Tìm hiểu về chữ ký số và các giải pháp đảm bảo an toàn trong giao dịch thương mại điện tử.

Đặc trưng  Tính xác thực danh tính xác định nguồn gốc: Kiểm tra tính đúng đắn của thực thể đang giao dịch trên mạng..  Tính không thể phủ nhận Tính chối bỏ: Xác nhận chủ thể đã

THƯƠNG MẠI ĐIỆN TỬ

Tìm hiểu về chữ ký số và các giải pháp đảm bảo an toàn trong giao dịch thương mại điện tử.

I Chữ ký số

1 Khái niệm

Để thực hiện các giao dịch điện tử như nộp hồ sơ, thuế, sử dụng hóa đơn điện tử…, tổ chức – cá nhân phải có chữ ký số Vậy chữ ký số là gì?

 Chữ ký số là thông tin đi kèm theo dữ liệu (văn bản: word, excel, pdf…; hình ảnh; video ) nhằm mục đích xác định người chủ của dữ liệu đó Chữ ký số được hiểu như con dấu điện tử của doanh nghiệp Vì vậy, chữ ký số không những chỉ dùng trong việc kê khai thuế, mà người sử dụng còn có thể sử dụng trong tất cả các giao dịch điện tử với mọi tổ chức và cá nhân khác

 Chữ ký số dựa trên công nghệ mã hóa công khai, mỗi người dùng phải có 1 cặp khóa gồm khóa công khai (public key) và khóa bí mật (private key)

- Khoá bí mật (private key) là một khóa trong cặp khóa thuộc hệ thống mã không đối xứng được dùng để tạo chữ ký số

- Khoá công khai (public key) là một khóa trong cặp khóa thuộc hệ thống

mã không đối xứng, được sử dụng để kiểm tra chữ ký số được tạo bởi khóa bí mật tương ứng trong cặp khóa (xác thực chữ ký số)

2 Đặc trưng

 Tính xác thực danh tính (xác định nguồn gốc): Kiểm tra tính đúng đắn của

thực thể đang giao dịch trên mạng

 Tính toàn vẹn : Đảm bảo dữ liệu mã hóa không bị thay đổi

Trường hợp dữ liệu mã hóa bị sửa đổi thì không thể khôi phục lại dạng ban đầu Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập tức bị phát hiện Quy trình mã hóa sẽ ẩn nội dung đối với bên thứ ba

 Tính không thể phủ nhận (Tính chối bỏ): Xác nhận chủ thể đã thực hiện giao

dịch trên mạng Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình gửi Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với văn bản Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng cứ để bên thứ ba giải quyết

 Tính bảo mật: Dữ liệu được bảo mật an toàn trong toàn bộ quá trình xử lý Về

kỹ thuật công nghệ của chữ ký số là dựa trên hạ tầng mã hóa công khai (PKI), trong đó phần quan trọng nhất là thuật toán mã hóa công khai RSA Thuật

toán mã hóa dựa vào cặp khoá bí mật (Private key) và công khai (Public key), trong đó người chủ chữ ký sẽ giữ khóa Private key cho cá nhân dùng để tạo chữ ký, Public key của cá nhân hay tổ chức đó được công bố rộng rãi dùng để kiểm tra chữ ký Khi được sử dụng cho việc mã hóa: Private Key để giải mã; Public Key dùng cho mã hóa Công nghệ này đảm bảo chữ ký số khi được một người dùng nào đó tạo ra là duy nhất, không thể giả mạo được và chỉ có người sở hữu khóa bí mật mới có thể tạo ra được chữ ký số đó (đã được chứng minh về mặt kỹ thuật mã hóa)

3 Cơ sở pháp lý

Một số văn bản quy phạm pháp luật do Quốc hội, Chính phủ và các Bộ thông qua và ban hành liên quan đến chữ ký số:

Luật Giao dịch điện tử số 51/2005/QH11 do Quốc hội thông qua ngày

29/11/2005 quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác do pháp luật quy định

Luật Công nghệ thông tin số 67/2006/QH11 do Quốc hội thông qua ngày

29/6/2006 quy định về hoạt động ứng dụng và phát triển công nghệ thông tin, các biện pháp bảo đảm ứng dụng và phát triển công nghệ thông tin, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin

Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 của Chính phủ quy định chi tiết

thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số

Thông tư số 05/2010/TT-BNV ngày 01/7/2010 của Bộ Nội vụ hướng dẫn về cung

cấp, quản lý và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị

4 Quy trình khởi tạo chữ ký số

Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa bí mật mà chỉ có người chủ của khóa biết Để sử dụng Chữ ký số thì văn bản cần phải được mã hóa hàm băm (thường có độ dài cố định và ngắn hơn văn bản) Sau đó dùng khoá bí mật của người chủ khóa để mã hóa, khi đó ta được Chữ ký số Khi cần kiểm tra, bên nhận giải mã với khóa công khai để lấy lại hàm băm và kiểm tra với hàm băm của văn bản nhận được Nếu hai giá trị này khớp nhau thì bên nhận có thể tin tưởng rằng văn bản đó xuất phát từ người sở hữu khóa bí mật

5 Chứng thực chữ ký số

- Dịch vụ chứng thực chữ ký số là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chữ ký số cấp

- Dịch vụ chứng thực chữ ký số bao gồm:

+ Tạo cặp khóa, bao gồm: public key và private key + Cấp, gia hạn, tạm dừng, thu hồi chứng thư số

+ Duy trì tuyến cơ sở dữ liệu về chứng thư số

+ Những dịch vụ khác có liên quan

6 Cách thức đăng ký chữ ký số

- Thế nhân:

+ Dùng chứng minh thư + Dùng trong các giao dịch đơn lẻ, mang tính bảo mật thấp

- Pháp nhân:

+ Dùng con dấu và chữ ký (MST DN) + Dùng trong tất cả các hoạt động kinh doanh, thương mại,…

7 Một số lưu ý trong quá trình sử dụng chữ ký số

- Bảo vệ khóa bí mật và PIN code

- Sử dụng và bảo quản thiết bị USB Token/Smartcard

- Thông tin hỗ trợ sử dụng

- Quy trình cấp phát, bảo hành, xin cấp lại

8 Vai trò của chữ ký số

- Đối với xã hội:

+ Giao thông + An ninh, Trật tự

+ Nâng cao nhận thức về giao dịch điện tử cho cộng đồng

- Đối với doanh nghiệp:

+ Đơn giản, nhanh chóng, thuận tiện + Dữ liệu an toàn, bảo mật, đầy đủ + Tiết kiệm thời gian, chi phí, ưu đãi + Xử lý công việc từ nhiều địa điểm

- Đối với cơ quan thuế:

+ Tiết kiệm chi phí quản lý

+ Thông tin cập nhật kịp thời + Giảm thiểu các thủ tục hành chính

II Các giải pháp đảm bảo an toàn trong giao dịch thương mại điện tử

1 Giải pháp ở góc độ quản lý Nhà nước

- Tăng cường công tác tuyên truyền, giáo dục, phổ biến pháp luật trong lĩnh vực công nghệ thông tin nói chung và thương mại điện tử nói riêng đối với nhân dân và đặc biệt trong các trường đại học, cao đẳng, trung học phổ thông để cung cấp các kiến thức pháp luật cần thiết cho nhân dân, sinh viên và học sinh Nâng cao nhận thức của cộng đồng cư dân mạng về môi trường thương mại điện tử trong sạch và cạnh tranh lành mạnh

- Hoàn thiện hành lang pháp lý để xử lý tội phạm trong lĩnh vực công nghệ thông tin nói chung và thương mại điện tử nói riêng Sửa đổi, bổ sung thêm các điều luật về tội phạm sử dụng công nghệ cao, tội phạm trong lĩnh vực thương mại điện tử vào Bộ luật Hình sự Đồng thời bổ sung tính pháp lý của chứng cứ điện tử và ban hành các nghị định hướng dẫn Luật Giao dịch điện tử và Luật Công nghệ thông tin Xử lý nghiêm minh các trường hợp cố tình vi phạm, các trường hợp để lại hậu quả nghiêm trọng

- Làm tốt công tác nắm tình hình về các đối tượng có khả năng thực hiện hành vi phạm tội trong lĩnh vực thương mại điện tử (các hacker, tổ chức hacker, trang web của hacker…) Các cơ quan quản lý Nhà nước về công nghệ thông tin và các tổ chức ứng cứu sự cố máy tính cần tăng cường phối hợp và đưa ra các cảnh báo về thủ đoạn hoạt động của các đối tượng phạm tội trong lĩnh vực thương mại điện tử

- Đào tạo chuyên môn cho các cán bộ thực thi pháp luật liên quan tới công nghệ thông tin (công an, kiểm sát, toà án) để có được đội ngũ cán bộ có trình độ kiến thức về công nghệ thông tin phục vụ công tác điều tra, truy tố và xét xử các loại tội phạm liên quan tới công nghệ thông tin

2 Giải pháp cho doanh nghiệp:

- Bản thân các doanh nghiệp phải tự trang bị hệ thống an ninh mạng chắc chắn, áp dụng các biện pháp kỹ thuật, công nghệ mới để bảo vệ mình Biện pháp hữu hiệu nhất hiện nay và đang được hầu hết các doanh nghiệp sử dụng trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI - Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng

- Xây dựng chính sách về an ninh mạng và yêu cầu nhân viên phải chấp hành nghiêm túc Điều đó có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạt động đảm bảo an ninh cho thương mại điện tử Các doanh nghiệp phải luôn nhắc nhở nhân viên của mình ý thức về vấn

đề an ninh mạng và những nguy cơ tấn công mà doanh nghiệp có thể gặp trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía họ Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng: Sử dụng mật khẩu bí mật, quét virus và cập nhật các chương trình phòng, chống virus mới thường xuyên Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như: Các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera, chuông báo động Thường xuyên sao lưu dữ liệu vào những nơi an toàn

3 Giải pháp cho khách hàng:

- Tránh để lộ, mất cắp các thông tin bí mật liên quan tới tài khoản, mật khẩu… Trong trường hợp đặc biệt cần thông báo ngay cho nhà cung cấp để đảm bảo an toàn cho tài khoản của khách hàng

- Không đặt mật khẩu là những thông tin mang tính phổ biến thường dùng để giao tiếp như tên người thân, ngày, tháng, năm sinh, số điện thoại, số chứng minh nhân dân Không nên ghi mật khẩu vào các thiết bị thường sử dụng hoặc ghi mật khẩu ra giấy Không kiểm tra tài khoản hay thực hiện các giao dịch ở những nơi công cộng, nhất là các dịch vụ Internet công cộng

- Thường xuyên theo dõi những thông tin tài khoản của mình Lưu ý kiểm tra tài khoản và thực hiện các giao dịch trên các máy tính sạch (không virus, không có các chương trình theo dõi và không để người khác theo dõi…) Nếu sử dụng thẻ tín dụng để thanh toán, hãy nhờ ngân hàng thống

kê về tình hình thu, chi định kỳ hàng năm