Giải pháp OTG-MicroSD là giải pháp công nghệ đầy đủ cho ký số di động và có thể được triển khai với chi phí thấp. Giải pháp công nghệ này có thể hỗ trợ triển khai Chính phủ điện tử một cách hiệu quả. Giải pháp được tác giả thực hiện từ năm 2016 và cập nhật, hoàn thiện chính thức năm 2018.
Một số giải pháp ký số trên di động
Signing Hub – Là giải pháp ký số tập trung. Giải pháp tập hợp các tệp .pfx, các tệp này có chứa khóa bí mật và được mã hóa bằng mật khẩu của người dùng. Giải pháp này được sử dụng cho nhóm cá nhân hoặc tổ chức không yêu cầu bảo mật cao, mà chỉ để xác thực như để vào cộng đồng chia sẻ chung.
Bluetooth PKI – Là một giải pháp phù hợp với số lượng lớn các thiết bị IoT kết nối ngày một gia tăng. Khi bổ sung thêm một đầu đọc Bluetooth cho USB e-token, thì người dùng không phải mua thêm thiết bị ký số di động mà có thể tái sử dụng USB e-token. Hơn nữa, người dùng có thể sử dụng hạ tầng PKI sẵn có bởi không phụ thuộc hạ tầng PKI. Vì Bluetooth là một đầu đọc nên giải pháp có thể sử dụng cho các thiết bị hỗ trợ Bluetooth. Ngoài ra, đầu đọc Bluetooth còn có thể cắm vào máy tính qua cổng USB. Đây là một giải pháp đầy đủ về mặt ký số, nhưng chưa thực sự được tin tưởng do chưa có một giải pháp riêng đã được công bố và chứng minh được tính an toàn về bảo mật kênh truyền Bluetooth và thủ tục bắt tay.
SIM PKI – Đây là một giải pháp tốt với khóa bí mật lưu trong SIM đi cùng với hạ tầng viễn thông. Ưu điểm lớn của giải pháp này là tính tiện dụng cao, nhỏ gọn, đa hệ điều hành, có thể ký gián tiếp qua thiết bị không phải di động. Tuy nhiên, còn tồn tại một số nhược điểm như phụ thuộc hạ tầng nhà mạng nên phải dựng thêm thành phần viễn thông để giao tiếp với SIM, và dựng thêm thành phần PKI phù hợp với CA sẵn có để giao tiếp ký số với SIM; cần chứng minh về bảo mật đường truyền, thời gian ký số nhanh; xác định hạn mức số lượng người sử dụng tối đa; chi phí đắt đỏ.
Giải pháp OTG-MicroSD
Thiết kế ban đầu của giải pháp này là một dây cắm qua cổng tai nghe. Tuy nhiên, đề xuất này đã bị loại bỏ vì tính chập chờn, và ngày nay giải pháp đã được cải tiến thành OTG qua cổng sạc thiết bị di động. Vào năm 2016, ý tưởng ban đầu của giải pháp là một sợi dây OTG dài đa năng, cho phép cắm một lúc nhiều USB thậm chí e-token. Sau khi thực hiện tùy biến (customize) trình điều khiển (driver) để USB e-token trên máy tính có thể hoạt động trên di động là có thể sử dụng được giải pháp, đồng thời cho phép tái sử dụng USB e-token tương tự như giải pháp Bluetooth. Ngoài ra, giải pháp này không bị phụ thuộc vào yếu tố bảo mật như giải pháp Bluetooth. Đây là một giải pháp tốt và tốn ít chi phí. Tuy nhiên, giải pháp không khả thi do đầu nối OTG dài, không thuận tiện.
Hình 1. OTG cho USB e-token
Vào năm 2016, giải pháp đầu nối OTG được thay bằng MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030, với ý tưởng được thừa kế từ Bluetooth và OTG.
Thông số kỹ thuật IDCore 8030 được hãng bảo mật Gemalto (Hà Lan) công bố như sau: chạy trên hệ điều hành Android 4.x - 8.x, iOS 8.x - 11.x, Windows 7,8, Linux và BlackBerry OS; chứng chỉ chip bảo mật EAL5+; hỗ trợ RSA 2048 & Eliptic Curves, chứng chỉ bậc cao FIPS 140-2 Level 3 hoặc Tiêu chuẩn EAL5+; hỗ trợ Java Applets OTP-OATH và MPCOS. Thông số kỹ thuật IDPrime MD 8840 tương tự như trên nhưng cho phép kết nối tới PC thông qua driver PC/SC.
Tuy nhiên vào thời điểm đó, giải pháp này không được triển khai ngay vì chỉ chạy trên một số thiết bị di động hỗ trợ thẻ nhớ MicroSD. Nhưng rõ ràng, giải pháp OTG-MicroSD có tiềm năng trong tương lai.
Hiện tại, OTG đã hỗ trợ thẻ nhớ MicroSD nên cho phép hoàn thiện một giải pháp có thể phục vụ đa thiết bị, đa hệ điều hành và thậm chí trong các hạ tầng CA khác nhau.
Giải pháp OTG-MicroSD được thiết kế như sau:
- Thiết kế OTG chuyên dụng (có thể đưa thẻ nhớ MicroSD hẳn vào bên trong), có đầu cắm vào cổng USB máy tính và USB e-token.
- Chuyển giao driver từ hãng Gemalto cho MicroSD và USB e-token trên PC, Android, iOS, Linux, Windows.
Hình 2. Ý tưởng giải pháp OTG-MicroSD đa năng.
- Chuyển giao công nghệ hoặc sử dụng MicroSD 8440 và Core 8030 sẵn có.
- Cần thẩm định các chứng chỉ đã công bố từ hãng Gemalto (đã nêu ở trên) và thẩm định MicroSD - SafeNet Prime MD 8840, SafeNet Core 8030.
Hình 3. Cấu tạo bên trong thẻ MicroSD
Việc tạo OTG đa năng, thay cho loại OTG phổ biến, cho phép chạy đa hệ điều hành, đa thiết bị, không phụ thuộc hạ tầng PKI, cho phép sử dụng các loại USB e-token hiện có; trong trường hợp không có MicroSD thì có thể cắm USB e-token vào OTG; trong trường hợp không có USB e-token thì có thể cắm OTG-MicroSD vào máy tính.
Việc sử dụng MicroSD sẵn có của các hãng có thể tận dụng được những ưu điểm của nó, tuy nhiên điều này cũng tồn tại những lỗ hổng, rủi ro tiềm ẩn và không có khả năng kiểm soát được hoàn toàn MicroSD. Do đó, để tăng cường khả năng kiểm soát và mức độ an toàn, thì cần phải làm chủ hoàn toàn MicroSD. Để làm được như vậy, có thể chuyển giao công nghệ MicroSD, kết hợp với các công cụ phần mềm chuyển giao và viết thêm cho USB e-token. Do vậy, việc sản xuất OTG-MicroSD hiện nay là hoàn toàn khả thi.
Bảng 1. So sánh các giải pháp ký số trên di động (trừ HSM)
Về việc thực hiện ký số trên web cho di động có thể áp dụng giải pháp Web Socket (đã trình bày trong Tạp chí An toàn thông tin số 4/2018), vì di động không sử dụng Plug-in và Extension nhằm chống thất thoát dữ liệu.
Kết luận
Việc hiện thực hóa OTG-MicroSD cũng có ý tưởng tương tự là giải pháp IDBridge K3000 của hãng bảo mật Gemalto, bao gồm Token + PKI Smart Card + MicroSD. Giải pháp này tạo một USB 2.0 tích hợp thẻ MicroSD và thẻ IDo Smart Card, tuy nhiên vì dùng đầu đọc USB 2.0 nên không sử dụng được cho thiết bị di động.
Hình 4. Giải pháp IDBridge K3000
Yêu cầu về một giải pháp chữ ký số trên di động chạy đa hệ điều hành, đa thiết bị có thể được giải quyết bằng việc chế tạo một OTG đa năng thay vì loại OTG phổ biến, kết hợp với một thiết bị lưu khóa có chứng chỉ bảo mật cao như MicroSD. Đây là giải pháp phù hợp với các cơ quan, đơn vị, tổ chức muốn triển khai PKI di động đảm bảo an toàn, với hiệu năng cao của việc mã hoá (bao gồm cả mã thoại), ký số và xác thực, đồng thời chạy đa hệ điều hành, đa thiết bị di động và cả trên máy tính cá nhân.