1. Giới thiệu về BioPKI
BioPKI là một giải pháp tích hợp sinh trắc học vào Cơ sở hạ tầng khoá công khai – PKI (Public Key Infrastructure) nhằm hạn chế tối thiểu một số nhược điểm của hệ thống PKI và tăng tính bảo mật, an toàn cho thông tin lưu truyền trên đó. PKI là công nghệ xác thực đầu tiên và hoàn thiện sử dụng phương pháp mã hoá dựa trên khoá bí mật và khoá công khai. Tuy nhiên, nhược điểm của PKI là việc truy cập đến khoá bí mật thường chỉ dùng mật khẩu, nhưng trên thực tế mật khẩu có nguy cơ bị lộ rất cao, mất hoặc bị đánh cắp... do vậy không đảm bảo được an toàn cho khoá bí mật của chủ sở hữu. Hơn nữa, PKI còn có hạn chế là không có dấu hiệu đặc trưng để nhận biết chủ sở hữu của chứng thư số và việc xác thực chứng thư số chỉ dựa vào số serialnumber do Cơ quan chứng thực - CA (Certificate Authority) cấp. Ngoài ra, khi có sự xâm hại đến khóa bí mật của người sử dụng dẫn đến họ không thể thực hiện được việc ký chữ ký số thì người sử dụng phải trực tiếp đến RA (Cơ quan đăng ký) hoặc CA để xác minh định danh (ID) của mình và yêu cầu thay đổi chứng thư số.... Các nhược điểm trên có thể giải quyết được bằng cách sử dụng đặc trưng sinh trắc của người dùng, nghĩa là sử dụng hệ thống tích hợp BioPKI. BioPKI kết hợp công nghệ sinh trắc học để truy cập khóa bí mật, tạo ra ký số dựa trên sự xác thực sinh trắc và kỹ thuật PKI theo chuẩn công nghiệp. Sự xác thực được thực hiện dựa trên việc đối sánh các dấu hiệu sinh trắc với khuôn mẫu đã biết để có thể truy cập tới khóa bí mật được lưu trữ an toàn trước khi hoạt động giao dịch diễn ra.
Việc ứng dụng BioPKI vào thực tiễn đã được các nước nghiên cứu từ lâu và triển khai thành công ở một số nước với nhiều mô hình ứng dụng khác nhau như: dùng đặc trưng sinh trắc để bảo vệ thiết bị lưu khoá bí mật, bảo vệ truy cập hệ thống PKI hoặc sinh khoá mật mã từ đặc trưng sinh trắc để mã hoá khoá bí mật....
2. Xác thực các giao dịch của người dùng với CA bằng dấu vân tay
Ngày nay, các kỹ thuật sinh trắc được ứng dụng khá rộng rãi, trong đó, nhận dạng vân tay được xem là một trong những kỹ thuật hoàn thiện và đáng tin cậy nhất để xác nhận người dùng. Kỹ thuật này cũng thích hợp với những ứng dụng có cơ sở dữ liệu nhỏ.
Với cách kết hợp này, người dùng sẽ được yêu cầu nhập vào mẫu vân tay của mình. Hệ thống sẽ đối sánh mẫu nhận được với mẫu đã được lưu trữ trước đó. Nếu kết quả đối sánh là chấp nhận được thì người dùng mới được phép truy cập hệ thống để thực hiện các giao dịch an toàn của mình (Hình 1).
Để thực hiện được chức năng trên, người ta quan tâm nghiên cứu đến các giải pháp tích hợp dấu vân tay vào hệ thống PKI. Các giải pháp này phải đáp ứng yêu cầu là dễ dàng thực hiện và quản trị. Hiện nay, có rất nhiều giải pháp khác nhau được đưa ra. Sau đây, chúng tôi xin đề xuất 3 giải pháp: tích hợp mã vân tay người dùng vào chứng thư số X.509; dùng vân tay truy xuất khoá bí mật được lưu trữ trong etoken và dùng vân tay truy xuất khoá bí mật lưu trên server.
2.1. Tích hợp mã vân tay người dùng vào chứng thư số X.509
X.509 là một tiêu chuẩn của ITU-T (International Telecommunications Union) định ra những định dạng chuẩn cho các chứng thư khoá công khai và các thuật toán xác thực việc cấp chứng thư.
Các chứng thư số được tạo ra theo chuẩn X.509 phiên bản 3 có chứa hai phần là cấu trúc cơ bản và phần mở rộng. Phần cấu trúc cơ bản bao gồm các trường như: phiên bản (Version), số serial (Serial Number), nơi cấp (Issuer), thời gian hợp lệ (Period of Validity), khoá công khai,.... Trong phần này mã băm sẽ được tính, sau đó được CA ký và gán chữ ký vào. Phần mở rộng có chứa các trường mở rộng (Extensions) đóng vai trò làm tăng độ linh hoạt của chứng thư số. Nó có thể thêm một số thông tin mà không thể thêm vào phần cấu trúc cơ bản của chứng thư số định dạng chuẩn. Do vậy, mã vân tay của người chủ sở hữu chứng thư sẽ được tích hợp vào trong phần này.
Khi người dùng cần sử dụng khoá bí mật để thực hiện các giao dịch an toàn, họ phải đưa ra chứng thư số và đồng thời cả dấu vân tay của mình để hệ thống đối sánh. Khi dấu vân tay được quét vào, hệ thống sẽ tính toán và sinh khoá mã. Khoá này sẽ được băm và lấy một đoạn mã băm. Đồng thời, hệ thống cũng tự động đọc thông tin mã vân tay trong phần mở rộng để đối sánh. Toàn bộ quá trình đối sánh và truy xuất khoá bí mật được biểu diễn trong Hình 2.
2.2. Dùng vân tay truy xuất khoá bí mật lưu trong etoken
Với hình thức triển khai tích hợp sinh trắc vào hệ thống PKI này, khoá bí mật sau khi sinh ra sẽ được lưu vào etoken và được giao cho người dùng bằng con đường vật lý. Người dùng khi muốn thực hiện các giao dịch trong hệ thống thì phải đăng nhập vào hệ thống tại các máy user. Quá trình này yêu cầu người dùng phải kết nối etoken với hệ thống và nhập số PIN (password) để kích hoạt etoken. Nếu số này được xác nhận đúng, hệ thống ứng dụng sẽ yêu cầu người dùng cung cấp đặc trưng sinh trắc “sống” của mình để xác thực thông qua máy quét Biometric. Hệ thống sẽ thực hiện quá trình xác thực xem hình ảnh nhận được có đúng là của chủ sở hữu etoken đó hay không. Quá trình này được thực hiện tại máy Workstations. Nếu kết quả xác thực được chấp nhận thì người dùng có thể truy xuất khoá bí mật từ etoken.
Hệ thống này có thể được mô tả đơn giản như Hình 3.
2.3. Dùng vân tay truy xuất khoá bí mật lưu trên server
Khoá bí mật được lưu tại một server an toàn trong hệ thống PKI, khi cần truy xuất khoá từ server này, người dùng cung cấp đặc trưng sinh trắc của mình cho hệ thống.
Cũng giống như với mô hình PKI chuẩn, mô hình tích hợp BioPKI này sử dụng mật mã khóa công khai theo chuẩn PKCS để đảm bảo tính bí mật của thông tin (hình 4). Theo đó, người sử dụng hợp lệ được phép nhận từ Máy khách PKdI (9) các thông tin như phần mềm, phần cứng lưu giữ chữ ký sinh trắc và mật mã riêng. Một cặp khóa gồm khóa công khai (2) và khóa bí mật (3) cũng sẽ được tạo ra để người dùng hợp lệ sử dụng trong hệ thống. Tuy nhiên không giống như mô hình PKI quy ước, khóa bí mật của người dùng được giữ bí mật và được lưu giữ trong một server an toàn và chỉ có thể truy cập sau khi dấu hiệu sinh trắc (chữ ký sinh trắc học (4)) hợp lệ được xác thực. Các khóa trong cặp khóa có sự liên quan về mặt toán học nên các văn bản đã được mã hoá bởi khóa bí mật (3) của người gửi chỉ có thể xác thực được bằng cách sử dụng khóa công khai (2) tương ứng. Người gửi mã hoá thông điệp gửi bằng khóa bí mật (3) của mình và người nhận xác thực tính hợp lệ của thông điệp đó bằng cách sử dụng khóa công khai (2) của người gửi. Khóa công khai có thể được công bố công khai và đưa lên danh bạ điện tử.
Mô hình BioPKI bao gồm một thành phần chính là Cơ quan chứng thực (1) - CA - chịu trách nhiệm phát hành chứng thư số (5) và quản lý các chứng thư này trong suốt thời gian sống của chúng. Tuy nhiên, khác với CA thông thường, CA (1) này còn bao gồm một Máy chủ PKdI (6) có chức năng tạo và quản lý kho chứa các khuôn mẫu sinh trắc và khóa bí mật của người dùng.
Chữ ký sinh trắc học (4) có thể dùng các dấu hiệu như dấu vân tay, mống mắt... của người dùng được lấy từ mẫu sinh trắc đã lưu trữ và trích ra các đặc trưng để tạo mẫu chữ ký sinh trắc. Quá trình đối sánh sinh trắc sẽ được thực hiện với mẫu đã được đăng ký để cấp quyền truy cập khóa bí mật (3) phục vụ cho các giao dịch điện tử an toàn.
Chữ ký số (7) là một bộ định danh điện tử có các đặc tính như chữ ký trên giấy truyền thống (duy nhất, có thể xác minh được và chỉ có người ký mới có thể ký nó). Chữ ký số đảm bảo rằng các thông tin chứa trong thông điệp hoặc tài liệu được ký không bị thay đổi trong suốt quá trình truyền.
Máy khách PKdI (9) bao gồm thiết bị lấy mẫu sinh trắc và các phần mềm liên quan như: phần mềm quét vân tay/mống mắt và đặc trưng hóa, phần mềm mã hoá/giải mã trong quá trình truyền thông với Máy chủ PKdI (6).
3. Kết luận
Nhìn chung, có nhiều phương pháp khác nhau để tích hợp sinh trắc học vào PKI. Mỗi phương pháp đều có những đặc điểm riêng và phù hợp với từng môi trường cụ thể. Việc lựa chọn phương pháp nào phụ thuộc vào nhiều yếu tố, trong đó bao gồm cả mục tiêu mà nhà quản trị hệ thống muốn đạt tới cũng như đối tượng phục vụ của hệ thống. Tuy nhiên, đối với những tổ chức, tập đoàn lớn hoặc có cơ sở dữ liệu lớn, nhu cầu đảm bảo an toàn thông tin mức cao thì việc xây dựng một hệ thống BioPKI là cần thiết và phù hợp, đảm bảo được những yêu cầu của người sử dụng.
15:00 | 23/04/2012
07:00 | 17/06/2022
10:00 | 28/08/2024
Kết quả đánh giá 63 cổng dịch vụ công năm 2024 cho thấy, các địa phương đã có một số cải thiện trong việc cung cấp dịch vụ công trực tuyến so với kết quả rà soát năm 2023, tuy nhiên cũng cần sự đầu tư, cải thiện về nhiều mặt để tăng mức độ thuận tiện, thân thiện, tính tiếp cận, đáp ứng nhu cầu của mọi người dùng.
09:00 | 25/06/2024
Nghị định 13 về bảo vệ dữ liệu cá nhân đã đặt ra cho các doanh nghiệp Việt Nam một loạt các vấn đề cần giải quyết. Tuy nhiên, dường như mọi người mới chú ý đến lĩnh vực tài chính, ngân hàng và những ý kiến về việc tuân thủ Nghị định 13 hầu hết xuất phát từ ngành này. Trong khi đó, những dữ liệu cá nhân nhạy cảm có liên quan tới ngành y tế như tình trạng sức khỏe, đặc điểm di truyền hay đời sống tình dục... của cá nhân lại chưa được quan tâm nhiều.
10:00 | 17/05/2024
Tại phiên họp lần thứ tư của Tổ công tác về cải cách thủ tục hành chính của Thủ tướng Chính phủ, diễn ra sáng 3/5 tại trụ sở Chính phủ, Phó Thủ tướng Chính phủ Trần Lưu Quang yêu cầu các Bộ, ngành, địa phương khẩn trương hoàn tất công tác chuẩn bị để thống nhất sử dụng một tài khoản duy nhất là VNeID trong thực hiện dịch vụ công trực tuyến từ ngày 01/7/2024.
14:00 | 01/03/2024
Ngày 06/01/2022, Thủ tướng Chính phủ đã phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số (CĐS) quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (gọi tắt là Đề án 06). Mục tiêu tổng quát của Đề án là ứng dụng Cơ sở dữ liệu (CSDL) quốc gia về dân cư, hệ thống định danh và xác thực điện tử, thẻ căn cước công dân (CCCD) gắn chip điện tử trong công cuộc CĐS quốc gia một cách linh hoạt, sáng tạo, phù hợp Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030. Đối với Ban Cơ yếu Chính phủ (CYCP), để thực hiện cải cách hành chính, chuyển đổi số mạnh mẽ, toàn diện, Ban đã thực hiện triển khai hệ thống định danh tập trung căn cứ theo Nghị định số 59/2022/NĐ-CP nhằm đảm bảo quá trình CĐS của Ban CYCP được thống nhất, đồng bộ, qua đó góp phần vào sự phát triển của các dịch vụ công toàn trình phục vụ các cơ quan Đảng, Nhà nước thực hiện CĐS thành công.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Chiều 2/10, Thủ tướng Phạm Minh Chính, Chủ tịch Ủy ban Quốc gia về chuyển đổi số, chủ trì Hội nghị trực tuyến triển khai mở rộng thí điểm sổ sức khỏe điện tử và cấp phiếu lý lịch tư pháp qua ứng dụng VneID trên toàn quốc. Hội nghị được kết nối trực tuyến (4 cấp) từ trụ sở Chính phủ tới các bộ, ngành, các tỉnh, thành phố trực thuộc Trung ương, các địa phương cấp huyện, cấp xã.
15:00 | 03/10/2024
Theo Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng, với cách tiếp cận bứt phá, việc phổ cập chữ ký số tại Việt Nam cho 100% người dân trưởng thành Việt Nam vào năm 2025 là khả thi. Đây cũng là mục tiêu, nhiệm vụ mà Bộ trưởng Bộ Thông tin và Truyền thông giao cho Trung tâm Chứng thực điện tử Quốc gia, các doanh nghiệp và Hiệp hội ngành Thông tin và Truyền thông.
14:00 | 24/10/2024
