Nghiên cứu giải pháp bảo đảm an toàn thông tin trong giai đoạn đăng ký bỏ phiếu điện tử

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Trần Đông Hải NGHIÊN CỨU MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN ĐĂNG KÝ BỎ PHIẾU ĐIỆN TỬ LUẬN VĂN THẠC SĨ Hà Nội – 2015 2 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ Trần Đông Hải NGHIÊN CỨU MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN ĐĂNG KÝ BỎ PHIẾU ĐIỆN TỬ Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ Người hướng dẫn khoa học: PGS.Trịnh Nhật Tiến Hà Nội - 2015 3 LỜI CAM ĐOAN Tôi xin cam đoan kết quả đạt đƣợc trong luận văn là sản phẩm của riêng cá nhân tôi, không sao chép của ngƣời khác. Trong toàn bộ nội dung luận văn, những điều đã đƣợc trình bày hoặc là của riêng tôi, hoặc là đƣợc tổng hợp từ nhiều nguồn tài liệu. Nguồn tài liệu tham khảo đều có xuất xứ rõ ràng, đƣợc trích dẫn hợp pháp. Tôi xin chịu trách nhiệm hoàn toàn và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Học viên Trần Đông Hải 4 LỜI CẢM ƠN! Em chân thành cảm ơn thầy PGS.Trịnh Nhật Tiến đã tận tình hƣớng dẫn, giúp đỡ em thực hiện bản luận văn cao học này. Em chân thành cảm ơn các thầy giáo, cô giáo Trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội đã giảng dạy truyền đạt kiến thức cho học viên chúng em trong những năm học vừa qua. Trong quá trình làm, luận văn không tránh khỏi những hạn chế, em mong nhận đƣợc sự góp ý của các thầy cô và đồng nghiệp, để em có điều kiện, nghiên cứu sâu thêm về đề tài đã lựa chọn. Em xin chân thành cảm ơn! Học viên Trần Đông Hải 5 MỤC LỤC Trang MỤC LỤC………………………………………………………………….1 DANH MỤC HÌNH………………………………………………………. CÁC KHÁI NIỆM CƠ BẢN . TỔNG QUAN VỀ AN TOÀN THÔNG TIN . Các yêu cầu đảm bảo an toàn thông tin . Các nội dung an toàn thông tin . Các chiến lƣợc an toàn thông tin . Các phƣơng pháp bảo đảm an toàn thông tin . Ứng dụng an toàn thông tin . Phân loại hệ mã hóa . Chữ ký số RSA . SƠ ĐỒ CHIA SẺ BÍ MẬT. Sơ đồ ngƣỡng Shamir . MỘT SỐ BÀI TOÁN VỀ AN TOÀN THÔNG TIN . 37 TRONG GIAI ĐOẠN ĐĂNG KÝ BỎ PHIẾU ĐIỆN TỬ. 37 VÀ PHƢƠNG PHÁP GIẢI QUYẾT. BỎ PHIẾU ĐIỆN TỬ . Các thành phần trong một hệ thống bỏ phiếu điện tử . Quy trình bỏ phiếu điện tử . Bảo vê ̣hồsơ cƣ̉ tri . Thẩm đinḥ hồsơ cƣ̉ tri . Ẩn danh lá phiếu tránh lá phiếu bị theo dõi . Môṭcƣ̉ tríđăng kýbỏphiếu nhiều lần . Ban đăng kýkýnhiều láphiếu cho môṭcƣ tri . THỬ NGHIỆM CHƢƠNG TRÌNH ỨNG DỤNG. CÔNG NGHỆ PHÁT TRIỂN . PHÂN TÍCH THIẾT KẾ HỆ THỐNG . Biểu đồ ngữ cảnh . Biểu đồ khung cảnh . Biểu đồ phân rã chức năng . Cơ sở dữ liệu . MỘT SỐ CHỨC NĂNG .Giao diện đăng nhập hệ thống . Quản trị hệ thống .65 TÀI LIỆU THAM KHẢO…………………………………………….66 8 DANH MỤC HÌNH Trang Hình 1.1 Mã hóa và giải mã 14 Hình 1.2 Chữ ký số 22 Hình 1.3 Sơ đồ ngƣỡng Shamir 28 Hình 2.1 Quy trình bỏ phiếu điện tử 38 Hình 2.2 Giai đoạn đăng ký bỏ phiếu 40 Hình 2.3 Giai đoạn bỏ phiếu 41 Hình 2.4 Giai đoạn kiểm phiếu 42 Hình 3.1 Biểu đồ ngữ cảnh 52 Hình 3.2 Biểu đồ khung cảnh 52 Hình 3.3 Biểu đồ mô tả chức năng 53 Hình 3.4 Bảng Voter 55 Hình 3.5 Bảng User 56 Hình 3.6 Bảng Role 56 Hình 3.7 Bảng sharekey 56 Hình 3.8 Bảng signballot 57 Hình 3.9 Bảng Config 57 Hình 3.10 Đăng ký hồ sơ 58 Hình 3.11 Đăng nhập 59 Hình 3.12 Quản lý hồ sơ 59 9 Hình 3.13 Quản trị hệ thống 60 Hình 3.14 Quản trị ngƣời dùng 61 Hình 3.15 Khởi tạo chia sẻ bí mật 62 Hình 3.16 Chữ ký mù 63 10 MỞ ĐẦU Ngày nay, máy tính và mạng internet phát triển mạnh mẽ, đã trở thành công cụ lƣu trữ, xử lý và truyền tải thông tin chủ yếu của con ngƣời. Mạng internet khiến thế giới gần nhau hơn, con ngƣời trên khắp thế giới có thể liên lạc dễ dàng với nhau qua email, chat, gọi điện qua mạng với giá thành rẻ. Thiết bị di động giúp chúng ta liên lạc với nhau mọi lúc mọi nơi. Máy tính giúp chúng ta lƣu trữ lƣợng thông tin khổng lồ, tìm kiếm, xử lý thông tin nhanh chóng và đƣợc sử dụng ngày càng sâu rộng trong mọi lĩnh vực của cuộc sống kinh tế, chính trị, quân sự, y tế, … Tuy nhiên, sự tiện lợi đó cũng phát sinh các vấn đề mới về an toàn thông tin. Nhiều thông tin nhạy cảm nhƣ thông tin cá nhân, tài khoản ngân hàng, các chiến lƣợc kinh doanh, bí mật quân sự, … đƣợc số hóa, khiến thông tin dễ bị tấn công, đánh cắp, thay đổi, giả mạo. Theo báo cáo về an toàn thông tin thế giới 2013 của VNISA (Vietnam Information Security Association: hiệp hội an toàn thông tin Việt Nam), số lƣợng website nhiễm mã độc và trở thành công cụ phát tán mã độc đã lên tới 75 triệu. Thiết bị Androi trở thành đích tấn công lớn nhất với 18.000 mẫu mã độc hại chỉ trong quý 2/2013, số lƣợng mã độc do McAfee sƣu tầm lên đến 140 triệu mẫu khác nhau. Việc thu thập thông tin ở mức độ nào là hợp pháp và bất hợp pháp, thu thập thông tin để chống khủng bố là rất cần thiết, nhƣng việc thu thập thông tin tình báo xâm phạm chủ quyền số quốc gia lại dẫn tới một thế giới thiếu tin cậy lẫn nhau, điển hình là việc Edward Snowden, cựu nhân viên CIA, tiết lộ chƣơng trình thu thập thông tin PRISM của chính phủ Mỹ đã nghe lén các cuộc gọi điện thoại của nhiều nguyên thủ quốc gia các nƣớc đồng minh Châu Âu, Châu Á. Trao đổi thông tin trên mạng còn thay đổi cách xác minh trách nhiệm các thông tin. Khi nhận đƣợc tờ Sec điện tử, làm sao để xác nhận nó là do đối tác đã thanh toán cho ta, tiền đó là thật hay giả. Khi nhận đƣợc bản hợp đồng kinh tế, làm sao biết chữ ký phía dƣới là đúng của các bên tham gia hợp đồng, 11 các chữ ký đó hoàn toàn có thể bị giả mạo bằng cách lấy chữ ký của các bên tham gia hợp đồng từ các giấy tờ khác và dán vào bản hợp đồng hiện tại. Xác định trách nhiệm bằng chữ ký truyền thống không còn phù hợp với tài liệu số, chúng ta cần dùng cách khác là chữ ký số. Để giải quyết các vấn đề trên, nghiên cứu an toàn thông tin là yêu cầu cấp bách, cần phải làm thƣờng xuyên, liên tục. Bỏ phiếu để thăm dò ý kiến cộng đồng là những hoạt động có từ lâu đời trong xã hội loài ngƣời. Bỏ phiếu truyền thống đã đáp ứng tốt các yêu cầu của cuộc bỏ phiếu, nhƣng cũng còn tồn tại nhiều vấn đề: thời gian bỏ phiếu lâu, việc gian lận phiếu bầu khó tránh khỏi, cử tri phải trực tiếp đến các địa điểm bỏ phiếu …. Để khắc phục các vấn đề đó, bỏ phiếu điện tử ra đời áp dụng công nghệ thông tin, internet vào quá trình bỏ phiếu. Bỏ phiếu điện tử hứa hẹn mang lại nhiều lợi ích lớn: cho phép bỏ phiếu từ xa, kiểm phiếu nhanh chóng và chính xác … Tuy vậy, chúng ta phải đối mặt với nhiều vấn đề mới ảnh hƣởng tới độ tin cậy của kết quả bầu cử: đảm bảo bí mật, bảo toàn, xác thực thông tin cử tri, lá phiếu trên đƣờng truyền hay khi lƣu trữ trên máy, tránh gian lận, thay đổi lá phiếu . Trên thế giới, tính đến năm 2012, mới có khoảng 11 nƣớc nghiên cứu phát triển bỏ phiếu điện tử, trong đó có 4 nƣớc áp dụng đầy đủ vào thực tế là Estonia, Canada, Pháp và Thụy Sĩ, 7 nƣớc còn lại đang trong giai đoạn thử nghiệm. Trong 11 nƣớc đó, có 7 nƣớc có ý định tiếp tục phát triển, một số nƣớc còn lại đã ngừng nghiên cứu do thấy phát sinh vấn đề mới làm cho tính hiệu quả của bỏ phiếu điện tử không hơn gì bỏ phiếu truyền thống nhƣ: Anh, Hà Lan, Tây Ban Nha. Thực tế các nƣớc cho thấy, còn nhiều vấn đề phải giải quyết để có hệ thống bỏ phiếu điện tử tin cậy, hiệu quả, trong đó vấn để bảo đảm an toàn thông tin là vấn đề lớn [9]. Tại Việt Nam, bầu cử điện tử là lĩnh vực mới, đang đƣợc nghiên cứu và cài đặt thử nghiệm ở một số lĩnh vực hẹp. Trƣớc yêu cầu lý luận và thực tế 12 đó, tôi lƣạ chọn đề tài: “Nghiên cứu một số giải pháp bảo đảm an toàn thông tin trong giai đoạn đăng ký bỏ phiếu điện tử” làm luận văn tốt nghiệp cao học của mình. Bố cục của luận văn bao gồm 3 chƣơng: Chƣơng 1: Các khái niệm cơ bản. Chƣơng này trình bày các vấn đề về yêu cầu, nội dung, chiến lƣợc, các phƣơng pháp đảm bảo an toàn thông tin. trình bày các khái niệm về an toàn thông tin, mã hóa, chữ ký số, về chia sẻ bí mật,…các kiến thức này giúp giải quyết các vấn đề đặt ra của luận văn. Chƣơng 2: Tìm hiểu về bỏ phiếu điện tử, các yêu cầu, quy trình bỏ phiếu và một số bài toán về an toàn thông tin trong giai đoạn đăng ký bỏ phiếu điện và phƣơng pháp giải quyết. Chƣơng này nghiên cứu năm bài toán an toàn thông tin trong giai đoạn đăng ký bỏ phiếu điện tử: bảo vệ hồ sơ cử tri, thẩm định hồ sơ, ẩn danh lá phiếu, chống một cử tri đăng ký bỏ phiếu nhiều lần, chống ban đăng ký ký nhiều lá phiếu. Chƣơng 3: Cài đặt thử nghiệm chƣơng trình ứng dụng Chƣơng này trình xây dƣng̣ h ệ thống bỏ phiếu điện tử với các chức năng chính nhƣ: đăng ký mới, thẩm định hồ sơ, kiểm tra chữ ký cử tri, chia sẻ khóa bí mật, ký mù lá phiếu, quản trị thành viên. Phần cuối cùng là kết luận và định hƣớng phát triển của đề tài. CÁC KHÁI NIỆM CƠ BẢN 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1. Khái niệm An toàn thông tin là hoạt động bảo vệ thông tin, đảm bảo cho các hệ thống dịch vụ có khả năng chống trả lại các lỗi, những tai họa không mong đợi và các tác động ảnh hƣởng đến độ an toàn của hệ thống. Hệ thống không an toàn tồn tại những nhƣợc điểm nhƣ: thông tin bị rò rỉ ra ngoài, dữ liệu hệ thống bị ngƣời không có quyền truy cập lấy và sử dụng, thông tin bị thay đổi làm sai lệch hoàn toàn nội dung.