ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
--------&&&--------

TIỂU LUẬN

MẬT MÃ & AN TOÀN DỮ
LIỆU
Đề tài: THẺ E-TOKEN
Giảng viên: PGS.TS Trịnh Nhật Tiến
Học viên thực hiện: Nguyễn Duy Tú, K19
Lớp MH: INT 6010 2
Mã HV: 12025294

Hà Nội, 05/2014


MỤC LỤC
MỤC LỤC.........................................................................................................2
DANH MỤC HÌNH...........................................................................................3
LỜI MỞ ĐẦU....................................................................................................1
I. Chữ ký số, chứng chỉ số và cung cấp chứng thực số.................................2
1. Chữ ký số...............................................................................................2
2. Chứng chỉ số...........................................................................................2
3. Nhà cung cấp chứng thực số..................................................................2
II. Hạ tầng khóa cơng khai (PUBLIC KEY INFRASTRUCTURE)............3
1.Khái niệm hạ tầng khóa cơng khai (PKI)...............................................3
2.Thành phần cơ bản của một PKI............................................................3
3.Các chuẩn mã hóa khóa cơng khai (PKCS)............................................4
4.Một số hệ thống PKI...............................................................................4

III. Thẻ E-token..............................................................................................4
1.E-token là gì?..............................................................................................4
2.Giới thiệu eToken Pro USB........................................................................6
3.Cài đặt USB Token.....................................................................................7
4.Hướng dẫn sử dụng.....................................................................................8
5.Ký số trên Microsoft Office .....................................................................13


DANH MỤC HÌNH
Hình 1: VNPT-CA Token Setup........................................................................7
Hình 2: VNPT-CA Token Finish.......................................................................8
Hình 3: VNPT-CA Token Manager...................................................................8
Hình 4: Giao diện PKI Token Manager ...........................................................9
Hình 5: Giao diện đổi tên PKI Token................................................................9
Hình 6: Giao diện thơng báo lỗi khi đổi tên....................................................10
Hình 7: Giao diện đổi mật khẩu PKI Token....................................................10
Hình 8: Giao diện đăng nhập xem Chứng thư số............................................11
Hình 9: Giao diện Quản trị chứng thư số........................................................11
Hinh 10: Chi tiết Chứng thư số.......................................................................13


LỜI MỞ ĐẦU
Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu cầu cấp
thiết. Thông tin trong các giao dịch điện tử thường là những thông tin quan trọng,
có tính chất cơ mật (như là thơng điệp giữa các cơ quan chính phủ, hợp đồng kinh tế
giữa các doanh nghiệp), nội bộ (ví dụ thơng tin giữa các cơ quan trong một tổ chức
và các chi nhánh của cơng ty), hoặc là riêng tư (ví dụ lương, hồ sơ bệnh án). Vì vậy,
cần phải có các phương pháp bảo đảm sự chính xác và tồn vẹn của thông tin, và sự
tin cậy của những người tham gia vào các giao dịch điện tử. Tuy nhiên, với các thủ
đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua mạng cũng ngày càng gia tăng. Hiện

giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP. Đây là giao thức cho phép
các thông tin được gửi từ máy tính này tới máy tính khác thơng qua một loạt các
máy trung gian hoặc các mạng riêng biệt. Chính điều này dẫn đến nguy cơ mất an
tồn thơng tin trong giao dịch như bị nghe trộm, bị mạo danh, bị giả mạo, bị chối
cãi nguồn gốc.
Do vậy, để bảo mật, các thơng tin truyền trên Internet ngày nay đều có xu
hướng được mã hoá. Trước khi truyền qua mạng Internet, người gửi mã hố thơng
tin, trong q trình truyền, dù có ''chặn'' được các thơng tin này, kẻ trộm cũng khơng
thể đọc được vì bị mã hố. Khi tới đích, người nhận sẽ sử dụng một công cụ đặc
biệt để giải mã. Phương pháp mã hoá và bảo mật phổ biến nhất đang được thế giới
áp dụng là Chứng chỉ số (Digital Certificate) và chữ ký số (Digital Signature).
Khi sử dụng Chứng chỉ số hoặc Chữ ký số người dùng có trách nhiệm lưu
giữ và đảm bảo sự an tồn và bí mật cho khóa riêng của mình. Khố riêng của
người sử dụng thường được lưu trữ trong đĩa mềm, thẻ thơng minh (SmartCard),
USBToken,... của người đó.

1


I. Chữ ký số, chứng chỉ số và cung cấp chứng thực số
1. Chữ ký số

Chữ ký điện tử là thuật ngữ chỉ tất cả các phương pháp khác nhau để một người
có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính
ngun bản của nội dung dữ liệu đó.
Chữ ký điện tử rất đa dạng, có thể là một cái tên đặt cuối dữ liệu điện tử, một
ảnh chụp chữ ký viết tay gắn với dữ liệu điện tử, một mã số bí mật có khả năng xác
định người gửi dữ liệu điện tử, một biện pháp sinh học có khả năng xác định nhân
thân người gửi dữ liệu điện tử,...
Chữ ký số (Digital Signature) là một dạng chữ ký điện tử, an toàn nhất và cũng

được sử dụng rộng rãi nhất trong các giao dịch điện tử hiện nay trên thế giới. Chữ
ký số hình thành dựa trên nền tảng hạ tầng khố cơng khai (Public Key Infrastruture
- PKI), kỹ thuật này bao gồm một cặp khố: khố bí mật và khố cơng khai. Trong
đó, khố bí mật được người gửi sử dụng để ký (hay mã hoá) một dữ liệu điện tử,
cịn khố cơng khai được người nhận sử dụng để mở dữ liệu điện tử đó (giải mã) và
xác thực danh tính người gửi.
2. Chứng chỉ số

Chứng chỉ số (Digital Certificate) là một tệp tin điện tử dùng để xác minh danh
một cá nhân, một tổ chức, một máy chủ... trên Internet. Nó giống như bằng lái xe,
hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân.
3. Nhà cung cấp chứng thực số

Cũng giống như việc cơ quan công an làm nhiệm vụ cấp giấy chứng minh nhân
dân, để có một Chứng chỉ số thì phải có một tổ chức làm nhiệm vụ cấp phát Chứng
chỉ số, tổ chức này được gọi là nhà cung cấp chứng thực số (Certificate AuthorityCA).
Nhiệm vụ của CA là chứng thực danh tính của những người tham gia vào việc
gửi và nhận thông tin qua mạng; cung cấp cho họ những công cụ, những dịch vụ
cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung
thông tin, đồng thời CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính
xác của Chứng chỉ số mà mình cấp.

2


Các hoạt động của CA được dựa trên nền tảng là hạ tầng khố cơng khai PKI,
hay nói cách khác PKI thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà
cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc
sử dụng các thuật tốn mã khố cơng khai trong trao đổi thơng tin.
II. Hạ tầng khóa cơng khai (PUBLIC KEY INFRASTRUCTURE)

1. Khái niệm hạ tầng khóa cơng khai (PKI)

Public Key Infrastructure, viết tắt (PKI) là một cơ chế để cho một tổ chức trung
gian cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông
tin. Cơ chế này cũng cho phép cấp cho mỗi đối tượng sử dụng trong hệ thống một
cặp khóa cơng khai/cá nhân (public/private key).
PKI thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng
thực số (CA) cùng các cơ chế liên quan đồng thời với tồn bộ việc sử dụng các
thuật tốn mã khố cơng khai trong trao đổi thông tin.
PKI bản chất là một hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang
tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các Chứng chỉ số
(Digital Certificate) cũng như các mã khố cơng khai và cá nhân.
2. Thành phần cơ bản của một PKI

- Máy trạm PKI (PKI Client): Là thiết bị cuối trong một hệ thống PKI
- Nhà cung cấp chứng thực số (Certification Authority -CA): Là một tổ chức
chuyên cung cấp và xác thực các Chứng chỉ số. Một Chứng chỉ số có 3 thành phần
chính:
+ Thông tin về đối tượng được cấp: gồm tên, địa chỉ, điện thoại, email...
+ Khố cơng khai (Public key) của đối tượng được cấp: là một giá trị được nhà
cung cấp chứng thực đưa ra như một khoá mã hoá, kết hợp cùng với một khoá cá
nhân duy nhất được tạo ra từ khố cơng khai để tạo thành cặp mã khoá bất đối
xứng.
+ Chữ ký số của CA cấp chứng thực: Đây chính là sự xác nhận của CA, bảo đảm
tính chính xác và hợp lệ của Chứng chỉ. Muốn kiểm tra một Chứng chỉ số, trước
tiên phải kiểm tra chữ ký số của CA có hợp lệ hay khơng (trên chứng minh thư, đây
chính là con dấu xác nhận của Công an Tỉnh hoặc Thành phố).

3



- Nhà quản lý đăng ký (Registration Authority - RA): đóng vai trị như người
thẩm tra cho CA trước khi một Chứng chỉ số được cấp phát tới đối tượng yêu cầu.
- Hệ thống quản lý, phân phối Chứng chỉ số (Certificate Distribution System CDS): Danh mục nơi các Chứng chỉ số (với khố cơng khai của nó) được lưu giữ,
phục vụ cho các nhu cầu tra cứu, lấy khoá công khai của đối tác cần thực hiện giao
dịch chứng thực số.
3. Các chuẩn mã hóa khóa cơng khai (PKCS)

PKCS (Public Key Cryptography Standards) là chuẩn do phịng thí nghiệm RSA
Data Security Inc phát triển. Nó dựa vào các cấu trúc ASN.1 (Abstract Syntax
Notation - 1). Giao thức chuẩn ISO được sử dụng bởi SNMP để thể hiện các thông
điệp (SNMP - Simple Net work Management Protocol) là một tập hợp các giao thức
không chỉ cho phép kiểm tra nhằm đảm bảo các thiết bị mạng như router , switch
hay server đang vận hành mà còn vận hành một cách tối ưu, ngồi ra SNMP cịn
cho phép quản lý các thiết bị mạng từ xa và thiết kế cho phù hợp với chứng nhận
X.09, các tiêu chuẩn này do ANSI thiết kế, theo đó dữ liệu được chia thành từng
khối nhỏ nhất là 8 bit (octet). PKCS hiện tại bao gồm các chuẩn PKCS#1, PKCS#3,
PKCS #5,PKCS#7, PKCS#8, PKCS#9, PKCS#11, PKCS#12, PKCS#13, PKCS#15.
4. Một số hệ thống PKI

- Microsoft: Với những cải tiến lớn về PKI trong Windows XP Professional
(dành cho máy trạm) và Windows Server (dành cho máy chủ), Microsoft đã cung
cấp một giải pháp PKI khá hoàn chỉnh cho phép các tổ chức, doanh nghiệp có thể
xây dựng một PKI riêng trên hệ thống của mình.
- VeriSign (www.Verisign.com) hạ tầng mã hố cơng khai (CA/PKI) chun
nghiệp cho lĩnh vực tài chính, ngân hàng, chứng khốn. Ở Việt Nam, Ngân hàng
Vietcombank, Ngân hàng Đông Á đã sử dụng dịch vụ chứng thực số của Verisign
trong các giao dịch trực tuyến.
- Thawte (www.Thawte.com) là nhà cung cấp Chứng chỉ số hàng đầu hiện nay.
III. Thẻ E-token

1. E-token là gì?
E-token là thiết bị điện tử xác thực người dùng. E-token là thiết bị có tích hợp
chip trên nó nhằm đáp ứng các nhu cầu về lưu trữ dữ liệu, bảo vệ dữ liệu và xử lý
4


dữ liệu (nhờ vào bộ vi xử lý trên chip), bộ vi xử lý 32 bit trên chip thông thường có
EEPROM (Electrically Erasable Programmable Read-only Memory) khoảng 32KB
hoặc 64K (EPPROM có thể cùng lúc ở mode đọc hoặc ghi).
E-token sử dụng cổng USB trên máy tính. E-token cần một trình điều khiển
(driver). Khi người dùng sử dụng E-token trong các ứng dụng PKI (chữ ký số, mã
hóa) thì phải nhập vào số PIN (Personal Indentification Number) để xác thực.
Bằng mắt thường có thể thấy E-token giống hệt một chiếc USB bình thường
dùng để lưu trữ dữ liệu. Cấu tạo của hai thiết bị này cũng tương đương nhau, nhưng
E-token không chứa dữ liệu bình thường mà chứa "chữ ký tay" của khách hàng đã
được mã hóa.
Hiện nay trên thị trường có lưu hành E-token của một số hãng như RSA,
Safenet, VeriSign. Dịng sản phẩm thiết bị lưu khố cho cá nhân eToken của hãng
Safenet (Mỹ), trước đây là của hãng Aladin (Israel), mới bị Safenet mua lại và sáp
nhập vào hãng này, có thể được coi là một ví dụ minh hoạ cho tính đa dạng của loại
thiết bị này. E-token của Safenet hiện nay có các loại sau: eToken PRO, eToken Pro
anywhere, eToken PRO Smartcard, eToken NG-OTP, eToken PASS, eToken Virtual.
Trong đó ngoại trừ eToken PASS, các sản phẩm cịn lại đều có mục đích chính là
lưu an tồn khố bí mật….
Thiết bị lưu khố bí mật phục vụ ký số phải đạt chuẩn FIPS PUB 140-2 tối thiểu
mức 3. Chuẩn FIPS PUB 140-2 do tổ chức National Institute of Standards and
Technology của chính phủ Mỹ ban hành….. Chuẩn này đã được Bộ Thông tin và
Truyền thông Việt Nam quy định áp dụng bắt buộc đối với chữ ký số và dịch vụ
chứng thực chữ ký số tại Việt Nam.
Độ dài khoá bị quy định bởi nhà cung cấp dịch vụ chứng thực chữ ký số. Về độ

dài khoá, hiện tại thông thường sử dụng tại Việt Nam là loại 1024-bit và 2048-bit.
Độ dài khố càng lớn thì khả năng khoá bị “phá” càng giảm nhưng đồng thời thời
gian xử lý (ký, mã) cũng lâu hơn. Có thể sử dụng thiết bị lưu khố cho khố có độ
dài 2048-bit để lưu khố có độ dài 1024-bit, nhưng khơng thể làm ngược lại.
Đặc điểm của USB Token:
- Là thiết bị phần cứng dùng để mã hóa và lưu trữ bí mật cũng như chứng thư
số của thuê bao sử dụng

5


- Có tính bảo mật cao, được mã hóa nhiều lớp. Việc hack hay làm giả là điều
không thể
- Sử dụng để kê khai thuế qua mạng, kê khai hải quan, sử dụng dịch vụ internet
banking
- Gọn nhẹ, tiện sử dụng, tương thích với nhiều hệ điều hành
2. Giới thiệu eToken Pro USB
E-token Pro USB là một sản phẩm thuộc dòng sản phẩm eToken™ của Aladdin
Knowledge Systems Ltd., Israel.
E-token Pro USB là một thiết bị bảo mật cao, giao tiếp với máy tính qua cổng
USB, sử dụng tiện lợi, an toàn, dễ mở rộng. EToken Pro USB hỗ trợ tất cả hạ tầng
khóa cơng khai eToken PKI như xác thực người dùng, quản lý mật khẩu, bảo mật
chữ ký số và bảo mật dữ liệu...
Ngoài ra, do eToken Pro USB hỗ trợ các giao diện và hệ thống bảo mật theo tiêu
chuẩn cơng nghiệp, nên eToken Pro USB cịn đảm bảo việc tích hợp dễ dàng với hạ
tầng và các chính sách bảo mật.
* Đặc tính kỹ thuật của eToken Pro USB
Hệ điều hành hỗ trợ

32 bit và 64 bit Windows XP sp 3, Server 2003, Vista,

Server2008, 7 32 bit và 64 bit Linux, Mac

API & tiêu chuẩn

PKCS#11 v2.01, Microsoft CAPI, PC/SC, X.509 v3
certificate storage, SSL v3, IPSec/IKE

Models

32K: Siemens CardOS / 32K memory
64K: Siemens CardOS / 64K memory

Các thuật toán mã hóa

Java: Java Virtual Machine / 72K memory
RSA 1024-bit / 2048-bit, DES, 3DES, SHA1, SHA256

Chứng chỉ bảo mật

FIPS 140-1 L2&3; Common Criteria EAL4+/EAL5+
(smart card chip and OS) Pending:
FIPS 140-2 and CC EAL4+ PP-SSCD
(Certifications differ per model; please inquire)

Kích thước

52 x 16 x 8 mm (2.05 x 0.63 x 0.31 inches)

Giao diện


ISO 7816

Nhiệt độ hoạt động

0 C to 70 C (32 F to 158 F)
6


Nhiệt độ bảo quản

-40 C to 85 C (-40 F to 185 F)

Độ ẩm
Khả năng chịu nước

0-100% không ngưng tụ
IP X8 – IEC 529

Kết nối

USB 2.0

Vỏ

Nhựa cứng

Dữ liệu lưu giữ

Ít nhất 10 năm


Sức chịu đựng

Ít nhất 500,000 viết/xóa chu kỳ

Giá thành: Khoảng 50USD

3. Cài đặt USB Token
Bước 1: Kết nối VNPT-CA PKI Token vào cổng USB của máy tính
Bước 2: Sau khi kết nối VNPT-CA PKI Token vào máy tính

Hình 1: VNPT-CA Token Setup
Bước 3: Chọn Install để bắt đầu quá trình cài đặt

Bước 4: Chọn Finish để kết thúc việc cài đặt VDC-CA Token

7


Hình 2: VNPT-CA Token Finish
4. Hướng dẫn sử dụng
Kết nối thiết bị VNPT-CA PKI Token vào cổng USB của máy tính
Chọn Start => All Programs => VNPT-CA PKI Token => PKI Token Manger

Hình 3: VNPT-CA Token Manager

Thay đổi tên thiết bị Token:
Chọn menu Cấu hình \ Đổi tên PKI Token
8



Hình 4: Giao diện PKI Token Manager
Thực hiện đặt tên cho Token (tên đặt khơng dùng ký tự có dấu)

Hình 5: Giao diện đổi tên PKI Token
Nếu NSD nhập tiếng việt, sẽ hiện cảnh báo sau

9


Hình 6: Giao diện thơng báo lỗi khi đổi tên
Thay đổi user pin
Chọn menu Cấu hình \ Thay đổi PIN code

Hình 7: Giao diện đổi mật khẩu PKI Token
NSD nhập số User PIN cũ, User PIN mới và xác nhận User PIN mới vào các ô
tương ứng
Giá trị mặc định của User PIN cũ là: 12345678
Quản trị chứng thư số
Chọn menu Chứng thư số
10


NSD nhập User PIN đã thay đổi

Hình 8: Giao diện đăng nhập xem Chứng thư số
Nhấn nút Chấp nhận,

Hình 9: Giao diện Quản trị chứng thư số
Chọn Hiển thị để xem thông tin về chứng thư số


11


12


Hinh 10: Chi tiết Chứng thư số
5. Ký số trên Microsoft Office
Sau khi NSD tạo và lưu dữ liệu có dạng file.doc. Tiến hành các bước sau để ký
chữ ký số vào file.doc như sau:
Bước 1: Trên thanh công cụ của Microsoft Office Worrd: Chọn Tools/Options

13


Bước 2: Chương trình hiện lên bảng Options: Chọn Security/Digital
Signatures…

Bước 3: Chương trình hiện lên cửa sổ Digital Signature. Chọn Add để gán chữ
ký số vào văn bản.
14


Chương trình tiếp tục hiện lên cửa sổ Select Certificate. Lựa chọn đúng tên
người ký, rồi chọn OK.

Bước 4: Chương trình hiện lên cửa sổ để nhập mật khẩu thiết bị USB Token,
nhập đúng mật khẩu. Và nhấn OK.

15



Bước 5: Kiểm tra chữ ký: Khi đã ký thành cơng xuất hiện biểu tượng phía dưới.
Khi đặt con trỏ vào biểu tượng sẽ hiện lên dòng chữ The document has been
digitally signed – Văn bản vừa được ký số.

16