XÂY DỰNG HỆ THỐNG XÁC THỰC CHO HỆ THỐNG THÔNG TIN
CỦA CÁC CƠ QUAN CHÍNH PHỦ
( NGUYEN HUU HUNG, GCA, VGISC)

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


NỘI DUNG

I

ĐẶT VẤN ĐỀ

II

HỆ THỐNG THƠNG TIN CỦA CHÍNH PHỦ VÀ NHU CẦU XÁC THỰC

III

HỆ THỐNG PKI CHUYÊN DÙNG CHÍNH PHỦ

IV

MỘT SỐ KẾT QUẢ VÀ KẾ HOẠCH PHÁT TRIỂN

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


I. ĐẶT VẤN ĐỀ
Các vấn đề an ninh an toàn trong xã hội thông tin
Xã hội thực

Mặt đối mặt

Xã hội thông tin

Internet

Nảy sinh các vấn đề về đảm bảo an tồn thơng tin:
•Ai đang giao dịch ? (Xác thực)
•Thơng tin gửi đi có bị nghe trộm? (Bí mật)
•Dữ liệu nhận được có bị sửa đổi hay khơng? (Tồn vẹn)
•Chối bỏ hành động đã thực hiện. (Chống chối bỏ)
Trung tâm chứng thực điện tử chuyên dùng Chính phủ


MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CHÍNH PHỦ
Dự án mạng truyền số liệu chuyên dùng của các cơ quan
Đảng và Nhà nước từ trung ương đến địa phương:
- Hạ tầng truyền thông tốc độ cao, đa dịch vụ với
công nghệ hiện đại, an toàn và bảo mật, cung cấp
đường truyền dẫn và các cổng kết nối để liên kết các
mạng nội bộ của các cơ quan Đảng, Nhà nước;
- Truy nhập Internet tốc độ cao, có các dịch vụ gia
tăng trên mạng: điện thoại IP, video IP, Email,
Web…;
- Mạng riêng ảo dùng cho nội bộ một đơn vị (cơ quan,
tổ chức…);
- Extranet VPN: mạng riêng ảo giữa các mạng;
- Remote Access IP VPN: mạng riêng ảo truy nhập từ
xa;

- Ipv6 VPN: mạng riêng ảo dùng IP phiên bản 6;
Multicast VPN for MPLS: mạng riêng ảo quảng bá
trên nền chuyền mạch nhãn đa giao thức;
- ………….

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


II. CÁC HỆ THỐNG THƠNG TIN CỦA CHÍNH PHỦ
• Hệ thống thư điện tử Quốc gia
• Hệ thống giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ
với với các Bộ, ngành, địa phương
• Cơ sở dữ liệu Quốc gia về dân cư
• Hệ thống thơng tin giao thơng vận tải
• Hệ thống quản lý thơng tin đầu tư nước ngồi
• Hệ thống thơng tin quản lý y tế dự phịng
• Cơ sở dữ liệu quốc gia về cán bộ, công chức, viên chức và cán bộ,
công chức cấp xã
• Cơ sở dữ liệu quốc gia kinh tế cơng nghiệp và thương mại
• Hệ thống thơng tin về văn bản quy phạm pháp luật thống nhất từ
Trung ương tới các địa phương
• Các hệ thống thơng tin về thuế, tài ngun, mơi trường…
• ……………
--Trích Quyết định 48/2009/TTg---

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Nhu cầu xác thực
Định danh các đối tượng tham gia:

•
Con người
•
Thiết bị
•
Phần mềm
•
Dịch vụ
Đảm bảo an tồn trong các giao dịch:
•
Xác thực đăng nhập, phân cấp, phân
quyền khai thác thơng tin
•
Xác thực và an tồn các phiên giao
dịch
•
…

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


THIẾT LẬP HỆ THỐNG XÁC THỰC VÀ BẢO MẬT
Trên cơ sở các hệ thống thơng tin
của Chính phủ, hệ thống mạng
truyền số liệu chuyên dùng cho các
cơ quan Chính phủ, để đảm bảo an
toàn, tin cậy cho toàn bộ hệ thống
thì cần thiết phải thiết lập hệ thống
xác thực mạnh. Nền tảng của hệ
thống này chính là sử dụng hạ tầng

cơ sở khóa cơng khai (PKI) phục vụ
ứng dụng chứng thư số và các dịch
vụ chứng thực chữ ký số.

Cần thiết lập hạ tầng PKI

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


III. PKI cho các cơ quan chính phủ

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Các thành phần chính của PKI

PKI

Khung pháp lý và
chính sách
Luật giao dịch điện tử
Nghị định về Chữ ký số

Hệ mật mã bất đối xứng

Hệ thống CP và CPS

Khung pháp lý và chính sách
Hạ tầng kỹ thuật


Hạ tầng kỹ thuật
Các thuật tốn mật mã
Hệ thống CA/RA
Quản lý và phân phối khóa
Cơng bố Chứng thư và
CRL
Các ứng dụng của PKI

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


CÁC CƠ SỞ PHÁP LÝ

Sau
Saukhi
khiLuật
LuậtGiao
Giaodịch
dịchđiện
điệntử
tửđược
đượcban
banhành,
hành,Chính
Chínhphủ
phủđã
đãban
ban
hành
hànhNghị

Nghịđịnh
địnhSố:
Số:26/2007/NĐ-CP
26/2007/NĐ-CPngày
ngày15/02/2007
15/02/2007Quy
Quyđịnh
địnhchi
chi
tiết
tiếtLuật
LuậtGD
GDĐT
ĐTvề
vềchữ
chữký
kýsố
sốvà
vàdịch
dịchvụ
vụchứng
chứngthực
thựcchữ
chữký
kýsố
số
Điều
Điều6:
6:
4.

4.Ban
BanCơ
Cơyếu
yếuChính
Chínhphủ
phủthành
thànhlập
lậpvà
vàduy
duytrì
trìhoạt
hoạtđộng
độngcủa
củatổ
tổ
chức
chứccung
cungcấp
cấpdịch
dịchvụ
vụchứng
chứngthực
thựcchữ
chữký
kýsố
sốchun
chundùng
dùngphục
phục
vụ

vụcác
cáccơ
cơquan
quanthuộc
thuộchệ
hệthống
thốngchính
chínhtrị
trị
Tháng
Tháng9/2007,
9/2007,Ban
BanCơ
Cơyếu
yếuChính
Chínhđã
đãthành
thànhlập
lậptổ
tổchức
chứcchứng
chứng
thực
thựcchữ
chữký
kýsố
sốphục
phụcvụ
vụcác
cáccơ

cơquan
quanthuộc
thuộchệ
hệthống
thốngchính
chínhtrị.
trị.Hạ
Hạ
tầng
tầngcung
cungcấp
cấpdịch
dịchvụ
vụchứng
chứngthực
thựcchữ
chữký
kýsố
sốđang
đangtích
tíchcực
cựctriển
triển
khai
khaicho
chocác
cáccơ
cơquan,
quan,Bộ,
Bộ,ngành

ngành
Quyết
Quyếtđịnh
địnhsố
số63/QĐ-TTg
63/QĐ-TTgban
banhành
hànhngày
ngàyngày
ngày13/01/2010
13/01/2010phê
phê
duyệt
duyệtquy
quyhoạch
hoạchphát
pháttriển
triểnan
antồn
tồnthơng
thơngtin
tinsố
sốquốc
quốcgia
giađến
đếnnăm
năm
2020
2020trong
trongđó

đóBan
BanCơ
Cơyếu
yếuCP
CPchịu
chịutrách
tráchnhiệm
nhiệmXây
Xâydựng
dựng
Hệ
Hệthống
thốngxác
xácthực,
thực,bảo
bảomật
mậtcho
chocác
cáchệ
hệthống
thốngthơng
thơngtin
tin
Chính
Chínhphủ
phủ

Trung tâm chứng thực điện tử chuyên dùng Chính phủ



Mơ hình PKI hiện tại của Việt Nam
Ban Cơ yếu CP

Bộ TTTT

CA nước ngồi
Foreign CAs

chứng
thực
chéo

chứng
thực
chéo

CA cơng cộng
(N-Root CA)

CA chun dùng
(G-Root CA)

quản lý/cấp phép

CA được cấp
phép

quản lý/cấp phép

CA được

cấp phép

Sub CA được
giao n.vụ

quản lý chứng chỉ

quản lý chứng chỉ
cung
cấp dịch
vụ

Các giao dịch điện tử
dân sự

Sub CA được
giao n.vụ

e-gov service
provider

e-gov service
provider

Giao dịch điện tử của các cơ quan
thuộc hệ thống chính trị

Trung tâm chứng thực điện tử chuyên dùng Chính phủ



Trung tâm chứng thực điện tử chun dùng Chính phủ

Các
•
•
•

mốc thời gian chính
Thành lập theo khoản 4 Điều 6 Nghị định 26/2007/NĐ-CP
Thuộc Ban Cơ yếu Chính phủ
Thành lập năm 2007

Các dịch vụ cung cấp
•
Thiết lập và duy trì hạ tầng PKI cho các cơ quan Chính
phủ: RootCA, các SubCA cho các cơ quan, Bộ, ngành
•
Cung cấp và quản lý chứng thư số và các dịch vụ chứng
thực chữ ký số
•
Tư vấn, hỗ trợ, triển khai dịch vụ chứng thực chữ ký số
•
Phát triển các ứng dụng trên nền PKI

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Mơ hình tổng thể

•

•

Mơ hình phân cấp hình cây: RootCA,
SubCA
Các SubCA được quy hoạch để phục
vụ các cơ quan, Bộ, ngành

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Mơ hình các cơ quan đăng ký địa phương

•
•

Phân tán trên cả nước
Phục vụ cho các nhu cầu cấp phát và
quản lý chứng thư số

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Dịch vụ cung cấp
Cung cấp và quản lý chứng thư số:
•
Tạo và phân phối các cặp khóa cho th bao
•
Cấp, thu hồi chứng thư số
Dịch vụ chứng thực chữ ký số:
•

Tem thời gian (timestamping service)
•
Kiểm tra trạng thái chứng thư số (CRLs, OCSP)
Dịch vụ cơng bố thơng tin:
•

Chứng thư số RootCA, SubCA

•

Chính sách chữ ký số (Signature policy)

•

Tra cứu thơng tin

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Chuẩn áp dụng

Khuôn dạng chứng thư số và chứng thư số bị thu hồi
IETF RFC 3280 : Khuông dạng chứng thư số và danh sách chứng thư số bị thu hồi
ITU-T X.509 : Khn dạng chứng thư số khóa cơng khai và chứng thư thuộc tính

Mã/giải mã, ký/xác thực RSA
PKCS #1 V1.5, 2.0, 2.1

Lưu trữ, thông điệp mật mã...
PKCS #5: Chuẩn mã hóa dựa trên mật khẩu

PKCS #7: Chuẩn cú pháp thông điệp mật mã
PKCS #8: Chuẩn cú pháp thông tin khóa bí mật
PKCS #10: Chuẩn cú pháp u cầu chứng thực
PKCS #11: Chuẩn giao tiếp thẻ mật mã
PKCS #15: Chuẩn định dạng thông tin thẻ mật mã

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Chuẩn áp dụng (tiếp…)

Nhãn thời gian
IETF RFC 3161 : Giao thức gán nhãn thời gian
IETF RFC 1305: Giao thức thời gian mạng V3.0

Danh bạ chứng thư, kiểm tra tình trạng
IETF RFC 2251: Giao thức truy cập thư mục
IETF RFC 2650: Giao thức kiểm tra tình trạng chứng thư

Ứng dụng
XAdES signature structure (EU) - ETSI TS 101 903 (dựa trên RFC 3275): khuôn dạng chữ ký số
ETSI TR 102 038 (dựa trên RFC 3125 ): Chính sách chữ ký số

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


IV. Một số kết quả đạt được
Đã
•
•

•

triển khai bước đầu cho một số cơ quan, Bộ, ngành:
Cung cấp chứng thư số
Thiết lập dịch vụ chứng thực chữ ký số
…

Ứng dụng phục vụ xác thực, bảo mật:
•
Xác thực và bảo mật thư điện tử
•
Xác thực và bảo mật dịch vụ web
•
Ký số các tài liệu điện tử

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


KẾ HOẠCH PHÁT TRIỂN

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Giải pháp theo mơ hình tập trung
Đặc điểm:

Cơ quan, Bộ, ngành sử dụng
trực tiếp các dịch vụ chữ ký
số và chứng thực chữ ký số
tại RootCA Ban Cơ yếu

Chính phủ
RootCA Ban Cơ yếu Chính
phủ tổ chức cấp phát chứng
thư số, các dịch vụ chứng
thực chữ ký số
Điều kiện áp dụng:

Kết nối với RootCA thơng
qua mạng truyền số liệu
chun dùng Chính phủ

RootCA Ban Cơ yếu Chính phủ đảm bảo
cung cấp các dịch vụ về chứng thư số và
chứng thực chữ ký số

Số lượng chứng thư số
không lớn (<1500 thuê bao)
Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Giải pháp theo mơ hình phân tán
Đặc điểm:

Các dịch vụ chứng thực chữ
ký số được phân tán xuống
mạng của các cơ quan, Bộ,
ngành
RootCA Ban Cơ yếu Chính
phủ đảm bảo việc cấp chứng
thư số

Điều kiện áp dụng:

Kết nối với RootCA thông
qua mạng truyền số liệu
chun dùng Chính phủ
Có bộ phận CA chuyên trách

Các dịch vụ về chứng
thực chữ ký số được phân
tán xuống các mạng của
từng cơ quan, Bộ, ngành

Có hệ thống server dành riêng
cho các dịch vụ LDAP,
TimeStamp, OCSP, NTP, Web
Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Tổ chức quản lý cấp phát chứng thư số

User: Thuê bao thuộc các cơ quan, Bộ, ngành

LRA: Tổ chức quản lý thuê bao
RA: Cơ quan xử lý yêu cầu chứng thực

RootCA: Ban Cơ yếu Chính phủ
Quy trình:

LRA lập danh sách trên cơ sở nhu cầu sử
dụng chứng thư số từ thuê bao gửi RA

RA kiểm tra thông tin gửi RootCA
RootCA tổ chức tạo chứng thư
số, gửi khóa bí mật được lưu trên
thiết bị cho RA, RA gửi cho
LRA.
RootCA cập nhật và công bố
danh bạ chứng thư số

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


BAN CƠ YẾU CHÍNH PHỦ

CÁC CƠ QUAN CHÍNH PHỦ

Tổ chức hạ tầng đảm bảo việc tiếp nhận
các yêu cầu cung cấp chứng thư số

Xác định đối tượng, phạm vi, ứng dụng sử
dụng chứng thư số

Trên cơ sở nhu cầu của các cơ quan,
Bộ, ngành đảm bảo việc cấp chứng thư
số, thiết bị lưu khóa bí mật

Tổ chức phần hạ tầng kỹ thuật để duy
trì dịch vụ chứng thực chữ ký số (theo
mơ hình phân tán)

Tư vấn, hỗ trợ kỹ thuật trong việc triển

khai dịch vụ tại các cơ quan, Bộ,
ngành.

Tổ chức tích hợp chứng thư số, chữ
ký số và dịch vụ chứng thực chữ ký số
vào trong các ứng dụng.

PHỐI HỢP TÍCH HỢP CHỨNG THƯ
SỐ, CHỮ KÝ SỐ VÀ DỊCH VỤ
CHỨNG THỰC CHỮ KÝ SỐ VÀO CÁC
ỨNG DỤNG

Trung tâm chứng thực điện tử chuyên dùng Chính phủ


Digitally signed by Nguyen Huu
Hung
DN: c=VN, o=Ban Co yeu Chinh
phu, ou=Cuc Quan ly Ky thuat
Nghiep vu Mat ma, l=Ha Noi,
cn=Nguyen Huu Hung
Date: 2010.03.22 15:34:50 +07'00'
XIN CHÂN THÀNH CẢM ƠN

Trung tâm chứng thực điện tử chuyên dùng Chính phủ