoĐể triển khai thương mại điện tử (TMĐT), các hình

thức
chứng thực danh tính qua mạng cần được sử dụng rất hiệu quả, tạo sự

tin cậy cho người sử dụng. Chứng chỉ số đã và đang là một trong những

công
cụ chứng thực hiệu quả nhất cho ngành công nghiệp TMĐT của thế

giới.Xin

giới thiệu sơ lược về cơ sở công nghệ và

những ứng dụng thực tiến
của công cụ này.

 
Vì sao phải dùng chứng chỉ số?
 

Ngày

nay, việc

giao tiếp qua mạng Internet đang trở thành một nhu cầu cấp
thiết. Các

thông tin truyền trên mạng đều rất quan trọng, như mã số
tài khoản,

thông tin mật… Tuy nhiên, với các thủ đoạn tinh vi, nguy
cơ bị ăn cắp

thông tin qua mạng cũng ngày càng gia tăng. Hiện giao
tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP. Đây là

giao thức
cho phép các thông tin được gửi từ máy tính này tới máy tính

khác
thông qua một loạt các máy trung gian

hoặc các mạng riêng biệt. Chính
điều này đã tạo cơ hội cho những ”kẻ

trộm”công nghệ cao có thể
thực hiện các hành động phi pháp. Các thông tin truyền trên mạng

đều
có thể bị nghe

trộm (Eavesdropping),giả mạo (Tampering),mạo danh (Impersonation) .v.v.

Các biện pháp bảo mật hiện
nay, chẳng hạn như dùng mật khẩu, đều không

đảm bảo vì có thể bị nghe
trộm hoặc bị dò ra nhanh chóng. 

Do vậy,
để bảo mật, các thông tin truyền trên Internet ngày nay đều có xu

hướng
được mã hoá. Trước khi truyền qua mạng Internet, người gửi mã hoá

thông
tin, trong quá trình truyền, dù có ”chặn” được các thông tin

này,
kẻ trộm cũng không thể đọc được vì bị mã hoá. Khi tới đích, người

nhận
sẽ sử dụng một công cụ đặc biệt để giải mã. Phương pháp mã hoá và

bảo
mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số

(Digital
Certificate). Với chứng chỉ số, người sử dụng có thể mã hoá

thông tin một cách hiệu quả,chống giả mạo
(cho phép người

nhận kiểm tra thông tin có bị thay đổi không), xác
thực
danh tính của người
gửi. Ngoài ra chứng chỉ

số còn là bằng
chứng
giúp chống chối cãi nguồn gốc, ngăn chặn người

gửi chối cãi
nguồn gốc tài liệu mình đã gửi.

 
Chứng chỉ số là gì?
 

Chứng

chỉ số là

một tệp tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một công ty… trên Internet. Nó giống như

bằng
lái xe, hộ chiếu, chứng minh thư hay những giấy

tờ xác minh cá nhân.

Để
có chứng minh thư,
bạn

phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng vậy,
phải do một

tổ chức đứng ra chứng nhận những thông tin

của bạn là
chính xác, được gọi là Nhà cung cấp chứng thực số (Certificate

Authority, viết tắt là CA). CA phải

đảm bảo về độ tin
cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số

mà mình cấp.

Trong
chứng chỉ số có
ba

thành phần chính:

  • Thông

    tin cá

    nhân của người được cấp

  • Khoá

    công khai (Public key) của người được cấp

  • Chữ ký số
    của CA cấp chứng chỉ

Thông

tin cá nhân:

Đây là các
thông

tin của đối tượng được cấp chứng chỉ số, gồm tên, quốc tịch,
địa chỉ,

điện thoại, email, tên tổ chức .v.v. Phần này giống như các
thông tin

trên chứng minh thư của mỗi người.

 
Khoá công khai
 

Trong
khái niệm mật mã, khoá công khai là một giá

trị được nhà cung cấp
chứng thực đưa ra như một khoá mã hoá, kết hợp

cùng với một khoá cá
nhân duy nhất được tạo ra từ khoá công khai để tạo

thành cặp mã khoá
bất đối xứng.

Nguyên

lý hoạt động của khoá công

khai trong chứng chỉ số là hai bên giao
dịch phải biết khoá công khai

của nhau. Bên A muốn gửi cho bên B thì
phải dùng khoá công khai của bên B

để mã hoá thông tin. Bên B sẽ
dùng khoá cá nhân của mình để mở thông

tin đó ra. Tính bất đối xứng
trong mã hoá thể hiện ở chỗ khoá

cá nhân có thể giải mã dữ
liệu được mã hoá bằng khoá công khai

(trong cùng một cặp khoá duy
nhất mà một cá nhân sở hữu),

nhưng khoá công khai không có khả
năng giải mã lại thông tin
,

kể cả những thông tin do
chính khoá công khai đó đã mã hoá. Đây là đặc

tính cần thiết vì có
thể nhiều cá nhân B,C, D… cùng thực hiện giao

dịch và có khoá công
khai của A, nhưng C,D… không thể giải mã được các

thông tin mà B
gửi cho A dù cho đã chặn bắt được các gói thông tin gửi

đi trên mạng.

Một cách
hiểu nôm na, nếu chứng chỉ số là một chứng

minh thư nhân dân, thì
khoá công khai đóng vai trò như danh tính của bạn

trên giấy chứng
minh thư (gồm tên địa chỉ, ảnh…), còn khoá cá nhân là

gương mặt và
dấu vân tay của bạn. Nếu coi một bưu phẩm là thông tin

truyền đi,
được "mã hoá" bằng địa chỉ và tên người nhận của
bạn, thì dù

ai đó có dùng chứng minh thư của bạn với mục đich lấy bưu

phẩm này, họ cũng không được nhân viên bưu điện giao bưu kiện vì ảnh

mặt
và dấu vân tay không giống.

 
Chữ ký số của

CA cấp chứng chỉ:

 
Còn

gọi là chứng chỉ gốc. Đây chính là sự xác

nhận của CA, bảo đảm tính
chính xác và hợp lệ của chứng chỉ. Muốn kiểm

tra một chứng chỉ số,
trước tiên phải kiểm tra chữ ký số của CA có hợp

lệ hay không. Trên
chứng minh thư, đây chính là con dấu xác nhận của

Công An Tỉnh hoặc
Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm

tra chứng minh
thư, đúng ra đầu tiên phải là xem con dấu này, để biết

chứng minh thư
có bị làm giả hay không.

 
  
Nhà cung cấp chứng thực số CA
 
Trong

các hệ

thống quản lý chứng thực số đang hoạt động trên thế giới, Nhà
cung cấp

chứng thực số (Certificate authority – CA) là một tổ chức
chuyên đưa ra

và quản lý các nội dung xác thực bảo mật trên một mạng
máy tính, cùng

các khoá công khai để mã hoá thông tin. Là một phần
trong Cơ sở hạ tầng

khoá công khai (public key infrastructure – PKI),
một CA sẽ kiểm soát

cùng với một nhà quản lý đăng ký (Registration
authority – RA) để xác

minh thông tin về một chứng chỉ số mà người
yêu cầu xác thực đưa ra. Nếu

RA xác nhận thông tin của người cần xác
thực, CA sau đó sẽ đưa ra một

chứng chỉ.

Tuỳ

thuộc vào việc triển khai cơ sở hạ tầng khoá công

khai, chứng chỉ
số sẽ bao gồm khoá công khai của người sở hữu, thời hạn

hết hiệu lực
của chứng chỉ, tên chủ sở hữu và các thông tin khác về chủ

khoá
công khai.

 

 

Cơ sở hạ tầng khoá

công khai –
PKI

 

Một

PKI (public key infrastructure)

cho phép người sử dụng của một mạng
công cộng không bảo mật, chẳng hạn

như Internet, có thể trao đổi dữ
liệu và tiền một cách an toàn thông qua

việc sử dụng một cặp mã khoá
công khai và cá nhân được cấp phát và sử

dụng qua một nhà cung cấp
chứng thực được tín nhiệm. Nền tảng khoá công

khai cung cấp một chứng
chỉ số, dùng để xác minh một cá nhân hoặc tổ

chức, và các dịch vụ
danh mục có thể lưu trữ và khi cần có thể thu hồi

các chứng chỉ số.
Mặc dù các thành phần cơ bản của PKI đều được phổ

biến, nhưng một số
nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng

khác biệt. Một
tiêu chuẩn chung về PKI trên Internet cũng đang trong quá

trình xây
dựng.

Một cơ sở
hạ tầng khoá công khai bao gồm:  

  • Một

    Nhà cung

    cấp chứng thực số (CA) chuyên cung cấp và xác minh các
    chứng chỉ số. Một

    chứng chỉ bao gồm khoá công khai hoặc thông tin về
    khoá công khai

  • Một

    nhà quản

    lý đăng ký (Registration Authority (RA) đóng vai trò như
    người thẩm tra

    cho CA trước khi một chứng chỉ số được cấp phát tới
    người yêu cầu

  • Một

    hoặc nhiều

    danh mục nơi các chứng chỉ số (với khoá công khai của
    nó) được lưu giữ,

    phục vụ cho các nhu cầu tra cứu, lấy khoá công
    khai của đối tác cần

    thực hiện giao dịch chứng thực số.

  • Một hệ
    thống

    quản lý chứng chỉ

Nhà quản lý đăng

ký – RA

 
Một

nhà quản lý đăng ký (Registration Authority – RA)

là một cơ quan
thẩm tra trên một mạng máy tính, xác minh các yêu cầu

của người dùng
muốn xác thực một chứng chỉ số, và yêu cầu CA đưa ra kết

quả. RA là
một phần trong cơ sở hạ tầng khoá công khai PKI, một hệ thống

cho
phép các công ty và người dùng trao đổi các thông tin và hoạt động

tài
chính một cách an toàn bảo mật.

 

Lợi

ích của chứng chỉ số 

 

hoá
 
Lợi

ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi

đã
mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có

bạn mới giải
mã được thông tin
để đọc. Trong quá trình truyền

thông
tin qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu

cũng không thể biết được trong gói tin có thông tin gì. Đây là một tính

năng rất quan
trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng

bảo mật thông
tin. Những trao đổi thông tin cần bảo mật cao, chẳng hạn

giao dịch
liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín

dụng, đều
cần phải có chứng chỉ số để đảm bảo an toàn. 

Hệ

thống quản lý chứng chỉ số VASC-CA

VASC-CA

là Nhà cung cấp chứng chỉ số đầu

tiên tại Việt Nam, với các giải
pháp:

– Chứng
chỉ số cá nhân VASC-CA: Giúp mã hoá

thông tin, bảo mật e-mail, sử
dụng chữ ký điện tử cá nhân, chứng thực

với một web server thông qua
giao thức bảo mật SSL.


Chứng chỉ số SSL Server VASC-CA: Giúp bảo mật hoạt động trao đổi

thông
tin trên website, xác thực người dùng bằng SSL, xác minh tính

chính
thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn

chặn
hacker dò mật khẩu.

Chứng

chỉ số Nhà

phát triển phần mềm VASC-CA: Cho phép nhà

phát triển
phần mềm ký vào các chương trình applet, script, Java

software,
ActiveX control, EXE, CAB và DLL, đảm bảo tính hợp pháp của

sản phẩm,
cho phép người sử dụng nhận diện được nhà cung cấp, phát hiện

được
sự thay đổi của chương trình (do hỏng, bị crack hay virus phá

hoại).

Chống

giả
mạo
Khi
bạn gửi đi một thông tin, có thể
là một dữ liệu

hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ
kiểm tra được thông tin của bạn có bị thay đổi hay

không. Bất kỳ một
sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát
hiện. Địa chỉ

mail của bạn, tên domain… đều có thể bị kẻ xấu làm
giả để đánh lừa

người nhận để lây lan virus, ăn cắp thông tin quan
trọng. Tuy nhiên,

chứng chỉ số thì không thể làm giả, nên việc trao
đổi thông tin có kèm

chứng chỉ số luôn đảm bảo an toàn.  

Xác
thực

Khi

bạn gửi một thông tin

kèm chứng chỉ số, người nhận – có thể là đối
tác kinh doanh, tổ chức

hoặc cơ quan chính quyền – sẽ xác định rõ
được danh tính của bạn. Có

nghĩa là dù không nhìn thấy bạn, nhưng qua
hệ thống chứng chỉ số mà bạn

và người nhận cùng sử dụng, người nhận
sẽ biết chắc chắn đó là bạn chứ

không phải là một người khác. Xác
thực là một tính năng rất quan
trọng

trong việc thực hiện các giao
dịch điện tử
qua mạng, cũng
như các

thủ tục hành chính với cơ quan pháp quyền. Các hoạt động
này cần phải

xác minh rõ người gửi thông tin để sử dụng tư cách pháp
nhân. Đây chính

là nền tảng của một Chính
phủ điện tử
, môi

trường cho phép

công dân có thể giao tiếp, thực hiện các công việc
hành chính với cơ

quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng
chỉ số là một phần

không thể thiếu, là phần cốt lõi của Chính phủ
điện tử. 

Chống chối cãi nguồn gốc

Khi

sử dụng một chứng chỉ số, bạn phải chịu trách

nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường

hợp người gửi
chối cãi, phủ nhận một thông tin nào đó không phải do mình

gửi
(chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận


được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin

đó.
Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ

chịu
trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông

tin
được gửi.

Chữ

ký điện tử
Email đóng một
vai trò khá quan trọng

trong trao đổi thông tin hàng ngày 
của chúng ta vì ưu điểm nhanh, rẻ


dễ sử dụng. Những thông điệp có thể gửi đi nhanh chóng, qua Internet,

đến những khách hàng, đồng nghiệp, nhà cung cấp và các đối tác. Tuy
nhiên, email

rất dễ bị tổn thương bởi các hacker. Những thông điệp
có thể bị đọc hay

bị giả mạo trước khi đến người nhận.

Bằng việc sử dụng chứng

chỉ
số cá nhân
, bạn sẽ ngăn ngừa
được các nguy cơ này mà vẫn không

làm giảm những lợi thế của email.
Với chứng chỉ số cá nhân, bạn có thể

tạo thêm một chữ ký điện tử
vào email như một bằng chứng xác nhận

của mình. Chữ ký điện tử cũng
có các tính năng xác thực thông tin, toàn

vẹn dữ liệu và chống chối
cãi nguồn gốc. 

Ngoài

ra, chứng chỉ số cá nhân còn

cho phép người dùng có thể chứng thực
mình với một

web server thông qua giao thức bảo mật SSL.

Phương
pháp chứng thực dựa trên chứng chỉ số được đánh giá là tốt, an

toàn
và bảo mật hơn phương pháp chứng thực truyền thống dựa trên mật

khẩu.

Bảo mật Website

Khi

Website của bạn sử dụng cho mục đích thương mại

điện tử hay cho
những mục đích quan

trọng khác, những thông tin trao đổi giữa bạn và
khách hàng của bạn có

thể bị lộ. Để tránh nguy cơ này, bạn có thể

dùngchứng chỉ số SSL Server để bảo mật cho Website của mình.

Chứng
chỉ số

SSL
Server sẽ cho phép bạn

lập cấu hình Website
của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng
chỉ số này sẽ cung cấp cho Website

của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực

và tính
hợp pháp của Website. Chứng chỉ
số

SSL Server cũng cho phép trao đổi thông tin an

toàn và bảo mật
giữa Website với khách hàng, nhân viên và đối tác
của bạn thông qua công nghệ SSL mà nổi bật là các tính

năng:

+
Thực hiện mua bán
bằng thẻ tín dụng

+
Bảo vệ những thông tin cá nhân nhạy cảm của khách

hàng

+
Đảm bảo hacker
không thể dò tìm

được mật khẩu

Đảm
bảo phần mềm
Nếu

bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những ”con tem

chống
hàng giả” cho sản phẩm của mình. Đây là một công cụ không thể

thiếu
trong việc áp dụng hình thức sở

hữu bản quyền. Chứng chỉ

số Nhà phát triển phần
mềm
sẽ cho phép bạn ký vào các
applet,

script, Java software, ActiveX control, các file dạng EXE,
CAB, DLL… Như

vậy, thông qua chứng chỉ số,
bạn sẽ đảm bảo

tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm.
Hơn nữa người

dùng sản phẩm có thể xác thực được bạn là nhà cung

cấp,
phát hiện được sự thay đổi của chương trình (do vô tình hỏng

hay do
virus phá, bị crack và bán lậu…).

Với

những lợi ích về bảo mật và xác

thực, chứng chỉ số hiện đã được sử
dụng rộng rãi trên thế giới như một

công cụ xác minh danh tính của
các bên trong giao dịch thương mại điện

tử. Đây là một nền tảng công
nghệ mang tính tiêu chuẩn trên toàn cầu,

mặc dù ở mỗi nước có một số
chính sách quản lý chứng thực số khác nhau.

Mỗi quốc gia đều cần có
những CA bản địa để chủ động về các hoạt động

chứng thực số trong
nước. Nhưng ngoài ra, nếu muốn thực hiện TMĐT vượt

ra ngoài biên
giới, các quốc gia cũng phải tuân theo các chuẩn công nghệ

chung, và
thực hiện chứng thực chéo, trao đổi và công nhận các CA của

nhau.
Đây cũng là những yếu tố quan trọng đối với một quốc gia đang

trong
quá trình phát triển TMĐT như Việt Nam.

Theo
VietnamNet

 

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *