Trong thời đại bùng nổ thông tin như hiện nay, thông tin điện tử nói chung hay tài liệu điện tử sẽ dần thay thế hầu hết các tài liệu văn bản giấy truyền thống. Bởi vậy, nhu cầu lưu trữ lâu dài tài liệu điện tử là hết sức rất cần thiết giống như lưu trữ các tài liệu truyền thống trước đây và đòi hỏi thỏa mãn các yêu cầu sau: Thứ nhất, tài liệu điện tử được lưu trữ lâu dài và có thể phục hồi bất cứ khi nào cần đến; Thứ hai, nội dung của tài liệu điện tử phải được đảm bảo toàn vẹn, không bị sửa đổi kể từ khi nó được tạo ra; Thứ ba, tính xác thực nguồn gốc xuất xứ của tài liệu điện tử phải được đảm bảo lâu dài; Thứ tư là trong nhiều trường hợp, bằng chứng về thời điểm tồn tại của tài liệu cũng phải được đảm bảo lâu dài; Thứ năm là tính bí mật của tài liệu điện tử có thể được đảm bảo lâu dài.
Yêu cầu thứ nhất có thể được đảm bảo bởi các phương tiện CNTT hiện đại. Các yêu cầu thứ hai, thứ ba và thứ tư chủ yếu tham chiếu đến các phương tiện mật mã do tính phù hợp của nó đối với nhiệm vụ bảo vệ tài liệu điện tử. Việc này được đảm bảo nhờ mật mã hiện đại với các hàm băm và dịch vụ chữ ký số sử dụng chứng thư số dựa trên hạ tầng khóa công khai PKI và các thẩm quyền cấp nhãn thời gian TSA. Riêng yêu cầu thứ năm là khá phức tạp vì sẽ phải sử dụng đến các hệ mật dựa trên lý thuyết thông tin và bài toán đảm bảo an toàn lâu dài các khóa giải mã, mà hiện nay chưa có giải pháp thực tế nào hoàn chỉnh đã được giới thiệu. Chính vì vậy vấn đề tính bí mật của tài liệu điện tử có thể được đảm bảo lâu dài chưa được đề cập tới ở bài báo này.

 Giải pháp đảm bảo an toàn lưu trữ lâu dài tài liệu điện tử
Để cho dữ liệu trong các kho lưu trữ vẫn còn hữu ích thì tính toàn vẹn và tính xác thực phải được bảo vệ trong suốt vòng đời sử dụng của chúng. Trong nhiều trường hợp còn đòi hỏi phải chứng minh về sự tồn tại hay bằng chứng về thời điểm tồn tại của tài liệu.
Để đạt được các mục đích này, một số giải pháp bảo vệ dựa trên các kỹ thuật mật mã đã được thực hiện. Song điều đó không đảm bảo là an toàn vĩnh viễn trong tương lai. Ví dụ, trong các hạ tầng PKI đang sử dụng chữ ký số RSA hiện nay có thể bị tổn thương bởi các tấn công máy tính lượng tử trong tương lai.
Có một cách tiếp cận để duy trì bảo vệ lâu dài các tài liệu điện tử là định kỳ cập nhật các chữ ký số. Tuy nhiên đây là một quá trình phức tạp và không bao giờ kết thúc, nó đòi hỏi phải lưu giữ dấu vết của thông tin liên quan đến tất cả các chữ ký số được sinh ra trong quá khứ. Cách tiếp cận khác tránh việc dùng mật mã bằng cách sử dụng bằng chứng vật lý của các môi trường in ấn hay bằng cách dựa vào các bên thứ ba tin cậy. Nhưng vấn đề là ở chỗ chúng có thể cung cấp khả năng bảo vệ lâu dài mong muốn hay không và làm thế nào để có thể so sánh chúng với nhau.
Để phân tích các giải pháp bảo vệ lâu dài tài liệu điện tử, chúng ta xem xét một số khái niệm cơ bản sau:
- Cây Merkle: là một cây nhị phân có thứ tự được xây dựng từ một dãy các đối tượng dữ liệu (d1, d2,...,dn) sử dụng hàm băm h. Các “lá” của cây là các giá trị băm h(di) đối với 1 ≤ i ≤ n. Các nốt là h(l||r), ở đó các cây con left (l) và right (r) được nối lại với nhau bằng (||).
Cây Merkle có thể được sử dụng để kiểm tra xem một đối tượng dữ liệu có phải là một thành viên ở một vị trí đúng đắn trong mô hình cây hay không. Gốc của cây đóng vai trò là một bản băm đối với toàn bộ cây. Việc kiểm tra được thực hiện bằng cách xây dựng lại đường đi từ lá đến gốc cây, sử dụng đường xác thực bao gồm các nhánh đồng hạng của các nốt trên đường.
Mô hình một cây Merkle như hình sau:

- Môi trường truy cập rộng rãi (Wide-Visible Medium): Đây là môi trường tin cậy, giúp dữ liệu có thể được truy cập một cách rộng rãi. Môi trường ghi một lần này đảm bảo không chỉ tính toàn vẹn mà cả tính xác thực và bằng chứng về thời điểm tồn tại. Trong môi trường ghi một lần (hay bộ nhớ ghi một lần đọc nhiều lần WORM), dữ liệu có thể được ghi chỉ đúng một lần, sau đó không thể thay đổi được bản sao của dữ liệu trong môi trường đó. Các đĩa quang là một ví dụ, bằng cách ghi dữ liệu lên các môi trường ghi một lần, có thể sinh ra bằng chứng về tính toàn vẹn đối với dữ liệu đó.
- Các tác nhân tin cậy: Trong các giải pháp thường đề cập đến các tác nhân tin cậy sau: Người lưu trữ là một thực thể tin cậy được chỉ định để bảo quản một cách tin cậy các đối tượng dữ liệu trong kho lưu trữ; Người phục hồi là một thực thể phục hồi các đối tượng dữ liệu từ kho lưu trữ và trong ngữ cảnh cụ thể có thể kiểm tra tính toàn vẹn, bằng chứng về thời điểm tồn tại và xác thực nguồn gốc đối với các đối tượng dữ liệu từ kho lưu trữ sử dụng chứng thư số tối ưu; Người đệ trình là một thực thể đệ trình các đối tượng dữ liệu để được lưu trữ và có thể yêu cầu những thay đổi trên chúng; Thẩm quyền cấp nhãn thời gian (TSA) cấp phát các nhãn thời gian lên yêu cầu của người lưu trữ; Người kiểm toán có thể kiểm tra tính toàn vẹn và bằng chứng về thời điểm tồn tại đối với các đối tượng dữ liệu từ kho lưu trữ; Hệ thống quản lý toàn vẹn IMS là người cung cấp dịch vụ bên thứ ba tạo ra bằng chứng về tính toàn vẹn cho yêu cầu của người lưu trữ; Công chứng viên là những người có thể cấp phát các chứng thư số tối ưu OC lên yêu cầu của người lưu trữ.
- Các bản sao lưu bên ngoài: Là số các bản sao lưu tin cậy của các đối tượng dữ liệu liên quan.
- Nhãn thời gian PKIX: Đây là chuẩn thông dụng đối với các nhãn thời gian được cấp phát bởi một thực thể tin cậy gọi là Thẩm quyền cấp nhãn thời gian TSA, để xác nhận bằng chứng về thời điểm tồn tại của một đối tượng dữ liệu đã cho. Nó bao gồm chữ ký số trên bản tóm lược của đối tượng dữ liệu cùng với thời gian và ngày tháng hiện hành.
Dưới đây giới thiệu 6 giải pháp cung cấp tính xác thực, toàn vẹn và/hoặc bằng chứng về thời điểm tồn tại lâu dài đối với các đối tượng dữ liệu trong các kho lưu trữ.
1. Sử dụng Tiêu chuẩn ETSI
Viện Tiêu chuẩn viễn thông châu Âu ETSI đề xuất giải pháp cung cấp bằng chứng lâu dài về tính toàn vẹn và bằng chứng về thời điểm tồn tại của các đối tượng dữ liệu được ký số. Bằng chứng này mở rộng tính tin cậy đối với chữ ký số của đối tượng dữ liệu ra ngoài thời gian sống của các chứng thư số, các nhãn thời gian và các thuật toán mật mã, bởi vậy đảm bảo được tính xác thực lâu dài. Giải pháp này dựa trên các chữ ký số và các nhãn thời gian PKIX.
Trong giải pháp này có ba tác nhân tin cậy tham gia là Người lưu trữ, Người phục hồi và các Thẩm quyền cấp nhãn thời gian TSA.
Đối tượng dữ liệu được “bọc gói” trong cấu trúc dữ liệu gọi là gói lưu trữ. Đối tượng dữ liệu được ký số bởi chủ sở hữu hoặc người khởi tạo ra nó và chữ ký số được bao hàm trong gói lưu trữ.
Với mỗi đối tượng dữ liệu, người lưu trữ duy trì một dãy các nhãn thời gian được sử dụng làm bằng chứng cho tính toàn vẹn và thời điểm tồn tại của đối tượng dữ liệu. Trước khi yêu cầu nhãn thời gian đầu tiên, người lưu trữ thu thập chuỗi chứng thư số và trạng thái bị gỡ bỏ của người ký số của đối tượng dữ liệu và bao hàm dữ liệu này vào trong gói lưu trữ. Nhãn thời gian đầu tiên được cấp phát trên gói lưu trữ và được bao hàm trong gói lưu trữ.
Các nhãn thời gian tiếp theo được xây dựng như sau: Trước khi nhãn thời gian mới nhất hết thời hạn an toàn, người lưu trữ thu thập chuỗi chứng thư số và trạng thái bị gỡ bỏ của thẩm quyền cấp nhãn thời gian TSA tương ứng, đưa dữ liệu này trong gói lưu trữ, yêu cầu cấp nhãn thời gian mới cho gói lưu trữ và đưa nhãn thời gian mới vào trong gói lưu trữ.
Để kiểm tra tính toàn vẹn, bằng chứng về thời điểm tồn tại và tính xác thực của đối tượng dữ liệu, người phục hồi kiểm tra chữ ký số trên đối tượng dữ liệu, nhãn thời gian, chuỗi chứng thư số và trạng thái hợp lệ được bao hàm trong gói lưu trữ. Việc kiểm tra nhãn thời gian là kiểm tra chữ ký số của nhãn thời gian sử dụng khóa công khai của thẩm quyền cấp nhãn thời gian TSA tương ứng. Lưu ý rằng, chuỗi chứng thư số và trạng thái bị gỡ bỏ của TSA đã cấp phát nhãn thời gian mới nhất không có mặt trong gói lưu trữ. Người phục hồi sẽ phải tự mình thu thập dữ liệu này.
Để đảm bảo tính toàn vẹn, bằng chứng về thời điểm tồn tại và tính xác thực lâu dài của đối tượng dữ liệu thì giải pháp của ETSI cần hai giả thiết: Các hạ tầng PKI và thẩm quyền cấp nhãn thời gian TSA phía dưới là tin cậy và các thuật toán mật mã không bị phá vỡ một cách bất ngờ.
2. Sử dụng Cú pháp bản ghi bằng chứng ERS
Đây là giải pháp bảo vệ lâu dài dữ liệu số được đề xuất trong Tiêu chuẩn RFC 4998. Giải pháp này cung cấp bằng chứng lâu dài về tính toàn vẹn và bằng chứng về thời điểm tồn tại của các đối tượng dữ liệu dựa trên các cây Merkle và các nhãn thời gian PKIX. Nếu các đối tượng dữ liệu đã được ký số trước đó thì tính xác thực được đảm bảo.
Cũng giống như giải pháp Tiêu chuẩn ETSI, trong giải pháp này, các tác nhân tin cậy là Người lưu trữ, Người phục hồi và các Thẩm quyền cấp nhãn thời gian TSA.
Giải pháp ERS làm việc như sau: Với mỗi đối tượng dữ liệu, người lưu trữ duy trì một cấu trúc gọi là Bản ghi bằng chứng, được sử dụng làm bằng chứng về tính toàn vẹn và thời điểm tồn tại của đối tượng dữ liệu. Bản ghi bằng chứng chứa một tập hợp các nhãn thời gian. Mỗi một nhãn thời gian có thể chứa một nhóm các đối tượng dữ liệu bằng cách sử dụng cây Merkle. Người lưu trữ sẽ thực hiện ba nhiệm vụ khác nhau để duy trì các bản ghi bằng chứng.
Trong pha khởi đầu, người lưu trữ tạo ra cây Merkle từ một nhóm các đối tượng dữ liệu và bao hàm nhãn thời gian đầu tiên vào mỗi đối tượng dữ liệu. Theo định kỳ người lưu trữ thực hiện làm mới nhãn thời gian để đối phó với khả năng mất an toàn của các nhãn thời gian và làm mới cây Merkle để đối phó với khả năng mất an toàn của các hàm băm.
Người lưu trữ sẽ lựa chọn một nhóm các đối tượng dữ liệu và hàm băm, xây dựng cây Merkle mà các lá của nó là các giá trị băm của các đối tượng dữ liệu và yêu cầu cấp nhãn thời gian lên gốc của cây.
Làm mới nhãn thời gian cấp phát trước đó được tiến hành như sau: Người lưu trữ yêu cầu cấp một nhãn thời gian mới lên bản băm của nhãn thời gian cũ và bao hàm nhãn thời gian mới trong mỗi bản ghi bằng chứng có chứa nhãn thời gian cũ.
ERS không đặc tả cách thức mà Người lưu trữ quản lý được bằng chứng hợp lệ đối với các chữ ký số của các nhãn thời gian, cụ thể là các chứng thư số và trạng thái bị gỡ bỏ. Thông thường người ta lưu trữ bằng chứng hợp lệ đối với chữ ký số của nhãn thời gian cũ trước khi yêu cầu cấp nhãn thời gian mới. Nếu không sẽ phải bổ sung thêm một giả thiết tin cậy nữa lên hệ thống, tức là Người lưu trữ phải được cho là tin cậy để kiểm tra bằng chứng này trước khi yêu cầu cấp nhãn thời gian mới.
Chúng ta giả thiết rằng Người lưu trữ thu thập và lưu trữ bằng chứng hợp lệ đối với chữ ký số của nhãn thời gian trước đó trước khi yêu cầu nhãn thời gian mới. Trách nhiệm của Người lưu trữ là thực hiện những bước làm mới tương ứng một cách đúng lúc, tức là, trước khi một nhãn thời gian bất kỳ trở nên không an toàn và làm mới cây Merkle trước khi hàm băm được sử dụng để xây dựng cây Merkle an toàn.
Để kiểm tra tính toàn vẹn và bằng chứng về thời điểm tồn tại của đối tượng dữ liệu, Người phục hồi phải kiểm tra từng nhãn thời gian trong bản ghi bằng chứng của đối tượng.
Thủ tục này chứng minh tính toàn vẹn và bằng chứng về thời điểm tồn tại của đối tượng dữ liệu tại thời điểm kiểm tra bất kỳ và đảm bảo tính xác thực lâu dài với điều kiện là đối tượng dữ liệu đã được ký số. Trong trường hợp này, trước khi người lưu trữ yêu cầu cấp nhãn thời gian đầu tiên, sẽ phải thu thập bằng chứng hợp lệ (cụ thể là các chứng thư số và trạng thái bị gỡ bỏ) đối với chữ ký số của đối tượng dữ liệu và bao hàm bằng chứng này trong đối tượng dữ liệu đã được ký số.
Để đảm bảo tính toàn vẹn, bằng chứng về thời điểm tồn tại và tính xác thực lâu dài của đối tượng dữ liệu đối với giải pháp ERS cần phải có hai giả thiết là các hạ tầng PKI và thẩm quyền cấp nhãn thời gian TSA nằm dưới là tin cậy và các thuật toán mật mã không bị phá vỡ một cách bất ngờ.
3. Sử dụng môi trường kiểm soát kiểm toán ACE
Giải pháp này cung cấp bằng chứng lâu dài về tính toàn vẹn và bằng chứng về thời điểm tồn tại cho các đối tượng dữ liệu. Giải pháp sinh ra hai lớp bằng chứng toàn vẹn cho phép các mức kiểm toán khác nhau, dựa trên các cây Merkle và đa môi trường tiếp cận rộng rãi.
Trong giải pháp này, các tác nhân tin cậy là Người lưu trữ, Người kiểm toán và Hệ thống quản lý tính tin cậy IMS.
Để đảm bảo tính toàn vẹn và bằng chứng về thời điểm tồn tại lâu dài của đối tượng dữ liệu trong giải pháp ACE, cần có hai giả thiết: các môi trường xem được rộng rãi là đáng tin cậy và các thuật toán mật mã là không bị phá vỡ một cách bất ngờ.
4. Dịch vụ toàn vẹn nội dung CIS
Giải pháp này cung cấp bằng chứng lâu dài về tính toàn vẹn và bằng chứng về thời điểm tồn tại của các đối tượng dữ liệu dựa trên các nhãn thời gian. Nó cho phép các đối tượng có thể chuyển đổi và sinh ra bản ghi kiểm toán của mỗi lần chuyển đổi. Trong giải pháp này có các tác nhân tin cậy là Người lưu trữ, Người phục hồi, các Thẩm quyền cấp nhãn thời gian và Người đệ trình.
Giống như trong Tiêu chuẩn ETSI, trong CIS, Người lưu trữ duy trì một dãy các nhãn thời gian cho mỗi đối tượng dữ liệu được sử dụng làm bằng chứng đối với tính toàn vẹn và bằng chứng về thời điểm tồn tại của nó.
Sự khác biệt quan trọng nhất so với Tiêu chuẩn ETSI là CIS cho phép các đối tượng dữ liệu có thể chuyển đổi được. Các chuyển đổi điển hình có thể xảy ra là chuyển đổi định dạng và bổ sung siêu dữ liệu.
Để đảm bảo tính toàn vẹn và bằng chứng về thời điểm tồn tại lâu dài của đối tượng dữ liệu tiếp cận với giải pháp CIS, người ta cần có hai giả thiết là các môi trường tiếp cận rộng rãi là đáng tin cậy và các thuật toán mật mã không bị phá vỡ một cách bất ngờ.
5. Giải pháp lưu trữ dữ liệu điện tử LOCKSS
Giải pháp này đảm bảo tính toàn vẹn của các đối tượng dữ liệu được lưu trữ. Giải pháp bao gồm việc thiết lập mạng ngang hàng của các kho lưu trữ với dữ liệu được sao chép có nội dung trùng nhau. Trên cơ sở định kỳ, các kho lưu trữ “liên lạc” với nhau để so sánh các bản sao của chúng. Người ta sử dụng một giao thức “bầu cử” để nhận biết các bản sao bị sai lệch.
Để đảm bảo tính toàn vẹn lâu dài của đối tượng dữ liệu đối với giải pháp LOCKSS (Copies Keep Stuff Safe Programe Software) có ba giả thiết được đưa ra: Người lưu trữ trong vai trò Người khôi phục là tin cậy; đa số các bên ngang hàng được tiến hành bởi những người lưu trữ tin cậy; Người lưu trữ có thể tìm thấy đủ những bên ngang hàng tin cậy với các bản sao nội dung của mình.
6. Các chứng thư số được tối ưu hóa OC
Giải pháp này cung cấp bằng chứng xác thực và bằng chứng về thời điểm tồn tại lâu dài đối với các đối tượng dữ liệu đã được ký số.
Trong giải pháp này, bằng chứng hợp lệ ban đầu đối với chữ ký số của đối tượng dữ liệu (cụ thể là các chứng thư số, trạng thái bị gỡ bỏ của chúng và các nhãn thời gian PKIX) được tóm tắt trong một chứng nhận. Bên tin cậy gọi là công chứng viên sinh ra bản chứng nhận như vậy với xác nhận rằng: Chứng thư số của người ký số là hợp lệ để kiểm tra chữ ký số của đối tượng dữ liệu; Đối tượng dữ liệu đã được ký không bị hư hại và chữ ký số của đối tượng dữ liệu đã được làm chứng.
Trong giải pháp này có các tác nhân tin cậy là người lưu trữ, những công chứng viên và người phục hồi.
Để đảm bảo tính toàn vẹn, bằng chứng về thời điểm tồn tại và tính xác thực lâu dài của đối tượng dữ liệu đối với giải pháp OC người ta cần đến ba giả thiết: Thứ nhất là các hạ tầng PKI và thẩm quyền cấp nhãn thời gian TSA phía dưới là tin cậy, thứ hai là các công chứng viên là tin cậy và thứ ba là các thuật toán mật mã không bị phá vỡ một cách bất ngờ.
Đánh giá chung về các giải pháp
Các giải pháp được xem xét khía cạnh các mục tiêu an toàn, các giả thiết cần phải đặt ra để đạt được các mục tiêu và sự hỗ trợ của chúng đối với các chuyển đổi định dạng. Các mục tiêu an toàn chủ yếu được xem xét là tính toàn vẹn, tính xác thực và bằng chứng về thời điểm tồn tại lâu dài.
Sau đây là bảng so sánh tính năng 6 giải pháp đã nêu ở trên.

Bảng so sánh này cho phép chúng ta đánh giá được mức độ an toàn của các giải pháp khác nhau cũng như tính hiệu quả của chúng. Bản thân các giải pháp này cũng không phải là hoàn chỉnh và vẫn còn một số vấn đề cần nghiên cứu tiếp.
Kết luận
Bảo vệ tài liệu điện tử lâu dài thường tập trung vào ba yêu cầu chính là: tính an toàn, các giả thiết cần đặt ra để đạt được an toàn và sự hỗ trợ chuyển đổi định dạng. Trong yêu cầu an toàn lại chia ra làm yêu cầu về tính toàn vẹn, tính xác thực và bằng chứng về thời điểm tồn tại. Bên cạnh đó, người ta cũng quan tâm đến tính tiện dụng, năng suất hoạt động và cả giá thành xây dựng và lắp đặt hệ thống cũng như khả năng mở rộng.
Nếu không tính đến yếu tố liên quan tới PKI thì CIS và ACE là các giải pháp có nhiều ưu điểm vì chúng đề cập đến tất cả các mục tiêu bảo vệ được đặt ra (trừ yêu cầu về tính bí mật lâu dài) và đòi hỏi ít các giả thiết tin cậy hơn so với các giải pháp khác. Tuy nhiên, về lâu dài, giả thiết về các môi trường truy cập được rộng rãi chưa chắc có tính khả thi. Song về tính hiệu quả, phụ trội lưu trữ trong CIS và ACE thấp hơn so với ETSI, ERS và LOCKSS.
Với nền tảng PKI thì ETSI và ERS sử dụng nhiều chữ ký số và do đó phụ thuộc hoàn toàn vào các hạ tầng PKI và cả các thẩm quyền cấp nhãn thời gian TSA. Riêng OC đòi hỏi đến các công chứng viên tin cậy, để tránh việc lưu trữ quá nhiều chữ ký số.
Trong tương lai, khi PKI được phát triển rộng rãi và khắc phục được các hạn chế về thời hạn sử dụng thì giải pháp dựa trên PKI sẽ là thông dụng để bảo vệ lâu dài các tài liệu điện tử. Ở trường hợp này, các giải pháp ETSI và ERS khá ổn định, sẵn sàng và có thể triển khai nhanh chóng. Tuy vậy, cần phải đối phó với vấn đề về sự yếu đi của các thuật toán mật mã (như thuật toán ký số hay hàm băm). Mật mã có thể được sử dụng để thay thế các tác nhân tin cậy và làm cho tính độc lập của hệ thống trở nên rõ ràng hơn.
Giải pháp thực tế cho tính bí mật lâu dài của các tài liệu điện tử cũng như các mục tiêu bảo vệ khác cần phải xem xét giữa việc bảo vệ dựa vào mật mã và bảo vệ dựa vào các bên tin cậy.
Các nước phát triển trên thế giới đều có các luật về lưu trữ tài liệu và tài liệu điện tử từ những năm 2000. Tại Việt Nam, Luật Lưu trữ được ban hành năm 2011 và Nghị định hướng dẫn thi hành Luật Lưu trữ về quản lý tài liệu lưu trữ điện tử đã ban hành tháng 01/2013 là những căn cứ quan trọng để triển khai các giải pháp bảo vệ tài liệu điện tử được lưu trữ lâu dài.