Sử dụng chữ ký số trong giao dịch điện tử

1. Quy trình tạo lập chữ ký số

Chính quy trình tạo lập chữ ký số đem lại những lợi thế ưu việt hơn so với chữ ký bằng tay trên giấy. Chữ ký số về bản chất là một thông điệp dữ liệu có dạng file text, tập hợp các ký tự hoặc một loại thông điệp dữ liệu đặc thù do phần mềm ký số sinh ra dựa trên các thuật toán nhất định. Việc tạo ra chữ ký số phụ thuộc vào ba yếu tố: (i) bản thân văn bản điện tử cần ký (ii) khóa bí mật (private key) và (iii) phần mềm để ký số.

– Văn bản điện tử hay thông điệp dữ liệu cần ký số là yếu tố đầu vào thứ nhất để tạo ra chữ ký số; do đó các văn bản khác nhau sẽ có chữ ký số gắn kèm khác nhau;

– Khóa bí mật có thể là một mật khẩu (password) hoặc một thông điệp dữ liệu;

– Phần mềm ký số là phần mềm có chức năng tạo ra các chữ ký số từ hai yếu tố là văn bản cần ký, khóa bí mật và gắn chữ ký số được tạo ra vào thông điệp gốc.

  Khóa bí mật và phần mềm để ký số được cấp cho người ký hoặc tổ chức của người ký, gắn duy nhất với người này hay tổ chức này, do cơ quan chứng thực điện tử cấp. Tương ứng với khóa bí mật có duy nhất một khóa công khai (cũng là một thông điệp dữ liệu hoặc mật khẩu) do cơ quan chứng thực tạo ra cho cá nhân hay tổ chức sử dụng khóa bí mật. Khóa công khai được công bố cho các bên liên quan hoặc mọi người biết, giống như danh bạ điện thoại của các cá nhân và tổ chức do bưu điện công bố để mọi người sử dụng khi cần giao dịch.

Cơ quan giữ vai trò quan trọng nhất trong việc sử dụng chữ ký số chính là các Tổ chức cung cấp dịch vụ chứng thực chữ ký số, trong đó tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia (Root Certification Authority) là tổ chức cung cấp dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ chữ ký số công cộng. Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia là duy nhất. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số có nhiệm vụ tạo ra cặp khóa công khai & bí mật và cấp chứng thư số cho các thuê bao (là tổ chức và cá nhân đăng ký sử dụng dịch vụ). Thông thường, chứng thư số là thông điệp dữ liệu trong đó có các nội dung cơ bản như: Thông tin về cá nhân, tổ chức được cấp chứng thư số, khóa công khai, thời hạn sử dụng, số chứng chỉ, chữ ký số và thông tin của tổ chức cấp chứng chỉ số.

 Một nhiệm vụ quan trọng của tổ chức cung cấp dịch vụ chứng thực điện tử là duy trì trực tuyến cơ sở dữ liệu về chứng thư số để các cá nhân và tổ chức có thể truy cập và sử dụng trong quá trình sử dụng chữ ký số.

Quy trình tạo chứng thư điện tử cho người sử dụng gồm bốn bước như sau:

Bước 1. Cơ quan chứng thực tạo ra cặp khóa công khai và bí mật cho người sử dụng

Bước 2. Cơ quan chứng thực tạo thông điệp nội dung chứng chỉ số với đầy đủ các thông tin cần thiết

Bước 3. Rút gọn chứng chỉ số và ký xác nhận bằng khóa bí mật của mình

Bước 4. Gắn chữ ký số vào thông điệp chứa nội dung chứng chỉ số để tạo thành chứng chỉ số (chứng chỉ này người đăng ký biết và được lưu trữ trên website của nhà cung cấp dịch vụ để các bên liên quan có thể sử dụng trong giao dịch).

Việc chứng thực chữ ký điện tử thực chất là xác thực các thông tin về người gửi có đúng với các thông tin trên chứng thư điện tử hay không, việc này được thực hiện bằng khóa công khai của chính cơ quan chứng thực đã cấp chứng thư điện tử. Những thông tin về người gửi và khóa công khai đã được cơ quan chứng thực xác nhận bằng cách ký bằng khóa bí mật khi cấp chứng chỉ số.

Khi người nhận muốn xác thực các thông tin về người gửi thông điệp, người nhận sẽ sử dụng khóa công khai của Cơ quan chứng thực để giải mã chứng thư điện tử của người nhận hoặc phần chữ ký số của cơ quan chứng thực gắn với chứng thư điện tử để xác thực nội dung chứng thư đặc biệt là khóa công khai có gắn với người gửi hay không.

2. Quy trình sử dụng chữ ký số để ký các thông điệp dữ liệu

Để ký một chứng từ điện tử, người gửi sẽ sử dụng khóa bí mật và phần mềm ký điện tử để mã hóa chứng từ đó thành chữ ký số rồi gửi cho người nhận. Tuy nhiên, về nguyên tắc, để tạo điều kiện thuận lợi cho người nhận trong quá trình kiểm tra tính toàn vẹn của nội dung chứng từ và xác thực chứ ký, người gửi có thể gửi kèm theo thông điệp đã ký khóa công khai và chứng thư điện tử của mình hoặc địa chỉ để truy cập chứng thư điện tử của mình. Với khóa công khai và chứng thư điện tử, người nhận sẽ dễ dàng xác thực được chữ ký và nội dung thông điệp.

Hình 12.3. Minh hoạt quy trình ký số và xác thực chữ ký số

Nguồn: Bài giảng: TS. Mai Anh, Chữ ký số, 2007 và http://en.wikipedia.org

Quy trình tạo và chứng thực chữ ký số đem lại ba lợi thế cho chữ ký số:

– Chữ ký số là duy nhất đối với từng văn bản được ký vì yếu tố đầu vào thứ nhất là bản thân chính văn bản đó;

– Chữ ký số là duy nhất đối với chủ thể ký vì yếu tố đầu vào thứ hai là khóa bí mật gắn với chủ thể đó;

– Trong trường hợp cần xác thực thông tin người đã ký có thể sử dụng chứng chỉ số và khóa công khai của cơ quan chứng thực để kiểm tra

Quy trình thực hiện ký số cũng tạo điều kiện để xác thực chữ ký số dễ dàng hơn so với chữ ký tay trên giấy. Việc xác thực chữ ký được thực hiện căn cứ vào ba yếu tố đầu vào gồm: (i) văn bản được ký ; (ii) chữ ký số và (iii) khóa công khai. Quy trình kiểm tra chữ ký số được phần mềm thực hiện và cho kết quả đúng và sai. Nếu đúng có nghĩa văn bản và chữ ký số là xác thực nếu sai có nghĩa một trong hai yếu tố xác thực đã bị thay đổi hoặc sai lệch.

Việc tạo ra chữ ký số có thể do máy tính hoặc các thiết bị điện tử cầm tay thực hiện, các thiết bị này có thể truy cập đến khóa bí mật được lưu tại một vị trí bí mật trong hoặc ngoài thiết bị đó. Có nhiều loại chữ ký điện tử khác được sử dụng hỗ trợ chữ ký số như thẻ thông minh (smartcard), dấu hiệu sinh học (biometrics) và mật khẩu (passwords). Lợi ích nổi bật nhất của chữ ký số là giải quyết được việc ràng buộc trách nhiệm của các bên trong giao dịch điện tử. Thông thường, khi một bên xác nhận sự đồng ý với nội dung giao dịch thông qua việc kích chuột vào nút “I agree” hoặc “Confirrm” trên website nếu xảy ra tranh chấp sẽ rất khó để xác minh hoặc tìm lại vị trí của các nút trên. Đồng thời cũng rất khó xác định xem đó có phải là nút “I agrree” đã được sử dụng cho giao dịch hay không, đặc biệt khi các website luôn thay đổi về nội dung và hình thức. Trong các giao dịch điện tử với giá trị nhỏ được thực hiện tự động (B2C) chữ ký số được gắn vào các hóa đơn điện tử (receipt) sẽ ràng buộc trách nhiệm của người bán và tạo được sự tin tưởng của người mua tốt hơn.

Công nghệ tạo ra cặp khóa và chứng chỉ số đóng vai trò quan trọng trong việc sử dụng chữ ký số, hiện nay Entrust và Verisign là những nhà cung cấp giải pháp về chữ ký số hàng đầu thế giới hiện nay với công nghệ PKI được nghiên cứu và phát triển liên tục từ  1994 đến nay.

3. Quy định về chữ ký số và sử dụng chữ ký số trong giao dịch điện tử

Chữ ký số lần đầu được xây dựng năm 1976, sau hơn 25 năm liên tục nghiên cứu và phát triển về công nghệ và luật pháp, hiện nay các quốc gia phát triển đều đã có hạ tầng về công nghệ và khung pháp lý điều chỉnh chữ ký số. Việc xây dựng cơ sở hạ tầng về chữ ký số dựa trên công nghệ khóa công khai đến nay đã được triển khai rộng khắp tại nhiều nước trên thế giới, tại một số nước hệ thống này được xây dựng với quy mô rất lớn, ví dụ Bộ Quốc phòng Mỹ đã đầu tư 700 triệu USD từ năm 2000 đến 2005 cho riêng hạ tầng PKI của mình. Bên cạnh đó, Hoa Kỳ đưa ra một số quy định về sử dụng chữ ký số như: Luật về chữ ký điện tử trong giao dịch thương mại quốc gia và quốc tế (e-Sign, 2000), luật về giao dịch điện tử thống nhất (UETA), Luật về dịch vụ tài chính (Gramm Leach Billey) và luật về loại bỏ các chứng từ giấy trong giao dịch của cơ quan Nhà nước (Government Paperwork Elimination Act). Những quy định loại này không chỉ khiến các tổ chức phải nhanh chóng đáp ứng các chuẩn giao dịch mà còn tạo ra những cơ hội và thách thức. Việt Nam cũng đã xây dựng xong Luật giao dịch điện tử (2006), Luật công nghệ thông tin (2006) và Nghị định 26/2007/NĐ-CP ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số… để từng bước đưa chữ ký số vào trong các giao dịch điện tử.

Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 về Chữ ký số và Dịch vụ chứng thực chữ ký số là Nghị định hướng dẫn chi tiết nhiều vấn đề pháp lý và công nghệ về chữ ký điện tử, đặc biệt là chữ ký số. Nghị định này quy định chi tiết về việc thừa nhận giá trị pháp lý của chữ ký số trong các các giao dịch điện tử (Điều 8); thừa nhận giá trị pháp lý của các chữ ký số và chứng thư số của nước ngoài; điều kiện đảm bảo an toàn cho chữ ký số; điều kiện cấp phép và hoạt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký số và cả biện pháp xử lý những vi phạm pháp luật liên quan đến chữ ký số…

          Nghị định này gồm 73 điều trong 11 Chương:

          Chương 1: Những quy định chung (từ Điều 1 đến Điều 7)

          Chương 2: Chữ ký số và chứng thư số (từ Điều 8 đến Điều 12)

          Chương 3: Cấp phép cung cấp dịch vụ chứng thực chữ ký số công cộng (từ Điều 13 đến 20)

          Chương 4: Hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng ( từ Điều 21 đến Điều 28)

          Chương 5: Quyền và nghĩa vụ của các bên tham gia cung cấp dịch vụ và sử dụng dịch vụ chứng thực chữ ký số (từ Điều 29 đến Điều 44)

          Chương 6: Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng (từ Điều 45 đến Điều 51)

          Chương 7: Công nhận chữ ký số, chứng thư số và hoạt động cung cấp dịch vụ chứng thực chữ ký số nước ngoài (từ Điều 52 đến Điều 55)

          Chương 8: Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia (từ Điều 56 đến Điều 57)

          Chương 9: Tranh chấp, khiếu nại, tố cáo, bồi thường (từ Điều 58 đến Điều 60)

          Chương 10: Thanh tra, kiểm tra và xử lý vi phạm (từ Điều 61 đến Điều 72)

          Chương 11: Điều khoản thi hành (Điều 73)

Điều 1 và 2 của Nghị định số 26/2007/NĐ-CP nêu rõ phạm vi áp dụng chữ ký số và chứng thư số; việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số đối với cơ quan, tổ chức cung cấp dịch vụ chứng thực chữ ký số và cơ quan, tổ chức, cá nhân lựa chọn sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong giao dịch điện tử trong phạm vi lãnh thổ Việt Nam. Đồng thời Nghị định cũng nhấn mạnh đến chính sách khuyến khích sử dụng chữ ký điện tử (Điều 5):  “Nhà nước khuyến khích việc sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong các lĩnh vực kinh tế, chính trị, xã hội để thúc đẩy việc trao đổi thông tin và các giao dịch qua mạng nhằm nâng cao năng suất lao động; mở rộng các hoạt động thương mại; hỗ trợ cải cách hành chính, tăng tiện ích xã hội, nâng cao chất lượng cuộc sống của nhân dân và bảo đảm an ninh, quốc phòng”.  Nghị định này cũng khẳng định chính sách của Nhà nước thúc đẩy việc ứng dụng chữ ký số và phát triển dịch vụ chứng thực chữ ký số thông qua những dự án trọng điểm nhằm nâng cao nhận thức; phổ biến pháp luật; phát triển ứng dụng; tổ chức đào tạo nguồn nhân lực; nghiên cứu, hợp tác và chuyển giao công nghệ liên quan đến chữ ký số và dịch vụ chứng thực chữ ký số.

Việc ban hành Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 là cơ sở  pháp lý để các doanh nghiệp Việt Nam tiến hành triển khai dịch vụ cấp và chứng thực chữ ký số cho các tổ chức và cá nhân để có công cụ ký kết các hợp đồng điện tử thuận tiện, an toàn và phù hợp với trình độ quốc tế. Nghị định này góp phần tạo hành lang pháp lý cho một trong những hoạt động quan trọng nhất thúc đẩy giao dịch điện tử, đặc biệt là các giao dịch điện tử giữa các tổ chức và doanh nghiệp Việt Nam trong cả lĩnh vực thương mại và phi thương mại.

Thực tế đã chứng minh việc chậm trễ hoặc không sử dụng chữ ký số cũng có thể đem lại những hậu quả đáng tiếc cho các tổ chức trong thế giới công nghệ hiện nay. Tháng 8 năm 2000, giá cổ phiếu của Emulex Corporation bị tụt giảm 60% do một bài báo giả trên mạng. Sự cố này có thể đã không xảy ra nếu các bài báo của công ty này đều được ký số, khi đó mọi độc giả đều có thể kiểm chứng được tính xác thực của bài báo bằng việc sử dụng khóa công khai của công ty.

Ủy ban của Liên hiệp quốc về Luật thương mại quốc tế (UNCITRAL) đưa ra Luật mẫu về Chữ ký số năm 2001 (UNCITRAL Model Law on Electronic) làm cơ sở để các nước xây dựng luật và các văn bản điều chỉnh các hoạt động liên quan đến chữ ký số. Đến nay, hầu hết các nước đã có hệ thống luật hoặc quy định điều chỉnh chữ ký số, điển hình gồm Châu Âu:

– Chỉ thị của Hội đồng và Nghị viện Châu Âu về chữ ký điện tử năm 1999 (Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures). Ngoài ra các nước khác cũng đã xây dựng luật chữ ký điện tử như Áo (2000), Bỉ (2001), CH Séc (2000), Anh (2000), Phần Lan (2003), Đức (2001), Ireland (2000), Italia (2005), Thụy Điển (2000) và Tây Ban Nha (2003); Liên Bang Nga đưa ra Luật Liên bang về Chữ ký số năm 2002 (Federal Law of Russian Federation about Electronic Digital Signature)

Các quốc gia khác cũng đã xây dựng luật về chữ ký điện tử riêng hoặc luật giao dịch điện tử trong đó điều chỉnh về chữ ký điện tử. Điển hình gồm có Trung Quốc, Brazil (2002), Argentina (2006), Ấn Độ (2000), NewZealand (2002), Thụy Sĩ (2003) và Thổ Nhĩ Kỳ (2004).

Thái Lan và Singapore là hai quốc gia Châu Á điển hình đã đưa các quy định về chữ ký số vào trong Luật giao dịch điện tử của mình. Luật Giao dịch điện tử của Singapore gồm 12 Chương, 64 Điều. Trong đó, 6 chương (từ Chương 6 đến Chương 11 gồm 27 điều từ Điều 19 đến Điều 47) và Điều 8, 17, tổng cộng 29 điều quy định về Chữ ký điện tử, chữ ký số và các vấn đề liên quan đến chữ ký số. Luật Giao dịch điện tử của Thái Lan gồm 6 chương và 46 điều, trong đó Chương 2 gồm 7 điều được dành để điều chỉnh về chữ ký điện tử.

Chữ ký số rõ ràng là bước đột phá để chuyển các giao dịch từ giấy tờ sang phi giấy tờ hay số hóa mà vẫn đảm bảo được các yêu cầu của giao dịch. Các hệ thống luật pháp và quy định đóng vai trò quan trọng trong việc thừa nhận giá trị pháp lý của những giao dịch điện tử và chữ ký số. Những quy định như E-Sign (Hòa Kỳ), Luật giao dịch điện tử các nước, Quy định về chữ ký số tác động trực tiếp đến sự phát triển của công nghệ này. Các Quy định đều có một điểm chung là thừa nhận giá trị pháp lý của chữ ký số. Nghị định 26/2007 NĐ-CP, Điều 8 cũng quy định về Giá trị pháp lý của chữ ký số như sau: “Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký số của người có thẩm quyền theo quy định của pháp luật về quản lý và sử dụng con dấu và chữ ký số đó được đảm bảo an toàn theo quy định tại Điều 9 Nghị định này”. Nhìn chung, các quốc gia đều đã bước đầu xây dựng và hoàn thiện khung pháp lý điều chỉnh giao dịch điện tử và chữ ký điện tử. Tuy nhiên, thực trạng triển khai và ứng dụng chữ ký số trong các giao dịch điện tử còn gặp nhiều khó khăn, có thể kể ra ba khó khăn lớn nhất là: hạn chế về tài chính, hạn chế về trình độ và hạn chế về công nghệ.

Điều 3, mục 11, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số

Điều 4, khoản 3, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số