Thẻ
căn cước gắn chip: Sự cố của Estonia và bài học cho Việt Nam
Jason Nguyen
- Luật Khoa
26/03/2021
https://www.luatkhoa.org/2021/03/the-can-cuoc-gan-chip-su-co-cua-estonia-va-bai-hoc-cho-viet-nam/
Ảnh minh họa:
cybersec.ee
Bộ Công an Việt Nam đang dốc toàn lực để tiến hành việc cấp thẻ căn cước
điện tử có gắn chip cho người dân.
Theo thông tin từ bộ này, thẻ căn cước gắn chip mới hiện
đang được nhiều nước trên thế giới áp dụng “vì tính ưu việt cũng như tạo sự thuận
lợi khi sử dụng cho công dân”, bên cạnh những ưu điểm khác như “độ bảo mật cao
hơn”, “lưu trữ lượng thông tin lớn hơn”, và “thuận lợi cho công dân khi thực hiện
các giao dịch trực tuyến”.
Tuy nhiên, những chiếc thẻ
có gắn chip này có thể mang lại nhiều
rủi ro nghiêm trọng về bảo mật dữ liệu cá nhân hơn bạn nghĩ. Trong khi
đó, dự thảo nghị định về bảo vệ dữ liệu cá nhân, trong đó có những dữ liệu được
lưu trữ trong thẻ căn cước mới, vẫn đang được Bộ Công an lấy ý kiến.
Những sự cố bảo mật liên
quan đến thẻ căn cước có gắn chip không phải là chưa từng xảy ra trên thế giới.
Quốc gia tiêu biểu trong số đó là Estonia, vốn là một hình mẫu về chính phủ điện
tử và dịch vụ số.
Vào năm 2017, Estonia đã
gặp một cuộc khủng hoảng bảo mật thẻ căn cước điện tử. Sự cố này khiến hơn một
nửa dân số vào thời điểm đó đối mặt với nguy cơ bị đánh cắp thông tin.
Việt Nam có thể học được
gì từ họ?
Hệ thống căn cước
điện tử của Estonia
Estonia là một trong những
nước đi đầu trong lĩnh vực định danh kỹ thuật số (digital identity). Công nghệ
từ lâu đã đóng một vai trò trọng yếu trong nền kinh tế của quốc gia vùng Baltic
này.
Với nền tảng hạ tầng công
nghệ phát triển, Estonia cũng là một trong số ít quốc gia nơi người dân có thể tiếp
cận với 99% các dịch vụ công trên mạng.
Estonia được xem là hình mẫu về chính phủ điện tử
trên thế giới. Ảnh: e-estonia.com
Mỗi tấm thẻ căn cước của
Estonia có gắn một con chip dùng để tự xác thực (authenticating oneself) và ký
các văn bản kỹ thuật số. Do đó, ngoài vai trò dùng để xác định danh tính, mỗi tấm
thẻ còn cho phép người dân truy
cập vào tất cả các dịch vụ trực tuyến (e-services) của Estonia.
Thẻ căn cước điện
tử được ra mắt khi nào?
Chính phủ Estonia ra mắt
thẻ căn cước điện tử (eID card) vào năm 2001.
Tuy nhiên trước đó, kể từ
cuối thập niên 1990, quốc gia này đã đi đầu trong việc chuyển giao toàn bộ quyền
sở hữu dữ liệu cá nhân cho người dân.
Vào năm 2002, thẻ căn cước
công dân quốc gia (national ID card) trở thành tài liệu định danh bắt buộc tại
Estonia.
Công nghệ trên
chip hoạt động ra sao?
Mỗi thẻ căn cước điện tử
được gắn một con chip. Con chip này chứa các thông tin dữ liệu cá nhân và các
chứng chỉ số (digital certificates) được mã hóa, bao gồm hai mã khóa riêng
(private key) đi kèm với mã khóa chung tương ứng (public key).
Để dễ hình dung, có thể
xem địa chỉ nhà của mỗi người là “public key”. Họ có thể chia sẻ thông tin này
đến bất kỳ ai có nhu cầu trao đổi dữ liệu với mình. Nhưng chìa khóa vào nhà,
hay “private key”, thì chỉ có bản thân chủ nhà nắm giữ. Nhờ vậy, người ta có thể
trao đổi và xác thực thông tin qua lại. Các thuật toán được ứng dụng để đảm bảo
chìa khóa riêng “private key” gần như không thể bị giải mã.
Nguyên tắc này được gọi
là mã hóa bất đối xứng (asymmetric encryption). Đây là phương thức mã hóa phổ
biến cho hầu hết tương tác trao đổi trên mạng, từ truy cập web đến email hay
thương mại điện tử.
Các thẻ căn cước chứa hai
chứng chỉ số với các mã khóa riêng biệt: một chứng chỉ để xác nhận danh tính của
chủ sở hữu, chứng chỉ còn lại dùng cho việc xác nhận chữ ký số trong việc ký kết
các văn bản hoặc tài liệu.
Các mã khóa riêng được bảo
vệ bằng mã PIN tương ứng. Người dùng có thể nhập mã PIN khi được yêu cầu xác
minh danh tính trực tuyến hay sử dụng dịch vụ chữ ký điện tử ở trên.
Chủ sở hữu có thể sử dụng
các dịch vụ số khi kết nối con chip với đầu đọc thẻ thông minh và một
phần mềm đặc dụng. Các dịch vụ mà công dân Estonia có thể truy cập với thẻ
căn cước điện tử bao gồm: căn cước pháp lý khi đi lại (legal travel ID), dịch vụ
thẻ bảo hiểm quốc gia, thanh toán trực tuyến, giao dịch ngân hàng, chữ ký số,
hay thậm chí là bầu cử điện tử (i-Voting).
Chủ sở hữu có thể sử dụng các dịch vụ số khi kết nối thẻ căn cước gắn
chip với một đầu đọc thẻ thông minh. Ảnh: estonianworld.com.
Estonia đã gặp vấn
đề gì với hệ thống thẻ căn cước điện tử?
Các thẻ căn cước cấp từ
năm 2014 của Estonia do công ty Infineon (Đức) đảm nhiệm việc sản xuất
chip. Theo Cơ quan quản lý Hệ thống Thông tin Estonia (RIA), con
chip thế hệ mới này nhanh hơn, sở hữu công nghệ mới nhất, và do đó, được cho là
an toàn hơn.
Tuy nhiên, vào tháng
8/2017, RIA nhận được thông báo về một nguy cơ bảo mật liên quan đến các con
chip do Infineon phát triển.
Theo đó, một nhóm các nhà
nghiên cứu tại Đại học Masaryk (Séc) đã phát hiện một lỗi thuật toán
(algorithmic flaw) trong hệ thống Infineon RSA Library. Nó khiến các mật mã
do hệ thống Infineon Library tạo ra đều gặp rủi ro cao về bảo mật. Tin
tặc có thể lần ra mã khóa riêng (private key) của mỗi thẻ căn cước từ mã chung
(public key), từ đó có thể đánh cắp danh tính kỹ thuật số và nắm quyền truy cập
thông tin cá nhân của người dùng.
Hàng triệu con
chip định danh do Infineon sản xuất trên toàn thế giới nằm trong số bị ảnh hưởng.
Số lượng thẻ có nguy cơ bị tin tặc tấn công tại Estonia vào khoảng 800.000, chiếm
hơn một nửa dân số quốc gia (1,3 triệu dân) vào thời điểm đó.
Khoảng 800.000 thẻ
căn cước điện tử của Estonia gặp rủi ro bảo mật vào thời điểm năm 2017. Ảnh:
arstechnica.com.
Sự cố bảo mật này
gây ra những hệ quả gì?
Rủi ro bảo mật đã được
ngăn chặn kịp thời trước khi bất kỳ tổn thất nào xảy ra. Tuy nhiên, sự cố trên
đã khiến cho hàng chục nghìn người dân không được cấp quyền truy cập
vào một số dịch vụ trực tuyến trong một thời gian ngắn.
RIA cũng xác nhận rằng “lỗ hổng bảo mật trên có thể cho phép
[tin tặc] sử dụng danh tính điện tử cho quá trình định danh cá nhân và sử dụng
chữ ký số mà không cần dùng đến thẻ vật lý và mã PIN”.
Tuy nhiên, theo cơ quan
này, có mã khóa chung của chứng chỉ thì vẫn chưa đủ để mở khóa thẻ. Muốn làm vậy,
tin tặc còn cần thêm một hệ thống điện toán mạnh và đắt tiền để lần ra mã khóa
riêng của người dùng. Bên cạnh đó, việc truy cập vào hệ thống chữ ký số cũng cần
đến một phần mềm đặc dụng.
Estonia đã làm gì
để giải quyết khủng hoảng?
Vào ngày 05/9/2017, Thủ
tướng Estonia Jüri Ratas đã tổ chức một buổi họp báo đặc biệt để thông báo cho
người dân về mối đe dọa.
Cơ quan quản lý Hệ thống
Thông tin của Estonia (RIA) ngay lập tức phối hợp với Cơ quan Cảnh sát và Biên
phòng (PBGB) và Bộ Kinh tế và Truyền thông để khống chế cuộc khủng hoảng. Hai
công ty bảo mật tư nhân là Nortal và Cybernetica cũng được mời vào cuộc để giải
quyết.
Để ngăn chặn các vụ tấn
công, Estonia đã hạn chế quyền truy cập vào cơ sở dữ liệu mã khóa chung của thẻ
căn cước. Không có được mã khóa chung, tin tặc sẽ không thể sử dụng lỗ hổng bảo
mật này để tấn công.
Vào ngày 25/10, RIA cho
ra mắt một phần mềm để người dân có thể cập nhật lại các chứng chỉ bảo mật từ
xa.
Ông Margus Arm, trưởng bộ
phận thẻ căn cước điện tử (eID) tại RIA, cho biết: “Bản cập nhật mới này, cũng như phần mềm gia hạn
thẻ căn cước (ID-card renewal software) giúp chúng ta vượt qua rủi ro bảo mật
mà không cần phải thay thế tất cả các thẻ bị ảnh hưởng”.
Vào ngày 03/11,
PBGB đưa ra quyết định tạm dừng chứng chỉ điện tử của những
thẻ căn cước gặp rủi ro. Chủ sở hữu của những tấm thẻ này cần phải cập nhật chứng
chỉ bảo mật để tiếp tục sử dụng các dịch vụ trực tuyến.
Thẻ căn cước của
Estonia có thể được dùng để truy cập các dịch vụ trực tuyến. Ảnh: Government
ICT.
Trong quá trình cập nhật
thẻ căn cước để sửa lỗi bảo mật, khoảng 35.000 người được ưu tiên – bao gồm các
bác sĩ, cán bộ tư pháp, và nhân viên chính phủ. Việc này là nhằm đảm bảo các dịch
vụ công của chính phủ điện tử không bị gián đoạn.
Kết quả sau những
nỗ lực của Chính phủ Estonia là gì?
Từ ngày 25/10 đến ngày
6/11/2017, có khoảng 120.000 người dân đã tiến hành cập nhật thẻ căn cước của
mình, 92.000 trong số đó là cập nhật từ xa.
Sự cố trên đã được ngăn
chặn từ sớm và không có trường hợp đánh cắp danh tính điện tử (e-identity
theft) nào xảy ra, theo RIA. Bất chấp cuộc khủng hoảng trên, đa số người dân
Estonia vẫn đặt niềm tin vào hệ thống chính phủ điện tử của nước mình.
Ông Taimar Peterkop, người
đứng đầu RIA, đã nhấn mạnh tầm quan trọng của việc minh bạch hóa quá
trình giải quyết khủng hoảng với công chúng.
“Chúng ta cần đối phó với
các vụ tấn công mạng một cách công khai, chứ không phải âm thầm lặng lẽ”, ông
cho biết. “Các cuộc tranh luận mở chắc chắn sẽ giúp củng cố thêm niềm tin của
người dân”.
Sơ đồ mô tả hệ thống thông tin của Estonia. Ảnh:
estonianworld.com.
Các số liệu thực tiễn
đã minh
chứng cho niềm tin của người dân. Vào tháng 02/2018, gần nửa năm sau sự
cố lỗi bảo mật, hơn 10 triệu chữ ký số đã được sử dụng, so với 6 triệu chữ ký của
cùng kỳ năm ngoái. Ngay cả trong suốt cuộc khủng hoảng, hệ thống bầu cử trực
tuyến của Estonia cũng đã lập được một kỷ lục mới: 31,7% cử tri nước này lựa chọn
phương pháp bầu cử trực tuyến.
“Nếu muốn tiến về phía
trước, chúng ta sẽ cần phải đầu tư nhiều hơn lúc trước, không những cho hệ thống
[bảo mật], mà còn cho con người”, Thủ tướng Jüri Ratas phát biểu. “Việc hợp tác
sẽ có hiệu quả cao khi các nhà nghiên cứu và chuyên gia công nghệ, cũng như các
cơ quan nhà nước và tư nhân có thể phối hợp làm việc với nhau”.
***
Tham khảo và tổng hợp:
·
Estonia resolves its ID-card crisis, Information System
Authority
·
What we
learned from the eID card security risk?, e-estonia
·
Estonia’s ID card crisis: How e-state’s poster child got into
and out of trouble, ZDnet
·
How Estonia is Pioneering the Digital Identity Space,
Medium
·
Millions of high-security crypto keys crippled by newly
discovered flaw, Arstechnica
No comments:
Post a Comment