Giải pháp OTG-MicroSD là giải pháp công nghệ đầy đủ cho ký số di động và có thể được triển khai với chi phí thấp. Giải pháp công nghệ này có thể hỗ trợ triển khai Chính phủ điện tử một cách hiệu quả. Giải pháp được tác giả thực hiện từ năm 2016 và cập nhật, hoàn thiện chính thức năm 2018.
Một số giải pháp ký số trên di động
Signing Hub – Là giải pháp ký số tập trung. Giải pháp tập hợp các tệp .pfx, các tệp này có chứa khóa bí mật và được mã hóa bằng mật khẩu của người dùng. Giải pháp này được sử dụng cho nhóm cá nhân hoặc tổ chức không yêu cầu bảo mật cao, mà chỉ để xác thực như để vào cộng đồng chia sẻ chung.
Bluetooth PKI – Là một giải pháp phù hợp với số lượng lớn các thiết bị IoT kết nối ngày một gia tăng. Khi bổ sung thêm một đầu đọc Bluetooth cho USB e-token, thì người dùng không phải mua thêm thiết bị ký số di động mà có thể tái sử dụng USB e-token. Hơn nữa, người dùng có thể sử dụng hạ tầng PKI sẵn có bởi không phụ thuộc hạ tầng PKI. Vì Bluetooth là một đầu đọc nên giải pháp có thể sử dụng cho các thiết bị hỗ trợ Bluetooth. Ngoài ra, đầu đọc Bluetooth còn có thể cắm vào máy tính qua cổng USB. Đây là một giải pháp đầy đủ về mặt ký số, nhưng chưa thực sự được tin tưởng do chưa có một giải pháp riêng đã được công bố và chứng minh được tính an toàn về bảo mật kênh truyền Bluetooth và thủ tục bắt tay.
SIM PKI – Đây là một giải pháp tốt với khóa bí mật lưu trong SIM đi cùng với hạ tầng viễn thông. Ưu điểm lớn của giải pháp này là tính tiện dụng cao, nhỏ gọn, đa hệ điều hành, có thể ký gián tiếp qua thiết bị không phải di động. Tuy nhiên, còn tồn tại một số nhược điểm như phụ thuộc hạ tầng nhà mạng nên phải dựng thêm thành phần viễn thông để giao tiếp với SIM, và dựng thêm thành phần PKI phù hợp với CA sẵn có để giao tiếp ký số với SIM; cần chứng minh về bảo mật đường truyền, thời gian ký số nhanh; xác định hạn mức số lượng người sử dụng tối đa; chi phí đắt đỏ.
Giải pháp OTG-MicroSD
Thiết kế ban đầu của giải pháp này là một dây cắm qua cổng tai nghe. Tuy nhiên, đề xuất này đã bị loại bỏ vì tính chập chờn, và ngày nay giải pháp đã được cải tiến thành OTG qua cổng sạc thiết bị di động. Vào năm 2016, ý tưởng ban đầu của giải pháp là một sợi dây OTG dài đa năng, cho phép cắm một lúc nhiều USB thậm chí e-token. Sau khi thực hiện tùy biến (customize) trình điều khiển (driver) để USB e-token trên máy tính có thể hoạt động trên di động là có thể sử dụng được giải pháp, đồng thời cho phép tái sử dụng USB e-token tương tự như giải pháp Bluetooth. Ngoài ra, giải pháp này không bị phụ thuộc vào yếu tố bảo mật như giải pháp Bluetooth. Đây là một giải pháp tốt và tốn ít chi phí. Tuy nhiên, giải pháp không khả thi do đầu nối OTG dài, không thuận tiện.
Hình 1. OTG cho USB e-token
Vào năm 2016, giải pháp đầu nối OTG được thay bằng MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030, với ý tưởng được thừa kế từ Bluetooth và OTG.
Thông số kỹ thuật IDCore 8030 được hãng bảo mật Gemalto (Hà Lan) công bố như sau: chạy trên hệ điều hành Android 4.x - 8.x, iOS 8.x - 11.x, Windows 7,8, Linux và BlackBerry OS; chứng chỉ chip bảo mật EAL5+; hỗ trợ RSA 2048 & Eliptic Curves, chứng chỉ bậc cao FIPS 140-2 Level 3 hoặc Tiêu chuẩn EAL5+; hỗ trợ Java Applets OTP-OATH và MPCOS. Thông số kỹ thuật IDPrime MD 8840 tương tự như trên nhưng cho phép kết nối tới PC thông qua driver PC/SC.
Tuy nhiên vào thời điểm đó, giải pháp này không được triển khai ngay vì chỉ chạy trên một số thiết bị di động hỗ trợ thẻ nhớ MicroSD. Nhưng rõ ràng, giải pháp OTG-MicroSD có tiềm năng trong tương lai.
Hiện tại, OTG đã hỗ trợ thẻ nhớ MicroSD nên cho phép hoàn thiện một giải pháp có thể phục vụ đa thiết bị, đa hệ điều hành và thậm chí trong các hạ tầng CA khác nhau.
Giải pháp OTG-MicroSD được thiết kế như sau:
- Thiết kế OTG chuyên dụng (có thể đưa thẻ nhớ MicroSD hẳn vào bên trong), có đầu cắm vào cổng USB máy tính và USB e-token.
- Chuyển giao driver từ hãng Gemalto cho MicroSD và USB e-token trên PC, Android, iOS, Linux, Windows.
.JPG)
Hình 2. Ý tưởng giải pháp OTG-MicroSD đa năng.
- Chuyển giao công nghệ hoặc sử dụng MicroSD 8440 và Core 8030 sẵn có.
- Cần thẩm định các chứng chỉ đã công bố từ hãng Gemalto (đã nêu ở trên) và thẩm định MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030.
Hình 3. Cấu tạo bên trong thẻ MicroSD
Việc tạo OTG đa năng, thay cho loại OTG phổ biến, cho phép chạy đa hệ điều hành, đa thiết bị, không phụ thuộc hạ tầng PKI, cho phép sử dụng các loại USB e-token hiện có; trong trường hợp không có MicroSD thì có thể cắm USB e-token vào OTG; trong trường hợp không có USB e-token thì có thể cắm OTG-MicroSD vào máy tính.
Việc sử dụng MicroSD sẵn có của các hãng có thể tận dụng được những ưu điểm của nó, tuy nhiên điều này cũng tồn tại những lỗ hổng, rủi ro tiềm ẩn và không có khả năng kiểm soát được hoàn toàn MicroSD. Do đó, để tăng cường khả năng kiểm soát và mức độ an toàn, thì cần phải làm chủ hoàn toàn MicroSD. Để làm được như vậy, có thể chuyển giao công nghệ MicroSD, kết hợp với các công cụ phần mềm chuyển giao và viết thêm cho USB e-token. Do vậy, việc sản xuất OTG-MicroSD hiện nay là hoàn toàn khả thi.
Bảng 1. So sánh các giải pháp ký số trên di động (trừ HSM)
Về việc thực hiện ký số trên web cho di động có thể áp dụng giải pháp Web Socket (đã trình bày trong Tạp chí An toàn thông tin số 4/2018), vì di động không sử dụng Plug-in và Extension nhằm chống thất thoát dữ liệu.
Kết luận
Việc hiện thực hóa OTG-MicroSD cũng có ý tưởng tương tự là giải pháp IDBridge K3000 của hãng bảo mật Gemalto, bao gồm Token + PKI Smart Card + MicroSD. Giải pháp này tạo một USB 2.0 tích hợp thẻ MicroSD và thẻ IDo Smart Card, tuy nhiên vì dùng đầu đọc USB 2.0 nên không sử dụng được cho thiết bị di động.
Hình 4. Giải pháp IDBridge K3000
Yêu cầu về một giải pháp chữ ký số trên di động chạy đa hệ điều hành, đa thiết bị có thể được giải quyết bằng việc chế tạo một OTG đa năng thay vì loại OTG phổ biến, kết hợp với một thiết bị lưu khóa có chứng chỉ bảo mật cao như MicroSD. Đây là giải pháp phù hợp với các cơ quan, đơn vị, tổ chức muốn triển khai PKI di động đảm bảo an toàn, với hiệu năng cao của việc mã hoá (bao gồm cả mã thoại), ký số và xác thực, đồng thời chạy đa hệ điều hành, đa thiết bị di động và cả trên máy tính cá nhân.
Lê Minh Lộc
16:00 | 10/06/2019
08:00 | 28/10/2019
13:00 | 18/02/2020
14:00 | 04/06/2019
08:00 | 03/09/2019
10:00 | 20/09/2019
08:00 | 23/04/2019
17:00 | 27/05/2019
09:00 | 29/10/2024
Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.
09:00 | 17/09/2024
Hệ thống TETRA được sử dụng rộng rãi cho các hệ thống thông tin chuyên dùng như cảnh sát, cứu hỏa, dịch vụ khẩn cấp, dịch vụ an ninh thậm chí là quân đội [1]. Tuy nhiên với sự phát triển của công nghệ di động mạng tổ ong công cộng (GSM, 3G, 4G, 5G), nhiều ý kiến cho rằng nhiều người dùng TETRA có thể sẽ chuyển sang sử dụng hệ thống công cộng. Bài báo này phân tích những yêu cầu chặt chẽ của TETRA và những ưu điểm nó với hệ thống truyền thông công cộng, từ đó có cái nhìn tổng thể hơn về xây dựng hệ thống liên lạc chuyên dùng với TETRA.
16:00 | 05/09/2024
Từ một lĩnh vực khoa học còn non trẻ với kỹ thuật thô sơ, ngành Cơ yếu Việt Nam đã có những bước tiến vượt bậc, trở thành một ngành khoa học công nghệ hiện đại, đạt trình độ ngang tầm với nhiều quốc gia tiên tiến trên thế giới. Hạ tầng cơ sở mật mã quốc gia ngày nay hiện đại, phát triển rộng khắp, đáp ứng các yêu cầu bảo mật và an toàn thông tin cho hệ thống chính trị và cả lĩnh vực kinh tế - xã hội.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Cục An toàn thông tin vừa phát đi cảnh báo về chiêu trò lừa đảo mới mạo danh cơ quan an sinh xã hội, dụ người dân nhận tiền hỗ trợ, trợ cấp... Tuy nhiên, đằng sau những lời "có cánh" lại là cái bẫy tinh vi nhằm chiếm đoạt tài sản.
10:00 | 30/10/2024
