Về tính an toàn, bảo mật chữ ký số của MISA

Sau khi Ban thư ký CLB đăng bài “V/v Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam”, có nhiều thông tin trao đổi về vấn đề an toàn, bảo mật đối với chữ ký số của MISA cũng như việc khai trừ MISA khỏi CLB. Để có thêm thông tin cung cấp cho cộng đồng, Ban thư ký đã trao đổi với Tổ kỹ thuật và Ban chủ nhiệm của CLB, cụ thể như sau:

1. Vấn đề an toàn bảo mật đối với giải pháp chữ ký số của MISA cụ thể là gì?

Như Clip phản ánh của 1 doanh nghiệp đã sử dụng Chữ ký số eSign của MISA (https://www.youtube.com/watch?v=BHXY6vs1bZg), giải pháp của MISA cung cấp cho người dùng một phương thức ký số nhìn qua thì hết sức tiện lợi và đơn giản, người dùng chỉ cần nhớ username/password là có thể thực hiện ký số mọi giao dịch, việc này được thực hiện trên bất kỳ thiết bị di động nào mà người dùng đó sử dụng. Câu hỏi đặt ra? Việc gì xảy ra nếu username/password đó bị lộ? bị hack? Điều này có nghĩa là bất kỳ ai biết username/password đều có quyền sở hữu Khóa riêng của username này, thực hiện ký số bất kỳ giao dịch nào mà chủ nhân thực sự của nó không hề hay biết cho đến khi có sự cố được phát hiện (như mất tiền trong Ngân hàng, hợp đồng, hóa đơn khống được ký bừa bãi...). Và như vậy, một đặc tính quan trọng nhất của dịch vụ chứng thực chữ ký số công cộng đã bị vi phạm đó là “Tính chống chối bỏ”. Bất kỳ người dùng nào sử dụng giải pháp của MISA cũng có thể chối bỏ việc ký số, và cho rằng, username/password của mình đã bị hack, đã bị lộ, và nguy hiểm hơn, người dùng có thể đổ lỗi cho chính Misa làm lộ username/password của họ (mức độ đến đâu thì phụ thuộc MISA quản lý username/password của người dùng như thế nào).

Như vậy, rõ ràng là giải pháp eSign của MISA không đáp ứng được tiêu chí pháp lý của Thông tư 16/2019/TT-BTTTT cũng như Nghị định 130/2018/NĐ-CP của Chính phủ về chữ ký số đảm bảo chống chối bỏ.

2. MISA đã công bố nâng cấp tính an toàn bảo mật giải pháp chữ ký số của MISA (tại đây: https://esign.misa.vn/…/tinh-bao-mat-cho-chu-ky-so-misa-es…/), việc này có đảm bảo không?

Chúng tôi có nắm được thông tin MISA mới nâng cấp bổ sung xác thực OTP vào giải pháp của mình. Về việc này, Sau khi được CLB Chữ ký số và giao dịch điện tử cảnh báo, MISA đã hiểu rõ vấn đề mất an toàn của giải pháp mà mình đang áp dụng và có tiến hành nâng cấp. Tuy nhiên, MISA đang cố gắng chữa cháy, càng làm càng sai nếu không thật sự hiểu rõ vấn đề. Chúng ta đang cố gắng để nghiên cứu ứng dụng chữ ký số vào thay thế cho các giải pháp OTP đang sử dụng hiện nay, vì OTP là giải pháp đã được chứng minh là có lỗ hổng, có thể bị hacker khai thác, lợi dụng, không an toàn. MISA lại dùng 1 giải pháp xác thực yếu hơn (OTP) để xác thực cho giải pháp mạnh hơn (CA). Đây là cách làm vô nghĩa. Không đảm bảo được tính chống chối bỏ, xác thực nguồn gốc của chữ ký số. MISA đang đẩy rủi ro cho người dùng của mình.

3. Để xử lý vụ việc này, tránh các rủi ro có thể xẩy ra, MISA cần làm gì?

Theo chúng tôi, để giảm thiểu rủi ro, MISA cần thực hiện ngay các việc sau:
•  Dừng ngay việc cung cấp dịch vụ để giảm thiểu việc phát sinh chữ ký số thật nhưng bị chối bỏ.
•  Thu hồi toàn bộ CTS đã cung cấp và khuyến cáo người sử dụng rà soát CKS đã ký trong thời gian vừa qua.
•  Có biện pháp đảm bảo quyền lợi của người sử dụng.
•  Chỉ cung cấp dịch vụ trở lại sau khi đã được Trung tâm Chứng thực điện tử quốc gia thẩm tra và cấp chứng thư số cho mô hình ký số từ xa theo hướng dẫn số 190/NEAC-TĐPC, tuân thủ theo quy định tại điều 22 NĐ130/2018/NĐ-CP
•  Thông báo rộng rãi để người sử dụng biết và liên hệ với MISA để yêu cầu đảm bảo quyền lợi..

4. Việc khai trừ MISA là do các đơn vị cung cấp dịch vụ khác không có sản phẩm triển khai nên không muốn cho MISA triển khai trước?

CLB đã nghiên cứu việc triển khai Chữ ký số di động và Chữ ký số từ xa từ rất sớm, từ năm 2017 CLB đã chính thức có đề xuất ban hành thông tư 16/2019/TT-BTTTT. Do có sự nghiên cứu từ rất sớm, nắm bắt được hết các công nghệ ký số từ xa hiện tại đang có nên chúng tôi dễ dàng nhận ra giải pháp của MISA triển khai không đảm bảo an toàn, bảo mật, cụ thể là tính chống chối bỏ của chữ ký số, chữ ký số do MISA cung cấp cũng chỉ tương đương như tài khoản và mật khẩu thông thường.

Chúng tôi lo ngại việc triển khai của MISA sẽ ảnh hưởng đến người sử dụng, ảnh hưởng đến uy tín của cả mảng dịch vụ CA ở Việt Nam nên đã nhiều lần nhắc nhở, cảnh báo trực tiếp MISA, bản thân MISA cũng thừa nhận vẫn đề tồn tại và mới đây có nâng cấp một phần “để vá” (tuy nhiên giải pháp này không thể giải quyết được tận gốc các rủi ro), nên bắt buộc CLB phải tiến hành khai trừ MISA. MISA không chỉ vi phạm Quy chế của CLB mà còn vi phạm Quy định của Bộ TTTT khi cấp Chữ ký số từ xa trước khi Thông tư 16/2019/TT-BTTTT có hiệu lực (hiệu lực thông tư từ 01/04/2020, nhưng MISA đã cấp ra rất nhiều Chữ ký số từ trước thời điểm này). Chúng tôi tiến hành khai trừ MISA với mục tiêu cuối cùng là MISA phải dừng việc cấp Chữ ký số không đảm bảo an toàn, cho cho đến khi giải pháp được đánh giá kiểm định của cơ quan có thẩm quyền.

5. Kiến nghị của CLB với cơ quan quản lý nhà nước.

Chúng tôi đánh giá cao sự ra đời của 16/2019/TT-BTTTT, tạo hành lang pháp lý để các đơn vị CA có cơ sở đầu tư nghiên cứu công nghệ giải pháp mới giúp cho việc triển khai dịch vu chữ ký số được tiện lợi hơn, an toàn hơn đặc biệt là cho đối tượng khách hàng cá nhân, nhưng không vì đó mà lợi dụng, làm sai, làm không đúng mục đích của Thông tư.

Chúng tôi kiến nghị các cơ quan quản lý nhà nước, có thẩm quyền cụ thể là NEAC sớm có các biện pháp để yêu cầu MISA dừng việc cung cấp dịch vụ khi chưa được Bộ TTTT thẩm định, đánh giá về việc đáp ứng các yêu cầu của 16/2019/TT-BTTTT. Cao hơn nữa là có thể tạm dừng chứng thư số của MISA để tránh việc đơn vị này tiếp tục cung cấp chứng thư số cho các tổ chức, cá nhân trước khi được phép.

6. Việc khai trừ MISA có thực hiện đung quy trình, có “tình” có “lý” không ?

Việc khai trừ MISA thực hiện theo đúng quy chế của CLB, cụ thể MISA không thực hiện các quyết định chung của CLB với mục đích thúc đẩy sự phát triển bền vững, an toàn của lĩnh vực chữ ký số tại Việt Nam liên quan tới việc triển khai thông tư số 16/2019/TT-BTTTT Quy định “Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa”:

•  Ngày 05/12/2019, Bộ Thông tin và Truyền thông ban hành Thông tư số 16/2019/TT-BTTTT Quy định “Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa”, thông tư này chính thức có hiệu lực từ ngày 01/04/2020. Thông tư này được kỳ vọng mở rộng thị trường chữ ký số cá nhân, thúc đẩy phát triển chính phủ điện tử, giảm giá thành chứng thư số cung cấp cho người dân và doanh nghiệp nhưng vẫn đảm bảo an toàn, bảo mật đối với hạ tầng khoá công khai (PKI) tại Việt Nam. Trước thời điểm thông tư 16/2019/TT-BTTTT, công ty MISA đã cung cấp dịch vụ ra thị trường.
•  Ngày 26/3/2020, Trung tâm chứng thực điện tử Quốc gia tổ chức họp cùng các đơn vị cung cấp dịch vụ chứng thực chữ ký số để trao đổi về phương án triển khai thông tư 16/2019/TT-BTTTT. Cuộc họp kết luận với chủ trương do dịch vụ chữ ký số là dịch vụ quan trọng, các đơn vị cần được kiểm tra, đánh giá về kỹ thuật trước khi cung cấp dịch vụ ra thị trường.
•  Ngày 29/04/2020 VCDC đã tổ chức họp câu lạc bộ về các nội dung trên, các thành viên cùng nhất trí trước khi cung cấp chính thức dịch vụ phải thực hiện kiểm định được thông qua về mặt kỹ thuật và quy trình bởi NEAC theo đúng Thông tư 16/2019/TT-BTTTT. Trong buổi họp này các thành viên cũng thống nhất công ty MISA phải dừng cung cấp dịch vụ eSign (dịch vụ ký số trên di động và ký số từ xa của MISA) hiện đang cung cấp trên thị trường, cho đến khi đánh giá xong giải pháp để đảm bảo phát triển bên vững hạ tầng chữ ký số Việt Nam.

•  Ngày 7/5/2020, Trung tâm chứng thực điện tử Quốc gia ban hành hướng dẫn 190/NEAC-TĐPC về việc thực hiện thông tư 16/2019/TT-BTTTT, trong đó quy định các đơn vị cung cấp dịch vụ chứng thực chữ ký số phải được thẩm tra phương án kỹ thuật đáp ứng các tiêu chuẩn theo quy định tại thông tư 16/2019/TT-BTTTT và quy chế chứng thực đáp ứng việc cung cấp dịch vụ theo mô hình ký số trên thiết bị di động và/hoặc ký số từ xa trước khi cung cấp dịch vụ ra thị trường.

•  Theo các chuyên gia của VCDC, việc không tuân thủ theo hướng dẫn của Bộ thông tin và Truyền thông đã dẫn tới hậu quả là: giải pháp eSign đang triển khai trên thị trường của công ty MISA không đảm bảo an toàn, bảo mật, cụ thể là tính chống chối bỏ của chữ ký số, chữ ký số do MISA cung cấp cũng chỉ tương đương như tài khoản và mật khẩu thông thường về mặt an toàn, bảo mật (xem clip tại đây).

•  Ngày 22/5/2020. Công ty MISA tuyên bố bổ sung giải pháp xác thực 2 lớp vào chữ ký số của mình, tuy nhiên việc bổ sung này về mặt kỹ thuật không thể thay thế và đảm bảo tính chống chối bỏ vốn có của chữ ký số. Việc bổ sung xác thực 2 lớp làm cho giải pháp bảo mật cao nhất là chữ ký số bị “hạ cấp” tương đương như giải pháp xác thực hai yếu tố. Bên cạnh đó, việc tới ngày 22/5/2020, công ty MISA mới bổ sung giải pháp tăng cường bảo mật (chưa được Bộ TTTT xác nhận và cấp chứng thư số mới cho riêng dịch vụ này theo hướng dẫn 190/NEAC-TĐPC ngày 7/5/2020). Câu hỏi đặt ra là các chứng thư số được MISA cung cấp trước thời điểm ngày 22/5/2020 có mức độ an toàn thế nào chắc chúng ta đều rõ ? Nếu an toàn rồi thì sao phải bổ sung giải pháp xác thực 2 lớp.

Việc công ty MISA tiếp tục triển khai dịch vụ mặc dù đã được cảnh báo có thể tạo ra nguy cơ mất an toàn, bảo mật có thể xảy ra đối với xã hội, doanh nghiệp và các cơ quan tổ chức chấp nhận chữ ký số eSign. Do đặc thù dịch vụ dựa trên sự “tin tưởng”, chỉ cần một Nhà cung cấp dịch vụ Chứng thư số công cộng bị đổ vỡ là gây ra rất nhiều khó khăn, phức tạp cho doanh nghiệp sử dụng, cho cơ quan tổ chức chấp nhận chữ ký số. Vài chục Chứng thư số bị lợi dụng kẽ hở trong quản lý, không tuân thủ quy trình là có thể gây ra những hệ lụy khôn lường cho Doanh nghiệp, Cơ quan tổ chức. Với hàng nghìn chữ ký số đã cung cấp ra thị trường cho những dịch vụ quan trọng như khai thuế, hóa đơn điện tử… việc cung cấp dịch vụ không đảm bảo an toàn, bảo mật của MISA có nguy cơ xảy ra các rủi ro rất lớn vì một chứng thư số không đảm bảo có thể tạo ra hàng triệu chữ ký số giả mạo.

Do vậy, để thực hiện tôn chỉ mục đích chung của CLB và quy chế chung, Ban chủ nhiệm CLB VCDC quyết định khai trừ MISA ra khỏi CLB để thể hiện thái độ không đồng thuận với các hành động của công ty MISA.

VCDC