Tóm tắt Luận văn Thạc sĩ Kinh tế: Nghiên cứu và đề xuất lựa chọn công nghệ xác thực trong giao dịch tại ngân hàng thương mại cổ phần Đại chúng Việt Nam

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KINH TẾ

---------------------

NGUYỄN QUANG HÙNG

NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ

XÁC THỰC TRONG GIAO DỊCH

TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM

LUẬN VĂN THẠC SĨ

QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP

Hà Nội – 2016

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC KINH TẾ

---------------------

NGUYỄN QUANG HÙNG

NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ

XÁC THỰC TRONG GIAO DỊCH

TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM

Chuyên ngành: Quản trị công nghệ và Phát triển doanh nghiệp

Mã số: Chuyên ngành thí điểm

LUẬN VĂN THẠC SĨ

QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS. LÊ QUÂN

Hà Nội – 2016

LỜI CAM ĐOAN

Tôi xin cam đoan tên để tài “Nghiên cứu và đề xuất lựa chọn công nghệ

xác thực trong giao dịch tại ngân hàng TMCP Đại chúng Việt Nam” là mới

chƣa từng đƣợc ai công bố trong bất kỳ công trình nào khác.

Các số liệu, kết quả nêu trong luận văn là trung thực qua khảo sát thực tiễn

Tác giả

Nguyễn Quang Hùng

LỜI CẢM ƠN

Trƣớc hết, với lòng trân trọng sâu sắc, tôi xin gửi lời cám ơn chân thành

nhất tới PGS.TS.Lê Quân. Thầy đã tận tình giúp đỡ, hƣớng dẫn, chỉ bảo giúp

tôi hoàn thành luận văn này.

Tôi cũng xin cám ơn các thầy, cô trong chƣơng trình Quản trị Công nghệ

đã giúp đỡ, chỉ dạy trong suốt quá trình học tập tại trƣờng ĐH Kinh Tế - ĐH

Quốc Gia Hà Nội.

MỤC LỤC

DANH MỤC CÁC KÝ HIỆU ........................ Error! Bookmark not defined.

DANH MỤC HÌNH ẢNH .............................. Error! Bookmark not defined.

DANH MỤC SƠ ĐỒ ...................................... Error! Bookmark not defined.

PHẦN MỞ ĐẦU ............................................................................................... 1

CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ

LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN

TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG ..................................... 6

1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng ...... 6

1.2. Tổng quan về giao dịch trong ngân hàng .... Error! Bookmark not defined.

1.3. Các loại hình giao dịch .................................. Error! Bookmark not defined.

1.4. Vấn đề an ninh trong giao dịch ..................... Error! Bookmark not defined.

1.4.1. Khái quát về vấn đề an ninh trong giao dịchError! Bookmark not

defined.

14.2. Vấn đề xác thực trong an toàn thông tinError! Bookmark not

defined.

1.4.3. Vấn đề xác thực trong an toàn thông tinError! Bookmark not

defined.

1.4.4. Phân loại xác thực ............................ Error! Bookmark not defined.

1.4.5. Các nhân tố xác thực ........................ Error! Bookmark not defined.

1.4.6. Một vài công cụ xác thực và đánh giáError! Bookmark not

defined.

1.5. Lý thuyết về lựa chọn công nghệ ................. Error! Bookmark not defined.

1.5.1. Công nghệ thích hợp ........................ Error! Bookmark not defined.

1.5.2. Một số phương pháp lựa chọn công nghệError! Bookmark not

defined.

CHƢƠNG 2: PHƢƠNG PHÁP NGHIÊN CỨUError! Bookmark not

defined.

2.1. Lƣu đồ quy trình nghiên cứu ........................ Error! Bookmark not defined.

2.2. Thống kê từ việc sử dụng công nghệ xác thực trong một số ngân

hàng khác .............................................................. Error! Bookmark not defined.

2.3. Nghiên cứu dựa vào các phƣơng pháp khảo sát, phỏng vấn, quan sát, so

sánh và tƣ vấn các chuyên gia, nhân viên và khách hàng trực tiếp giao dịch

trong ngân hàng ..................................................... Error! Bookmark not defined.

2.3.1. Khảo sát ý kiến khách hàng ............. Error! Bookmark not defined.

2.3.2. Khảo sát cán bộ bảo mật .................. Error! Bookmark not defined.

2.3.3. Khảo sát tư vấn chuyên gia. ............. Error! Bookmark not defined.

2.4 Phƣơng pháp tổng hợp, phân tích so sánh, đánh giáError! Bookmark not

defined.

CHƢƠNG 3 : THỰC TRẠNG VẤN ĐỀ XÁC THỰC TRONG GIAO DỊCH

TẠI PVCOMBANK ........................................ Error! Bookmark not defined.

3.1 Giới thiệu sơ lƣợc về ngân hàng PVcomBankError! Bookmark not

defined.

3.2 Thực trạng ........................................................ Error! Bookmark not defined.

3.2.1 Thực trạng về nhân sự ....................... Error! Bookmark not defined.

3.2.2 Thực trạng về cơ sở hạ tầng .............. Error! Bookmark not defined.

3.2.3 Phân tích SWOT hệ thống Công nghệ và Nghiệp vụ của PvcomBank

.................................................................... Error! Bookmark not defined.

3.2.4 Thực trạng về hệ thống xác thực trong giao dịch điện tử ........ Error!

Bookmark not defined.

CHƢƠNG 4 : ĐỀ XUẤT LOẠI HÌNH XÁC THỰC VỚI MỘT SỐ GIAO DỊCH

ĐIỆN TỬ TẠI NGÂN HÀNG PVCOMBANK GIAI ĐOẠN 2017-2020 ... Error!

Bookmark not defined.

4.1. Giao dịch thanh toán thẻ (Card Payment) ... Error! Bookmark not defined.

4.2 Giao dịch Internet Banking ............................ Error! Bookmark not defined.

4.3 Giao dịch Mobile Banking ............................. Error! Bookmark not defined.

KẾT LUẬN ..................................................... Error! Bookmark not defined.

TÀI LIỆU THAM KHẢO ............................................................................... 11

PHỤ LỤC

PHẦN MỞ ĐẦU

1. Tính cấp thiết của đề tài

Giao dịch ngân hàng là một trong những nhu cầu thiết yếu nhất của xã

hội hiện đại. Trong giao dịch ngân hàng đƣợc chia thành hai loại cơ bản nhất:

Đó là giao dịch trực tiếp tại quầy giao dịch của ngân hàng hoặc giao dịch điện

tử. Giao dịch trực tiếp là hình thức truyền thống, khách hàng phải đến trực

tiếp ngân hàng để giao dịch, hình thức này đã tồn tại từ những ngày sơ khai

của ngành ngân hàng và sẽ còn tồn tại tƣơng đối lâu trong thời gian tới tại

Việt Nam và vẫn chiếm tỉ lệ giao dịch cao hơn các loại hình giao dịch khác.

Giao dịch điện tử là xu thế của Việt Nam và các nƣớc trên thế giới. Hiện nay,

một số lƣợng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu

chú ý tới các hình thức giao dịch điện tử, và sử dụng các công cụ xác thực

trong giao dịch nhƣ một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ

tục giao dịch. Để đáp ứng đƣợc giao dịch thành công thì không thể thiếu yếu

tố xác thực khách hàng, và lựa chọn công nghệ xác thực đảm bảo yếu tố tiện

lợi và an toàn là bí quyết công nghệ của mỗi ngân hàng. Những nỗi lo về các

rủi ro và nguy cơ tiềm ẩn trong việc xác thực khách hàng trong giao dịch là

bài toán khó. Để khắc phục vấn đề này, cần phải đƣa ra giải pháp xác thực

toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch (trực tiếp, điện tử).

Có đƣợc niềm tin và tiện lợi của khách hàng thì ngân hàng mới có chỗ đứng

trên thị trƣờng, cạnh tranh đƣợc các ngân hàng khác và mang lại giá trị cho

bản thân doanh nghiệp.

Trên thế giới hiện nay có rất nhiều các phƣơng thức để xác thực giao

dịch cho khách hàng nhƣ: chứng minh nhân dân, chữ ký tay, chữ ký số, võng

mạc mắt, vân tay, token key, số điện thoại di động, password,… nhƣng lựa

chọn công nghệ nào để áp dụng cho từng loại giao dịch tại ngân hàng là một

bài toán khó và nhiệm vụ của bài luận văn này phải nghiên cứu các công nghệ

xác thực và đƣa ra đề xuất cho ngân hàng PVcomBank trong giai đoạn 2017-

2020. Trong luận văn này tác giả chỉ tập trung vào phân tích và lựa chọn công

nghệ xác thực cho hình thức giao dịch gián tiếp (hình thức giao dịch điện tử)

Ngân hàng Thƣơng mại cổ phần Đại chúng Việt Nam (PVcomBank)

tiền thân là hợp nhất của Tổng Công ty Tài chính Dầu Khí Việt Nam (Thành

viên tập đoàn Dầu khí Việt Nam) và Ngân hàng Thƣơng mại cổ phần Phƣơng

Tây (Westernbank). PVcomBank có tổng tài sản đạt gần 100.000 tỷ đồng, vốn

điều lệ 9.000 tỷ đồng, trong đó cổ đông lớn là Tập đoàn Dầu khí Việt Nam

(chiếm 52%) và cổ đông chiến lƣợc Morgan Stanley (6,7%). Với mạng

lƣới 140 điểm giao dịch tại các tỉnh thành trọng điểm trên toàn quốc; nguồn

nhân lực chất lƣợng cao và bề dày kinh nghiệm trong cung cấp các dịch vụ

cho các doanh nghiệp trong ngành Dầu khí, năng lƣợng, hạ tầng; PVcomBank

cung cấp các sản phẩm dịch vụ đa dạng đáp ứng đầy đủ các nhu cầu của

khách hàng tổ chức và cá nhân

PVcomBank đã lựa chọn Công ty tƣ vấn Boston Consulting Group

(BCG) để cùng hoạch định chiến lƣợc Mục tiêu cho PVcomBank. Một trong

những chiến lƣợc đến năm 2020 là:

Trở thành ngân hàng xếp thứ 07 tại Việt Nam đến năm 2020.

Quy mô tài sản : 180 ngàn tỉ

Quy mô tiền gửi : 80 ngàn tỉ

Tập trung khách hàng doanh nghiệp lớn tại Tập đoàn Dầu khí

Chính sách phát triển các sản phẩm khác biệt, nâng cao tính cạnh

tranh bằng chất lƣợng đội ngũ nhân sự dựa trên nền tảng công nghệ tiên

tiến và bảo mật.

Duy trì và phát triển mạng lƣới bản lẻ, phát triển các loại hình dịch vụ

giao dịch điện tử hiện đại nhất, tạo hình ảnh ấn tƣợng cho ngân hàng bằng

các loại hình giao dịch hiện đại và an toàn

Nhƣ vậy việc nâng cao năng lực công nghệ là mà học viên lựa chọn là

một trong những đề tài đang nóng hổi trong việc cạnh tranh công nghệ tại các

ngân hàng hiện nay. Đề tài “Lựa chọn công nghệ xác thực trong giao dịch tại

ngân hàng” là đề tài cấp thiết phù hợp với chiến lƣợc của Ngân hàng giai

đoạn 2017-2020 và phù hợp với chuyên ngành đào tạo

Câu hỏi nghiên cứu của luận văn:

Câu hỏi 1: Các hình thức xác thực trong giao dịch đang đƣợc áp dụng tại các

ngân hàng ở Việt Nam nhƣ thế nào?

Câu hỏi 2: Các khách hàng, các cán bộ bảo mật, các chuyên gia đánh giá nhƣ

thế nào về các hình thức xác thực trong giao dịch điện tử?

Câu hỏi 3: Sau khi dựa vào thực tế, nghiên cứu, đánh giá tác giả đề xuất các

hình thức xác thực nào cho giao dịch điện tử tại Ngân hàng PvcomBank?

2. Mục đích và nhiệm vụ nghiên cứu:

a. Mục đích nghiên cứu:

Nâng cao khả năng cạnh tranh của PVcomBank trong giao dịch ngân

hàng bằng cách tìm ra phƣơng thức xác thực phù hợp với từng loại giao dịch,

mang lại tiện ích cho khách hàng, hỗ trợ công tác quản trị tốt (đối với ngân

hàng), giảm thiểu rủi ro trong giao dịch (cả ngân hàng và khách hàng), tận

dụng công nghệ này để phát triển thêm các tiện ích gia tăng. Từ đó để xây

dựng giải pháp toàn diện về công nghệ ngân hàng cho PVcomBank

Hoàn thiện một số nội dung về chiến lƣợc kinh doanh và công nghệ của

PVcomBank giai đoạn 2017- 2020

b. Nhiệm vụ nghiên cứu :

Nhiệm vụ thứ nhất :

Nghiên cứ các công cụ lý thuyết và các mô hình xác thực hiện tại đang

đƣợc nghiên cứu và áp dụng trên thế giới : Password, chữ ký số, chứng chỉ số,

CHAP, Kerberos, Token, Vân tay, Quét võng mạc mắt, nhận dạng khuôn mặt,

… Nghiên cứu các mô hình giao dịch và thanh toán, đặc trƣng của các loại

hình giao dịch điện tử, vấn đề an ninh trong việc giao dịch ngân hàng

Nhiệm vụ thứ hai :

Nghiên cứu đƣợc thực trạng sử dụng và đánh giá về vấn đề xác thực

trong giao dịch ngân hàng nhƣ thế nào

Nhiệm vụ thứ ba :

Phân tích ƣu nhƣợc điểm của các loại hình xác thực và đề xuất loại

hình công nghệ xác thực ứng dụng trong một số giao dịch điện tử tại

PVcomBank giai đoạn 2017-2020

3. Đối tƣợng và phạm vi nghiên cứu:

a. Đối tƣợng nghiên cứu:

Công nghệ xác thực trong giao dịch ngân hàng điện tử

b. Phạm vi nghiên cứu:

Các hình thức giao dịch và xác thực đang đƣợc áp dụng trong lãnh thổ

Việt Nam, thời gian trong vòng 3 năm trở lại đây

4. Những đóng góp của luận văn nghiên cứu:

Luận văn đánh giá đƣợc thực trạng các loại hình xác thực trong giao

dịch điện tử đang đƣợc sử dụng tại Việt Nam.

Tìm hiểu đƣợc nguyên tắc hoạt động của xác thực trong từng loại hình

giao dịch điện tử tƣơng ứng.

Đề xuất đƣợc loại hình xác thực phù hợp với một số giao dịch điện tử

tại ngân hàng PVcomBank giai đoạn 2017-2020.

5. Kết cấu của luận văn

Nội dung của luận văn gồm có phần mở đầu, bốn chƣơng nội dung và

phần kết luận:

Chƣơng 1: Tổng quan tình hình nghiên cứu, cơ sở lý luận về giao dịch,

dịch vụ xác thực, an ninh thông tin trong giao dịch điện tử tại ngân hàng

Chƣơng 2: Phƣơng pháp nghiên cứu

Chƣơng 3: Thực trạng vấn đề xác thực trong giao dịch tại PVcomBank

Chƣơng 4: Đề xuất loại hình xác thực cho một số giao dịch điện tử tại

ngân hàng PVcomBank giai đoạn 2017-2020

CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ

LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN

TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG

1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng

Thời gian gần đây có rất nhiều nghiên cứu khác nhau về vấn đề xác

thực trong giao dịch điện tử thuộc các khu vực, đơn vị ở tất cả các loại hình

giao dịch khác nhau. Có rất nhiều vụ lừa đảo, mất tiền của khách hàng trong

ngân hàng đều liên quan đến vấn đề xác thực trong giao dịch. Có rất nhiều bài

viết, nghiên cứu về vấn đề này và đƣợc quan tâm chỉ đạo đặc biệt từ cơ quan

chính phủ, ngân hàng nhà nƣớc về an toàn thông tin trong giao dịch. Điều này

chứng tỏ vấn để xác thực trong giao dịch ngày càng đƣợc quan tâm, trở thành

đề tài nóng hổi không chỉ trên các diễn đàn công nghệ thông tin, ngân hàng và

các tạp chí có tiếng mà còn đƣợc các tác giả đƣa vào công trình nghiên cứu

khoa học cấp bộ, cấp quốc gia hay trong cả bài luận án tiến sĩ.

Cụ thể, bài viết về xác thực OTP (One time Password) của tác giả Nguyễn

Minh Đức-Viện Công nghệ Thông tin và Truyền thông (CDIT) đƣợc đăng trên

trang 19- Tạp chí an toàn thông tin số 25 ngày 14 tháng 05 năm 2014. Giải pháp

hiện tại ở Việt nam đang đƣợc ứng dụng khá mạnh ở lĩnh vực ngân hàng trong

các khâu thanh toán, rút tiền. Ở một số lĩnh vực khác cũng áp dụng giải pháp

OTP vào phục vụ chủ yếu cho các khâu liên quan đến giao dịch, xác thực. Giải

pháp OTP của CDIT đƣợc phát triển dựa trên web-base, có khả năng tƣơng thích

với nhiều nền tảng phát triển phần mềm nổi tiếng hiện nay. Với cơ chế bảo mật

có độ tin cậy cao đi kèm với giá thành rẻ, trong tƣơng lai giải pháp OTP sẽ thay

thế dần công nghệ RSA, một công nghệ bảo mật nổi tiếng nhƣng khá tốn kém.

Bài báo này sẽ giới thiệu về nền tảng công nghệ, giải pháp kỹ thuật và hƣớng

triển khai cũng nhƣ ứng dụng thực tế.

Một công trình nghiên cứu về xác thực Onetime Password của Trung

tâm Nghiên cứu & Phát triển thuộc công ty Cổ phần Tập đoàn MK (được

công bố và trao Danh hiệu Sao Khuê 2016 đã đươc tổ chức từ 9h00 ngày

23/4/2016 : tại Hội trường Cung trí thức thành phố, 80 Trần Thái Tông, Cầu

Giấy, Hà Nội. Chương trình đã được truyền hình trực tiếp trên kênh VTC1 từ

9:30 ngày 23/4/2016). Công trình đã nghiên cứu, xây dựng và phát triển Sản

phẩm Xác thực bảo mật bằng Mật khẩu một lần KeyPass™ OTP - Sử dụng

thiết bị xác thực mềm. KeyPass™ OTP - Sử dụng thiết bị xác thực mềm nhằm

đáp ứng nhu cầu bảo mật và tiếp cận các nguồn thông tin với các mức độ bảo

mật khác nhau; hỗ trợ các tổ chức, doanh nghiệp giảm thiểu những rủi ro về

nguy cơ mất dữ liệu do việc truy cập trái phép từ bên ngoài. Đây là một

phƣơng thức xác thức mới nằm trong Giải pháp xác thực bảo mật toàn diện

KeyPass™ OTP của MK Group, cung cấp đấy đủ tất cả các phƣơng thức hiện

có trên thị trƣờng trong nƣớc và quốc tế để tạo ra Mật khẩu sử dụng 1 lần cho

các giao dịch trực tuyến nhƣ Hard Token, Thẻ Thông minh (Smartcard),

Mobile SMS, Mobile SIM, Thẻ EMV, thẻ Cào (Scratch-Off-Card).

Một bài viết khác đƣợc công bố trên báo an toàn thông tin của Thạc sĩ

Đặng Mạnh Phổ (Giám đốc Ban Công nghệ thông tin- Ngân hàng BIDV) về

vấn đề xác thực đa yếu tố. Đây là phƣơng thức xác thực dựa trên nhiều yếu tố

xác thực kết hợp, là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố

xác thực. Trong phƣơng thức này có thể có sự kết hợp của bất cứ yếu tố nào,

ví dụ nhƣ đặc tính bẩm sinh, những cái bạn có để chứng minh hoặc những gì

bạn biết để chứng minh.

Một nghiên cứu khác về vấn đề bảo mật và an toàn thông tin trong

thƣơng mại điện tử của tác giả Vũ Anh Tuấn (Luận văn thạc sĩ khoa học-

Công nghệ thông tin, mã số: 60.48.01). Tác giả đề cập đến vấn đề thanh toán

trong thƣơng mại điện tử, các công cụ sử dụng trong vấn đề an toàn thƣơng

mại điện tử, các kỹ thuật ngăn ngừa rủi ro trong thƣơng mại điện tử

Một bài viết khác đăng trên báo PCWorld, số 284, trang 27 về chữ ký

số, cụ thể ngày 31/12/2008, bộ TTTT đã ban hành 6 loại tiêu chuẩn trong

giao dịch điện tử được quy định buộc phải áp dụng “chữ ký số” (CKS) và

chứng thực số. Như vậy về mặt pháp lý, CKS đã được luật hoá. Trên môi

trƣờng mạng, bất cứ dạng thông tin nào đƣợc sử dụng để nhận biết một con

ngƣời đều đƣợc coi là chữ ký điện tử (CKĐT). Ví dụ: 1 đoạn âm thanh hoặc

hình ảnh đƣợc chèn vào cuối e-mail, đó là CKĐT. CKS là một dạng CKĐT,

với độ an toàn cao và đƣợc sử dụng rộng rãi. CKS đƣợc phát triển trên lý

thuyết về mật mã và thuật toán mã hóa bất đối xứng. Thuật toán mã hóa dựa

vào cặp khoá bí mật (Privatekey) và công khai (Publickey), trong đó ngƣời

chủ chữ ký sẽ giữ khóa Privatekey cho cá nhân dùng để tạo chữ ký,

PublicKey của cá nhân hay tổ chức đó đƣợc công bố rộng rãi dùng để kiểm

tra chữ ký. Khi đƣợc sử dụng cho việc mã hóa: PrivateKey để giải mã;

PublicKey dùng cho mã hóa. CKS đƣợc phát triển và ứng dụng rộng rãi hiện

nay dựa trên thuật toán RSA (Tên viết tắt của ba tác giả: Rivest, Shamir và

Adleman), là cơ sở quan trọng để hình thành hạ tầng khóa công khai

(PublicKey Infrastructure) cho phép ngƣời sử dụng của một mạng công cộng

không bảo mật nhƣ Internet trao đổi dữ liệu và tiền một cách an toàn, thông

qua việc sử dụng một cặp mã khóa công khai và bí mật đƣợc cấp phát, sử

dụng qua một nhà cung cấp chứng thực CA (Certificate Authority) đƣợc tín

nhiệm. Việc thừa nhận CKS thuộc quyền sở hữu của một cá nhân nào đó, cần

phải đƣợc một tổ chức CA chứng thực. Và CA chứng nhận phải đƣợc thừa

nhận về tính pháp lý và kỹ thuật.

Một bài báo giới thiệu về chữ ký số trong giao dịch điện tử đƣợc Thạc sĩ

Chu Thị Dƣơng và Thạc sĩ Phan Thị Thu Thủy giới thiệu (Đƣợc nêu tại Điều 3,

mục 11, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ

chứng thực chữ ký số). Chữ ký số về bản chất là một thông điệp dữ liệu (file

text, tập hợp các ký tự hoặc một loại thông điệp dữ liệu nhất định do phần mềm

ký số sinh ra dựa trên các thuật toán nhất định). Công thức để sinh ra chữ ký số

phụ thuộc vào ba yếu tố đầu vào: (i) bản thân văn bản điện tử cần ký; (ii) khóa

bí mật (private key) và (iii) phần mềm để ký số. Khóa bí mật đơn giản có thể là

một mật khẩu (password) hoặc một thông điệp dữ liệu. Phần mềm ký số là

phần mềm có chức năng tạo ra các chữ ký số từ hai yếu tố là văn bản cần ký và

khóa bí mật và gắn chữ ký số đƣợc tạo ra vào thông điệp gốc.

Thực tế cho thấy các dạng điện tử hóa của chữ ký truyền thống nhƣ

scan chữ ký, phô tô chữ ký, đánh máy tên và địa chỉ vào trong thông điệp dữ

liệu… không đảm bảo đƣợc độ an toàn cho chữ ký và nội dung văn bản đƣợc

ký vì những lý do sau:

- Dễ giả mạo chữ ký;

- Dữ liệu tạo chữ ký không gắn duy nhất với ngƣời ký;

- Dữ liệu tạo chữ ký không thuộc sự kiểm soát của ngƣời ký;

- Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký;

- Khó phát hiện các thay đổi đối với bản thân chữ ký sau khi đã ký 1.

Chữ ký số có thể khắc phục đƣợc những nhƣợc điểm trên. Trong các quy

trình ký số hiện nay, quy trình phổ biến nhất là sử dụng công nghệ khóa công

khai (PKI). Theo quy trình này, chữ ký số là một dạng chữ ký điện tử đƣợc tạo

ra bằng sự rút gọn thông điệp dữ liệu đang cần ký và mã hóa bằng khóa bí mật

(của hệ thống mật mã không đối xứng), thông điệp dữ liệu đƣợc tạo ra chính là

chữ ký số. Chữ ký số và văn bản ban đầu cùng với khoá công khai của ngƣời

ký cho phép ngƣời nhận thông điệp có thể xác định đƣợc chính xác:

- Chữ ký số đƣợc tạo ra bằng đúng khoá bí mật tƣơng ứng với khoá

công khai trong cùng một cặp khóa;

- Nội dung thông điệp đƣợc ký có đảm bảo tính toàn vẹn từ sau khi

đƣợc ký (hay sau khi chữ ký số đƣợc tạo ra hay không) hay không. Chữ ký

trên giấy không thể áp dụng đối với các văn bản điện tử (ví dụ trên file word,

pdf, excel…) vì trong giao dịch điện tử các bên không gặp mặt nhau trực tiếp

để thực hiện ký kết, hơn nữa do đặc thù của các văn bản điện tử việc xác định

và tìm ra các thay đổi trong nội dung rất khó thực hiện. Chữ ký số giúp giải

quyết vấn đề trên và tăng cƣờng tính bảo mật và toàn vẹn nội dung văn bản

tốt hơn nhiều lần so với chữ ký trên giấy.

Bên cạnh đó, chữ ký số rất khó giả mạo nhƣ trong trƣờng hợp của chữ

ký trên giấy và con dấu. Bản chất của chữ ký trên giấy là phải giống nhau qua

các lần ký, chính vì thế việc cắt dán, sao chép hay ký giả sẽ đƣợc thực hiện và

rất khó bị phát hiện do các chữ ký trên giấy của một ngƣời phải giống nhau.

Tuy nhiên, với công nghệ ký số mỗi chữ ký gắn với văn bản đƣợc ký sẽ hoàn

toàn khác nhau nếu nội dung văn bản đó chỉ khác nhau dù một chi tiết nhỏ.

Hơn nữa, việc xác thực một ngƣời có phải là chủ của chữ ký số lại có thể

đƣợc thực hiện dễ dàng và chính xác. Với công nghệ khóa công khai, chữ ký

số có một số ƣu điểm hơn so với chữ ký trên giấy.

Bên cạnh đó, xác thực thời gian ký điện tử cũng dễ dàng hơn và khó giả

mạo hơn đối với chữ ký bằng giấy với sự hỗ trợ của các máy chủ lƣu trữ về

thời gian ký (trusted time-stamping server).

Chữ ký số giữ vai trò đảm bảo an toàn cho các giao dịch điện tử. Đây là

yếu tố quan trọng nhất và là điều kiện tiên quyết khi chuyển các giao dịch có

giá trị lớn trên giấy tờ sang giao dịch trên mạng, đem lại lợi thế cạnh tranh

cho các doanh nghiệp trong bối cảnh hội nhập kinh tế quốc tế. Thay vì việc

truy cập một website, điền các mẫu (form) đặt hàng, giao dịch có sẵn, sau đó

in ra giấy và ký theo phƣơng thức truyền thống rồi gửi đơn hàng qua bƣu điện

hoặc fax, việc sử dụng chữ ký số cho phép những bƣớc cuối cùng trong quy

TÀI LIỆU THAM KHẢO

Tài liệu Tiếng Việt 1. Giáo trình bảo mật và an toàn thông tin, TS Nguyễn Khanh Văn- ĐHBK

Hà Nội -2013

2. Phạm Thế Bảo và cộng sự, 2007. Tổng quan các phương pháp xác định

khuôn mặt người. Hà Nội: Nxb Thống kê.

3. Trần Thị Thanh Hải và Eric Marchand, 2009. Một số phương pháp đối sánh ảnh thời gian thực. Trung tâm MICA, Trƣờng đại học Bách Khoa Hà Nội.

4. Khung kiến trúc của chính phủ điện tử (Ban hành kèm theo Văn bản số 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền thông) 5. Giải pháp xác thực trong ứng dụng công nghệ thông tin (Bộ thông tin và

truyền thông-2011).

Tài liệu Tiếng Anh 6. Anil K.Jain, 1996. Artifical Neural network : A tutorial. Proceedings of

the IEEE.

7. Byung-Joo Oh, 2003. Face Recognition by Using Neural Network

Classifiers based on PCA and LDA. Daejeon, Korea.

8. Howard Demuth, 2002. Neural network Toolbox : For use with MATLAB. 9. Ion Marqués, 2010. Face recognition Algorithms. Universidad del País Vasco. 10. Lindasay I Smith, 2002. A tutorial on Principal Components Analysis.

John Wiley & Sons Inc.

11. Tom M.Mitchell, 1997. Machine Learning. McGraw-Hill. 12. Volkan Akalin, 2003. Face recognition using eigenfaces and neural

network. The Middle East Technical University.

Website 13. http://en.wikipedia.org/wiki/Kerberos_(pr otocol) 14. http://en.wikipedia.org/wiki/Onetime_password 15. http://mathworld.wolfram.com/NormalizedVector.html 16. http://www.jasig.org/cas , 17. http://www.mcafee.com/us/products/onetime-password.aspx 18. Challenge Handshake Authentincation Protocol - RFC

(https://tools.ietf.org/html/rfc1994)

19. Kerberos: An Authentication Sewice for Computer Network. 20. Token Authentication (https://github.com/NancyFx/Nancy/wiki/Token-

Authentication) 21. Biometrics and User Authentication (https://www.sans.org/reading-

room/whitepapers/authentication/biometrics-user-authentication-122)