Luận văn Nghiên cứu và đề xuất lựa chọn công nghệ xác thực trong giao dịch tại ngân hàng TMCP đại chúng Việt Nam

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KINH TẾ --------------------- NGUYỄN QUANG HÙNG NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM LUẬN VĂN THẠC SĨ QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KINH TẾ --------------------- NGUYỄN QUANG HÙNG NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM Chuyên ngành: Quản trị công nghệ và Phát triển doanh nghiệp Mã số: Chuyên ngành thí điểm LUẬN VĂN THẠC SĨ QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS. LÊ QUÂN Hà Nội – 2016 LỜI CAM ĐOAN Tôi xin cam đoan tên để tài “Nghiên cứu và đề xuất lựa chọn công nghệ xác thực trong giao dịch tại ngân hàng TMCP Đại chúng Việt Nam” là mới chƣa từng đƣợc ai công bố trong bất kỳ công trình nào khác. Các số liệu, kết quả nêu trong luận văn là trung thực qua khảo sát thực tiễn Tác giả Nguyễn Quang Hùng LỜI CẢM ƠN Trƣớc hết, với lòng trân trọng sâu sắc, tôi xin gửi lời cám ơn chân thành nhất tới PGS.TS.Lê Quân. Thầy đã tận tình giúp đỡ, hƣớng dẫn, chỉ bảo giúp tôi hoàn thành luận văn này. Tôi cũng xin cám ơn các thầy, cô trong chƣơng trình Quản trị Công nghệ đã giúp đỡ, chỉ dạy trong suốt quá trình học tập tại trƣờng ĐH Kinh Tế - ĐH Quốc Gia Hà Nội. MỤC LỤC DANH MỤC CÁC KÝ HIỆU ........................ Error! Bookmark not defined. DANH MỤC HÌNH ẢNH .............................. Error! Bookmark not defined. DANH MỤC SƠ ĐỒ ...................................... Error! Bookmark not defined. PHẦN MỞ ĐẦU ............................................................................................... 1 CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG ..................................... 6 1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng ...... 6 1.2. Tổng quan về giao dịch trong ngân hàng .... Error! Bookmark not defined. 1.3. Các loại hình giao dịch .................................. Error! Bookmark not defined. 1.4. Vấn đề an ninh trong giao dịch ..................... Error! Bookmark not defined. 1.4.1. Khái quát về vấn đề an ninh trong giao dịchError! Bookmark not defined. 14.2. Vấn đề xác thực trong an toàn thông tinError! Bookmark not defined. 1.4.3. Vấn đề xác thực trong an toàn thông tinError! Bookmark not defined. 1.4.4. Phân loại xác thực ............................ Error! Bookmark not defined. 1.4.5. Các nhân tố xác thực ........................ Error! Bookmark not defined. 1.4.6. Một vài công cụ xác thực và đánh giáError! Bookmark not defined. 1.5. Lý thuyết về lựa chọn công nghệ ................. Error! Bookmark not defined. 1.5.1. Công nghệ thích hợp ........................ Error! Bookmark not defined. 1.5.2. Một số phương pháp lựa chọn công nghệError! Bookmark not defined. CHƢƠNG 2: PHƢƠNG PHÁP NGHIÊN CỨUError! Bookmark not defined. 2.1. Lƣu đồ quy trình nghiên cứu ........................ Error! Bookmark not defined. 2.2. Thống kê từ việc sử dụng công nghệ xác thực trong một số ngân hàng khác .............................................................. Error! Bookmark not defined. 2.3. Nghiên cứu dựa vào các phƣơng pháp khảo sát, phỏng vấn, quan sát, so sánh và tƣ vấn các chuyên gia, nhân viên và khách hàng trực tiếp giao dịch trong ngân hàng ..................................................... Error! Bookmark not defined. 2.3.1. Khảo sát ý kiến khách hàng ............. Error! Bookmark not defined. 2.3.2. Khảo sát cán bộ bảo mật .................. Error! Bookmark not defined. 2.3.3. Khảo sát tư vấn chuyên gia. ............. Error! Bookmark not defined. 2.4 Phƣơng pháp tổng hợp, phân tích so sánh, đánh giáError! Bookmark not defined. CHƢƠNG 3 : THỰC TRẠNG VẤN ĐỀ XÁC THỰC TRONG GIAO DỊCH TẠI PVCOMBANK ........................................ Error! Bookmark not defined. 3.1 Giới thiệu sơ lƣợc về ngân hàng PVcomBankError! Bookmark not defined. 3.2 Thực trạng ........................................................ Error! Bookmark not defined. 3.2.1 Thực trạng về nhân sự ....................... Error! Bookmark not defined. 3.2.2 Thực trạng về cơ sở hạ tầng .............. Error! Bookmark not defined. 3.2.3 Phân tích SWOT hệ thống Công nghệ và Nghiệp vụ của PvcomBank .................................................................... Error! Bookmark not defined. 3.2.4 Thực trạng về hệ thống xác thực trong giao dịch điện tử ........ Error! Bookmark not defined. CHƢƠNG 4 : ĐỀ XUẤT LOẠI HÌNH XÁC THỰC VỚI MỘT SỐ GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG PVCOMBANK GIAI ĐOẠN 2017-2020 ... Error! Bookmark not defined. 4.1. Giao dịch thanh toán thẻ (Card Payment) ... Error! Bookmark not defined. 4.2 Giao dịch Internet Banking ............................ Error! Bookmark not defined. 4.3 Giao dịch Mobile Banking ............................. Error! Bookmark not defined. KẾT LUẬN ..................................................... Error! Bookmark not defined. TÀI LIỆU THAM KHẢO ............................................................................... 11 PHỤ LỤC PHẦN MỞ ĐẦU 1. Tính cấp thiết của đề tài Giao dịch ngân hàng là một trong những nhu cầu thiết yếu nhất của xã hội hiện đại. Trong giao dịch ngân hàng đƣợc chia thành hai loại cơ bản nhất: Đó là giao dịch trực tiếp tại quầy giao dịch của ngân hàng hoặc giao dịch điện tử. Giao dịch trực tiếp là hình thức truyền thống, khách hàng phải đến trực tiếp ngân hàng để giao dịch, hình thức này đã tồn tại từ những ngày sơ khai của ngành ngân hàng và sẽ còn tồn tại tƣơng đối lâu trong thời gian tới tại Việt Nam và vẫn chiếm tỉ lệ giao dịch cao hơn các loại hình giao dịch khác. Giao dịch điện tử là xu thế của Việt Nam và các nƣớc trên thế giới. Hiện nay, một số lƣợng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các hình thức giao dịch điện tử, và sử dụng các công cụ xác thực trong giao dịch nhƣ một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ tục giao dịch. Để đáp ứng đƣợc giao dịch thành công thì không thể thiếu yếu tố xác thực khách hàng, và lựa chọn công nghệ xác thực đảm bảo yếu tố tiện lợi và an toàn là bí quyết công nghệ của mỗi ngân hàng. Những nỗi lo về các rủi ro và nguy cơ tiềm ẩn trong việc xác thực khách hàng trong giao dịch là bài toán khó. Để khắc phục vấn đề này, cần phải đƣa ra giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch (trực tiếp, điện tử). Có đƣợc niềm tin và tiện lợi của khách hàng thì ngân hàng mới có chỗ đứng trên thị trƣờng, cạnh tranh đƣợc các ngân hàng khác và mang lại giá trị cho bản thân doanh nghiệp. Trên thế giới hiện nay có rất nhiều các phƣơng thức để xác thực giao dịch cho khách hàng nhƣ: chứng minh nhân dân, chữ ký tay, chữ ký số, võng mạc mắt, vân tay, token key, số điện thoại di động, password, nhƣng lựa chọn công nghệ nào để áp dụng cho từng loại giao dịch tại ngân hàng là một bài toán khó và nhiệm vụ của bài luận văn này phải nghiên cứu các công nghệ xác thực và đƣa ra đề xuất cho ngân hàng PVcomBank trong giai đoạn 2017- 2020. Trong luận văn này tác giả chỉ tập trung vào phân tích và lựa chọn công nghệ xác thực cho hình thức giao dịch gián tiếp (hình thức giao dịch điện tử) Ngân hàng Thƣơng mại cổ phần Đại chúng Việt Nam (PVcomBank) tiền thân là hợp nhất của Tổng Công ty Tài chính Dầu Khí Việt Nam (Thành viên tập đoàn Dầu khí Việt Nam) và Ngân hàng Thƣơng mại cổ phần Phƣơng Tây (Westernbank). PVcomBank có tổng tài sản đạt gần 100.000 tỷ đồng, vốn điều lệ 9.000 tỷ đồng, trong đó cổ đông lớn là Tập đoàn Dầu khí Việt Nam (chiếm 52%) và cổ đông chiến lƣợc Morgan Stanley (6,7%). Với mạng lƣới 140 điểm giao dịch tại các tỉnh thành trọng điểm trên toàn quốc; nguồn nhân lực chất lƣợng cao và bề dày kinh nghiệm trong cung cấp các dịch vụ cho các doanh nghiệp trong ngành Dầu khí, năng lƣợng, hạ tầng; PVcomBank cung cấp các sản phẩm dịch vụ đa dạng đáp ứng đầy đủ các nhu cầu của khách hàng tổ chức và cá nhân PVcomBank đã lựa chọn Công ty tƣ vấn Boston Consulting Group (BCG) để cùng hoạch định chiến lƣợc Mục tiêu cho PVcomBank. Một trong những chiến lƣợc đến năm 2020 là: Trở thành ngân hàng xếp thứ 07 tại Việt Nam đến năm 2020. Quy mô tài sản : 180 ngàn tỉ Quy mô tiền gửi : 80 ngàn tỉ Tập trung khách hàng doanh nghiệp lớn tại Tập đoàn Dầu khí Chính sách phát triển các sản phẩm khác biệt, nâng cao tính cạnh tranh bằng chất lƣợng đội ngũ nhân sự dựa trên nền tảng công nghệ tiên tiến và bảo mật. Duy trì và phát triển mạng lƣới bản lẻ, phát triển các loại hình dịch vụ giao dịch điện tử hiện đại nhất, tạo hình ảnh ấn tƣợng cho ngân hàng bằng các loại hình giao dịch hiện đại và an toàn Nhƣ vậy việc nâng cao năng lực công nghệ là mà học viên lựa chọn là một trong những đề tài đang nóng hổi trong việc cạnh tranh công nghệ tại các ngân hàng hiện nay. Đề tài “Lựa chọn công nghệ xác thực trong giao dịch tại ngân hàng” là đề tài cấp thiết phù hợp với chiến lƣợc của Ngân hàng giai đoạn 2017-2020 và phù hợp với chuyên ngành đào tạo Câu hỏi nghiên cứu của luận văn: Câu hỏi 1: Các hình thức xác thực trong giao dịch đang đƣợc áp dụng tại các ngân hàng ở Việt Nam nhƣ thế nào? Câu hỏi 2: Các khách hàng, các cán bộ bảo mật, các chuyên gia đánh giá nhƣ thế nào về các hình thức xác thực trong giao dịch điện tử? Câu hỏi 3: Sau khi dựa vào thực tế, nghiên cứu, đánh giá tác giả đề xuất các hình thức xác thực nào cho giao dịch điện tử tại Ngân hàng PvcomBank? 2. Mục đích và nhiệm vụ nghiên cứu: a. Mục đích nghiên cứu: Nâng cao khả năng cạnh tranh của PVcomBank trong giao dịch ngân hàng bằng cách tìm ra phƣơng thức xác thực phù hợp với từng loại giao dịch, mang lại tiện ích cho khách hàng, hỗ trợ công tác quản trị tốt (đối với ngân hàng), giảm thiểu rủi ro trong giao dịch (cả ngân hàng và khách hàng), tận dụng công nghệ này để phát triển thêm các tiện ích gia tăng. Từ đó để xây dựng giải pháp toàn diện về công nghệ ngân hàng cho PVcomBank Hoàn thiện một số nội dung về chiến lƣợc kinh doanh và công nghệ của PVcomBank giai đoạn 2017- 2020 b. Nhiệm vụ nghiên cứu : Nhiệm vụ thứ nhất : Nghiên cứ các công cụ lý thuyết và các mô hình xác thực hiện tại đang đƣợc nghiên cứu và áp dụng trên thế giới : Password, chữ ký số, chứng chỉ số, CHAP, Kerberos, Token, Vân tay, Quét võng mạc mắt, nhận dạng khuôn mặt, Nghiên cứu các mô hình giao dịch và thanh toán, đặc trƣng của các loại hình giao dịch điện tử, vấn đề an ninh trong việc giao dịch ngân hàng Nhiệm vụ thứ hai : Nghiên cứu đƣợc thực trạng sử dụng và đánh giá về vấn đề xác thực trong giao dịch ngân hàng nhƣ thế nào Nhiệm vụ thứ ba : Phân tích ƣu nhƣợc điểm của các loại hình xác thực và đề xuất loại hình công nghệ xác thực ứng dụng trong một số giao dịch điện tử tại PVcomBank giai đoạn 2017-2020 3. Đối tƣợng và phạm vi nghiên cứu: a. Đối tƣợng nghiên cứu: Công nghệ xác thực trong giao dịch ngân hàng điện tử b. Phạm vi nghiên cứu: Các hình thức giao dịch và xác thực đang đƣợc áp dụng trong lãnh thổ Việt Nam, thời gian trong vòng 3 năm trở lại đây 4. Những đóng góp của luận văn nghiên cứu: Luận văn đánh giá đƣợc thực trạng các loại hình xác thực trong giao dịch điện tử đang đƣợc sử dụng tại Việt Nam. Tìm hiểu đƣợc nguyên tắc hoạt động của xác thực trong từng loại hình giao dịch điện tử tƣơng ứng. Đề xuất đƣợc loại hình xác thực phù hợp với một số giao dịch điện tử tại ngân hàng PVcomBank giai đoạn 2017-2020. 5. Kết cấu của luận văn Nội dung của luận văn gồm có phần mở đầu, bốn chƣơng nội dung và phần kết luận: Chƣơng 1: Tổng quan tình hình nghiên cứu, cơ sở lý luận về giao dịch, dịch vụ xác thực, an ninh thông tin trong giao dịch điện tử tại ngân hàng Chƣơng 2: Phƣơng pháp nghiên cứu Chƣơng 3: Thực trạng vấn đề xác thực trong giao dịch tại PVcomBank Chƣơng 4: Đề xuất loại hình xác thực cho một số giao dịch điện tử tại ngân hàng PVcomBank giai đoạn 2017-2020 CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG 1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng Thời gian gần đây có rất nhiều nghiên cứu khác nhau về vấn đề xác thực trong giao dịch điện tử thuộc các khu vực, đơn vị ở tất cả các loại hình giao dịch khác nhau. Có rất nhiều vụ lừa đảo, mất tiền của khách hàng trong ngân hàng đều liên quan đến vấn đề xác thực trong giao dịch. Có rất nhiều bài viết, nghiên cứu về vấn đề này và đƣợc quan tâm chỉ đạo đặc biệt từ cơ quan chính phủ, ngân hàng nhà nƣớc về an toàn thông tin trong giao dịch. Điều này chứng tỏ vấn để xác thực trong giao dịch ngày càng đƣợc quan tâm, trở thành đề tài nóng hổi không chỉ trên các diễn đàn công nghệ thông tin, ngân hàng và các tạp chí có tiếng mà còn đƣợc các tác giả đƣa vào công trình nghiên cứu khoa học cấp bộ, cấp quốc gia hay trong cả bài luận án tiến sĩ. Cụ thể, bài viết về xác thực OTP (One time Password) của tác giả Nguyễn Minh Đức-Viện Công nghệ Thông tin và Truyền thông (CDIT) đƣợc đăng trên trang 19- Tạp chí an toàn thông tin số 25 ngày 14 tháng 05 năm 2014. Giải pháp hiện tại ở Việt nam đang đƣợc ứng dụng khá mạnh ở lĩnh vực ngân hàng trong các khâu thanh toán, rút tiền. Ở một số lĩnh vực khác cũng áp dụng giải pháp OTP vào phục vụ chủ yếu cho các khâu liên quan đến giao dịch, xác thực. Giải pháp OTP của CDIT đƣợc phát triển dựa trên web-base, có khả năng tƣơng thích với nhiều nền tảng phát triển phần mềm nổi tiếng hiện nay. Với cơ chế bảo mật có độ tin cậy cao đi kèm với giá thành rẻ, trong tƣơng lai giải pháp OTP sẽ thay thế dần công nghệ RSA, một công nghệ bảo mật nổi tiếng nhƣng khá tốn kém. Bài báo này sẽ giới thiệu về nền tảng công nghệ, giải pháp kỹ thuật và hƣớng triển khai cũng nhƣ ứng dụng thực tế. Một công trình nghiên cứu về xác thực Onetime Password của Trung tâm Nghiên cứu & Phát triển thuộc công ty Cổ phần Tập đoàn MK (được công bố và trao Danh hiệu Sao Khuê 2016 đã đươc tổ chức từ 9h00 ngày 23/4/2016 : tại Hội trường Cung trí thức thành phố, 80 Trần Thái Tông, Cầu Giấy, Hà Nội. Chương trình đã được truyền hình trực tiếp trên kênh VTC1 từ 9:30 ngày 23/4/2016). Công trình đã nghiên cứu, xây dựng và phát triển Sản phẩm Xác thực bảo mật bằng Mật khẩu một lần KeyPass™ OTP - Sử dụng thiết bị xác thực mềm. KeyPass™ OTP - Sử dụng thiết bị xác thực mềm nhằm đáp ứng nhu cầu bảo mật và tiếp cận các nguồn thông tin với các mức độ bảo mật khác nhau; hỗ trợ các tổ chức, doanh nghiệp giảm thiểu những rủi ro về nguy cơ mất dữ liệu do việc truy cập trái phép từ bên ngoài. Đây là một phƣơng thức xác thức mới nằm trong Giải pháp xác thực bảo mật toàn diện KeyPass™ OTP của MK Group, cung cấp đấy đủ tất cả các phƣơng thức hiện có trên thị trƣờng trong nƣớc và quốc tế để tạo ra Mật khẩu sử dụng 1 lần cho các giao dịch trực tuyến nhƣ Hard Token, Thẻ Thông minh (Smartcard), Mobile SMS, Mobile SIM, Thẻ EMV, thẻ Cào (Scratch-Off-Card). Một bài viết khác đƣợc công bố trên báo an toàn thông tin của Thạc sĩ Đặng Mạnh Phổ (Giám đốc Ban Công nghệ thông tin- Ngân hàng BIDV) về vấn đề xác thực đa yếu tố. Đây là phƣơng thức xác thực dựa trên nhiều yếu tố xác thực kết hợp, là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố xác thực. Trong phƣơng thức này có thể có sự kết hợp của bất cứ yếu tố nào, ví dụ nhƣ đặc tính bẩm sinh, những cái bạn có để chứng minh hoặc những gì bạn biết để chứng minh. Một nghiên cứu khác về vấn đề bảo mật và an toàn thông tin trong thƣơng mại điện tử của tác giả Vũ Anh Tuấn (Luận văn thạc sĩ khoa học- Công nghệ thông tin, mã số: 60.48.01). Tác giả đề cập đến vấn đề thanh toán trong thƣơng mại điện tử, các công cụ sử dụng trong vấn đề an toàn thƣơng mại điện tử, các kỹ thuật ngăn ngừa rủi ro trong thƣơng mại điện tử Một bài viết khác đăng trên báo PCWorld, số 284, trang 27 về chữ ký số, cụ thể ngày 31/12/2008, bộ TTTT đã ban hành 6 loại tiêu chuẩn trong giao dịch điện tử được quy định buộc phải áp dụng “chữ ký số” (CKS) và chứng thực số. Như vậy về mặt pháp lý, CKS đã được luật hoá. Trên môi trƣờng mạng, bất cứ dạng thông tin nào đƣợc sử dụng để nhận biết một con ngƣời đều đƣợc coi là chữ ký điện tử (CKĐT). Ví dụ: 1 đoạn âm thanh hoặc hình ảnh đƣợc chèn vào cuối e-mail, đó là CKĐT. CKS là một dạng CKĐT, với độ an toàn cao và đƣợc sử dụng rộng rãi. CKS đƣợc phát triển trên lý thuyết về mật mã và thuật toán mã hóa bất đối xứng. Thuật toán mã hóa dựa vào cặp khoá bí mật (Privatekey) và công khai (Publickey), trong đó ngƣời chủ chữ ký sẽ giữ khóa Privatekey cho cá nhân dùng để tạo chữ ký, PublicKey của cá nhân hay tổ chức đó đƣợc công bố rộng rãi dùng để kiểm tra chữ ký. Khi đƣợc sử dụng cho việc mã hóa: PrivateKey để giải mã; PublicKey dùng cho mã hóa. CKS đƣợc phát triển và ứng dụng rộng rãi hiện nay dựa trên thuật toán RSA (Tên viết tắt của ba tác giả: Rivest, Shamir và Adleman), là cơ sở quan trọng để hình thành hạ tầng khóa công khai (PublicKey Infrastructure) cho phép ngƣời sử dụng của một mạng công cộng không bảo mật nhƣ Internet trao đổi dữ liệu và tiền một cách an toàn, thông qua việc sử dụng một cặp mã khóa công khai và bí mật đƣợc cấp phát, sử dụng qua một nhà cung cấp chứng thực CA (Certificate Authority) đƣợc tín nhiệm. Việc thừa nhận CKS thuộc quyền sở hữu của một cá nhân nào đó, cần phải đƣợc một tổ chức CA chứng thực. Và CA chứng nhận phải đƣợc thừa nhận về tính pháp lý và kỹ thuật. Một bài báo giới thiệu về chữ ký số trong giao dịch điện tử đƣợc Thạc sĩ Chu Thị Dƣơng và Thạc sĩ Phan Thị Thu Thủy giới thiệu (Đƣợc nêu tại Điều 3, mục 11, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số). Chữ ký số về bản chất là một thông điệp dữ liệu (file text, tập hợp các ký tự hoặc một loại thông điệp dữ liệu nhất định do phần mềm ký số sinh ra dựa trên các thuật toán nhất định). Công thức để sinh ra chữ ký số phụ thuộc vào ba yếu tố đầu vào: (i) bản thân văn bản điện tử cần ký; (ii) khóa bí mật (private key) và (iii) phần mềm để ký số. Khóa bí mật đơn giản có thể là một mật khẩu (password) hoặc một thông điệp dữ liệu. Phần mềm ký số là phần mềm có chức năng tạo ra các chữ ký số từ hai yếu tố là văn bản cần ký và khóa bí mật và gắn chữ ký số đƣợc tạo ra vào thông điệp gốc. Thực tế cho thấy các dạng điện tử hóa của chữ ký truyền thống nhƣ scan chữ ký, phô tô chữ ký, đánh máy tên và địa chỉ vào trong thông điệp dữ liệu không đảm bảo đƣợc độ an toàn cho chữ ký và nội dung văn bản đƣợc ký vì những lý do sau: - Dễ giả mạo chữ ký; - Dữ liệu tạo chữ ký không gắn duy nhất với ngƣời ký; - Dữ liệu tạo chữ ký không thuộc sự kiểm soát của ngƣời ký; - Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký; - Khó phát hiện các thay đổi đối với bản thân chữ ký sau khi đã ký 1. Chữ ký số có thể khắc phục đƣợc những nhƣợc điểm trên. Trong các quy trình ký số hiện nay, quy trình phổ biến nhất là sử dụng công nghệ khóa công khai (PKI). Theo quy trình này, chữ ký số là một dạng chữ ký điện tử đƣợc tạo ra bằng sự rút gọn thông điệp dữ liệu đang cần ký và mã hóa bằng khóa bí mật (của hệ thống mật mã không đối xứng), thông điệp dữ liệu đƣợc tạo ra chính là chữ ký số. Chữ ký số và văn bản ban đầu cùng với khoá công khai của ngƣời ký cho phép ngƣời nhận thông điệp có thể xác định đƣợc chính xác: - Chữ ký số đƣợc tạo ra bằng đúng khoá bí mật tƣơng ứng với khoá công khai trong cùng một cặp khóa; - Nội dung thông điệp đƣợc ký có đảm bảo tính toàn vẹn từ sau khi đƣợc ký (hay sau khi chữ ký số đƣợc tạo ra hay không) hay không. Chữ ký trên giấy không thể áp dụng đối với các văn bản điện tử (ví dụ trên file word, pdf, excel) vì trong giao dịch điện tử các bên không gặp mặt nhau trực tiếp để thực hiện ký kết, hơn nữa do đặc thù của các văn bản điện tử việc xác định và tìm ra các thay đổi trong nội dung rất khó thực hiện. Chữ ký số giúp giải quyết vấn đề trên và tăng cƣờng tính bảo mật và toàn vẹn nội dung văn bản tốt hơn nhiều lần so với chữ ký trên giấy. Bên cạnh đó, chữ ký số rất khó giả mạo nhƣ trong trƣờng hợp của chữ ký trên giấy và con dấu. Bản chất của chữ ký trên giấy là phải giống nhau qua các lần ký, chính vì thế việc cắt dán, sao chép hay ký giả sẽ đƣợc thực hiện và rất khó bị phát hiện do các chữ ký trên giấy của một ngƣời phải giống nhau. Tuy nhiên, với công nghệ ký số mỗi chữ ký gắn với văn bản đƣợc ký sẽ hoàn toàn khác nhau nếu nội dung văn bản đó chỉ khác nhau dù một chi tiết nhỏ. Hơn nữa, việc xác thực một ngƣời có phải là chủ của chữ ký số lại có thể đƣợc thực hiện dễ dàng và chính xác. Với công nghệ khóa công khai, chữ ký số có một số ƣu điểm hơn so với chữ ký trên giấy. Bên cạnh đó, xác thực thời gian ký điện tử cũng dễ dàng hơn và khó giả mạo hơn đối với chữ ký bằng giấy với sự hỗ trợ của các máy chủ lƣu trữ về thời gian ký (trusted time-stamping server). Chữ ký số giữ vai trò đảm bảo an toàn cho các giao dịch điện tử. Đây là yếu tố quan trọng nhất và là điều kiện tiên quyết khi chuyển các giao dịch có giá trị lớn trên giấy tờ sang giao dịch trên mạng, đem lại lợi thế cạnh tranh cho các doanh nghiệp trong bối cảnh hội nhập kinh tế quốc tế. Thay vì việc truy cập một website, điền các mẫu (form) đặt hàng, giao dịch có sẵn, sau đó in ra giấy và ký theo phƣơng thức truyền thống rồi gửi đơn hàng qua bƣu điện hoặc fax, việc sử dụng chữ ký số cho phép những bƣớc cuối cùng trong quy TÀI LIỆU THAM KHẢO Tài liệu Tiếng Việt 1. Giáo trình bảo mật và an toàn thông tin, TS Nguyễn Khanh Văn- ĐHBK Hà Nội -2013 2. Phạm Thế Bảo và cộng sự, 2007. Tổng quan các phương pháp xác định khuôn mặt người. Hà Nội: Nxb Thống kê. 3. Trần Thị Thanh Hải và Eric Marchand, 2009. Một số phương pháp đối sánh ảnh thời gian thực. Trung tâm MICA, Trƣờng đại học Bách Khoa Hà Nội. 4. Khung kiến trúc của chính phủ điện tử (Ban hành kèm theo Văn bản số 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền thông) 5. Giải pháp xác thực trong ứng dụng công nghệ thông tin (Bộ thông tin và truyền thông-2011). Tài liệu Tiếng Anh 6. Anil K.Jain, 1996. Artifical Neural network : A tutorial. Proceedings of the IEEE. 7. Byung-Joo Oh, 2003. Face Recognition by Using Neural Network Classifiers based on PCA and LDA. Daejeon, Korea. 8. Howard Demuth, 2002. Neural network Toolbox : For use with MATLAB. 9. Ion Marqués, 2010. Face recognition Algorithms. Universidad del País Vasco. 10. Lindasay I Smith, 2002. A tutorial on Principal Components Analysis. John Wiley & Sons Inc. 11. Tom M.Mitchell, 1997. Machine Learning. McGraw-Hill. 12. Volkan Akalin, 2003. Face recognition using eigenfaces and neural network. The Middle East Technical University. Website 13. otocol) 14. 15. 16. , 17. 18. Challenge Handshake Authentincation Protocol - RFC (https://tools.ietf.org/html/rfc1994) 19. Kerberos: An Authentication Sewice for Computer Network. 20. Token Authentication (https://github.com/NancyFx/Nancy/wiki/Token- Authentication) 21. Biometrics and User Authentication (https://www.sans.org/reading- room/whitepapers/authentication/biometrics-user-authentication-122)