BÀI 10

ỨNG DỤNG CỦA PKI

1 – KÝ SỐ TRÊN DI ĐỘNG - MOBILE PKI

Người trình bày: TS. Lê Quang Huy

24/04/2023 http://ca.gov.vn 1
 NỘI DUNG

1. TỔNG QUAN VỀ MOBILE PKI

2. GIẢI PHÁP KÝ SỐ SỬ DỤNG THẺ AN TOÀN (SD-SECURE)

3. GIẢI PHÁP KÝ SỐ SỬ DỤNG PKI SIM

4. TÓM TẮT

24/04/2023 http://ca.gov.vn 2
 1. TỔNG QUAN VỀ MOBILE PKI

1.1. KHÁI NIỆM VỀ MOBILE PKI

1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI

1.3. MỘT SỐ LOẠI HÌNH KÝ SỐ

1.4. MỘT SỐ TIÊU CHÍ CỦA GIẢI PHÁP MOBILE PKI

1.5. MỘT SỐ GIẢI PHÁP KÝ SỐ TRÊN THIẾT BỊ DI ĐỘNG

1.5. HIỆN TRẠNG PHÁT TRIỂN THIẾT BỊ DI ĐỘNG Ở VIỆT NAM

1.6. NHU CẦU ỨNG DỤNG CHỮ KÝ SỐ DI ĐỘNG

24/04/2023 http://ca.gov.vn 3
 1.1. KHÁI NIỆM VỀ MOBILE PKI
• Chữ ký số di động: (mobile signature): tất cả các giải pháp chữ ký số sử dụng thiết bị di động
• Vai trò của thiết bị di động: chiếc bút điện tử.
• Lĩnh vực liên quan: mô hình hoạt động, nhà mạng, thiết bị di động, ứng dụng…

24/04/2023 http://ca.gov.vn 4
 1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Tiêu chí phân loại: signature platforms,
technologies, standards and features
supported
• Vị trí tạo chữ ký: Smartcard (SIM), thiết bị
di động, lai ghép, máy chủ.
• Công nghệ: mật mã bất đối xứng, ECC,
độc lập với hệ điều hành, thẻ thông minh,
Java.
• Chuẩn chữ ký: chữ ký nâng cao, chữ ký đủ
điều kiện, SSCD, PKCS # 1, PKCS #
7/CMS.
• Tính năng hỗ trợ: xuất khóa riêng, tạo
khóa riêng, quản lý nhiều hơn một cặp
khóa.
24/04/2023 http://ca.gov.vn 5
 1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Smartcard (client-side):

Service (Server-side):

24/04/2023 http://ca.gov.vn 6
 1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Các công nghệ có liên quan:

24/04/2023 http://ca.gov.vn 7
 1.3. MỘT SỐ LOẠI HÌNH KÝ SỐ

24/04/2023 http://ca.gov.vn 8
 1.4. MỘT SỐ TIÊU CHÍ CỦA GIẢI PHÁP MOBILE PKI

• Mật mã bất đối xứng: RSA, ECC.

• Vị trí tạo cặp khóa: trong thiết bị lưu khóa an toàn, khóa riêng không thể xuất ra ngoài.
• Chữ ký đủ điều kiện: được chứng thực bởi một cơ quan có thẩm quyền và đủ tin cậy.
• Khuôn dạng chữ ký: theo chuẩn PKCS # 1 hoặc PKCS # 7/CMS, để có thể được xác
minh dễ dàng bằng các module mật mã khác nhau hiện có.
• Giải pháp chữ ký số độc lập với hệ điều hành: để có thể sử dụng trong mọi thiết bị di
động
• Số lượng cặp khóa quản lý: của người dùng khác nhau trong một thiết bị lưu khóa.

24/04/2023 http://ca.gov.vn 9
1.5. MỘT SỐ GIẢI PHÁP MOBILE PKI
 1.5. MỘT SỐ GIẢI PHÁP MOBILE PKI

Giải pháp \ tiêu An toàn thông tin Độc lập với công Phù hợp hiện Mất hoặc bị đánh Hạn chế
chuẩn và an toàn mật mã nghệ di động trạng triển khai cắp thiết bị phần cứng

Token mềm  ✓ ?  
Audio ✓    
Thẻ nhớ  ?   
NFC ? ✓ ✓ ✓ 
Bluetooh ? ✓ ✓ ✓ ✓
Thẻ bảo mật ✓ ✓ ✓ ✓ ✓
PKI SIM ✓ ✓ ✓ ✓ ✓
Trong đó: ✓ : Là đáp ứng được tiêu chí.  : Không đáp ứng đươc tiêu chí. ? : Chưa đủ thông tin.
 1.6. HIỆN TRẠNG PHÁT TRIỂN THIẾT BỊ DI ĐỘNG Ở VIỆT NAM

Thời đại 4.0 (digital world)

• Truy nhập mọi thứ (Access to everything)
• Tại mọi thời điểm (All the time)
• Tại bất kỳ đâu (From anywhere)
Hiện trạng phát triển di động tại Việt Nam
• Các nhà mạng: Viettel, Vinaphone,
Mobifone...
• Vùng phủ sóng: toàn quốc, biên giới, biển,
đảo…
• Công nghệ mạng: 2G, 3G, 4G, 5G….
• Thuê bao di động/dân số: 120/96 triệu.
• Smartphone, máy tính bảng: 53%, 25/39

24/04/2023 http://ca.gov.vn 12
 1.7. NHU CẦU ỨNG DỤNG CHỮ KÝ SỐ TRÊN DI ĐỘNG
Hiện trạng: Cung cấp chứng thư số
250000
220000
200000
157000
150000
97000
100000

35000 44000
50000

0
2015 2016 2017 2018 10/2019
Nhu cầu ứng dụng tại các cơ quan Đảng, Nhà nước:
• Công việc cần giải quyết ngày càng nhiều.
• Cán bộ (người có thẩm quyền, lãnh đạo) đi công tác, di chuyển nhiều.
• Công cụ, phương tiện làm việc (điện tử) ngày càng đa dạng
• Chữ ký số trên thiết bị di động là xu hướng tất yếu trong hiện tại và tương lai.

24/04/2023 http://ca.gov.vn 13
 2. GIẢI PHÁP KÝ SỐ SỬ DỤNG THẺ AN TOÀN (SD-SECURE)

2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL

2.2. GIỚI THIỆU GIẢI PHÁP KÝ SỐ SD-SECURE

2.3. KIẾN TRÚC SD-SECURE

2.4. CÁC THUẬT TOÁN MẬT MÃ HỖ TRỢ

2.5. AN TOÀN CỦA SD-SECURE

24/04/2023 http://ca.gov.vn 14
 2.1. TỔNG QUAN VỀ THẺ NHỚ SD
• Secure Digital
(SD) card: thẻ
nhớ (không mất
dữ liệu – non-
volatile) SD Card
Association
(SDA) sử dụng
trong các thiết bị
di động.

• Giới thiệu 8/1999

bởi SanDisk,
Panasonic
(Matsushita
Electric), Toshiba.
24/04/2023 http://ca.gov.vn 15
 2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL
Bus:
Đặc trưng:
• Default Speed
• An toàn: bảo vệ nội dung khỏi sửa
• High Speed
xóa; chống truy nhập trái phép, bảo
• Ultra High Speed (UHS) (UHS-I, vệ bản quyền nội dung.
UHS-II, UHS-III)
• SmartSD: chứa các thành phần
Transfer modes: “secure element” trao đổi với bên
• SPI (Serial Peripheral Interface) bus ngoài bằng lệnh APDU.
mode: embedded microcontrollers. • Tích hợp: wifi, USB connector,
• One-bit SD bus mode: mandatory display
• Four-bit SD bus mode: All SD Ứng dụng:
cards, UHS-I, UHS-II. • Camera, smartphone, computer…
• Two differential lines SD UHS-II • Embedded microcontrollers.
mode: UHS-II.
24/04/2023 http://ca.gov.vn 16
 2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL

• Ứng dụng truy cập Thẻ SD được chuyển đổi thành một chuỗi các lệnh
SD bởi SD memory card driver và SDIO card driver.
• Host Controller Driver (Common Bus Driver) gửi các lệnh đến thẻ SD
qua Host Controller Driver được kết nối với bus hệ thống PC (PCIe).
24/04/2023 http://ca.gov.vn 17
 2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL

24/04/2023 http://ca.gov.vn 18
 2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL
smartSD:
• Cải tiến kiến trúc SD, giao tiếp với phần tử nhúng an toàn
(Secure Element - SE)
• Hỗ trợ chuẩn GlobalPlatform™ và chạy Applet Javacard™
• Truyền dữ liệu: tốc độ cao hơn các loại SD khác

24/04/2023 http://ca.gov.vn 19
 2.2. GIỚI THIỆU GIẢI PHÁP KÝ SỐ SD-SECURE
SD-SECURE:
• Loại thẻ: smartSD.
• Cổng giao tiếp: USB OTG.
• Thực thi các thuật toán mật mã bên trong module SE.
• Phần tử an toàn SE đạt chuẩn cc EAL5 +
• Module mật mã đạt chuẩn FIPS140-2 Security Level 3

24/04/2023 http://ca.gov.vn 20
 2.3. KIẾN TRÚC SD-SECURE
Phần cứng SDSecure:
• Phần tử an toàn (Secure
Element).
– CPU 32 bit, clock frequency 22.5
MHz
– Memory protection: ROM: 1280 KB,
RAM: 30 KB .
– Hardware random number generator
HRNG
– Three hardware 16 bit timers
– Hardware security-enhanced DES • Bộ điều khiển (Controler).
accelerator EDES – 8 bit CPU
– CRC module, SPI Slave Interface, – 16 KByte flash memory
Active shield – 36 KByte RAM
– 1.8V, 3V, 5V supply voltage ranges
• Bộ nhớ NAND Flash (16GB).
24/04/2023 http://ca.gov.vn 21
 2.3. KIẾN TRÚC SD-SECURE

Phần mềm SDSecure:

• SDSecure Element firmware
– SDSecure Manager: Khởi tạo bộ nhớ SDSecure và điều khiển
I/O (giao diện SPI - Serial Perippheral Interface).
– SDSecure Operating System: Khởi tạo và quản lý hệ thống tệp
SDSecure.

• SDSecure Controller firmware

– SD Interface Driver: Nhận lệnh và gửi phản hồi thông qua giao
diện chuẩn SD 2.0.
– SPI Dispatcher: Gửi lệnh đến và nhận phản hồi từ SE thông
qua giao diện SPI xác định.

24/04/2023 http://ca.gov.vn 22
 2.4. CÁC THUẬT TOÁN MẬT MÃ HỖ TRỢ
Thuật toán mật mã Mô tả
AES Mode: ECB, CBC; keylength: 128, 192, 256
Triple-DES TECB(KO 1,2); TCBC(KO 1,2)
HMAC HMAC-SHA1, HMAC-SHA256
CTR_Mode: (Llength (20 - 70)
KDF
MAC: HMACSHA1, HMACSHA256
RNG ANSI X9.31[ Triple-DES-2Key; AES-256Key]
FIPS186-2, FIPS186-3

RSA RSASSA-PKCS1_V1_5, RSASSA-PSS 2.0

Keylength 1024, 2048

SHA SHA-1 (BYTE-only), SHA-256 (BYTE-only)
24/04/2023 http://ca.gov.vn 23
 2.5. AN TOÀN CỦA SD-SECURE

An toàn vật lý mức 3 của module thẻ nhớ an toàn:

• Được phủ bởi lớp nhựa epoxy, không có nắp đậy hoặc cửa có thể tháo rời chống thăm
dò mạch bên trong khi tháo vỏ cứng.
• Không chứa bất kỳ lỗ thông hơi hoặc khe hở nào.
• Lớp phủ mờ đục ngăn chặn sự quan sát trực tiếp.
Xác thực, thiết lập kênh an toàn của SDSecure:
Trao đổi thông tin giữa ứng dụng và thẻ Secure SD
sử dụng kênh truyền được mã mật hóa.

24/04/2023 http://ca.gov.vn 24
 2.5. AN TOÀN CỦA SD-SECURE
Người dùng và cơ chế xác thực:
• Crypto Officer (CO): khởi tạo và quản lý cấu hình mật mã
của SDSecure: nhập khóa, trao dổi khóa.
• User: Có sẵn để đọc dữ liệu người dùng và sử dụng các thao
tác vụ mật mã.
• Cơ chế xác thực: mật khẩu ít nhất 6 ký tự ASCII, số lần
nhập mật khẩu không quá 5 lần.
Quản lý khóa mật mã:
• Lưu trữ khóa: Khóa phiên và các giá trị ngẫu nhiên được
lưu trong bộ nhớ tạm. Các khóa và CSP khác được lưu trữ
trong bộ nhớ flash được bảo vệ trong chip của SE.
• Chống truy nhập trái phép: Các khóa bí mật, khóa riêng
và các tham số CSP được lưu trữ trong bộ nhớ flash và RAM
của SDSecure.
24/04/2023 http://ca.gov.vn 25
 3. GIẢI PHÁP KÝ SỐ SỬ DỤNG PKI SIM

3.1. GIỚI THIỆU GIẢI PHÁP PKI SIM

3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM

3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

3.4. AN TOÀN CỦA GIẢI PHÁP PKI SIM

24/04/2023 http://ca.gov.vn 26
 3.1. GIỚI THIỆU GIẢI PHÁP PKI SIM

• Mobile PKI: sử dụng thiết bị di động để thực hiện giải pháp về chữ ký số, tối ưu việc
sử dụng PKI trên thiết bị di động.
• Giải pháp: lai client-side và server-side.
– SIM = smartcard, lưu giữ khóa riêng và thực hiện thao tác ký số.
– Mobile phone = card reader.
– Server = MSSP, lưu giữ khóa công khai, chứng thư số.
• MSSP trao đổi thông tin: 02 kênh
– Với AP (ứng dụng) sử dụng mạng truyền dữ liệu: 3G, 4G, optical fiber…
– Với SIM (ký số, thao tác mật mã) sử dụng tin nhắn encrypted SMS (2G)…

24/04/2023 http://ca.gov.vn 27
 3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
Application
- Văn phòng điện tử Application provider
- Dịch vụ công trực tuyến (VPCP, Bộ GTVT, Bộ
... TNMT .)

MSSP (dịch vụ chữ ký số

trên thiết bị di động)
CA chuyên dùng Chính
Data (3g,4g,wifi) - MSSP GW
phủ
- MSSP Admin

SMS

Viettel
Vinaphone
Mobifone

24/04/2023 http://ca.gov.vn 28
 3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM

• SIM, UICC
• Mục đích:
– Xác định và xác thực
thuê bao di động.
– Cung cấp an toàn, riêng
tư, tin cậy cho ứng
dụng.
• Chứa bộ xử lý mật mã:
– Lưu trữ khóa
– Sinh khóa.
– Ký số, giải mã …
• Đảm bảo chống truy
nhập vật lý (tamper
resistance)
24/04/2023 http://ca.gov.vn 29
 3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
Mobile Signature Service Provider (MSSP):
• Chức năng: trung gian giữa end user, AP và CA.
• Các thành phần: AE (acquiring entity), ME (Management entity), RE (routing entity).

24/04/2023 http://ca.gov.vn 30
 3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
• Dịch vụ chữ ký số
di động: Mobile
Signature Service
Provider (MSSP)
•

24/04/2023 http://ca.gov.vn 31
 3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

24/04/2023 http://ca.gov.vn 32
 3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

• End-user (mobile user-MU, citizen): là thuê bao thuộc hệ thống.

• Authorized AP (Aplication Provicer, Relying-RP): ứng dụng web đã được MSSP ủy

quyền và có thể sử dụng cơ sở hạ tầng mobile PKI.

• Smartcard issuer (manufacture): Nhà khai thác mạng di động (MNO) có quyền truy
nhập vào SIM. MNO phát hành và quản lý vòng đời của SIM.

• CA: Certification Authority- thẩm quyền chứng thực.

• RA: Registration Authority – thẩm quyền đăng ký.

24/04/2023 http://ca.gov.vn 33
 3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

Tiến trình chứng

thực cặp khóa

24/04/2023 http://ca.gov.vn 34
 3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

Tiến trình sử dụng cặp

khóa đã chứng thực

24/04/2023 http://ca.gov.vn 35
 3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG

Tiến trình sử dụng cặp

khóa đã chứng thực

24/04/2023 http://ca.gov.vn 36
 3.4. AN TOÀN CỦA PKI SIM

24/04/2023 http://ca.gov.vn 37
 3.4 AN TOÀN CỦA PKI SIM

• Các tính năng an toàn, bảo mật chính gồm: xác thực nặc danh, tiết lộ chọn lọc, chế độ chỉ
kiểm tra, v.v.
• Các tính năng an toàn khác gồm:
– Cách ly : Applet WPKI trong một vùng an toàn (SSD) riêng trên SIM, được bảo vệ bởi các khóa mật mã
riêng để không ứng dụng nào trên SIM có thể truy cập trái phép vào vùng nhớ hoặc dữ liệu của applet.
– Tạo khóa trên SIM: Kết hợp giữa SIM và applet WPKI để các cặp khóa PKI được tạo bên trong SIM và
các khóa riêng không bao giờ rời khỏi SIM.
– Bảo vệ khóa riêng: Các khóa riêng được bảo vệ bằng mã PIN.
– Giao tiếp an toàn: trao đổi thông tin giữa MSSP và WPKI Applet (SIM) thông qua tin nhắn SMS được
mã mật hóa sử dụng thuật toán (khóa) vận chuyển Over the Air (OTA) để đảm bảo toàn vẹn.
– Xác thực lẫn nhau: Theo ETSI MSS, tất cả các kết nối sử dụng xác thực TLS lẫn nhau (hai chiều).
– An toàn thiết bị: An toàn giao diện người dùng cho tương tác theo tiêu chuẩn GSM và SAT.
– An toàn giao dịch: Đảm bảo những gì người dùng ký giống với dữ liệu họ dự định thông qua ID sự kiện.

24/04/2023 http://ca.gov.vn 38
 4. TÓM TẮT

• Mobile PKI là thuật ngữ chung chỉ tất cả các giải pháp ứng dụng PKI trên thiết bị di
động: smartcard, bên trong thiết bị di động và trên máy chủ.

• Giải pháp ký số sử dụng thẻ nhớ SD secure sử dụng thẻ nhớ làm thiết bị lưu khóa và
thực hiện các thao tác mật mã, có ưu điểm ở tốc độ và khả năng xử lý, tuy nhiên yêu
cầu điện thoại có khe cắm thẻ nhớ, sử dụng mạng truyền dữ liệu.

• Giải pháp ký số PKI-SIM sử dụng SIM làm thiết bị lưu khóa và thực hiện các thao tác
mật mã, có ưu điểm sử dụng mạng 2G (message) phù hợp với feature phone, tuy nhiên
năng lực xử lý của SIM thấp.

24/04/2023 http://ca.gov.vn 39
5. THẢO LUẬN

http://ca.gov.vn 40
KẾT THÚC

http://ca.gov.vn 41