Triển khai và ứng dụng PKI trong hệ thống ngân hàng
Các ngân hàng có lợi thế để đảm nhận cả hai vai trò đó, vì bên cạnh hệ thống chi nhánh rộng khắp có thể đảm nhận các chức năng xác thực và đăng ký người dùng của RA, các ngân hàng còn có sẵn hạ tầng kỹ thuật để thực hiện các chức năng của CA một cách hiệu quả. Tuy nhiên, việc triển khai PKI trên thực tế gặp không ít khó khăn không chỉ về kỹ thuật mà cả về khía cạnh pháp lý, kinh doanh. Bài viết này đề cập đến những vướng mắc đó cũng như những vấn đề khác liên quan đến việc triển khai và ứng dụng PKI trong ngành ngân hàng.
Vấn đề tương thích - then chốt của việc ứng dụng PKI
Những lợi ích căn bản của PKI đối với thương mại điện tử chỉ có thể có được nhờ khả năng tương thích. Nếu nhà cung cấp làm việc với một ngân hàng không thể nhận diện và chấp nhận chứng chỉ số của người sử dụng do một ngân hàng khác cấp thì tính hữu dụng của PKI sẽ biến mất. Mặc dù bộ tiêu chuẩn quốc tế cho PKI là X.509 đang được xây dựng nhưng vẫn có rất nhiều cách triển khai PKI khác nhau và các chi tiết kỹ thuật phức tạp cùng với những yếu tố pháp kèm theo hệ thống PKI sẽ tác động rất lớn đến mô hình kinh doanh thực tế.
Trước tiên là số cặp khoá được cấp cho mỗi thực thể (cá nhân/ tổ chức). Dịch vụ Trustwise của Bankers Trust chỉ dùng một cặp khoá duy nhất cho mọi hoạt động, trong khi dịch vụ Endorse của Barclays dùng 2 cặp khoá: một cặp để mã hoá và một cặp để xác thực và ký. Chuẩn PKI quốc gia của Thụy Điển (SEIS) còn phức tạp hơn khi quy định dùng 3 cặp khoá: một cho xác thực, một cho mã hoá và một dùng để ký. Lý do dẫn đến cấu trúc này là việc xác thực người dùng thường phân tách với hành vi ký điện tử, còn các khoá mã hoá phải được bảo quản bởi bên thứ 3 hoặc có thể khôi phục mà không làm ảnh hưởng đến hai hoạt động trước.
Thực tế thì sao? Merita - Noordbanken đã phát hành khoảng 35 ngàn thẻ thông minh cho khách hàng với hệ thống PKI “tuân thủ chuẩn SEIS” nhưng lại không sinh khoá mã hoá mà dùng khoá phiên SSL 128 bit do trình duyệt của người dùng sinh ra. Hơn nữa, khách hang
hầu hết đều chọn mã PIN bảo vệ giống nhau cho các cặp khoá. Trong một tương lai không xa, sinh trắc học sẽ thay thế các mã PIN và khi đó làm thế nào để phân biệt các cặp khoá? Vân tay của 3 ngón tay sẽ tương ứng với 3 thao tác: xác thực, ký và mã hoá? Người dùng chắc sẽ không nhớ được lúc nào thì dùng ngón tay nào để tiến hành giao dịch. Chưa hết, việc lựa chọn số cặp khoá không chỉ là vấn đề kỹ thuật. Hãy tưởng tượng một ngân hàng cấp hai cặp khoá trong khi ngân hàng đối thủ chỉ cấp cho khách hàng một cặp khoá. Khách hàng sẽ chuyển sang ngân hàng có một cặp khoá vì giao dịch đơn giản hơn (và không lo bị lộ bí mật cho cơ quan thuế khi khoá mã hoá bị giao cho bên thứ 3 bảo quản). Nhưng ngân hàng không phải là ngành duy nhất muốn triển khai PKI. Nếu ngân hàng triển khai hệ thống PKI 3 cặp khoá, trong khi các công ty viễn thông dùng 2 cặp khoá, còn các siêu thị dùng 1 cặp khoá thì người dùng rất có thể sẽ chuyển sang dùng hệ thống PKI của các siêu thị (cho các giao dịch thương mại điện tử).
Số cặp khóa đã là một vấn đề phức tạp nhưng vẫn còn nhiều vấn đề nan giải hơn cần giải quyết. Do không có một CA trung tâm nào cấp chứng thực số cho tất cả mọi cá nhân và tổ chức (kể cả trong phạm vi một quốc gia) nên vấn đề xác thực chéo trở nên cực kỳ cấp thiết. Vì mỗi RA/CA có quy định, quy trình riêng trong việc kiểm tra, đăng ký và cấp chứng thực số cho người dùng, nên việc cấp chứng thực chéo (cross - certification) giữa các CA không hề đơn giản. Hơn nữa, khi mỗi ngân hàng có một hệ thống PKI của riêng mình, để khách hàng có thể giao dịch liên ngân hàng thì ngân hàng đó sẽ phải làm thủ tục cấp chứng thực chéo với tất cả các ngân hàng còn lại. Để đơn giản hóa, người ta nghĩ ra một biện pháp gọi là “chứng chỉ cầu nối” (pidge certification), theo đó mỗi CA sẽ thực hiện việc cấp chứng thực chéo với một CA trung tâm và kết quả là tất cả các CA sẽ hiểu chứng thực số của nhau. Tuy nhiên, việc xác định trách nhiệm tài chính trong hệ thống phức tạp này sẽ vô cùng khó khăn.
Năm 1999, tám ngân hàng lớn gồm ABN AMRO, Bank of America, Bankers Trust, Barclays, Chase Manhattan, Citigroup, Deutsche Bank và Hypo Vereinsbank đã cùng nhau lập nên công ty Identrus để cung cấp hạ tầng PKI chung, không thiên về một nhà cung cấp nào (vendor - neutral). Các ngân hàng đó dùng chung các quy tắc cho RA và CA dưới một khóa chủ dùng chung. Chứng chỉ số do một ngân hàng trong nhóm phát hành sẽ được tất cả các ngân hàng còn lại chấp nhận. Nhờ có nền tảng chung, các khách hàng doanh nghiệp sẽ dễ dàng tham gia giao dịch thương mại điện tử trên phạm vi toàn cầu mà không cần phải đầu tư nhiều về mặt kỹ thuật. Khi các ứng dụng và số lượng khách hàng tăng lên, số ngân hàng muốn sử dụng PKI cũng sẽ tăng lên.
PKI không phải “đũa thần” chống lại gian lận
Các giải pháp PKI dựa trên phần mềm không thể giúp bảo vệ người dùng chống lại sự tấn công của tin tặc. Tuy nhiên, ngay cả khi chúng ta lựa chọn lưu khóa bí mật trên thẻ thông minh thì cũng không thể bảo đảm an toàn 100%. Tin tặc có thể chiếm quyền kiểm soát trình duyệt để hiển thị thông tin sai trên màn hình trong khi bí mật thay thế số hiệu của tài khoản nhận tiền trong giao dịch chuyển khoản. Muốn chống lại kiểu gian lận này, chi tiết của giao dịch cần ký phải được hiển thị trên màn hình của đầu đọc thẻ. Để làm được điều đó cần đến nguồn kinh phí khổng lồ để trang bị hạ tầng. Nhưng dù có áp dụng điều đó cũng chưa thể chặn hết các kênh mà tin tặc có thể tấn công. Trên Facebook của mình, chuyên gia bảo mật nổi tiếng Puce Schneier cho biết, cảnh sát chống tội phạm liên bang Đức mới cảnh báo người dùng về một loại mã độc mới trên Windows. Loại mã độc này đợi khi người dùng đăng nhập vào tài khoản ngân hàng rồi đưa ra thông báo có một khoản tiền bị chuyển nhầm vào tài khoản của họ nên tài khoản sẽ bị khoá cho đến khi họ chuyển trả số tiền đó. Khi người dùng vấn tin số dư trên tài khoản của mình, mã độc sẽ can thiệp để hiển thị thông tin sai trên trình duyệt khiến họ tin rằng quả thật đã có một khoản tiền mới chuyển nhầm vào tài khoản của mình. Để mở khoá tài khoản của mình, nạn nhân sẽ thực hiện thao tác chuyển khoản “hoàn trả” thông qua màn hình do mã độc hiển thị sẵn số tiền và tài khoản đích (tài khoản do tin tặc kiểm soát). Với những tấn công theo kiểu man - in - the - powser đời mới này, mọi phương pháp xác thực khách hàng/ xác thực giao dịch sẽ bị vô hiệu hoá vì giao dịch chuyển tiền là do khách hàng tự nguyện thực hiện.
Có lẽ vì những khó khăn đó mà tại hội thảo “Đảm bảo An toàn thông tin cho Internet Banking” do Hiệp hội an toàn thông tin Việt Nam (VNISA) và Cục Công nghệ tin học - Ngân hàng Nhà nước Việt Nam (ITDB) tổ chức vào ngày 07/4/2009, ông Tony Chew, trưởng bộ phận Công nghệ Quản lý rủi ro, ngân hàng Trung ương Singapore (MAS) đã nói rằng, MAS định hướng sử dụng xác thực hai thành tố (two - factor authentication) do ứng dụng PKI quá phức tạp và tốn kém.
Ứng dụng PKI trong ngân hàng
- Giải pháp ngân hàng trực tuyến End - to - End tại Bank of Nova Scotia: cuối những năm 90 của thế kỷ trước, ScotiaBank - một trong năm ngân hàng lớn của Canada đã hợp tác với Entrust để triển khai hệ thống PKI, cung cấp dịch vụ Scotia Online. Với hệ thống giao dịch trực tuyến tiên tiến, ScotiaBank cho phép khách hàng xem số dư tài khoản cập nhật, thanh toán hóa đơn, chuyển khoản và xem các giao dịch thẻ Visa mới nhất.
- Truyền tin bảo mật cho khách hàng tại J.P.Morgan: trước khi sử dụng PKI, J.P.Morgan dùng các thiết bị mật mã cứng hoá và các đường kết nối riêng để truyền thông tin giao dịch cho khách. Tuy nhiên, khi các kết nối điểm tới điểm đó bị lỗi, giao dịch sẽ bị ngưng. Nhờ việc áp dụng PKI, J.P.Morgan đã cắt giảm được các thiết bị mã hóa cứng chuyên dụng đó và tiết kiệm được khoảng 1 triệu đô la. Hơn thế, PKI còn giúp J.P.Morgan thay thế việc giao nhận tài liệu bằng tay cho khách hàng bằng cách gửi thư điện tử và giảm thời gian đàm phán hợp đồng từ 3 tuần xuống còn 3 ngày.
- “Easy by RHB” là mô hình mới, ứng dụng các công nghệ hiện đại để đưa dịch vụ tới cho khách hàng cá nhân một cách nhanh chóng, tiện lợi, giúp RHB Bank Malaysia nhận giải thưởng Excellence in Best Business Model for Asia (mô hình kinh doanh xuất sắc) duy nhất do tổ chức The Asian Banker xét tặng tại “International Excellence in Retail Financial Services Awards Programme” vào đầu năm 2011. Tại các điểm giao dịch Easy do RHB phục vụ cả trong ngày nghỉ và ngoài giờ giao dịch thông thường, những khách hàng đại chúng (thường bị các ngân hàng khác bỏ qua) có thể thực hiện các giao dịch hoàn toàn không
giấy tờ một cách tức thời. Chỉ cần đem theo MyKad (thẻ chứng minh dưới dạng smartcard do chính phủ Malaysia cấp, có chứa dấu vân tay và có thể lưu 2 chứng chỉ điện tử), khách hàng có thể mở tài khoản và thực hiện các giao dịch: vay tiêu dùng, mở thẻ debit quốc tế, gửi tiết kiệm tích lũy, mua chứng chỉ quỹ, mua thẻ bảo hiểm. Ngoài việc không cần điền vào bất cứ một biểu mẫu nào mà chỉ cần xác thực bằng dấu vân tay và ký điện tử để chấp nhận giao dịch, khách hàng được RHB đảm bảo sẽ hoàn thành giao dịch trong vòng 10 phút (kể cả thời gian xét duyệt khoản vay). Có thể thấy rõ hạ tầng tiên tiến do chính phủ Malaysia phát triển đã giúp RHB triển khai dịch vụ một cách nhanh chóng và tiết kiệm.
Ứng dụng PKI tại các ngân hàng Việt Nam và những vấn đề cần giải quyết
Do không có sẵn hệ thống chứng minh thư bằng thẻ thông minh để lưu khóa bí mật và chứng thực số, các ngân hàng Việt Nam đều phải tự đầu tư thiết bị khi triển khai PKI. Và do giá mua thiết bị tương đối cao so với thu nhập của khách hàng cá nhân, các thiết bị đó thường được dành để phục vụ khách hàng doanh nghiệp. Trong điều kiện không có cả định hướng lẫn tiêu chuẩn cụ thể cho việc triển khai PKI, một vài ngân hàng đã triển khai PKI chỉ có thể hướng đến mục đích cao nhất là phục vụ nhu cầu giao dịch của khách hàng trong phạm vi hệ thống của mình. Mặc dù mới chỉ có rất ít ngân hàng triển khai PKI nhưng xác suất của việc thành lập một Root CA kiểu Identrust tại Việt Nam có lẽ hầu như khó khả thi vì rất nhiều lý do khác nhau. Chính vì thế, khả năng ứng dụng PKI cho các giao dịch thương mại điện tử một cách rộng rãi sẽ vẫn còn là một dấu hỏi lớn cho đến khi chúng ta tìm được phương án chứng thực chéo giữa các CA.