Luận văn An toàn thông tin trong thuế điện tử

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Phan Trọng Khanh

AN TOÀN THÔNG TIN TRONG THUẾ ĐIỆN TỬ

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công nghệ thông tin

HÀ NỘI - 2010

Lời cảm ơn

Lời đầu tiên, tôi xin gửi lời cảm ơn chân thành tới thầy giáo, Tiến sĩ Lê Phê Đô,

người đã hướng dẫn và chỉ bảo tận tình cho tôi trong suốt quá trình học tập cũng như

thực hiện khóa luận tốt nghiệp này.

Tôi cũng xin cảm ơn các thầy, cô giáo đã chỉ bảo trong suốt quá trình học tập tại

trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội. Cảm ơn bạn Đỗ Đức Bảo đã

giúp đỡ, hợp tác với tôi nghiên cứu các vấn đề an toàn và các phần đề liên quan đến

thuế được trình bày trong khóa luận này.

Cuối cùng, tôi muốn gửi lời cám ơn tới bố mẹ tôi, tới gia đình và bạn bè - những

người đã hết sức ủng hộ, giúp đỡ và động viên tôi trong suốt quá trình học tập đã qua.

Tóm tắt khóa luận

Khóa luận tốt nghiệp này trình bày một số hiểu biết cơ bản về thuế và thuế điện

tử như các loại thuế, tình hình triển khai thuế điện tử ở Việt Nam. Qua đó giúp người

đọc hiểu thêm về một lĩnh vực khá lạ với công nghệ thông tin đó là thuế, đồng thời

cũng giúp hình dung được viễn cảnh thuế điện tử ở Việt Nam.

Khóa luận cũng trình bày những kiến thức tổng quát về phương pháp mã hóa

khóa công khai, một phương pháp được sử dụng rộng rãi trong việc mã hóa văn bản và

chữ ký số. Cùng với chữ ký số, hệ thống PKI (Cơ sở hạ tầng khóa công khai) cũng

được giới thiệu giúp người đọc hiểu được phần nào cốt lõi của hệ thống thuế điện tử.

Phần chính của khóa luận là đưa ra những giải pháp triển khai thuế điện tử. Phần

này cũng phân tích kĩ các giải pháp và đưa và những phương án có thể sử dụng để

triển khai trong thực tế. Phần ứng dụng sẽ trình bày mẫu một hệ thống PKI qua đó

người đọc có thể hiểu về chữ ký số, chứng nhận số,... một cách trực quan hơn.

Mục lục

Mở đầu........................................................................................................................................1

Chương 1.Tổng quan về thuế và thuế điện tử.............................................................................2

1.1.Những vấn đề cơ bản về thuế...........................................................................................2

1.1.1.Định nghĩa thuế........................................................................................................2

1.1.2.Các nguyên tắc chung về thuế..................................................................................2

1.1.3.Phân loại thuế...........................................................................................................3

1.2.Thuế điện tử......................................................................................................................5

1.2.1.Chính phủ điện tử.....................................................................................................5

1.2.2.Tiến tới thuế điện tử..................................................................................................6

1.2.3.Hiện trạng thuế điện tử ở Việt Nam và thế giới........................................................8

Chương 2.Tổng quan về an toàn thông tin................................................................................15

2.1.Định nghĩa an toàn thông tin..........................................................................................15

2.1.1.Định nghĩa..............................................................................................................15

2.1.2.Các yêu cầu an toàn bảo mật thông tin...................................................................15

2.2.Chữ ký số........................................................................................................................16

2.2.1.Định nghĩa..............................................................................................................16

2.2.2.Lịch sử....................................................................................................................16

2.2.3.Các ưu điểm của chữ ký số.....................................................................................17

2.2.4.Đăng ký, sử dụng và thẩm tra chữ ký số................................................................20

2.2.5.Một vài thuật toán dùng trong chữ ký số................................................................21

2.3.PKI..................................................................................................................................29

2.3.1.Tổng quan về PKI...................................................................................................29

2.3.2.Các thành phần của PKI.........................................................................................29

2.3.3.Mục tiêu và các chức năng của PKI.......................................................................31

Chương 3.Xây dựng biện pháp an toàn trong thuế điện tử.......................................................33

3.1.Vấn đề.............................................................................................................................33

3.2.Giải pháp........................................................................................................................33

3.2.1.Hệ thống xác thực...................................................................................................34

3.2.2.Hệ thống các dịch vụ..............................................................................................36

3.3.Triển khai........................................................................................................................36

3.3.1.VPN........................................................................................................................36

3.3.2.Ký văn bản..............................................................................................................37

3.3.3.An toàn thư điện tử.................................................................................................38

3.3.4.An toàn mạng không dây........................................................................................39

3.3.5.Đăng nhập một lần (Single Sign-On).....................................................................40

3.3.6. Máy chủ web.........................................................................................................40

3.3.7. Thẻ thông minh......................................................................................................41

3.3.8.Bảo vệ kho dữ liệu..................................................................................................42

3.4.Kết luận..........................................................................................................................43

Chương 4.Phần mềm PKI.........................................................................................................44

4.1.Giới thiệu về OpenCA....................................................................................................44

4.2.Cài đặt.............................................................................................................................46

4.3.Sử dụng...........................................................................................................................53

4.3.1.Khởi tạo ban đầu.....................................................................................................53

4.3.2.Yêu cầu một chứng nhận........................................................................................54

4.3.3.Thu hồi chứng nhận................................................................................................56

Kết luận.....................................................................................................................................58

Danh mục hình ảnh

Hình 1: Đăng kí dịch vụ chữ ký số...........................................................................................20

Hình 2: Ký vào thông điệp........................................................................................................20

Hình 3: Thẩm định chữ ký số....................................................................................................21

Hình 4: Các thành phần của OpenCA.......................................................................................45

Hình 5: Vòng đời của một đối tượng OpenCA.........................................................................47

Hình 6: Khởi tạo OpenCA........................................................................................................53

Hình 7: Khởi tạo CA.................................................................................................................54

Hình 8: Yêu cầu một chứng nhận..............................................................................................54

Hình 9: Yêu cầu chứng nhận từ tệp PEM.................................................................................55

Hình 10: Tìm kiếm chứng nhận................................................................................................55

Hình 11: Yêu cầu thu hồi chứng nhận.......................................................................................56

Hình 12: Danh sách chứng nhận...............................................................................................56

Mở đầu

Thủ tục hành chính đang là một trong những vấn đề nhức nhối ở Việt Nam hiện

nay. Theo Tổng cục Thuế, thủ tục hành chính thuế hiện nay “bao gồm 330 thủ tục hành

chính thuế, trong đó, 5 thủ tục hành chính do cấp Tổng cục Thuế thực hiện, 172 thủ tục

hành chính do cấp Cục Thuế thực hiện và 153 thủ tục hành chính cấp Chi cục Thuế

thực hiện”^*. Cải cách thủ tục hành chính nói chung và trong lĩnh vực Thuế nói riêng là

điều thực sự cần thiết. Biện pháp đang được tiến hành hiện nay là triển khai Thuế điện

tử và chính phủ điện tử. Việc này sẽ tiết kiệm được rất nhiều chi phí và thời gian làm

việc của các doanh nghiệp cũng như cơ quan thuế.

Thuế điện tử sẽ tạo ra những điều kiện thuận lợi nhất cho người nộp thuế, thực

hiện nghĩa vụ thuế sẽ không cần phải đi lại, xếp hàng chờ đợi như hiện nay mà có thể

làm mọi lúc, mọi nơi, trong thời gian rất ngắn.

Khóa luận này tập trung vào việc nghiên cứu những giải pháp an toàn trong triển

khai Thuế điện tử. Từ đó cũng đề xuất những phương án thực hiện cũng như lựa chọn

công nghệ sử dụng trong quá trình xây dựng hệ thống Thuế điện tử ở Việt Nam.

*

Công văn của Tổng cục Thuế số 3343/TCT-CC

1

Tổng quan về thuế và thuế điện tử

Chương 1. Tổng quan về thuế và thuế điện tử

1.1. Những vấn đề cơ bản về thuế

1.1.1. Định nghĩa thuế

Thuế là số tiền thu của các công dân, hoạt động và đồ vật (như giao dịch, tài sản)

nhằm huy động tài chính cho chính quyền, nhằm tái phân phối thu nhập, hay nhằm

điều tiết các hoạt động kinh tế-xã hội.

1.1.2. Các nguyên tắc chung về thuế

Các sắc thuế đều cần thỏa mãn bằng nguyên tắc chung sau đây:

Trung lập: sắc thuế không được bóp méo các hoạt động sản xuất, dẫn tới phúc lợi

xã hội (tổng hiệu dụng) của nền kinh tế bị giảm đi.

Đơn giản: việc thiết kế sắc thuế và tiến hành trưng thu thuế phải không phức tạp

và không tốn kém.

Công bằng: sắc thuế phải đánh cùng một tỉ lệ vào các công dân có điều kiện như

nhau. Giữa các công dân có điều kiện khác nhau, thì thuế suất cũng cần khác nhau (vì

thông thường người có điều kiện tốt hơn có xu hướng tiêu dùng hàng hóa công cộng

nhiều hơn).

Riêng các sắc thuế địa phương còn cần thỏa mãn một số nguyên tắc nữa:

Cơ sở thuế phải bất biến: nghĩa là công dân, hoạt động và đồ vật phải tương đối

cố định, không hay di chuyển giữa các địa phương. Nguyên tắc này nhằm đảm bảo địa

phương này không đánh thuế lên công dân, hoạt động và đồ vật vốn là của địa phương

khác.

Nguồn thu ổn định: nghĩa là quy mô dân số địa phương và quy mô các hoạt động,

đồ vật không nên biến động thường xuyên. Nguyên tắc này nhằm đảm bảo thu ngân

sách của địa phương không bị biến động.

Nguồn thu phân bố đồng đều giữa các địa phương. Nguyên tắc này nhằm đảm

bảo nguồn thu ngân sách giữa các địa phương không quá chênh lệch.

Chính quyền địa phương phải có trách nhiệm tài chính. Nguyên tắc này nhằm

2

Tổng quan về thuế và thuế điện tử

đảm bảo chính quyền địa phương không lạm dụng quyền hạn thuế của mình để đánh

thuế quá mức.

Trong thực tế, khó có sắc thuế nào đảm bảo đầy đủ các nguyên tắc đòi hỏi cho

nó. Vì thế, theo nguyên tắc về "cái tốt thứ hai", sắc thuế nào càng thỏa mãn nhiều

nguyên tắc, thì càng xứng đáng là một sắc thuế tốt. Việc ban hành phần lớn các sắc

thuế thường cần phải được quốc hội phê chuẩn và phải có luật về sắc thuế đó.

1.1.3. Phân loại thuế

Thuế trực thu và thuế gián thu

Các sắc thuế khi phân loại theo hình thức thu sẽ gồm hai loại là thuế trực thu và

thuế gián thu. Thuế trực thu là thuế mà người, hoạt động, đồ vật chịu thuế và nộp thuế

là một. Ví dụ như một người nhập hàng hóa từ nước ngoài về và tiêu dùng luôn, hay

như thuế thu nhập doanh nghiệp hay thu nhập cá nhân, nhà đất... Thuế gián thu là thuế

mà người chịu thuế và người nộp thuế không cùng là một. Chẳng hạn, chính quyền

đánh thuế vào công ty (công ty nộp thuế) và công ty lại chuyển thuế này vào chi phí

tính vào giá hàng hóa và dịch vụ, do vậy đối tượng chịu thuế là người tiêu dùng cuối

cùng. Ví dụ: thuế VAT, thuế tiêu thụ đặc biệt...

Thuế nội địa và thuế quan

Thuế nội địa: là thuế đánh vào công dân, hoạt động, tài sản trong nước. Có rất

nhiều sắc thuế nội địa đánh vào cá nhân (thuế thu nhập, thuế tiêu thụ), đánh vào công

ty (thuế pháp nhân, thuế môn bài, ...), đánh vào các hoạt động (thuế giao dịch tài

chính, thuế mua bán nhà đất, thuế thừa kế, ...), thuế đánh vào đồ vật (thuế tài sản, lệ

phí phòng cháy chữa cháy, lệ phí đăng ký ô tô xe máy, lệ phí công chứng, ...). Lưu ý lệ

phí thực chất là thuế; ở Việt Nam gọi chúng là "các loại phí mang tính chất thuế".

Thuế quan: là thuế đánh vào hàng hóa di chuyển giữa các quốc gia/lãnh thổ (nên

còn gọi là thuế xuất nhập khẩu).

Một số hàng hóa nhập khẩu sẽ vừa phải chịu thuế nhập khẩu khi đi qua biên giới,

vừa phải chịu thuế nội địa khi được bán lại ở thị trường nội địa.

3

Tổng quan về thuế và thuế điện tử

Thuế định ngạch và thuế định lệ

Thuế định ngạch: là đánh một lượng cố định vào tất cả các đối tượng thu của sắc

thuế. Ví dụ: thuế cầu đường, lệ phí sử dụng dịch vụ sân bay, …

Thuế định lệ: là thuế đánh vào đối tương thu của sắc thuế theo tỉ lệ nhất định.

Thuế định lệ lại có loại thuế lũy tiến (tỉ lệ tăng dần) và loại thuế tỉ lệ đồng đều.

Thuế thông thường và thuế đặc biệt

Thuế thông thường: là thuế nhằm các mục đích chính là thu ngân sách và điều

tiết thu nhập, chứ không nhằm mục đích đặc biệt nào khác.

Thuế đặc biệt: là thuế nhằm các mục đích đặc biệt, ví dụ thuế tiêu thụ đặc biệt

đánh vào rượu bia, thuốc lá nhằm hạn chế cá nhân tiêu thụ các hàng hóa này, hay phí

thủy lợi nhằm huy động tài chính cho phát triển, duy tu hệ thống thủy lợi địa phương.

Thuế phụ thu

Bên cạnh thuế chính thức còn có thể có thuế phụ thu. Thuế này không nhằm điều

tiết trực tiếp đối tượng thu mà chỉ lợi dụng đối tượng thu để huy động một nguồn tài

chính phục vụ mục đích nào đó không nhất thiết liên quan đến đối tượng thu. Ví dụ:

chính phủ Pháp đánh thế phụ thu đối với người đi máy bay ở Pháp (thu thuế này khi họ

mua vé máy bay) để có nguồn tài chính tài trợ cho các hoạt động phòng chống dịch

bệnh, nhất là HIV/AIDS, ở các nước nghèo.

Đánh thuế theo khả năng và theo lợi ích

Đánh thuế theo khả năng: là cách đánh thuế có phân biệt theo khả năng nộp thuế.

Người có thu nhập nhiều hơn sẽ phải đóng thuế nhiều hơn người có thu nhập thấp.

Thông thường, các sắc thuế quốc gia áp dụng nguyên tắc đánh thuế này.

Đánh thuế theo lợi ích: là cách đánh thuế có phân biệt theo mức độ sử dụng hàng

hóa công cộng nhiều hay ít. Người sử dụng hàng hóa công cộng nhiều hơn thì phải

đóng thuế nhiều hơn. Thông thường, các sắc thuế địa phương áp dụng nguyên tắc đánh

thuế theo lợi ích.

4

Tổng quan về thuế và thuế điện tử

“Thuế” mà không phải thuế

Thuế lạm phát: do lạm phát làm thu nhập của cá nhân giảm tương đối giống như

khi bị đánh thuế, nên có thuật ngữ "thuế lạm phát" hàm ý một trong những hậu quả của

lạm phát.

Thuế thời gian: khi thời gian là tiền bạc, thì việc mất thời gian do những thủ tục

hành chính rắc rối gây ra cũng có tác động như khi người ta bị đánh thuế.

Một số loại thuế và sắc thuế phổ biến

• Thuế tiêu thụ

• VAT

• Thuế thu nhập

• Thuế cổ tức

• Thuế môn bài

• Thuế tài sản

• Thuế chuyển nhượng

• Thuế thừa kế

• Thuế xuất nhập khẩu

• Thuế khoán

1.2. Thuế điện tử

1.2.1. Chính phủ điện tử

Chính phủ Điện tử là ứng dụng công nghệ thông tin để các cơ quan của Chính

quyền từ trung ương và địa phương đổi mới, làm việc có hiệu lực, hiệu quả và minh

bạch hơn; cung cấp thông tin, dịch vụ tốt hơn cho người dân, doanh nghiệp và các tổ

chức; và tạo điều kiện thuận lợi hơn cho người dân thực hiện quyền dân chủ và tham

gia quản lý Nhà nước.

5

Tổng quan về thuế và thuế điện tử

Chức năng của chính phủ điện tử

Mặc dù còn có những quan niệm khác nhau, song có thể hiểu một cách đơn giản:

Chính phủ điện tử là sự ứng dụng công nghệ thông tin – truyền thông để các cơ quan

chính phủ đổi mới, làm việc hiệu lực, hiệu quả và minh bạch hơn, cung cấp thông tin,

dịch vụ tốt hơn cho người dân, doanh nghiệp và các tổ chức; đồng thời tạo điều kiện

thuận lợi hơn cho người dân thực hiện quyền dân chủ của mình trong việc tham gia

quản lý Nhà nước. Nói cách ngắn gọn, Chính phủ điện tử là chính phủ hoạt động hiệu

lực, hiệu quả hơn, cung cấp dịch vụ tốt hơn trên cơ sở ứng dụng công nghệ thông tin –

truyền thông.

Chính phủ điện tử với các đặc trưng:

• Thứ nhất, Chính phủ điện tử đã đưa chính phủ tới gần dân và đưa dân tới

gần chính phủ.

• Thứ hai, Chính phủ điện tử làm minh bạch hóa hoạt động của chính phủ,

chống tham nhũng, quan liêu, độc quyền

• Thứ ba, Chính phủ điện tử giúp chính phủ hoạt động có hiệu quả trong

quản lý và phục vụ dân (cải cách hành chính và nâng cao chất lượng dịch vụ

công)

1.2.2. Tiến tới thuế điện tử

Trong xu hướng tiến tới Chính phủ điện tử, việc xây dựng một hệ thống thuế điện

tử được xem là một việc vô cùng quan trọng và cấp thiết. Đó sẽ là một hệ thống thông

tin về thuế phục vụ nội bộ và cung cấp dịch vụ cho các tổ chức, cá nhân bên ngoài

ngành thuế. Các dịch vụ điện tử thuế sẽ bao gồm: cung cấp thông tin tham khảo, đối

thoại hỏi đáp trực tiếp, đăng ký thuế, nộp tờ khai và kê khai, nộp thuế. Với tầm quan

trọng trên, để hướng tới mô hình Chính phủ điện tử, thuế điện tử sẽ phải trở thành một

thành phần trong Chính phủ điện tử ở Việt Nam.

Tuy nhiên, việc phát triển mô hình Chính phủ điện tử ở Việt Nam lại đang gặp rất

nhiều khó khăn và vướng mắc. Các cơ quan Nhà nước mạnh ai nấy xây dựng các trang

web theo nhu cầu của mình mà chưa có sự kết nối cũng như chưa có cơ quan đầu mối.

Do đó, các thông tin, dịch vụ điện tử cũng chưa thực sự phát huy được sức mạnh tổng

hợp. Trong khi đó, Việt Nam lại đang còn thiếu một hành lang pháp lý cho các giao

6

Tổng quan về thuế và thuế điện tử

dịch điện tử.

Theo Phó giám đốc Trung tâm Tin học-Thống kê (Tổng cục Thuế), ngành thuế

cần thiết phải xây dựng một lộ trình triển khai thuế điện tử trong đó bắt đầu bằng hệ

thống nghiệp vụ. Trong giai đoạn đầu của lộ trình, thuế điện tử sẽ bắt đầu bằng các

công việc đơn giản như tuyên truyền, phổ biến chính sách, chế độ thuế hiện hành;

hướng dẫn các thủ tục về thuế như đăng ký thuế, kê khai, nộp thuế, quyết toán thuế...;

giải đáp các vấn đề thường gặp trong lĩnh vực thuế và cung cấp các thông tin tham

khảo về mã số thuế.

Trong giai đoạn tiếp theo, sẽ tiến tới việc cung cấp các dịch vụ trả lời về chính

sách, chế độ thuế trực tiếp qua mạng Internet, dịch vụ nhận bảng kê hóa đơn điện tử,

dịch vụ đăng ký thuế điện tử, dịch vụ kê khai thuế điện tử, dịch vụ nộp thuế qua mạng

Internet và cuối cùng là quản lý thu thuế đối với các giao dịch thương mại điện tử.

Về tổ chức, trong quá trình tiến tới thuế điện tử, ngành này sẽ hình thành bộ máy

tổ chức hỗ trợ người nộp thuế từ trung ương tới địa phương, quy định về chức năng

nhiệm vụ, quy trình hoạt động. Người nộp thuế cũng sẽ được hỗ trợ thông qua nhiều

hình thức khác nhau, qua hình thức thuế điện tử và thông qua việc đa dạng hóa môi

trường hoạt động, tăng cường áp dụng công nghệ thông tin và viễn thông.

Để triển khai được mô hình này, ngành thuế cũng đòi hỏi phải có một cơ sở hạ

tầng công nghệ thông tin và viễn thông gồm một hệ thống ứng dụng thống nhất toàn

ngành, đảm bảo cập nhật thông tin kịp thời chính xác; nối mạng Internet với tốc độ và

dung lượng cao; hệ thống thiết bị, phần mềm an toàn, bảo mật và ổn định. Ngoài ra,

cũng cần phải có một đội ngũ cán bộ tin học đủ về số lượng và năng lực, đảm bảo vận

hành, duy trì, bảo trì hệ thống ứng dụng.

Mô hình trên dự kiến sẽ được triển khai theo 2 giai đoạn. Trong giai đoạn triển

khai thí điểm, mô hình này sẽ được triển khai tại một số cơ quan thuế, triển khai một

số dịch vụ trực tuyến và xây dựng giải pháp đóng gói triển khai. Tiếp theo, mô hình

này sẽ được triển khai rộng với việc xây dựng mô hình ứng dụng xử lý tập trung tại

các cục thuế tỉnh, thành phố và tổng cục thuế dựa trên hạ tầng truyền thông. Sau đó,

ngành này sẽ triển khai hệ thống ứng dụng tại tất cả các cơ quan thuế trong cả nước.

Để thực hiện thành công mô hình thuế điện tử, Phó giám đốc Trung tâm tin học-

7

Tổng quan về thuế và thuế điện tử

thống kê Nguyễn Minh Ngọc cho rằng: trước hết cần phải có sự chỉ đạo thống nhất của

Chính phủ và hình thành một Portal của Chính phủ. Ngoài ra, cũng cần có sự gắn kết

nội dung các dịch vụ điện tử của các ngành, đơn vị; thiết lập giao dịch điện tử giữa các

quốc gia, khu vực trên thế giới và hoàn thiện khung pháp lý về giao dịch điện tử của

Việt Nam.

Riêng đối với ngành thuế, cần thiết phải cải cách công tác quản lý hành chính, tin

học hóa các quy trình nghiệp vụ quản lý thuế, cung cấp các dịch vụ giao dịch điện tử

với doanh nghiệp và với các cơ quan khác đồng thời tham gia đề xuất xây dựng khung

pháp lý về trao đổi thông tin, giao dịch điện tử trên Internet.

Về vấn đề pháp lý đối với thuế điện tử, cần có quy định người nộp thuế phải cung

cấp thông tin dạng điện tử (số hóa) và có quy định về sử dụng thông tin điện tử của các

cơ quan có liên quan tới thuế. Đối với giao dịch điện tử nói chung, cần phải có hệ

thống xác thực sử dụng và có môi trường thuận tiện, an toàn và đa dạng.

Theo định hướng của ngành thuế, trong khi chưa có khung pháp lý về giao dịch

điện tử của Việt Nam, ngành này sẽ phát triển dịch vụ cung cấp thông tin một chiều

cho người nộp thuế và người dân, thí điểm các dịch vụ trực tuyến về nộp tờ khai và

nộp bảng kê hóa đơn, phát triển cơ sở hạ tầng kỹ thuật và xây dựng đội ngũ cán bộ kỹ

thuật vững mạnh.

Khi đã có khung pháp lý về giao dịch điện tử, ngành thuế sẽ phát triển các dịch

vụ trao đổi thông tin hai chiều giữa cơ quan thuế và người nộp thuế, triển khai rộng

các dịch vụ trực tuyến về nộp tờ khai, bản kê hóa đơn.

Bên cạnh đó, ngành này cũng sẽ phối hợp với Bộ Kế hoạch và Đầu tư, ngân

hàng, kho bạc, hải quan... cải tiến phương pháp đăng ký thuế, nộp thuế qua hệ thống

máy tính nối mạng đồng thời tiếp tục nâng cấp cơ sở hạ tầng và xây dựng đội ngũ kỹ

thuật.

1.2.3. Hiện trạng thuế điện tử ở Việt Nam và thế giới

Việt Nam

Theo bản báo cáo về công tác cải cách hành chính và hiện đại hóa ngành thuế

ngày 30-11-2009 của Bộ tài chính, việc hiện đại hóa công tác quản lý thuế đã đạt được

8

Tổng quan về thuế và thuế điện tử

những kết quả khả quan.:

- Xây dựng và triển khai dự án “Người nộp thuế nộp hồ sơ khai thuế qua mạng

Internet”

Nhằm tạo điều kiện thuận lợi hơn nữa cho người nộp thuế trong việc nộp hồ sơ

khai thuế, giảm chi phí về thời gian đi lại, chi phí in ấn và lưu trữ tờ khai bằng giấy

cho người nộp thuế; đồng thời, giảm áp lực cho cơ quan thuế trong những ngày cao

điểm tiếp nhận tờ khai thuế và giảm nhân lực nhập dữ liệu, lưu trữ hồ sơ tại cơ quan

thuế, Tổng cục Thuế đã xây dựng và triển khai thí điểm dự án “Người nộp thuế nộp hồ

sơ khai thuế qua mạng Internet”.

Tổng cục thuế đã ban hành “Quy trình quản lý đăng ký, nộp tờ khai thuế qua

mạng” và phối hợp với công ty VDC thuộc VNPT triển khai hoạt động cấp chứng thư

số công cộng tạo điều kiện cho việc cấp chữ ký điện tử cho người nộp thuế thực hiện

nộp tờ khai thuế qua mạng, đã triển khai việc nộp hồ sơ khai thuế qua mạng cho 411

doanh nghiệp tại các địa bàn thực hiện thí điểm (TP.HCM, Hà nội, Bà rịa-Vũng tàu,

Đà nẵng). Kết quả bước đầu được các doanh nghiệp đánh giá tốt. Tổng cục Thuế đang

tổng hợp ý kiến, rút kinh nghiệm để mở rộng thực hiện dự án trong năm 2010.

- Mở rộng triển khai dự án hiện đại hóa quy trình quản lý thu nộp thuế giữa cơ

quan Thuế, Hải quan, Kho Bạc và Tài chính (dự án Hiện đại hoá thu ngân sách Nhà

nước)

Đã hoàn thành việc triển khai dự án tại 34 tỉnh, thành phố; 103 quận huyện. Đang

tiếp tục triển khai giai đoạn mở rộng giai đoạn 1 với 2 tỉnh và 108 quận, huyện.

- Xây dựng và triển khai dự án ”Nộp thuế qua ngân hàng”

Tổng cục Thuế đã phối hợp với Kho bạc Nhà nước và một số ngân hàng (ngân

hàng Công thương, ngân hàng Nông nghiệp, ngân hàng Đầu tư) trong hợp tác thanh

toán, ký kết Thoả thuận phối hợp thu thuế qua hệ thống ngân hàng. Việc thực hiện thoả

thuận này sẽ giúp thông tin về số thuế phải thu, đã thu sẽ được cập nhật, đối chiếu đầy

đủ, nhanh chóng, chính xác tại kho bạc Nhà nước, cơ quan thuế, ngân hàng; đồng thời

giảm thiểu khối lượng nhập liệu cho cán bộ kho bạc Nhà nước và cơ quan thu do dữ

liệu về số phải thu sẽ được cơ quan thuế truyền sang cho Kho bạc và ngân hàng; sau

đó, ngân hàng sẽ truyền lại dữ liệu về số đã thu cho kho bạc Nhà nước và cơ quan thuế

9

Tổng quan về thuế và thuế điện tử

(cán bộ kho bạc Nhà nước và cán bộ thuế không phải nhập lại chứng từ giấy, kể cả

bằng tiền mặt và chuyển khoản).

Đối với người nộp thuế, dự án này sẽ tạo thuận lợi hơn trong việc nộp thuế và

đảm bảo tính chính xác trong quá trình thu thuế vào ngân sách Nhà nước: Khi nộp thuế

trực tiếp tại kho bạc hoặc nộp qua hệ thống ngân hàng, người nộp thuế không phải viết

Giấy nộp tiền vào ngân sách Nhà nước, không cần phải nhớ và ghi mục lục ngân sách

trên Giấy nộp tiền. người nộp thuế chỉ cần lập bảng kê nộp tiền, ghi tên, mã số thuế và

khoản tiền nộp. Địa điểm nộp thuế cũng mở rộng hơn, tại tất cả các nơi có chi nhánh

ngân hàng đã được kết nối. Thời gian nộp thuế cũng được kéo dài hơn, việc nộp thuế

qua ngân hàng có thể thực hiện cả trong và ngoài giờ hành chính; Đặc biệt, nếu người

nộp thuế thực hiện nộp thuế qua thẻ ATM thì thời gian nộp thuế có thể kéo dài đến tận

23 giờ tất cả các ngày trong tuần.

- Xây dựng và chuẩn bị thí điểm triển khai hoạt động “Trung tâm hỗ trợ người

nộp thuế qua điện thoại”

Để góp phần đưa công tác hỗ trợ người nộp thuế được chất lượng, hiệu quả, học

tập kinh nghiệm của các nước, Tổng cục thuế đã xây dựng và chuẩn bị thí điểm triển

khai hoạt động “Trung tâm hỗ trợ người nộp thuế qua điện thoại”. Qua đó, người nộp

thuế có thể liên hệ với cơ quan thuế qua một số điện thoại tập trung duy nhất để được

hướng dẫn giải đáp vướng mắc về thuế. Đến nay đã hoàn thành giải pháp ứng dụng và

đang triển khai xây dựng hạ tầng kỹ thuật, đang chuẩn bị kiểm thử để nghiệm thu hệ

thống.

- Nghiên cứu, xây dựng cơ sở sở dữ liệu thông tin về người nộp thuế đáp ứng yêu

cầu quản lý thuế theo rủi ro:

Phối hợp với Tổng cục Hải quan xây dựng các Thông tư liên tịch về trao đổi

thông tin phục vụ quản lý thuế, hải quan giữa Bộ Tài chính và một số Bộ, ngành. Đến

nay, đã ban hành được 01 Thông tư liên tịch giữa Bộ Tài chính với Bộ Kế hoạch- Đầu

tư và Bộ Công Thương, 02 dự thảo đang trong giai đoạn ký luân phiên để ban hành

(thông tư liên tịch với Bộ Giao thông vận tải, Bộ Thông tin - truyền thông; thông tư

liên tịch với Toà án nhân dân tối cao, Viện kiểm sát nhân dân tối cao), 2 dự thảo đang

lấy ý kiến thẩm định của Vụ Pháp chế (thông tư liên tịch với Ngân hàng Nhà nước;

thông tư liên tịch với Bộ Công an, Bộ Quốc phòng).

10

Tổng quan về thuế và thuế điện tử

Đang triển khai dự án tập trung cơ sở dữ liệu về người nộp thuế tại Tổng cục

Thuế để hỗ trợ cho triển khai các đề án quản lý thuế theo rủi ro. Theo đó, khi dự án

triển khai, toàn ngành thuế sẽ có một cơ sở dữ liệu thông tin về người nộp thuế trên

phạm vi toàn quốc với những thông tin chủ yếu về tình hình thực hiện nghĩa vụ thuế để

hỗ trợ công tác phân tích, khai thác thông tin, đánh giá hồ sơ phân loại người nộp thuế

theo mức độ tuân thủ pháp luật, từ đó, tập trung nguồn lực vào nhóm người nộp thuế

có mức độ tuân thủ thấp để thực hiện các biện pháp quản lý hiệu quả như tiến hành

thanh tra, kiểm tra, cưỡng chế nợ thuế...

Hiện tại kê khai thuế điện tử là nội dung trọng tâm mà ngành thuế đang cố gắng

hoàn thiện, các phần mềm và hướng dẫn chi tiết có thể tìm thấy tại trang web kê khai

thuế của ngành thuế.

Sau gần 5 năm, việc triển khai thuế điện tử ở Việt Nam được đánh giá là đã đi

đúng hướng và bài bản, nhưng tiến độ còn quá chậm, chủ yếu là do quá trình triển khai

cơ sở hạ tầng khóa công khai (PKI) và chứng thực điện tử (CA).

Ngày 3/9/2009, Cục Ứng dụng CNTT, Bộ Thông tin và Truyền thông, đã tổ chức

cuộc họp tổng kết sau 5 năm triển khai và đề ra phương án phát triển các bước tiếp

theo để Việt Nam dần hoàn thành mục tiêu ứng dụng CNTT rộng rãi trong mọi lĩnh

vực.

Cách đây 5 năm, Trung tâm Hợp tác Quốc tế về Tin học hóa Nhật Bản (CICC) và

Diễn đàn Cơ sở hạ tầng khóa công khai của Nhật Bản (PKI-J) đã tổ chức khóa học về

chứng thực điện tử với đối tượng tham gia là các doanh nghiệp, tổ chức chính phủ của

Việt Nam. Sau đó luật Giao dịch điện tử được thông qua mở ra một cánh cửa mới cho

các doanh nghiệp, tổ chức thực hiện các giao dịch, dịch vụ công thay vì thông qua

phương thức truyền thống thì đều áp dụng cơ chế mới bằng giao dịch điện tử.

Hiện nay, có hai hạ tầng chính phát triển hệ thống PKI Quốc gia là Bộ Thông tin

và Truyền thông và Ban Cơ yếu Chính phủ. Tới thời điểm hiện tại, thống kê của Bộ

Thông tin và Truyền thông cho thấy giao dịch điện tử B2C, B2B chiếm tới 2,5% GDP

với những con số rõ nét là 9.300 trang web với doanh thu từ mua sắm trực tuyến, điện

thoại... lên tới 450 triệu USD và 3000 doanh nghiệp có doanh thu khoảng 1,5 tỉ USD.

Song song với việc đó, nhiều dịch vụ hành chính công nay đã từng bước áp dụng công

cụ trực tuyến có sử dụng chữ ký điện tử như E-Tax của Tổng cục thuế, E-Banking của

11

Tổng quan về thuế và thuế điện tử

Ngân hàng Nhà nước...

Ban Cơ yếu Chính phủ là tổ chức đầu tiên của Nhà nước áp dụng và đưa ra các

giải pháp quản lý PKI nhằm mục đích phục vụ cho các cơ quan thuộc hệ thống chính

trị. Cho tới nay, đã triển khai được trên nhiều bộ, ban, ngành như Bộ Công an, Bộ

Ngoại giao và các cơ quan đảng. Mục tiêu phấn đấu trong thời gian tới, đơn vị này sẽ

triển khai áp dụng lên toàn bộ các đơn vị hành chính, tạo tiền đề phát triển cho chính

phủ điện tử.

Bộ Tài chính đề xuất nhân rộng mô hình triển khai PKI, theo đó các cơ quan Nhà

nước khi giao dịch với cá nhân, tổ chức bên ngoài thì sử dụng dịch vụ chứng thực chữ

ký điện tử công cộng, còn giao dịch trong nội bộ thì sử dụng hệ thống chứng thực điện

tử chuyên dùng của Chính phủ. Đại diện Bộ, ông Trần Nguyên Vũ, Cục trưởng Cục

Tin học và Thống kê tài chính cho biết: "Với việc nhân rộng mô hình này, sẽ tạo thuận

tiện cho cá nhân, tổ chức khi giao dịch với các cơ quan Nhà nước (sử dụng một chứng

thư số giao dịch được với nhiều cơ quan khác nhau). Ngoài ra, nó còn góp phần tăng

cường các hoạt động tuyên truyền đào tạo nâng cao nhận thức của xã hội về tác dụng

của chữ ký điện tử".

Đến nay, Bộ Tài chính đã ra quyết định sử dụng hệ thống chứng thực chữ ký điện

tử của VNPT cho giai đoạn thí điểm "Người nộp thuế nộp hồ sơ khai thuế qua mạng

Internet". Ngoài ra, ngày 14/08/2009 vừa qua, Tổng cục Thuế cũng bắt đầu triển khai

thí điểm chương trình này tại TP Hồ Chí Minh, áp dụng ban đầu cho 100 doanh nghiệp

lựa chọn, sau đó sẽ mở rộng cho phép tất cả các doanh nghiệp trên địa bàn thành phố

được đăng ký sử dụng. Tiếp đó sẽ triển khai tại Hà Nội, Đà Nẵng và sẽ có báo cáo tổng

kết vào cuối năm nay để từ đó chuẩn bị mở rộng hệ thống ra cả nước trong năm 2010.

Về phía khối hệ thống ngân hàng, ông Phan Thái Dũng, Cục CNTT ngân hàng

Nhà nước cũng cho biết, kế hoạch phát triển trong thời gian tới sẽ nâng cấp và hoàn

thiện phần mềm CA. Bên cạnh đó tích hợp các nghiệp vụ khác như Kế toán giao dịch;

Thị trường mở và Hệ thống báo cáo thống kê. Từ đó hoàn thiện hệ thống của khối

ngân hàng theo cơ sở pháp lý.

Nhìn chung, việc phát triển cơ sở hạ tầng khóa công khai (PKI) cũng như chứng

thực điện tử (CA) đang triển khai đúng hướng và bài bản. Tuy nhiên bên cạnh đó cũng

không tránh khỏi những rào cản về pháp lý, nhận thức dẫn tới việc tiến độ triển khai

12

Tổng quan về thuế và thuế điện tử

đại trà mô hình này vẫn còn chậm. Trong thời gian tới, cần có sự kết hợp chặt chẽ giữa

các bộ, ban ngành, các tổ chức chính phủ và các doanh nghiệp để từ đó thắt chặt sự

liên kết, giao dịch, hình thành một hạ tầng vững chắc, tạo tiền đề thúc đẩy thương mại

điện tử và chính phủ điện tử phát triển.

Hiện tại đã có 4 doanh nghiệp đăng kí cung cấp dịch vụ chữ ký số. Theo thông

tin từ Bộ Thông tin và Truyền thông, đến nay đã VDC và NacenComm xin cấp phép

cung cấp dịch vụ chữ ký điện tử, và hai công ty khác là Viettel và Bkis đang rục rịch

chuẩn bị.

Ngày 3/9/2009, Bộ Thông tin và Truyền thông đã phối hợp với Ban Cơ yếu

Chính phủ tổ chức hội thảo “Hiện trạng hạ tầng khóa công khai và kế hoạch phát triển”

nhằm đánh giá hiện trạng, xây dựng cơ sở hạ tầng khóa công khai tại Việt Nam; đồng

thời đưa ra các khuyến nghị, giải pháp nhằm đáp ứng yêu cầu thực tế sử dụng chữ ký

điện tử trong các hoạt động giao dịch điện tử.

Ngoài kê khai thuế điện tử, đối với các nội dung khác như đăng ký thuế, nộp

thuế, hoàn thuế… hiện vẫn đang gặp nhiều khó khăn do điều kiện thực hiện, cần phải

có sự phối hợp của các cơ quan khác như đơn vị quản lý đăng ký kinh doanh, Kho bạc,

Ngân hàng, do đó sẽ cần có các quy trình nghiệp vụ tương ứng, có tính liên kết giữa cơ

quan Thuế và các đơn vị có liên quan.

Thế giới

Từ nhiều năm nay các nước trên thế giới đều coi đây là một cuộc cách mạng,

người ta nói đến "Cuộc cách mạng Chính phủ điện tử". Nước Mỹ trong nhiều tài liệu

có nêu rằng: Chính phủ điện tử là cuộc cách mạng tiếp theo của nước Mỹ. Vì việc đưa

tài liệu về tình hình triển khai Chính phủ điện tử tại các nước sẽ quá dài, em xin chỉ

đưa ra đây sắp xếp mức độ triển khai Chính phủ điện tử của 20 quốc gia do Ngân hàng

thế giới tổng kết để cùng tham khảo: Mỹ, Singapore, Ôxtrâylia, Canada, Pháp, Anh,

Hồng Kông, Niudilân, Nauy, Tây Ban Nha, Đức, Hà Lan, Nam Phi, Italia, Nhật Bản,

Ireland, Mêhicô, Bỉ, Malayxia, Brazil.

Gần chúng ta có Singapore đã triển khai Chính phủ điện tử từ khá lâu (1990) và

đến nay đã đạt được những thành tựu lớn. Riêng về thuế điện tử, quy trình thế ở

Singapore đã gần như hoàn thiện, mọi việc đều có thể thực hiện qua Internet và điện

13

Tổng quan về thuế và thuế điện tử

thoại. Trên trang web của ngành thuế Singapore có các hướng dẫn cụ thể và chi tiết

cho từng đối tượng người nộp thuế, từ việc nhận hóa đơn, tính thuế, kê khai thuế, nộp

thuế, …

14

Tổng quan về an toàn thông tin

Chương 2. Tổng quan về an toàn thông tin

2.1. Định nghĩa an toàn thông tin

2.1.1. Định nghĩa

An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và dịch vụ có khả

năng chống lại những sự can thiệp, lỗi và những tai họa không mong đợi, các thay đổi

tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống không an toàn là hệ thống

tồn tại những điểm: thông tin bị rò rỉ ra ngoài - thông tin dữ liệu trong hệ thống bị

người không được quyền truy nhập lấy và sử dụng, thông tin bị thay đổi - các thông tin

trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch một phần hoặc hoàn toàn nội

dung...

Giá trị thực sự của thông tin chỉ đạt được khi thông tin được cung cấp chính xác

và kịp thời, hệ thống phải hoạt động chuẩn xác thì mới có thể đưa ra những thông tin

có giá trị cao. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số

tiêu chuẩn an toàn và áp dụng các tiêu chuẩn an toàn này vào chỗ thích hợp để giảm

bớt và loại trừ những nguy hiểm có thể xảy ra. Ngày nay với kỹ thuật truyền nhận và

xử lý thông tin ngày càng phát triển và phức tạp nên hệ thống chỉ có thể đạt tới một

mức độ an toàn nào đó và không có một hệ thống an toàn tuyệt đối. Ngoài ra khi đánh

giá còn phải cân đối giữa mức độ an toàn và chất lượng của dịch vụ được cung cấp.

Khi đánh giá độ an toàn thông tin cần phải dựa trên nội dung phân tích các rủi ro có

thể gặp, từ đó tăng dần sự an toàn bằng cách giảm bớt những rủi ro. Các đánh giá cần

hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.

2.1.2. Các yêu cầu an toàn bảo mật thông tin

Ngày nay, với sự phát triển rất nhanh của khoa học công nghệ, các biện pháp tấn

công ngày càng tinh xảo hơn, độ an toàn của thông tin có thể bị đe dọa từ nhiều nơi,

theo nhiều cách khác nhau, chúng ta cần phải đưa ra các chính sách đề phòng thích

hợp. Các yêu cầu cần thiết của việc bảo vệ thông tin và tài nguyên:

• Đảm bảo tính tin cậy (Confidentiality): Thông tin và tài nguyên không thể bị

truy cập trái phép bởi những người không có quyền hạn.

15

Tổng quan về an toàn thông tin

• Đảm bảo tính toàn vẹn (Integrity): Thông tin và tài nguyên không thể bị sửa

đổi, bị thay thế bởi những người không có quyền hạn.

• Đảm bảo tính sẵn sàng (Availability): Thông tin và tài nguyên luôn sẵn sàng

để đáp ứng sử dụng cho người có quyền hạn.

• Đảm bảo tính không thể chối bỏ (Non-repudiation): Thông tin và tài nguyên

được xác nhận về mặt pháp luật của người cung cấp.

2.2. Chữ ký số

2.2.1. Định nghĩa

Chữ ký số khóa công khai là mô hình sử dụng các kỹ thuật mật mã để gắn với

mỗi người sử dụng một cặp khóa công khai - bí mật và qua đó người sử dung, doanh

nghiệp, tổ chức có thể ký các văn bản điện tử cũng như trao đổi các thông tin cần độ

an toàn cao với nhau. Khóa công khai thường được phân phối thông qua một nhà cung

cấp chứng thực khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 bước: tạo chữ

ký và thẩm tra chữ ký.

2.2.2. Lịch sử

Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hàng trăm năm nay với

việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New

Hampshire (Hoa Kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với

những phát triển vượt bậc của khoa học kỹ thuật nói chung và công nghệ thông tin nói

riêng gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi.

Vào thập kỷ 1980, các công ty, tổ chức và một số cá nhân bắt đầu sử dụng máy

fax để trao đổi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện

trên giấy tờ nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.

Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng thư điện tử, nhập

các số định danh cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị

màn hình cảm ứng tại các quầy tính tiền, chấp nhận các điều khoản người dùng

(EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử trực tuyến...

16

Tổng quan về an toàn thông tin

2.2.3. Các ưu điểm của chữ ký số

Việc sử dụng chữ ký số mang lại một số lợi điểm sau:

Khả năng xác định nguồn gốc

Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa

bí mật mà chỉ có người chủ của khóa có. Để sử dụng chữ ký số thì văn bản cần phải

được mã hóa hàm băm (thường có độ dài cố định và ngắn hơn nhiều so với văn bản)

sau đó dùng khóa bí mật của người chủ khóa để mã hóa, khi đó ta được chữ ký số. Khi

cần kiểm tra, bên nhận sử dụng khóa công khai của bên gửi thực hiện giải mã để lấy lại

hàm băm và kiểm tra với hàm băm của văn bản nhận được. Nếu hai giá trị này khớp

nhau thì bên nhận có thể tin tưởng rằng văn bản được gửi đi từ người sở hữu khóa bí

mật. Tất nhiên chúng ta không thể đảm bảo 100% là văn bản không bị giả mạo vì hệ

thống vẫn có thể bị truy cập và giả mạo.

Vấn đề xá hàm băm c thực đặc biệt quan trọng đối với các giao dịch tài chính.

Chẳng hạn một chi nhánh ngân hàng gửi một gói tin A về trung tâm trong đó chứa

thông tin về số tài khoản và số tiền gửi. Kẻ gian có thể thực hiện một giao dịch, sau đó

bắt lấy nội dung gói tin A và truyền lại gói tin thu được nhiều lần hoặc thay đổi nội

dung gói tin để thu lợi (tấn công truyền lại gói tin).

Tính toàn vẹn

Cả hai bên tham gia vào quá trình trao đổi thông tin đều có thể tin tưởng là văn

bản không bị sửa đổi trong quá trình truyền truyền vì nếu văn bản bị thay đổi dù là cực

nhỏ thì giá trị hàm băm cũng sẽ thay đổi theo và việc này sẽ bị phát hiện. Nếu chỉ có

quá trình mã hóa thì chỉ có thể ẩn nội dung của gói tin nhưng không thể ngăn cản được

việc thay đổi nội dung của nó. Một ví dụ cho trường hợp này là tấn công đồng hình

(homomorphism attack): tiếp tục ví dụ như ở trên, một kẻ lừa đảo gửi 500.000 Đồng

vào tài khoản Z, sau đó bắt gói tin A mà chi nhánh gửi về trung tâm sau đó gửi gói tin

B có giá trị hơn để sinh lợi. Đây là vấn đề bảo mật của chi nhánh đối với trung tâm

ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin từ người gửi tới chi

nhánh, bởi thông tin đã được băm và mã hóa để gửi đến đúng đích của nó tức chi

nhánh ngân hàng, vấn đề còn lại vấn đề bảo mật của chi nhánh ngân hàng tới trung tâm

của nó.

17

Tổng quan về an toàn thông tin

Tính không thể chối bỏ

Trong khi trao đổi thông tin, một bên có thể không nhận thông tin là do mình gửi

đi. Để chống lại khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký

số với thông tin. Khi có tranh chấp xảy ra, bên nhận sẽ dùng chữ ký này như một

chứng cứ để bên thứ ba giải quyết. Tuy nhiên, bằng cách nào đó khóa bí mật vẫn có

thể bị lộ và tính không thể chối bỏ cũng không phải là hoàn toàn.

Thực hiện chữ ký số khóa công khai

Chữ ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai. Để có

thể trao đổi thông tin trong môi trường này, mỗi người sử dụng cần tạo, hoặc đăng ký

cho mình cặp khóa: một khóa bí mật và một khóa công khai. Khóa bí mật phải được

bảo quản kĩ lưỡng, không được để lộ, khóa công khai sẽ được công bố rộng rãi qua

nhà phân phối chứng thực khóa công khai hoặc qua được riêng. Nếu chỉ biết khóa

công khai thì không thể dò ngược lại được để tìm khóa bí mật.

Quá trình này gồm ba thuật toán:

• Thuật toán tạo khóa

• Thuật toán tạo chữ ký số

• Thuật toán thẩm tra chữ ký số

Xét ví dụ sau: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó

thực sự do chính Bob gửi. Bob gửi cho Alice bản tin kèm với chữ ký số. Chữ ký này

được tạo ra với khóa bí mật của Bob. Khi nhận được bản tin, Alice sử dụng khóa công

khai của Bob để kiểm tra nguồn gốc của văn bản. Bản chất của thuật toán tạo chữ ký

đảm bảo nếu chỉ cho trước bản tin, rất khó (gần như không thể) tạo ra được chữ ký của

Bob nếu không biết khóa bí mật của Bob.

Nếu quá trình kiểm tra cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin

thực sự do Bob gửi.Thông thường, Bob không mật mã hóa toàn bộ bản tin với khóa bí

mật mà chỉ thực hiện với giá trị băm của bản tin đó. Điều này khiến việc ký trở nên

đơn giản, thực hiện nhanh hơn và chữ ký ngắn hơn. Tuy nhiên nó cũng làm nảy sinh

vấn đề khi hai bản tin khác nhau lại cho ra cùng một giá trị băm. Đây là điều có thể

xảy ra khi sử dụng các thuật toán hàm băm mặc dù xác suất rất thấp.

18

Tổng quan về an toàn thông tin

Các bước mã hoá và ký

Bước 1: Ở bước này, sử dụng hàm băm để đảm bảo tính toàn vẹn của thông điệp.

Các thuật toán hàm băm không làm thay đổi thông điệp mà chỉ dùng để tạo ra một

chuỗi băm riêng của thông điệp. Sau đó bước 3 sẽ sử dụng thông điệp và chuỗi băm

của thông điệp để thực hiện mã hóa. Bước này có thể dùng SHA hoặc MD5.

Bước 2: Mã hóa chuỗi băm của thông điệp bằng khóa bí mật của người gửi ở

bước 1. Quá trình này thường dùng các thuật toán như RSA, DSA, 3DES,... Kết quả

thu được chính là chữ ký số của thông điệp ban đầu.

Bước 3: Sử dụng khóa công khai của người nhận để mã hoá thông tin cần gửi đi.

Bước 4: Gộp chữ ký số vào thông điệp đã được mã hoá và gửi đi. Như vậy sau

khi đã ký nhận chữ ký số vào thông điệp đã được mã hoá, mọi sự thay đổi trên thông

điệp sẽ bị phát hiện trong giai đoạn thẩm tra. Ngoài ra, việc ký nhận này cho phép

người nhận xác định được chính xác người gửi tin.

Các bước kiểm tra

Bước 1: Người nhận dùng khóa bí mật của mình để giải mã thông tin nhận được

gồm hai phần: phần thông điệp và phần chữ ký người gửi.

Bước 2: Dùng khóa công khai của người gửi (khoá này được phát hành qua một

nhà chứng nhận khóa công khai) để giải mã chữ ký số của thông điệp, ta được chuỗi

băm của thông điệp.

Bước 3: Dùng giải thuật MD5 (hoặc SHA) băm thông điệp đính kèm ta có chuỗi

băm của thông điệp nữa.

Bước 4: So sánh kết quả thu được ở bước 2 và 3 nếu trùng nhau, ta kết luận thông

điệp này không bị thay đổi trong quá trình truyền và thông điệp này là của người gửi.

19

Tổng quan về an toàn thông tin

2.2.4. Đăng ký, sử dụng và thẩm tra chữ ký số

Hình 1: Đăng kí dịch vụ chữ ký số

Hình 2: Ký vào thông điệp

20

Tổng quan về an toàn thông tin

Hình 3: Thẩm định chữ ký số

2.2.5. Một vài thuật toán dùng trong chữ ký số

RSA

Trong mật mã học, RSA là một thuật toán mật mã hóa khóa công khai. Đây là

thuật toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mã hóa.

Nó đánh dấu một sự tiến bộ vượt bậc của lĩnh vực mật mã học trong việc sử dụng khóa

công khai. RSA đang được sử dụng phổ biến trong thương mại điện tử và được cho là

đảm bảo an toàn với điều kiện độ dài khóa đủ lớn.

Thuật toán được Ron Rivest, Adi Shamir và Len Adleman mô tả lần đầu tiên vào

năm 1977 tại Học viện Công nghệ Massachusetts (MIT). Tên của thuật toán lấy từ ba

chữ cái đầu của tên ba tác giả.

Trước đó, vào năm 1973, Clifford Cocks, một nhà toán học người Anh, đã mô tả

một thuật toán tương tự. Với khả năng tính toán tại thời điểm đó thì thuật toán này

không khả thi và chưa bao giờ được thực nghiệm. Tuy nhiên, phát minh này chỉ được

công bố vào năm 1997 vì được xếp vào loại tuyệt mật.

21

Tổng quan về an toàn thông tin

Thuật toán RSA được MIT đăng ký bằng sáng chế tại Hoa Kỳ vào năm 1983 (Số

đăng ký 4.405.829). Bằng sáng chế này hết hạn vào ngày 21 tháng 9 năm 2000. Tuy

nhiên, do thuật toán đã được công bố trước khi có đăng ký bảo hộ nên sự bảo hộ hầu

như không có giá trị bên ngoài Hoa Kỳ. Ngoài ra, nếu như công trình của Clifford

Cocks đã được công bố trước đó thì bằng sáng chế RSA đã không thể được đăng ký.

Thuật toán RSA có hai khóa: khóa công khai và khóa bí mật. Mỗi khóa là những

số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được công bố

rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng

khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Nói cách khác,

mọi người đều có thể mã hóa nhưng chỉ có người biết khóa bí mật mới có thể giải mã

được.

Tạo khóa

Giả sử Alice và Bob cần trao đổi thông tin bí mật thông qua một kênh không an

toàn (ví dụ như Internet). Với thuật toán RSA, Alice đầu tiên cần tạo ra cho mình cặp

khóa gồm khóa công khai và khóa bí mật theo các bước sau:

p≠q,

• Chọn 2 số nguyên tố lớn p và q với

• Tính: n = pq.

lựa chọn ngẫu nhiên và độc lập.

φn= p−1q−1.

• Tính: giá trị hàm số Ơle

1eφn

• Chọn một số tự nhiên e sao cho

φn.

và là số nguyên tố cùng nhau với

de≡1mod φn.

• Tính: d sao cho

Một số lưu ý:

• Các số nguyên tố thường được chọn bằng phương pháp thử xác suất.

• Các bước 4 và 5 có thể được thực hiện bằng giải thuật Euclid mở rộng (xem

thêm: số học môđun).

• Bước 5 có thể viết cách khác: Tìm số tự nhiên x sao cho

x p−1q−11

d=

cũng là số tự nhiên. Khi đó sử dụng giá trị d mod

e

22

Tổng quan về an toàn thông tin

(p – 1)(q - 1) .

λ=LCM  p−1,q−1

• Từ bước 3, PKCS#1 v2.1 sử dụng

φ= p−1q−1.

thay cho

Khóa công khai bao gồm:

• n, môđun

• e, số mũ công khai (cũng gọi là số mũ mã hóa).

Khóa bí mật bao gồm:

• n, môđun, xuất hiện cả trong khóa công khai và khóa bí mật

• d, số mũ bí mật (cũng gọi là số mũ giải mã).

Một dạng khác của khóa bí mật bao gồm:

• p and q, hai số nguyên tố chọn ban đầu

• d mod (p-1) và d mod (q-1) (thường được gọi là dmp1 và dmq1)

• (1/q) mod p (thường được gọi là iqmp)

Dạng này cho phép thực hiện giải mã và ký nhanh hơn với việc sử dụng định lý

số dư Trung Quốc. Ở dạng này, tất cả thành phần của khóa bí mật phải được giữ bí

mật.

Alice gửi khóa công khai cho Bob, và giữ bí mật khóa cá nhân của mình. Ở đây,

p và q giữ vai trò rất quan trọng. Chúng là các phân tố của n và cho phép tính d khi

biết e. Nếu không sử dụng dạng sau của khóa bí mật (dạng CRT) thì p và q sẽ được

xóa ngay sau khi thực hiện xong quá trình tạo khóa.

Mã hóa

Giả sử Bob muốn gửi đoạn thông tin M cho Alice. Đầu tiên Bob chuyển M thành

một số m < n theo một hàm có thể đảo ngược (từ m có thể xác định lại M) được thỏa

thuận trước.

Lúc này Bob có m và biết n cũng như e do Alice gửi. Bob sẽ tính c là bản mã hóa

c=m^emod n

của m theo công thức:

23

Tổng quan về an toàn thông tin

Hàm trên có thể tính dễ dàng sử dụng phương pháp tính hàm mũ (theo môđun)

bằng (thuật toán bình phương và nhân). Cuối cùng Bob gửi c cho Alice.

Giải mã

Alice nhận c từ Bob và biết khóa bí mật d. Alice có thể tìm được m từ c theo công

thức sau:

m=c^dmod n

Biết m, Alice tìm lại M theo phương pháp đã thỏa thuận trước. Quá trình giải mã

hoạt động vì ta có:

c^d≡m^e^d≡m^edmod n.

Do ed ≡ 1 (mod p-1) và ed ≡ 1 (mod q-1), (theo Định lý Fermat nhỏ) nên:

m^ed≡mmod p

m^ed≡mmod q

và

Do p và q là hai số nguyên tố cùng nhau, áp dụng định lý số dư Trung Quốc, ta

có:

m^ed≡mmod pq.

c^d≡mmod n.

hay

Ví dụ

Sau đây là một ví dụ với những số cụ thể. Ở đây chúng ta sử dụng những số nhỏ

để tiện tính toán còn trong thực tế phải dùng các số có giá trị đủ lớn.

Lấy:

p = 61 - số nguyên tố thứ nhất (giữ bí mật hoặc hủy sau khi tạo khóa)

q = 53 - số nguyên tố thứ hai (giữ bí mật hoặc hủy sau khi tạo khóa)

n = pq = 3233 - môđun (công bố công khai)

e = 17 - số mũ công khai

d = 2753 - số mũ bí mật

Khóa công khai là cặp (e, n). Khóa bí mật là d. Hàm mã hóa là:

m^e

m¹⁷

mod 3233

encrypt(m) =

mod n =

24