BẢO MẬT CHO THẺ THÔNG MINH

Trong những năm gần đây, thẻ thông minh được sử dụng ngày càng rộng rãi với nhiều ứng dụng khác nhau : thẻ ngân hàng, thẻ SIM, hộ chiếu điện tử, thẻ bảo hiểm y tế… Trong mỗi ứng dụng, thẻ thông minh hướng tới các đối tượng và các mục đích khác nhau nhưng trong mọi hoàn cảnh, bảo mật luôn là một vấn đề quan trọng. Bài viết này cung cấp cho người đọc một cái nhìn tổng quát về vấn đề bảo mật cho thẻ thông minh.

Đôi nét về thẻ thông minh

Những ngày đầu của thập niên 70

Những tiến bộ vượt bậc của ngành vi điện tử trong những năm 70 đã cho phép tích hợp việc lưu trữ dữ liệu và số học logic vào một chip Silicon với kích thước vài milimet vuông. Thẻ thông minh đã ra đời trong bối cảnh như vậy. Cho đến nay, vẫn còn nhiều tranh cãi về cha đẻ của thẻ thông minh vì trong giai đoạn này đã có rất nhiều bằng phát minh được công bố bởi nhiều nhà sáng chế. Trong số đó, phải kể đến  phát minh của hai nhà phát minh người Đức Jurgen Dethlof và Helmut Grottrupp vào năm 1968 với ý tưởng kết hợp một mạch tích hợp vào thẻ ID. Gần như cùng một lúc, nhà phát minh người Nhật Kunitaka Arimura và Paul Castrucci của IBM đã công bố các phát minh của họ về thẻ thông minh vào năm 1970 và 1971. Cho đến năm 1974, với các kết quả nghiên cứu và các nguyên mẫu của mình, nhà phát minh người Pháp Roland Moreno đã nộp 47 phát minh về thẻ nhớ ở 11 nước. Ngày nay, Roland Moreno được coi là nhà phát minh chính thức của thẻ thông minh. Đến năm 1977, Michel Ugon thuộc công ty Honeywell Bull đã phát minh ra chiếc thẻ thông minh vi xử lý đầu tiên.

Sự phát triển và các ứng dụng

Phần lớn các nghiên cứu về thẻ thông minh được bắt nguồn từ châu Âu, do đó cũng không ngạc nhiên khi vào thời điểm hiện tại, người châu Âu chiếm một phần lớn trong số những người sử dụng thẻ thông minh. Vào năm 2007, châu Âu chiếm khoảng 80% thị trường thẻ thông minh trong đó Pháp là nước đi tiên phong.

Làn sóng đầu tiên của thẻ thông minh diễn ra vào năm 1983 khi France Télécom đưa vào thị trường những thẻ điện thoại trả trước đầu tiên “les télécartes”, dùng trong các trạm điện thoại công cộng. Sau đó, vào năm 1986, với việc tích hợp các vi mạch, thẻ ngân hàng Pháp “la carte bleue”, đã thay thế các thẻ từ. Sự bùng nổ của thẻ thông minh ở mức độ toàn cầu diễn ra trong những năm 90 với sự xuất hiện của thẻ SIM dùng trong các điện thoại di động GSM.

Sự phát triển của thẻ thông minh là khá ấn tượng cả về số lượng lẫn ứng dụng. Nếu như vào năm 1994, số thẻ SIM được sản xuất trên toàn thế giới là 10 triệu thẻ thì trong năm 2007, con số này đã đạt tới 2,4 tỷ, tăng 240 lần trong vòng 13 năm. Trong năm 2007, tổng số thẻ thông minh được sản xuất trên thế giới vào khoảng 4 tỷ thẻ. Theo một nhận định của Eurosmart, đến năm 2020, 20 tỷ thẻ thông minh sẽ được sản xuất trên thế giới mỗi năm. Về mặt ứng dụng, thẻ thông minh được sử dụng trong các lĩnh vực sau:

- Ngân hàng : thẻ ngân hàng, ví điện tử Moneo.
- Viễn thông : thẻ SIM, thẻ trả trước.
-  Bảo mật và mạng : thẻ xác nhận, thẻ kiểm soát, chữ ký điện tử, thẻ TV, Internet bảo mật.
- Chính phủ : thẻ ID, thẻ bảo hiểm y tế, bằng lái xe.
- Giao thông : thẻ giao thông điện tử, thẻ khách hàng.

Vấn đề bảo mật

Một chiếc thẻ thông minh khi đến tay người sử dụng phải trải qua nhiều công đoạn với sự tham gia của nhiều nhân tố. Trước hết là quá trình sản xuất chip tại các nhà sản xuất chip. Tiếp theo là việc phát triển phần mềm tương ứng với các ứng dụng của sản phẩm tại các nhà sản xuất thẻ. Trước khi đến tay người sử dụng, thẻ được cá thể hóa tại các nhà cung cấp dịch vụ. Như vậy, khi xem xét vấn đề bảo mật của thẻ thông minh, chúng ta phải xem xét đến tất cả các công đoạn, cũng như các nhân tố tham gia và môi trường của từng công đoạn. Một tấn công hoàn toàn có thể thực hiện trên một chiếc thẻ được đánh giá là có độ an toàn cao khi người sử dụng không tự bảo vệ thẻ của mình (ví dụ làm lộ mã PIN) hay khi nhà cung cấp dịch vụ không đảm bảo độ an toàn của các thông tin liên quan đến người sử dụng mà họ quản lý (ví dụ làm lộ cơ sở dữ liệu của khách hàng). Ngay cả khi người sử dụng và nhà cung cấp dịch vụ đã thắt chặt công tác bảo mật dữ liệu, thẻ thông minh vẫn có thể bị tấn công khi bản thân chiếc thẻ (phần cứng và phần mềm) lại không được bảo vệ. Như vậy, thẻ thông minh chỉ thực sự được bảo vệ khi mọi mắt xích trong vòng đời (life cycle) của thẻ đạt đến một độ an toàn nhất định.

Đánh giá độ bảo mật của thẻ thông minh

Tiêu chuẩn chung về đánh giá bảo mật của các công nghệ thông tin (Common Criteria for Information Technology Security Evaluation) thường được gọi tắt là Common Criteria hay CC là một chuẩn quốc tế (ISO/IEC 15408) về chứng nhận bảo mật máy tính.  CC bảo đảm rằng quá trình xây dựng đặc điểm kỹ thuật, thực hiện và đánh giá của một sản phẩm bảo mật máy tính được tiến hành một cách nghiêm ngặt và đúng tiêu chuẩn. CC có nguồn gốc từ 3 chuẩn là ITSEC (chuẩn của châu Âu được xây dựng vào đầu những năm 90 bởi Pháp, Đức, Hà Lan và Anh), CTCPEC (chuẩn của Canada) và TCSEC (chuẩn của Mỹ). CC đề ra 7 mức độ đánh giá (Evaluation Assurance Level hay EAL) từ EAL1 (mức cơ bản nhất) đến EAL 7 (mức nghiêm ngặt nhất). Thỏa thuận công nhận tiêu chuẩn chung (Common Criteria Recognition Arrangement hay CCRA) cho phép mỗi bên thành viên công nhận các đánh giá theo chuẩn CC của các bên còn lại. Vào thời điểm hiện tại, các thành viên của CCRA bao gồm 26 nước : Úc, New Zealand, Áo, Canada, CH Séc, Đan Mạch, Phần Lan, Pháp, Đức, Hy Lạp, Hungary, Ấn Độ, Isreal, Ý, Nhật Bản, Hàn Quốc, Malaysia, Hà Lan, Nauy, Pakistan, Singapo, Tây Ban Nha, Thụy Điển, Thổ Nhĩ Kỳ, Anh, Mỹ. Kể từ cuối năm 2008, phiên bản CC 3.1 đã thay thế phiên bản cũ CC 2.3. Tại mỗi nước thành viên, việc thực hiện, kiểm tra và cấp giấy chứng nhận CC được quản lý bởi một tổ chức, ví dụ như tại Pháp là Cơ quan Quốc gia về An ninh Hệ thống Thông tin (ANSSI), tại Đức là Văn phòng Liên bang An ninh Thông tin (BSI), tại Mỹ là Viện Tiêu chuẩn và Công nghệ (NIST) và Cơ quan An ninh Quốc gia (NSA)… Danh sách các phòng thí nghiệm được cấp giấy phép thực hiện các đánh giá CC có thể tìm thấy trên trang web của tổ chức Tiêu chuẩn chung [CC].

Tiêu chuẩn FIPS-140 (Federal Information Processing Standardization 140) được ban hành bởi Viện Tiêu chuẩn và Công nghệ Mỹ (NIST) với mục đích phối hợp các yêu cầu và tiêu chuẩn cho mô-đun mật mã, bao gồm cả phần cứng và phần mềm. Phiên bản đầu tiên FIPS-140-1, ban hành vào năm 1994, đã được phát triển bởi chính phủ và một nhóm công nghiệp bao gồm các nhà cung cấp và người sử dụng các thiết bị mã hóa. Phiên bản tiếp theo FIPS-140-2 được ban hành vào 2001 dựa trên những thay đổi về mặt công nghệ cũng như những góp ý từ các nhà cung ứng, trung tâm đánh giá và cộng đồng. Phiên bản này đề ra 4 mức độ bảo mật. FIPS-140-3 là phiên bản mới của chuẩn và đang trong quá trình xây dựng. Trong phiên bản nháp đầu tiên của FIPS-140-3, ban hành vào tháng 12/2009, NIST đã giới thiệu một phần mới về bảo mật phần mềm, bổ sung một mức độ an toàn mới (mức độ 5) cũng như những yêu cầu mới liên quan đến tấn công không xâm nhập (Simple Power Analysis và Differential Power Analysis).

Các tiêu chuẩn của MasterCard, VISA, EMVCo: Các hiệp hội thẻ như MasterCard, EMVCo, VISA cũng đề ra các quy định và quá trình đánh giá nhằm đảm bảo rằng sản phẩm thẻ thông minh của một nhà cung cấp thẻ tuân thủ các nguyên tắc và hướng dẫn về bảo mật của họ. Quá trình đánh giá của Mastercard  là Compliance Assessment and Security Testing of Smart Card (CAST), của VISA là VISA Chip Security Program (VCSP) và của EMVCo là EMVCo Security Evaluation Process. Các nguyên tắc bảo mật được cập nhật khi các mối đe dọa về bảo mật và các tiềm năng tấn công mới được ghi nhận. Do đó, các chứng nhận cũng sẽ được cập nhật tương ứng với các nguyên tắc mới này. Quá trình đánh giá được thực hiện trong các phòng thí nghiệm được hiệp hội thẻ công nhận, trong đó có nhiều phòng thí nghiệm nằm trong danh sách được cấp phép để thực hiện đánh giá CC.

Thẻ thông minh đã, đang và sẽ phát triển với tốc đội nhanh chóng cả về số lượng và các ứng dụng ở mọi nơi, mọi lúc trong cuộc sống. Vì vậy, bảo mật thẻ thông minh đang là một vấn đề thu hút sự quan tâm không chỉ của người sử dụng mà còn của toàn bộ các mắt xích trong ngành công nghiệp thẻ thông minh, từ nhà sản xuất chip, đến nhà sản xuất thẻ và nhà cung cấp dịch vụ thẻ. Một sản phẩm thẻ thông minh nếu không qua được quá trình đánh giá theo một tiêu chuẩn nhất định và có được giấy xác nhận về mức độ bảo mật mong muốn sẽ gây ra nhiều hậu quả nghiêm trọng về thời gian và tài chính cho các nhà sản xuất và cung cấp.

TS. Lê Thanh Hà