Đề tài nghiên cứu khoa học: Dịch vụ chứng thực chữ ký điện tử trong hợp đồng mua bán quốc tế tại một số nước trên thế giới và kinh nghiệm áp dụng cho Việt Nam

Chia sẻ: Sdasf Dgfcg | Ngày: | Loại File: PDF | Số trang:230

0
67
lượt xem
12
download

Đề tài nghiên cứu khoa học: Dịch vụ chứng thực chữ ký điện tử trong hợp đồng mua bán quốc tế tại một số nước trên thế giới và kinh nghiệm áp dụng cho Việt Nam

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đề tài này tìm hiểu các sản phẩm chứng thực chữ ký điện tử của một số nhà cung cấp dịch vụ chứng thực điện tử thế giới và tại Việt Nam, xem xét và đánh giá quá trình chứng thực điện tử trong khối nhà nước và doanh nghiệp ở Việt Nam, từ đó đề xuất giải pháp nhằm thúc đẩy ứng dụng chữ ký điện tử kèm theo sử dụng dịch vụ chứng thực điện tử tại Việt Nam.

Chủ đề:
Lưu

Nội dung Text: Đề tài nghiên cứu khoa học: Dịch vụ chứng thực chữ ký điện tử trong hợp đồng mua bán quốc tế tại một số nước trên thế giới và kinh nghiệm áp dụng cho Việt Nam

  1. BỘ CÔNG T H Ư Ơ N G BỘ GIÁO DỤC & Đ À O TẠO T R Ư Ờ N G Đ Ạ I H Ọ C NGOẠI T H Ư Ơ N G ******************** Đ Ẻ TÀI NGHIÊN cứu KHOA HỌC CÁP BỘ DỊCH VỤ CHỨNG THỰC • • • CHỮ K Ý ĐIỆN TỬ: KINH NGHIỆM CÁC N Ư Ớ C VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM [ H ư VI!"N ÌOỊI Ĩ J M Ã sớ: 2 0 - 8 0 3 077-0 Chị nhiệm đề tài: GS.TS. Nguyễn Thị Mơ - ĐH Ngoại Thương Tham gia đề tài: ThS. Nguyễn Văn Thoăn -nt- ThS. Hồ Thúy Ngọc -nt- ThS. Nguyễn Quang Trung -nt- CN. V õ Sỹ Mạnh -nt- CN. Nguyễn Ngọc H à -nt- CN. H à Công Anh Bảo -nt- CN. Đinh Hoàng Anh -nt- Hà Nội, tháng 11/2008
  2. BỘ CÔNG T H Ư Ơ N G BỘ GIÁO DỤC & Đ À O TẠO T R Ư Ờ N G Đ Ạ I H Ọ C NGOẠI T H Ư Ơ N G Đ Ẻ TÀI NGHIÊN cứu KHOA HỌC CÁP BỘ DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ: KINH NGHIỆM CÁC NƯỚC VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM • • • MẢ SỐ: 2007-78-003 Xác nhện của cơ quan chủ t ì đề tài r Chủ nhiệm để tài KT. HIỆU TRƯỞNG ẸHÁHIỆU TRƯỞNG PGS?FST NGUYỄN V Ă N H Ò N G GS.TS. N G U Y Ễ N THỊ M ơ Hà Nội, tháng 11/2008
  3. MỤC LỤC Trang D A N H M Ụ C C H Ữ V I Ế T T Ắ T sử D Ụ N G T R O N G Đ È T À I LỜI M Ở Đ À U Ì C H Ư Ơ N G 1 T Ổ N G Q U A N V È DỊCH vụ C H Ứ N G T H Ự C C H Ữ K Ý Đ I Ệ N T Ử . 5 ì. C h ữ ký điện tử 5 1. Khái niệm và đặc điểm của chữ kỷ điện tử 5 2. Vấn đề an toàn, bảo mật chữ ký điện tử 16 n. Dịch vụ chỦng thực chữ ký điện tử 22 1. Khái niệm về dịch vụ chứng thực chữ ký điện từ 22 2. Đặc điểm của dịch vụ chúng thực chữ kỷ điện từ 24 3. Vai trò của dịch vụ chứng thực chữ kỷ điện tử 30 4. Điều kiện đảm bảo cho sự phát triển dịch vụ chứng thực chữ ký điện tử 37 5. Tố chức thục hiện hoỉt động dịch vụ chứng thực chữ ký điện tủ 43 ố. Quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử 56 C H Ư Ơ N G 2. K I N H N G H I Ệ M C Ủ A M Ộ T S Ố N Ư Ớ C V Ẻ T Ớ C H Ứ C T H Ự C H I Ệ N DỊCH V Ụ C H Ứ N G T H Ự C C H Ữ K Ý Đ I Ệ N T Ử 66 ì. Kinh nghiệm của E U 66 ỉ. Khung pháp luật cho hoỉt động cung ứng dịch vụ chứng thực chữ kỷ điện tử ở EU. 66 2. Cơ sở hỉ tầng cho sự phát triển của dịch vụ chứng thực chữ ký điện tửởEU. 74 3. Hoỉt động của các to chức cung ứng dịch vụ chúng thực chữ ký điện tử tỉi EV.... 80 4. Quản lý nhà nước của EUđối với hoỉt động cung ứng dịch vụ chữ ký điện tử. 84 li.Kinh nghiệm của Bỉ 86 ỉ. Khung pháp luật của Bỉ về dịch vụ chứng thực chữ ký điện tử 86 2. Cơ sở hỉ tầng cho hoỉt động cung cấp dịch vụ chứng thực chữ ký điện tử ở Bi 96 3. Hoỉt động của các tô chức cung cáp dịch vụ chứng thực chữ ký điện tử ở Bỉ loi 4. Quản lý nhà nước đối với hoỉt động cung cắp dịch vụ chứng thực chữ ký điện tử ởBi.. 105 HI. Kinh nghiệm của Hoa Kỳ 108 1. Khung pháp luật cho dịch vụ chứng thực chữ kỷ điện tử 108 2. Cơ sở hỉ tầng cho hoỉt động chứng thực chữ ký điện tử ở Hoa Kỳ 112 3. Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện từ ở Hoa Kỳ... 114 4. Quản lý nhà nước của Hoa Kỳ đối với dịch vụ chứng thực chữ kỷ điện tử 119 IV. Kinh nghiệm của H à n Quốc ] 21 /. Khung pháp luật cùa Hàn Quốc về dịch vụ chứng thực chữ ký điện tử 122 2. Cơ sở hỉ tầng cho dịch vụ chứng thực chữ ký điện tử ở Hàn Quắc 126 3. Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ kỷ điện từ ở Hàn Quốc. 128 4. Q^lýMmứcđẩivớihoỉđộngcmgcấpẠhvụchứngthựcchữìíýđiệnlửởHànQiéc.. 133 i
  4. V. Kinh nghiệm của Singapore 134 /. Khung pháp luật của Singapore về dịch vụ chứng thực điện tử 135 2. Cơ sở hạ tầng cho dịch vụ chứng thực chữ ký điện tử tại Singapore 138 3. Hoạt động cùa các tố chức cung cấp dịch vụ chứng thực điện tử tại Singapore... 139 4. Quảntynhà nưặc đối vặi hoạt động cung cấp dịch vụ chứng thực điện tử ở Singapore. ..141 C H Ư Ơ N G 3. C Á C GIẢI P H Á P P H Á T T R I ỀN DỊCH v ụ C H Ứ N G T H Ự C C H Ữ K Ý ĐIỆN T Ử Ở VIỆT N A M 146 ì. Dịch vụ chứng thực chữ ký điện tử ặ Việt Nam: Thực tế triển khai và những vấn đề đặt ra 146 ỉ. Thực tế triển khai địch vụ chứng thực chữ ký điện tử ở Việt Nam 146 2. Những vấn đề đặt ra 161 l i . D ự báo sự phát triển của dịch vụ chứng thực chữ ký điện tử ặ Việt Nam trong thòi gian tói 165 ỉ. Xu hưặng phái triển TMĐT, giao dịch điện tử và nhu cầu cần có sự bảo đảm sự an toàn về chữ ký điện tử cho các giao dịch điện tử 165 2. Xu hưặng phát triển dịch vụ chứng thực chữ kỷ điện tử ở Việt Nam và trên thế giặi trong giai đoạn từ nay đến năm 2010, tầm nhìn đến năm 2020 168 HI. Kiến nghị và giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam, đáp ứng yêu cầu hội nhập kinh tế quốc tế 170 1. Nhóm giải pháp hoàn thiện khung pháp luật cho hoạt động chứng thực chữ ký điện tử ở Việt Nam 170 2. Nhóm giải pháp bảo đảm các điểu kiện đế dịch vụ chứng thực chữ ký điện tử phát triển hữu hiệu ở Việt Nam 180 3. Nhóm giải pháp tăng cường vai trò quàn lý nhà nưặc đối vặi dịch vụ chứng thực chữ ký điện tủ 185 4. Nhóm giải pháp khác 187 KẾT LUẬN 188 TÀI LIỆU T H A M K H Ả O 190 PHỤ L Ụ C Ì 195 PHỤ L Ụ C 2 196 PHỤ L Ụ C 3 197 PHỤ LỤC 4 198 PHỤ LỤC 5 199 T H U Y Ế T MINH Đ ỀTÀI N G H I Ê N c ứ u K H O A H Ọ C li
  5. DANH MỤC CHỮ VIẾT TẮT sử DỤNG TRONG ĐÈ TÀI ACB Ngân hàng A Châu ATLAS Công nghệ ký và kiểm tra giao dịch tiên tiến ACES Chứng nhận truy cập cho các dịch vụ điện tử ATM Máy rút tiền tự động B2C M ô hình thương mại điện tử Doanh nghiệp với người tiêu dùng B2B M ô hình thương mại điện tử Doanh nghiệp với Doanh nghiệp CA Chứng thực điện tử c/0 Chứng nhận xuất xứ DNS Hệ thống tên miền DSS Tiêu chuẩn chữ ký số ECoSys Chứng nhận xuất xứ điện tử EDI Trao đủi dữ liệu điện tử EFT Chuyển tiền điện tử EU Liên minh Châu  u GSA Cơ quan cung cấp dịch vụ công IRS Cục Thuế NARA Cơ quan quốc gia về lưu trữ và truy cập OATH Xác thực mờ OMB Cục quản lý và ngân sách PIN Personal identiíication number PKI Công nghệ khoa công khai SSL Tầng m ã an ninh UK Liên hiệp vương quốc Anh UNCITRAL ủ y ban của Liên hợp quốc về Thương mại và Phát triển UETA Luật giao dịch điện tử thống nhất VPN Mạng riêng ảo VIP Hệ thống bào mật của VeriSign WLAN Mạng không dây TMĐT Thương mại điện tử NĐ Nghị định CP Chính phủ iii
  6. LỜI NÓI ĐẦU 1. Sự cần thiết nghiên cứu đề tài Trong những năm gần đây, với tốc độ phát triển như vũ bão, công nghệ thông tin đã thâm nhập vào mọi lĩ vực hoạt động của từng quốc gia, trong đó có lĩnh vực nh T M Đ T nói chung và giao dịch điện tử nói riêng. Môi trường điện tử vì vậy cũng đa dạng và sẽ hình thành, phát triển một cách nhanh chóng. Môi trường điện tử là một môi trường "số hóa", môi trường "ứo", vì vậy các giao dịch điện tử và các hợp đông điện tử cũng mang tính vô hình, phi vật chất. Nghĩ là các giao dịch điện tử tôn tại, a được lưu trữ và được chứng minh bởi các dữ liệu điện tử chứ không "sờ mó", "câm nắm" một cách vật chất được. Điều này khiến cho việc xác định một số yế tố của giao u dịch điện tử như xác định bứn gốc của kế quứ giao dịch giữa các bên, xác định chữ ký t của các bên v.v... trở nên khó khăn. Rủi ro tất yế sẽ xứy ra và thiệt hại do những rủi u ro này đem đến thật không ít: nhiều khách hàng bị mất tiền do việc bứo mật không tốt thẻ tín dụng, nhiều thông tin mật của cơ quan và doanh nghiệp bị "bốc hơi" một cách bất ngờ và đặc biệt, nhiều doanh nghiệp, cá nhân không lấy được tiền hàng do bị giứ mạo chữ ký điện tử, nhiều vụ tranh chấp rơi vào bếtắc khi cơ quan giứi quyết tranh chấp không có đủ bằng chứng pháp lý để bứo vệ quyền lợi của bên có lợi ích bị xâm phạm. Những khó khăn, thách thức và rủi ro nói trên cũng đã, đang và sẽ xứy ra, một cách thường xuyên hơn, đối với các cơ quan, doanh nghiệp cũng như từng cá nhân thực hiện giao dịch trong môi trường điện tử tại Việt Nam. Đ ể giúp tháo gỡ các khó khăn này, Việt Nam đã ban hành một số văn bứn pháp luật hướng dẫn bứo đứm an toàn trong giao dịch điện tử. Cụ thể, ngày 29/11/2005 Luật Giao dịch điện tử đầu tiên của Việt Nam đã được ban hành (có hiệu lực từ ngày 01/03/2006); Ngày 9/6/2006 Nghị định số 57/2006/NĐ-CP của Chính phủ về T M Đ T cũng ra đời. Đặc biệt, gần đây nhất, ngày 15/2/2007, Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP về chữ ký số và dịch vụ chứng thực chữ ký số. Trong các văn bứn nói trên, đều có một số quy định về việc thành lập tổ chức cung cấp dịch vụ chữ ký điện tử và nhấn mạnh rằng chữ ký điện tử được xem là bứo đứm an toàn khi "đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực". Tuy nhiên, trên thực tế, ờ Việt Nam cho đế nay, việc thành lập các tổ chức n cung cấp dịch vụ chứng thực chữ ký điện tử nói chung và chữ ký số nói riêng cũng như việc tổ chức và triển khai thực hiện dịch vụ vẫn ở trong tình trạng "sơ khai", vấn đề đặt ra là việc cung cấp dịch vụ chứng thực chữ ký điện tử là hoạt động có tính dịch vụ hay có tính chuyên trách độc quyền? Nên thành lập một hay nhiều tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử? M ô hình tổ chức nào sẽ thích ứng cho việc cung Ì
  7. cấp dịch vụ này: Công ty cung cấp dịch vụ hay tổ chức trực thuộc cơ quan Nhà nước? Đe có lời giải cho những vấn đề trên, cần làm rõ nhiều vấn đề về dịch vụ chứng thực chữ ký điện tử và cách thức tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử trong thực tế. Với Việt Nam, điều này còn quá mới cả từ góc độ vĩ m ô và v i mô, cả vê lý luận và thực tiọn triển khai. Vì vậy, việc tìm hiểu kinh nghiệm của các nước về vấn đê này là hết sức cần thiết và bức xúc. Đ ó là lý do để nhóm đề tài đã lựa chọn vấn đê "Dịch vụ chứng thực chữ ký điện tử: K i n h nghiệm các nước và giải pháp thực hiện ở Việt Nam" làm đề tài nghiên cứu khoa học cấp Bộ. 2. Tình hình nghiên cứu trong và ngoài nước Ở nước ngoài, đã có một số bài viết, công trình nghiên cứu liên quan đến T M Đ T , chữ ký điện tử.. .Điển hình có các tác giả sau đây: - Michael Chisiek & Alistair Kelman: Electronic Commerce: Law and Practice. Svveet anf Maxwell, Third edition, London, 2002. - Lorna Brazell. Electronic Signatures Law and Regulation. Sweet & Maxwell, 2004. - Choong Y.Lee. A new Marketing Strategy for E-Commerce. Pittsburg State University, KS 66762, USA. - Georges Chatillon. Le droit international de L'internet. Brufant, Bruxelles 2002. - Université Panthéon - Assas. Le contract élétronique. L.G.D.T, 2000. V.V.... Ở trong nước, cũng đã có một số công trình có liên quan, trong đó, tiêu biểu là các sách chuyên khảo về thương mại điện tử của PGS.,TS. Vũ Ngọc Cừ (Nxb Giao thông Vận tải, Hà Nội năm 2001); sách chuyên khảo cẩm nang pháp lý về giao kết hợp đồng điện tử của GS.,TS. Nguyọn Thị M ơ chủ biên (Nxb Lao động - Xã hội, Hà Nội năm 2006); Các bài viết về Hợp đồng và chữ ký điện tử theo Luật Hoa Kỳ của Thạc sỹ Nguyọn Văn Thoăn (Tạp chí Kinh tế đối ngoại số 12/2005); của tác giả Quốc Vinh về Giải pháp cho ho ngăn cách sổ (Tạp chí Tia sáng, số 17/2005) V.V.... Các công trình, bài viết ở trong và ngoài nước nói trên chỉ phân tích chuyên sâu về T M Đ T , về họp đồng điện tử, về những vấn đề pháp lý về T M Đ T và chữ ký điện tử. Tuy nhiên, chưa có công trình nào phân tích về dịch vụ chứng thực chữ ký điện tử theo kinh nghiệm của các nước để rút ra bài học cho Việt Nam. Đây là đề tài nghiên cứu khoa học cấp Bộ đàu tiên nghiên cứu vấn đề này. 3. Mục tiêu và nhiệm vụ nghiên cứu 3.1. Mục tiêu nghiên cứu - Làm rõ những vấn đề cơ bản về dịch vụ chứng thực chữ ký điện tà và việc tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử. 2
  8. - Tìm hiểu kinh nghiệm một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử để trên cơ sờ đó nêu bật những thành công, những thất bại và rút ra bài hỏc kinh nghiệm cho Việt Nam. - Đ ề xuất giải pháp để triển khai thành công dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới, đáp ứng đòi hỏi của các doanh nghiệp, các tô chức (kê cả cơ quan nhà nước) về phát triển T M Đ T trong giai đoạn hậu gia nhập WTO. 3.2. Nhiệm vụ nghiên cứu Để thực hiện mục tiêu nói trên, đề tài có các nhiệm vụ cụ thế sau đây: - Làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, dịch vụ chứng thực chữ ký điện tử như: Khái niệm chữ ký điện tử, nội dung của dịch vụ chứng thực chữ ký điện tử; VỊ trí, vai trò của dịch vụ chứng thực chữ ký điện tử trong môi trường điện tử nói chung và giao dịch điện tử nói riêng. - Phân tích những yêu cầu và điều kiện đối với tổ chức, đơn vị có chức năng cung cấp dịch vụ chữ ký điện tử cũng như quyên, nghĩa vụ và trách nhiệm của các tô chức cung cấp dịch vụ chứng thực chữ ký điện tử. - Làm rõ nhu cầu của các đơn vị, tổ chức, cá nhân được cung cấp dịch vụ chứng thực chữ ký điện tử; Quyền, nghĩa vụ và trách nhiệm của các đơn vị, cá nhân này trong mối quan hệ với đơn vị cung cấp dịch vụ chứng thực chữ ký điện tử. - Những vấn đề đặt ra trong việc quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử và giải quyết tranh chấp phát sinh từ việc thực hiện dịch vụ chứng thực chữ ký điện tử trong thực tế. - Tìm hiểu kinh nghiệm của một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử để từ đó rút ra bài hỏc kinh nghiệm cho Việt Nam. - Dự báo nhu cầu phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới. - Đánh giá thực trạng dịch vụ chứng thực chữ ký điện tử ở Việt Nam và đề xuất kiến nghị và giải pháp để tổ chức thực hiện thành công dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới. 4. Đ ố i tượng, phạm vi, thời gian nghiên cứu 4.1. Đối tượng nghiên cứu của đề tài là các hoạt động liên quan đến tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử, kể cả việc thành lập các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cũng như cơ sở pháp lý của hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử và quản lý nhà nước vê hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử. Đ ố i tượng nghiên cứu của đề tài còn bao gồm cả các văn bản pháp luật quốc tế pháp luật quốc gia về dịch vụ chứng thực chữ ký điện tử và kinh nghiệm của một số nước về tổ chức hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử. 3
  9. 4.2. Phạm vi nghiên cứu - về mặt nội dung: Chữ ký điện tử là khái niệm rất rộng, theo đó, nó bao gôm các chữ ký tôn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, chữ ký bằng hình ảnh v.v... dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì. Mặc dù có cách hiêu rộng như vậy nhưng chữ ký điện tử cũng có những diêm chung giông nhau: chúng đều được thiết lập dưới dạng thông điệp dữ liệu. V ớ i đặc thù như vậy, phạm v i nghiên cứu cỉa đề tài sẽ là chữ ký điện tử nói chung và dịch vụ chứng thực các dạng chữ ký điện tử đó. Nếu có nhấn mạnh vào chữ ký số hóa hay chữ ký bằng âm thanh,... chỉ là nhằm để nêu bật tính đặc trưng cỉa chữ ký điện tử. - về mặt không gian: Dịch vụ chứng thực chữ ký điện tử ở phạm v i Việt Nam, ở một số nước và ở phạm vi quốc tế. - về mặt thời gian: Nghiên cứu dịch vụ chứng thực chữ ký điện tử ở Việt Nam từ khi Luật Giao dịch điện tử năm 2005 có hiệu lực, tức là từ tháng 3/2005 đến năm 2015, tầm nhìn đến năm 2020. Khi phân tích dịch vụ chứng thực chữ ký điện tử, đề tài giới hạn phạm v i nghiên cứu ở việc phân tích hai loại hình tổ chức là: hoạt động cỉa tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nhằm mục đích kinh doanh và hoạt động cỉa tố chức cung cấp dịch vụ chứng thực chữ ký điện tử không nhằm mục đích kinh doanh. Cũng trong khuôn khổ cỉa Ì đề tài nghiên cứu khoa học cấp Bộ, đề tài không có tham vọng nghiên cứu kinh nghiệm cỉa tất cả các nước m à lựa chọn phân tích kinh nghiệm cỉa 5 nước là EU, Bi, Mỹ, Hàn Quốc và Singapore - Đây là 5 nước đã có những kinh nghiệm nhất định trong việc thực hiện dịch vụ chứng thực chữ ký điện tử. 5. Phương pháp nghiên cứu Là đề tài rất mới, có thể nói là đề tài đầu tiên đặt bút khai phá cho hướng nghiên cứu này, vì vậy, phương pháp nghiên cứu được áp dụng thường xuyên là: - Phân tích, thống kê, luận giải, hệ thống hóa và so sánh, . . .; - Tập họp tài liệu (tiếng Anh và tiếng Pháp) nước ngoài để đọc, dịch, phân tích và hệ thống hóa và đưa ra những nhận xét và đánh giá cỉa nhóm tác giả đề tài; - Cập nhật các thông tin (từ trên mạng) về T M Đ T , về hạ tầng mạng cho chữ ký điện tử, chữ ký số để phân tích các điều kiện đảm bảo an toàn cho chữ ký điện tử và các điều kiện đảm bảo thành công cho dịch vụ chứng thực chữ ký điện tử; 6. Bố cục cỉa đề tài Ngoài lời nói đầu, kết luận, các phụ lục và danh mục tài liệu tham khảo nội dung nghiên cứu cỉa đề tài được phân bổ thành ba chương: Chương Ì: Tổng quan về dịch vụ chứng thực chữ ký điện tử Chương 2: Kinh nghiệm cỉa một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử Chương 3: Các giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam 4
  10. Chương Ì TỐNG QUAN V È DỊCH vụ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ Trong nhiều thập kỷ qua, chữ ký truyền thống đã từng được hỗ trợ thông qua các dịch vụ như công chứng, xác nhận, sự làm chứng bởi người thứ ba, v.v... v ớ i những qui trình thủ tục pháp l rõ ràng và chặt chẽ nhạm đảm bảo thông tin cho khách ý hàng. Ngày nay, người ta đang chứng kiến một loại hình hoạt động mang tính dịch vụ khá đặc biệt đang song song tồn tại và đang dần dần thay thế các dịch vụ truyên thông nói trên. Đó là dịch vụ chứng thực chữ ký điện tử. Vậy dịch vụ chứng thực chữ ký điện tử là gì? Dịch vụ này có những điểm khác biệt gì so với dịch vụ công chứng các văn bản, chứng từ trước đây? Qui trình thủ tục của dịch vụ này có gì cần lưu ý? Phần dưới đây sẽ làm rõ những câu hỏi này, bắt đầu từ việc làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, sự cần thiết phải chứng thực chữ ký điện tử và đặc điếm của dịch vụ chứng thực chữ ký điện tử. ì. C H Ữ K Ý ĐIỆN T Ử 1. Khái niệm và đặc điểm của chữ ký điện tử 1.1. Khái niệm về chữ ký điện tử Chữ ký là phương thức phổ biến để ghi nhận tính xác thực của thông tin chứa đựng trong văn bản. Đặc điểm chủ yếu của chữ ký là xác nhận tác giả của văn bản và thể hiện sự chấp thuận của tác giả đối với nội dung thông tin chứa trong văn bản đó. Tuy nhiên, đối với các hoạt động trên không gian mạng nói chung và với các giao dịch điện tử nói riêng, nếu hiểu chữ ký như trên thì sẽ không thể có các giao dịch hay hợp đồng điện tử. Vì vậy, các giao dịch trên không gian mạng cần phải được "ký" bời một chữ ký khác - chữ ký điện tử. Chữ ký điện tử là dữ liệu tồn tại dưới dạng điện tử trong hoặc đi kèm với "văn bản điện tử", dùng để xác định bên ký kết "văn bản điện t ử " và chỉ rõ sự chấp thuận của bên ký kết về nội dung các thông tin có trong "văn bản điện tử" đó. Giữa chữ ký truyền thống và chữ ký điện tử có sự khác biệt rất rõ về chức năng. Chữ ký truyền thống là bạng chứng chứng minh sự hiện diện của một chủ thể tại thời gian và địa điểm ký vào văn bản. Còn chữ ký điện tử lại không như vậy. Chủ thể của các giao dịch điện tử có thể lập trình sẵn một chương trình để ký kết hoặc trả lời. Vì vậy, dù không có sự hiện diện của chủ thể thì hệ thống vẫn hoạt động bình thường vẫn "ký" vào "văn bản điện tử" và ràng buộc chủ thể đó. V ớ i kỹ thuật này, trong giao dịch điện tử, chữ ký điện tử có thể có nhiều loại khác nhau. 5
  11. Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax đê truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vân thê hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử. Đ ó là dạng điện tử hoa đầu tiên của chữ ký truyền thống trên giấy. Tuy nhiên, các phương thức này không đớm bớo được độ an toàn cho chữ ký và nội dung văn bớn được ký vì những l do: (1) Dễ già mạo chữ ký; (2) Dữ liệu tạo chữ ký không gắn duy nhất với ý người ký; (3) Dữ liệu tạo chữ ký không thuộc sự kiểm soát của người ký; (4) Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký; (5) Khó phát hiện các thay đối đối với bớn thân chữ ký sau khi đã ký. Ngày nay, với sự phát triển của công nghệ thông tin, chữ ký điện tử có thê khác phục những nhược điểm trên. Chữ ký điện tử có thể được thực hiện trên các thư điện tử (email), qua việc nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cớm ứng tại các quầy tính tiền, chấp nhận các điều khoớn soạn sẵn dành cho người tiêu dùng khi cài đật phần mềm máy tính, v.v.... Vậy chữ ký điện tử là gì? Cho đến nay, khái niệm về chữ ký điện tử đã được quy định trong pháp luật của nhiều nước, của các tổ chức khu vực, quốc tế và của Việt Nam Ngày 13/2/1999 Hội đồng và Nghị viện EU đã ban hành Chỉ thị về chữ ký điện tử (European Directive of the European Parliament and of the Council o f 13 December 1999 ôn a Community Framework for Electronic Signature) (xem thêm phụ lục số ỉ). Chỉ thị này quy định chữ ký điện tử được hiểu theo nghĩa rộng, bao gồm các chữ ký tồn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, hình ớnh, V.V... dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì . 1 N ă m 2000, Mỹ cũng ban hành Luật thương mại Quốc gia và Toàn cầu về Chữ ký Điện tử (Electronic Signature in Global and National Commerce Act - E-SIGN). Luật này đã cung cấp một khái niệm tổng quát về chữ ký điện tử theo đó chữ ký điện tử (electronic signature) là các tín hiệu âm thanh, các ký hiệu, là quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bớn và được thực hiện bởi người muốn ký vào hợp đồng hay văn bớn đó. Luật mẫu của UNCITRAL về chữ ký điện tử năm 2001 (UNCITRAL Model Law ôn E-Signature) coi chữ ký điện tử là "dữ liệuở dạng điện tử, gắn với hoặc kết họp một cách logic với thông điệp điện t ử nhằm xác nhận quan hệ giữa người ký v ớ i Điều 2 khoớn Ì, Chì thị EU năm 1999; xem toàn văn chi thị này tại địa chi http://www,ictsb,org/EESSI/Documents/e-sign-directive.pdf 6
  12. thông điệp điện tử và chỉ ra sự thừa nhận của người ký với thông tin trong thông điệp điện tử .2 N ă m 2005, Việt Nam cũng ban hành một đạo luật trong đó có nhiều quy định liên quan đến chữ ký điện tử. Đó là Luật Giao dịch điện tử năm 2005. Luật Giao dịch điện tử năm 2005 cũng có cách hiểu tương đồng với pháp luật nêu trên về chữ ký điện tử. Luật quy định chữ ký điện tử "là chữ ký được tạo lập dưới dạng từ, chữ, sắ, ký hiệu, âm thanh hoặc các hình thức khác bàng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đắi với nội dung thông điệp dữ liệu được ký" . 3 Các quy định ở các nguồn luật nêu trên cho thấy không có sự mâu thuẫn hay khác nhau lớn trong cách hiểu của pháp luật các nước và quắc tế về chữ ký điện tử. So với Luật của Mỹ và EU, Luật mẫu của UNCITRAL đưa ra khái niệm rõ hơn, cụ thể hơn, chặt chẽ hơn cả về mặt kỹ thuật công nghệ và pháp lý. Từ ba văn bản luật nêu trên, có thể hiểu chữ ký điện t ử là chữ ký m à người ta tạo lập thông qua các phương tiện điện tử, thông qua các công nghệ liên quan tới môi trường mạng như điện, sắ, từ, quang, điện t ừ hoặc các dấu hiệu đặc trưng khác gắn liền với thông điệp điện tử. Như vậy, chữ ký điện tử thường gắn kết với những vấn đề kỹ thuật của công nghệ thông tin và của môi trường mạng. Đặc điểm của chữ ký điện tử, vấn đề đầu tiên là phải nắm được kỹ thuật tạo lập nó. Ngoài ra, cũng cần phải thấy được mục đích của việc tạo lập chữ ký điện tử là nhàm xác nhận người ký chữ ký này với những nội dung có trong thông điệp điện tử. về mặt kỹ thuật, chữ ký điện tử có thể được tạo lập theo các hình thức như: hình ảnh chữ ký tay được sắ hoa, hay một m ã bất kỳ m à người ký ấn định cho bản thân mình, một dấu vân tay được quét (soán), một dãy sắ nào đó hoặc thậm chí một chữ ký điện tử ở dạng m ã hóa đôi mắt của một người để xác nhận và đánh dấu (xem Hình 1). Hình Ì m ô tả chữ ký điện tử được tạo lập thông qua hình thức m ã hóa đôi mắt của một người. Hình thức này được hiểu như sau: Một người muắn qua được cửa an ninh thì phải đưa đôi mắt của mình vào thiết bị cảm ứng điện tử. Đôi mắt này được thiết bị quét kiểm tra như trên. Trên màn hình hiện ra chữ "Approved", tức là "chấp nhận". Điêu 2, mục a Luật mẫu cùa U N C I T R A L vê chữ ký điện tử, xem toàn văn Luật này tại địa chi http://www.uncitral.org/pdffenglish/texts/electcom/ml-elecsig-e,pdf, Điều 21 khoản Ì, Luật Giao dịch điện từ cùa Việt Nam năm 2005. 7
  13. Hình 1: C h ữ ký điện t ử ở dạng m ã hoa đôi mắt của một người. Nguồn: M'WW. visa.com. au Như vậy muốn m ã hóa đôi mất thì phải có thiết bị cảm ứng điện tử. Thiết bị cảm ứng điện tử này phải sử dụng công nghệ đòi hợi có sự chính xác cao vì nó không chỉ được sử dụng cho một người, m à là rất nhiều người. Chỉ cần một sự sai lệch nhợ, rất nhợ so với đôi mắt đã được m ã hóa để nhận dạng thì lập tức thiết bị cảm ứng điện tử này sẽ phát hiện ra và từ chối sự đi qua cửa an ninh của người không được nhận dạng. Với chữ ký điện tử cũngvậy. Ngày nay người ta đã dùng những thiết bị điện tử như trên để tạo lập và xác nhận chữ ký điện tử của một người. Trong thực tế, chữ ký điện tử cũngđược điện tử hóa bằng kỹ thuật điện tử đa dạng (xem hình 2). Hình 2: Hình ảnh của chữ ký tay và chữ ký này được điện t ử hoa Hình 2 cho thấy chữ ký tay truyền thống của một người. Đó là chữ ký của anh M i n Hancock. Bằng kỹ thuật công nghệ hiện đại, chữ ký này đã được điện tử hóa ở dạng các dãy số và được chứng thực bởi công ty Yozons (xem bảng 1). Bảng 1: C h ữ ký tay được điện t ử hóa ở dạng các dãy s ố Signature is V a l k t , Message integrity v e r i e d (veriíied by Yozons át 01/28/0411:36 A M PST) Digital signature: (unique signature DÍ the sigrter of the Message) dA/Dqđ5uvÌcH8XpCB04EvTO0Gu6 A5h3nwEurop3Tl+i8SinYssklOtt76YíÌs0m9SyBTVit.oNRREytRdhSq7eg)cdlT 3 ycxeg»
  14. Dịch là: Chữ ký này l họp lệ. Thông điệp đã được xác thực (bởi Yozons ngày à 28/1/2004 lúc l lh36 phút sang). Chữ ký số: (chữ ký duy nhất của người gửi và ký thông điệp này) Tuy nhiên, nhìn từ cà một dãy số dài chi chít chữ và số ở bảng Ì nêu trên, có con người sẽ khó thực hiện bằng cách tểo lập chữ ký truyền thống. Ngược lểi, dãy chữ số này phải do một phần mềm cung cấp. Phần mềm để tểo lập chữ ký điện tử, hay còn gọi l chương trình ký điện tử, là các chương trình máy tính được thiêt lập đê hoểt à động độc lập hoặc thông qua các thiết bị điện tử khác nhằm tểo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu đó . Phần mềm này có thể do các cá nhân, 4 tổ chức tự viết hoặc do cơ quan chứng thực chữ ký điện tử cung cấp. Cá nhân, tô chức có nhu cầu sử dụng chữ ký điện tử sẽ đăng ký với cơ quan cung cấp dịch vụ chữ ký điện tử các yêu cầu về định dểng của chữ ký, ví dụ như chữ ký ở dểng gương mặt đang cười của cá nhân, hoặc một âm thanh nhất định (gần giống với việc người ta mặc định trong điện thoểi di động một kiểu nhểc chuông cố định và hình ảnh cố định khi số điện thoểi của một người nào đó gọi đến). Trên cơ sờ các yêu cầu này, cơ quan cung cấp dịch vụ sẽ tểo chữ ký điện tử và gắn kèm chứng chì xác thực (có thể kèm cả hển sử dụng chữ ký điện từ). Người nhận thông điệp có thể nhìn thấy chứng chỉ xác nhận chữ ký điện tử đó và có thể yên tâm về độ tin cậy của thông điệp hoặc có thể trực tiếp kiếm tra bản gốc của chữ ký này trên website của công ty cung cấp dịch vụ chứng thực chữ ký điện tử. 1.2. Chữ ký số có phải chữ ký điện tử không? Từ ví dụ minh họa về chữ ký điện tử thông qua dãy số tểi bảng Ì, có thể thấy để tểo lập chữ ký điện tử, người ta hay tểo ra một dãy dài các chữ số. Đ ó là chữ ký số. Vậy chữ ký số có phải là chữ ký điện tử không? Chữ ký số và chữ ký điện tử là một hay là hai? Có điểm gì chung và khác giữa chúng? Chữ ký số "là một dểng chữ ký điện tử được tểo ra bằng sự biế đồi một thông n điệp dữ liệu sử dụng hệ thống mật m ã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoa công khai của người ký có thể xác định được chính xác" . 5 Khi nói đến chữ ký điện tử, người ta hay đồng nghĩa với chữ ký số. Tuy nhiên, như đã trình bày ờ trên, chữ ký điện tử có nghĩa rộng hơn. N ó không chỉ bao gồm các dãy số 4 Điều 4, khoản 3, Luật Giao dịch điện tử việt Nam năm 2005. 5 Điều 3 khoán 4, Nghị định số 26/2007/NĐ-CP cùa Chính phù quy định chi tiế t thi hành Luật Giao dịch điện tử vẽ chữ ký sô và dịch vụ chứng thực chữ ký sô. 9
  15. m à nó còn có thể là bất kỳ d ữ liệu điện t ử nào kể cả dãy c h ữ hoặc k ế t hợp cả c h ữ và số. N h ư vậy, c h ữ ký số là m ộ t tập c o n của c h ữ ký điện tử, là m ộ t dạng của c h ữ ký điện tử. Vì vậy, c h ữ ký số có điểm c h u n g và cũng có điểm riêng so v ớ i c h ữ ký điện tử. Điểm chung là cả 2 loại c h ữ ký này đều được tạo lập n h ờ vào kứ thuật công nghệ thông t i n và kứ thuật điện tử. Điểm khác nhau t h ể hiện ở q u i trình tạo lập c h ữ ký sô và tính an toàn cao của nó. T r o n g thực tế, do độ tiện l ợ i và tính an toàn cao nên c h ữ ký số thường được gan với văn bản điện t ử và dùng để c h ứ n g thực người ký văn bản và n ộ i dung của vãn bản điện t ừ đó. Đ ể sử dụng c h ữ ký số, v ề mặt k ứ thuật, cần phải có m ộ t cập khoa g ồ m k h o a công khai và k h o a bí mật. Cặp k h o a này do công t y chứng thực c h ữ ký sỗ cấp. K h o a công khai được công bố cho m ọ i t ổ chức, cá nhân m u ố n giao dịch trên m ọ i phương tiện điện t ử như website, danh thiếp, V.V.... K h o a bí mật được biết chỉ duy nhất b ở i cá nhân, t ổ chức ký c h ữ ký sổ đó. C ó t h ể hình dung hai chìa k h o a này như hai chiếc chìa của một két sắt, m ộ t chìa chuyên dùng để k h o a và chìa k i a chuyên dùng để mở. Sau khi đã khoa bằng m ộ t chìa thì chỉ có chìa còn lại m ớ i có t h ể m ở được. C ó t h ể m ô hình hóa qui trình tạo lập c h ữ ký số tại hình 3 dưới đây. Hình 3: M ô hình Quy trình tạo lập c h ữ ký số (dạng đơn giản nhất) Records Management Guìdance for Agencìes Impỉementing Eỉectronìc Signature Technoỉogies National Archives and Records Adminìstration, October 18, 2000, Policy and Communications Staff Office of Records Services - IVashington, De, Modern Records Program lo
  16. Trong hình 3 trên, người gửi thông điệp trước tiên phải rút gọn nội dung thông điệp (ví dụ nội dung của hợp đồng) bằng việc sử dụng hàm băm (Hash value) . H à m 6 băm này thường có độ dài là một dãy ký tự cố định và sẽ ngắn hơn dểng văn bản. Sau đó, người gửi thư điện tử sẽ phải sử dụng khoa bí mật của bản thân mình (là một mật khẩu password) để ký. H à m băm, sau khi được sử dụng để tểo lập chữ ký số, sẽ được rút lểi thành một dãy ký tự khác. Kết quả là chúng ta sẽ có nguyên văn nội dung của hợp đồng cùng với một dãy ký tự. Sau đó, người gửi thông điệp sẽ gửi hợp đồng cùng chữ ký số này qua internet để truyề tải đến máy tính của người nhận. Khi nhận được n hợp đồng này, người nhận sẽ sử dụng khoa công khai của người gửi để kiếm tra xem có đúng đây là hợp đồng đã được chuyển nguyên bản từ người gửi thông điệp hay không. Nếu nội dung hợp đồng bị sửa, trong hành trình trên internet đến máy tính người nhận, thì kết quả kiểm tra sẽ báo là có sự sai phểm ngay lập tức. M ô hình tểo lập chữ ký số nêu trên có thể được cụ thể hóa thông qua các bước tểo lập chữ ký số ở ví dụ trong hình 4 dưới đây. Hình 4: Các bước tểo lập chữ ký số trong thực tế Người gửi Người nhận Thông điệp: Tôi đẳng ý Thông điệp: Tôi đồng ý mua với giá $ 100/pc mua với giá $ 100/pc OK H à m băm So sánh Khóa bí mật của người gửi 0 Khóa công khai cùa người gửi H à m băm Thông điệp: Tôi đồng ý mua với giá $ 100/pc © Thông điệp: Tôi đồng ý mua với giá $ 100/pc 6 H à m băm (hash value): Thay v i m ã hoa toàn bộ nội dung thông điệp (A) sẽ m ã hoa một thông điệp khác (a) được sinh ra từ A thông qua một hàm toán học gọi là hàm bám. Có thể hình dung là hàm toán học này sẽ cộng trừ, nhân, chia,... các ký tự trong thông điệp góc (A) đê sau đó có được két quà là thông điệp a, ngắn hem nhiều về kích thước so với A. Yêu cầu cơ bản nhất của thuật toán này là một thông điệp A chì sinh ra duy nhất mót a và ngược lểi một a chỉ là kết quà duy nhất cùa A. Điề này đàm bào bất kỳ thay đồi nào trong nội dung thông điệp u gốc A sẽ cho ra kết quà hàm băm là (a') khác với (a). li
  17. Trong ví dụ trên, toàn bộ nội dung "Tôi đồng ý mua với giá $100/pc" đã được rút gọn thành dãy ký tự Tdymv. Sau khi người gửi dùng khoa bí mật để ký thì chúng ta lại có một dãy ký tự khác là # $ & & * # Ư E . Hợp đồng và dãy ký tự này được chuyển A A qua internet đến máy tính người nhận. Người nhận dùng khoa công khai của người gửi để kiểm tra chữ ký số. Sau khi mở, chúng ta được dãy ký tự Tdymv, giống với dãy ký tự mà hàm băm đã rút gọn. Điều đó có nghĩa là chữ ký số thực sự là do người gửi ký và nội dung hợp đồng không bệ sửa đổi. Nếu trong quá trình hợp đồng được chuyên tới máy tính của người nhận, nội dung bệ thay đổi thì sau khi mở khoa, dãy ký tự thu được sẽ khác với dãy ký tự m à hàm băm đã rút gọn. N ó có thể là xyz nào đó và người nhận hiểu rằng thông tin nhận được đã không có độ tin cậy nữa. Như vậy, chữ ký số sử dụng công nghệ khoa công khai (Public Key Industry- PKI) giúp chúng ta xác nhận được hai vấn đề. Thứ nhất, chữ ký số đó có phải là của người gửi thông điệp hay không và thứ hai là nội dung văn bản có được đảm bảo tính toàn vẹn hay không. Với qui trình và độ chính xác cao của sự bảo đảm về mặt công nghệ nói trên, chữ ký số, với ý nghĩa là một tập con nằm trong toàn bộ hệ thống chữ ký điện tử, có qui trình tạo lập chặt chẽ, có độ an toàn cao với sự chính xác của nó. Bởi vậy, chữ ký số thường được sử dụng trong các giao dệch, trong các hoạt động điện tử đòi hỏi độ an toàn và chính xác cao. V ớ i việc xây dựng qui trình tạo lập chữ ký số, môi trường mạng chắc chắn sẽ còn phát triển mạnh trong thời gian tới. Tuy nhiên, để tạo lập chữ ký số, vấn đề hạ tầng mạng, hệ thống điện và khả năng thực hiện của con người cũng phải đạt đến một trình độ phát triển nhất đệnh. Vì vậy, việc sử dụng chữ ký số đã phát triển ờ nhiều nước như Mỹ, EU,... nhưng vẫn còn xa lạ với các nước đang và kém phát triển như Việt Nam,.... Từ đó có thể đi đến kết luận là trước khi tiến tới chữ ký số, trước tiên vẫn phải tạo lập chữ ký điện tử. 1.3. Đặc điểm của chữ ký điện tử So với chữ ký truyền thống chữ ký điện tử có những đặc điểm riêng sau đây: - Sự biểu hiện của chữ ký điện tử thường rất đa dạng Chữ ký điện tử thường có thể được biểu hiện rất đa dạng, có thể là hình ảnh, âm thanh, dãy số, ký hiệu,... hoặc là bất cứ hình thức dữ liệu điện tử nào cũng có thể được sử dụng làm chữ ký điện tử. - Chữ ký điện tử đòi hỏi nhiều điều kiện kỹ thuật bo trợ 12
  18. Việc triển khai chữ ký điện tử đòi hỏi phải có nhiều điều kiện kỹ thuật hô trợ như cơ sở hạ tầng mạng, hệ thống điện luôn luôn phải ổn định, trình độ đáp ụng của nhà nước, của các tổ chục cũng như của các cá nhân về ụng dụng công nghệ thông tin phải nhanh nhạy và luôn đổi mới, phải có sự kết hợp nhuần nhuyễn giữa tri thục toán học (thông qua các thuật toán, ...) và tri thục về điện tử, về viễn thông, về công nghệ thông tin phái hoàn hảo, V.V.... Đặc biệt, cơ sở hạ tầng mạng phải phát triến ở cả hai đầu, đầu gửi và đầu nhận thông điệp. Nếu có sự bất cân xụng về hạ tầng công nghệ thì việc sử dụng chữ ký điện tử sẽ rất khó khăn. - Chữ ký điện tủ có khả năng xác nhận và chứng thực Chữ ký điện tử, đặc biệt là chữ ký số, có khả năng xác nhận và chụng thực cao. Chữ ký điện tử là căn cụ đáng tin cậy để xác định người ký cũng như nội dung thông điệp dữ liệu. Việc sao chép và giả mạo chữ ký điện tử là tương đối khó khăn và trong nhiều trường họp là không thể. Nếu thời gian để phá một m ã (bàng phương pháp duyệt toàn bộ) được ước lượng là 1000 năm thì thuật toán này hoàn toàn có thể dùng để m ã hóa các thông tin về thẻ tín dụng - rõ ràng là thời gian phá m ã lớn hơn nhiều lần thời gian tồn tại của thẻ (vài năm). Người ta cũng từng đặt ra khả năng bị tấn công dạng kẻ tấn công đụng giữa (man in the middle attack): kẻ tấn công lợi dụng việc phân phối khóa công khai để thay đổi khóa công khai. Sau khi đã giả mạo được khóa công khai, kẻ tấn công đụng ở giữa 2 bên để nhận các gói tin, giải m ã rồi lại m ã hóa với khóa đúng và gửi đến nơi nhận để tránh bị phát hiện. Dạng tấn công kiểu này có thể được phòng ngừa bằng các phương pháp trao đổi khóa an toàn nhằm đảm bảo xác thực người gửi và xác thực sự toàn vẹn thông tin. - Chữ ký điện tử hiện nay đã được pháp luật nhiều nước thừa nhận là có giá trị pháp lý tương đương chữ kỷ trẽn giấy Các quốc gia thừa nhận giá trị pháp lý của chữ ký điện từ trong Luật về T M Đ T hoặc trong những đạo luật chuyên biệt về chữ ký điện tử . Luật Giao dịch điện tử năm 7 2005 của Việt Nam cũng khẳng định (tại điều 24 khoản 1): "Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ụng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó". 7 Luật thương mại quốc gia và quốc tế chữ ký điện tử năm 2000 (E- Sign) cùa Mỹ, Chì thị cùa EU về chữ ký điện tú ngày 13/12/1999, Luật chữ ký điện tử năm 1999 cùa Hàn Quốc, Luật mẫu cùa U N C I T R A L về chữ ký điện từ năm 2000, v.v. đều coi chữ ký điện từ có giá trị tương đương như chữ ký tay trong các văn bàn giao đích truyền thống.. 13
  19. 1.4. Phân loại chữ kỷ điện tử Chữ ký điện tử có thể được phân thành nhiều loại tùy thuộc vào tiêu chí nhìn nhận chúng 1.4.1. Căn cứ vào mức độ an toàn của chữ kỷ điện tử Nếu căn cứ vào tiêu chí mức độ an toàn, có thể chia chữ ký điện tử thành ba loại . Đó là chữ ký điện tử đơn giản (other electronic signature), chữ ký điện tử khó giả 8 tạo (advanced electronic signature) và chữ ký điện tử đã được chứng thực (qualified electronic signature). Chữ ký điện tử đơn giản là bất kỳ dữ liệu nào ở dạng điện tử gắn với các thông 9 điệp điện tử và nhẫm mục đích chỉ dẫn tới người gửi thông điệp. Với cách hiếu như vậy thì ngay cả chữ ký tay được scan và dán lên thư điện tử cũng được coi là chữ ký điện tử ở dạng giản đơn. Loại chữ ký này được áp dụng cho các giao dịch đơn giản do tính dễ tạo lập của nó. Những giao dịch này không đặt ra vấn đề an toàn của chữ ký điện tử vì chúng không đáp ứng các tiêu chuẩn an toàn m à pháp luật đòi hỏi và vì vậy chúng không giúp các chủ thể xác thực người gửi và tính nguyên vẹn của thông điệp được gửi. Chữ ký điện tử khó giả mạo' là loại chữ ký điện tử được tạo lập khi chúng thoa 0 mãn 4 điều kiện sau: (1) Có mối liên kết duy nhất đến người ký; (2) Có thể xác thực được người ký; (3) Được tạo ra bẫng những phương thức m à chỉ có người ký kiểm soát được; (4) Có mối liên kết với dữ liệu nhẫm phát hiện ra bất kỳ thay đổi nào trong nội dung của dữ liệu. Loại chữ ký điện tử khó giả mạo này được tạo lập bởi những kỹ thuật hạn chế giả mạo do chính người tạo lập ra nó quy định. Hai loại chữ ký trên được sử dụng trong những giao dịch giản đơn và cũng không bị ràng buộc bởi những quy định, những yêu cầu của pháp luật về hình thức ký. Chữ ký điện tử đã được chứng thực là những chữ ký điện tử đã thoa mãn được 9 điều kiện: (1) Chữ ký đã có sự chứng thực; (2) Trong chứng thực phải chi rõ cơ quan chứng thực và quốc gia nơi đặt cơ quan này; (3) Chữ ký phải thể hiện tên người ký hoặc bút danh của người này; (4) Các quy định về thuộc tính của chữ ký; (5) D ữ liệu thể hiện chữ ký thuộc kiểm soát của người ký; (6) Chữ ký thể hiện ngày có hiệu lực và 8 Cách chia này được các nước trong khối EU sử dụng. Xem thêm tại Henry Krasemann ICCPP Schlesvvig- Holstein, Phân loại chữ ký điện tù, tài liệu hội thào PET vê chữ ký điện từ/ chữ ký số tại Dresden, Đ ứ c năm 2003 được tài từ địa chi http://www.petworkshop,org/2003/slides/panels/peứ003 krasemann,pdf Loại chữ ký được quy định tại điều Ì, đoạn Ì của Chỉ thị EU năm 1999 vê chữ ký điện từ. (Xem phụ lục sỗ 1). Loại chữ ký này được quy định tại điều 2 cùa Chì thị EU năm 1999 vê chữ ký điện từ. (Xem phụ lục số ì). 14

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản