Chữ ký số
Chữ ký số là gì?
Chữ ký số là một tập con của chữ ký điện tử
Ta có thể dùng định nghĩa về chữ ký điện tử cho chữ ký số:
Chữ ký điện tử là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó.
Ta cũng có thể sử dụng định nghĩa rộng hơn, bao hàm cả mã nhận thực, hàm băm và các thiết bị bút điện tử.
Chữ
ký số khóa công khai (hay hạ tầng khóa công khai) là mô hình sử dụng
các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai -
bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các
thông tin mật. Khóa công khai thường được phân phối thông qua chứng thực
khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo
chữ ký và kiểm tra chữ ký.
Khái niệm chữ ký điện tử - mặc dù
thường được sử dụng cùng nghĩa với chữ ký số nhưng thực sự có nghĩa rộng
hơn. Chữ ký điện tử chỉ đến bất kỳ phương pháp nào (không nhất thiết là
mật mã) để xác định người chủ của văn bản điện tử. Chữ ký điện tử bao
gồm cả địa chỉ telex và chữ ký trên giấy được truyền bằng fax.
Các ưu điểm của chữ ký số
Việc sử dụng chữ ký số mang lại một số lợi điểm sau:
Khả năng xác định nguồn gốc
Các
hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa
bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký số thì văn
bản cần phải được mã hóa bằng hàm băm (văn bản được "băm" ra thành
chuỗi, thường có độ dài cố định và ngắn hơn văn bản) sau đó dùng khóa bí
mật của người chủ khóa để mã hóa, khi đó ta được chữ ký số. Khi cần
kiểm tra, bên nhận giải mã (với khóa công khai) để lấy lại chuỗi gốc
(được sinh ra qua hàm băm ban đầu) và kiểm tra với hàm băm của văn bản
nhận được. Nếu 2 giá trị (chuỗi) này khớp nhau thì bên nhận có thể tin
tưởng rằng văn bản xuất phát từ người sở hữu khóa bí mật. Tất nhiên là
chúng ta không thể đảm bảo 100% là văn bản không bị giả mạo vì hệ thống
vẫn có thể bị phá vỡ.
Vấn đề nhận thực đặc biệt quan trọng đối
với các giao dịch tài chính. Chẳng hạn một chi nhánh ngân hàng gửi một
gói tin về trung tâm dưới dạng (a,b), trong đó a là số tài khoản và b là
số tiền chuyển vào tài khoản đó. Một kẻ lừa đảo có thể gửi một số tiền
nào đó để lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần
để thu lợi ( tấn công truyền lại gói tin).
Tính toàn vẹn
Cả
hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn
bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm
băm cũng sẽ thay đổi và lập tức bị phát hiện. Quá trình mã hóa sẽ ẩn
nội dung của gói tin đối với bên thứ 3 nhưng không ngăn cản được việc
thay đổi nội dung của nó. Một ví dụ cho trường hợp này là tấn công đồng
hình (homomorphism attack): tiếp tục ví dụ như ở trên, một kẻ lừa đảo
gửi 1.000.000 đồng vào tài khoản của a, chặn gói tin (a,b) mà chi nhánh
gửi về trung tâm rồi gửi gói tin (a,b3) thay thế để lập tức trở thành
triệu phú!Nhưng đó là vấn đề bảo mật của chi nhánh đối với trung tâm
ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ
người gửi tới chi nhánh, bởi thông tin đã được băm và mã hóa để gửi đến
đúng đích của nó tức chi nhánh, vấn đề còn lại vấn đề bảo mật của chi
nhánh tới trung tâm của nó
Tính không thể phủ nhận
Trong
giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình
gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi
kèm chữ ký số với văn bản. Khi có tranh chấp, bên nhận sẽ dùng chữ ký
này như một chứng cứ để bên thứ ba giải quyết. Tuy nhiên, khóa bí mật
vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt được hoàn
toàn.
Chữ ký số đang dần phổ dụng
Hiện nay, các
giao dịch điện tử ngày càng trở nên phổ biến. Để bảo đảm an toàn cho các
giao dịch này, cần phải sử dụng đến giải pháp chữ ký số. Chữ ký số
trong môi trường điện tử cũng có giá trị như một chữ ký bình thường
trong các giấy tờ, văn bản.
Chữ ký số là một dạng chữ ký điện tử
dựa trên công nghệ mã khóa công khai. Mỗi người dùng chữ ký số phải có
một cặp khóa (keypair), gồm khóa công khai (public key) và khóa bí mật
(private key). Khóa bí mật dùng để tạo chữ ký số. Khóa công khai dùng để
thẩm định chữ ký số hay xác thực người tạo ra chữ ký số đó.
Hiện trạng
Hiện
Bộ Thông tin và Truyền thông đã cấp giấy phép cung cấp dịch vụ chứng
thực chữ ký số công cộng cho Tập đoàn Bưu chính Viễn thông Việt Nam
(VNPT), Bkis và Công ty Cổ phần Công nghệ thẻ NacenComm SCT, Viettel,
FPT.
Thông thường, sau khi được cấp giấy phép, các đơn vị sẽ cung
cấp các loại dịch vụ chứng thực chữ ký số cho các đối tượng như: cá
nhân, tổ chức, doanh nghiệp và các trang web.
Ông Hoàng Quốc
Khánh, Giám đốc NacenComm SCT, cho biết khoảng tháng Tư, tháng Năm tới
NacenComm SCT sẽ hoàn thiện hệ thống để sẵn sàng cung cấp dịch vụ chứng
thực chữ ký số.
“Thị trường cho dịch vụ chứng thực chữ ký số
công cộng tại Việt Nam chưa hình thành do chưa có nhiều đơn vị dùng chữ
ký số. Tất nhiên ngay sau khi được Bộ Thông tin và Truyền thông cấp giấy
phép thì các đơn vị sẽ xây dựng khung giá dịch vụ, nhưng doanh thu sẽ
chưa có nhiều trong năm nay”, ông Khánh nói.
Công nghệ về chữ
ký số ra đời cách đây khá lâu, tuy nhiên việc sử dụng chữ ký số ở Việt
Nam thời gian qua chỉ bó hẹp trong phạm vi nội bộ một tổ chức, doanh
nghiệp hoặc thí điểm ở quy mô nhỏ do các chữ ký số này chưa có tính pháp
lý đầy đủ.
Có một số đơn vị, cơ quan nhà nước đã sử dụng chữ
ký số với các hệ thống chứng thực chuyên dùng trong các hoạt động
nghiệp vụ nội bộ và trong các cơ quan nhà nước như Bộ Khoa học và Công
nghệ, Bộ Thông tin và Truyền thông, Ngân hàng Nhà nước, Kho bạc Nhà
nước, Bộ Tài chính, Bộ Công Thương, Bộ Nông nghiệp và Phát triển nông
thôn, Sở Thông tin và Truyền thông Tp.HCM…
Sử dụng chữ ký số như thế nào?
Chữ
ký số chỉ dùng được trong môi trường số, giao dịch điện tử với máy tính
và mạng Internet. Trong môi trường số không thể dùng chữ ký tay nhưng
lại có rất nhiều ứng dụng phải cần đến một cơ chế ký và xác thực người
sử dụng như chữ ký tay.
Các công nghệ mã hóa và chữ ký số ra
đời để giúp giải quyết vấn đề này. Như vậy, chữ ký số có thể dùng trong
tất cả các trường hợp giao dịch cần đến chữ ký tay nhưng lại phải thực
hiện trong môi trường số.
Theo ông Ngô Tuấn Anh, Giám đốc
Bkis Telecom, dịch vụ chữ ký số công cộng là dịch vụ công cộng cho người
dân và các doanh nghiệp. Bản thân người sử dụng khi đăng ký dùng dịch
vụ của nhà cung cấp có thể tạo ra các chữ ký số của riêng mình đính kèm
vào các tài liệu điện tử lưu chuyển trên môi trường số.
Để
người nhận được các tài liệu điện tử có chữ ký số này có thể xác thực
được ai là người tạo ra các chữ ký cần phải có một nhà cung cấp dịch vụ
chứng thực đứng ra chứng nhận chữ ký đó là do một người cụ thể nào đó
tạo ra. Việc chứng nhận này được thực hiện hoàn toàn tự động bằng các
thuật toán đặc biệt giúp xác thực được tác giả chữ ký mà không thể chối
bỏ hoặc làm giả chữ ký số được.
Chữ ký số có thể sử dụng
trong các giao dịch thư điện tử, các e-mail, để mua bán hàng trực tuyến,
đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán trực
tuyến mà không sợ bị đánh cắp tiền như với các tài khoản Visa, Master;
có thể sử dụng với các ứng dụng chính phủ điện tử bởi các cơ quan nhà
nước trong tương lai sẽ làm việc với nhân dân hoàn toàn trực tuyến và
một cửa. Khi cần làm thủ tục hành chính hay một sự xác nhận của cơ quan
nhà nước người dân chỉ cần ngồi ở nhà khai vào mẫu đơn và ký số để gửi
là xong.
Ngoài ra, chữ ký số cũng có thể dùng để kê khai, nộp
thuế trực tuyến, khai báo hải quan và thông quan trực tuyến mà không
phải in các tờ khai, đóng dấu đỏ của công ty và chạy đến cơ quan thuế
xếp hàng và ngồi đợi vài tiếng đồng hồ, có khi đến cả ngày để nộp tờ
khai này.
Chữ ký số giúp cho các đối tác có thể ký hợp đồng
làm ăn hoàn toàn trực tuyến không cần ngồi trực tiếp với nhau, chỉ cần
ký vào file hợp đồng và gửi qua e-mail. Ông Tuấn Anh nói: “Những ưu điểm
của chữ ký số trong các ứng dụng giao dịch trực tuyến thì có rất nhiều,
thời gian tới mọi người sẽ được chứng kiến sự phát triển của nó”.
Theo
ông La Thế Hưng, người phụ trách dự án chữ ký số của Công ty Điện toán
và Truyền số liệu VDC (thuộc VNPT), dịch vụ chứng thực chữ ký số công
cộng có thể sử dụng trong các giao dịch điện tử liên quan đến người sử
dụng cá nhân và tổ chức, doanh nghiệp, trong các giao dịch giữa người
dân, doanh nghiệp với các cơ quan nhà nước.
Riêng các giao dịch
nội bộ của các cơ quan nhà nước hoặc giữa các cơ quan nhà nước với nhau
là các giao dịch đặc thù, không dùng được hệ thống chứng thực công cộng
mà phải dùng hệ thống riêng.
Về công nghệ, chữ ký số dựa
trên hạ tầng mã hóa công khai (PKI), trong đó phần quan trọng nhất là
thuật toán mã hóa công khai RSA. Công nghệ này bảo đảm rằng chữ ký số
khi được một người nào đó tạo ra là duy nhất, không thể giả mạo được và
chỉ có người sở hữu khóa bí mật mới có thể tạo ra được chữ ký số đó (đã
được chứng minh về mặt toán học).
Khóa bí mật được tạo ra khi
một người đăng ký sử dụng dịch vụ và được lưu trữ trong một thiết bị
phần cứng đặc biệt an toàn là Token hoặc SmartCard. Thiết bị này là một
máy tính thực sự với cấu trúc tinh vi, có đầy đủ CPU, RAM, bộ nhớ… bảo
đảm cho khóa bí mật được lưu trữ an toàn, không thể sao chép hay nhân
bản được và cũng không thể bị virus phá hỏng.
Để sử dụng chữ
ký số cần phải đăng ký chứng thư số và tạo khóa bí mật lưu vào trong PKI
Token với các nhà cung cấp dịch vụ chứng thực chữ ký số (như VNPT,
NacenComm, Bkis…). Các chương trình ứng dụng phải hỗ trợ chức năng ký
số, khi đó việc sử dụng khá đơn giản: nhấp chuột vào nút lệnh ký số, cắm
thiết bị Token vào cổng USB, nhập PIN code bảo vệ Token, nhấp chuột vào
nút lệnh ký.
Thủ tục đăng ký tương tự như đăng ký các dịch
vụ viễn thông, tuy nhiên do đặc thù pháp lý của chữ ký số, tương đương
với chữ ký tay, nên có thể phải cần thêm một số giấy tờ xác thực nguồn
gốc thông tin của doanh nghiệp hay người sử dụng cá nhân chặt chẽ hơn
(ví dụ: bản sao giấy tờ có công chứng của doanh nghiệp...).
Đưa chữ ký số vào cuộc sống
Chữ
ký số được sử dụng để bảo đảm tính bảo mật, tính toàn vẹn, tính chống
chối bỏ của các thông tin giao dịch trên mạng Internet. Chữ ký số tương
đương với chữ ký tay nên có giá trị sử dụng trong các ứng dụng giao dịch
điện tử cần tính pháp lý cao.
Hơn nữa, ngoài việc là một
phương tiện điện tử được pháp luật thừa nhận về tính pháp lý, chữ ký số
còn là một công nghệ mã hóa và xác thực rất mạnh. Nó có thể giúp bảo đảm
an toàn, bảo mật cao cho các giao dịch trực tuyến, nhất là các giao
dịch chứa các thông tin liên quan đến tài chính.
Tại một cuộc
hội thảo về chữ ký số do Bộ Thông tin - Truyền thông phối hợp với Ban
Cơ yếu Chính phủ tổ chức, ông Trần Văn Sơn, Phó trưởng ban Cơ yếu Chính
phủ, cho biết: “Chữ ký số là giải pháp tốt nhất trong việc bảo mật, xác
thực và bảo toàn dữ liệu trong các giao dịch điện tử. Tuy nhiên, để đưa
chữ ký số vào thực tế không hề đơn giản”.
Còn ông Khánh cho rằng,
để có thị trường chữ ký số các đơn vị cung cấp cần nỗ lực hơn trong
việc cải tiến các giải pháp, đưa mạnh ứng dụng vào cuộc sống. NacenComm
cũng sẽ cố gắng đưa ra nhiều ứng dụng và hỗ trợ các tổ chức tích hợp chữ
ký số vào các ứng dụng để có thể sử dụng.
Ông Khánh cũng
cho rằng cần thay đổi thói quen của các doanh nghiệp, tổ chức và cá
nhân bằng các biện pháp tuyên truyền, khuyến khích. Ngoài ra, ông Khánh
cũng nhận định cuộc cải cách hành chính công sẽ góp phần đưa chữ ký số
vào cuộc sống.
Trước đây, có không ít chuyên gia đã nói rằng, chữ
ký số chỉ có thể được sử dụng rộng rãi khi có nhà cung cấp dịch vụ chữ
ký số công cộng được Bộ Thông tin và Truyền thông cấp giấy phép. Như
vậy, với sự xuất hiện ngày càng nhiều của các đơn vị này, chữ ký số đang
dần được phổ biến.
hãn
Khía cạnh pháp luật của chữ ký số
Một số quy định liên quan tới giá trị pháp lý của chữ ký số:
Trung quốc
Luật chữ ký điện tử của Trung quốc (tiếng Trung quốc) - Mục tiêu hướng
tới thống nhất việc thực hiện, khẳng định tính pháp lý và bảo vệ quyền
lợi hợp pháp của các bên liên quan tới việc thực hiện chữ ký điện tử.
Brazil
Medida provisória 2.200-2 (tiếng Bồ đào nha) - Luật Brazil thừa nhận
tính pháp lý của văn bản số nếu được chứng nhận bởi ICP-Brasil (PKI
chính thức của Brazil) hoặc một PKI khác nếu các bên đồng ý.
Liên hiệp châu Âu
EU đã thiết lập khung pháp lý cho chữ ký điện tử:
Hướng dẫn số 1999/93/EC của Quốc hội châu Âul ngày 13 tháng 12 năm 1999 về khung pháp lý của chữ ký điện tử.
Quyết định 2003/511/EC sử dụng 3 thỏa thuận tại hội thảo CEN làm tiêu chuẩn kỹ thuật.
Các luật ban hành: Một số quốc gia đã thực hiện quyết định 1999/93/EC.
Áo
Luật chữ ký, 2000
Anh, Scotland và Wales
Luật thông tin điện tử, 2000
Đức
Luật chữ ký, 2001
Lithuania
Luật chữ ký điện tử, 2002
Nauy
Luật chữ ký điện tử, 2001 (tiếng Nauy).
Tây ban nha
Ley 59/2003, de 19 de diciembre, de firma electrónica (tiếng Tây ban nha).
Thụy điển
Qualified Electronic Signatures Act (SFS 2000:832) (tiếng Thụy điển).
SFS 2000:832 bản dịch tiếng Anh
Ấn độ
Luật Công nghệ thông tin, 2000
New Zealand
Luật Giao dịch điện tử, 2003 điều 22-24
Luật thương mại quốc tế của Ủy ban Liên hiệp quốc
UNCITRAL Luật mẫu về chữ ký điện tử (2001), bộ luật có ảnh hưởng lớn.
Hoa kỳ
Uniform Electronic Transactions Act (UETA)
Electronic Signatures in Global and National Commerce Act (E-SIGN), at 15 U.S.C. 7001 et seq.
Thụy sỹ
Luật liên bang về dịch vụ chứng thực liên quan tới chữ ký điện tử, 2003
Uruguay
Luật pháp Uruguay bao gồm cả chữ ký điện tử và chữ ký số:
Liên quan tới mật khẩu và các hành động tương đương trong công nghệ thông tin
Liên quan tới chữ ký số, chữ ký điện tử và PKI
Việt Nam
Luật Giao dịch điện tử [9] [10] - có hiệu lực từ ngày 1 tháng 3 năm 2006.
Thực hiện chữ ký số khóa công khai
Chữ
ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai. Để có
thể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một
cặp khóa: một công khai và một bí mật. Khóa công khai được công bố rộng
rãi còn khóa bí mật phải được giữ kín và không thể tìm được khóa bí mật
nếu chỉ biết khóa công khai.
Sơ đồ tạo và kiểm tra chữ ký số
Toàn bộ quá trình gồm 3 thuật toán:
Thuật toán tạo khóa
Thuật toán tạo chữ ký số
Thuật toán kiểm tra chữ ký số
Xét
ví dụ sau: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông
tin đó thực sự do chính Bob gửi. Bob gửi cho Alice bản tin kèm với chữ
ký số. Chữ ký này được tạo ra với khóa bí mật của Bob. Khi nhận được bản
tin, Alice kiểm tra sự thống nhất giữa bản tin và chữ ký bằng thuật
toán kiểm tra sử dụng khóa công cộng của Bob. Bản chất của thuật toán
tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó (gần như không
thể) tạo ra được chữ ký của Bob nếu không biết khóa bí mật của Bob. Nếu
phép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực
sự do Bob gửi.
Thông thường, Bob không mật mã hóa toàn bộ bản tin
với khóa bí mật mà chỉ thực hiện với giá trị băm của bản tin đó. Điều
này khiến việc ký trở nên đơn giản hơn và chữ ký ngắn hơn. Tuy nhiên nó
cũng làm nảy sinh vấn đề khi 2 bản tin khác nhau lại cho ra cùng một giá
trị băm. Đây là điều có thể xảy ra mặc dù xác suất rất thấp.
Lịch sử chữ ký số
Con
người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với
việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New
Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy
nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký
điện tử mới đi vào cuộc sống một cách rộng rãi [6].
Vào thập kỷ
1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi
các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể
hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên
tín hiệu điện tử.
Hiện nay, chữ ký điện tử có thể bao hàm các cam kết
gửi bằng email, nhập các số định dạng cá nhân ( PIN) vào các máy ATM,
ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền
[7], chấp nhận các điều khoản người dùng ( EULA) khi cài đặt phần mềm
máy tính, ký các hợp đồng điện tử online [8]...
Không có nhận xét nào:
Đăng nhận xét