Chuyển đổi tiêu chuẩn SHA1-SHA2: Tăng tính bảo mật cho chữ ký số

Theo quy định tại Thông tư 06 của Bộ TT&TT, thời gian tới, các nhà cung cấp dịch vụ chứng thực chữ ký số sẽ phải chuyển sang sử dụng hàm băm SHA2, thay cho hàm băm SHA1 đang sử dụng. (Ảnh minh họa. Nguồn: Internet)

Tại hội nghị giao ban công tác quản lý nhà nước quý I/2016 của Bộ TT&TT diễn ra ngày 27/4, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng đã chỉ đạo Trung tâm Chứng thực điện tử quốc gia (NEAC) cần tích cực tổ chức cho các CA chuyển đổi tiêu chuẩn “hàm băm bảo mật” từ SHA1 sang SHA2, theo quy định của Thông tư 06. “Đây là việc cấp bách với Trung tâm. Trung tâm cần bàn bạc, trao đổi một cách thấu đáo với các CA (tổ chức cung cấp dịch vụ chứng thực chữ ký số - PV) công cộng đã được cấp phép để làm thế nào chuyển đổi nhanh nhất và hiệu quả nhất”, Thứ trưởng nhấn mạnh.

Tại buổi làm việc với các CA vào cuối tháng 4/2016 vừa qua, ông Lã Hoàng Trung, Giám đốc NEAC cho hay, năm 2008, Bộ TT&TT đã ban hành Quyết định 59 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số. Tuy nhiên, sau một thời gian triển khai, để đảm bảo an toàn hơn cho chữ ký số cũng như để phù hợp xu hướng phát triển công nghệ  và các thông lệ quốc tế, tháng 3/2015, Bộ TT&TT đã ban hành Thông tư 06 quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số.

Thông tư này áp dụng với tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia; tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được Bộ TT&TT cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số; và tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được Bộ TT&TT cấp giấy công nhận.

Cũng theo ông Trung, Thông tư 06 có hiệu lực từ ngày 15/9/2015, tuy nhiên quy định về “hàm băm bảo mật” - một trong những quy định quan trọng của Thông tư này, có hiệu lực từ 1/4/2016. Theo đó, các CA sẽ phải chuyển đổi “hàm băm bảo mật” từ tiêu chuẩn SHA1 đang sử dụng sang tiêu chuẩn SHA2.

Tại buổi làm việc, cùng với việc đưa ra quy trình triển khai chuyển đổi SHA1-SHA2 gồm 8 bước chính, đại diện NEAC cũng cho biết, Trung tâm dự kiến chia các CA công cộng thành 2 nhóm gồm nhóm các CA công cộng đã có giấy phép mới (BKAV-CA, CA2-CA, VIETTEL-CA, FPT-CA, SMARTSIGN-CA); và nhóm CA công cộng chưa có giấy phép mới (VNPT-CA, SAFE-CA, CK-CA, NEWTEL-CA). Theo đó, đối với nhóm các CA công cộng đã có giấy phép mới, thời gian NEAC dự kiến chuyển đổi là từ khoảng tuần thứ 2 của tháng 5 và trong tháng 6/2016. Việc chuyển đổi SHA1-SHA2 với các CA công cộng chưa có giấy phép mới sẽ được thực hiện sau khi các CA này được cấp phép.

Đại diện lãnh đạo các CA mới được cấp phép lại trong năm 2015 đều cho rằng việc chuyển đổi “hàm băm bảo mật” từ tiêu chuẩn SHA1 sang SHA2 ở thời điểm hiện tại, ngay sau khi doanh nghiệp vừa phải đầu tư hệ thống mới, sẽ rất khó cho doanh nghiệp. Ông Phùng Huy Tâm, Phó Giám đốc CA2-CA, đơn vị được Bộ TT&TT cấp giấy phép cung cấp dịch vụ chứng thực chữ ký số mới vào tháng 8/2015 cho biết: trong năm ngoái, cùng với việc phải đầu tư một hệ thống mới, CA2-CA đã phải dừng toàn bộ hoạt động phát triển kinh doanh để dồn lực vào việc cấp bù và hỗ trợ khách hàng.

“Chúng tôi đang hình dung, sau khi chuyển đổi lên SHA2, như với CA2-CA, sẽ phải có 3 hệ thống: một hệ thống CA cũ, một hệ thống CA vừa được cấp lại và một hệ thống theo tiêu chuẩn SHA mới. Bởi vì, hệ thống cũ vẫn phải duy trì để check các đường link xác thực; hệ thống mới vừa được cấp năm 2015 cũng phải duy trì để thu hồi và một hệ thống theo tiêu chuẩn SHA2 để cấp mới. Như vậy, CA2-CA sẽ gặp rất nhiều khó khăn, nhất là khi doanh nghiệp đang kinh doanh khó khăn, thuê  bao tăng trưởng theo năm và lợi nhuận năm 2015 tăng trưởng âm”, ông Tâm nói.

Còn theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của BKAV, đại diện BKAV-CA, trong năm 2015, BKAV đã xin cấp lại giấy phép cung cấp dịch vụ chứng thực chữ ký số. Sau khi được cấp giấy phép mới, BKAV-CA phải mất rất nhiều nhân lực, chi phí để hỗ trợ khách hàng đổi chữ ký số trên các hệ thống họ đang sử dụng như: kê khai thuế qua mạng, hải quan điện tử…

Ông Tuấn Anh chia sẻ: “Khách hàng mua dịch vụ trong 3 năm, mới hết năm đầu tiên, do doanh nghiệp phải gia hạn, xin cấp giấy phép mới nên họ cũng phải đổi sang dùng chữ ký số mới. Sau khi đổi, khách hàng lại không khai thuế, nộp thuế cũng như không khai báo hải quan được. Khi đó, CA phải hỗ trợ khách hàng cập nhật chứng thư số mới lên các hệ thống họ sử dụng. Thậm chí, ở đợt cao điểm, chỉ trong 1 buổi, BKAV đã phải tiếp nhận khoảng 5.000 cuộc điện thoại yêu cầu hỗ trợ của khách hàng, tốn rất nhiều chi phí về nhân lực, tài nguyên”.

Từ thực tế khó khăn kể trên, để đảm bảo việc cung cấp dịch vụ cho khách hàng cũng như giảm thiểu thiệt hại cho CA, đại diện BKAV-CA đề xuất phương án: đối với những khách hàng mới đăng ký sẽ cấp theo tiêu chuẩn SHA2 mới, còn với những khách hàng cũ thì tiếp tục duy trì theo chuẩn SHA1 cho đến khi hết hạn hợp đồng mới thực hiện chuyển đổi.

Về thời hạn chuyển đổi, ông Tuấn Anh đề nghị tới đây NEAC sẽ có buổi làm việc kỹ hơn với  đầu mối kỹ thuật của các CA để bàn bạc, thống nhất phương án kỹ thuật tổng thể cho việc chuyển đổi. Theo ông Tuấn Anh, làm như vậy sẽ tiết kiệm thời gian, công sức cho các CA cũng như Trung tâm trong việc hỗ trợ CA chuyển đổi.

Đồng thuận với đề xuất tiến hành chuyển đổi song song của BKAV-CA, ông Ngô Đình Vạn, Phó giám đốc kinh doanh Viettel CA đề nghị: “Liên quan đến việc cấp lại theo chuẩn mới SHA2, tôi cho rằng các nhà cung cấp nên chạy từ bây giờ và theo chuẩn mới luôn. Nếu cứ làm đi làm lại sẽ mất hết khách hàng. Đối với việc chuyển đổi, nên chạy song song hai chuẩn: chuẩn cũ SHA1 duy trì với các khách hàng cũ; chuẩn mới SHA2 áp dụng với các khách hàng cấp mới và những khách hàng cũ hết hạn hợp đồng”.

Ông Vạn cũng cho biết thêm, nếu phải thực hiện chuyển đổi toàn bộ từ giữa tháng 5/2016 theo kế hoạch dự kiến của NEAC sẽ khó cho các CA vì cần có thời gian để đầu tư về hạ tầng, thiết bị cũng như bố trí quy trình để đảm bảo hoạt động sẵn sàng. Ngoài ra, đại diện VIETTET-CA cũng đề nghị NEAC có định hướng, hướng dẫn chi tiết cho các nhà cung cấp về việc chuyển đổi sang tiêu chuẩn mới.

Có chung khó khăn như CA2-CA, BKAV-CA và VIETTEL-CA, ông Lê Việt Cường, Giám đốc Trung tâm FPT-CA, đơn vị được cấp mới giấy phép cung cấp dịch vụ chứng thực chữ ký số vào tháng 10/2015, cũng thống nhất rằng cần duy trì song song 2 hệ thống theo cả chuẩn cũ và mới. “Bởi lẽ thực hiện chuyển đổi toàn bộ ngay sẽ lặp lại kịch bản như năm ngoái, ảnh hưởng xấu tới khách hàng. Nếu được cho phép chuyển đổi song song, FPT cam kết sẽ áp dụng tiêu chuẩn mới với tất cả các khách hàng mới cũng như khách hàng hết hạn hợp đồng, chỉ duy trì tiêu chuẩn cũ với những khách hàng đang sử dụng dịch vụ, còn hạn hợp đồng”, ông Cường cho hay.