Hiện trạng triển khai PKI tại Việt Nam

15:02 | 01/11/2011

Để có thể cải cách hành chính, điện tử hóa quy trình làm việc và xây dựng chính phủ điện tử, cung cấp dịch vụ điện tử cho các tổ chức, cá nhân thì vấn đề xây dựng hạ tầng và cung cấp dịch vụ chứng thực chữ ký số là vô cùng quan trọng. Với chữ ký số, các giao dịch điện tử qua mạng sẽ được bảo mật, xác thực và có đầy đủ giá trị pháp lý như các giao dịch bằng văn bản giấy với chữ ký và con dấu.

Ứng dụng chữ ký số (CKS) và sử dụng chứng thư số (CTS) đã được tiến hành từ cuối những năm 90 của thế kỷ XX do các công ty, các tổ chức thương mại, ngân hàng, tài chính lớn tiên phong thực hiện. Hoạt động chứng thực điện tử (CTĐT) là nhu cầu tất yếu khi các hoạt động tin học hóa đi vào đời sống. Muốn xác nhận độ tin cậy về mối ràng buộc giữa danh tính của người chủ sở hữu CTS, người ta cần đến hoạt động của một bên thứ ba được tin tưởng là một tổ chức cung cấp dịch vụ chứng thực chữ ký số tiến hành cung cấp dịch vụ tin cậy và bảo mật thường xuyên 24/7 qua một hạ tầng khóa công khai PKI cụ thể.

Cùng với hệ thống luật pháp quy định về dịch vụ CTĐT, CTS do Trung tâm CA cấp phát đã giúp người sử dụng cuối tạo CKS và lập mã trên văn bản điện tử (VBĐT) có giá trị pháp lý như chữ ký và con dấu của cấp có thẩm quyền trên văn bản giấy truyền thống. Các Trung tâm CA này phải có đầy đủ các điều kiện về khả năng triển khai dịch vụ CTĐT và được cấp phép hoạt động.

Pháp luật của Việt Nam (Luật GDĐT và Nghị định số 26/2007/NĐ- CP quy định chi tiết thi hành Luật GDĐT về CKS và dịch vụ chứng thực CKS) đã thừa nhận CKS chính thức trên VBĐT có giá trị như chữ ký và con dấu của người có thẩm quyền trên văn bản giấy.

VBĐT bao gồm các dạng thông tin bất kỳ như âm thanh, hình ảnh khi đã được số hóa. Thuật ngữ “người sử dụng cuối” trong CTS cũng được mở rộng ra cho các phần mềm, thiết bị hay các tiến trình trong hệ thống CNTT. Thực tế này làm cho ứng dụng CTĐT  phong phú hơn rất nhiều chứ không chỉ dừng lại ở các văn bản giấy truyền thống và người sử dụng cuối.

Tại Việt Nam đã hình thành hai hệ thống PKI chính là: Dịch vụ CTĐT cho hoạt động của các cơ quan huộc hệ thống chính trị (PKI Chính phủ) do Ban Cơ yếu Chính phủ đảm

nhiệm và Dịch vụ CTĐT cho hoạt động công cộng do Bộ Thông tin và truyền thông (TT&TT) quản lý.

Sự khác biệt lớn giữa dịch vụ CTĐT công cộng và dịch vụ CTĐT Chính phủ thể hiện ở nhiều góc độ. Ví dụ như việc triển khai các hạ tầng PKI cho CA của Chính phủ phải đặc biệt quan tâm đến các yêu cầu về an toàn an ninh, đảm bảo dự phòng và khả năng phục hồi sau sự cố. Do vậy, nhân lực đảm bảo cho PKI Chính phủ cũng cần được đầu tư một cách thích đáng.

Hiện trạng triển khai PKI Chính phủ

Việc triển khai PKI cho hoạt động của các cơ quan thuộc hệ thống chính trị được sự quan tâm của Đảng và Nhà nước thể hiện qua nhiều văn bản chỉ đạo và văn bản pháp luật đã được ban hành: Chỉ thị số 34/2008/CT-TTg ngày 03/12/2008 của Thủ tướng Chính phủ  yêu cầu các cơ quan Nhà nước tăng cường sử dụng thư điện tử trong các hoạt động của mình, đồng thời phối hợp trong việc sử dụng CTS chuyên dùng và hệ thống xác thực; Quyết định 06- QĐ/TW ngày 19/06/2006 của Ban Bí thư TW về “Tiếp tục xây dựng và triển khai hệ thống CTĐT và bảo mật thông tin áp dụng cho các cơ quan Đảng giai đoạn 2006 - 2010”; Quyết định 48/2009/QĐ-TTg ngày 31/03/2009 về “Triển khai hệ thống CTĐT và CKS trong các cơ quan Nhà nước giai đoạn 2009 - 2011”; Quyết định 1605/QĐ-TTg ngày 27/8/2010 về “Phê duyệt chương trình quốc gia về ứng dụng CNTT trong giai đoạn 2011 - 2015”.

Sự quan tâm này thể hiện ở cả hai khía cạnh là thúc đẩy ứng dụng dịch vụ CTĐT trong các cơ quan thuộc hệ thống chính trị và đầu tư xây dựng hạ tầng PKI đủ mạnh để đáp ứng nhu cầu cung cấp CTS an toàn cho các hoạt động này. Tuy nhiên, thực tế triển khai dịch vụ CKS  cũng còn những vấn đề cần xem xét. Hiện nay cả nước mới có khoảng vài ngàn CTS được lưu hành và không phải tổ chức nào có trình độ CNTT cao cũng sử dụng dịch vụ CTĐT hiệu quả. Bởi vì sử dụng dịch vụ CTĐT có hiệu quả hay không còn phụ thuộc vào nhu cầu nội tại trong hoạt động nghiệp vụ của tổ chức đó, ví dụ như, các tổ chức phải thường xuyên làm việc với các VBĐT quan trọng và cần được bảo vệ bằng pháp luật.

Ở cấp Trung ương, tính đến thời điểm tháng 10/2011, với 22 Bộ, ngành, 63 tỉnh, thành có các cổng điện tử và website công bố văn bản quy phạm pháp luật, văn bản điều hành có sử dụng CTS là 8/22 Bộ và cơ quan Ngành, Bộ; 3/63  tỉnh, thành là Hà Nội, TP. Hồ Chí Minh và Hải Phòng.

Tại một số địa phương, ví dụ như Hải Phòng, tính đến tháng 5/2010 đã có hạ tầng CNTT tương đối tốt triển khai ở 18 Sở, Ngành, 15 quận, huyện, 223 xã, phường, nhưng chỉ có duy nhất Sở GD&ĐT triển khai thử nghiệm ứng dụng chứng thực CKS chuyên dùng và cũng chỉ áp dụng một chiều cho các văn bản của Sở gửi các đơn vị, trường học thuộc Sở (120 đơn vị).

Do đặc thù của hoạt động PKI Chính phủ khác với hoạt động PKI công cộng nên có một số vấn đề cần đặc biệt lưu tâm khi triển khai, đó là yêu cầu về bảo đảm độ an toàn mật mã, an toàn thông tin. Các quốc gia trên thế giới khi triển khai PKI Chính phủ đều đặt ra vấn đề làm chủ về công nghệ và yêu cầu cao đối với trình độ cán bộ quản trị vận hành hạ tầng PKI này. Mã nguồn và tùy biến phần mềm lõi CA có chứa các môđun mật mã cũng phải được làm chủ để đảm bảo rằng mật mã được sử dụng là an toàn và không bị cài các kênh ngầm phá hoại. Ngoài ra, còn có các yêu cầu an toàn, an ninh tăng cường về các dịch vụ phi mật mã khác như dịch vụ tem thời gian, dịch vụ cung cấp trạng thái chứng thư trực tuyến...

Bên cạnh đó, mức độ an toàn thông tin của hạ tầng kỹ thuật, an toàn, an ninh vật lý cũng rất được quan tâm. Hiện nay một số tổ chức, địa phương đã tự đầu tư triển khai hạ tầng PKI riêng, điều đó sẽ dẫn đến những bất cập như: vấn đề bảo đảm an toàn, an ninh sẽ khó khăn, đội ngũ cán bộ quản trị, vận hành chưa đủ tính chuyên nghiệp. Việc đầu tư các hạ tầng PKI riêng sẽ dẫn đến sự không đồng bộ, không tương thích trong hệ thống và gây cản trở cho việc cung cấp các dịch vụ chứng thực CKS một cách thống nhất.

Các hạ tầng PKI Chính phủ thường được thiết kế không theo các chuẩn chung để nâng cao tính an toàn, do đó trong thời điểm hiện tại sẽ phát sinh các khả năng không tương thích với các hạ tầng PKI công cộng về công nghệ và chính sách sử dụng.

Hiện nay, theo quy định của Nhà nước thì hạ tầng PKI do Ban Cơ yếu Chính phủ quản lý và điều hành toàn diện cả Root CA Chính phủ và các sub CA Chính phủ. Bởi vậy, trong trường hợp Nhà nước có chủ trương đầu tư hạ tầng PKI cho các địa phương làm Sub CA Chính phủ thì sự chuẩn bị về hạ tầng này phải khác hẳn so với sự chuẩn bị đầu tư hạ tầng PKI công cộng. Nhất là khả năng làm chủ về phần mềm lõi CA và trình độ CNTT, ATTT của các cán bộ vận hành và quản trị phải rất chuyên nghiệp và phải có sự phối hợp đồng bộ với hệ thống CA Chính phủ.

Hiện trạng triển khai PKI cho hoạt động kinh tế - xã hội

Bộ TT&TT đã cấp phép cho 8 doanh nghiệp kinh doanh dịch vụ CTĐT và đã có 5 doanh nghiệp đang triển khai dịch vụ này là VNPT, FPT FIS, Viettel, BKAV và Nacencom. Để đánh giá năng lực triển khai PKI, bên cạnh việc xét duyệt hồ sơ còn phải kiểm tra năng lực triển khai thực tế trang thiết bị và năng lực duy trì vận hành thực tế của đội ngũ cán bộ kỹ thuật.

Theo quy định, sau một năm nếu không triển khai kinh doanh dịch vụ thì tổ chức được cấp phép sẽ bị thu hồi giấy phép kinh doanh nhưng chưa nói đến hạ tầng. Tuy nhiên, việc đầu tư cho hạ tầng PKI đòi hỏi nguồn tài chính và nhân lực lớn. Đó cũng là bài toán “nan giải” về hiệu quả kinh tế đối với các tổ chức xin cấp phép, khi mà nhu cầu thực tế đối với dịch vụ CTĐT trong lĩnh vực kinh tế - xã hội chưa thực sự cao.

Việc kiểm tra thường xuyên, thanh tra hoạt động CTĐT của các công ty kinh doanh là cần thiết để tránh các sơ xuất và kẽ hở về an toàn, an ninh trong chính hạ tầng PKI cũng như các hoạt động của các hạ tầng này.

Tuy đã bước đầu khởi sắc, nhưng dịch vụ CTĐT công cộng được triển khai so với toàn bộ các hoạt động ứng dụng CNTT thì mới chỉ như phần nổi của tảng băng chìm. Lấy ngành Thuế làm ví dụ: Tổng cục thuế đã triển khai CTS trên 110 doanh nghiệp tại Tp.HCM, 255 doanh nghiệp tại Hà Nội và sẽ triển khai cho 50 doanh nghiệp khác tại Đà Nẵng, Bà Rịa - Vũng Tàu. Tuy nhiên, so với tổng số doanh nghiệp tại các địa phương này thì con số này là không đáng kể và việc triển khai dịch vụ CTS cũng khá khiêm tốn. Trong các hồ sơ trực tuyến của Tổng cục thuế thì chỉ có làm thủ tục tờ khai thuế qua mạng Internet là sử dụng CTS do VNPT cấp phát.

Nhiều tổ chức đã thấy rõ lợi ích của việc triển khai dịch vụ CTĐT, đã có hạ tầng CNTT tương đối phát triển và nhu cầu dịch vụ CTĐT lớn nhưng do các khó khăn về kỹ thuật, tính tiện dụng trong sử dụng CTS nên vẫn chưa triển khai được việc áp dụng CTS.

Giao tác giữa hai hạ tầng PKI gốc và giao tác quốc tế

Root CA Chính phủ phục vụ cho các tổ chức thuộc hệ thống chính trị và Root CA công cộng đã phục vụ cho các hoạt động kinh doanh và giao dịch điện tử cả nước. Nhu cầu giao tác giữa các dịch vụ CTĐT công cộng và dịch vụ CTĐT Chính phủ với các hệ thống PKI quốc tế cũng cần được quan tâm đúng mức.

Nhu cầu giao tác với hệ thống PKI quốc tế càng cấp thiết đối với các doanh nghiệp thường xuyên phải giao dịch điện tử với nước ngoài như Tổng cục Hải quan, Bộ Công thương, Bộ NN&PTNT... Đối với người sử dụng dịch vụ CKS thì nhu cầu giao tác giữa các hệ thống PKI cũng rất cần thiết. Ví dụ, một cán bộ nhà nước sẽ sử dụng cả PKI Chính phủ và PKI công cộng và phải sử dụng CTS công cộng và CTS Chính phủ mỗi khi cần dùng CKS.

Hiện nay, người sử dụng dịch vụ CA ở Việt Nam muốn giao dịch an toàn với hệ thống CA quốc tế thì cũng chưa được cung cấp dịch vụ tương ứng. Để có thể giao tác được, các Root CA trong nước phải được chứng thực chéo với nhau và mỗi Root CA lại phải chứng thực chéo với các Root CA quốc tế. Thực tế này đặt ra cho Việt Nam một mô hình triển khai CA giống như đối với Hàn Quốc. Đây tuy là mô hình CA không phức tạp như Nhật Bản, Mỹ hay Canada nhưng cũng không phải là đơn giản và tối ưu trong sử dụng. Bằng các dịch vụ chứng thực chéo giữa các Root CA, Việt Nam sẽ hợp nhất được hoạt động của hai loại dịch vụ CTĐT và tạo thuận lợi cho người sử dụng cuối. Người sử dụng cuối chỉ cần có một CTS để thực hiện các giao dịch của mình trong hệ thống PKI công cộng và PKI Chính phủ. Như vậy, cần phải tương thích hoạt động giữa hai loại dịch vụ này để phục người sử dụng cuối thuộc về các Root CA khác nhau.

Người ta có thể phải tìm đến mô hình cầu nối giữa các Root CA quốc gia với nhau để thiết lập hạ tầng giao tác. Hình ảnh này cũng tương tự như khi sử dụng điện thoại di động, khả năng liên lạc của thuê bao sẽ được mở rộng đến những nơi mà nhà cung cấp dịch vụ phủ sóng đến hoặc có kết nối phủ sóng với các nhà cung cấp dịch vụ nước ngoài khác.

Các vấn đề này sẽ cần phải đề cập đến khi xây dựng hoạt động của chính phủ điện tử và triển khai các hoạt động như hộ chiếu điện tử, cảnh sát Interpol quốc tế, hải quan điện tử với các giao dịch liên tác.

Triển vọng và thách thức

Thực tế triển khai dịch vụ CTĐT gắn liền với trình độ tin học hóa của mỗi quốc gia và nhu cầu phát triển các dịch vụ an toàn cho các thông tin điện tử của Chính phủ và người dân.

Việt Nam đang phát triển mạnh Chính phủ điện tử và thương mại điện tử nên triển vọng ứng dụng dịch vụ CTĐT là rất lớn. Tuy vậy, vẫn còn những nghịch lý và những hạn chế trong quá trình thực hiện các dịch vụ bảo đảm an toàn, an ninh cho  các GDĐT. Cùng với xu hướng phát triển chung của các hoạt động BM&ATTT và quá trình triển khai Chính phủ điện tử, những bất cập đó cần được khắc phục trong giai đoạn sắp tới.