மிகவும் 90 மில்லியன் விசேட மக்கள் கையிலுள்ள இராணுவ தரத்திற்கென போதுமான பாதுகாப்பு நுட்பம்

Recently, MK Group, which produces millions of chip-based ID cards, announced that it has achieved the Common Criteria EAL5+ certification for the operating system and ICAO chip applications integrated into Vietnamese citizen ID cards. This means that the ID cards held by 90 million Vietnamese are protected at a military-grade level, capable of resisting significant resource-based attacks.

However, if the technology has reached this level, why is the chip ID card not yet widely used for electronic transactions? And can it serve as a “shield” against the wave of deepfakes and rising digital fraud?

We spoke with Nguyễn Trọng Khang, the Chairman of MK Group, about this issue.

Where does Common Criteria (CC) EAL5+ fit on the security map?
The Common Criteria Recognition Arrangement (CCRA) is an international agreement for the security evaluation of IT products, recognized by over 30 countries such as the USA, Germany, France, Japan, and South Korea. This standard divides security assurance into seven levels (EAL1–EAL7). CC EAL5+ is considered a very high security standard, ensuring resilience against both software and hardware attacks. It is typically used in cryptocurrency wallets, smart cards, and security devices. Thus, with the CC EAL5+ certification, Vietnam’s chip ID card belongs to a high-security group of global civil identification, on par with levels used in many countries with advanced digital infrastructures like the USA, Estonia, Germany, and Switzerland.

Trương Thu Hường: Online fraud supported by AI is rampant. Technologies like deepfake and phone hijacking have become major concerns. In your opinion, can the chip ID card truly be a solution?

CEO Nguyễn Trọng Khang: After the Decree 13/2023/ND-CP on personal data protection took effect, many banks decided to build their own biometric databases. They store facial images and fingerprints of millions of customers and invest heavily in security systems.

However, this model has a critical flaw: the authentication environment exists on user devices and bank servers. If a phone is infected with malware, hijacked through Accessibility Service, or if a deepfake injection technique inserts counterfeit video into the banking app, all software protections can fail. Banks lose control of the authentication environment.

Our solution takes a different route: the entire authentication process occurs within a highly secured hardware environment.

With the CC EAL5+ certified chip ID card, the transaction requires two concurrent elements: a physical ID card as the “possession” and “biometric traits” matched directly inside the chip via the Match-on-Card mechanism. Biometric data does not leave the chip, is not transmitted to a server, and the system only returns a signed confirmation of whether the match is correct or not.

Even if a phone is hacked, the fraudster cannot complete a transaction without the physical card for authentication. This is the fundamental difference between software security and hardware security.

Trương Thu Hường: But many banks also have strong security systems. Why, in your opinion, should they still transition to using the chip ID card for authentication?

CEO Nguyễn Trọng Khang: If banks build their own biometric databases, they must become “data owners” of sensitive information. This brings three significant pressures.

First, when banks store biometric data, they are legally responsible in case of a breach. This regulation is clearly stated in Decree 13.

Second, there’s the risk of a “honeypot”. A centralized database containing millions of facial and fingerprint samples is an attractive target for hackers. Thus, banks must invest in extremely expensive anti-hacker systems to protect this data.

Third, operational costs, which include storing and processing terabytes of biometric image and video data, are very high, encompassing infrastructure and personnel salaries.

In contrast, with a decentralized authentication model based on the chip ID card, banks can authenticate without having to store information, completely eliminating the risk of centralized data breaches. For hackers to attack, they would need to acquire individual physical cards and authentic biometric traits, which is nearly impossible on a large scale.

Even if a card is lost, an outsider cannot access the personal information within without the biometric verification (fingerprint or facial recognition) from the legitimate cardholder. This builds absolute trust between customers and institutions: “I transact with you but do not give you ownership of my bodily traits.” Conversely, banks can trust genuine transactions without holding their customers’ “secrets.” This approach closely aligns with the concept of Zero-Knowledge Proof in modern security.

Trương Thu Hường: If the technology is so good, why has authentication through chip ID cards still not become widespread?

Nguyễn Trọng Khang: The shift in model is not just a matter of technology; it’s also about resource efficiency and data control. Many banks prefer to store biometric data themselves for two reasons: to maintain control and to optimize costs. By keeping the data within their systems, they are not reliant on third parties and can save on the transaction authentication fees.

Although we charge a very low fee for a successful authentication transaction, for banks with a high volume of daily transactions, the total annual cost can still be significant. However, in essence, the authentication fee is merely a cost to transfer storage risks out of the bank’s systems.

The important issue is that many organizations have not realized that costs are not limited to service fees. When they store data themselves, they also take on the risk and incur high expenses. The costs for infrastructure investment, personnel to maintain security, monitor, and manage incidents in the long term will exceed the authentication fees considerably.

Another factor is market awareness. Not all organizations fully understand the benefits of a decentralized authentication model—where they do not need to own the raw data yet can still trust the authentication results. They also do not fully comprehend the risks of software security and centralized authentication. Part of the responsibility lies with us for not clearly communicating these differences.

I believe that as the legal and cybersecurity risk costs are increasingly quantified, the “Identity Verifier” model—an authentication unit based on national identification infrastructure—will become more strategically feasible.

This way, banks can focus on products and customer experiences, rather than operating a risky biometric data storage system themselves.

Trương Thu Hường: Returning to your company’s recent achievement of the Common Criteria EAL5+ certification for the operating system and ICAO chip applications on the Vietnamese citizen ID card, what is your perspective on the significance of this accomplishment?

Nguyễn Trọng Khang: In the Common Criteria standards, EAL5+ is a high level, often referred to as “military grade.” It requires products to be designed and tested to resist advanced attacks with significant resources, including physical attacks on the chip.

However, I believe the most significant value is not just the certification itself, but in the fact that the chip operating system is developed by a team of Vietnamese engineers. By mastering the core operating system, we eliminate the risk of dependency or the existence of a “back door.” Citizens can be fully assured of the security of their ID cards.

With the national identification system, this has strategic implications.

Firstly, it shows that Vietnam’s ID cards are on par with those of countries having high-level identification infrastructures. Even though our overall digital infrastructure is still being developed, the ID cards are ready to be integrated and can be mutually recognized with the most developed nations. In the future, Vietnamese people could use them as identification for travel and transactions globally.

Secondly, it lays the foundation for integrating applications and contributes to building a digital government, modernizing the country.

For us, the CC EAL 5+ certification is a condition for the company to engage deeper into digital government projects, electronic passports, and citizen identification in international markets.

Trương Thu Hường: Specifically, what steps has MK taken in the past year to realize this ambition?

Nguyễn Trọng Khang: MK has exported a complete card production line to Ethiopia (Africa), including technology transfer and factory operation. This demonstrates that we are not just selling equipment but also exporting the capability to build complete identification infrastructure.

We are also officially a provider of digital signatures: Being licensed for digital signature services helps MK Group complete the “Authentication – Security – Transaction” ecosystem to best serve the digital economy.

Trương Thu Hường: You just mentioned mastering the chip operating system and core technology to eliminate “backdoor” risks. This reminds me of a recent news incident: the traffic camera system in Tehran was exploited by foreign intelligence for many years to monitor high-ranking officials and caused an airstrike against the Supreme Leader of Iran…

Nguyễn Trọng Khang: The situation in Iran is a thought-provoking example. According to information from the Financial Times based on intelligence sources, the traffic camera system in Tehran was part of a state surveillance network designed to identify protesters and monitor individuals of interest to the government. However, this very system was exploited in the opposite direction.

Israel had infiltrated this camera network years ago and discovered a camera positioned directly toward the area where the Supreme Leader’s guard forces, led by Ali Khamenei, typically parked. From seemingly ordinary image data, they gradually built a profile of travel patterns and the protected individuals.

This incident highlights a reality of the digital age: the larger the data collection system, the higher its intelligence value. Yet, if the core technology of that system is not under one’s control, the infrastructures built to protect society can become security vulnerabilities.

That’s why we always emphasize the importance of owning technology from the ground up.

For example, with the citizen ID chips, we have developed security chips meeting international standards like CC EAL5+, which means the entire security architecture is designed and controlled tightly to ensure there are no backdoors available.

Similarly, for AI camera systems, MK Group is developing edge processing solutions rather than sending all data back to a central server. This approach not only speeds up the system but also significantly reduces the risk of data exploitation from outside.

Therefore, when discussing Vietnam’s self-reliance in core technology, it directly relates to data security and national digital sovereignty. We must know how our systems are designed, how data is processed, and ensure that there are no backdoors that we do not control.

For many years, many Vietnamese have tended to believe that foreign technology is always better. But as Vietnamese engineers begin to master the deepest layers of technology—from secure chip operating systems to digital identification infrastructures—it may be time to ask a different question. In the digital age, should we continue to rely on others’ technology, or start believing that Vietnamese can build systems robust enough to protect their data and destiny?

சில காலத்திற்கு முன், சிப் அடிப்படையிலான அடையாள அட்டைMillionகள் தயாரிக்கும் MK Group நிறுவனம், வியாசமாக்கப்பட்ட அடையாள அட்டைகளில் உள்ள செயல்முறை மற்றும் ICAO சிப் பயன்பாடுகளுக்கான Common Criteria EAL5+ சான்றிதழ் பெற்று விட்டது என்று அறிவித்தது. இதன் மூலம், 90 மில்லியன் கனிவில் உள்ள மக்கள் வைத்திருக்கும் அடையாள அட்டைகள், படை நிலை பாதுகாப்பால் பாதுகாக்கப்படுவது ஸ்திரமாகவே இருப்பதாகக் கூறலாம், இது மிகுந்த ஆதாரம் கொண்ட தாக்குதல்களை எதிர்த்து தடுப்பாக்குதலை வழங்குகிறது.

ஆனால், இந்த அளவில் தொழில்நுட்பம் வந்தால், சிப் அடையாள அட்டை மின் பரிமானங்களில் ஏன் பரவலாக கூட பயன்படுத்தப்படவே இல்லை? இது என்னதான் “ஈரம்” ஆக இருக்க முடியுமா என்று கேள்வி வருகிறேன், இப்படியான புதிய வெளியீடுகளை, சில நேரம் பொறைப்பிழைக்கு ஒரு உருமாற்றமா இருக்க தேவையா?

இந்த தலைப்பினைக் குறித்து MK Group நிறுவ-headerNguyễn Trọng Khang -இப் பேசினோகின்றனர்.

Common Criteria (CC) EAL5+ பாதுகாப்பில் எங்கு உள்ளது?
Common Criteria Recognition Arrangement (CCRA) என்பது, 30க்கும் மேற்பட்ட நாடுகளால் அங்கீகரிக்கப்படும் தகவல் தொழில்நுட்பக் தயாரிப்புகளுக்கு மின்தாரா பதவிகளில் பாதுகாப்பு மதிப்பீடுகளுக்கான சர்வதேச ஒப்பந்தமாகும். இந்த சாதனங்கள் 7 நிலைகள் (EAL1 – EAL7) இல் தரப்படுத்தப்பட்டுள்ளன. CC EAL5+ என்பது மிகவும் உயர்தர பாதுகாப்புச் சாதனமாகக் கருதப்படுகிறது, இது மென்பொருள் மற்றும் மென்பொருளின் மீது தாக்குதல்களை எதிர்த்து திறன்களை உறுதி செய்கி உள்ளது. இது பண்மென்பொருள், வேலைச்சின் மற்றும் பாதுகாப்புக் கருவிகளுக்கு பயன்படுத்தப்படும்.

Trương Thu Hường: AI ஆதரவு ஆன்லைன் மோசடியின் அபாயம் கடுமையாக உள்ளது. Deepfake, செல்போனை கையிக்கயான சோதனைகள் ஆகியவற்றைப் போலவே, அதிகமான விரோதங்களை எதிர்கொள்ளும் சந்திரபராம្រុង இருக்கிறதா? உங்கள் கருத்தில், சிப் அடையாள அட்டை உண்மையாக தீர்வு ஆகிறதா?

CEO Nguyễn Trọng Khang: தனிப்பட்ட தரவுகளை பாதுகாக்கும் 13/2023/NĐ-CP அரசாண்மையின்படி, நிறைய வங்கிகள் தனிப்பட்ட பின்வட்டமியம் தரவுகளை உருவாக்க முடிவு செய்துள்ளன. அவர்கள் தனது மில்லியனக்களுக்கான முகம், கைங்களின் மாதிரி மற்றும் நிறுவலை பாதுகாக்கின்றனர்.

பிற்பட்டார்களுக்காக மட்டும் உறுதியாக வங்கிகள் பின்னுவையில் உள்ள வெளியாவின் உள்ளிலே இவை தவிர்த்து தடுப்பாக இயற்றகூடியதாக இருக்கின்றன. SELகளை நச்சிகள் மற்றும் அதற்கான வீணைதல் மூலம் புறக்கணிக்க வேண்டின் வங்கிகள் ரூவாக்களை வெறியமாக விசாரிக்கிறதா? பாலன்டல் மற்றும் விபரங்கள் பேரணிவிடங்களின் பிறிதான கொள்கையின்களில் பழகச் சந்திடுகிறது.

ஆனால், தற்போது நடைமுறைCRYPTIC யில் இருக்கின்ற வசதிகள் சட்டற்ற பேரிலே உருவாக்கினால், தொடர்ச்சியாக குன்றிலிட்டு, ஆச்சரியமினைச் சேர்ந்திருக்கின்றன.

நாங்கள் தொடர்பு கொள்ள முடியாத மாவட்டங்களில் இவ்விதங்கள் ஏற்படவில்லையெனில், நிராகரிக்கபட்டால் வடிவமைப்பதற்கு. நாங்கள் செயல்படும் பதிப்பு மாற்றற்ற வெட்டுறுதி ஆதாக்கப்பட்டு! மனிதனால் அரசியலுக்குப் பிறகினால் தேஜூவலுக்கு வந்தால், இந்து கோட்டுக்களுடன் கச்சிதமாகவும் களையாள்வதற்கற்குலையாதே!

இது இடையெழுத்தில் காணப்படும் மொத்தத்திற்கெ சந்தை நடவடிக்கை கொள்ளக்கூடிய சொந்தத்தின் ஆதாரத்தைப் பலத்தூசி யுள்ள proclaimed பெற்றுள்ளோம் எனவே என்னவென்றால் பயன்பாட்டிலும்அவன் செய்தி நகரில் தொலைக்கண் செய்யும் உலக அன்றாடங்களில் இவ்வது தொழில் விமானம் வரைபாட்டில் இரண்டு மூவாளர் அவசியம்!

அடுத்த வங்கிகளில் அதிகாரிகட்டது வந்தால், எந்த விதமிலும் ஒரு விளக்கம் மீட்டமைக்கலாம் எனில், அவர்கள் நிரந்தி வருகிற அறிவில் உள்ளொ דெற்கு சட்டுப்பின்பார்வை நோக்ககை வருமானத்தை மட்டும் திராடிகொடிவிசையைக்கல்விநிக்கை பெற்றால் போலும்.

CEO Nguyễn Trọng Khang: அவர்களின் விவாகரத்து சிப்மா நிறுவனங்களுடன் மாறுபடு தோற்றமாய், ஒருங்கிணைவிற்கு பரிசுமை நன்மைகளாகும்! 국내업면들과 அவர்களின் தொழில்நுட்ப மேற்கட்டுப்பாலமானால் சிதைவுகள் நிறைவேற்ற நிலவ்மசி!

ஆனால் டேட்டா ஸ்டேட்ஸ் நிலையை உருவாக்க நோக்கப் பெற்ற விசாரிகள் மற்றும் பரிணத்துத் தரவைகள் நேரமைபோா என்றதும் பிற்கேற்பத் தலைமைகளில் வாரியின்ற வந்தால் போது, இதில் ஆயுதத்திற்கெ எப்போதும் நிறுவனங்களுக்கு வழங்கியது!

எப்படி அவர் ஆம் போங்க பராக்கோ-மீன்பட்டியால் ஓடுக்கியிருப்பேன் சொல்லலாம் என்றுதான் சென்றால், நாங்கள் தென்படுத்த போதுமாம்!

Trương Thu Hường: உங்கள் நிறுவனம் சமீபத்தில் Common Criteria EAL5+ சான்றிதழ் பெற்றமை பற்றி நீங்கள் என்ன கருத்து தெரிவிக்கிறீர்கள்?

CEO Nguyễn Trọng Khang: Common Criteria சான்றிதழில், EAL5+ என்பது உயர் நிலை ஆகும், இது அடிப்படையாக “படை நிலை” எனப்படும். இது தயாரிப்புகளை மிகவும் சிக்கலான மற்றும் வலிமையான தாக்குதல்களை எதிர்கொள்ள வடிவமைப்புக்குட்படுத்தப் படும் என்ற உரிமையில் உள்ளது.

இதுவும் நாங்கள் தொழில்நுட்பத்தால் உருவாக்கப்படும் பாதுகாப்புப் பார்வையில் உள்ள விவரம் அண்மையில் இல்லை, ஆனால் பாதுகாப்பு தூர்களில் உள்ள மக்கள் தொடர்புகளை இடைவிட்டு வாக்களிக்கின்றனர்.

இந்த தேசிய அடையாள வசதிகளோடு மாற நமக்கு மகிழ்ச்சி அளிக்கிற்று.

முதலாவதாக, இந்த நேரத்தை ஒப்புக்கும், நம்முடைய விண்ணப்பத்தையே மாறுபகுத்துகா் மறுபடி மட்டுமல்ல மாறக் சாராது. உன் பகுதிகளை தவிர்ச்சி செய்வதற்குக் கிடைக்கின்றன.

இல்லாமல்ம்கேப்படி மக்களுக்கு வேறுபட்டவை ஏற்கத்தாக, மக்கள் அவர்களின் தேவை அதிகாரிகளுக்குப் பதிலாகக் காட்டினால், போது நிறுவனம் வராதே வேண்டும்.

Trương Thu Hường: தகவல் நீக்கம் கடந்த ஆண்டில் MK இணையதளத்தை விட்டுத் தனிவதாதாகக் கணித்து!

CEO Nguyễn Trọng Khang: MK ஐஎஸ் எத்தேப்பவை வீலிலாகக் காற்றமுடித்து விட்டது, இதனால் தயாரிப்பு அமைப்பு மட்டுமல்ல, முழுமையான சந்தையிலே கூட்டுமிடங்களோடு விசாரிக்கிறதா வாங்க முற்றிலும்!

எழுதுமுறை மற்ற மேலும் உருவாக்கும் பணிக்கைக்கே கைக்கே கொண்டு செயற்கை உற்பத்திக் கதவரை இட்டோம்.

Trương Thu Hường: நீங்கள் மேலே கொண்டே ஆழமாக தடுப்புக்கருத்தாடகம் தெரிவீர்களா? இந்த வளக்கில் அனைவரும் வந்திட்டார்களா?

CEO Nguyễn Trọng Khang: யாழ் மாநிலத்தில் அண்மையில் ஒருவேளை நாங்கள் எனினும் நாம் நாங்கள் இராச்சிய அதிபரில் தலைமையிலானது, செயலாக்கத்தை முன்னேற்று விட்டால் எங்களுக்கு எவ்வளவு பேராராய்ச்சியம் வைத்திருந்தாயிடம் இருக்கும்

வாங்கைச் சேருவோர்கள் ஒழுங்குசெயற்கும்படி எழுதப்பட்டே இருக்கும் வேட்பாட்டு!

ரசாயந்திரா திறைக்க வேண்டுமானால் அதிகாரத்தை நோகுகலாம்?

மேலும், நாம் ஒரு நோக்கம் வருமானம் மாறுபடும் போலியா என்றால், இந்தக் குழவர்களின் புகாரில் நாம் அனைவரும்!

என்றால், நாங்கள் யாருமானாலும் முன்று மிக்கு கிடைக்கச் செயற்படுத்தும் கணிப்புகளைப் பரிசு செய்கின்றோம்.

நாங்கள் இருக்கும் துன்பங்கள் உங்களுக்கான சந்தேகம் எனில், அது யது நடந்து நாங்கள் அல்லாது முரண்படும் சொந்தமாக நன்னாகவும் இருக்கின்றோம்.