Professional Documents
Culture Documents
Ứng Dụng Của PKI - 1. Mobile PKI
Ứng Dụng Của PKI - 1. Mobile PKI
24/04/2023 http://ca.gov.vn 1
NỘI DUNG
4. TÓM TẮT
24/04/2023 http://ca.gov.vn 2
1. TỔNG QUAN VỀ MOBILE PKI
24/04/2023 http://ca.gov.vn 3
1.1. KHÁI NIỆM VỀ MOBILE PKI
• Chữ ký số di động: (mobile signature): tất cả các giải pháp chữ ký số sử dụng thiết bị di động
• Vai trò của thiết bị di động: chiếc bút điện tử.
• Lĩnh vực liên quan: mô hình hoạt động, nhà mạng, thiết bị di động, ứng dụng…
24/04/2023 http://ca.gov.vn 4
1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Tiêu chí phân loại: signature platforms,
technologies, standards and features
supported
• Vị trí tạo chữ ký: Smartcard (SIM), thiết bị
di động, lai ghép, máy chủ.
• Công nghệ: mật mã bất đối xứng, ECC,
độc lập với hệ điều hành, thẻ thông minh,
Java.
• Chuẩn chữ ký: chữ ký nâng cao, chữ ký đủ
điều kiện, SSCD, PKCS # 1, PKCS #
7/CMS.
• Tính năng hỗ trợ: xuất khóa riêng, tạo
khóa riêng, quản lý nhiều hơn một cặp
khóa.
24/04/2023 http://ca.gov.vn 5
1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Smartcard (client-side):
Service (Server-side):
24/04/2023 http://ca.gov.vn 6
1.2. PHÂN LOẠI CÁC GIẢI PHÁP MOBILE PKI
Các công nghệ có liên quan:
24/04/2023 http://ca.gov.vn 7
1.3. MỘT SỐ LOẠI HÌNH KÝ SỐ
24/04/2023 http://ca.gov.vn 8
1.4. MỘT SỐ TIÊU CHÍ CỦA GIẢI PHÁP MOBILE PKI
24/04/2023 http://ca.gov.vn 9
1.5. MỘT SỐ GIẢI PHÁP MOBILE PKI
1.5. MỘT SỐ GIẢI PHÁP MOBILE PKI
Giải pháp \ tiêu An toàn thông tin Độc lập với công Phù hợp hiện Mất hoặc bị đánh Hạn chế
chuẩn và an toàn mật mã nghệ di động trạng triển khai cắp thiết bị phần cứng
Token mềm ✓ ?
Audio ✓
Thẻ nhớ ?
NFC ? ✓ ✓ ✓
Bluetooh ? ✓ ✓ ✓ ✓
Thẻ bảo mật ✓ ✓ ✓ ✓ ✓
PKI SIM ✓ ✓ ✓ ✓ ✓
Trong đó: ✓ : Là đáp ứng được tiêu chí. : Không đáp ứng đươc tiêu chí. ? : Chưa đủ thông tin.
1.6. HIỆN TRẠNG PHÁT TRIỂN THIẾT BỊ DI ĐỘNG Ở VIỆT NAM
24/04/2023 http://ca.gov.vn 12
1.7. NHU CẦU ỨNG DỤNG CHỮ KÝ SỐ TRÊN DI ĐỘNG
Hiện trạng: Cung cấp chứng thư số
250000
220000
200000
157000
150000
97000
100000
35000 44000
50000
0
2015 2016 2017 2018 10/2019
Nhu cầu ứng dụng tại các cơ quan Đảng, Nhà nước:
• Công việc cần giải quyết ngày càng nhiều.
• Cán bộ (người có thẩm quyền, lãnh đạo) đi công tác, di chuyển nhiều.
• Công cụ, phương tiện làm việc (điện tử) ngày càng đa dạng
• Chữ ký số trên thiết bị di động là xu hướng tất yếu trong hiện tại và tương lai.
24/04/2023 http://ca.gov.vn 13
2. GIẢI PHÁP KÝ SỐ SỬ DỤNG THẺ AN TOÀN (SD-SECURE)
24/04/2023 http://ca.gov.vn 14
2.1. TỔNG QUAN VỀ THẺ NHỚ SD
• Secure Digital
(SD) card: thẻ
nhớ (không mất
dữ liệu – non-
volatile) SD Card
Association
(SDA) sử dụng
trong các thiết bị
di động.
• Ứng dụng truy cập Thẻ SD được chuyển đổi thành một chuỗi các lệnh
SD bởi SD memory card driver và SDIO card driver.
• Host Controller Driver (Common Bus Driver) gửi các lệnh đến thẻ SD
qua Host Controller Driver được kết nối với bus hệ thống PC (PCIe).
24/04/2023 http://ca.gov.vn 17
2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL
24/04/2023 http://ca.gov.vn 18
2.1. TỔNG QUAN VỀ THẺ NHỚ SECURE DIGITAL
smartSD:
• Cải tiến kiến trúc SD, giao tiếp với phần tử nhúng an toàn
(Secure Element - SE)
• Hỗ trợ chuẩn GlobalPlatform™ và chạy Applet Javacard™
• Truyền dữ liệu: tốc độ cao hơn các loại SD khác
24/04/2023 http://ca.gov.vn 19
2.2. GIỚI THIỆU GIẢI PHÁP KÝ SỐ SD-SECURE
SD-SECURE:
• Loại thẻ: smartSD.
• Cổng giao tiếp: USB OTG.
• Thực thi các thuật toán mật mã bên trong module SE.
• Phần tử an toàn SE đạt chuẩn cc EAL5 +
• Module mật mã đạt chuẩn FIPS140-2 Security Level 3
24/04/2023 http://ca.gov.vn 20
2.3. KIẾN TRÚC SD-SECURE
Phần cứng SDSecure:
• Phần tử an toàn (Secure
Element).
– CPU 32 bit, clock frequency 22.5
MHz
– Memory protection: ROM: 1280 KB,
RAM: 30 KB .
– Hardware random number generator
HRNG
– Three hardware 16 bit timers
– Hardware security-enhanced DES • Bộ điều khiển (Controler).
accelerator EDES – 8 bit CPU
– CRC module, SPI Slave Interface, – 16 KByte flash memory
Active shield – 36 KByte RAM
– 1.8V, 3V, 5V supply voltage ranges
• Bộ nhớ NAND Flash (16GB).
24/04/2023 http://ca.gov.vn 21
2.3. KIẾN TRÚC SD-SECURE
24/04/2023 http://ca.gov.vn 22
2.4. CÁC THUẬT TOÁN MẬT MÃ HỖ TRỢ
Thuật toán mật mã Mô tả
AES Mode: ECB, CBC; keylength: 128, 192, 256
Triple-DES TECB(KO 1,2); TCBC(KO 1,2)
HMAC HMAC-SHA1, HMAC-SHA256
CTR_Mode: (Llength (20 - 70)
KDF
MAC: HMACSHA1, HMACSHA256
RNG ANSI X9.31[ Triple-DES-2Key; AES-256Key]
FIPS186-2, FIPS186-3
24/04/2023 http://ca.gov.vn 24
2.5. AN TOÀN CỦA SD-SECURE
Người dùng và cơ chế xác thực:
• Crypto Officer (CO): khởi tạo và quản lý cấu hình mật mã
của SDSecure: nhập khóa, trao dổi khóa.
• User: Có sẵn để đọc dữ liệu người dùng và sử dụng các thao
tác vụ mật mã.
• Cơ chế xác thực: mật khẩu ít nhất 6 ký tự ASCII, số lần
nhập mật khẩu không quá 5 lần.
Quản lý khóa mật mã:
• Lưu trữ khóa: Khóa phiên và các giá trị ngẫu nhiên được
lưu trong bộ nhớ tạm. Các khóa và CSP khác được lưu trữ
trong bộ nhớ flash được bảo vệ trong chip của SE.
• Chống truy nhập trái phép: Các khóa bí mật, khóa riêng
và các tham số CSP được lưu trữ trong bộ nhớ flash và RAM
của SDSecure.
24/04/2023 http://ca.gov.vn 25
3. GIẢI PHÁP KÝ SỐ SỬ DỤNG PKI SIM
24/04/2023 http://ca.gov.vn 26
3.1. GIỚI THIỆU GIẢI PHÁP PKI SIM
• Mobile PKI: sử dụng thiết bị di động để thực hiện giải pháp về chữ ký số, tối ưu việc
sử dụng PKI trên thiết bị di động.
• Giải pháp: lai client-side và server-side.
– SIM = smartcard, lưu giữ khóa riêng và thực hiện thao tác ký số.
– Mobile phone = card reader.
– Server = MSSP, lưu giữ khóa công khai, chứng thư số.
• MSSP trao đổi thông tin: 02 kênh
– Với AP (ứng dụng) sử dụng mạng truyền dữ liệu: 3G, 4G, optical fiber…
– Với SIM (ký số, thao tác mật mã) sử dụng tin nhắn encrypted SMS (2G)…
24/04/2023 http://ca.gov.vn 27
3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
Application
- Văn phòng điện tử Application provider
- Dịch vụ công trực tuyến (VPCP, Bộ GTVT, Bộ
... TNMT .)
SMS
Viettel
Vinaphone
Mobifone
24/04/2023 http://ca.gov.vn 28
3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
• SIM, UICC
• Mục đích:
– Xác định và xác thực
thuê bao di động.
– Cung cấp an toàn, riêng
tư, tin cậy cho ứng
dụng.
• Chứa bộ xử lý mật mã:
– Lưu trữ khóa
– Sinh khóa.
– Ký số, giải mã …
• Đảm bảo chống truy
nhập vật lý (tamper
resistance)
24/04/2023 http://ca.gov.vn 29
3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
Mobile Signature Service Provider (MSSP):
• Chức năng: trung gian giữa end user, AP và CA.
• Các thành phần: AE (acquiring entity), ME (Management entity), RE (routing entity).
24/04/2023 http://ca.gov.vn 30
3.2. KIẾN TRÚC GIẢI PHÁP PKI SIM
• Dịch vụ chữ ký số
di động: Mobile
Signature Service
Provider (MSSP)
•
24/04/2023 http://ca.gov.vn 31
3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG
24/04/2023 http://ca.gov.vn 32
3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG
• Smartcard issuer (manufacture): Nhà khai thác mạng di động (MNO) có quyền truy
nhập vào SIM. MNO phát hành và quản lý vòng đời của SIM.
24/04/2023 http://ca.gov.vn 33
3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG
24/04/2023 http://ca.gov.vn 34
3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG
24/04/2023 http://ca.gov.vn 35
3.3. CHỨC NĂNG VÀ MÔ HÌNH HOẠT ĐỘNG
24/04/2023 http://ca.gov.vn 36
3.4. AN TOÀN CỦA PKI SIM
24/04/2023 http://ca.gov.vn 37
3.4 AN TOÀN CỦA PKI SIM
• Các tính năng an toàn, bảo mật chính gồm: xác thực nặc danh, tiết lộ chọn lọc, chế độ chỉ
kiểm tra, v.v.
• Các tính năng an toàn khác gồm:
– Cách ly : Applet WPKI trong một vùng an toàn (SSD) riêng trên SIM, được bảo vệ bởi các khóa mật mã
riêng để không ứng dụng nào trên SIM có thể truy cập trái phép vào vùng nhớ hoặc dữ liệu của applet.
– Tạo khóa trên SIM: Kết hợp giữa SIM và applet WPKI để các cặp khóa PKI được tạo bên trong SIM và
các khóa riêng không bao giờ rời khỏi SIM.
– Bảo vệ khóa riêng: Các khóa riêng được bảo vệ bằng mã PIN.
– Giao tiếp an toàn: trao đổi thông tin giữa MSSP và WPKI Applet (SIM) thông qua tin nhắn SMS được
mã mật hóa sử dụng thuật toán (khóa) vận chuyển Over the Air (OTA) để đảm bảo toàn vẹn.
– Xác thực lẫn nhau: Theo ETSI MSS, tất cả các kết nối sử dụng xác thực TLS lẫn nhau (hai chiều).
– An toàn thiết bị: An toàn giao diện người dùng cho tương tác theo tiêu chuẩn GSM và SAT.
– An toàn giao dịch: Đảm bảo những gì người dùng ký giống với dữ liệu họ dự định thông qua ID sự kiện.
24/04/2023 http://ca.gov.vn 38
4. TÓM TẮT
• Mobile PKI là thuật ngữ chung chỉ tất cả các giải pháp ứng dụng PKI trên thiết bị di
động: smartcard, bên trong thiết bị di động và trên máy chủ.
• Giải pháp ký số sử dụng thẻ nhớ SD secure sử dụng thẻ nhớ làm thiết bị lưu khóa và
thực hiện các thao tác mật mã, có ưu điểm ở tốc độ và khả năng xử lý, tuy nhiên yêu
cầu điện thoại có khe cắm thẻ nhớ, sử dụng mạng truyền dữ liệu.
• Giải pháp ký số PKI-SIM sử dụng SIM làm thiết bị lưu khóa và thực hiện các thao tác
mật mã, có ưu điểm sử dụng mạng 2G (message) phù hợp với feature phone, tuy nhiên
năng lực xử lý của SIM thấp.
24/04/2023 http://ca.gov.vn 39
5. THẢO LUẬN
http://ca.gov.vn 40
KẾT THÚC
http://ca.gov.vn 41