Dịch vụ chứng thực chữ ký điện tử kinh nghiệm các nước và giải pháp thực hiện ở việt nam

thạc sĩ

BỘ CÔNG T H Ư Ơ N G BỘ GIÁO DỤC & ĐÀO TẠO

CHỮ KÝ ĐIỆN TỬ: KINH NGHIỆM CÁC N Ư Ớ C

VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM

CN Võ Sỹ Mạnh

CN Nguyễn Ngọc H à

CN H à Công Anh Bảo

CN Đinh Hoàng Anh

-nt-Hà Nội, tháng 11/2008

BỘ CÔNG T H Ư Ơ N G BỘ GIÁO DỤC & Đ À O TẠO

T R Ư Ờ N G Đ Ạ I H Ọ C NGOẠI T H Ư Ơ N G

ĐẺ TÀI NGHIÊN cứu KHOA HỌC CÁP BỘ

DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ: KINH NGHIỆM CÁC NƯỚC

VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM

1 Khái niệm và đặc điểm của chữ kỷ điện tử 5

2 Vấn đề an toàn, bảo mật chữ ký điện tử 16

n Dịch vụ chỦng thực chữ ký điện tử 22

1 Khái niệm về dịch vụ chứng thực chữ ký điện từ 22

2 Đặc điểm của dịch vụ chúng thực chữ kỷ điện từ 24

3 Vai trò của dịch vụ chứng thực chữ kỷ điện tử 30

4 Điều kiện đảm bảo cho sự phát triển dịch vụ chứng thực chữ ký điện tử 37

5 Tố chức thục hiện hoỉt động dịch vụ chứng thực chữ ký điện tủ 43

ố Quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử 56

C H Ư Ơ N G 2 K I N H N G H I Ệ M C Ủ A M Ộ T S Ố N Ư Ớ C V Ẻ T Ớ C H Ứ C T H Ự C H I Ệ N

DỊCH V Ụ C H Ứ N G T H Ự C C H Ữ K Ý ĐIỆN T Ử 66

ì Kinh nghiệm của E U 66

ỉ Khung pháp luật cho hoỉt động cung ứng dịch vụ chứng thực chữ kỷ điện tử ở EU 66

2 Cơ sở hỉ tầng cho sự phát triển của dịch vụ chứng thực chữ ký điện tửởEU 74

3 Hoỉt động của các to chức cung ứng dịch vụ chúng thực chữ ký điện tử tỉi EV 80

4 Quản lý nhà nước của EUđối với hoỉt động cung ứng dịch vụ chữ ký điện tử 84

li.Kinh nghiệm của Bỉ 86

ỉ Khung pháp luật của Bỉ về dịch vụ chứng thực chữ ký điện tử 86

2 Cơ sở hỉ tầng cho hoỉt động cung cấp dịch vụ chứng thực chữ ký điện tử ở Bi 96

3 Hoỉt động của các tô chức cung cáp dịch vụ chứng thực chữ ký điện tử ở Bỉ loi

4 Quản lý nhà nước đối với hoỉt động cung cắp dịch vụ chứng thực chữ ký điện tử ởBi 105

HI Kinh nghiệm của Hoa Kỳ 108

1 Khung pháp luật cho dịch vụ chứng thực chữ kỷ điện tử 108

2 Cơ sở hỉ tầng cho hoỉt động chứng thực chữ ký điện tử ở Hoa Kỳ 112

3 Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện từ ở Hoa Kỳ 114

4 Quản lý nhà nước của Hoa Kỳ đối với dịch vụ chứng thực chữ kỷ điện tử 119

IV Kinh nghiệm của H à n Quốc ] 21

/ Khung pháp luật cùa Hàn Quốc về dịch vụ chứng thực chữ ký điện tử 122

2 Cơ sở hỉ tầng cho dịch vụ chứng thực chữ ký điện tử ở Hàn Quắc 126

3 Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ kỷ điện từ ở Hàn Quốc 128

4 Q^lýMmứcđẩivớihoỉđộngcmgcấpẠhvụchứngthựcchữìíýđiệnlửởHànQiéc 133

i

V Kinh nghiệm của Singapore 134

/ Khung pháp luật của Singapore về dịch vụ chứng thực điện tử 135

2 Cơ sở hạ tầng cho dịch vụ chứng thực chữ ký điện tử tại Singapore 138

3 Hoạt động cùa các tố chức cung cấp dịch vụ chứng thực điện tử tại Singapore 139

4 Quản ty nhà nưặc đối vặi hoạt động cung cấp dịch vụ chứng thực điện tử ở Singapore 141

l i Dự báo sự phát triển của dịch vụ chứng thực chữ ký điện tử ặ Việt Nam trong

thòi gian tói 165

ỉ Xu hưặng phái triển TMĐT, giao dịch điện tử và nhu cầu cần có sự bảo đảm sự an

toàn về chữ ký điện tử cho các giao dịch điện tử 165

2 Xu hưặng phát triển dịch vụ chứng thực chữ kỷ điện tử ở Việt Nam và trên thế giặi

trong giai đoạn từ nay đến năm 2010, tầm nhìn đến năm 2020 168

HI Kiến nghị và giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam,

tử ở Việt Nam 170

2 Nhóm giải pháp bảo đảm các điểu kiện đế dịch vụ chứng thực chữ ký điện tử phát

triển hữu hiệu ở Việt Nam 180

3 Nhóm giải pháp tăng cường vai trò quàn lý nhà nưặc đối vặi dịch vụ chứng thực

chữ ký điện tủ 185

4 Nhóm giải pháp khác 187

K Ế T L U Ậ N 188 TÀI LIỆU T H A M K H Ả O 190

DANH MỤC CHỮ VIẾT TẮT sử DỤNG TRONG ĐÈ TÀI

Công nghệ ký và kiểm tra giao dịch tiên tiến

Chứng nhận truy cập cho các dịch vụ điện tử

Máy rút tiền tự động

M ô hình thương mại điện tử Doanh nghiệp với người tiêu dùng

M ô hình thương mại điện tử Doanh nghiệp với Doanh nghiệp Chứng thực điện tử

Chứng nhận xuất xứ

Hệ thống tên miền

Tiêu chuẩn chữ ký số

Chứng nhận xuất xứ điện tử

Trao đủi dữ liệu điện tử

Chuyển tiền điện tử

Liên minh Châu  u

Cơ quan cung cấp dịch vụ công

Cục Thuế

Cơ quan quốc gia về lưu trữ và truy cập

Xác thực mờ

Cục quản lý và ngân sách

Personal identiíication number

Công nghệ khoa công khai

Tầng mã an ninh

Liên hiệp vương quốc Anh

ủ y ban của Liên hợp quốc về Thương mại và Phát triển Luật giao dịch điện tử thống nhất

L Ờ I N Ó I Đ Ầ U

1 Sự cần thiết nghiên cứu đề tài

Trong những năm gần đây, với tốc độ phát triển như vũ bão, công nghệ thông tin đã thâm nhập vào mọi lĩnh vực hoạt động của từng quốc gia, trong đó có lĩnh vực

T M Đ T nói chung và giao dịch điện tử nói riêng Môi trường điện tử vì vậy cũng đa dạng và sẽ hình thành, phát triển một cách nhanh chóng Môi trường điện tử là một môi trường "số hóa", môi trường "ứo", vì vậy các giao dịch điện tử và các hợp đông điện tử cũng mang tính vô hình, phi vật chất Nghĩa là các giao dịch điện tử tôn tại, được lưu trữ và được chứng minh bởi các dữ liệu điện tử chứ không "sờ mó", "câm nắm" một cách vật chất được Điều này khiến cho việc xác định một số yếu tố của giao dịch điện tử như xác định bứn gốc của kết quứ giao dịch giữa các bên, xác định chữ ký của các bên v.v trở nên khó khăn Rủi ro tất yếu sẽ xứy ra và thiệt hại do những rủi

ro này đem đến thật không ít: nhiều khách hàng bị mất tiền do việc bứo mật không tốt thẻ tín dụng, nhiều thông tin mật của cơ quan và doanh nghiệp bị "bốc hơi" một cách bất ngờ và đặc biệt, nhiều doanh nghiệp, cá nhân không lấy được tiền hàng do bị giứ mạo chữ ký điện tử, nhiều vụ tranh chấp rơi vào bế tắc khi cơ quan giứi quyết tranh chấp không có đủ bằng chứng pháp lý để bứo vệ quyền lợi của bên có lợi ích bị xâm phạm

Những khó khăn, thách thức và rủi ro nói trên cũng đã, đang và sẽ xứy ra, một cách thường xuyên hơn, đối với các cơ quan, doanh nghiệp cũng như từng cá nhân thực hiện giao dịch trong môi trường điện tử tại Việt Nam Đ ể giúp tháo gỡ các khó khăn này, Việt Nam đã ban hành một số văn bứn pháp luật hướng dẫn bứo đứm an toàn trong giao dịch điện tử Cụ thể, ngày 29/11/2005 Luật Giao dịch điện tử đầu tiên của Việt Nam đã được ban hành (có hiệu lực từ ngày 01/03/2006); Ngày 9/6/2006 Nghị định số 57/2006/NĐ-CP của Chính phủ về T M Đ T cũng ra đời Đặc biệt, gần đây nhất, ngày 15/2/2007, Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP về chữ ký số và dịch vụ chứng thực chữ ký số Trong các văn bứn nói trên, đều có một số quy định về việc thành lập tổ chức cung cấp dịch vụ chữ ký điện tử và nhấn mạnh rằng chữ ký điện

tử được xem là bứo đứm an toàn khi "đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực"

Tuy nhiên, trên thực tế, ờ Việt Nam cho đến nay, việc thành lập các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nói chung và chữ ký số nói riêng cũng như việc tổ chức và triển khai thực hiện dịch vụ vẫn ở trong tình trạng "sơ khai", vấn

đề đặt ra là việc cung cấp dịch vụ chứng thực chữ ký điện tử là hoạt động có tính dịch

vụ hay có tính chuyên trách độc quyền? Nên thành lập một hay nhiều tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử? M ô hình tổ chức nào sẽ thích ứng cho việc cung

Ì

cấp dịch vụ này: Công ty cung cấp dịch vụ hay tổ chức trực thuộc cơ quan Nhà nước?

Đe có lời giải cho những vấn đề trên, cần làm rõ nhiều vấn đề về dịch vụ chứng thực chữ ký điện tử và cách thức tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử trong thực tế Với Việt Nam, điều này còn quá mới cả từ góc độ vĩ m ô và vi mô, cả vê lý luận và thực tiọn triển khai Vì vậy, việc tìm hiểu kinh nghiệm của các nước về vấn đê này là hết sức cần thiết và bức xúc Đó là lý do để nhóm đề tài đã lựa chọn vấn đê

"Dịch vụ chứng thực chữ ký điện tử: Kinh nghiệm các nước và giải pháp thực hiện ở Việt Nam" làm đề tài nghiên cứu khoa học cấp Bộ

2 Tình hình nghiên cứu trong và ngoài nước

Ở nước ngoài, đã có một số bài viết, công trình nghiên cứu liên quan đến

T M Đ T , chữ ký điện tử Điển hình có các tác giả sau đây:

- Michael Chisiek & Alistair Kelman: Electronic Commerce: Law and Practice Svveet anf Maxwell, Third edition, London, 2002

- Lorna Brazell Electronic Signatures Law and Regulation Sweet & Maxwell,

- Université Panthéon - Assas Le contract élétronique L.G.D.T, 2000. V.V

Ở trong nước, cũng đã có một số công trình có liên quan, trong đó, tiêu biểu là

các sách chuyên khảo về thương mại điện tử của PGS.,TS Vũ Ngọc Cừ (Nxb Giao thông Vận tải, Hà Nội năm 2001); sách chuyên khảo cẩm nang pháp lý về giao kết

hợp đồng điện tử của GS.,TS Nguyọn Thị M ơ chủ biên (Nxb Lao động - Xã hội, Hà

Nội năm 2006); Các bài viết về Hợp đồng và chữ ký điện tử theo Luật Hoa Kỳ của

Thạc sỹ Nguyọn Văn Thoăn (Tạp chí Kinh tế đối ngoại số 12/2005); của tác giả Quốc

Vinh về Giải pháp cho ho ngăn cách sổ (Tạp chí Tia sáng, số 17/2005) V.V

Các công trình, bài viết ở trong và ngoài nước nói trên chỉ phân tích chuyên sâu

về T M Đ T , về họp đồng điện tử, về những vấn đề pháp lý về T M Đ T và chữ ký điện tử Tuy nhiên, chưa có công trình nào phân tích về dịch vụ chứng thực chữ ký điện tử theo kinh nghiệm của các nước để rút ra bài học cho Việt Nam Đây là đề tài nghiên cứu khoa học cấp Bộ đàu tiên nghiên cứu vấn đề này

3 Mục tiêu và nhiệm vụ nghiên cứu

3.1 Mục tiêu nghiên cứu

- Làm rõ những vấn đề cơ bản về dịch vụ chứng thực chữ ký điện tà và việc tổ

chức thực hiện dịch vụ chứng thực chữ ký điện tử

2

- Tìm hiểu kinh nghiệm một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử để trên cơ sờ đó nêu bật những thành công, những thất bại và rút ra bài hỏc kinh nghiệm cho Việt Nam

- Đ ề xuất giải pháp để triển khai thành công dịch vụ chứng thực chữ ký điện tử

ở Việt Nam trong thời gian tới, đáp ứng đòi hỏi của các doanh nghiệp, các tô chức (kê

cả cơ quan nhà nước) về phát triển T M Đ T trong giai đoạn hậu gia nhập WTO 3.2 Nhiệm vụ nghiên cứu

Để thực hiện mục tiêu nói trên, đề tài có các nhiệm vụ cụ thế sau đây:

- Làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, dịch vụ chứng thực chữ ký điện tử như: Khái niệm chữ ký điện tử, nội dung của dịch vụ chứng thực chữ

ký điện tử; VỊ trí, vai trò của dịch vụ chứng thực chữ ký điện tử trong môi trường điện

tử nói chung và giao dịch điện tử nói riêng

- Phân tích những yêu cầu và điều kiện đối với tổ chức, đơn vị có chức năng cung cấp dịch vụ chữ ký điện tử cũng như quyên, nghĩa vụ và trách nhiệm của các tô chức cung cấp dịch vụ chứng thực chữ ký điện tử

- Làm rõ nhu cầu của các đơn vị, tổ chức, cá nhân được cung cấp dịch vụ chứng thực chữ ký điện tử; Quyền, nghĩa vụ và trách nhiệm của các đơn vị, cá nhân này trong mối quan hệ với đơn vị cung cấp dịch vụ chứng thực chữ ký điện tử

- Những vấn đề đặt ra trong việc quản lý nhà nước về dịch vụ chứng thực chữ

ký điện tử và giải quyết tranh chấp phát sinh từ việc thực hiện dịch vụ chứng thực chữ

tử ở Việt Nam trong thời gian tới

4 Đ ố i tượng, phạm vi, thời gian nghiên cứu

4.1 Đối tượng nghiên cứu của đề tài là các hoạt động liên quan đến tổ chức

thực hiện dịch vụ chứng thực chữ ký điện tử, kể cả việc thành lập các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cũng như cơ sở pháp lý của hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử và quản lý nhà nước vê hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử

Đối tượng nghiên cứu của đề tài còn bao gồm cả các văn bản pháp luật quốc tế pháp luật quốc gia về dịch vụ chứng thực chữ ký điện tử và kinh nghiệm của một số nước về tổ chức hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử

3

4.2 Phạm vi nghiên cứu

- về mặt nội dung:

Chữ ký điện tử là khái niệm rất rộng, theo đó, nó bao gôm các chữ ký tôn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, chữ

ký bằng hình ảnh v.v dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì Mặc

dù có cách hiêu rộng như vậy nhưng chữ ký điện tử cũng có những diêm chung giông nhau: chúng đều được thiết lập dưới dạng thông điệp dữ liệu Với đặc thù như vậy, phạm vi nghiên cứu cỉa đề tài sẽ là chữ ký điện tử nói chung và dịch vụ chứng thực các dạng chữ ký điện tử đó Nếu có nhấn mạnh vào chữ ký số hóa hay chữ ký bằng âm thanh, chỉ là nhằm để nêu bật tính đặc trưng cỉa chữ ký điện tử

- về mặt không gian: Dịch vụ chứng thực chữ ký điện tử ở phạm vi Việt Nam,

ở một số nước và ở phạm vi quốc tế

từ khi Luật Giao dịch điện tử năm 2005 có hiệu lực, tức là từ tháng 3/2005 đến năm

2015, tầm nhìn đến năm 2020

Khi phân tích dịch vụ chứng thực chữ ký điện tử, đề tài giới hạn phạm v i nghiên cứu ở việc phân tích hai loại hình tổ chức là: hoạt động cỉa tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nhằm mục đích kinh doanh và hoạt động cỉa tố chức cung cấp dịch vụ chứng thực chữ ký điện tử không nhằm mục đích kinh doanh Cũng trong khuôn khổ cỉa Ì đề tài nghiên cứu khoa học cấp Bộ, đề tài không

có tham vọng nghiên cứu kinh nghiệm cỉa tất cả các nước mà lựa chọn phân tích kinh nghiệm cỉa 5 nước là EU, Bi, Mỹ, Hàn Quốc và Singapore - Đây là 5 nước đã có những kinh nghiệm nhất định trong việc thực hiện dịch vụ chứng thực chữ ký điện tử

5 Phương pháp nghiên cứu

Là đề tài rất mới, có thể nói là đề tài đầu tiên đặt bút khai phá cho hướng nghiên cứu này, vì vậy, phương pháp nghiên cứu được áp dụng thường xuyên là:

- Phân tích, thống kê, luận giải, hệ thống hóa và so sánh, ;

- Tập họp tài liệu (tiếng Anh và tiếng Pháp) nước ngoài để đọc, dịch, phân tích

và hệ thống hóa và đưa ra những nhận xét và đánh giá cỉa nhóm tác giả đề tài;

- Cập nhật các thông tin (từ trên mạng) về T M Đ T , về hạ tầng mạng cho chữ ký điện tử, chữ ký số để phân tích các điều kiện đảm bảo an toàn cho chữ ký điện tử và các điều kiện đảm bảo thành công cho dịch vụ chứng thực chữ ký điện tử;

6 Bố cục cỉa đề tài

Ngoài lời nói đầu, kết luận, các phụ lục và danh mục tài liệu tham khảo nội dung nghiên cứu cỉa đề tài được phân bổ thành ba chương:

Chương Ì: Tổng quan về dịch vụ chứng thực chữ ký điện tử

Chương 2: Kinh nghiệm cỉa một số nước về tổ chức thực hiện dịch vụ chứng thực

chữ ký điện tử

Chương 3: Các giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam

4

Chương Ì TỐNG QUAN V È DỊCH vụ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ

Trong nhiều thập kỷ qua, chữ ký truyền thống đã từng được hỗ trợ thông qua các dịch vụ như công chứng, xác nhận, sự làm chứng bởi người thứ ba, v.v với những qui trình thủ tục pháp lý rõ ràng và chặt chẽ nhạm đảm bảo thông tin cho khách hàng Ngày nay, người ta đang chứng kiến một loại hình hoạt động mang tính dịch vụ khá đặc biệt đang song song tồn tại và đang dần dần thay thế các dịch vụ truyên thông nói trên Đó là dịch vụ chứng thực chữ ký điện tử Vậy dịch vụ chứng thực chữ ký điện

tử là gì? Dịch vụ này có những điểm khác biệt gì so với dịch vụ công chứng các văn bản, chứng từ trước đây? Qui trình thủ tục của dịch vụ này có gì cần lưu ý? Phần dưới đây sẽ làm rõ những câu hỏi này, bắt đầu từ việc làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, sự cần thiết phải chứng thực chữ ký điện tử và đặc điếm của dịch

vụ chứng thực chữ ký điện tử

ì C H Ữ K Ý ĐIỆN T Ử

1 Khái niệm và đặc điểm của chữ ký điện tử

1.1 Khái niệm về chữ ký điện tử

Chữ ký là phương thức phổ biến để ghi nhận tính xác thực của thông tin chứa đựng trong văn bản Đặc điểm chủ yếu của chữ ký là xác nhận tác giả của văn bản và thể hiện sự chấp thuận của tác giả đối với nội dung thông tin chứa trong văn bản đó Tuy nhiên, đối với các hoạt động trên không gian mạng nói chung và với các giao dịch điện tử nói riêng, nếu hiểu chữ ký như trên thì sẽ không thể có các giao dịch hay hợp đồng điện tử Vì vậy, các giao dịch trên không gian mạng cần phải được "ký" bời một chữ ký khác - chữ ký điện tử Chữ ký điện tử là dữ liệu tồn tại dưới dạng điện tử trong hoặc đi kèm với "văn bản điện tử", dùng để xác định bên ký kết "văn bản điện t ử " và chỉ rõ sự chấp thuận của bên ký kết về nội dung các thông tin có trong "văn bản điện tử" đó

Giữa chữ ký truyền thống và chữ ký điện tử có sự khác biệt rất rõ về chức năng Chữ ký truyền thống là bạng chứng chứng minh sự hiện diện của một chủ thể tại thời gian và địa điểm ký vào văn bản Còn chữ ký điện tử lại không như vậy Chủ thể của các giao dịch điện tử có thể lập trình sẵn một chương trình để ký kết hoặc trả lời Vì vậy, dù không có sự hiện diện của chủ thể thì hệ thống vẫn hoạt động bình thường vẫn

"ký" vào "văn bản điện tử" và ràng buộc chủ thể đó V ớ i kỹ thuật này, trong giao dịch điện tử, chữ ký điện tử có thể có nhiều loại khác nhau

5

Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax đê truyền đi các tài liệu quan trọng Mặc dù chữ ký trên các tài liệu này vân thê hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử Đó là dạng điện tử hoa đầu tiên của chữ ký truyền thống trên giấy Tuy nhiên, các phương thức này không đớm bớo được độ an toàn cho chữ ký và nội dung văn bớn được ký vì những lý do: (1) Dễ già mạo chữ ký; (2) Dữ liệu tạo chữ ký không gắn duy nhất với người ký; (3) Dữ liệu tạo chữ ký không thuộc sự kiểm soát của người ký; (4) Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký; (5) Khó phát hiện các thay đối đối với bớn thân chữ ký sau khi đã ký

Ngày nay, với sự phát triển của công nghệ thông tin, chữ ký điện tử có thê khác phục những nhược điểm trên Chữ ký điện tử có thể được thực hiện trên các thư điện

tử (email), qua việc nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cớm ứng tại các quầy tính tiền, chấp nhận các điều khoớn soạn sẵn dành cho người tiêu dùng khi cài đật phần mềm máy tính, v.v Vậy chữ ký điện tử là gì?

Cho đến nay, khái niệm về chữ ký điện tử đã được quy định trong pháp luật của nhiều nước, của các tổ chức khu vực, quốc tế và của Việt Nam

Ngày 13/2/1999 Hội đồng và Nghị viện EU đã ban hành Chỉ thị về chữ ký điện

tử (European Directive of the European Parliament and of the Council of 13 December

1999 ôn a Community Framework for Electronic Signature) (xem thêm phụ lục số ỉ)

Chỉ thị này quy định chữ ký điện tử được hiểu theo nghĩa rộng, bao gồm các chữ ký tồn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, hình ớnh, V.V dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì 1

N ă m 2000, Mỹ cũng ban hành Luật thương mại Quốc gia và Toàn cầu về Chữ

ký Điện tử (Electronic Signature in Global and National Commerce Act - E-SIGN) Luật này đã cung cấp một khái niệm tổng quát về chữ ký điện tử theo đó chữ ký điện

tử (electronic signature) là các tín hiệu âm thanh, các ký hiệu, là quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bớn và được thực hiện bởi người muốn ký vào hợp đồng hay văn bớn đó

Luật mẫu của UNCITRAL về chữ ký điện tử năm 2001 (UNCITRAL Model Law ôn E-Signature) coi chữ ký điện tử là "dữ liệu ở dạng điện tử, gắn với hoặc kết họp một cách logic với thông điệp điện tử nhằm xác nhận quan hệ giữa người ký với

Điều 2 khoớn Ì, Chì thị EU năm 1999; xem toàn văn chi thị này tại địa chi

http://www,ictsb,org/EESSI/Documents/e-sign-directive.pdf

6

thông điệp điện tử và chỉ ra sự thừa nhận của người ký với thông tin trong thông điệp điện tử 2

N ă m 2005, Việt Nam cũng ban hành một đạo luật trong đó có nhiều quy định liên quan đến chữ ký điện tử Đó là Luật Giao dịch điện tử năm 2005 Luật Giao dịch điện tử năm 2005 cũng có cách hiểu tương đồng với pháp luật nêu trên về chữ ký điện

tử Luật quy định chữ ký điện tử "là chữ ký được tạo lập dưới dạng từ, chữ, sắ, ký hiệu, âm thanh hoặc các hình thức khác bàng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp

dữ liệu và xác nhận sự chấp thuận của người đó đắi với nội dung thông điệp dữ liệu được ký"3

Các quy định ở các nguồn luật nêu trên cho thấy không có sự mâu thuẫn hay khác nhau lớn trong cách hiểu của pháp luật các nước và quắc tế về chữ ký điện tử So với Luật của Mỹ và EU, Luật mẫu của UNCITRAL đưa ra khái niệm rõ hơn, cụ thể hơn, chặt chẽ hơn cả về mặt kỹ thuật công nghệ và pháp lý Từ ba văn bản luật nêu trên, có thể hiểu chữ ký điện t ử là chữ ký m à người ta tạo lập thông qua các phương tiện điện tử, thông qua các công nghệ liên quan tới môi trường mạng như điện, sắ, từ, quang, điện từ hoặc các dấu hiệu đặc trưng khác gắn liền với thông điệp điện tử Như vậy, chữ ký điện tử thường gắn kết với những vấn đề kỹ thuật của công nghệ thông tin và của môi trường mạng Đặc điểm của chữ ký điện tử, vấn đề đầu tiên

là phải nắm được kỹ thuật tạo lập nó Ngoài ra, cũng cần phải thấy được mục đích của việc tạo lập chữ ký điện tử là nhàm xác nhận người ký chữ ký này với những nội dung

có trong thông điệp điện tử

về mặt kỹ thuật, chữ ký điện tử có thể được tạo lập theo các hình thức như: hình ảnh chữ ký tay được sắ hoa, hay một m ã bất kỳ mà người ký ấn định cho bản thân mình, một dấu vân tay được quét (soán), một dãy sắ nào đó hoặc thậm chí một chữ ký

điện tử ở dạng mã hóa đôi mắt của một người để xác nhận và đánh dấu (xem Hình 1)

Hình Ì m ô tả chữ ký điện tử được tạo lập thông qua hình thức m ã hóa đôi mắt của một người Hình thức này được hiểu như sau: Một người muắn qua được cửa an ninh thì phải đưa đôi mắt của mình vào thiết bị cảm ứng điện tử Đôi mắt này được thiết bị quét kiểm tra như trên Trên màn hình hiện ra chữ "Approved", tức là "chấp nhận"

Điêu 2, mục a Luật mẫu cùa U N C I T R A L vê chữ ký điện tử, xem toàn văn Luật này tại địa chi

http://www.uncitral.org/pdffenglish/texts/electcom/ml-elecsig-e,pdf,

Điều 21 khoản Ì, Luật Giao dịch điện từ cùa Việt Nam năm 2005

7

Hình 1: C h ữ ký điện t ử ở dạng m ã hoa đôi mắt của một người

Nguồn: M'WW visa.com au

Như vậy muốn mã hóa đôi mất thì phải có thiết bị cảm ứng điện tử Thiết bị cảm ứng điện tử này phải sử dụng công nghệ đòi hợi có sự chính xác cao vì nó không chỉ được sử dụng cho một người, mà là rất nhiều người Chỉ cần một sự sai lệch nhợ, rất nhợ so với đôi mắt đã được mã hóa để nhận dạng thì lập tức thiết bị cảm ứng điện

tử này sẽ phát hiện ra và từ chối sự đi qua cửa an ninh của người không được nhận dạng Với chữ ký điện tử cũng vậy Ngày nay người ta đã dùng những thiết bị điện tử như trên để tạo lập và xác nhận chữ ký điện tử của một người Trong thực tế, chữ ký điện tử cũng được điện tử hóa bằng kỹ thuật điện tử đa dạng (xem hình 2)

Hình 2: Hình ảnh của chữ ký tay và chữ ký này được điện t ử hoa

Hình 2 cho thấy chữ ký tay truyền thống của một người Đó là chữ ký của anh

M i n Hancock Bằng kỹ thuật công nghệ hiện đại, chữ ký này đã được điện tử hóa ở dạng các dãy số và được chứng thực bởi công ty Yozons (xem bảng 1)

Bảng 1: C h ữ ký tay được điện t ử hóa ở dạng các dãy s ố

Signature is Valkt, Message integrity v e r i e d (veriíied by Yozons át 01/28/0411:36 A M PST)

Digital signature: (unique signature DÍ the sigrter of the Message)

dA/Dqđ5u<j4QMYvpcCJQNc7víw/SnQđeBslBEmoj2eqỉJI«JZímySH8gKĩ6oE8K93f 4Sg7sYua3Ura«ip4GeiirLFcGflJTHQk02yeUELlvfk+BOHTKlpyCnKk2râhaBFF55PJ BPSttQRx8Pr7nqnK2SOezPBjo5taV6iDVvT/TeK»iGHJyJeygƯeOrwx+TtLHIXqfP

9EJiỮ22ẰzZnplGwđMjblis2rtsfJL8S/8ne/qWXoYBqnnI>vÌcH8XpCB04EvTO0Gu6

A5h3nwEurop3Tl+i8SinYssklOtt76YíÌs0m9SyBTVit.oNRREytRdhSq7eg)cdlT

3 ycxeg»<HG«u8i-lìKhs l i a —

8

Dịch là: Chữ ký này là họp lệ Thông điệp đã được xác thực (bởi Yozons ngày

28/1/2004 lúc l lh36 phút sang) Chữ ký số: (chữ ký duy nhất của người gửi và ký

thông điệp này)

Tuy nhiên, nhìn từ cà một dãy số dài chi chít chữ và số ở bảng Ì nêu trên, có thê con người sẽ khó thực hiện bằng cách tểo lập chữ ký truyền thống Ngược lểi, dãy chữ

số này phải do một phần mềm cung cấp Phần mềm để tểo lập chữ ký điện tử, hay còn

gọi là chương trình ký điện tử, là các chương trình máy tính được thiêt lập đê hoểt

động độc lập hoặc thông qua các thiết bị điện tử khác nhằm tểo ra một chữ ký điện tử

đặc trưng cho người ký thông điệp dữ liệu đó4 Phần mềm này có thể do các cá nhân,

tổ chức tự viết hoặc do cơ quan chứng thực chữ ký điện tử cung cấp Cá nhân, tô chức

có nhu cầu sử dụng chữ ký điện tử sẽ đăng ký với cơ quan cung cấp dịch vụ chữ ký

điện tử các yêu cầu về định dểng của chữ ký, ví dụ như chữ ký ở dểng gương mặt đang

cười của cá nhân, hoặc một âm thanh nhất định (gần giống với việc người ta mặc định

trong điện thoểi di động một kiểu nhểc chuông cố định và hình ảnh cố định khi số điện

thoểi của một người nào đó gọi đến) Trên cơ sờ các yêu cầu này, cơ quan cung cấp

dịch vụ sẽ tểo chữ ký điện tử và gắn kèm chứng chì xác thực (có thể kèm cả hển sử

dụng chữ ký điện từ) Người nhận thông điệp có thể nhìn thấy chứng chỉ xác nhận chữ

ký điện tử đó và có thể yên tâm về độ tin cậy của thông điệp hoặc có thể trực tiếp kiếm

tra bản gốc của chữ ký này trên website của công ty cung cấp dịch vụ chứng thực chữ

ký điện tử

1.2 Chữ ký số có phải chữ ký điện tử không?

Từ ví dụ minh họa về chữ ký điện tử thông qua dãy số tểi bảng Ì, có thể thấy để

tểo lập chữ ký điện tử, người ta hay tểo ra một dãy dài các chữ số Đó là chữ ký số

Vậy chữ ký số có phải là chữ ký điện tử không? Chữ ký số và chữ ký điện tử là một

hay là hai? Có điểm gì chung và khác giữa chúng?

Chữ ký số "là một dểng chữ ký điện tử được tểo ra bằng sự biến đồi một thông

điệp dữ liệu sử dụng hệ thống mật m ã không đối xứng theo đó người có được thông

điệp dữ liệu ban đầu và khoa công khai của người ký có thể xác định được chính xác"5

Khi nói đến chữ ký điện tử, người ta hay đồng nghĩa với chữ ký số Tuy nhiên, như đã

trình bày ờ trên, chữ ký điện tử có nghĩa rộng hơn N ó không chỉ bao gồm các dãy số

vẽ chữ ký sô và dịch vụ chứng thực chữ ký sô

9

m à nó còn có thể là bất kỳ d ữ liệu điện t ử nào kể cả dãy c h ữ hoặc kết hợp cả c h ữ và

số N h ư vậy, c h ữ ký số là m ộ t tập con của c h ữ ký điện tử, là một dạng của c h ữ ký điện

tử Vì vậy, chữ ký số có điểm chung và cũng có điểm riêng so v ớ i c h ữ ký điện tử

Điểm chung là cả 2 loại c h ữ ký này đều được tạo lập n h ờ vào kứ thuật công nghệ

thông t i n và kứ thuật điện tử Điểm khác nhau thể hiện ở qui trình tạo lập c h ữ ký sô và

tính an toàn cao của nó

Trong thực tế, do độ tiện l ợ i và tính an toàn cao nên c h ữ ký số thường được gan

với văn bản điện t ử và dùng để chứng thực người ký văn bản và n ộ i dung của vãn bản

điện t ừ đó

Đ ể sử dụng c h ữ ký số, về mặt kứ thuật, cần phải có một cập khoa g ồ m khoa công khai và khoa bí mật Cặp khoa này do công t y chứng thực c h ữ ký sỗ cấp K h o a

công khai được công bố cho m ọ i tổ chức, cá nhân m u ố n giao dịch trên m ọ i phương

tiện điện t ử như website, danh thiếp, V.V K h o a bí mật được biết chỉ duy nhất b ở i cá

nhân, tổ chức ký c h ữ ký sổ đó C ó thể hình dung hai chìa khoa này như hai chiếc chìa của một két sắt, m ộ t chìa chuyên dùng để khoa và chìa k i a chuyên dùng để mở Sau khi đã khoa bằng một chìa thì chỉ có chìa còn lại m ớ i có thể m ở được C ó thể m ô hình hóa qui trình tạo lập c h ữ ký số tại hình 3 dưới đây

Hình 3: M ô hình Quy trình tạo lập chữ ký số (dạng đơn giản nhất)

Records Management Guìdance for Agencìes Impỉementing Eỉectronìc Signature Technoỉogies National

Archives and Records Adminìstration, October 18, 2000, Policy and Communications Staff

Office of Records Services - IVashington, De, Modern Records Program

l o

Trong hình 3 trên, người gửi thông điệp trước tiên phải rút gọn nội dung thông điệp (ví dụ nội dung của hợp đồng) bằng việc sử dụng hàm băm (Hash value)6

H à m băm này thường có độ dài là một dãy ký tự cố định và sẽ ngắn hơn dểng văn bản Sau

đó, người gửi thư điện tử sẽ phải sử dụng khoa bí mật của bản thân mình (là một mật khẩu password) để ký H à m băm, sau khi được sử dụng để tểo lập chữ ký số, sẽ được rút lểi thành một dãy ký tự khác Kết quả là chúng ta sẽ có nguyên văn nội dung của hợp đồng cùng với một dãy ký tự Sau đó, người gửi thông điệp sẽ gửi hợp đồng cùng chữ ký số này qua internet để truyền tải đến máy tính của người nhận Khi nhận được hợp đồng này, người nhận sẽ sử dụng khoa công khai của người gửi để kiếm tra xem

có đúng đây là hợp đồng đã được chuyển nguyên bản từ người gửi thông điệp hay không Nếu nội dung hợp đồng bị sửa, trong hành trình trên internet đến máy tính người nhận, thì kết quả kiểm tra sẽ báo là có sự sai phểm ngay lập tức M ô hình tểo lập chữ ký số nêu trên có thể được cụ thể hóa thông qua các bước tểo lập chữ ký số ở ví dụ trong hình 4 dưới đây

Hình 4: Các bước tểo lập chữ ký số trong thực tế

Người gửi

Thông điệp: Tôi đẳng ý

mua với giá $ 100/pc

H à m băm

Khóa bí mật của người gửi

0

Thông điệp: Tôi đồng

ý mua với giá $ 100/pc

Người nhận Thông điệp: Tôi đồng ý mua với giá $ 100/pc

Thông điệp: Tôi đồng

ý mua với giá $ 100/pc

được sinh ra từ A thông qua một hàm toán học gọi là hàm bám Có thể hình dung là hàm toán học này sẽ cộng trừ, nhân, chia, các ký tự trong thông điệp góc (A) đê sau đó có được két quà là thông điệp a, ngắn hem nhiều

về kích thước so với A Yêu cầu cơ bản nhất của thuật toán này là một thông điệp A chì sinh ra duy nhất mót a và ngược lểi một a chỉ là kết quà duy nhất cùa A Điều này đàm bào bất kỳ thay đồi nào trong nội dung thông điệp gốc A sẽ cho ra kết quà hàm băm là (a') khác với (a)

l i

Trong ví dụ trên, toàn bộ nội dung "Tôi đồng ý mua với giá $100/pc" đã được rút gọn thành dãy ký tự Tdymv Sau khi người gửi dùng khoa bí mật để ký thì chúng ta lại có một dãy ký tự khác là # $ &A& *A# Ư E Hợp đồng và dãy ký tự này được chuyển qua internet đến máy tính người nhận Người nhận dùng khoa công khai của người gửi

để kiểm tra chữ ký số Sau khi mở, chúng ta được dãy ký tự Tdymv, giống với dãy ký

tự mà hàm băm đã rút gọn Điều đó có nghĩa là chữ ký số thực sự là do người gửi ký

và nội dung hợp đồng không bệ sửa đổi Nếu trong quá trình hợp đồng được chuyên tới máy tính của người nhận, nội dung bệ thay đổi thì sau khi mở khoa, dãy ký tự thu được

sẽ khác với dãy ký tự mà hàm băm đã rút gọn N ó có thể là xyz nào đó và người nhận hiểu rằng thông tin nhận được đã không có độ tin cậy nữa

Như vậy, chữ ký số sử dụng công nghệ khoa công khai (Public Key PKI) giúp chúng ta xác nhận được hai vấn đề Thứ nhất, chữ ký số đó có phải là của người gửi thông điệp hay không và thứ hai là nội dung văn bản có được đảm bảo tính toàn vẹn hay không

Industry-Với qui trình và độ chính xác cao của sự bảo đảm về mặt công nghệ nói trên, chữ ký số, với ý nghĩa là một tập con nằm trong toàn bộ hệ thống chữ ký điện tử, có qui trình tạo lập chặt chẽ, có độ an toàn cao với sự chính xác của nó Bởi vậy, chữ ký

số thường được sử dụng trong các giao dệch, trong các hoạt động điện tử đòi hỏi độ an toàn và chính xác cao Với việc xây dựng qui trình tạo lập chữ ký số, môi trường mạng chắc chắn sẽ còn phát triển mạnh trong thời gian tới Tuy nhiên, để tạo lập chữ ký số, vấn đề hạ tầng mạng, hệ thống điện và khả năng thực hiện của con người cũng phải đạt đến một trình độ phát triển nhất đệnh Vì vậy, việc sử dụng chữ ký số đã phát triển ờ nhiều nước như Mỹ, EU, nhưng vẫn còn xa lạ với các nước đang và kém phát triển như Việt Nam, Từ đó có thể đi đến kết luận là trước khi tiến tới chữ ký số, trước tiên vẫn phải tạo lập chữ ký điện tử

1.3 Đặc điểm của chữ ký điện tử

So với chữ ký truyền thống chữ ký điện tử có những đặc điểm riêng sau đây:

- Sự biểu hiện của chữ ký điện tử thường rất đa dạng

Chữ ký điện tử thường có thể được biểu hiện rất đa dạng, có thể là hình ảnh, âm thanh, dãy số, ký hiệu, hoặc là bất cứ hình thức dữ liệu điện tử nào cũng có thể được

sử dụng làm chữ ký điện tử

- Chữ ký điện tử đòi hỏi nhiều điều kiện kỹ thuật bo trợ

12

Việc triển khai chữ ký điện tử đòi hỏi phải có nhiều điều kiện kỹ thuật hô trợ như cơ sở hạ tầng mạng, hệ thống điện luôn luôn phải ổn định, trình độ đáp ụng của nhà nước, của các tổ chục cũng như của các cá nhân về ụng dụng công nghệ thông tin phải nhanh nhạy và luôn đổi mới, phải có sự kết hợp nhuần nhuyễn giữa tri thục toán học (thông qua các thuật toán, ) và tri thục về điện tử, về viễn thông, về công nghệ thông tin phái hoàn hảo, V.V Đặc biệt, cơ sở hạ tầng mạng phải phát triến ở cả hai đầu, đầu gửi và đầu nhận thông điệp Nếu có sự bất cân xụng về hạ tầng công nghệ thì việc sử dụng chữ ký điện tử sẽ rất khó khăn

- Chữ ký điện tủ có khả năng xác nhận và chứng thực

Chữ ký điện tử, đặc biệt là chữ ký số, có khả năng xác nhận và chụng thực cao Chữ ký điện tử là căn cụ đáng tin cậy để xác định người ký cũng như nội dung thông điệp dữ liệu Việc sao chép và giả mạo chữ ký điện tử là tương đối khó khăn và trong nhiều trường họp là không thể Nếu thời gian để phá một m ã (bàng phương pháp duyệt toàn bộ) được ước lượng là 1000 năm thì thuật toán này hoàn toàn có thể dùng để m ã hóa các thông tin về thẻ tín dụng - rõ ràng là thời gian phá mã lớn hơn nhiều lần thời gian tồn tại của thẻ (vài năm) Người ta cũng từng đặt ra khả năng bị tấn công dạng kẻ tấn công đụng giữa (man in the middle attack): kẻ tấn công lợi dụng việc phân phối khóa công khai để thay đổi khóa công khai Sau khi đã giả mạo được khóa công khai,

kẻ tấn công đụng ở giữa 2 bên để nhận các gói tin, giải m ã rồi lại m ã hóa với khóa đúng và gửi đến nơi nhận để tránh bị phát hiện Dạng tấn công kiểu này có thể được phòng ngừa bằng các phương pháp trao đổi khóa an toàn nhằm đảm bảo xác thực người gửi và xác thực sự toàn vẹn thông tin

- Chữ ký điện tử hiện nay đã được pháp luật nhiều nước thừa nhận là có giá trị pháp lý tương đương chữ kỷ trẽn giấy

Các quốc gia thừa nhận giá trị pháp lý của chữ ký điện từ trong Luật về T M Đ T hoặc trong những đạo luật chuyên biệt về chữ ký điện tử7

Luật Giao dịch điện tử năm

2005 của Việt Nam cũng khẳng định (tại điều 24 khoản 1): "Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ụng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó"

điện tú ngày 13/12/1999, Luật chữ ký điện tử năm 1999 cùa Hàn Quốc, Luật mẫu cùa U N C I T R A L về chữ ký điện từ năm 2000, v.v đều coi chữ ký điện từ có giá trị tương đương như chữ ký tay trong các văn bàn giao đích truyền thống

13

1.4 Phân loại chữ kỷ điện tử

Chữ ký điện tử có thể được phân thành nhiều loại tùy thuộc vào tiêu chí nhìn nhận chúng

1.4.1 Căn cứ vào mức độ an toàn của chữ kỷ điện tử

Nếu căn cứ vào tiêu chí mức độ an toàn, có thể chia chữ ký điện tử thành ba loại8 Đó là chữ ký điện tử đơn giản (other electronic signature), chữ ký điện tử khó giả tạo (advanced electronic signature) và chữ ký điện tử đã được chứng thực (qualified electronic signature)

điệp điện tử và nhẫm mục đích chỉ dẫn tới người gửi thông điệp Với cách hiếu như vậy thì ngay cả chữ ký tay được scan và dán lên thư điện tử cũng được coi là chữ ký điện tử ở dạng giản đơn Loại chữ ký này được áp dụng cho các giao dịch đơn giản do tính dễ tạo lập của nó Những giao dịch này không đặt ra vấn đề an toàn của chữ ký điện tử vì chúng không đáp ứng các tiêu chuẩn an toàn mà pháp luật đòi hỏi và vì vậy chúng không giúp các chủ thể xác thực người gửi và tính nguyên vẹn của thông điệp được gửi

là loại chữ ký điện tử được tạo lập khi chúng thoa mãn 4 điều kiện sau: (1) Có mối liên kết duy nhất đến người ký; (2) Có thể xác thực được người ký; (3) Được tạo ra bẫng những phương thức m à chỉ có người ký kiểm soát được; (4) Có mối liên kết với dữ liệu nhẫm phát hiện ra bất kỳ thay đổi nào trong nội dung của dữ liệu

Loại chữ ký điện tử khó giả mạo này được tạo lập bởi những kỹ thuật hạn chế giả mạo do chính người tạo lập ra nó quy định

Hai loại chữ ký trên được sử dụng trong những giao dịch giản đơn và cũng không bị ràng buộc bởi những quy định, những yêu cầu của pháp luật về hình thức ký

Chữ ký điện tử đã được chứng thực là những chữ ký điện tử đã thoa mãn được 9

điều kiện: (1) Chữ ký đã có sự chứng thực; (2) Trong chứng thực phải chi rõ cơ quan chứng thực và quốc gia nơi đặt cơ quan này; (3) Chữ ký phải thể hiện tên người ký hoặc bút danh của người này; (4) Các quy định về thuộc tính của chữ ký; (5) Dữ liệu thể hiện chữ ký thuộc kiểm soát của người ký; (6) Chữ ký thể hiện ngày có hiệu lực và

Schlesvvig-Holstein, Phân loại chữ ký điện tù, tài liệu hội thào PET vê chữ ký điện từ/ chữ ký số tại Dresden, Đức năm 2003 được tài từ địa chi http://www.petworkshop,org/2003/slides/panels/peứ003 krasemann,pdf

Loại chữ ký được quy định tại điều Ì, đoạn Ì của Chỉ thị EU năm 1999 vê chữ ký điện từ (Xem phụ lục sỗ 1) Loại chữ ký này được quy định tại điều 2 cùa Chì thị EU năm 1999 vê chữ ký điện từ (Xem phụ lục số ì)

14

hết hiệu lực của chứng thực; (7) M ã riêng của chứng thực; (8) Những hạn chế trong việc sử dụng chứng thực (nếu có); (9) Những hạn chế trong giá trị các giao dịch được

sử dụng cùng với loại chữ ký này (nếu có)

Loại chữ ký điện tử đã được chứng thực có thể được chứng thực bởi bất kỳ cơ quan chứng thực nào, kể cả những cơ quan chứng thực có uy tín không cao Do đó, loại chữ ký này chờ đóng vai trò là một trong những cơ sở (không phải là bằng chứng)

để giải quyết tranh chấp phát sinh Các chứng thực và tài liệu liên quan đến chữ ký chờ phải lưu trữ trong một thời gian ngắn, thường là 2 năm Sau đó, chúng có thể bị xoa khỏi bộ nhớ Nếu cơ quan cung cấp chứng thực chấm dứt hoạt động của mình vì lý do nào đó (như phá sản) trước khoảng thời gian hai năm thì tính an toàn cho loại chữ ký này cũng tự động chấm dứt V i vậy, không có một bảo đảm gì về tuổi thọ của chữ ký điện tử đã được chứng thực này Do đó, tính an toàn chờ dừng ở mức trung bình Tất cả các chữ kỹ điện tử thực hiện từ các quốc gia thành viên EU tuân theo quy định trong Chờ thị EU về chữ ký điện tử năm 1999 đều thuộc nhóm này Nhìn chung, loại chữ ký điện tử đã được chứng thực có thể được sử dụng cho các giao dịch m à pháp luật đòi hỏi phải được lập dưới hình thức văn bản, ngoại trừ những trường hợp cụ thể theo quy định của pháp luật Ví dụ, Đức không thừa nhận loại chữ ký này cho việc mua bán bất động sản hay lập di chúc"

1.4.2 Một số loại chữ ký điện tử khác

ở một số nước, như ở Đức chẳng hạn, người ta còn biết tới loại chữ ký điện tử được thừa nhận Như ở trên đã nêu, vì chữ ký điện tử đã được chứng thực không được thừa nhận cho một số giao dịch điện tử đặc biệt như mua bán bất động sản, nên riêng ở Liên Bang Đức bên cạnh ba loại chữ ký trên, Đức còn quy định thêm chữ ký điện tử được thừa nhận1 2

(acrredited electronic signature) Ở Đức, chữ ký điện tử được thừa nhận là loại chữ ký an toàn nhất Các cơ quan chứng thực chữ ký này chịu sự kiêm soát chặt chẽ của Nhà nước và tuổi thọ của mỗi chữ ký được chứng thực thường rất dài, ít nhất là khoảng 35 năm (tức là các chửng từ, tài liệu liên quan đến chữ ký cũng phải được lưu giữ ít nhất 35 năm) Sự thay đổi, biến động về kỹ thuật công nghệ cũng được tính toán trước để đảm bảo cho tuổi thọ nói trên của loại chữ ký được thừa nhận này Nếu cơ quan chứng thực bị phá sản hay ngừng hoạt động vì bất cứ lý do gì nghĩa vụ lưu trữ chữ ký sẽ được chuyển sang cho cơ quan nhà nước có thẩm quyền Mặc dù Đức là thành viên của EU và phải thực hiện Chờ thị của EU năm 1999 về chữ

" Điều 766 và 2247 Bộ Luật Dân sự Đức năm 1900

Loại chữ ký nậy được quy định tại điều 15 Luật Quy định các Điều kiện chung cho Chữ ký Điện từ cùa Đức năm 1997, sửa đôi năm 2005 (Law governing Framework Conditions for Electronĩc Signatures- SigG)

15

ký điện tử, họ vẫn xây dụng được một cơ chế chặt chẽ và khắt khe như vậy là vì điêu 3 khoản 7 của Chỉ thị cho phép các quốc gia thành viên được quyền ban hành thêm các quy định chặt chẽ hơn khi sử dụng chữ ký điện tử trong các giao dịch công trên cơ sứ bình đẳng, không phân biệt đối xử1 3 Như vậy, nếu các cá nhân, tổ chức trong giao dịch kinh doanh cảm thấy chữ ký điện tử đã được chứng thực là đủ độ tin cậy thì họ vẫn có thể sử dụng chữ ký đó Trường hợp họ chưa yên tâm, họ sẽ sử dụng loại chữ ký điện tử được thừa nhận này

Một số quốc gia khác như Anh, Hồng Rông, Trung Quốc phân loại chữ ký điện

tử thành hai loại1 4

: Chữ ký điện tử sơ đẳng (basic electronic signature) và Chữ ký điện

tử tiên tiến (advanced electronic signature)

Chữ ký điện tử sơ đẳng được hiểu khá rộng, bao gồm bất kỳ chữ ký nào ờ dạng

dữ liệu điện tử, gắn với thông điệp điện tử

Chữ ký điện từ tiên tiến là dạng un việt hơn chữ ký điện tử sơ đẳng Chúng có 4

đặc tính: (1) Có mối liên kết duy nhất đến người ký; (2) Có thể xác thực được người ký; (3) Được tạo ra bằng những phương thức mà chỉ có người ký kiểm soát được; (4)

Có mối liên kết với dừ liệu nhằm phát hiện ra bất kỳ thay đổi nào trong nội dung của

dữ liệu

Có thể thấy loại chữ ký điện tử tiên tiến này chính là chữ ký điện từ khó giả mạo Chữ ký số thuộc nhóm chữ ký điện tử tiên tiến này Bản thân chữ ký số cũng được chia thành hai loại Loại chữ ký số có thể ký ngay trên thông điệp dữ liệu (clearsigned documents) và loại chữ ký số có gắn kèm với thông điệp dữ liệu (detached signature) Đ ố i với loại chữ ký sổ có thể ký ngay trên thông điệp dữ liệu điện tử, người ta sẽ nhìn thấy chữ ký ứ dạng khối văn bản nằm trong nội dung thông điệp Loại chữ ký số gắn kèm thông điệp dữ liệu sẽ ứ dạng một file tài liệu riêng đi kèm với file dữ liệu Cả hai loại đều có độ an toàn và xác thực ngang nhau

2 Vấn đề an toàn, bảo mật chữ ký điện t ử

Vấn đề an toàn bảo mật chữ ký điện tử thường phụ thuộc vào nhiều điều kiện, trong đó, tiêu biểu là 3 điều kiện chủ yếu Đó là bảo mật về công nghệ, bảo mật về pháp lý và bảo mật về quản lý nhà nước Mỗi yêu càu ờ từng điều kiện là khác nhau Phần dưới đây sẽ phân tích điều này

13

Nguyên văn điều 3 khoản 7 là "Member states may make the use of electronic signatures in public sector

subject to possible additional requừements Such requirements shall be obịective, transparent, proportionate and non-discriminary, and shall only relate to the specific characteristics o f the application concerned Such requừements may nót constitute an obstacle to croos-border services for citizens."

Thông tin được lấy từ trang giãi đáp pháp luật cùa H ồ n g Kông X e m chi tiết tại http://www.out-law

com/pạgẹ-5550

16

2.1 An toàn, bảo mật về mặt công nghệ

Khi một chữ ký điện tử được tạo lập ở dạng hình ảnh, âm thanh, v.v thì những

hình ảnh, âm thanh này phải là duy nhất để bảo đảm tính an toàn Công nghệ càng cao

thì càng an toàn, càng dễ phát hiện ra sự giả mạo Những công nghệ này bao gôm công

nghệ số và mật lệnh nhận dạng, dấu hiệu hoặc thẻ thông minh, sinh trủc học, dữ liệu

điện tử đơn giản, chữ ký kỹ thuật số và sự kết hợp của những công nghệ này

Khi nói đến tính an toàn bảo mật về mặt công nghệ, người ta thường đê cập đèn

công nghệ của chữ ký điện tử ở dạng chữ ký số Nếu như chỉ sử dụng khoa như ở hình

3 và hình 4 thì bất kỳ ai cũng đọc được nội dung thông điệp Đ ể bảo mật, người ta tiến

hành "dán phong bì" cho thông điệp bằng khoa công khai của người nhận (xem hình

5)

Nguồn: Records Management Guidance for Agencies ỉmpỉementing Electronìc Sìgíiơture Technoỉogìes, Nationaỉ Archives and Records Administration, October 18, 2000, Policy and Communications Staff Ọffìce of Records Services - Washingíon, De, Modern Records Program

Nhìn từ hình 5 có thể thấy rõ quy trình, thao tác từ đầu cho đến khi chữ ký số

được thực hiện hoàn toàn giống qui trình đã được trình bày ở hình 3 Sau đó, người gửi

dùng khoa công khai của người nhận để "dán phong bì", tức là mã hoa toàn bộ hợp

đồng kèm chữ ký thành một chuỗi ký tự Chuỗi ký tự này sẽ được chuyển qua intemet

đến máy tính của người nhận Người nhận sẽ dùng khoa bí mật của mình để '.'mả

Ị T '' V I Ề N ị

phong bì", tức là mở m ã chuôi ký tự của toàn bộ hợp đông có kèm chữ'ký của người

gửi Các bước còn lại sẽ được thực hiện giống như qui trình ở hình 3. ' -.ị

17 Ị JỊc«4-t

7 coi

Đẻ hình dung rõ hơn, có thể xem ví dụ cụ thể ở hình 6 dưới đây

Hình 6: Ví dụ về quy trình "dán phong bì" bảo mật

Thông điệp: Tôi đồng ý

mua với giá $ 100/pc

Thông điệp: Tôi đồng ý mua với giá $ 100/pc

Thông điệp: Tôi đồng

ý mua với giá $ 100/pc

©

Khóa công khai của người nhận

Khóa bí mật cùa người nhận

©

Thông điệp: Tôi đồng

ý mua với giá $ 100/pc

", Bất kỳ ai nhìn thấy chuỗi ký tự này cũng không hiểu gì, giống như bì thư đã được dán kín Sau đó, người nhận sẽ dùng khoa bí mật của mình để mở phòng bì, giải m ã chuỗi ký tự trên Các bước về sau lại được thực hiện giống như qui trình ở hình 4

Như vậy, vấn đề an toàn và bảo mật chữ ký, số chính là vấn đề về an toàn, bảo mật khoa bí mật và khoa công khai Khi khoa bí mật bị lố thì phải tiến hành thu hồi khoa Điều này dẫn tới 2 hệ quả: Các văn bản m ã hóa với khóa công khai sau thời điểm T không còn được xem là bí mật Các chữ ký số thực hiện với khóa bí mật sau thời điểm T cũng không còn được xem là thật nếu không có những tìm hiểu kỹ lưỡng các sự kiện để tìm ra nơi thực hiện chữ ký

18

Thông báo về thu hồi một khóa nào đó cần phải đến được tất cả những người đang sử dụng nó trong thời gian ngắn nhất có thể Đ ố i với hệ thống phân phối, người

ta có 2 phương pháp đưa các thông tin thu hồi khóa đến người dùng Phương pháp thứ nhất là thông tin được đựy (push) từ điểm trung tâm tới người dùng hoặc người dùng lấy (pull) thông tin từ trung tâm Đựy thông tin từ trung tâm là cách đơn giản nhát đê gửi thông tin tới toàn thể người sử dụng Tuy nhiên không thể đảm bảo là thông tin thực sự tới được đích và đối với một hệ thống lớn thì khả năng gửi thành công tới tát

cả người dùng là tương đối thấp Thêm vào đó, thời gian hoàn thành truyền tin sẽ là khá lớn và trong suốt quá trình này thì hệ thống có thể bị lợi đụng Vì vậy, phương pháp này không đảm bảo an toàn cũng như không đủ độ tin cậy

Phương pháp thứ hai là mỗi lần sử dụng người sử dụng sẽ lấy thông tin về khóa

từ trung tâm trước Điểm yếu của phương pháp này là người sử dụng sẽ bị chặn nêu không kết nối được với trung tâm Ở đây người ta lại thấy một lần nữa mối liên hệ trái chiều giữa an ninh và tính sẵn sàng: càng nhiều server (tăng độ tin cậy) thi thời gian cửa sổ càng lớn (độ an toàn giảm)

Một khóa công khai nào đó có thể liên quan tới một số lượng lớn người sử dụng

và do đó cũng khó xác định người sử dụng Điều này cũng có nghĩa là sẽ tốn rất nhiều thời gian khi muốn thu hồi hoặc thay thế một khóa vì lý do an ninh Do vậy, cần phải hết sức thận trọng trong các hệ thống hoạt động khi áp dụng mã hóa khóa công khai Sau khi một khóa bị thu hồi thì một khóa mới cần được phân phối theo một trình tự đã định trước

Giả sử khóa của Carol đã bị thu hồi Trước khi có khóa mới, Carol không thể tham gia trao đổi thông tin mật Không ai có thể gửi thông tin cho Carol m à không v i phạm đến sự an ninh của hệ thống và vì vậy các thông tin từ Carol sẽ bị loại bỏ Điều này cũng có nghĩa là phần của hệ thống do Carol kiểm soát đã ngừng hoạt động Trong trường hợp này yêu càu về an ninh được đặt lên trên yêu cầu về tính sẵn sàng của hệ thống

Trong hệ thống, người có thựm quyền tạo khóa mới cũng có thể chính là người

có thựm quyền thu hồi khóa Tuy nhiên, trong thực tế cũng không hoàn toàn bắt buộc như vậy Nếu xét về phương diện an ninh thì đây không phải là ý tưởng tốt vấn đề là

ở chỗ, để bảo đảm an toàn cần giảm tới mức tối thiểu khoảng thời gian giữa thời điểm thu hồi khóa và thời điểm tạo khóa mới Đ ể làm tốt việc này đòi hỏi phải có một tổ chức có đủ cả hai thựm quyền nêu trên

19

2.2 An toàn, bảo mật về mặt pháp lý

Để bảo đảm an toàn về mặt pháp lý, cần phải có khung pháp lý rõ ràng và đây

đủ về chữ ký điện tử Pháp luật của các nước đều thừa nhận chữ ký điện tử có giá trị pháp lý tương đương như chữ ký tay Nếu chỉ quy định lơ lửng như vậy thì tính an toàn

về mặt pháp lý sẽ khó được hiện thực hoa Vì vậy, nhiều quốc gia đã nhanh chóng đưa chữ ký điện tử vào sử dộng trong các giao dịch công, giữa các cơ quan nhà nước với

cá nhân và tổ chức Điều đó có nghĩa là cần xây dựng chính phù điện tử, cân cải tô toàn bộ hệ thống pháp luật vốn dựa trên "quy trình giấy tờ" Khi các giao dịch công được thực hiện an toàn với chữ ký điện tử, thì các giao dịch khác trong xã hội cũng sẽ được đảm bảo

Ngoài ra, để bảo mật cho các chữ ký điện tử, luật pháp về chữ ký điện tử của nhiều nước cũng tập trung vào việc đặt ra các yêu cầu về nhận dạng chữ ký điện tử, cho phép các bên không liên quan hoặc có ít thông tin về nhau có thể xác định được chính xác chữ ký điện tử của các bên đối tác

Không chỉ dừng lại ở đó, để bảo đảm tính an toàn của chữ ký điện tử, pháp luật các nước đặt ra yêu cầu chữ ký điện tử phải được kiểm chứng bởi một quy trình kiểm tra an toàn do các bên giao dịch thoa thuận1 6

Quy trình kiểm tra an toàn này nhằm bào đảm rằng dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dộng và thuộc sự kiểm soát của người ký tại thời điểm ký Ngoài ra, pháp luật cũng đưa ra những yêu cầu đối với quy trình kiểm tra nói trên theo đó mọi thay đổi đối với chữ ký điện tử sau thời điểm ký và mọi thay đổi đối với nội dung cùa thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện Riêng đối với chữ ký số, pháp luật các nước thường yêu cầu ràng chữ ký số phải được tạo lập bởi một cặp khoa: khoa bí mật và khoa công khai1 7

Để tăng tính an toàn và bảo mật về mặt pháp lý cho chữ ký điện tử, pháp luật các nước thường quy định phải có một cơ quan trang gian đứng ra chứng thực tính xác thực và độ tin cậy của chữ ký điện tử Cơ quan này được thành lập nhằm cung cấp một dịch vộ mang nhiều ý nghĩa về mặt pháp lý hơn là về mặt công nghệ Đó là các tổ chức cung cấp dịch vộ chứng thực chữ ký điện tử Chữ ký điện tử được chứng thực bởi các

các luật chung như thuế, an ninh xã hội, môi trường, xây dựng, V V

khoản Ì cùa Luật Giao dịch điện từ của Việt Nam năm 2005, điêu 41 Chi thị năml999 của Hội đồng Bộ trưởng

EU về chữ ký điện tử, điều l o Đạo luật Giao dịch điện tử năm 2000 cùa Anh (Electronic Transaction B i n )

việc thi hành Luật Giao dịch điện tử về chữ ký số và dịch vộ chứng thực chữ ký số; Tại điều 4 Luật Bassini cùa Italy năm 1997, tại điều 5 Luật Chữ ký số năm 1997 cùa Đức

20

tổ chức trên sẽ được coi là có thể an toàn và bảo mật về mặt pháp lý Nếu hoạt động

của cơ quan chứng thực chữ ký điện tử không hiệu quả, dẫn đến thiệt hại cho các

khách hàng sử dụng dồch vụ này, những cơ quan này sẽ phải chồu trách nhiệm trước

khách hàng của họ, ví dụ như phải bồi thường thiệt hại phát sinh hoặc có thế bồ phạt, bồ

thu hồi giấy phép hoạt động v.v

Bên cạnh yêu cầu bảo đảm an toàn về mặt pháp lý, về cơ quan chứng thực, về

mặt kỹ thuật công nghệ, luật pháp một số nước còn đòi hỏi các khách hàng phải tự bảo

đảm an toàn cho mình thông qua việc yêu cầu được cung cấp thông tin theo yêu cầu

Đó là những thông tin về tính pháp lý của chữ ký điện tử, về các yêu cầu của phân

cứng, phần mềm, các lựa chọn ký và chi phí (nếu có) Trong các trường hợp cần thiết,

các bên cũng có quyền yêu cầu phải được cung cấp các văn bản pháp lý gốc về chữ ký

điện tử để lưu giữ1 9

Những phân tích ở trên cho thấy một thực tế là chữ ký điện tử chỉ ra đời và chì

có có tính ứng dụng dựa trên một nền tảng kỹ thuật công nghệ sẵn sàng và một khung

pháp lý phù hợp Với yêu cầu như vậy, chữ ký điện tử và dồch vụ chứng thực chữ ký

điện tử thường hình thành và phát triển ờ các nước công nghiệp phát triển Có thể nói

những nước phát triển là những nước đi đầu trong việc tạo lập chữ ký điện tử Các

nước sau đó đều cố gắng tận dụng kinh nghiệm và nền tảng công nghệ phát triển sẵn

có của những nước đi trước Việt Nam cũng không phải là một ngoại lệ Tất nhiên, rất

nhiều trong số các nước đi sau đã sáng tạo, đã đổi mới nền tảng công nghệ cho phù

họp với thực tiễn nước mình Tuy nhiên việc nghiên cứu góc độ kỹ thuật, pháp lý của

chữ ký điện tử, đặc biệt là việc học tập kinh nghiệm của các nước đi trước trong việc

triển khai dồch vụ chứng thực chữ ký điện tử là hết sức cần thiết

2.3 An toàn, bảo mật về mặt quản lý nhà nước

về mặt quàn lý nhà nước, giao dồch điện tử nói chung và chữ ký điện tử nói

riêng cũng cần phải có sự bảo mật và bảo đảm an toàn Điều này đòi hỏi các cơ quan

quản lý nhà nước cũng phải có sự hiểu biết về lợi ích của các giao dồch điện tử so với

giao dồch truyền thống, có sự hiểu biết về những rủi ro của phương thức kinh doanh

trên không gian mạng nhằm có biện pháp quản lý hiệu quả và có cơ chế hữu hiệu để

xử lý vi phạm Làm được như thế tức là nhà nước đã có sự quản lý tốt đối với chữ ký

điện tử cũng như phương thức kinh doanh mới mẻ này

cùa Luật mau cùa U N C I T R A L về chữ ký điện tử,

" Nội dung này được quy đồnh tại Hướng dẫn thi hành Luật chữ ký điện từ trong thương mại quốc gia và toàn

cầu của Hoa Kỳ,

21

l i DỊCH V Ụ C H Ứ N G T H Ự C C H Ữ K Ý Đ I Ệ N T Ử

1 Khái niệm về dịch vụ chứng thực chữ ký điện tử

Dịch vụ chứng thực chữ ký điện tử trước hết là dịch vụ liên quan đến các hoạt động chứng thực chữ ký điện tử Theo Luật giao dịch điện tử Việt Nam năm 2005,

"chứng thực chữ ký điện tử" là việc xác nhận cơ quan, tổ chức, cá nhân được chứng

thực là người ký chữ ký điện tử2 0 Với cách quy định này, có thể hiểu chứng thực chữ

ký điện tử là hoạt động, theo đó, một tổ chức có thẩm quyền, gỉi là tổ chức chứng thực chữ ký điện tử sẽ cấp một chứng từ điện tử, còn gỉi là chứng chỉ, chứng thư điện tử hay bằng chứng thực nhằm xác nhận hay chứng thực chữ ký điện tử đối với cơ quan,

tổ chức hoặc cá nhân có yêu cầu được cung cấp chứng thư đó Ngày nay ở nhiều nước phát triển như Mỹ, EU, hoạt động chứng thực chữ ký điện tử ngày càng phát triển mạnh và trờ thành một ngành dịch vụ có hàm lượng trí tuệ cao - dịch vụ chứng thực chữ ký điện tử

Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch

vụ cấp chứng chỉ số và một cặp khoa (khoa bí mật và khoa công khai) đế có thế tham gia sử dụng chứng thực điện tử trong các ứng dụng mà mình tham gia

Nói cách khác, chứng thực điện tử có thể đem so sánh với thẻ chứng minh thư nhân dân, hay hộ chiếu Sự khác nhau là ở chỗ, thẻ chứng minh thư nhân dân và hộ chiếu được làm bằng giấy để xác minh, nhận diện một người dùng trong cuộc sống thực Việc chứng thực sẽ được thông qua cơ quan chức năng có thẩm quyền, còn chứng thực điện tử hay chứng chỉ số không chỉ để xác minh con người, m à nó có thể xác minh rất nhiều loại thực thể khác nhau (tổ chức, cá nhân, ) thông qua môi trưởng

ảo, môi trường Intemet

Từ những điều phân tích ở trên, có thể hiểu dịch vụ chứng thực chữ ký điện tử

là dịch vụ được một cơ quan, một tổ chức có thẩm quyền - gỉi là cơ quan cung cấp dịch vụ - đứng ra làm các thủ tục cần thiết để xem xét và xác nhận tính chính xác, sự trung thực của một chữ ký điện tử cho một khách hàng, là một tổ chức hoặc cá nhân có nhu cầu, để đảm bảo rằng chữ ký điện tử đó là thật Khách hàng - người được cung cấp dịch vụ chứng thực chữ ký điện tử - phải trả tiền để có được dịch vụ này

Là một hoạt động mang tính dịch vụ, dịch vụ chứng thực chữ ký điện tử phải thỏa mãn những điều kiện sau đây:

22

- Phải có một tổ chức trung gian có thẩm quyền đứng ra cung cấp dịch vụ này

Tổ chức này có thể là một cơ quan nhà nước, một công ty, một doanh nghiệp được giao nhiệm vụ hoặc được phép thành lập và hoạt động trong lĩnh vực này Tô chức trung gian này thưửng được gọi là tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử;

- Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử này phải có năng lực vê

kỹ thuật, về công nghệ cũng như có đủ cơ sở về nguồn lực (nguồn vật lực, tài lực và nhân lực) để thực hiện dịch vụ này

- Hoạt động chứng thực chữ ký điện tử, tùy theo tính chất của từng lĩnh vực hoạt động, có thể là dịch vụ công (chỉ trả phí hành chính) hoặc dịch vụ tư (có thu tiền cho dịch vụ) tùy theo quy định của pháp luật mỗi nước Do đó, việc ban hành pháp luật cụ thể điều chỉnh và hướng dẫn thực hiện loại hình dịch vụ chứng thực chữ ký điện tử là rất cần thiết

- Đ ể làm bằng chứng cho sự xác thực của chữ ký điện tử, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải cấp cho khách hàng chứng thư điện tử Việc cấp chứng thư điện tử chính là dịch vụ quan trọng của cơ quan chứng thực chữ ký điện

tử Tùy thuộc vào loại chữ ký điện tử cần xác thực và công nghệ ký điện tử, chứng thư điện tử sẽ được cấp theo nhiều hình thức khác nhau Tuy nhiên, về cơ bản, "chứng thư điện t ử " là thông điệp dữ liệu, do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành, nhàm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là ngưửi

ký chữ ký điện tử2 1

Bên canh việc cấp chứng thư điện tử, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cũng là đơn vị cung cấp công cụ để ngưửi sử dụng (tổ chức hoặc cá nhân) có thể tiến hành ký chữ ký điện tử khi cần thiết Công cụ này thưửng có tên gọi

là "Chương trình ký điện tử" Đây là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho ngưửi ký thông điệp dữ l i ệ u 2 2

Những yêu cầu, điều kiện nêu trên cho thấy dịch vụ chứng thực chữ ký điện tử

là loại hình dịch vụ rất phức tạp So với dịch vụ công chứng giấy tử, văn bản có chữ ký bằng tay, dịch vụ chứng thực chữ ký điện tử đòi hỏi các tổ chức cung cấp loại hình dịch vụ này phải thỏa mãn nhiều yêu cầu Đó là yêu cầu về kỹ thuật, về công nghệ, về thuật toán v.v Những yêu cầu này cho thấy đặc điểm của dịch vụ này

23

2 Đ ặ c điểm của dịch vụ chứng thực c h ữ ký điện t ử

So với dịch vụ công chứng truyền thống, dịch vụ chứng thực chữ ký điện tử có

4 đặc điểm nổi bật sau đây:

Thứ nhất, Dịch vụ chứng thực chữ ký điện tủ là một loại hình dịch vụ phức tạp

Tính phức tạp của dịch vụ chứng thực chữ ký điện tử thể hiện ở chộ các loại

chữ ký điện tử khác nhau sẽ do các chương trình ký điện tử khác nhau tạo ra Vì vậy,

khi cung cấp dịch vụ chứng thực chữ ký điện tử, cần phân biệt rõ các loại chữ ký, vì

đối với mội loại chữ ký điện tử khác nhau, hoạt động chứng thực chữ ký điện tử cũng

sẽ khác nhau

Trước hết, về bản chất, các chữ ký điện tử đều được lưu trên các phương tiện

điện tử và được số hóa bởi các công nghệ số (ví dụ: các ký tự 0-1 trên ổ cứng máy

tính, trong USB hoặc trên thẻ thông minh ) Điểm khác biệt là các chữ ký điện tử có

nhiều định dạng khác nhau và được tạo ra bởi nhiều thiết bị, phương tiện khác nhau và

được nhận dạng khác nhau (xem hình 7) theo các công nghệ khác nhau Các chữ ký

điện tử thông dụng gồm:

• Tên của người ký được đánh máy vào cuối thử điện tử

• Bản quét (scan) chữ ký truyền thống được gắn với thông điệp điện tử

Hình 7: Thiết bị tạo chữ ký điện t ử và nhận dạng chữ ký điện t ử

• Một mật khẩu người tạo văn bản sử dụng để người nhận có thể xác định chính

xác người tạo là ai (ví dụ: mật khẩu để mở, chỉnh sửa file văn bản)

24

• Một đặc điểm sinh học cụ thể của mỗi cá nhân, được dùng đê xác thực cá nhân đó (ví dụ vân tay, võng mạc, tiếng nói đã được số hóa)

• Đặc biệt là chữ ký số sử dụng công nghệ PKI2 3

Trong các loại trên, chỉ có chữ ký số là đáp ứng đờy đủ các điều kiện của chữ

ký điện tử an toàn và có thể sử dụng thay thế cho chữ ký (và dấu) truyền thống khi ký các vãn bản điện tử Các loại chữ ký điện tử khác thường chỉ được sử dụng hạn chê trong nội bộ các doanh nghiệp (ví dụ: kiểm tra nhân viên) hoặc trong một sô giao dịch B2C (ví dụ thẻ ATM, thẻ tín dụng ngân hàng cấp cho khách hàng)

Ví dụ, để cấp chứng thư điện tử đối với chữ ký số người ta sẽ phải cấp chứng thư cho từng chữ ký số đơn lè, bởi vì, chữ ký số được tạo ra trong từng lờn ký sẽ là duy nhất, gắn với nội dung của văn bản có chữ ký đó M ỗ i văn bản điện tử khác nhau

sẽ tạo ra các chữ ký số khác nhau (nhưng vẫn xác định được người ký là ai từ chữ ký

số đó) Theo quy định của EU và UK, trong các loại chữ ký điện tử chỉ có chữ ký số là

có giá trị làm bằng chứng trước tòa khi có tranh chấp phát sinh2 4

Đối với các loại chữ ký điện tử thông thường, dù đã được xác thực bởi một tổ chức chứng thực, khả năng áp dụng trong các giao dịch điện tử là rất thấp vì độ an toàn thấp Ví dụ, dùng bản scan vân tay là chữ ký điện tử cho hợp đồng là một phương pháp không an toàn vì việc giả mạo rất dễ dàng với việc sử dụng các kỹ thuật công nghệ hiện nay Tương tự như vậy, dùng võng mạc, giọng nói hay các mật khẩu cũng được coi là các phương pháp không an toàn trong các giao dịch điện tử Tuy nhiên, các phương pháp này vẫn được sử dụng trong một số hoạt động an ninh thuộc nội bộ trong từng tổ chức

Hiện nay, chữ ký số sử dụng công nghệ PKI được coi là công nghệ tốt nhất có thể tạo ra các chữ ký điện tử đặc thù (chữ ký số) đảm bảo được các yêu cờu về bão mật và

sự an toàn trong giao dịch điện tử và được luật pháp các nước thừa nhận rộng rãi Chữ

ký số sử dụng công nghệ PKI trước tòa án (hoặc trước các cơ quan giải quyết tranh chấp) có thể làm bằng chứng cho các giao dịch điện tử nếu có tranh chấp phát sinh Vì vậy, để đơn giản hóa các công việc liên quan đến chứng thực chữ ký số các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử đã sử dụng các chứng chi số dựa vào công nghệ PKI làm công cụ ràng buộc khóa công khai của thuê bao và để kiểm tra thông tin xác thực của thuê bao đó (tên, địa chỉ ) Thực chất của hoạt động cung cấp dịch vụ

http://lihrarv.findlaw,com

http://www.out-law.com/page-443

25

chứng thực chữ ký số là cấp cho người sử dung một chương trình khóa bí mật và chứng thư số

Tính phức tạp của dịch vụ chứng thực chữ ký điện tử còn thể hiện ở hàng loạt các công việc cồn phải thực hiện để cấp cho khách hàng một chứng thư điện tử Đó là:

• Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử;

• Cung cấp thông tin cồn thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu;

• Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật;

Thứ hai, dịch vụ chứng thực chữ ký điện tử phải cung cấp khả nhiêu thông tin

cho khách hàng

Đè có căn cứ và là bàng chứng khi giải quyết các tranh chấp phát sinh liên quan

đến chữ ký điện tử, ví dụ như chứng minh người đã ký chữ ký điện tử là ai, tố chức cung cấp dịch vụ chứng thực phải sử dụng chứng thư điện tử Do đó, chứng thư điện

tử, khi cấp cho người đăng ký, phải có đồy đủ các nội dung cồn thiết đế sau này có thế

sử dụng làm bàng chứng Những nội dung cơ bàn phải có trên chứng thư điện tử thường là 9 vấn đề Đó là: (i) Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ

ký điện tử; (li) Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử; (iii)

Số hiệu của chứng thư điện tử; (iv) Thời hạn có hiệu lực của chứng thư điện tử; (v) Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử; (vi) Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; (vii) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử; (viii) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; (ix) Các nội dung khác theo quy định của Chính phủ.25

Đây là 9 nội dung quan trọng phải có trong chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cung cấp Bản thân tổ chức cung cấp dịch vụ này phải chú ý để tuân thủ và cá nhân, tố chức được cung cấp dịch vụ này cũng phải nắm bắt để kiểm tra lại nội dung của chứng thư điện tử nhằm bảo vệ quyền lợi của mình Có thể sơ đồ hóa những nội dung chủ yếu của chứng thư điện tử tại hình 8 dưới đây Trong 9 nội dung ở trên, cả hai bên, bên cung cấp dịch vụ và bên được cung cấp dịch vụ, phải đặc biệt chú ý đến nội dung thứ năm (xem hình 8) N ộ i dung thứ năm này yêu cồu tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải cung cấp cho

26

khách hàng dịch vụ dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử

Dữ liệu này thông thường gồm khóa công khai của người được cấp chửng thư điện tử Chính khóa công khai, phần mềm rút gọn (hash íunction) và phần mềm ký điện tử sẽ là công cụ đế kiếm tra chữ ký điện tử của người được cấp Khóa công khai của người nhận cũng chính là công cụ để người gửi sử dụng trong việc mã hóa thông điệp điện tử nhàm đảm bảo tính bí mật của thông điệp trong quá trình giao dịch Theo

đó, người gửi sẽ dùng khóa công khai của người nhận để mã hóa thông điệp trưừc khi gửi, người nhận sẽ là người duy nhất có thể giải mã thông điệp khi sử dụng khóa bí mật tương ứng của mình

Hình 8 Nội dung chủ yếu của chứng thư điện t ử

1 Thông tín của tố chức, cả

nhân âỉrítc rần rhứrtp chỉ so

2 Khóa công khai của tể chức,

cá nhân được cấp chứng chi số

số công ty có tên tuổi trong lĩnh vực này như Chambersign, Trustwise2 6 Chương 2 sẽ phân tích kỹ hơn về các công ty này

trình kiếm tra an toàn

Luật pháp các nưừc đều có xu hưừng quy định rõ rằng dịch vụ chứng thực chữ

ký điện tử phải theo một qui trình kiểm tra an toàn (xem hình 9) Ví dụ, theo Luật Giao dịch điện tử Việt Nam năm 2005: "Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận

http://www,out-]aw.com/page-443)

27

và đáp ứng được 4 điều kiện sau đây: (1) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhát với người ký trong bối cảnh dữ liệu đó được sử dụng; (2) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát cịa người ký tại thời điểm ký; (3) M ọ i thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện; (4) Mọi thay đổi đối với nội dung cịa thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện

Cũng theo Luật Giao dịch điện tử Việt Nam năm 2005, chữ ký điện tử đã được

tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực cũng được coi là chữ

ký điện tử an toàn

Thứ tư, dịch vụ chứng thực chữ ký điện tử do các tố chức có tham quyên cung cáp

Theo quy định cịa Luật Giao dịch điện tử Việt Nam năm 2005 và các văn bản dưới luật có liên quan, "dịch vụ chứng thực chữ ký số" là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp Dịch vụ chứng thực chữ ký số bao gồm các nội dung cụ thể: Tạo cặp khóa bao gôm khóa công khai và khóa bí mật cho thuê bao; cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số cịa thuê bao; Duy trì trực tuyến cơ sở d ữ liệu về chứng thư số; Những dịch vụ khác có liên quan theo quy định cịa pháp luật.2 8

Chữ ký số về bản chất là một loại chữ ký điện tử đặc biệt, vì vậy việc chứng thực chữ ký số cũng có sự khác biệt nhất định so với việc chứng thực các loại chữ ký điện tử thông thường khác Đ ể làm rõ sự khác biệt này, có thể so sánh việc chứng thực chữ ký điện tử là vân tay người sử dụng với chứng thực chữ ký số dùng công nghệ PKI thông qua qui trình tạo chứng thư điện tử m à tổ chức cung cấp dịch vụ chứng thực chữ

ký điện tử phải thực hiện

Để thực hiện việc cung cấp dịch vụ chứng thực chữ ký điện tử (hay chữ ký số), một nhiệm vụ quan trọng m à trước tiên tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải làm là tạo cặp khóa, tạo chứng chỉ số và duy trì trực tuyến cơ sở dữ liệu về chứng thư số để các cá nhân và tổ chức có thể truy cập và sử dụng trong quá trình sử dụng chữ ký số (xem hình 9)

Việc chứng thực chữ ký điện tử thực chất là xác nhận sự trung thực cịa các thông tin về người gửi và kiểm tra xem, có đúng với các thông tin trên chứng thư điện tử hay không Việc này được thực hiện bằng khóa công khai cịa chính tổ chức chứng thực đã cấp chứng thư điện tử Những thông tin về người gửi và khóa công khai đã được tổ chức chứng thực xác nhận bằng cách ký bằng khóa bí mật khi cấp chứng chỉ số

vê Chữ ký số và dịch vụ chứng thực chữ ký sô

28

Hình 9 Quy trình tạo chứng thư điện t ử của tổ chức cung cấp dịch vụ

chứng thực chữ ký điện t ử

: BI CQCT tạo ra cặp khóa BỈ

: MẬT và CÔNG KHAI cho người

I đăng kỷ

B2 CQCT tạo thông điệp dữ liệu

chứa nội dung CHỬNG CHỈ sò

• B3 Rút gọn gói tin nội dung

Nội dung chứng chi sô

Nguồn: Nhóm tác giả tự nghiên cứu, tống hợp và www.verisien.com

Từ hình 9 có thể thấy quy trình tạo chứng thư điện tử cho người sử dụng gồm bốn bược sau đây:

• Bược 1 Tổ chức chứng thực tạo ra cặp khóa bí mật và công khai cho người

sử dụng (người được cung cấp dịch vụ chứng thực);

• Bược 2 Tổ chức chứng thực tạo thông điệp chứa nội dung chứng chỉ số vợi đầy đủ các thông tin cần thiết (như thông tin về người gửi, thông tin về số chứng chỉ, hiệu lực của chứng chi )

• Bược 3 Rút gọn nội dung gói tin của chứng chỉ số và ký xác nhận bằng khóa bí mật của mình

• Bược 4 Gắn chữ ký số vào thông điệp chứa nội dung chứng chỉ số để tạo thành chứng chỉ số (chứng chỉ này người đăng ký biết và được lưu trữ trên vvebsite của nhà cung cấp dịch vụ để các bên liên quan có thể sử dụng trong giao dịch)

Khi người nhận muốn xác thực kiểm tra các thông tin về người gửi thông điệp, người nhận sẽ sử dụng khóa công khai của tổ chức chứng thực để giải m ã chứng thư điện tử của người nhận hoặc phần chữ ký số của tổ chức chứng thực gắn vợi chứng thư điện tử để xác thực nội dung chứng thư đặc biệt là khóa công khai có chính xác là khóa gắn vợi người gửi hay không

2 9

3 Vai trò của dịch vụ chứng thực chữ ký điện t ử

3.1 Dịch vụ chứng thực chữ ký điện tử góp phần bảo đảm sự an toàn đôi với các giao dịch điện tò

Để tiến hành các giao dịch điện tử trong cả lĩnh vực thương mại và phi thương mại, điều quan trọng nhất là cần có những phương pháp cụ thế đế xác định các bên thực hiện những giao dịch đó Giao dịch điện tử phổ biến nhất hiện nay là qua thư điện

tử và tại các website bán hàng (B2C), tuy nhiên cản trở lặn nhất là các bên tham gia không thể thực hiện các giao dịch vặi giá trị lặn vì không có biện pháp và công cụ thuận tiện, an toàn để xác định chính xác người đang giao dịch vặi mình là ai Cụ thế hơn, trong các giao dịch điện tử, người nhận các thông điệp dữ liệu như đặt hàng, hỏi hàng, phát giá, hợp đồng trưặc khi trả lời quyết định có ký kết hợp đồng hay giao hàng hay không cần phải có công cụ để xác định một số vấn đề nhàm bảo vệ quyền lợi cho mình Những vấn đề đó là: (i) A i là người thực sự gửi thông điệp dữ liệu đó? Bằng chứng về thời gian gửi thông điệp, địa điểm gửi thông điệp? (li) Bằng chứng nào

để ràng buộc trách nhiệm của người gửi đối vặi thông điệp đó? (iii) Làm sao để nội dung của những thông điệp đó không bị thay đổi sau khi đã ký và trong quá trình truyền gửi qua mạng?

Vặi dịch vụ chứng thực chữ ký điện tử, những vấn đề nêu trên sẽ được làm rõ Như vậy, dịch vụ chứng thực chữ ký điện tử ra đời là do yêu cầu khách quan xuất phát

từ chính sự phát triển của giao dịch điện tử cũng như từ yêu cầu phải bảo mật chữ ký điện tử nhằm tạo sự tin cậy cho các hoạt động điện tử trên môi trường mạng

Sự cần thiết phải có dịch vụ chứng thực chữ ký điện tò ngày càng trờ thành nhu cầu cấp bách Ví dụ dưặi đây sẽ cho thấy rõ điều này

Công ty A là một nhà phân phối đồ nội thất gia đình và văn phòng, công ty B là nhà cung cấp sản phẩm cho công ty A Vào một ngày, Công ty B nhận được một email

từ ông BÌU (giám đốc mua sắm của công ty A) đặt mua 1000 bộ nội thất do công ty B sản xuất Email được nhận trong bổi cảnh hai công ty đã có quan hệ kinh doanh lâu nay và đã có thỏa thuận cụ thể giữa ông Bin và giám đốc cung cấp của công ty B Email được nhận vào ngày 23/2/2005, hai ngày sau khi công ty B đã tăng giá bộ nội thất lên 30%, vặi lý do là tỷ giá hối đoái biến động và nội thất này được công ty B sản xuất từ nguyên liệu nhập khẩu Công ty B giao hàng cho công ty A kèm theo hóa đơn yêu cầu thanh toán sau 30 ngày kể từ ngày nhận được hàng Trong thực tế công ty B

30

không nhận được thanh toán đúng hẹn và qua điều tra công ty B thây công ty A đang gặp khó khăn về tài chính Tuy nhiên, vấn đề lại trở nên phức tạp khi m à công ty A tìm cách thoát khỏi trách nhiệm thanh toán lô hàng thực tế đã được giao đến kho của công

ty A với 5 lí do dưới đây:

- Eraail đặt hàng chưa hề được công ty A chính thức gửi cho công ty B; email

mà công ty B đưa ra làm bằng chứng thực ra là do công ty B hay bên nào đó giả mạo lập ra:

- Email được gửi đi tỉ máy tính của Ông Bin nhưng do ai đó truy cập trái phép

vào đó chứ không phải do bản thân Ông B i n gửi;

- Email được gửi đi tỉ ngày 19/2/2005, hai ngày trước khi công ty B thông báo tăng giá, do đó công ty A đòi công ty B chấp nhận thanh toán với mức giá thấp

- Email đặt hàng được gửi đúng như trên, nhưng ngay sau đó Ông B i n đã gửi một email khác hủy đơn đặt hàng, tuy nhiên công ty B đã không nhận được email hủy đơn đặt hàng;

- Email thực sự được gửi nhưng số lượng đặt hàng chỉ có 100 bộ thay vì 1000

bộ Thực tế có ai đó đã thay đổi nội dung email trong quá trình truyền gửi

Giả sử công ty A dựa vào 5 điểm nêu trên để tỉ chối thanh toán tiền hàng, thì tranh chấp thật sự sẽ phát sinh Đ ể có thể giải quyết được tranh chấp này, một vấn đề đặt ra là làm thế nào để kiểm chứng được sự đúng đắn trong các thông tin thuộc 5 vấn

đề nêu trên? Cả 5 vấn đề nêu trên trong thực tế đều liên quan đến chữ ký điện tử và việc xác nhận chữ ký điện tử Rõ ràng, so với giao dịch truyền thống, giao dịch điện tử với chữ ký điện tử đặt ra nhiều vấn đề liên quan đến tính an toàn của một giao dịch điện tử

Đối với việc sử dụng chữ ký điện tử như vân tay, giọng nói, mật khẩu, võng mạc hay các thông điệp dữ liệu khác để xác nhận các cá nhân hay tổ chức, việc chứng thực chữ ký điện tử được thực hiện bời chính cơ quan hay tổ chức mà các đối tác đó đang giao dịch (ví dụ như ngân hàng kiểm tra chữ ký điện tử của khách hàng, doanh nghiệp kiểm tra chữ ký điện tử của nhân viên, hải quan kiêm tra chữ ký điện tử của doanh nghiệp )- Việc sử dụng chữ ký số (digital signature) đòi hỏi phải xác định được

ai đang nắm giữ khóa bí mật tương ứng với khóa công khai (được dùng để giải m ã chữ

ký số) để tỉ đó xác định danh tính của người/tổ chức đã tạo ra chữ ký số đó Mặc dù

có thể dùng một số phương pháp đế xác minh chủ sở hữu của khóa công khai, phương

31

pháp phổ biến nhất hiện nay là sử dụng cơ quan chứng thực (certiíĩcation authority CA) để cung cấp các thông tin về danh tính người nắm giữ khóa bí mật tương ứng với khóa công khai đang được sử dụng trong các giao dịch điện tử và có trách nhiệm tham gia giải quyết các tranh chấp phát sinh liên quan đến chữ ký điện tử và chữ ký sỉ Vai trò cụ thể của cơ quan chứng thực được thể hiện rõ theo các bước trong giao dịch điện tử sau: "Trước hết, người gửi thông điệp dữ liệu đăng ký với cơ quan chứng thực để nhận được một chứng chỉ sỉ (electronic certiíĩcate) Chứng chỉ sỉ này, thực chất là một fĩle dữ liệu (đặc biệt) lưu trữ các thông tin cần thiết như thông tin về người gửi, thông tin về khóa công khai của người gửi và thông tin về chữ ký sỉ của

-cơ quan chứng thực và một khóa bí mật tương ứng với khóa công khai trên chứng chỉ

sỉ Khóa bí mật này cũng là một thông điệp dữ liệu, được dùng kết họp với phần mềm

ký sỉ để tạo ra chữ ký sỉ Người gửi, sau khi tạo ra chữ ký sỉ, sẽ gắn với thông điệp

dữ liệu cần gửi cùng với chứng chỉ sỉ của mình đến cho người nhận Người nhận sẽ kiểm tra danh tính của người gửi bằng chữ ký sỉ và khóa công khai kèm trong chứng chỉ sỉ của người gửi Bằng cách này, người nhận có thể xác nhận được xem có đúng là người gửi thông điệp dữ liệu cũng chính là người có thông tin nêu trong chứng chỉ sỉ hay không Ngoài ra, người nhận cũng xác thực được nội dung dữ liệu được ký có đày

đủ và toàn vẹn sau khi ký hay không."

Ngày nay, do nhận thức được sự cần thiết phải có dịch vụ chứng thực chữ ký điện tử, nhiều nước trên thế giới, đặc biệt là EU, Mỹ, Bỉ đều đã triển khai dịch vụ chứng thực điện tử thành công

Tại Việt Nam, việc triển khai dịch vụ chứng thực điện tử cũng đang được quan tâm nghiên cứu Rõ ràng, không chỉ đỉi với các nước phát triển, sự cần thiết phải có dịch vụ chứng thực chữ ký điện tử cũng là yêu cầu bức xúc đỉi với cả các nước đang phát triển

3.2 Dịch vụ chứng thực chữ ký điện tử góp phần nâng cao năng lực công nghệ thông tin, năng lực cạnh tranh của doanh nghiệp và của quốc gia

T M Đ T là kết quả của việc ứng dụng công nghệ thông tin vào mọi hoạt động thương mại Đặc biệt, với sự phát triển như vũ bão của Internet đã tạo tiền đề cho việc ứng dụng T M Đ T tại các nước khác nhau trên thế giới T M Đ T không những giúp doanh nghiệp mở rộng thị trường kinh doanh, tạo ra kênh bán hàng mới để xuất khẩu

32

hàng hóa mà còn thúc đẩy sự phát triển của những ngành có lợi nhuận cao và đây nhanh sự tiếp cận của kinh tế quốc gia vào nền kinh tế số hóa

Trong thời đại công nghệ thông tin đang phát triển như vũ bão, theo dự báo của nhiều chuyên gia trong lĩnh vực công nghệ thông tin, một nước nếu không nhanh chóng nắm bắt công nghệ và tham gia vào nền kinh tế số thì trong khoảng một thập kỷ nữa nước đó có thể sẽ bặ bỏ cách, trở nên cô lập với nền kinh tế thế giới và không thê hội nhập được Đ ể tiến hành các giao dặch T M Đ T , đặc biệt là giao dặch T M Đ T ở phạm

vi quốc tế, việc sử dụng chữ ký điện tử và chữ ký số là điều kiện tiên quyêt vì nó góp phần bào đảm an toàn cho các hoạt động trong lĩnh vực công nghệ thông tin Hiện nay, một số nước Châu âu có xu hướng hạn chế giao dặch T M Đ T với các nước, các vùng lãnh thổ không có biện pháp đảm bảo an toàn thông tin trên mạng Ví dụ, Amazon (website bán hàng trực tuyến lớn nhất thế giới) không chấp nhận các giao dặch mua hàng trực tuyến từ Việt Nam, và một số nước khác trên thế giới chi bởi lý do duy nhất

là còn nhiều rủi ro trong việc xác thực danh tính khách hàng giao dặch qua mạng Đê các doanh nghiệp, tổ chức và cá nhân có thể tích cực tham gia T M Đ T với các đối tác trong và ngoài nước, điều cần thiết nhất hiện nay là phải có cơ quan chứng thực chữ ký điện tử làm nhiệm vụ cung cấp công cụ và dặch vụ hỗ trợ các doanh nghiệp, tổ chức và

cá nhân tiến hành các giao dặch điện tử Trong đó đặc biệt là dặch vụ chứng thực chữ

ký điện tử

Trong bối cảnh hội nhập kinh tế quốc tế hiện nay, việc phát triển dặch vụ chứng thực điện tử sẽ góp phần thúc đẩy các doanh nghiệp triển khai T M Đ T , tạo tiền đề cho

sự phát triển kinh tế Việt Nam hội nhập với nền kinh tế thế giới, rút ngắn khoảng cách

và chênh lệch về trình độ phát triển kinh tế, giữa Việt Nam với các nước trên thế giới

Cụ thể hơn, việc phát triển dặch vụ chứng thực điện tử là điều kiện để triển khai các dặch vụ điện tử trong quản lý Nhà nước như Chính phủ điện tử, Hải quan điện tử, trong cung cấp dặch vụ y tế, trong đào tạo, trong các hoạt động tài chính, ngân hàng điện tử

Những phân tích trên đây cho thấy việc thúc đẩy dặch vụ chứng thực chữ ký điện tử phát ữiển cũng đồng nghĩa với việc góp phần nâng cao năng lực công nghệ của các doanh nghiệp, từ đó, thúc đẩy sự phát triển kinh tế nói chung và thương mại nói riêng Điều này sẽ đóng góp đáng kể vào việc nâng cao năng lực cạnh tranh của cả quốc gia lẫn doanh nghiệp

33

3.3 Dịch vụ chứng thực chữ ký điện tử ra đời đáp ứng yêu cầu bảo mật chữ

ký điện tử trong các giao dịch điện tử liên quan đến các lĩnh vực tài chinh, ngăn hàng

Nhu cầu về dịch vụ chứng thực chữ ký điện tử đã xuất hiện trong nhiều lĩnh vực như thanh toán điện tử đối với các ngành ngân hàng, hải quan điện tử, thuế điện tử, cáp phép điện tử cho các hoạt động đầu tư, thương mại Những lĩnh vực này đang đòi hỏi

phải thực hiện nhanh và triển khai trên diện rộng nhổm đáp ứng yêu cầu của người sử

dụng

Thanh toán điện tử là lĩnh vực có sự tham gia của nhiều chủ thế kinh tế bên cạnh các tổ chức tín dụng Thanh toán điện tử đòi hỏi sự công nhận về mặt pháp lý của chữ ký điện tử cùng với sự phát triển của dịch vụ chứng thực điện tử Khi sử dụng dịch

vụ chứng thực điện tử, thông tin được truyền tải sẽ đảm bảo tính bảo mật, tính toàn

vẹn và tính xác thực Điều này sẽ làm cho khách hàng yên tâm

Chỉ khi sử dụng chữ ký số và công nghệ mã hóa của chữ ký số, các bên tham

gia dịch vụ thanh toán trực tuyến qua Intemet mới có thể yên tâm thực hiện các giao

dịch qua Internet Đặc biệt trong bối cảnh công nghệ hiện nay, việc sử dụng dịch vụ

chứng thực chữ ký điện tử đối với thanh toán điện tử là rất cần thiết khi số tội phạm ăn

cắp thẻ tín dụng ngày một gia tăng Với sự trợ giúp của dịch vụ chứng thực chữ ký

điện tử, thông tin cá nhân của khách hàng cùng với số thẻ tín dụng sẽ được giữ an toàn

hơn do đã được m ã hóa khi gửi đi Điều này sẽ đảm bảo an toàn trong suốt quá trình

giao dịch điện tử

Tại Việt Nam hiện nay, cùng với sự phát triển cùa T M Đ T , chứng từ điện tử đang trở nên khá phổ biến trong giao dịch giữa các đối tác kinh doanh đặc biệt ờ những bước tiến tới giao kết hợp đồng điện tử về mặt pháp lý, các giao dịch điện tử,

Nghị định T M Đ T , Nghị định về giao dịch điện tử trong hoạt động tài chính đã cung

cấp đủ cơ sở để doanh nghiệp có thể sử dụng chứng từ điện tử trong các giao dịch thương mại nói chung

Tuy nhiên, cần có những biện pháp kỹ thuật để đảm bảo giá trị pháp lý của chứng từ điện tử trong trường hợp xảy ra tranh chấp

Theo quy định tại điều 3, Nghị định về Giao dịch điện tử trong hoạt động tài chính, "chứng từ điện tử là thông tin được tạo ra, gửi đi, nhận và lưu trữ bổng phương tiện điện tử trong hoạt động tài chính Chứng từ điện tử là một hình thức cùa thông

34