Thương mại điện tử

Khái niệm, vai trò của dịch vụ chứng thực chữ ký điện tử

Posted on by admin

1. Khái niệm dịch vụ Chứng thực chữ ký điện tử

 Theo Luật giao dịch điện tử của Việt nam (2005), “chứng thực chữ ký điện tử” là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. (Nguồn: Điều 4, khoản 2, Luật Giao dịch điện tử, 2005). Theo đó, cơ quan chứng thực chữ ký điện tử sẽ cấp chứng thư điện tử nhằm xác nhận hay chứng thực chữ ký điện tử đối với cơ quan, tổ chức hoặc cá nhân. Đồng thời với việc cấp chứng thư điện tử, cơ quan chứng thực chữ ký điện tử có nhiệm vụ cung cấp chương trình ký điện tử cho các thuê bao để họ sử dụng khi muốn ký vào các văn bản điện tử. Tuy nhiên, cần lưu ý ở đây là có rất nhiều loại chữ ký điện tử khác nhau, cơ quan chứng thực thường chỉ cấp chứng thực cho các loại chữ ký điện tử an toàn và phổ biến hiện nay.

Công cụ để ràng buộc trách nhiệm của người ký chữ ký điện tử khi có tranh chấp phát sinh chính là “chứng thư điện tử”. Việc cấp chứng thư điện tử chính là hoạt động cơ bản nhất của cơ quan chứng thực. Tùy thuộc vào loại chữ ký điện tử cần xác thực và công nghệ ký điện tử, chứng thư điện tử sẽ có nhiều hình thức khác nhau. Tuy nhiên, về cơ bản, “chứng thư điện tử” là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. (Nguồn: Điều 4, khoản 1 & 2, Luật Giao dịch điện tử, 2005).

 Bên cạnh việc cấp chứng thư điện tử, cơ quan chứng thực cũng là đơn vị cung cấp công cụ để người sử dụng (tổ chức hoặc cá nhân) có thể tiến hành ký điện tử khi cần thiết. Công cụ này thường là “chương trình ký điện tử”, đây là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu. (Nguồn: Điều 4, khoản 3, Luật giao dịch điện tử, 2005).

Các loại chữ ký điện tử khác nhau sẽ do các chương trình ký điện tử khác nhau tạo ra. Để hiểu rõ dịch vụ chứng thực chữ ký điện tử, cần phân biệt rõ các loại chữ ký, vì đối với mỗi loại chữ ký điện tử khác nhau, hoạt động chứng thực chữ ký điện tử này cũng sẽ khác nhau. Về bản chất, mọi chữ ký điện tử đều là thông điệp dữ liệu. Tuy nhiên hình thức và cách thức tạo chữ ký điện tử sẽ khác nhau, tùy thuộc vào loại công nghệ và phương tiện được sử dụng để tạo các chữ ký điện tử. Nhìn chung, “chữ ký điện tử” được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. (Nguồn: Điều 21, khoản 1, Luật giao dịch điện tử 2005). Có thể phân chia thành 2 loại chữ ký điện tử cơ bản: loại an toàn và loại không an toàn. Nhìn chung, các quốc gia định nghĩa chữ ký điện tử tương đối giống nhau, lý do chính là các tổ chức, cá nhân sử dụng công nghệ giống nhau để tạo ra các chữ ký điện tử.

Bộ luật ESIGN (Electronic Signature in Global and National Trade 2001- Hoa Kỳ), Điều 106 định nghĩa: Chữ ký điện tử (electronic signature) là các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó. Bộ luật UETA (Hoa Kỳ), Điều 2 cũng quy định tương tự như trên.

 Để hiểu rõ các khái niệm trên, cần xem xét một số loại chữ ký điện tử phổ biến. Trước hết, về bản chất, các chữ ký điện tử đều được lưu trên các phương tiện điện tử và số hóa bởi các công nghệ số (ví dụ: các ký tự 0-1 trên ổ cứng máy tính, trong USB hoặc trên thẻ thông minh…). Điểm khác biệt là các chữ ký điện tử có nhiều định dạng khác nhau và được tạo ra bởi nhiều phương tiện khác nhau, theo các công nghệ khác nhau. Các chữ ký điện tử thông dụng gồm:

          – Tên của người ký được đánh máy vào cuối thư điện tử

          – Bản quét (scan) chữ ký truyền thống được gắn với thông điệp điện tử

– Một dãy ký tự bí mật (PIN – personal identification number) để xác định người thực hiện giao dịch điện tử (ví dụ PIN của thẻ ATM hay thẻ tín dụng)

– Một mật khẩu người tạo văn bản sử dụng để người nhận có thể xác định chính xác người tạo là ai (ví dụ: mật khẩu để mở, chỉnh sửa file văn bản)

– Một đặc điểm sinh học cụ thể của mỗi cá nhân, được dùng để xác thực cá nhân đó (ví dụ vân tay, võng mạc, tiếng nói đã được số hóa)

 – Đặc biệt là chữ ký số sử dụng công nghệ PKI

Trong các loại trên, chỉ có chữ ký số là đáp ứng đầy đủ các điều kiện của chữ ký điện tử an toàn và có thể sử dụng thay thế cho chữ ký (và dấu) truyền thống khi khi ký các văn bản điện tử. Các loại chữ ký điện tử khác thường chỉ được sử dụng hạn chế trong nội bộ các doanh nghiệp (ví dụ: kiểm tra nhân viên) hoặc trong một số giao dịch B2C (ví dụ thẻ ATM, thẻ tín dụng ngân hàng cấp cho khách hàng).

Có thể thấy sự khác biệt rõ ràng nhất giữa chữ ký số và các loại chữ ký điện tử khác: chữ ký số (của một tổ chức hay cá nhân) được tạo ra trong từng lần ký văn bản điện tử là duy nhất, gắn với nội dung của văn bản đó; mỗi văn bản khác nhau sẽ tạo ra các chữ ký điện tử khác nhau (nhưng vẫn xác định được chủ thể ký là ai từ chữ ký số đó). Trong khi đó, các chữ ký điện tử khác là duy nhất, giống nhau trong các giao dịch điện tử được thực hiện.

Theo quy định của EU và UK, trong các loại chữ ký điện tử chỉ có chữ ký số có giá trị làm bằng chứng trước tòa khi có tranh chấp phát sinh

Đối với các loại chữ ký điện tử thông thường, dù được xác thực bởi một tổ chức chứng thực, khả năng áp dụng trong các giao dịch điện tử là rất thấp vì độ an toàn thấp. Ví dụ, dùng bản scan vân tay là chữ ký điện tử cho hợp đồng là một phương pháp không an toàn vì việc giả mạo rất dễ dàng với điều kiện công nghệ hiện nay. Tương tự như vậy, dùng võng mạc, giọng nói hay các mật khẩu cũng được coi là các phương pháp không an toàn trong các giao dịch điện tử. Tuy nhiên, các phương pháp này vẫn được sử dụng trong một số hoạt động an ninh nội bộ trong các tổ chức.

Hiện nay, công nghệ PKI được coi là công nghệ tốt nhất có thể tạo ra các chữ ký điện tử đặc thù (chữ ký số) đảm bảo được các yêu cầu trong giao dịch điện tử và được luật pháp các nước thừa nhận rộng rãi, có thể làm bằng chứng cho các giao dịch điện tử nếu có tranh chấp phát sinh.

Như vậy, vai trò quan trọng nhất khi áp dụng chữ ký số vào các giao dịch điện tử là của tổ chức chứng thực. Tổ chức chứng thực sử dụng các chứng chỉ số làm công cụ ràng buộc khóa công khai của thuê bao và thông tin xác thực thuê bao đó (tên, địa chỉ…).

Bản chất của hoạt động chứng thực chữ ký điện tử là cấp chương trình khóa bí mật và chứng thư điện tử cho người sử dụng. Những hoạt động chính của dịch vụ chứng thực chữ ký điện tử gồm:

– Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử.

– Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu.

– Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật. (Nguồn: Điều 28, Luật giao dịch điện tử).

Để có thể có căn cứ xử lý tranh chấp phát sinh liên quan đến chữ ký điện tử, điển hình là chứng minh người đã ký chữ ký điện tử là ai, cơ quan chứng thực phải sử dụng chứng chỉ số hay chứng thư điện tử. Do đó, chứng thư điện tử khi cấp cho người đăng ký phải có đầy đủ các nội dung cần thiết để sau này có thể sử dụng làm bằng chứng. Những nội dung cơ bản trên chứng thư điện tử gồm:

          – Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

          – Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử.

          – Số hiệu của chứng thư điện tử.

          – Thời hạn có hiệu lực của chứng thư điện tử.

          – Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử.

          – Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

          – Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

          – Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

          – Các nội dung khác theo quy định của Chính phủ.

(Nguồn: Điều 29, Nội dung của chứng thư điện tử, Luật Giao dịch điện tử)

Nội dung quan trọng nhất trong chứng chỉ số hay chứng thư điện tử là mục (5): Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử (hay khóa công khai tương ứng với khóa bí mật đã cấp cho người đăng ký)

Dữ liệu này thông thường gồm khóa công khai của người được cấp chứng thư điện tử. Chính khóa công khai và phần mềm rút gọn (hash function) và phần mềm ký điện tử sẽ là công cụ để kiểm tra chữ ký điện tử của người được cấp. Khóa công khai của người nhận cũng chính là công cụ để người gửi sử dụng trong việc mã hóa thông điệp điện tử nhằm đảm bảo tính bí mật của thông điệp trong quá trình giao dịch. Theo đó, người gửi sẽ dùng khóa công khai của người nhận để mã hóa thông điệp trước khi gửi, người nhận sẽ là người duy nhất có thể giải mã thông điệp khi sử dụng khóa bí mật tương ứng của mình.

Trên thế giới hiện nay, Verisign (một công ty của Hoa Kỳ) được coi là công ty hàng đầu cung cấp dịch vụ chứng thực chữ ký điện tử và chữ ký số, bên cạnh đó có một số công ty khác như Chambersign, Trustwise.

 Chữ ký số sử dụng công nghệ PKI được coi là một loại chữ ký điện tử an toàn và hiện đang được sử dụng rộng rãi tại nhiều quốc gia trên thế giới. Tuy nhiên, hiện tại và trong tương lai, bên cạnh công nghệ này, còn có một số loại chữ ký điện tử khác cũng đáp ứng được các yêu cầu an toàn và có khả năng cũng sẽ được sử dụng rộng rãi. Vì vậy, luật các quốc gia đều có xu hướng quy định rõ về các yêu cầu đối với chữ ký điện tử an toàn và không ràng buộc cụ thể chữ ký đó được tạo ra bởi công nghệ nào. Theo Điều 22, khoản 1 của luật giao dịch điện tử Việt Nam: “Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:

          – Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;

          – Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;

          – Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;

          – Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.”

          Hay theo khoản 2, Điều 22, chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực cũng được coi là chữ ký điện tử an toàn. Như vậy, chữ ký số là dạng đặc thù của chữ ký điện tử và theo các quy định trên cũng được coi là chữ ký điện tử an toàn.

Dịch vụ chứng thực chữ ký số là dịch vụ cơ bản hiện nay của các cơ quan chứng thực, rõ ràng là các loại chữ ký điện tử khác được sử dụng chủ yếu trong nội bộ tổ chức hoặc doanh nghiệp thường không cần chứng thực. Chỉ các chữ ký điện tử được các tổ chức, cá nhân sử dụng trong các giao dịch với đối tác bên ngoài mới cần sự chứng thực của cơ quan chứng thực. Loại chữ ký điện tử cần sự chứng thực của bên thứ ba phổ biến hiện nay là chữ ký số, do đó khi nói đến chứng thực chữ ký điện tử hiện nay, chủ yếu được hiểu là chứng thực chữ ký số.

Theo quy định của Việt Nam hiện nay, “dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Dịch vụ chứng thực chữ ký số bao gồm:

          – Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;

          – Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao;

          – Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;

          – Những dịch vụ khác có liên quan theo quy định.

(Nguồn: Điều 3, khoản 6, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007).

Chữ ký số về bản chất là một loại chữ ký điện tử đặc biệt, việc chứng thực chữ ký số khác biệt khá nhiều so với chứng thực các loại chữ ký điện tử thông thường khác. Để làm rõ sự khác biệt, có thể so sánh với việc chứng thực chữ ký điện tử bằng vân tay người và chứng thực chữ ký số dùng công nghệ PKI.

2. Vai trò của dịch vụ Chứng thực chữ ký điện tử

Việc truyền, nhận dữ liệu qua mạng Internet giúp thu ngắn được khoảng cách vật lý đối với người gửi và người nhận dữ liệu. Tuy nhiên, ngày nay với sự gia tăng không ngừng của thế lực tội phạm máy tính thì việc truyền, nhận dữ liệu qua mạng tiềm ẩn rất nhiều rủi ro. Do vậy, việc đưa ra giải pháp nhằm ngăn chặn tới mức tối đa các mối đe dọa đến an ninh dữ liệu đang được đặt ra tạo tiền đề cho việc đẩy mạnh các giao dịch qua mạng Internet. Một trong những giải pháp hữu hiệu nhất đó chính là chứng thực điện tử và chữ ký số.

Chứng thực điện tử là hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua mạng, đồng thời, cung cấp cho họ những công cụ, những dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. Hệ thống chứng thực điện tử được xây dựng dựa trên cơ sở hạ tầng khoá công khai (PKI – Public Key Infrastructure) với nền tảng là mật mã khoá công khai và chữ ký số.

Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ cấp chứng chỉ số và một cặp khoá (khoá bí mật và khoá công khai) để có thể tham gia sử dụng chứng thực điện tử trong các ứng dụng mà mình tham gia.

Nói cách khác, chứng thực điện tử có thể đem so sánh với thẻ chứng minh thư nhân dân, hay hộ chiếu. Sự khác nhau là ở chỗ, thẻ chứng minh thư nhân dân và hộ chiếu là bằng giấy để xác minh, nhân diện một người dùng trong cuộc sống thực. Việc chứng thực sẽ được thông qua cơ quan chức năng có thẩm quyền, còn chứng chỉ số không chỉ để xác minh con người, mà nó có thể xác minh rất nhiều loại thực thể khác nhau (tổ chức, cá nhân,…) thông qua môi trưởng ảo, môi trường Internet.

Chứng thực điện tử là hoạt động không chỉ chứng thực danh tính của người hay thực thể tham gia vào việc truyền nhận thông tin qua mạng internet, mà nó còn thực hiện việc bảo mật thông tin, xác thực nguồn gốc xuất xứ và tính toàn vẹn của thông tin.

Theo luật giao dịch điện tử Việt Nam Điều 4 khoản 2 thì Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.

Chứng thực điện tử ra đời nhằm đảm bảo cho an toàn thông tin trong môi trường mạng nên nó có đầy đủ các chức năng như: đảm bảo tính xác thực, đảm bảo tính bảo mật của thông tin, đảm bảo tính toàn vẹn thông tin và tính không thể phủ nhận. Do có những tính năng như vậy, chứng thực điện tử được ứng dụng vào rất nhiều lĩnh vực như: ký vào tài liệu điện tử (trong cả lĩnh vực thương mại và phi thương mại), gửi nhận thư điện tử đảm bảo, trong giao dịch thương mại điện tử, trong bảo vệ mạng không dây WLAN (Wireless Local Area Network), bảo đảm an toàn cho các dịch vụ web, xác thực website, xác thực máy chủ hay xác thực phần mềm, mạng riêng ảo VPN (Virtual Private Network)…

Các chủ thể (hay các thuê bao) sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ chứng thực điện tử CA (Certificattion Authority) cung cấp một chứng chỉ số kèm theo một cặp mã khóa (gồm một khóa bí mật do thuê bao giữ và một khóa công khai) để ký cho các giao dịch điện tử.

Các quốc gia muốn triển khai dịch vụ chứng thực điện tử cần phải xây dựng hành lang pháp lý phù hợp, xây dựng hạ tầng khóa công khai, hạ tầng kỹ thuật đồng bộ với hạ tầng khóa công khai, xây dựng nguồn nhân lực có đủ trình độ để sử dụng dịch vụ và xây dựng một mô hình tổ chức, một quy trình cung cấp dịch vụ chứng thực điện tử phù hợp với quốc gia mình.