A. Thiết bị ký số và giá bán:

Căn cứ Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự số 03/2019/GPKD-BCY ký ngày 11/01/2019 và Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự số 14/2019/GPXNK-BCY ký ngày 28/1/2019 bởi Trưởng ban Ban Cơ yếu Chính phủ, Vimass nhập khẩu và phân phối thiết bị ký số đạt chuẩn bảo mật NIST. FIPS 140-2 cấp độ 3 với giá bán (gồm thuế GTGT) như sau:

1. Thẻ đa năng ký số, Thẻ hybrid, PKI multifunction Card (3 tên gọi) gồm chip NXP EV3 8KB và chip ACS ACOS5-64: 80.000 đồng.
2. Thẻ ký số, Thẻ PKI, PKI Card (3 tên gọi) chỉ có chip ACS ACOS5-64: 50.000 đồng.
3. Sim PKI, Sim ký số, PKI Sim (3 tên gọi) chỉ có chip ACS ACOS5-64: 50.000 đồng.
4. Token CryptoMate Nano USB Type-A (ACS Hồng Kong): 300.000 đồng.
5. Token Rosetta USB Serie III (Mỹ) sử dụng với máy tính: 800.000 đồng.
6. Thẻ nhớ ký số Rosetta microSDHC (Mỹ) dung lượng 4 GB (được lắp vào khay thẻ nhớ trong điện thoại hoặc trong phụ kiện cắm vào iPhone): 1.200.000 đ.
7. Thẻ nhớ ký số Rosetta microSDHC có dung lượng từ 8 GB đến 128 GB có báo giá riêng khi có nhu cầu và phụ thuộc vào số lượng.
8. Đầu nối XCR-A1 (XCC RFID) USB Type-A: 100.000 đồng.
9. Đầu nối XCR-A2 (XCC RFID) USB Type-A: 100.000 đồng.
10. Đầu nối XCR-T (XCC RFID) USB Type-A: 100.000 đồng.
11. Đầu nối XCR-C (XCC RFID) USB Type-C: 120.000 đồng.
12. Đầu nối ACR39U-U1 (ACS) USB Type-A: 250.000 đồng.
13. Đầu nối ACR39U-N1 (ACS) USB Type-A: 250.000 đồng.
14. Đầu nối ACR39T-A1 (ACS) USB Type-A: 250.000 đồng.
15. Đầu nối ACR39U-NF (ACS) USB Type-C: 280.000 đồng.

Các thiết bị trên được bảo hành 12 tháng, miễn phí 1 đổi 1 nếu lỗi không phải do người sử dụng.

B. Tính năng:

1. Thiết bị ký số thực hiện: sinh số ngẫu nhiên, sinh cặp khóa RSA-2048, băm dữ liệu SHA-256, ký số và chứng thực chữ ký RSA-2048/3072/4096 hoàn toàn bên trong thiết bị. Thiết bị có 64 KB EEPROM để lưu trữ các chứng thư số và khóa bí mật. Thông thường 1 file .p12 chứa chứng thư số và khóa bí mật RSA-2048 có độ dài khoảng 5 KB, do vậy 1 thiết bị ký số lưu được từ 6 đến 12 chứng thư số và cặp khóa.
    
2. Với thiết bị ký số không ai lấy được khóa bí mật, chỉ lấy được chữ ký số (khoảng 344 Byte), chứng thư số, khóa công khai để gửi đi cùng văn bản. Tại nơi nhận, chứng thư số sẽ được đơn vị CA phát hành chứng thư (được Bộ Thông tin và Truyền thông cấp phép cung ứng dịch vụ chứng thực chữ ký số công cộng) kiểm tra đối chiếu, khóa công khai trong chứng thư và thuật toán băm, hàm xác thực ghi trong chứng thư sẽ được áp dụng trên tệp văn bản để đối chiếu với chữ ký của người gửi. Nếu khớp, văn bản được chấp nhận, người nhận sẽ có phản hồi về việc xác thực người gửi và tính toàn vẹn của văn bản.

3. Thiết bị ký số sử dụng hàm sinh số ngẫu nhiên vật lý bên trong để tạo ra cặp khóa RSA-2048, lưu khóa bí mật, chỉ xuất khóa công khai để đảm bảo an toàn tuyệt đối khóa bí mật của mình. Việc truy cập vào thiết bị để lấy số serie, tạo cặp khóa, lưu chứng thư số, lấy ra chứng thư số hoặc chữ ký số đều phải sử dụng mật khẩu truy cập thiết bị gồm tối thiểu 6 ký tự. Người biết mật khẩu có thể thay đổi mật khẩu. Trong trường hợp sai mật khẩu 10 lần liên tiếp, toàn bộ dữ liệu lưu bên trong thiết bị tự động bị xóa và không thể sử dụng tiếp. Chủ thiết bị nhầm quá 10 lần cần liên hệ Vimass để cài đặt lại với phí 50.000 đ.

C. Công dụng:

Thiết bị ký số đạt tiêu chuẩn bảo mật của Mỹ NIST. FIPS 140-2 cấp độ 3, chứa từ 6 đến 12 chứng thư số có thể sử dụng trong nhiều lĩnh vực:

1. Ngân hàng: Thống đốc NHNN đã ban hành quyết định 630/QĐ-NHNN ngày 31/3/2017 yêu cầu áp dụng các giải pháp an toàn bảo mật trong thanh toán trực tuyến, quy định số tiền được giao dịch 1 lần và trong 1 ngày khi sử dụng các biện pháp xác thực: SMS, OTP, vân tay, khuôn mặt và chứng thư số. Các giao dịch dùng chữ ký số không bị giới hạn về số tiền, nhanh hơn, đạt mức D bảo mật cao nhất.

2. Chứng khoán: Bộ Tài chính có thông tư 134/2017/TT-BTC ngày 19/12/2017 hướng dẫn giao dịch điện tử trên thị trường chứng khoán, các công ty chứng khoán và sở giao dịch phải tích hợp chữ ký số trong giao dịch trực tuyến trước ngày 1/11/2022 để đảm bảo xác thực người gửi và tính toàn vẹn của các lệnh chứng khoán. Thiết bị ký số trên máy tính, laptop, điện thoại giúp ký số giao dịch chứng khoán, đúng quy định và an toàn tuyệt đối.

3. Thuế: kể từ 6/5/2019 các doanh nghiệp, tổ chức, cá nhân khai Thuế được thực hiện trên website https://thuedientu.gdt.gov.vn phải sử dụng chữ ký số.

4. Hóa đơn điện tử: theo nghị định 119/2018/NĐ-CP các doanh nghiệp phải sử dụng hóa đơn điện tử ký số, phải chuyển hóa đơn giấy sang hóa đơn điện tử trước ngày 1/11/2022.

5. Bảo hiểm xã hội: tổ chức, cá nhân đến website https://gddt.baohiemxahoi.gov.vn/ nhận mẫu biểu, điền theo hướng dẫn, ký số văn bản gửi đến BHXN VN để nhận kết quả trực tuyến.

6. Hải quan: tổ chức, cá nhân đến website https://www.customs.gov.vn/default.aspx để lập tờ khai, ký số, gửi đến Tổng cục Hải quan và nhận phản hồi điện tử.

7. Dịch vụ công: Theo quyết định 28/2018/QĐ-TTg ngày 12/7/2018 của Thủ tướng Chính phủ, văn bản được ký số có giá trị pháp lý tương đương văn bản giấy và thay cho việc gửi, nhận văn bản giấy, được triển khai tại tất cả các cơ quan nhà nước trước ngày 30/6/2020. Các đơn vị không phải cơ quan nhà nước được Chính phủ khuyến khích sử dụng.

8. Thiết bị IoT: đảm bảo giao dịch giữa thiết bị IoT với máy chủ hoặc với đối tượng tương tác được thực hiện bằng chữ ký số an toàn, nhanh nhất.

Lần đầu tiên trong lĩnh vực ngân hàng tại Việt Nam, ứng dụng Ví Vimass tích hợp thành công chữ ký số để xác thực mọi giao dịch chuyển tiền, thanh toán và phát hành hóa đơn điện tử cả trên website và điện thoại di động sử dụng các thiết bị ký số đạt chuẩn FIPS 140-2 cấp độ 3 thực hiện mọi chức năng ký số bên trong chip vi xử lý, đáp ứng các tiêu chuẩn bảo mật cao nhất trong lĩnh vực ngân hàng theo Thông tư 161/2016/TT-BQP của Bộ Quốc phòng và Quyết định 630/QĐ-NHNN của Thống Đốc Ngân hàng Nhà nước.

A. Lập chứng thư số và nạp chứng thư vào thiết bị ký số

- Chứng thư số của cá nhân gồm: Họ tên, số CMND, địa chỉ, số chứng thư, đơn vị cấp chứng thư, ngày cấp, ngày hết hạn, hàm băm và thuật toán ký, khóa công khai.

- Chứng thư số của tổ chức gồm: Tên doanh nghiệp, mã số thuế, địa chỉ, số chứng thư, đơn vị cấp chứng thư, ngày cấp, ngày hết hạn, hàm băm và thuật toán ký, khóa công khai.

- Riêng khóa bí mật sẽ được lưu 1 lần duy nhất vào thiết bị ký số và không thể lấy ra khỏi thiết bị hoặc chuyển cho người khác dưới bất kể hình thức nào.

- Ngày 15/11/2018 Vimass ký hợp đồng với Công ty cổ phần chữ ký số Vi Na (Vina-CA), https://www.smartsign.com.vn  và trở thành Đại lý của Vina-Ca. Do vậy chứng thư số của cá nhân hoặc tổ chức có thể được lập tại Vina-CA (41A Nguyễn Phi Khanh, P. Tân Định, Q. 1, TP HCM, anh Tâm 0908393164) hoặc tại trụ sở Vimass (tầng 4, số 444 Hoàng Hoa Thám, Hà Nội, anh Thành 0917951277) hoặc tại Chi nhánh Tp. Hồ Chí Minh của Vimass (anh Tấn 0934168409).

- Nơi lập chứng thư cũng là nơi nạp chứng thư vào các thiết bị ký số đạt chuẩn FIPS 140-2 cấp độ 3 được Vimass nhập khẩu theo giấp phép kinh doanh và nhập khẩu của Ban Cơ yếu Chính phủ.

- Thiết bị ký số Vimass gồm 4 loại: (1) Cryptomate Nano (Hongkong) 432.850 đ (2) Thẻ ACOS5-64 (Hongkong) 346.280 đ (3)  Rosetta USB Token (Mỹ) 865.700 đ (4) Thẻ Rosetta microSDHC 4GB (Mỹ) 1.293.000 đ. Thiết bị của Hongkong nạp được 12 chứng thư, thiết bị của Mỹ nạp được 6 chứng thư.

B. Cài đặt phần mềm KySoVimass lên máy tính Windows

KySoVimass là phần mềm kết nối máy tính với thiết bị ký số qua cổng USB. Để sử dụng phần mềm này, máy tính cần tối thiểu 2 ổ đĩa logic và được cài đặt các phần mềm: Java, NetFramework, Visual C++, KySoVimass như sau (Lưu ý: có thể bỏ qua việc cài đặt Java, NetFramework hoặc Visual C++ nếu máy tính đã cài phần mềm này):

1. Cài đặt Java (8 trở lên) qua 2 bước

1.1 Tải file nén tại 1 trong 2 đường dẫn tùy theo máy 32 hay 64 bit:

Đối với máy 32 bit: https://vimass.vn/vmbank/services/media/getFile?id=java32bit.zip

Đối với máy 64 bit:  https://vimass.vn/vmbank/services/media/getFile?id=java64bit.zip

Sau đó giải nén và chạy file java.exe

1.2 Tải file nén https://vimass.vn/vmbank/services/media/getFile?id=ToolAddPath.zip  . Giải nén và chạy 1 file .bat tương ứng với hệ điều hành và cấu hình máy (chạy 1 trong các file Win7_32bit, Win7_64bit, Win10_32bit hay Win10_64bit).

2. Cài đặt NetFramework (4.5 trở lên) và Visual C++

Tải file nén https://vimass.vn/vmbank/services/media/getFile?id=netFramework.zip . Giải nén và chạy file NetFramework.exe trước.

Sau đó chạy file visualC32bit.exe hoặc visualC64bit.exe tùy theo máy 32 hay 64 bits.

3. Cài đặt phần mềm KySoVimass.bat  

3.1 Tải file nén https://vimass.vn/vmbank/services/media/getFile?id=glassfish4.zip , vào thư mục Downloads giải nén.

3.2 Sau đó vào thư mục …/bin, click phải vào KySoVimass.bat, chọn send to, và chọn Desktop (create shortcut) để tạo biểu tượng KySoVimass.bat ngoài Desktop.

3.3 Để KySoVimass.bat tự chạy khi khởi động máy tính, vào File Explorer, tìm thư mục %appdata%\Microsoft\Windows\Start Menu\Programs\Startup , sau đó copy, past file KySoVimass.bat vào thư mục này

C. Sử dụng thiết bị ký số trên máy tính:

Mỗi lần khởi động lại máy tính có cắm thiết bị ký số qua cổng USB (đối với thẻ ký số cần thêm đầu đọc thẻ để nối vào máy tính), cần ra màn hình Desktop, kích đúp biểu tượng KySoVimass, màn hình có nền đen sẽ mở ra, khoảng 1-2 phút sẽ tự đóng lại, chương trình đã hoàn tất. Bạn có thể đến trang https://vimass.vn/vidientu/thiet-bi-ky-so.html  sử dụng thử các chức năng:

1. Lấy số serie của thiết bị

2. Đổi mật khẩu ký số (còn gọi là mật khẩu truy cập thiết bị). Lưu ý mật khẩu sau khi mua thiết bị luôn là 123456. Cần đổi mật khẩu này để được an toàn.

3. Nạp chứng thư số: Cần tạo riêng thư mục Certificates trong ổ đĩa C (C:\Certificates) và đặt vào đây các chứng thư cần nạp vào thiết bị ký số. 

4. Xem các chứng thư số có trong thiết bị

5. Đăng nhập Ví Vimass

6. Liên kết Ví với thiết bị ký số

7. Thay đổi hạn mức giao dịch

8. Ký số giao dịch tài chính

9. Ký số phát hành hóa đơn hoặc ký văn bản điện tử

D. Sử dụng thiết bị ký số trên điện thoại di động:

Thẻ Rosetta đã nạp chứng thư số có thể lắp vào khay thẻ nhớ của điện thoại Android. Tải  Ví Vimass từ CH Play, đăng nhập ví và sử dụng thiết bị ký số như sau:

1. đến mục Thiết bị ký số để:

- Lấy số serie

- Đổi mật khẩu ký số. Lưu ý mật khẩu sau khi mua thiết bị luôn là 123456. Cần đổi mật khẩu này để được an toàn.

- Liên kết ví với thiết bị

- Xem các chứng thư bên trong thiết bị

2. đến mục Hạn mức giao dịch để thiết lập các hạn mức mong muốn cho việc sử dụng Token, Vân tay/ Nhận diện và trên mức này là Chữ ký số.

3. đến các mục chuyển tiền, thanh toán, tiết kiệm, v.v để thực hiện giao dịch. Nếu số tiền không quá hạn mức Token, Vân tay/Nhận diện thì sẽ có 3 lựa chọn để xác thực giao dịch: Token , Vân tay/Nhận diện và Chữ ký số. Nếu số tiền quá hạn mức này, chỉ dùng chữ ký số để xác thực giao dịch.

Hội thảo "Quản lý và phát triển ứng dụng sản phẩm, dịch vụ mật mã dân sự trong bảo mật thông tin giao dịch điện tử" được tổ chức ngày 8/8/2018 tại Khách sạn Lotte Legend Sài Gòn, Q.1, TP.HCM.

Clip 5: Tham luận của Ông Lã Hoàng Trung – Giám đốc Trung tâm chứng thực điện tử quốc gia, Bộ Thông tin và Truyền thông: “Sử dụng mật mã dân sự trong dịch vụ chứng thực chữ ký số”.

1. Hiện trạng sử dụng MMDS:
- Hiện có 9 doanh nghiệp cấp dịch vụ chứng thực chữ ký số: VNPT-CA, Viettel-CA, FPT-CA, BKAV-CA, CA2, SmartSign (VINA-CA), Newtel-CA, SafeCA, EFY-CA.
- 9 CA đã cấp 2.051.308 chứng thư số, trong đó 898.053 (43%) đang hoạt động.
- Các tổ chức cung cấp chứng thực CKS chuyên dùng gồm: Agribank (40.300), NHNN VN (5.300), Techcombank (230), SeABank (310).
- Chứng thư số chuyên dùng chính phủ đến 31/3/2018 đang hoạt động là 100.845

2. Dự thảo Nghị định thay thế 26/2007/NĐ-CP với 3 điểm chính:
- Đăng ký cấp phép cho dịch vụ chứng thực CKS: Có phương án KT đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
- Trách nhiệm của tổ chức, cá nhân sử dụng chữ ký số: Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
- Trách nhiệm của tổ chức, cá nhân cung cấp giải pháp chữ ký số: Cung cấp giải pháp đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.

3. Các tiêu chuẩn về mật mã dân sự hiện hành:
- Bảo mật cho khối an ninh phần cứng HSM: tối thiểu đạt mức 3 theo chuẩn FIPS 140-2.
- An ninh cho thẻ Token và SmartCard: tối thiểu mức 2 theo chuẩn FIPS 140-2
- Tiêu chuẩn mật mã và chữ ký số: 
(i) Mật mã phi đối xứng và chữ ký số PKCS #1: áp dụng RSA Cryptography Standard 2.1, áp dụng lược đồ RSAES-OAEP để mã hóa và RSASSA-PSS để ký.
(ii) Mật mã đối xứng: áp dụng TCVN 7861:2007 (FIPS 197) CNTT-Kỹ thuật mật mã- Thuật toán mã hóa dữ liệu AES hoặc áp dụng chuẩn NIST 800-67 Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher.
(iii) Hàm băm an toàn FIPS 180-4 Secure Hash Standard: áp dụng 1 trong 6 hàm băm: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256. Sắp tới sẽ chuyển chuẩn hàm băm an toàn từ SHA-1 lên SHA-256.

4. Phối hợp giữa Bộ TTTT và Ban Cơ Yếu CP trong 2018-2019:
- Phối hợp thẩm tra để cấp phép dịch vụ chứng thực chữ ký số công cộng.
- Phối hợp kiểm tra ứng dụng chữ ký số trong cơ quan nhà nước.
- Phối hợp kiểm tra các doanh nghiệp CA có đáp ứng chuẩn bắt buộc.
- Phối hợp sửa đổi, bổ sung quy định về tiêu chuẩn kỹ thuật để triển khai dịch vụ chứng thực CKS trên thiết bị di động.

1. Hiện trạng sử dụng mật mã dân sự trong chứng thực chữ ký số công cộng:
- Hiện có 9 doanh nghiệp cấp dịch vụ chứng thực chữ ký số công cộng: VNPT-CA, Viettel-CA, FPT-CA, BKAV-CA, CA2, SmartSign (VINA-CA), Newtel-CA, SafeCA, EFY-CA.
- 9 CA đã cấp tổng số 2.051.308 chứng thư số, trong đó 898.053 (43%) đang hoạt động.
- Các tổ chức cung cấp chứng thực CKS chuyên dùng gồm: Agribank (40.300 chứng thư), NHNN VN (5.300), Techcombank (230), SeABank (310).
- Chứng thư số chuyên dùng chính phủ đến 31/3/2018 đang hoạt động là 100.845 chứng thư

2. Theo quyết định của HĐQT, công ty Vimass sẽ đầu tư ngay trong năm 2019 Trung tâm chứng thực chữ ký số công cộng với 200.000 chứng thư và có tốc độ chứng thục chữ ký số đến 70.000 giao dịch mỗi giây. Trung tâm này sẽ phục vụ các khách hàng cần ký số trong các lĩnh vực chứng khoán, ngân hàng, kê khai thuế, Bảo hiểm xã hội, Hải quan, phát hành hóa đơn điện tử, kết nối bảo mật mạng lưới các thiết bị IoT, v.v.

3. Nghị định 130/2018/NĐ-CP ngày 2/9/2018 quy định về việc chứng thưc chữ ký số công cộng:
- Trách nhiệm của tổ chức, cá nhân sử dụng chữ ký số: Đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.
- Trách nhiệm của tổ chức, cá nhân cung cấp giải pháp chữ ký số: Cung cấp giải pháp đáp ứng các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực.

4. Các tiêu chuẩn về mật mã dân sự hiện hành:
- Bảo mật cho khối an ninh phần cứng HSM (Hardware Security Modul): tối thiểu đạt mức 3 theo chuẩn NIST.FIPS 140-2.
- An ninh cho thẻ Token và SmartCard: tối thiểu mức 2 theo chuẩn NIST.FIPS 140-2
- Tiêu chuẩn mật mã và chữ ký số: 
(i) Mật mã phi đối xứng và chữ ký số PKCS #1: áp dụng RSA Cryptography Standard 2.1, áp dụng lược đồ RSAES-OAEP để mã hóa và RSASSA-PSS để ký.
(ii) Mật mã đối xứng: áp dụng TCVN 7861:2007 (FIPS 197) CNTT-Kỹ thuật mật mã- Thuật toán mã hóa dữ liệu AES hoặc áp dụng chuẩn NIST 800-67 Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher.
(iii) Hàm băm an toàn FIPS 180-4 Secure Hash Standard: áp dụng 1 trong 6 hàm băm: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256. Sắp tới sẽ chuyển chuẩn hàm băm an toàn từ SHA-1 lên SHA-256.

5. Phối hợp giữa Bộ TTTT và Ban Cơ Yếu CP trong 2019-2020:
- Phối hợp thẩm tra để cấp phép dịch vụ chứng thực chữ ký số công cộng.
- Phối hợp kiểm tra ứng dụng chữ ký số trong cơ quan nhà nước.
- Phối hợp kiểm tra các doanh nghiệp CA có đáp ứng chuẩn bắt buộc.
- Phối hợp sửa đổi, bổ sung quy định về tiêu chuẩn kỹ thuật để triển khai dịch vụ chứng thực chữ ký số trên thiết bị di động.