ÁP DỤNG CHỮ KÝ SỐ CHỮ KÝ SỐ HSM VÀ CHỮ KÝ SỐ TỪ XA
A. QUY TRÌNH SỬ DỤNG CHỮ KÝ SỐ HSM
1.Chữ ký số HSM là loại chữ ký số sử dụng công nghệ HSM để lưu trữ cặp khóa điện tử và sử dụng các giao thức mạng để truyền nhận, xử lý lệnh ký. T. Trong đó, HSM (Hardware Security Module) là một thiết bị vật lý được dùng để quản lý cũng như bảo vệ các cặp khóa chứng thư số cho các ứng dụng xử lý mật mã và có tính xác thực mạnh. HSM có hình thức dạng một card PCI cắm vào máy tính hoặc là một thiết bị phần cứng độc lập có kết nối mạng.
Với những công năng vượt trội, tính ứng dụng cao thì chữ ký số HSM là một sản phẩm cực hữu ích cho nhu cầu ký chữ ký số trong các doanh nghiệp của IB IFMC Investment Group. Việc sử dụng chữ ký số HSM sẽ hỗ trợ được doanh nghiệp của IB IFMC Investment Group rất nhiều trong việc kinh doanh, ký kết giao dịch điện tử. Chữ ký số HSM được sử dụng cho hầu hết các giao dịch điện tử trong doanh nghiệp của IB IFMC Investment Group như: Mua hàng trực tuyến, khai hải quan, ký hoá đơn điện tử, kê khai thuế, thanh toán online….
IB IFMC Investment Group sử dụng chữ ký số để phục vụ hoạt động ký kết, giao dịch điện tử. Tùy từng nhu cầu và quy mô hoạt động của doanh nghiệp/tổ chức mà có những lựa chọn các loại chữ ký số phù hợp. Theo đánh giá khách quan thì chữ ký số HSM có ưu thế vượt trội về tốc độ, tính năng ký số tập trung, sự phân quyền và có thể thực hiện trực tuyến không cần mang theo thiết bị.
2. Đặc điểm chữ ký số HSM
Chữ ký số HSM sử dụng linh hoạt với nhiều ưu điểm vượt trội, có 5 đặc điểm chính sau: (1) Tính toàn vẹn: Cũng như các chữ ký số khác thì chữ ký số HSM đảm bảo được tính toàn vẹn cho tài liệu, văn bản, hợp đồng đã ký trên môi trường điện tử. (2) Tính năng xác thực danh tính: Chữ ký số HSM lưu trữ khóa riêng tư trong một môi trường an toàn và bảo mật. Khóa riêng tư chỉ được truy cập bởi HSM và không thể truy xuất hoặc sao chép bởi bất kỳ thực thể nào khác. Điều này đảm bảo rằng chỉ người sở hữu khóa riêng tư mới có thể tạo chữ ký số hợp lệ. (3) Linh hoạt phân quyền: Điểm cộng của chữ ký số HSM so với chữ ký số USB Token chính là có thể linh hoạt phân quyền, ký số cùng lúc rất đơn giản. (4) Hỗ trợ ký số trực tuyến: Chữ ký số HSM có thể được sử dụng thông qua tài khoản online kết nối mà không cần phải mang theo thiết bị HSM bên cạnh. (5)Thực hiện ký số lên tới 1200 lượt ký/ giây: Do cấu tạo bởi module bảo mật phần cứng đạt chuẩn FIPS 140-2 giúp HSM dễ dàng đáp ứng được yêu cầu cần ký số nhiều và nhanh.
3. Nguyên lý hoạt động của chữ ký số HSM server
Nếu như trước đây khi tiến hành các giao dịch, ký kết hợp đồng, kê khai giấy tờ,… các cá nhân/ doanh nghiệp đều phải ký tay, xác nhận chữ ký tay hoặc đóng dấu mất rất nhiều thời gian, công sức thì giờ đây chữ ký số đã hoàn toàn xóa bỏ những bất tiện đó.
Về tổng quan, nguyên lý hoạt động của chữ ký số HSM server khá tương tự như: USB Token.
Để chữ ký số HSM server có thể vận hành, ần sử dụng thiết bị phần cứng HSM có chứa cặp khóa (khóa công khai và khóa bí mật) để xác nhận danh tính người dùng. Dữ liệu được mã hóa trong HSM được bảo mật an toàn, không thể nhân bản, sao chép hay làm giả.
Trong đó: (1) Khóa công khai: Là những mật mã được công khai để xác định người dùng, thẩm định chữ ký số được tạo bởi khóa bí mật tương ứng trong cặp khóa. (2) Khóa bí mật: Chứa phần thông tin bảo mật của khách hàng, được dùng để ký số vào dữ liệu
Tuy nhiên, nếu như chữ ký số USB Token chỉ được sử dụng như một loại hình offline, phải cắm USB token vào máy tính mới có thể thực hiện ký số, thì chữ ký số HSM lại linh hoạt hơn khi có thể phát huy tính năng ở môi trường trực tuyến.
Nguyên lý hoạt động của chữ ký số HSM server
Cụ thể, khi sử dụng chữ ký số HSM server, người dùng sẽ được đăng ký và tạo lập một tài khoản tương tự như các trang mạng xã hội thông thường, sau đó thực hiện ký số online qua mạng. Chính vì tính năng ưu việt này, cá nhân được phân quyền không cần mang theo HSM bên người mà vẫn có thể thực hiện ký số.
4. Chức năng và của chữ ký số HSM server: (1) Được đảm bảo giá trị pháp lý tương đương chữ ký tay (đối với cá nhân) hoặc con dấu (đối với doanh nghiệp, tổ chức); (2) Có thể sử dụng thay thế và có giá trị pháp lý như chữ ký tay trong tất cả các giao dịch trên môi trường điện tử, chẳng hạn như: ký số hóa đơn điện tử, khai BHXH điện tử, kê khai Thuế điện tử, khai Hải quan điện tử, ký số hợp đồng điện tử, giao dịch ngân hàng, mua bán qua mạng…(3) Chữ ký số HSM có chức năng thực hiện ký số tự động. (4) Có thể hỗ trợ phân quyền dễ dàng cho các bộ phận liên quan để thực hiện ký số cùng lúc.
5. Quy trình sử dụng của chữ ký số HSM
Cũng như các chữ ký số khác thì chữ ký số HSM được tạo ra đều phải đáp ứng được các chức năng cơ bản của một chữ ký điện tử. Các chức năng chính của chữ ký số HSM là:
Bước 1, Tạo chữ ký số: HSM có khả năng tạo chữ ký số bằng cách sử dụng khóa riêng tư được lưu trữ và bảo vệ bởi nó. Việc tạo chữ ký số thông qua HSM đảm bảo tính bảo mật và đáng tin cậy, đảm bảo giá trị pháp lý tương đương với chữ ký tay đối với cá nhân và con dấu đối với doanh nghiệp/tổ chức.
Bước 2, Xác thực chữ ký số: Chữ ký số HSM có khả năng xác thực chữ ký số được tạo bởi người ký. Bằng cách sử dụng khóa công khai tương ứng với khóa riêng tư đã tạo chữ ký số, HSM xác minh tính toàn vẹn và nguồn gốc của thông tin được ký.
Bước 3, Phân quyền đồng thời cho nhiều người/bộ phận cùng thực hiện ký số một lúc một cách dễ dàng
Bước 4, Với tốc độ xử lý vượt trội hơn hẳn so với các loại chữ ký số khác ,chữ ký số HSM đảm bảo tính liên tục trong việc ký kết, xử lý các giao dịch điện tử.
6. Ưu nhược điểm của chữ ký số HSM
a) Ưu điểm của chữ ký số HSM: (1) Khả năng xác thực các thông tin ký số nhanh chóng và chính xác; (2) Mang tính pháp lý cao; (3) Áp dụng với số lượng ký lớn trong những giao dịch lớn; (4) Sử dụng ở mọi lúc mọi nơi, linh hoạt trong mọi trường hợp; (5) Tính bảo mật khá cao; (6) Đảm toàn sự nguyên vẹn của văn bản; (7) Nhược điểm của chữ ký số HSM:
b) Nhược điểm của chữ ký số HSM: (1) Khó có thể kiểm soát được hết các luồng giao dịch khi sử dụng; (2) Lệ thuộc vào tài khoản, mã OTP, username – password,.. (3) Có thời hạn sử dụng nhất định.
7. Quy trình quản lý chữ ký số
Để quản lý chữ ký số hiệu quả và hạn chế gặp rủi ro trong quá trình sử dụng, doanh nghiệp cần có một quy trình phân quyền và bàn giao chữ ký số cũng như quy định quản lý trong và sau quá trình sử dụng
Bước 1: Phân quyền sử dụng chữ ký số: Chữ ký số trong môi trường doanh nghiệp thường được quản lý và sử dụng bởi những vị trí quan trọng như giám đốc, trưởng phòng. Khi ủy quyền cho cá nhân khác sử dụng, cần tuân thủ các quy tắc sau: (1) Người được ủy quyền cần nhận được văn bản bàn giao thiết bị lưu khóa bí mật từ cá nhân được phân công và phải chịu trách nhiệm sử dụng thiết bị theo quy định để đảm bảo an toàn cho việc sử dụng thiết bị lưu khóa bí mật của tổ chức hoặc đơn vị. (2) Người quản lý thiết bị phải chịu trách nhiệm bảo vệ thiết bị lưu khóa bí mật của mình và không được cung cấp thiết bị cho người không có thẩm quyền sử dụng.
Bước 2: Bảo quản chữ ký số trong và sau quá trình sử dụng
Thiết bị chữ ký số cần được bảo quản và sử dụng đúng cách để hạn chế rủi ro và tránh các vấn đề bảo mật: (1) Không được sử dụng bất kỳ công cụ, chương trình hoặc phương pháp nào khác để thay đổi dữ liệu. (2) Thiết bị chữ ký số và khóa bí mật phải được lưu trữ và quản lý một cách an toàn và bí mật trong suốt thời gian chứng thư số của nó còn hiệu lực. (3) Trong trường hợp thiết bị bị mất hoặc nghi ngờ đã lộ khóa bí mật, người quản lý phải báo ngay cho cơ quan quản lý trực tiếp để thực hiện các thủ tục thu hồi.
Bước 3: Thực hiện các hoạt động kiểm tra định kỳ
Chữ ký số có thời hạn sử dụng từ 1 - 3 năm (tùy thuộc vào gói dịch vụ đã đăng ký). Để quản lý chữ ký số hiệu quả, người dùng cần nắm rõ thời hạn của nó để đảm bảo chứng thư số luôn có hiệu lực. Khi chữ ký số hết hạn, việc ký số trong giao dịch điện tử sẽ không còn khả dụng, ảnh hưởng đến tiến độ công việc. Do đó, người dùng cần thực hiện việc gia hạn chữ ký số kịp thời để đảm bảo quy trình ký số diễn ra một cách suôn sẻ và hiệu quả.
Bước 4: Cập nhật chữ ký số sau khi gia hạn
Để đảm bảo an toàn thông tin và lợi ích của người sử dụng, mỗi USB Token sẽ có một số serial riêng biệt. Để tiếp tục ký số trong giao dịch trực tuyến, số serial này cần phải trùng khớp với số đã được người dùng nhập khi đăng ký tài khoản.
Sau khi gia hạn, chữ ký số của người dùng sẽ mang số serial mới. Do đó, để tiếp tục sử dụng chữ ký số, người dùng cần phải cập nhật chữ ký số trên các trang đã đăng ký chữ ký số như Thuế điện tử, BHXH điện tử, Hải quan điện tử,...
6. Những rủi ro
a) Quản lý và sử dụng USB Token (thiết bị lưu trữ khóa ký), không đổi mật khẩu mặc định, thậm chí giao USB Token cho người khác.Đây sẽ là kẽ hở mà kẻ gian có thể lợi dụng để mạo danh chủ thể hợp pháp của chữ ký số để sử dụng vào các hoạt động phi pháp. Rủi ro token bị hỏng kém chất lượng, không hoạt động: Đây là rủi ro khi doanh nghiệp sử dụng sản phẩm của nhà cung cấp chữ ký điện tử không uy tín dẫn đến chất lượng của token không được đảm bảo trong quá trình sử dụng. Rủi ro token không kết nối được với phần mềm hóa đơn điện tử: Rủi ro này do lỗi hệ thống hoặc máy tính thực hiện kê khai chưa cài đặt phần mềm ký số.
b) Những rủi ro an ninh như: (1) Dễ thất lạc, mất cắp thiết bị lưu khoá (USB token, smart card) do kích thước nhỏ khó bảo quản; (2) Khoá ký không được bảo vệ tối ưu do chỉ đáp ứng tiêu chuẩn an ninh FIPS PUB 140-2 level 2 và có nguy cơ rủi ro lỗi thời về công nghệ; (3) Phương thức xác thực sử dụng mã PIN dễ bị nhìn trộm, ăn cắp, lộ lọt khi thao tác trên bàn phím; (4) Rủi ro giả mạo phần mềm để đánh cắp mã PIN hoặc giả mạo tài liệu, giấy tờ
c) Rủi ro từ chính các nhà cung cấp dịch vụ CA (chứng thực chữ ký số) công cộng. Chưa tuân thủ đầy đủ và thực hiện nghiêm túc các quy định của cơ quan quản lý Nhà nước trong việc công bố thông tin, xác thực thuê bao dẫn đến việc quản lý và cấp phát dịch vụ CA mất an toàn. Với sơ hở trong việc xác thực thuê bao và quản lý hồ sơ có thể dẫn tới việc kẻ gian giả mạo danh tính số của thuê bao để thực hiện trái phép giao dịch có giá trị cao như các hợp đồng tín dụng, hợp đồng kinh tế...
Điều này có thể khiến cho chủ thể thực sự của danh tính số phải gánh chịu trách nhiệm và để lại hậu quả nghiêm trọng với các giao dịch điện tử mà mình không hề thực hiện. Ngoài thiệt hại cá nhân của người bị hại, nó còn làm cho người dùng e ngại về độ tin cậy của chữ ký số, làm mất uy tín của cả nhà cung cấp dịch vụ CA công cộng cũng như cơ quan quản lý nhà nước, ảnh hưởng tới thúc đẩy phát triển hoạt động giao dịch điện tử.
5. Chữ ký số được xem là an toàn khi đáp ứng các tiêu chuẩn pháp lý quy định tại Điều 9, Nghị định 130/2018/NĐ-CP.
a) Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số đó.
b) Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do một trong các tổ chức sau đây cấp: (1) Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia; (2) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ; (3) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; (4) Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của các cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng được quy định tại Điều 40 của Nghị định này.
b) Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
Như vậy, chữ ký số an toàn, đảm bảo giá trị pháp lý là chữ ký số được cấp bởi đơn vị được cấp phép.
c) Dịch vụ chăm sóc khách hàng tốt cũng là yếu tố quan trọng khi chọn mua sản phẩm công nghệ, đặc biệt là chữ ký số. Bởi chữ ký số được sử dụng trong một thời gian dài, khó tránh được những phát sinh về thông tin, về lỗi kỹ thuật, về các trục trặc khi ký, gửi, kê khai,... Các dịch vụ hỗ trợ người dùng như: (1) Chính sách dùng thử và trải nghiệm sản phẩm; (2) Hỗ trợ 24/7 về kỹ thuật, lỗi phát sinh; (3) Chăm sóc sau bán tốt; (4) Luôn lắng nghe để có những cập nhật tốt nhất?
B. QUY TRÌNH SỬ DỤNG CHỮ KÝ SỐ TỪ XA
Chữ ký số từ xa (Remote Signature) hay còn được biết với một số cách gọi khác như: Chữ ký số không dùng USB Token, chữ ký số không cần USB, chữ ký số di động, chữ ký số online… là loại chữ ký số kiểu mới và được đánh giá là loại chữ ký số có công nghệ, tính năng và tính ứng dụng mạnh mẽ nhất. Chữ ký số từ xa sử dụng công nghệ đám mây (cloud-based) để ký số mà không cần sử dụng thêm bất kỳ thiết bị phần cứng nào. Chữ ký số từ xa khắc phục hoàn toàn các nhược điểm của chữ ký số USB Token, khi cho phép người dùng ký số mọi lúc mọi nơi trên tất cả các thiết bị điện tử (mobile, PC, tablet…) mà không phụ thuộc vào hệ thống doanh nghiệp.
Chữ ký số từ xa dùng công nghệ đám mây (cloud-based) để ký số nên sẽ khắc phục hoàn toàn nhược điểm của các loại chữ ký còn lại, và cho phép hoạt động ký số có thể thực hiện ở mọi thiết bị điện tử, mọi nơi, mọi lúc.
1. Ưu nhược điểm ký chữ ký từ xa
a) Ưu điểm của chữ ký số từ xa: (1) Tốc độ ký nhanh, nhiều; (2) Đảm bảo tính an toàn, pháp lý; (3) Sử dụng linh hoạt ở mọi lúc mọi nơi; (4) Sử dụng không phụ thuộc vào các thiết bị phần cứng
b) Nhược điểm của chữ ký số từ xa là dễ gặp phải những rủi ro đánh cắp dữ liệu số.
2. Giải pháp tích hợp phần mềm Oracle Netsuie ký số từ xa được tổ chức, cá nhân ứng dụng nhiều trong các giao dịch điện tử bởi sự tiện lợi, đảm bảo an toàn và có giá trị pháp lý tương tự với chữ ký truyền thống. Cụ thể các trường hợp sử dụng chữ ký số từ xa phổ biến: (1) Ký hoàn thiện các thủ tục hành chính như: Kê khai nộp thuế trực tuyến, kê khai hải quan điện tử, kê khai bảo hiểm xã hội điện tử, ký hóa đơn điện tử,…. (2) Ký các văn bản, tài liệu điện tử: Hợp đồng lao động và các chứng từ liên quan, hợp đồng giao dịch với ngân hàng, thỏa thuận khi bắt đầu sử dịch vụ của ngân hàng,….
2.1 Nguyên lý hoạt động của chữ ký số từ xa
Chữ ký số từ xa hoạt động sự trên các tiêu chuẩn châu Âu eIDAS (bộ quy định về định danh số) và các quy định tại Thông tư số 16/2019/TT-BTTTT đối với mô hình ký số từ xa. Cụ thể, người dùng chỉ có thể ký số trên thiết bị di động khi chứng minh danh tính và được xác thực bởi đơn vị cung cấp chữ ký số ủy thác (TSP – Trust Service Provider)
Cụ thể, nguyên lý hoạt động của chữ ký số theo tiêu chuẩn eIDAS gồm 2 giai đoạn như sau:
Giai đoạn 1: Tạo chữ ký số từ xa: Mỗi đơn vị/cá nhân sử dụng chữ ký số sẽ được cấp một ID số dựa theo chứng thư số được xác thực bởi nhà cung cấp dịch vụ chữ ký số ủy thác TSP.
Giai đoạn 2: Kiểm tra tính hợp lệ của chữ ký: Khi người ký sử dụng ID và mã PIN cá nhân để xác minh danh tính thông qua thiết bị điện thoại/máy tính thì ứng dụng chữ ký số sẽ tạo một thông báo xác minh quyền truy cập chữ ký số được liên kết mật mã với tài liệu được ký, ID của người ký và mã PIN. Thông báo xác minh quyền truy cập này sẽ được ký bằng khóa bí mật lưu trữ trong một con chip chống giả mạo của nhà cung cấp dịch vụ TSP.
Mô hình chữ ký số từ xa hoạt động
2.2 Đặc điểm nổi bật của giải pháp ký số từ xa
(1) Số hóa quy trình vận hành doanh nghiệp của IB IFMC Investment Group: Với mô hình ký số từ xa doanh nghiệp của IB IFMC Investment Group sẽ tự động hóa luồng ký và trình ký. Từ đây, doanh nghiệp của IB IFMC Investment Group có thể thao tác đơn giản, dễ dàng trên trên phần mềm quản trị tập trung. Ngoài ra, hệ thống hỗ trợ tự động thông báo từ việc phê duyệt, thực hiện ký tới các đối tượng liên quan trong luồng quy trình. Cho phép tùy chỉnh biểu mẫu, chứng từ, văn bản trên hệ thống để thuận tiện cho việc ký kết.
(2). Lưu trữ tập trung: Mô hình chữ ký số từ xa cho phép lưu trữ toàn bộ văn bản, hồ sơ theo từng nhóm đối tượng liên quan trên nền tảng đám mây. Từ đây, các phòng ban sẽ dễ dàng quản lý, tìm kiếm tài liệu. Phần mềm có thể trích xuất 1 hoặc nhiều chứng từ một cách dễ dàng. Góp phần giúp giảm thiểu rủi ro bị phân tán chứng từ, giúp bảo mật thông tin an toàn tuyệt đối.
(3) Tối ưu hóa vận hành – đẩy nhanh tốc độ chuyển đổi số
Với mô hình ký số từ xa doanh nghiệp có thể áp dụng ký số từ xa cho đa dạng các chứng từ khác nhau: văn bản nội bộ; Hợp đồng lao động;… Hệ thống đảm bảo tốc độ, tính linh hoạt và sự liên tục trên mọi các khía cạnh từ quản trị, tài chính, bán hàng đến nhân sự. Từ đó doanh nghiệp có thể xây dựng hệ sinh thái khép kín giúp doanh nghiệp hoạt động vững vàng dù làm việc dưới bất kỳ hình thức nào.
(4) Sẵn sàng tích hợp với các hệ thống bên ngoài: Khi được tích hợp trên các phần mềm của Oracle Netsuite như phần hệ tài chính kế toán, chữ ký số từ xa sẽ giúp doanh nghiệp của IB IFMC Investment Group thực hiện các thao tác nhanh chóng, dễ dàng hơn do có độ tương thích cao. Bên cạnh đó, doanh nghiệp của IB IFMC Investment Group hoàn toàn có thể yên tâm về sự an toàn, bảo mật dữ liệu khi sử dụng chữ ký số và các nền tảng/ phần mềm của Oracle Netsuite. Ngoài ra mô hình ký số từ xa Oracle Netsuite tích hợp với các hệ thống khác giúp khách hàng ký và phát hành hóa đơn điện tử, kê khai thuế, BHXH, hải quan,… chỉ bằng 01 thao tác đơn giản.
3. Tiêu chuẩn áp dụng chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình thiết bị di động từ xa
TIÊU CHUẨN BẮT BUỘC ÁP DỤNG VỀ CHỮ KÝ SỐ VÀ DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ THEO MÔ HÌNH KÝ SỐ TRÊN THIẾT BỊ DI ĐỘNG VÀ KÝ SỐ TỪ XA
|
Số TT |
Loại tiêu chuẩn |
Ký hiệu tiêu chuẩn |
Tên đầy đủ của tiêu chuẩn |
Quy định áp dụng |
|
1 |
Chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động (Mobile PKI) |
|||
|
1.1 |
Tiêu chuẩn mật mã và chữ ký số |
|||
|
1.1.1 |
Mật mã phi đối xứng và chữ ký số |
PKCS #1 |
RSA Cryptography Standard |
- Áp dụng một trong hai tiêu chuẩn. |
|
- Đối với tiêu chuẩn RSA: |
||||
|
+ Phiên bản 2.1 |
||||
|
+ Áp dụng lược đồ RSAES-OAEP để mã hóa và RSASSA-PSS để ký. |
||||
|
+ Độ dài khóa tối thiểu là 1024 bit |
||||
|
ANSI X9.62-2005 |
Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA) |
- Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu là 256 bit |
||
|
1.1.2 |
Mật mã đối xứng |
TCVN 7816:2007 |
Công nghệ thông tin - Kỹ thuật mật mã - Thuật toán mã hóa dữ liệu AES |
Áp dụng một trong hai tiêu chuẩn |
|
(FIPS PUB 197) |
(Advanced Encryption Standard) |
|||
|
NIST 800- 67 |
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher |
|||
|
1.1.3 |
Hàm băm an toàn |
FIPS PUB 180-4 |
Secure Hash Standard |
Áp dụng một trong các hàm băm sau: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256, SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256 |
|
FIPS PUB 202 |
SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions |
|||
|
1.2 |
Tiêu chuẩn thông tin, dữ liệu |
|||
|
1.2.1 |
Định dạng chứng thư số và danh sách thu hồi chứng thư số |
RFC 5280 |
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile |
|
|
1.2.2 |
Cú pháp thông điệp mật mã |
PKCS #7 |
Cryptographic Message Syntax Standard |
Phiên bản 1.5 |
|
1.2.3 |
Cú pháp yêu cầu chứng thực |
PCKS #10 |
Certification Request Syntax Standard |
Phiên bản 1.7 |
|
1.3 |
Tiêu chuẩn chính sách và quy chế chứng thực chữ ký số |
|||
|
1.3.1 |
Khung quy chế chứng thực và chính sách chứng thư |
RFC 3647 |
Internet X.509 Public Key Infrastructure - Certificate Policy and Certification Practices Framework |
|
|
1.4 |
Tiêu chuẩn giao thức lưu trữ và truy xuất chứng thư số |
|||
|
1.4.1 |
Lược đồ Giao thức truy nhập thư mục |
RFC 2587 |
Internet X.509 Public Key Infrastructure LDAPv2 Schema |
Áp dụng một trong hai tiêu chuẩn |
|
|
|
RFC 4523 |
Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates |
|
|
1.4.2 |
Giao thức truy nhập thư mục |
RFC 2251 |
Lightweight Directory Access Protocol (v3) |
Áp dụng tiêu chuẩn RFC 2251 hoặc bộ bốn tiêu chuẩn: |
|
RFC 4510 |
Lightweight Directory Access Protocol (LDAP): Technical specification Road Map |
RFC 4510, RFC 4511, RFC 4512, RFC 4513 |
||
|
RFC 4511 |
Lightweight Directory Access Protocol (LDAP): The Protocol |
|
||
|
RFC 4512 |
Lightweight Directory Access Protocol (LDAP): Directory Information Models |
|
||
|
RFC 4513 |
Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms |
|
||
|
1.5 |
Tiêu chuẩn kiểm tra trạng thái chứng thư số |
|||
|
1.5.1 |
Giao thức truyền, nhận chứng thư số và danh sách chứng thư số bị thu hồi |
RFC 2585 |
Internet X.509 Public Key Infrastructure - Operational Protocols: FTP and HTTP |
Áp dụng một hoặc cả hai giao thức FTP và HTTP |
|
1.5.2 |
Giao thức cho kiểm tra trạng thái chứng thư số trực tuyến |
RFC 2560 |
X.509 Internet Public Key Infrastructure - On-line Certificate status protocol |
|
|
1.6 |
Tiêu chuẩn bảo mật cho HSM quản lý khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số |
|||
|
1.6.1 |
Yêu cầu an ninh đối với khối an ninh phần cứng HSM |
FIPS PUB 140-2 |
Security Requirements for Cryptographic Modules |
Yêu cầu tối thiểu mức 3 (level 3) |
|
1.7 |
Tiêu chuẩn hệ thống thiết bị quản lý khóa bí mật, chứng thư số và tạo chữ ký số của khách hàng |
|||
|
1.7.1 |
Yêu cầu bảo mật cho thẻ SIM |
FIPS PUB 140-2 |
Security Requirements for Cryptographic Modules |
- Áp dụng một trong hai tiêu chuẩn. |
|
- Đối với tiêu chuẩn FIPS PUB 140-2: |
||||
|
Yêu cầu tối thiểu mức 2 (level 2) |
||||
|
- Đối với tiêu chuẩn TCVN 8709 (ISO/IEC 15408): |
||||
|
TCVN 8709 (ISO/IEC 15408) |
Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin |
Yêu cầu tối thiểu EAL mức 4 (level 4) |
||
|
(Common Criteria for Information Technology Security Evaluation) |
|
|||
|
1.7.2 |
Yêu cầu về chức năng, nghiệp vụ |
ETSI TR 102 203 |
Mobile Commerce (M- COMM); Mobile Signatures; Business and Functional Requirements |
Phiên bản V1.1.1 |
|
1.7.3 |
Giao diện dịch vụ Web |
ETSI TS 102 204 |
Mobile Commerce (M- COMM); Mobile Signature Service; Web Service Interface |
Phiên bản V1.1.4 |
|
1.7.4 |
Khung bảo mật |
ETSI TR 102 206 |
Mobile Commerce (M- COMM); Mobile Signature Service; Security Framework |
Phiên bản V1.1.3 |
|
1.7.5 |
Thông số kỹ thuật chuyển vùng |
ETSI TS 102 207 |
Mobile Commerce (M- COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services |
Phiên bản V1.1.3 |
|
2 |
Chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số từ xa (Remote signing) |
|||
|
2.1 |
Tiêu chuẩn mật mã và chữ ký số |
|||
|
2.1.1 |
Mật mã phi đối xứng và chữ ký số |
PKCS # 1 |
RSA Cryptography Standard |
- Áp dụng một trong hai tiêu chuẩn. |
|
- Đối với tiêu chuẩn RSA: |
||||
|
+ Phiên bản 2.1 |
||||
|
+ Áp dụng lược đồ RSAES-OAEP để mã hóa và RSASSA-PSS để ký. |
||||
|
+ Độ dài khóa tối thiểu là 2048 bit |
||||
|
ANSI X9.62- 2005 |
Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA) |
- Đối với tiêu chuẩn ECDSA: độ dài khóa tối thiểu là 256 bit |
||
|
2.1.2 |
Mật mã đối xứng |
TCVN 7816:2007 (FIPS PUB 197) |
Công nghệ thông tin - Kỹ thuật mật mã - Thuật toán mã hóa dữ liệu AES |
Áp dụng một trong hai tiêu chuẩn |
|
NIST 800-67 |
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher |
|||
|
2.1.3 |
Hàm băm an toàn |
FIPS PUB 180-4 |
Secure Hash Standard |
Áp dụng một trong các hàm băm sau: |
|
FIPS PUB 202 |
SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions |
SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256, SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256 |
||
|
2.2 |
Tiêu chuẩn thông tin, dữ liệu |
|||
|
2.2.1 |
Định dạng chứng thư số và danh sách thu hồi chứng thư số |
RFC 5280 |
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile |
|
|
2.2.2 |
Cú pháp thông điệp mật mã |
PKCS #7 |
Cryptographic Message Syntax Standard |
Phiên bản 1.5 |
|
2.2.3 |
Cú pháp yêu cầu chứng thực |
PCKS #10 |
Certification Request Syntax Standard |
Phiên bản 1.7 |
|
2.2.4 |
Cú pháp thông tin khóa riêng |
PKCS #8 |
Private-Key Information Syntax Standard |
Phiên bản 1.2 |
|
2.2.5 |
Giao diện giao tiếp với các thẻ mật mã |
PKCS #11 |
Cryptographic token interface standard |
Phiên bản 2.20 |
|
2.2.6 |
Cú pháp trao đổi thông tin cá nhân |
PKCS #12 |
Personal Information Exchange Syntax Standard |
Phiên bản 1.0 |
|
2.3 |
Tiêu chuẩn chính sách và quy chế chứng thực chữ ký số |
|||
|
2.3.1 |
Khung quy chế chứng thực và chính sách chứng thư |
RFC 3647 |
Internet X.509 Public Key Infrastructure - Certificate Policy and Certification Practices Framework |
|
|
2.4 |
Tiêu chuẩn giao thức lưu trữ và truy xuất chứng thư số |
|||
|
2.4.1 |
Lược đồ Giao thức truy nhập thư mục |
RFC 2587 |
Internet X.509 Public Key Infrastructure LDAPv2 Schema |
Áp dụng một trong hai tiêu chuẩn |
|
RFC 4523 |
Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates |
|||
|
2.4.2 |
Giao thức truy nhập thư mục |
RFC 2251 |
Lightweight Directory Access Protocol (v3) |
Áp dụng tiêu chuẩn RFC 2251 hoặc bộ bốn tiêu chuẩn: RFC 4510, RFC 4511, RFC 4512, RFC 4513 |
|
RFC 4510 |
Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map |
|||
|
RFC 4511 |
Lightweight Directory Access Protocol (LDAP): The Protocol |
|||
|
RFC 4512 |
Lightweight Directory Access Protocol (LDAP): Directory Information Models |
|||
|
RFC 4513 |
Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms |
|||
|
2.5 |
Tiêu chuẩn kiểm tra trạng thái chứng thư số |
|||
|
2.5.1 |
Giao thức truyền, nhận chứng thư số và danh sách chứng thư số bị thu hồi |
RFC 2585 |
Internet X.509 Public Key Infrastructure - Operational Protocols: FTP and HTTP |
Áp dụng một hoặc cả hai giao thức FTP và HTTP |
|
2.5.2 |
Giao thức cho kiểm tra trạng thái chứng thư số trực tuyến |
RFC 2560 |
X.509 Internet Public Key Infrastructure - On-line Certificate status protocol |
|
|
2.6 |
Tiêu chuẩn bảo mật cho HSM quản lý khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số |
|||
|
2.6.1 |
Yêu cầu an ninh đối với khối an ninh phần cứng HSM |
FIPS PUB 140-2 |
Security Requirements for Cryptographic Modules |
- Áp dụng một trong hai tiêu chuẩn. |
|
- Đối với tiêu chuẩn FIPS PUB 140-2: |
||||
|
EN 419221- 5:2018 |
Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services |
Yêu cầu tối thiểu mức 3 (level 3) |
||
|
2.7 |
Tiêu chuẩn hệ thống thiết bị quản lý khóa bí mật, chứng thư số và tạo chữ ký số của khách hàng |
|||
|
2.7.1 |
Yêu cầu chính sách và an ninh cho máy chủ ký số |
ETSI TS 119 431-1 |
Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD/SCDev |
Áp dụng cả bộ tiêu chuẩn 2 phần; |
|
ETSI TS 119 431-2 |
Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation |
Phiên bản V1.1.1 (12/2018) |
||
|
2.7.2 |
Giao thức tạo chữ ký số |
ETSI TS 119 432 |
Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation |
Phiên bản V1.1.1 (03/2019) |
|
2.7.3 |
Ứng dụng ký trên máy chủ ký số |
EN 419241- 1:2018 |
Trustworthy Systems Supporting Server Signing - Part 1: General system security requirements |
|
|
2.7.4 |
Yêu cầu cho mô đun ký số |
EN 419241- 2:2019 |
Trustworthy Systems Supporting Server Signing - Part 2: Protection Profile for QSCD for Server Signing |
|
|
2.7.5 |
Yêu cầu an ninh đối với khối an ninh phần cứng HSM |
EN 419221- 5:2018 |
Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services |
|