Giải pháp OTG-MicroSD là giải pháp công nghệ đầy đủ cho ký số di động và có thể được triển khai với chi phí thấp. Giải pháp công nghệ này có thể hỗ trợ triển khai Chính phủ điện tử một cách hiệu quả. Giải pháp được tác giả thực hiện từ năm 2016 và cập nhật, hoàn thiện chính thức năm 2018.
Một số giải pháp ký số trên di động
Signing Hub – Là giải pháp ký số tập trung. Giải pháp tập hợp các tệp .pfx, các tệp này có chứa khóa bí mật và được mã hóa bằng mật khẩu của người dùng. Giải pháp này được sử dụng cho nhóm cá nhân hoặc tổ chức không yêu cầu bảo mật cao, mà chỉ để xác thực như để vào cộng đồng chia sẻ chung.
Bluetooth PKI – Là một giải pháp phù hợp với số lượng lớn các thiết bị IoT kết nối ngày một gia tăng. Khi bổ sung thêm một đầu đọc Bluetooth cho USB e-token, thì người dùng không phải mua thêm thiết bị ký số di động mà có thể tái sử dụng USB e-token. Hơn nữa, người dùng có thể sử dụng hạ tầng PKI sẵn có bởi không phụ thuộc hạ tầng PKI. Vì Bluetooth là một đầu đọc nên giải pháp có thể sử dụng cho các thiết bị hỗ trợ Bluetooth. Ngoài ra, đầu đọc Bluetooth còn có thể cắm vào máy tính qua cổng USB. Đây là một giải pháp đầy đủ về mặt ký số, nhưng chưa thực sự được tin tưởng do chưa có một giải pháp riêng đã được công bố và chứng minh được tính an toàn về bảo mật kênh truyền Bluetooth và thủ tục bắt tay.
SIM PKI – Đây là một giải pháp tốt với khóa bí mật lưu trong SIM đi cùng với hạ tầng viễn thông. Ưu điểm lớn của giải pháp này là tính tiện dụng cao, nhỏ gọn, đa hệ điều hành, có thể ký gián tiếp qua thiết bị không phải di động. Tuy nhiên, còn tồn tại một số nhược điểm như phụ thuộc hạ tầng nhà mạng nên phải dựng thêm thành phần viễn thông để giao tiếp với SIM, và dựng thêm thành phần PKI phù hợp với CA sẵn có để giao tiếp ký số với SIM; cần chứng minh về bảo mật đường truyền, thời gian ký số nhanh; xác định hạn mức số lượng người sử dụng tối đa; chi phí đắt đỏ.
Giải pháp OTG-MicroSD
Thiết kế ban đầu của giải pháp này là một dây cắm qua cổng tai nghe. Tuy nhiên, đề xuất này đã bị loại bỏ vì tính chập chờn, và ngày nay giải pháp đã được cải tiến thành OTG qua cổng sạc thiết bị di động. Vào năm 2016, ý tưởng ban đầu của giải pháp là một sợi dây OTG dài đa năng, cho phép cắm một lúc nhiều USB thậm chí e-token. Sau khi thực hiện tùy biến (customize) trình điều khiển (driver) để USB e-token trên máy tính có thể hoạt động trên di động là có thể sử dụng được giải pháp, đồng thời cho phép tái sử dụng USB e-token tương tự như giải pháp Bluetooth. Ngoài ra, giải pháp này không bị phụ thuộc vào yếu tố bảo mật như giải pháp Bluetooth. Đây là một giải pháp tốt và tốn ít chi phí. Tuy nhiên, giải pháp không khả thi do đầu nối OTG dài, không thuận tiện.
Hình 1. OTG cho USB e-token
Vào năm 2016, giải pháp đầu nối OTG được thay bằng MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030, với ý tưởng được thừa kế từ Bluetooth và OTG.
Thông số kỹ thuật IDCore 8030 được hãng bảo mật Gemalto (Hà Lan) công bố như sau: chạy trên hệ điều hành Android 4.x - 8.x, iOS 8.x - 11.x, Windows 7,8, Linux và BlackBerry OS; chứng chỉ chip bảo mật EAL5+; hỗ trợ RSA 2048 & Eliptic Curves, chứng chỉ bậc cao FIPS 140-2 Level 3 hoặc Tiêu chuẩn EAL5+; hỗ trợ Java Applets OTP-OATH và MPCOS. Thông số kỹ thuật IDPrime MD 8840 tương tự như trên nhưng cho phép kết nối tới PC thông qua driver PC/SC.
Tuy nhiên vào thời điểm đó, giải pháp này không được triển khai ngay vì chỉ chạy trên một số thiết bị di động hỗ trợ thẻ nhớ MicroSD. Nhưng rõ ràng, giải pháp OTG-MicroSD có tiềm năng trong tương lai.
Hiện tại, OTG đã hỗ trợ thẻ nhớ MicroSD nên cho phép hoàn thiện một giải pháp có thể phục vụ đa thiết bị, đa hệ điều hành và thậm chí trong các hạ tầng CA khác nhau.
Giải pháp OTG-MicroSD được thiết kế như sau:
- Thiết kế OTG chuyên dụng (có thể đưa thẻ nhớ MicroSD hẳn vào bên trong), có đầu cắm vào cổng USB máy tính và USB e-token.
- Chuyển giao driver từ hãng Gemalto cho MicroSD và USB e-token trên PC, Android, iOS, Linux, Windows.
.JPG)
Hình 2. Ý tưởng giải pháp OTG-MicroSD đa năng.
- Chuyển giao công nghệ hoặc sử dụng MicroSD 8440 và Core 8030 sẵn có.
- Cần thẩm định các chứng chỉ đã công bố từ hãng Gemalto (đã nêu ở trên) và thẩm định MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030.
Hình 3. Cấu tạo bên trong thẻ MicroSD
Việc tạo OTG đa năng, thay cho loại OTG phổ biến, cho phép chạy đa hệ điều hành, đa thiết bị, không phụ thuộc hạ tầng PKI, cho phép sử dụng các loại USB e-token hiện có; trong trường hợp không có MicroSD thì có thể cắm USB e-token vào OTG; trong trường hợp không có USB e-token thì có thể cắm OTG-MicroSD vào máy tính.
Việc sử dụng MicroSD sẵn có của các hãng có thể tận dụng được những ưu điểm của nó, tuy nhiên điều này cũng tồn tại những lỗ hổng, rủi ro tiềm ẩn và không có khả năng kiểm soát được hoàn toàn MicroSD. Do đó, để tăng cường khả năng kiểm soát và mức độ an toàn, thì cần phải làm chủ hoàn toàn MicroSD. Để làm được như vậy, có thể chuyển giao công nghệ MicroSD, kết hợp với các công cụ phần mềm chuyển giao và viết thêm cho USB e-token. Do vậy, việc sản xuất OTG-MicroSD hiện nay là hoàn toàn khả thi.
Bảng 1. So sánh các giải pháp ký số trên di động (trừ HSM)
Về việc thực hiện ký số trên web cho di động có thể áp dụng giải pháp Web Socket (đã trình bày trong Tạp chí An toàn thông tin số 4/2018), vì di động không sử dụng Plug-in và Extension nhằm chống thất thoát dữ liệu.
Kết luận
Việc hiện thực hóa OTG-MicroSD cũng có ý tưởng tương tự là giải pháp IDBridge K3000 của hãng bảo mật Gemalto, bao gồm Token + PKI Smart Card + MicroSD. Giải pháp này tạo một USB 2.0 tích hợp thẻ MicroSD và thẻ IDo Smart Card, tuy nhiên vì dùng đầu đọc USB 2.0 nên không sử dụng được cho thiết bị di động.
Hình 4. Giải pháp IDBridge K3000
Yêu cầu về một giải pháp chữ ký số trên di động chạy đa hệ điều hành, đa thiết bị có thể được giải quyết bằng việc chế tạo một OTG đa năng thay vì loại OTG phổ biến, kết hợp với một thiết bị lưu khóa có chứng chỉ bảo mật cao như MicroSD. Đây là giải pháp phù hợp với các cơ quan, đơn vị, tổ chức muốn triển khai PKI di động đảm bảo an toàn, với hiệu năng cao của việc mã hoá (bao gồm cả mã thoại), ký số và xác thực, đồng thời chạy đa hệ điều hành, đa thiết bị di động và cả trên máy tính cá nhân.
Lê Minh Lộc
16:00 | 10/06/2019
08:00 | 28/10/2019
13:00 | 18/02/2020
14:00 | 04/06/2019
08:00 | 03/09/2019
10:00 | 20/09/2019
08:00 | 23/04/2019
17:00 | 27/05/2019
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
