Đề tài Dịch vụ chứng thực chữ ký điện tử: Kinh nghiệm các nước và giải pháp thực hiện ở Việt Nam

Nội dung text: Đề tài Dịch vụ chứng thực chữ ký điện tử: Kinh nghiệm các nước và giải pháp thực hiện ở Việt Nam

1. BỘ CÔNG THƯƠNG BỘ GIÁO DỤC & ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG ĐẺ TÀI NGHIÊN cứu KHOA HỌC CÁP BỘ DỊCH VỤ CHỨNG THỰC • • • CHỮ KÝ ĐIỆN TỬ: KINH NGHIỆM CÁC NƯỚC VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM [Hư VI!"N ÌOỊI Ĩ J MÃ sớ: 2007-78-003 Chị nhiệm đề tài: GS.TS. Nguyễn Thị Mơ - ĐH Ngoại Thương Tham gia đề tài: ThS. Nguyễn Văn Thoăn -nt- ThS. Hồ Thúy Ngọc -nt- ThS. Nguyễn Quang Trung -nt- CN. Võ Sỹ Mạnh -nt- CN. Nguyễn Ngọc Hà -nt- CN. Hà Công Anh Bảo -nt- CN. Đinh Hoàng Anh -nt- Hà Nội, tháng 11/2008
2. BỘ CÔNG THƯƠNG BỘ GIÁO DỤC & ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG ĐẺ TÀI NGHIÊN cứu KHOA HỌC CÁP BỘ DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ: KINH NGHIỆM CÁC NƯỚC VÀ GIẢI PHÁP THỰC HIỆN Ở VIỆT NAM • • • MẢ SỐ: 2007-78-003 Xác nhện của cơ quan chủ trì đề tài Chủ nhiệm để tài KT. HIỆU TRƯỞNG ẸHÁHIỆU TRƯỞNG PGS?FST NGUYỄN VĂN HÒNG GS.TS. NGUYỄN THỊ Mơ Hà Nội, tháng 11/2008
3. MỤC LỤC Trang DANH MỤC CHỮ VIẾT TẮT sử DỤNG TRONG ĐÈ TÀI LỜI MỞ ĐÀU Ì CHƯƠNG 1. TỔNG QUAN VÈ DỊCH vụ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ 5 ì. Chữ ký điện tử 5 1. Khái niệm và đặc điểm của chữ kỷ điện tử 5 2. Vấn đề an toàn, bảo mật chữ ký điện tử 16 n. Dịch vụ chỦng thực chữ ký điện tử 22 1. Khái niệm về dịch vụ chứng thực chữ ký điện từ 22 2. Đặc điểm của dịch vụ chúng thực chữ kỷ điện từ 24 3. Vai trò của dịch vụ chứng thực chữ kỷ điện tử 30 4. Điều kiện đảm bảo cho sự phát triển dịch vụ chứng thực chữ ký điện tử 37 5. Tố chức thục hiện hoỉt động dịch vụ chứng thực chữ ký điện tủ 43 ố. Quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử 56 CHƯƠNG 2. KINH NGHIỆM CỦA MỘT SỐ NƯỚC VẺ TỚ CHỨC THỰC HIỆN DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ 66 ì. Kinh nghiệm của EU 66 ỉ. Khung pháp luật cho hoỉt động cung ứng dịch vụ chứng thực chữ kỷ điện tử ở EU. 66 2. Cơ sở hỉ tầng cho sự phát triển của dịch vụ chứng thực chữ ký điện tửởEU. 74 3. Hoỉt động của các to chức cung ứng dịch vụ chúng thực chữ ký điện tử tỉi EV 80 4. Quản lý nhà nước của EUđối với hoỉt động cung ứng dịch vụ chữ ký điện tử. 84 li.Kinh nghiệm của Bỉ 86 ỉ. Khung pháp luật của Bỉ về dịch vụ chứng thực chữ ký điện tử 86 2. Cơ sở hỉ tầng cho hoỉt động cung cấp dịch vụ chứng thực chữ ký điện tử ở Bi 96 3. Hoỉt động của các tô chức cung cáp dịch vụ chứng thực chữ ký điện tử ở Bỉ loi 4. Quản lý nhà nước đối với hoỉt động cung cắp dịch vụ chứng thực chữ ký điện tử ởBi 105 HI. Kinh nghiệm của Hoa Kỳ 108 1. Khung pháp luật cho dịch vụ chứng thực chữ kỷ điện tử 108 2. Cơ sở hỉ tầng cho hoỉt động chứng thực chữ ký điện tử ở Hoa Kỳ 112 3. Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện từ ở Hoa Kỳ 114 4. Quản lý nhà nước của Hoa Kỳ đối với dịch vụ chứng thực chữ kỷ điện tử 119 IV. Kinh nghiệm của Hàn Quốc ] 21 /. Khung pháp luật cùa Hàn Quốc về dịch vụ chứng thực chữ ký điện tử 122 2. Cơ sở hỉ tầng cho dịch vụ chứng thực chữ ký điện tử ở Hàn Quắc 126 3. Hoỉt động của các tổ chức cung cấp dịch vụ chứng thực chữ kỷ điện từ ở Hàn Quốc. 128 4. Q^lýMmứcđẩivớihoỉđộngcmgcấpẠhvụchứngthựcchữìíýđiệnlửởHànQiéc 133 i
4. V. Kinh nghiệm của Singapore 134 /. Khung pháp luật của Singapore về dịch vụ chứng thực điện tử 135 2. Cơ sở hạ tầng cho dịch vụ chứng thực chữ ký điện tử tại Singapore 138 3. Hoạt động cùa các tố chức cung cấp dịch vụ chứng thực điện tử tại Singapore 139 4. Quảnty nhà nưặc đối vặi hoạt động cung cấp dịch vụ chứng thực điện tử ở Singapore. 141 CHƯƠNG 3. CÁC GIẢI PHÁP PHÁT TRIỀN DỊCH vụ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ Ở VIỆT NAM 146 ì. Dịch vụ chứng thực chữ ký điện tử ặ Việt Nam: Thực tế triển khai và những vấn đề đặt ra 146 ỉ. Thực tế triển khai địch vụ chứng thực chữ ký điện tử ở Việt Nam 146 2. Những vấn đề đặt ra 161 li. Dự báo sự phát triển của dịch vụ chứng thực chữ ký điện tử ặ Việt Nam trong thòi gian tói 165 ỉ. Xu hưặng phái triển TMĐT, giao dịch điện tử và nhu cầu cần có sự bảo đảm sự an toàn về chữ ký điện tử cho các giao dịch điện tử 165 2. Xu hưặng phát triển dịch vụ chứng thực chữ kỷ điện tử ở Việt Nam và trên thế giặi trong giai đoạn từ nay đến năm 2010, tầm nhìn đến năm 2020 168 HI. Kiến nghị và giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam, đáp ứng yêu cầu hội nhập kinh tế quốc tế 170 1. Nhóm giải pháp hoàn thiện khung pháp luật cho hoạt động chứng thực chữ ký điện tử ở Việt Nam 170 2. Nhóm giải pháp bảo đảm các điểu kiện đế dịch vụ chứng thực chữ ký điện tử phát triển hữu hiệu ở Việt Nam 180 3. Nhóm giải pháp tăng cường vai trò quàn lý nhà nưặc đối vặi dịch vụ chứng thực chữ ký điện tủ 185 4. Nhóm giải pháp khác 187 KẾT LUẬN 188 TÀI LIỆU THAM KHẢO 190 PHỤ LỤC Ì 195 PHỤ LỤC 2 196 PHỤ LỤC 3 197 PHỤ LỤC 4 198 PHỤ LỤC 5 199 THUYẾT MINH ĐỀ TÀI NGHIÊN cứu KHOA HỌC li
5. DANH MỤC CHỮ VIẾT TẮT sử DỤNG TRONG ĐÈ TÀI ACB Ngân hàng A Châu ATLAS Công nghệ ký và kiểm tra giao dịch tiên tiến ACES Chứng nhận truy cập cho các dịch vụ điện tử ATM Máy rút tiền tự động B2C Mô hình thương mại điện tử Doanh nghiệp với người tiêu dùng B2B Mô hình thương mại điện tử Doanh nghiệp với Doanh nghiệp CA Chứng thực điện tử c/0 Chứng nhận xuất xứ DNS Hệ thống tên miền DSS Tiêu chuẩn chữ ký số ECoSys Chứng nhận xuất xứ điện tử EDI Trao đủi dữ liệu điện tử EFT Chuyển tiền điện tử EU Liên minh Châu Âu GSA Cơ quan cung cấp dịch vụ công IRS Cục Thuế NARA Cơ quan quốc gia về lưu trữ và truy cập OATH Xác thực mờ OMB Cục quản lý và ngân sách PIN Personal identiíication number PKI Công nghệ khoa công khai SSL Tầng mã an ninh UK Liên hiệp vương quốc Anh UNCITRAL ủy ban của Liên hợp quốc về Thương mại và Phát triển UETA Luật giao dịch điện tử thống nhất VPN Mạng riêng ảo VIP Hệ thống bào mật của VeriSign WLAN Mạng không dây TMĐT Thương mại điện tử NĐ Nghị định CP Chính phủ iii
6. LỜI NÓI ĐẦU 1. Sự cần thiết nghiên cứu đề tài Trong những năm gần đây, với tốc độ phát triển như vũ bão, công nghệ thông tin đã thâm nhập vào mọi lĩnh vực hoạt động của từng quốc gia, trong đó có lĩnh vực TMĐT nói chung và giao dịch điện tử nói riêng. Môi trường điện tử vì vậy cũng đa dạng và sẽ hình thành, phát triển một cách nhanh chóng. Môi trường điện tử là một môi trường "số hóa", môi trường "ứo", vì vậy các giao dịch điện tử và các hợp đông điện tử cũng mang tính vô hình, phi vật chất. Nghĩa là các giao dịch điện tử tôn tại, được lưu trữ và được chứng minh bởi các dữ liệu điện tử chứ không "sờ mó", "câm nắm" một cách vật chất được. Điều này khiến cho việc xác định một số yếu tố của giao dịch điện tử như xác định bứn gốc của kết quứ giao dịch giữa các bên, xác định chữ ký của các bên v.v trở nên khó khăn. Rủi ro tất yếu sẽ xứy ra và thiệt hại do những rủi ro này đem đến thật không ít: nhiều khách hàng bị mất tiền do việc bứo mật không tốt thẻ tín dụng, nhiều thông tin mật của cơ quan và doanh nghiệp bị "bốc hơi" một cách bất ngờ và đặc biệt, nhiều doanh nghiệp, cá nhân không lấy được tiền hàng do bị giứ mạo chữ ký điện tử, nhiều vụ tranh chấp rơi vào bế tắc khi cơ quan giứi quyết tranh chấp không có đủ bằng chứng pháp lý để bứo vệ quyền lợi của bên có lợi ích bị xâm phạm. Những khó khăn, thách thức và rủi ro nói trên cũng đã, đang và sẽ xứy ra, một cách thường xuyên hơn, đối với các cơ quan, doanh nghiệp cũng như từng cá nhân thực hiện giao dịch trong môi trường điện tử tại Việt Nam. Để giúp tháo gỡ các khó khăn này, Việt Nam đã ban hành một số văn bứn pháp luật hướng dẫn bứo đứm an toàn trong giao dịch điện tử. Cụ thể, ngày 29/11/2005 Luật Giao dịch điện tử đầu tiên của Việt Nam đã được ban hành (có hiệu lực từ ngày 01/03/2006); Ngày 9/6/2006 Nghị định số 57/2006/NĐ-CP của Chính phủ về TMĐT cũng ra đời. Đặc biệt, gần đây nhất, ngày 15/2/2007, Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP về chữ ký số và dịch vụ chứng thực chữ ký số. Trong các văn bứn nói trên, đều có một số quy định về việc thành lập tổ chức cung cấp dịch vụ chữ ký điện tử và nhấn mạnh rằng chữ ký điện tử được xem là bứo đứm an toàn khi "đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực". Tuy nhiên, trên thực tế, ờ Việt Nam cho đến nay, việc thành lập các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nói chung và chữ ký số nói riêng cũng như việc tổ chức và triển khai thực hiện dịch vụ vẫn ở trong tình trạng "sơ khai", vấn đề đặt ra là việc cung cấp dịch vụ chứng thực chữ ký điện tử là hoạt động có tính dịch vụ hay có tính chuyên trách độc quyền? Nên thành lập một hay nhiều tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử? Mô hình tổ chức nào sẽ thích ứng cho việc cung Ì
7. cấp dịch vụ này: Công ty cung cấp dịch vụ hay tổ chức trực thuộc cơ quan Nhà nước? Đe có lời giải cho những vấn đề trên, cần làm rõ nhiều vấn đề về dịch vụ chứng thực chữ ký điện tử và cách thức tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử trong thực tế. Với Việt Nam, điều này còn quá mới cả từ góc độ vĩ mô và vi mô, cả vê lý luận và thực tiọn triển khai. Vì vậy, việc tìm hiểu kinh nghiệm của các nước về vấn đê này là hết sức cần thiết và bức xúc. Đó là lý do để nhóm đề tài đã lựa chọn vấn đê "Dịch vụ chứng thực chữ ký điện tử: Kinh nghiệm các nước và giải pháp thực hiện ở Việt Nam" làm đề tài nghiên cứu khoa học cấp Bộ. 2. Tình hình nghiên cứu trong và ngoài nước Ở nước ngoài, đã có một số bài viết, công trình nghiên cứu liên quan đến TMĐT, chữ ký điện tử .Điển hình có các tác giả sau đây: - Michael Chisiek & Alistair Kelman: Electronic Commerce: Law and Practice. Svveet anf Maxwell, Third edition, London, 2002. - Lorna Brazell. Electronic Signatures Law and Regulation. Sweet & Maxwell, 2004. - Choong Y.Lee. A new Marketing Strategy for E-Commerce. Pittsburg State University, KS 66762, USA. - Georges Chatillon. Le droit international de L'internet. Brufant, Bruxelles 2002. - Université Panthéon - Assas. Le contract élétronique. L.G.D.T, 2000. V.V Ở trong nước, cũng đã có một số công trình có liên quan, trong đó, tiêu biểu là các sách chuyên khảo về thương mại điện tử của PGS.,TS. Vũ Ngọc Cừ (Nxb Giao thông Vận tải, Hà Nội năm 2001); sách chuyên khảo cẩm nang pháp lý về giao kết hợp đồng điện tử của GS.,TS. Nguyọn Thị Mơ chủ biên (Nxb Lao động - Xã hội, Hà Nội năm 2006); Các bài viết về Hợp đồng và chữ ký điện tử theo Luật Hoa Kỳ của Thạc sỹ Nguyọn Văn Thoăn (Tạp chí Kinh tế đối ngoại số 12/2005); của tác giả Quốc Vinh về Giải pháp cho ho ngăn cách sổ (Tạp chí Tia sáng, số 17/2005) V.V Các công trình, bài viết ở trong và ngoài nước nói trên chỉ phân tích chuyên sâu về TMĐT, về họp đồng điện tử, về những vấn đề pháp lý về TMĐT và chữ ký điện tử. Tuy nhiên, chưa có công trình nào phân tích về dịch vụ chứng thực chữ ký điện tử theo kinh nghiệm của các nước để rút ra bài học cho Việt Nam. Đây là đề tài nghiên cứu khoa học cấp Bộ đàu tiên nghiên cứu vấn đề này. 3. Mục tiêu và nhiệm vụ nghiên cứu 3.1. Mục tiêu nghiên cứu - Làm rõ những vấn đề cơ bản về dịch vụ chứng thực chữ ký điện tà và việc tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử. 2
8. - Tìm hiểu kinh nghiệm một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử để trên cơ sờ đó nêu bật những thành công, những thất bại và rút ra bài hỏc kinh nghiệm cho Việt Nam. - Đề xuất giải pháp để triển khai thành công dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới, đáp ứng đòi hỏi của các doanh nghiệp, các tô chức (kê cả cơ quan nhà nước) về phát triển TMĐT trong giai đoạn hậu gia nhập WTO. 3.2. Nhiệm vụ nghiên cứu Để thực hiện mục tiêu nói trên, đề tài có các nhiệm vụ cụ thế sau đây: - Làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, dịch vụ chứng thực chữ ký điện tử như: Khái niệm chữ ký điện tử, nội dung của dịch vụ chứng thực chữ ký điện tử; VỊ trí, vai trò của dịch vụ chứng thực chữ ký điện tử trong môi trường điện tử nói chung và giao dịch điện tử nói riêng. - Phân tích những yêu cầu và điều kiện đối với tổ chức, đơn vị có chức năng cung cấp dịch vụ chữ ký điện tử cũng như quyên, nghĩa vụ và trách nhiệm của các tô chức cung cấp dịch vụ chứng thực chữ ký điện tử. - Làm rõ nhu cầu của các đơn vị, tổ chức, cá nhân được cung cấp dịch vụ chứng thực chữ ký điện tử; Quyền, nghĩa vụ và trách nhiệm của các đơn vị, cá nhân này trong mối quan hệ với đơn vị cung cấp dịch vụ chứng thực chữ ký điện tử. - Những vấn đề đặt ra trong việc quản lý nhà nước về dịch vụ chứng thực chữ ký điện tử và giải quyết tranh chấp phát sinh từ việc thực hiện dịch vụ chứng thực chữ ký điện tử trong thực tế. - Tìm hiểu kinh nghiệm của một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử để từ đó rút ra bài hỏc kinh nghiệm cho Việt Nam. - Dự báo nhu cầu phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới. - Đánh giá thực trạng dịch vụ chứng thực chữ ký điện tử ở Việt Nam và đề xuất kiến nghị và giải pháp để tổ chức thực hiện thành công dịch vụ chứng thực chữ ký điện tử ở Việt Nam trong thời gian tới. 4. Đối tượng, phạm vi, thời gian nghiên cứu 4.1. Đối tượng nghiên cứu của đề tài là các hoạt động liên quan đến tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử, kể cả việc thành lập các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cũng như cơ sở pháp lý của hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử và quản lý nhà nước vê hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử. Đối tượng nghiên cứu của đề tài còn bao gồm cả các văn bản pháp luật quốc tế pháp luật quốc gia về dịch vụ chứng thực chữ ký điện tử và kinh nghiệm của một số nước về tổ chức hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử. 3
9. 4.2. Phạm vi nghiên cứu - về mặt nội dung: Chữ ký điện tử là khái niệm rất rộng, theo đó, nó bao gôm các chữ ký tôn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, chữ ký bằng hình ảnh v.v dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì. Mặc dù có cách hiêu rộng như vậy nhưng chữ ký điện tử cũng có những diêm chung giông nhau: chúng đều được thiết lập dưới dạng thông điệp dữ liệu. Với đặc thù như vậy, phạm vi nghiên cứu cỉa đề tài sẽ là chữ ký điện tử nói chung và dịch vụ chứng thực các dạng chữ ký điện tử đó. Nếu có nhấn mạnh vào chữ ký số hóa hay chữ ký bằng âm thanh, chỉ là nhằm để nêu bật tính đặc trưng cỉa chữ ký điện tử. - về mặt không gian: Dịch vụ chứng thực chữ ký điện tử ở phạm vi Việt Nam, ở một số nước và ở phạm vi quốc tế. - về mặt thời gian: Nghiên cứu dịch vụ chứng thực chữ ký điện tử ở Việt Nam từ khi Luật Giao dịch điện tử năm 2005 có hiệu lực, tức là từ tháng 3/2005 đến năm 2015, tầm nhìn đến năm 2020. Khi phân tích dịch vụ chứng thực chữ ký điện tử, đề tài giới hạn phạm vi nghiên cứu ở việc phân tích hai loại hình tổ chức là: hoạt động cỉa tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nhằm mục đích kinh doanh và hoạt động cỉa tố chức cung cấp dịch vụ chứng thực chữ ký điện tử không nhằm mục đích kinh doanh. Cũng trong khuôn khổ cỉa Ì đề tài nghiên cứu khoa học cấp Bộ, đề tài không có tham vọng nghiên cứu kinh nghiệm cỉa tất cả các nước mà lựa chọn phân tích kinh nghiệm cỉa 5 nước là EU, Bi, Mỹ, Hàn Quốc và Singapore - Đây là 5 nước đã có những kinh nghiệm nhất định trong việc thực hiện dịch vụ chứng thực chữ ký điện tử. 5. Phương pháp nghiên cứu Là đề tài rất mới, có thể nói là đề tài đầu tiên đặt bút khai phá cho hướng nghiên cứu này, vì vậy, phương pháp nghiên cứu được áp dụng thường xuyên là: - Phân tích, thống kê, luận giải, hệ thống hóa và so sánh, ; - Tập họp tài liệu (tiếng Anh và tiếng Pháp) nước ngoài để đọc, dịch, phân tích và hệ thống hóa và đưa ra những nhận xét và đánh giá cỉa nhóm tác giả đề tài; - Cập nhật các thông tin (từ trên mạng) về TMĐT, về hạ tầng mạng cho chữ ký điện tử, chữ ký số để phân tích các điều kiện đảm bảo an toàn cho chữ ký điện tử và các điều kiện đảm bảo thành công cho dịch vụ chứng thực chữ ký điện tử; 6. Bố cục cỉa đề tài Ngoài lời nói đầu, kết luận, các phụ lục và danh mục tài liệu tham khảo nội dung nghiên cứu cỉa đề tài được phân bổ thành ba chương: Chương Ì: Tổng quan về dịch vụ chứng thực chữ ký điện tử Chương 2: Kinh nghiệm cỉa một số nước về tổ chức thực hiện dịch vụ chứng thực chữ ký điện tử Chương 3: Các giải pháp phát triển dịch vụ chứng thực chữ ký điện tử ở Việt Nam 4
10. Chương Ì TỐNG QUAN VÈ DỊCH vụ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ Trong nhiều thập kỷ qua, chữ ký truyền thống đã từng được hỗ trợ thông qua các dịch vụ như công chứng, xác nhận, sự làm chứng bởi người thứ ba, v.v với những qui trình thủ tục pháp lý rõ ràng và chặt chẽ nhạm đảm bảo thông tin cho khách hàng. Ngày nay, người ta đang chứng kiến một loại hình hoạt động mang tính dịch vụ khá đặc biệt đang song song tồn tại và đang dần dần thay thế các dịch vụ truyên thông nói trên. Đó là dịch vụ chứng thực chữ ký điện tử. Vậy dịch vụ chứng thực chữ ký điện tử là gì? Dịch vụ này có những điểm khác biệt gì so với dịch vụ công chứng các văn bản, chứng từ trước đây? Qui trình thủ tục của dịch vụ này có gì cần lưu ý? Phần dưới đây sẽ làm rõ những câu hỏi này, bắt đầu từ việc làm rõ những vấn đề cơ bản liên quan đến chữ ký điện tử, sự cần thiết phải chứng thực chữ ký điện tử và đặc điếm của dịch vụ chứng thực chữ ký điện tử. ì. CHỮ KÝ ĐIỆN TỬ 1. Khái niệm và đặc điểm của chữ ký điện tử 1.1. Khái niệm về chữ ký điện tử Chữ ký là phương thức phổ biến để ghi nhận tính xác thực của thông tin chứa đựng trong văn bản. Đặc điểm chủ yếu của chữ ký là xác nhận tác giả của văn bản và thể hiện sự chấp thuận của tác giả đối với nội dung thông tin chứa trong văn bản đó. Tuy nhiên, đối với các hoạt động trên không gian mạng nói chung và với các giao dịch điện tử nói riêng, nếu hiểu chữ ký như trên thì sẽ không thể có các giao dịch hay hợp đồng điện tử. Vì vậy, các giao dịch trên không gian mạng cần phải được "ký" bời một chữ ký khác - chữ ký điện tử. Chữ ký điện tử là dữ liệu tồn tại dưới dạng điện tử trong hoặc đi kèm với "văn bản điện tử", dùng để xác định bên ký kết "văn bản điện tử" và chỉ rõ sự chấp thuận của bên ký kết về nội dung các thông tin có trong "văn bản điện tử" đó. Giữa chữ ký truyền thống và chữ ký điện tử có sự khác biệt rất rõ về chức năng. Chữ ký truyền thống là bạng chứng chứng minh sự hiện diện của một chủ thể tại thời gian và địa điểm ký vào văn bản. Còn chữ ký điện tử lại không như vậy. Chủ thể của các giao dịch điện tử có thể lập trình sẵn một chương trình để ký kết hoặc trả lời. Vì vậy, dù không có sự hiện diện của chủ thể thì hệ thống vẫn hoạt động bình thường vẫn "ký" vào "văn bản điện tử" và ràng buộc chủ thể đó. Với kỹ thuật này, trong giao dịch điện tử, chữ ký điện tử có thể có nhiều loại khác nhau. 5
11. Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax đê truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vân thê hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử. Đó là dạng điện tử hoa đầu tiên của chữ ký truyền thống trên giấy. Tuy nhiên, các phương thức này không đớm bớo được độ an toàn cho chữ ký và nội dung văn bớn được ký vì những lý do: (1) Dễ già mạo chữ ký; (2) Dữ liệu tạo chữ ký không gắn duy nhất với người ký; (3) Dữ liệu tạo chữ ký không thuộc sự kiểm soát của người ký; (4) Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký; (5) Khó phát hiện các thay đối đối với bớn thân chữ ký sau khi đã ký. Ngày nay, với sự phát triển của công nghệ thông tin, chữ ký điện tử có thê khác phục những nhược điểm trên. Chữ ký điện tử có thể được thực hiện trên các thư điện tử (email), qua việc nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cớm ứng tại các quầy tính tiền, chấp nhận các điều khoớn soạn sẵn dành cho người tiêu dùng khi cài đật phần mềm máy tính, v.v Vậy chữ ký điện tử là gì? Cho đến nay, khái niệm về chữ ký điện tử đã được quy định trong pháp luật của nhiều nước, của các tổ chức khu vực, quốc tế và của Việt Nam Ngày 13/2/1999 Hội đồng và Nghị viện EU đã ban hành Chỉ thị về chữ ký điện tử (European Directive of the European Parliament and of the Council of 13 December 1999 ôn a Community Framework for Electronic Signature) (xem thêm phụ lục số ỉ). Chỉ thị này quy định chữ ký điện tử được hiểu theo nghĩa rộng, bao gồm các chữ ký tồn tại dưới nhiều hình thức điện tử khác nhau như chữ ký số hóa, chữ ký bằng âm thanh, hình ớnh, V.V dù công nghệ được sử dụng để tạo chữ ký là công nghệ gì1 . Năm 2000, Mỹ cũng ban hành Luật thương mại Quốc gia và Toàn cầu về Chữ ký Điện tử (Electronic Signature in Global and National Commerce Act - E-SIGN). Luật này đã cung cấp một khái niệm tổng quát về chữ ký điện tử theo đó chữ ký điện tử (electronic signature) là các tín hiệu âm thanh, các ký hiệu, là quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bớn và được thực hiện bởi người muốn ký vào hợp đồng hay văn bớn đó. Luật mẫu của UNCITRAL về chữ ký điện tử năm 2001 (UNCITRAL Model Law ôn E-Signature) coi chữ ký điện tử là "dữ liệuở dạng điện tử, gắn với hoặc kết họp một cách logic với thông điệp điện tử nhằm xác nhận quan hệ giữa người ký với Điều 2 khoớn Ì, Chì thị EU năm 1999; xem toàn văn chi thị này tại địa chi 6
12. thông điệp điện tử và chỉ ra sự thừa nhận của người ký với thông tin trong thông điệp điện tử2 . Năm 2005, Việt Nam cũng ban hành một đạo luật trong đó có nhiều quy định liên quan đến chữ ký điện tử. Đó là Luật Giao dịch điện tử năm 2005. Luật Giao dịch điện tử năm 2005 cũng có cách hiểu tương đồng với pháp luật nêu trên về chữ ký điện tử. Luật quy định chữ ký điện tử "là chữ ký được tạo lập dưới dạng từ, chữ, sắ, ký hiệu, âm thanh hoặc các hình thức khác bàng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đắi với nội dung thông điệp dữ liệu được ký"3. Các quy định ở các nguồn luật nêu trên cho thấy không có sự mâu thuẫn hay khác nhau lớn trong cách hiểu của pháp luật các nước và quắc tế về chữ ký điện tử. So với Luật của Mỹ và EU, Luật mẫu của UNCITRAL đưa ra khái niệm rõ hơn, cụ thể hơn, chặt chẽ hơn cả về mặt kỹ thuật công nghệ và pháp lý. Từ ba văn bản luật nêu trên, có thể hiểu chữ ký điện tử là chữ ký mà người ta tạo lập thông qua các phương tiện điện tử, thông qua các công nghệ liên quan tới môi trường mạng như điện, sắ, từ, quang, điện từ hoặc các dấu hiệu đặc trưng khác gắn liền với thông điệp điện tử. Như vậy, chữ ký điện tử thường gắn kết với những vấn đề kỹ thuật của công nghệ thông tin và của môi trường mạng. Đặc điểm của chữ ký điện tử, vấn đề đầu tiên là phải nắm được kỹ thuật tạo lập nó. Ngoài ra, cũng cần phải thấy được mục đích của việc tạo lập chữ ký điện tử là nhàm xác nhận người ký chữ ký này với những nội dung có trong thông điệp điện tử. về mặt kỹ thuật, chữ ký điện tử có thể được tạo lập theo các hình thức như: hình ảnh chữ ký tay được sắ hoa, hay một mã bất kỳ mà người ký ấn định cho bản thân mình, một dấu vân tay được quét (soán), một dãy sắ nào đó hoặc thậm chí một chữ ký điện tử ở dạng mã hóa đôi mắt của một người để xác nhận và đánh dấu (xem Hình 1). Hình Ì mô tả chữ ký điện tử được tạo lập thông qua hình thức mã hóa đôi mắt của một người. Hình thức này được hiểu như sau: Một người muắn qua được cửa an ninh thì phải đưa đôi mắt của mình vào thiết bị cảm ứng điện tử. Đôi mắt này được thiết bị quét kiểm tra như trên. Trên màn hình hiện ra chữ "Approved", tức là "chấp nhận". Điêu 2, mục a Luật mẫu cùa UNCITRAL vê chữ ký điện tử, xem toàn văn Luật này tại địa chi Điều 21 khoản Ì, Luật Giao dịch điện từ cùa Việt Nam năm 2005. 7
13. Hình 1: Chữ ký điện tử ở dạng mã hoa đôi mắt của một người. Nguồn: M'WW. visa.com. au Như vậy muốn mã hóa đôi mất thì phải có thiết bị cảm ứng điện tử. Thiết bị cảm ứng điện tử này phải sử dụng công nghệ đòi hợi có sự chính xác cao vì nó không chỉ được sử dụng cho một người, mà là rất nhiều người. Chỉ cần một sự sai lệch nhợ, rất nhợ so với đôi mắt đã được mã hóa để nhận dạng thì lập tức thiết bị cảm ứng điện tử này sẽ phát hiện ra và từ chối sự đi qua cửa an ninh của người không được nhận dạng. Với chữ ký điện tử cũng vậy. Ngày nay người ta đã dùng những thiết bị điện tử như trên để tạo lập và xác nhận chữ ký điện tử của một người. Trong thực tế, chữ ký điện tử cũng được điện tử hóa bằng kỹ thuật điện tử đa dạng (xem hình 2). Hình 2: Hình ảnh của chữ ký tay và chữ ký này được điện tử hoa Hình 2 cho thấy chữ ký tay truyền thống của một người. Đó là chữ ký của anh Min Hancock. Bằng kỹ thuật công nghệ hiện đại, chữ ký này đã được điện tử hóa ở dạng các dãy số và được chứng thực bởi công ty Yozons (xem bảng 1). Bảng 1: Chữ ký tay được điện tử hóa ở dạng các dãy số Signature is Valkt, Message integrity veried (veriíied by Yozons át 01/28/0411:36 AM PST) Digital signature: (unique signature DÍ the sigrter of the Message) dA/Dqđ5u vÌcH8XpCB04EvTO0Gu6 A5h3nwEurop3Tl+i8SinYssklOtt76YíÌs0m9SyBTVit.oNRREytRdhSq7eg)cdlT 3 ycxeg»<HG«u8i-lìKhs lia— 8
14. Dịch là: Chữ ký này là họp lệ. Thông điệp đã được xác thực (bởi Yozons ngày 28/1/2004 lúc l lh36 phút sang). Chữ ký số: (chữ ký duy nhất của người gửi và ký thông điệp này) Tuy nhiên, nhìn từ cà một dãy số dài chi chít chữ và số ở bảng Ì nêu trên, có thê con người sẽ khó thực hiện bằng cách tểo lập chữ ký truyền thống. Ngược lểi, dãy chữ số này phải do một phần mềm cung cấp. Phần mềm để tểo lập chữ ký điện tử, hay còn gọi là chương trình ký điện tử, là các chương trình máy tính được thiêt lập đê hoểt động độc lập hoặc thông qua các thiết bị điện tử khác nhằm tểo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu đó4. Phần mềm này có thể do các cá nhân, tổ chức tự viết hoặc do cơ quan chứng thực chữ ký điện tử cung cấp. Cá nhân, tô chức có nhu cầu sử dụng chữ ký điện tử sẽ đăng ký với cơ quan cung cấp dịch vụ chữ ký điện tử các yêu cầu về định dểng của chữ ký, ví dụ như chữ ký ở dểng gương mặt đang cười của cá nhân, hoặc một âm thanh nhất định (gần giống với việc người ta mặc định trong điện thoểi di động một kiểu nhểc chuông cố định và hình ảnh cố định khi số điện thoểi của một người nào đó gọi đến). Trên cơ sờ các yêu cầu này, cơ quan cung cấp dịch vụ sẽ tểo chữ ký điện tử và gắn kèm chứng chì xác thực (có thể kèm cả hển sử dụng chữ ký điện từ). Người nhận thông điệp có thể nhìn thấy chứng chỉ xác nhận chữ ký điện tử đó và có thể yên tâm về độ tin cậy của thông điệp hoặc có thể trực tiếp kiếm tra bản gốc của chữ ký này trên website của công ty cung cấp dịch vụ chứng thực chữ ký điện tử. 1.2. Chữ ký số có phải chữ ký điện tử không? Từ ví dụ minh họa về chữ ký điện tử thông qua dãy số tểi bảng Ì, có thể thấy để tểo lập chữ ký điện tử, người ta hay tểo ra một dãy dài các chữ số. Đó là chữ ký số. Vậy chữ ký số có phải là chữ ký điện tử không? Chữ ký số và chữ ký điện tử là một hay là hai? Có điểm gì chung và khác giữa chúng? Chữ ký số "là một dểng chữ ký điện tử được tểo ra bằng sự biến đồi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoa công khai của người ký có thể xác định được chính xác"5. Khi nói đến chữ ký điện tử, người ta hay đồng nghĩa với chữ ký số. Tuy nhiên, như đã trình bày ờ trên, chữ ký điện tử có nghĩa rộng hơn. Nó không chỉ bao gồm các dãy số 4 Điều 4, khoản 3, Luật Giao dịch điện tử việt Nam năm 2005. 5 Điều 3 khoán 4, Nghị định số 26/2007/NĐ-CP cùa Chính phù quy định chi tiết thi hành Luật Giao dịch điện tử vẽ chữ ký sô và dịch vụ chứng thực chữ ký sô. 9
15. mà nó còn có thể là bất kỳ dữ liệu điện tử nào kể cả dãy chữ hoặc kết hợp cả chữ và số. Như vậy, chữ ký số là một tập con của chữ ký điện tử, là một dạng của chữ ký điện tử. Vì vậy, chữ ký số có điểm chung và cũng có điểm riêng so với chữ ký điện tử. Điểm chung là cả 2 loại chữ ký này đều được tạo lập nhờ vào kứ thuật công nghệ thông tin và kứ thuật điện tử. Điểm khác nhau thể hiện ở qui trình tạo lập chữ ký sô và tính an toàn cao của nó. Trong thực tế, do độ tiện lợi và tính an toàn cao nên chữ ký số thường được gan với văn bản điện tử và dùng để chứng thực người ký văn bản và nội dung của vãn bản điện từ đó. Để sử dụng chữ ký số, về mặt kứ thuật, cần phải có một cập khoa gồm khoa công khai và khoa bí mật. Cặp khoa này do công ty chứng thực chữ ký sỗ cấp. Khoa công khai được công bố cho mọi tổ chức, cá nhân muốn giao dịch trên mọi phương tiện điện tử như website, danh thiếp, V.V Khoa bí mật được biết chỉ duy nhất bởi cá nhân, tổ chức ký chữ ký sổ đó. Có thể hình dung hai chìa khoa này như hai chiếc chìa của một két sắt, một chìa chuyên dùng để khoa và chìa kia chuyên dùng để mở. Sau khi đã khoa bằng một chìa thì chỉ có chìa còn lại mới có thể mở được. Có thể mô hình hóa qui trình tạo lập chữ ký số tại hình 3 dưới đây. Hình 3: Mô hình Quy trình tạo lập chữ ký số (dạng đơn giản nhất) Records Management Guìdance for Agencìes Impỉementing Eỉectronìc Signature Technoỉogies National Archives and Records Adminìstration, October 18, 2000, Policy and Communications Staff Office of Records Services - IVashington, De, Modern Records Program lo
16. Trong hình 3 trên, người gửi thông điệp trước tiên phải rút gọn nội dung thông điệp (ví dụ nội dung của hợp đồng) bằng việc sử dụng hàm băm (Hash value)6. Hàm băm này thường có độ dài là một dãy ký tự cố định và sẽ ngắn hơn dểng văn bản. Sau đó, người gửi thư điện tử sẽ phải sử dụng khoa bí mật của bản thân mình (là một mật khẩu password) để ký. Hàm băm, sau khi được sử dụng để tểo lập chữ ký số, sẽ được rút lểi thành một dãy ký tự khác. Kết quả là chúng ta sẽ có nguyên văn nội dung của hợp đồng cùng với một dãy ký tự. Sau đó, người gửi thông điệp sẽ gửi hợp đồng cùng chữ ký số này qua internet để truyền tải đến máy tính của người nhận. Khi nhận được hợp đồng này, người nhận sẽ sử dụng khoa công khai của người gửi để kiếm tra xem có đúng đây là hợp đồng đã được chuyển nguyên bản từ người gửi thông điệp hay không. Nếu nội dung hợp đồng bị sửa, trong hành trình trên internet đến máy tính người nhận, thì kết quả kiểm tra sẽ báo là có sự sai phểm ngay lập tức. Mô hình tểo lập chữ ký số nêu trên có thể được cụ thể hóa thông qua các bước tểo lập chữ ký số ở ví dụ trong hình 4 dưới đây. Hình 4: Các bước tểo lập chữ ký số trong thực tế Người gửi Người nhận Thông điệp: Tôi đẳng ý Thông điệp: Tôi đồng ý mua với giá $ 100/pc mua với giá $ 100/pc OK Hàm băm So sánh Khóa bí mật của người gửi Khóa công khai Hàm băm 0 cùa người gửi Thông điệp: Tôi đồng Thông điệp: Tôi đồng ý mua với giá $ 100/pc © ý mua với giá $ 100/pc 6 Hàm băm (hash value): Thay vi mã hoa toàn bộ nội dung thông điệp (A) sẽ mã hoa một thông điệp khác (a) được sinh ra từ A thông qua một hàm toán học gọi là hàm bám. Có thể hình dung là hàm toán học này sẽ cộng trừ, nhân, chia, các ký tự trong thông điệp góc (A) đê sau đó có được két quà là thông điệp a, ngắn hem nhiều về kích thước so với A. Yêu cầu cơ bản nhất của thuật toán này là một thông điệp A chì sinh ra duy nhất mót a và ngược lểi một a chỉ là kết quà duy nhất cùa A. Điều này đàm bào bất kỳ thay đồi nào trong nội dung thông điệp gốc A sẽ cho ra kết quà hàm băm là (a') khác với (a). li
17. Trong ví dụ trên, toàn bộ nội dung "Tôi đồng ý mua với giá $100/pc" đã được rút gọn thành dãy ký tự Tdymv. Sau khi người gửi dùng khoa bí mật để ký thì chúng ta lại có một dãy ký tự khác là #$&A&*A#ƯE. Hợp đồng và dãy ký tự này được chuyển qua internet đến máy tính người nhận. Người nhận dùng khoa công khai của người gửi để kiểm tra chữ ký số. Sau khi mở, chúng ta được dãy ký tự Tdymv, giống với dãy ký tự mà hàm băm đã rút gọn. Điều đó có nghĩa là chữ ký số thực sự là do người gửi ký và nội dung hợp đồng không bệ sửa đổi. Nếu trong quá trình hợp đồng được chuyên tới máy tính của người nhận, nội dung bệ thay đổi thì sau khi mở khoa, dãy ký tự thu được sẽ khác với dãy ký tự mà hàm băm đã rút gọn. Nó có thể là xyz nào đó và người nhận hiểu rằng thông tin nhận được đã không có độ tin cậy nữa. Như vậy, chữ ký số sử dụng công nghệ khoa công khai (Public Key Industry- PKI) giúp chúng ta xác nhận được hai vấn đề. Thứ nhất, chữ ký số đó có phải là của người gửi thông điệp hay không và thứ hai là nội dung văn bản có được đảm bảo tính toàn vẹn hay không. Với qui trình và độ chính xác cao của sự bảo đảm về mặt công nghệ nói trên, chữ ký số, với ý nghĩa là một tập con nằm trong toàn bộ hệ thống chữ ký điện tử, có qui trình tạo lập chặt chẽ, có độ an toàn cao với sự chính xác của nó. Bởi vậy, chữ ký số thường được sử dụng trong các giao dệch, trong các hoạt động điện tử đòi hỏi độ an toàn và chính xác cao. Với việc xây dựng qui trình tạo lập chữ ký số, môi trường mạng chắc chắn sẽ còn phát triển mạnh trong thời gian tới. Tuy nhiên, để tạo lập chữ ký số, vấn đề hạ tầng mạng, hệ thống điện và khả năng thực hiện của con người cũng phải đạt đến một trình độ phát triển nhất đệnh. Vì vậy, việc sử dụng chữ ký số đã phát triển ờ nhiều nước như Mỹ, EU, nhưng vẫn còn xa lạ với các nước đang và kém phát triển như Việt Nam, Từ đó có thể đi đến kết luận là trước khi tiến tới chữ ký số, trước tiên vẫn phải tạo lập chữ ký điện tử. 1.3. Đặc điểm của chữ ký điện tử So với chữ ký truyền thống chữ ký điện tử có những đặc điểm riêng sau đây: - Sự biểu hiện của chữ ký điện tử thường rất đa dạng Chữ ký điện tử thường có thể được biểu hiện rất đa dạng, có thể là hình ảnh, âm thanh, dãy số, ký hiệu, hoặc là bất cứ hình thức dữ liệu điện tử nào cũng có thể được sử dụng làm chữ ký điện tử. - Chữ ký điện tử đòi hỏi nhiều điều kiện kỹ thuật bo trợ 12
18. Việc triển khai chữ ký điện tử đòi hỏi phải có nhiều điều kiện kỹ thuật hô trợ như cơ sở hạ tầng mạng, hệ thống điện luôn luôn phải ổn định, trình độ đáp ụng của nhà nước, của các tổ chục cũng như của các cá nhân về ụng dụng công nghệ thông tin phải nhanh nhạy và luôn đổi mới, phải có sự kết hợp nhuần nhuyễn giữa tri thục toán học (thông qua các thuật toán, ) và tri thục về điện tử, về viễn thông, về công nghệ thông tin phái hoàn hảo, V.V Đặc biệt, cơ sở hạ tầng mạng phải phát triến ở cả hai đầu, đầu gửi và đầu nhận thông điệp. Nếu có sự bất cân xụng về hạ tầng công nghệ thì việc sử dụng chữ ký điện tử sẽ rất khó khăn. - Chữ ký điện tủ có khả năng xác nhận và chứng thực Chữ ký điện tử, đặc biệt là chữ ký số, có khả năng xác nhận và chụng thực cao. Chữ ký điện tử là căn cụ đáng tin cậy để xác định người ký cũng như nội dung thông điệp dữ liệu. Việc sao chép và giả mạo chữ ký điện tử là tương đối khó khăn và trong nhiều trường họp là không thể. Nếu thời gian để phá một mã (bàng phương pháp duyệt toàn bộ) được ước lượng là 1000 năm thì thuật toán này hoàn toàn có thể dùng để mã hóa các thông tin về thẻ tín dụng - rõ ràng là thời gian phá mã lớn hơn nhiều lần thời gian tồn tại của thẻ (vài năm). Người ta cũng từng đặt ra khả năng bị tấn công dạng kẻ tấn công đụng giữa (man in the middle attack): kẻ tấn công lợi dụng việc phân phối khóa công khai để thay đổi khóa công khai. Sau khi đã giả mạo được khóa công khai, kẻ tấn công đụng ở giữa 2 bên để nhận các gói tin, giải mã rồi lại mã hóa với khóa đúng và gửi đến nơi nhận để tránh bị phát hiện. Dạng tấn công kiểu này có thể được phòng ngừa bằng các phương pháp trao đổi khóa an toàn nhằm đảm bảo xác thực người gửi và xác thực sự toàn vẹn thông tin. - Chữ ký điện tử hiện nay đã được pháp luật nhiều nước thừa nhận là có giá trị pháp lý tương đương chữ kỷ trẽn giấy Các quốc gia thừa nhận giá trị pháp lý của chữ ký điện từ trong Luật về TMĐT hoặc trong những đạo luật chuyên biệt về chữ ký điện tử7. Luật Giao dịch điện tử năm 2005 của Việt Nam cũng khẳng định (tại điều 24 khoản 1): "Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ụng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó". 7 Luật thương mại quốc gia và quốc tế chữ ký điện tử năm 2000 (E- Sign) cùa Mỹ, Chì thị cùa EU về chữ ký điện tú ngày 13/12/1999, Luật chữ ký điện tử năm 1999 cùa Hàn Quốc, Luật mẫu cùa UNCITRAL về chữ ký điện từ năm 2000, v.v. đều coi chữ ký điện từ có giá trị tương đương như chữ ký tay trong các văn bàn giao đích truyền thống 13
19. 1.4. Phân loại chữ kỷ điện tử Chữ ký điện tử có thể được phân thành nhiều loại tùy thuộc vào tiêu chí nhìn nhận chúng 1.4.1. Căn cứ vào mức độ an toàn của chữ kỷ điện tử Nếu căn cứ vào tiêu chí mức độ an toàn, có thể chia chữ ký điện tử thành ba loại8. Đó là chữ ký điện tử đơn giản (other electronic signature), chữ ký điện tử khó giả tạo (advanced electronic signature) và chữ ký điện tử đã được chứng thực (qualified electronic signature). Chữ ký điện tử đơn giản9 là bất kỳ dữ liệu nào ở dạng điện tử gắn với các thông điệp điện tử và nhẫm mục đích chỉ dẫn tới người gửi thông điệp. Với cách hiếu như vậy thì ngay cả chữ ký tay được scan và dán lên thư điện tử cũng được coi là chữ ký điện tử ở dạng giản đơn. Loại chữ ký này được áp dụng cho các giao dịch đơn giản do tính dễ tạo lập của nó. Những giao dịch này không đặt ra vấn đề an toàn của chữ ký điện tử vì chúng không đáp ứng các tiêu chuẩn an toàn mà pháp luật đòi hỏi và vì vậy chúng không giúp các chủ thể xác thực người gửi và tính nguyên vẹn của thông điệp được gửi. Chữ ký điện tử khó giả mạo'0 là loại chữ ký điện tử được tạo lập khi chúng thoa mãn 4 điều kiện sau: (1) Có mối liên kết duy nhất đến người ký; (2) Có thể xác thực được người ký; (3) Được tạo ra bẫng những phương thức mà chỉ có người ký kiểm soát được; (4) Có mối liên kết với dữ liệu nhẫm phát hiện ra bất kỳ thay đổi nào trong nội dung của dữ liệu. Loại chữ ký điện tử khó giả mạo này được tạo lập bởi những kỹ thuật hạn chế giả mạo do chính người tạo lập ra nó quy định. Hai loại chữ ký trên được sử dụng trong những giao dịch giản đơn và cũng không bị ràng buộc bởi những quy định, những yêu cầu của pháp luật về hình thức ký. Chữ ký điện tử đã được chứng thực là những chữ ký điện tử đã thoa mãn được 9 điều kiện: (1) Chữ ký đã có sự chứng thực; (2) Trong chứng thực phải chi rõ cơ quan chứng thực và quốc gia nơi đặt cơ quan này; (3) Chữ ký phải thể hiện tên người ký hoặc bút danh của người này; (4) Các quy định về thuộc tính của chữ ký; (5) Dữ liệu thể hiện chữ ký thuộc kiểm soát của người ký; (6) Chữ ký thể hiện ngày có hiệu lực và 8 Cách chia này được các nước trong khối EU sử dụng. Xem thêm tại Henry Krasemann ICCPP Schlesvvig- Holstein, Phân loại chữ ký điện tù, tài liệu hội thào PET vê chữ ký điện từ/ chữ ký số tại Dresden, Đức năm 2003 được tài từ địa chi ứ003 krasemann,pdf Loại chữ ký được quy định tại điều Ì, đoạn Ì của Chỉ thị EU năm 1999 vê chữ ký điện từ. (Xem phụ lục sỗ 1). Loại chữ ký này được quy định tại điều 2 cùa Chì thị EU năm 1999 vê chữ ký điện từ. (Xem phụ lục số ì). 14
20. hết hiệu lực của chứng thực; (7) Mã riêng của chứng thực; (8) Những hạn chế trong việc sử dụng chứng thực (nếu có); (9) Những hạn chế trong giá trị các giao dịch được sử dụng cùng với loại chữ ký này (nếu có). Loại chữ ký điện tử đã được chứng thực có thể được chứng thực bởi bất kỳ cơ quan chứng thực nào, kể cả những cơ quan chứng thực có uy tín không cao. Do đó, loại chữ ký này chờ đóng vai trò là một trong những cơ sở (không phải là bằng chứng) để giải quyết tranh chấp phát sinh. Các chứng thực và tài liệu liên quan đến chữ ký chờ phải lưu trữ trong một thời gian ngắn, thường là 2 năm. Sau đó, chúng có thể bị xoa khỏi bộ nhớ. Nếu cơ quan cung cấp chứng thực chấm dứt hoạt động của mình vì lý do nào đó (như phá sản) trước khoảng thời gian hai năm thì tính an toàn cho loại chữ ký này cũng tự động chấm dứt. Vi vậy, không có một bảo đảm gì về tuổi thọ của chữ ký điện tử đã được chứng thực này. Do đó, tính an toàn chờ dừng ở mức trung bình. Tất cả các chữ kỹ điện tử thực hiện từ các quốc gia thành viên EU tuân theo quy định trong Chờ thị EU về chữ ký điện tử năm 1999 đều thuộc nhóm này. Nhìn chung, loại chữ ký điện tử đã được chứng thực có thể được sử dụng cho các giao dịch mà pháp luật đòi hỏi phải được lập dưới hình thức văn bản, ngoại trừ những trường hợp cụ thể theo quy định của pháp luật. Ví dụ, Đức không thừa nhận loại chữ ký này cho việc mua bán bất động sản hay lập di chúc". 1.4.2. Một số loại chữ ký điện tử khác. ở một số nước, như ở Đức chẳng hạn, người ta còn biết tới loại chữ ký điện tử được thừa nhận. Như ở trên đã nêu, vì chữ ký điện tử đã được chứng thực không được thừa nhận cho một số giao dịch điện tử đặc biệt như mua bán bất động sản, nên riêng ở Liên Bang Đức bên cạnh ba loại chữ ký trên, Đức còn quy định thêm chữ ký điện tử được thừa nhận12 (acrredited electronic signature).Ở Đức, chữ ký điện tử được thừa nhận là loại chữ ký an toàn nhất. Các cơ quan chứng thực chữ ký này chịu sự kiêm soát chặt chẽ của Nhà nước và tuổi thọ của mỗi chữ ký được chứng thực thường rất dài, ít nhất là khoảng 35 năm (tức là các chửng từ, tài liệu liên quan đến chữ ký cũng phải được lưu giữ ít nhất 35 năm). Sự thay đổi, biến động về kỹ thuật công nghệ cũng được tính toán trước để đảm bảo cho tuổi thọ nói trên của loại chữ ký được thừa nhận này. Nếu cơ quan chứng thực bị phá sản hay ngừng hoạt động vì bất cứ lý do gì nghĩa vụ lưu trữ chữ ký sẽ được chuyển sang cho cơ quan nhà nước có thẩm quyền Mặc dù Đức là thành viên của EU và phải thực hiện Chờ thị của EU năm 1999 về chữ " Điều 766 và 2247 Bộ Luật Dân sự Đức năm 1900. Loại chữ ký nậy được quy định tại điều 15 Luật Quy định các Điều kiện chung cho Chữ ký Điện từ cùa Đức năm 1997, sửa đôi năm 2005 (Law governing Framework Conditions for Electronĩc Signatures- SigG) 15
21. ký điện tử, họ vẫn xây dụng được một cơ chế chặt chẽ và khắt khe như vậy là vì điêu 3 khoản 7 của Chỉ thị cho phép các quốc gia thành viên được quyền ban hành thêm các quy định chặt chẽ hơn khi sử dụng chữ ký điện tử trong các giao dịch công trên cơ sứ bình đẳng, không phân biệt đối xử13. Như vậy, nếu các cá nhân, tổ chức trong giao dịch kinh doanh cảm thấy chữ ký điện tử đã được chứng thực là đủ độ tin cậy thì họ vẫn có thể sử dụng chữ ký đó. Trường hợp họ chưa yên tâm, họ sẽ sử dụng loại chữ ký điện tử được thừa nhận này. Một số quốc gia khác như Anh, Hồng Rông, Trung Quốc phân loại chữ ký điện tử thành hai loại14: Chữ ký điện tử sơ đẳng (basic electronic signature) và Chữ ký điện tử tiên tiến (advanced electronic signature). Chữ ký điện tử sơ đẳng được hiểu khá rộng, bao gồm bất kỳ chữ ký nào ờ dạng dữ liệu điện tử, gắn với thông điệp điện tử. Chữ ký điện từ tiên tiến là dạng un việt hơn chữ ký điện tử sơ đẳng. Chúng có 4 đặc tính: (1) Có mối liên kết duy nhất đến người ký; (2) Có thể xác thực được người ký; (3) Được tạo ra bằng những phương thức mà chỉ có người ký kiểm soát được; (4) Có mối liên kết với dừ liệu nhằm phát hiện ra bất kỳ thay đổi nào trong nội dung của dữ liệu. Có thể thấy loại chữ ký điện tử tiên tiến này chính là chữ ký điện từ khó giả mạo. Chữ ký số thuộc nhóm chữ ký điện tử tiên tiến này. Bản thân chữ ký số cũng được chia thành hai loại. Loại chữ ký số có thể ký ngay trên thông điệp dữ liệu (clearsigned documents) và loại chữ ký số có gắn kèm với thông điệp dữ liệu (detached signature). Đối với loại chữ ký sổ có thể ký ngay trên thông điệp dữ liệu điện tử, người ta sẽ nhìn thấy chữ ký ứ dạng khối văn bản nằm trong nội dung thông điệp. Loại chữ ký số gắn kèm thông điệp dữ liệu sẽ ứ dạng một file tài liệu riêng đi kèm với file dữ liệu. Cả hai loại đều có độ an toàn và xác thực ngang nhau. 2. Vấn đề an toàn, bảo mật chữ ký điện tử Vấn đề an toàn bảo mật chữ ký điện tử thường phụ thuộc vào nhiều điều kiện, trong đó, tiêu biểu là 3 điều kiện chủ yếu. Đó là bảo mật về công nghệ, bảo mật về pháp lý và bảo mật về quản lý nhà nước. Mỗi yêu càu ờ từng điều kiện là khác nhau. Phần dưới đây sẽ phân tích điều này. 13 Nguyên văn điều 3 khoản 7 là "Member states may make the use of electronic signatures in public sector subject to possible additional requừements. Such requirements shall be obịective, transparent, proportionate and non-discriminary, and shall only relate to the specific characteristics of the application concerned. Such requừements may nót constitute an obstacle to croos-border services for citizens." Thông tin được lấy từ trang giãi đáp pháp luật cùa Hồng Kông. Xem chi tiết tại com/pạgẹ- 5550. 16
22. 2.1. An toàn, bảo mật về mặt công nghệ Khi một chữ ký điện tử được tạo lập ở dạng hình ảnh, âm thanh, v.v thì những hình ảnh, âm thanh này phải là duy nhất để bảo đảm tính an toàn. Công nghệ càng cao thì càng an toàn, càng dễ phát hiện ra sự giả mạo. Những công nghệ này bao gôm công nghệ số và mật lệnh nhận dạng, dấu hiệu hoặc thẻ thông minh, sinh trủc học, dữ liệu điện tử đơn giản, chữ ký kỹ thuật số và sự kết hợp của những công nghệ này. Khi nói đến tính an toàn bảo mật về mặt công nghệ, người ta thường đê cập đèn công nghệ của chữ ký điện tử ở dạng chữ ký số. Nếu như chỉ sử dụng khoa như ở hình 3 và hình 4 thì bất kỳ ai cũng đọc được nội dung thông điệp. Để bảo mật, người ta tiến hành "dán phong bì" cho thông điệp bằng khoa công khai của người nhận (xem hình 5). Nguồn: Records Management Guidance for Agencies ỉmpỉementing Electronìc Sìgíiơture Technoỉogìes, Nationaỉ Archives and Records Administration, October 18, 2000, Policy and Communications Staff Ọffìce of Records Services - Washingíon, De, Modern Records Program. Nhìn từ hình 5 có thể thấy rõ quy trình, thao tác từ đầu cho đến khi chữ ký số được thực hiện hoàn toàn giống qui trình đã được trình bày ở hình 3. Sau đó, người gửi dùng khoa công khai của người nhận để "dán phong bì", tức là mã hoa toàn bộ hợp đồng kèm chữ ký thành một chuỗi ký tự. Chuỗi ký tự này sẽ được chuyển qua intemet đến máy tính của người nhận. Người nhận sẽ dùng khoa bí mật của mình để '.'mả Ị T'' VIỀN ị phong bì", tức là mở mã chuôi ký tự của toàn bộ hợp đông có kèm chữ'ký của người gửi. Các bước còn lại sẽ được thực hiện giống như qui trình ở hình 3. ' -.ị 17 Ị JỊc«4-t 7 coi
23. Đẻ hình dung rõ hơn, có thể xem ví dụ cụ thể ở hình 6 dưới đây. Hình 6: Ví dụ về quy trình "dán phong bì" bảo mật Người gửi Người nhận Thông điệp: Tôi đồng ý Thông điệp: Tôi đồng ý mua với giá $ 100/pc mua với giá $ 100/pc Hàm băm So sánh Khóa bi mật của Khóa còng khai ( Tdymv người gửi cùa người gửi © © Hàm băm Thông điệp: Tôi đồng Thông điệp: Tôi đồng ý mua với giá $ 100/pc ý mua với giá $ 100/pc Khóa công khai Khóa bí mật cùa của người nhận người nhận A A © © A A *!@#$% &()(*& %$@!@# *! @#$% &()( *& %$@! @# %A&&*((&™/o#$A& (()& %A&&*((&%Í$A&* *(()& *&A%$@~ © *&A%$@~ Hình 6 cho thấy việc thực hiện "dán phong bì" đế bảo mật thường có 5 bước. Tại bước 2, khoa công khai của người nhận đã biến thông điệp và chữ ký của người gửi thành mốt chuỗi ký tự: "*!@#$%A&()(»&A%$@!@#%A&&*((&A%#$A& (0& ",. Bất kỳ ai nhìn thấy chuỗi ký tự này cũng không hiểu gì, giống như bì thư đã được dán kín. Sau đó, người nhận sẽ dùng khoa bí mật của mình để mở phòng bì, giải mã chuỗi ký tự trên. Các bước về sau lại được thực hiện giống như qui trình ở hình 4. Như vậy, vấn đề an toàn và bảo mật chữ ký, số chính là vấn đề về an toàn, bảo mật khoa bí mật và khoa công khai. Khi khoa bí mật bị lố thì phải tiến hành thu hồi khoa. Điều này dẫn tới 2 hệ quả: Các văn bản mã hóa với khóa công khai sau thời điểm T không còn được xem là bí mật. Các chữ ký số thực hiện với khóa bí mật sau thời điểm T cũng không còn được xem là thật nếu không có những tìm hiểu kỹ lưỡng các sự kiện để tìm ra nơi thực hiện chữ ký. 18
24. Thông báo về thu hồi một khóa nào đó cần phải đến được tất cả những người đang sử dụng nó trong thời gian ngắn nhất có thể. Đối với hệ thống phân phối, người ta có 2 phương pháp đưa các thông tin thu hồi khóa đến người dùng. Phương pháp thứ nhất là thông tin được đựy (push) từ điểm trung tâm tới người dùng hoặc người dùng lấy (pull) thông tin từ trung tâm. Đựy thông tin từ trung tâm là cách đơn giản nhát đê gửi thông tin tới toàn thể người sử dụng. Tuy nhiên không thể đảm bảo là thông tin thực sự tới được đích và đối với một hệ thống lớn thì khả năng gửi thành công tới tát cả người dùng là tương đối thấp. Thêm vào đó, thời gian hoàn thành truyền tin sẽ là khá lớn và trong suốt quá trình này thì hệ thống có thể bị lợi đụng. Vì vậy, phương pháp này không đảm bảo an toàn cũng như không đủ độ tin cậy. Phương pháp thứ hai là mỗi lần sử dụng người sử dụng sẽ lấy thông tin về khóa từ trung tâm trước. Điểm yếu của phương pháp này là người sử dụng sẽ bị chặn nêu không kết nối được với trung tâm. Ở đây người ta lại thấy một lần nữa mối liên hệ trái chiều giữa an ninh và tính sẵn sàng: càng nhiều server (tăng độ tin cậy) thi thời gian cửa sổ càng lớn (độ an toàn giảm). Một khóa công khai nào đó có thể liên quan tới một số lượng lớn người sử dụng và do đó cũng khó xác định người sử dụng. Điều này cũng có nghĩa là sẽ tốn rất nhiều thời gian khi muốn thu hồi hoặc thay thế một khóa vì lý do an ninh. Do vậy, cần phải hết sức thận trọng trong các hệ thống hoạt động khi áp dụng mã hóa khóa công khai. Sau khi một khóa bị thu hồi thì một khóa mới cần được phân phối theo một trình tự đã định trước. Giả sử khóa của Carol đã bị thu hồi. Trước khi có khóa mới, Carol không thể tham gia trao đổi thông tin mật. Không ai có thể gửi thông tin cho Carol mà không vi phạm đến sự an ninh của hệ thống và vì vậy các thông tin từ Carol sẽ bị loại bỏ. Điều này cũng có nghĩa là phần của hệ thống do Carol kiểm soát đã ngừng hoạt động. Trong trường hợp này yêu càu về an ninh được đặt lên trên yêu cầu về tính sẵn sàng của hệ thống. Trong hệ thống, người có thựm quyền tạo khóa mới cũng có thể chính là người có thựm quyền thu hồi khóa. Tuy nhiên, trong thực tế cũng không hoàn toàn bắt buộc như vậy. Nếu xét về phương diện an ninh thì đây không phải là ý tưởng tốt. vấn đề là ở chỗ, để bảo đảm an toàn cần giảm tới mức tối thiểu khoảng thời gian giữa thời điểm thu hồi khóa và thời điểm tạo khóa mới. Để làm tốt việc này đòi hỏi phải có một tổ chức có đủ cả hai thựm quyền nêu trên. 19
25. 2.2. An toàn, bảo mật về mặt pháp lý Để bảo đảm an toàn về mặt pháp lý, cần phải có khung pháp lý rõ ràng và đây đủ về chữ ký điện tử. Pháp luật của các nước đều thừa nhận chữ ký điện tử có giá trị pháp lý tương đương như chữ ký tay. Nếu chỉ quy định lơ lửng như vậy thì tính an toàn về mặt pháp lý sẽ khó được hiện thực hoa. Vì vậy, nhiều quốc gia đã nhanh chóng đưa chữ ký điện tử vào sử dộng trong các giao dịch công, giữa các cơ quan nhà nước với cá nhân và tổ chức. Điều đó có nghĩa là cần xây dựng chính phù điện tử, cân cải tô toàn bộ hệ thống pháp luật vốn dựa trên "quy trình giấy tờ" . Khi các giao dịch công được thực hiện an toàn với chữ ký điện tử, thì các giao dịch khác trong xã hội cũng sẽ được đảm bảo. Ngoài ra, để bảo mật cho các chữ ký điện tử, luật pháp về chữ ký điện tử của nhiều nước cũng tập trung vào việc đặt ra các yêu cầu về nhận dạng chữ ký điện tử, cho phép các bên không liên quan hoặc có ít thông tin về nhau có thể xác định được chính xác chữ ký điện tử của các bên đối tác. Không chỉ dừng lại ở đó, để bảo đảm tính an toàn của chữ ký điện tử, pháp luật các nước đặt ra yêu cầu chữ ký điện tử phải được kiểm chứng bởi một quy trình kiểm tra an toàn do các bên giao dịch thoa thuận16. Quy trình kiểm tra an toàn này nhằm bào đảm rằng dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dộng và thuộc sự kiểm soát của người ký tại thời điểm ký. Ngoài ra, pháp luật cũng đưa ra những yêu cầu đối với quy trình kiểm tra nói trên theo đó mọi thay đổi đối với chữ ký điện tử sau thời điểm ký và mọi thay đổi đối với nội dung cùa thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện. Riêng đối với chữ ký số, pháp luật các nước thường yêu cầu ràng chữ ký số phải được tạo lập bởi một cặp khoa: khoa bí mật và khoa công khai17. Để tăng tính an toàn và bảo mật về mặt pháp lý cho chữ ký điện tử, pháp luật các nước thường quy định phải có một cơ quan trang gian đứng ra chứng thực tính xác thực và độ tin cậy của chữ ký điện tử. Cơ quan này được thành lập nhằm cung cấp một dịch vộ mang nhiều ý nghĩa về mặt pháp lý hơn là về mặt công nghệ. Đó là các tổ chức cung cấp dịch vộ chứng thực chữ ký điện tử. Chữ ký điện tử được chứng thực bởi các 15 Đức đã tiến hành cài tổ toàn bộ hệ thống luật công nhằm áp dộng chữ ký điện tử, từ luật tố tộng hành chính tới các luật chung như thuế, an ninh xã hội, môi trường, xây dựng, V V. 16 Nội dung này được quy định tại điều 6, khoán Ì của Luật mẫu cùa UNCITRAL về chữ ký điện tù, điều 22 khoản Ì cùa Luật Giao dịch điện từ của Việt Nam năm 2005, điêu 41 Chi thị năml999 của Hội đồng Bộ trưởng EU về chữ ký điện tử, điều lo Đạo luật Giao dịch điện tử năm 2000 cùa Anh (Electronic Transaction Bin). 17 Nội dung này được ghi nhận tại Điều 3 khoăn 4 nghị định số 26/2007 NĐ-CP cùa Chính phù quy định chi tiết việc thi hành Luật Giao dịch điện tử về chữ ký số và dịch vộ chứng thực chữ ký số; Tại điều 4 Luật Bassini cùa Italy năm 1997, tại điều 5 Luật Chữ ký số năm 1997 cùa Đức. 20
26. tổ chức trên sẽ được coi là có thể an toàn và bảo mật về mặt pháp lý18. Nếu hoạt động của cơ quan chứng thực chữ ký điện tử không hiệu quả, dẫn đến thiệt hại cho các khách hàng sử dụng dồch vụ này, những cơ quan này sẽ phải chồu trách nhiệm trước khách hàng của họ, ví dụ như phải bồi thường thiệt hại phát sinh hoặc có thế bồ phạt, bồ thu hồi giấy phép hoạt động v.v Bên cạnh yêu cầu bảo đảm an toàn về mặt pháp lý, về cơ quan chứng thực, về mặt kỹ thuật công nghệ, luật pháp một số nước còn đòi hỏi các khách hàng phải tự bảo đảm an toàn cho mình thông qua việc yêu cầu được cung cấp thông tin theo yêu cầu. Đó là những thông tin về tính pháp lý của chữ ký điện tử, về các yêu cầu của phân cứng, phần mềm, các lựa chọn ký và chi phí (nếu có). Trong các trường hợp cần thiết, các bên cũng có quyền yêu cầu phải được cung cấp các văn bản pháp lý gốc về chữ ký điện tử để lưu giữ19. Những phân tích ở trên cho thấy một thực tế là chữ ký điện tử chỉ ra đời và chì có có tính ứng dụng dựa trên một nền tảng kỹ thuật công nghệ sẵn sàng và một khung pháp lý phù hợp. Với yêu cầu như vậy, chữ ký điện tử và dồch vụ chứng thực chữ ký điện tử thường hình thành và phát triển ờ các nước công nghiệp phát triển. Có thể nói những nước phát triển là những nước đi đầu trong việc tạo lập chữ ký điện tử. Các nước sau đó đều cố gắng tận dụng kinh nghiệm và nền tảng công nghệ phát triển sẵn có của những nước đi trước. Việt Nam cũng không phải là một ngoại lệ. Tất nhiên, rất nhiều trong số các nước đi sau đã sáng tạo, đã đổi mới nền tảng công nghệ cho phù họp với thực tiễn nước mình. Tuy nhiên việc nghiên cứu góc độ kỹ thuật, pháp lý của chữ ký điện tử, đặc biệt là việc học tập kinh nghiệm của các nước đi trước trong việc triển khai dồch vụ chứng thực chữ ký điện tử là hết sức cần thiết. 2.3. An toàn, bảo mật về mặt quản lý nhà nước về mặt quàn lý nhà nước, giao dồch điện tử nói chung và chữ ký điện tử nói riêng cũng cần phải có sự bảo mật và bảo đảm an toàn. Điều này đòi hỏi các cơ quan quản lý nhà nước cũng phải có sự hiểu biết về lợi ích của các giao dồch điện tử so với giao dồch truyền thống, có sự hiểu biết về những rủi ro của phương thức kinh doanh trên không gian mạng nhằm có biện pháp quản lý hiệu quả và có cơ chế hữu hiệu để xử lý vi phạm. Làm được như thế tức là nhà nước đã có sự quản lý tốt đối với chữ ký điện tử cũng như phương thức kinh doanh mới mẻ này. 18 Nội dung này được quy đồnh tại Điều 22 khoản 2 Luật Giao dồch điện từ năm 2005 cùa Việt Nam và tại điều 9 cùa Luật mau cùa UNCITRAL về chữ ký điện tử, " Nội dung này được quy đồnh tại Hướng dẫn thi hành Luật chữ ký điện từ trong thương mại quốc gia và toàn cầu của Hoa Kỳ, 21
27. li. DỊCH VỤ CHỨNG THỰC CHỮ KÝ ĐIỆN TỬ 1. Khái niệm về dịch vụ chứng thực chữ ký điện tử Dịch vụ chứng thực chữ ký điện tử trước hết là dịch vụ liên quan đến các hoạt động chứng thực chữ ký điện tử. Theo Luật giao dịch điện tử Việt Nam năm 2005, "chứng thực chữ ký điện tử" là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử20. Với cách quy định này, có thể hiểu chứng thực chữ ký điện tử là hoạt động, theo đó, một tổ chức có thẩm quyền, gỉi là tổ chức chứng thực chữ ký điện tử sẽ cấp một chứng từ điện tử, còn gỉi là chứng chỉ, chứng thư điện tử hay bằng chứng thực nhằm xác nhận hay chứng thực chữ ký điện tử đối với cơ quan, tổ chức hoặc cá nhân có yêu cầu được cung cấp chứng thư đó. Ngày nay ở nhiều nước phát triển như Mỹ, EU, hoạt động chứng thực chữ ký điện tử ngày càng phát triển mạnh và trờ thành một ngành dịch vụ có hàm lượng trí tuệ cao - dịch vụ chứng thực chữ ký điện tử. Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ cấp chứng chỉ số và một cặp khoa (khoa bí mật và khoa công khai) đế có thế tham gia sử dụng chứng thực điện tử trong các ứng dụng mà mình tham gia. Nói cách khác, chứng thực điện tử có thể đem so sánh với thẻ chứng minh thư nhân dân, hay hộ chiếu. Sự khác nhau là ở chỗ, thẻ chứng minh thư nhân dân và hộ chiếu được làm bằng giấy để xác minh, nhận diện một người dùng trong cuộc sống thực. Việc chứng thực sẽ được thông qua cơ quan chức năng có thẩm quyền, còn chứng thực điện tử hay chứng chỉ số không chỉ để xác minh con người, mà nó có thể xác minh rất nhiều loại thực thể khác nhau (tổ chức, cá nhân, ) thông qua môi trưởng ảo, môi trường Intemet. Từ những điều phân tích ở trên, có thể hiểu dịch vụ chứng thực chữ ký điện tử là dịch vụ được một cơ quan, một tổ chức có thẩm quyền - gỉi là cơ quan cung cấp dịch vụ - đứng ra làm các thủ tục cần thiết để xem xét và xác nhận tính chính xác, sự trung thực của một chữ ký điện tử cho một khách hàng, là một tổ chức hoặc cá nhân có nhu cầu, để đảm bảo rằng chữ ký điện tử đó là thật. Khách hàng - người được cung cấp dịch vụ chứng thực chữ ký điện tử - phải trả tiền để có được dịch vụ này. Là một hoạt động mang tính dịch vụ, dịch vụ chứng thực chữ ký điện tử phải thỏa mãn những điều kiện sau đây: 20 Điều 4, khoản 2, Luật Giao dịch điện tử năm 2005 22
28. - Phải có một tổ chức trung gian có thẩm quyền đứng ra cung cấp dịch vụ này. Tổ chức này có thể là một cơ quan nhà nước, một công ty, một doanh nghiệp được giao nhiệm vụ hoặc được phép thành lập và hoạt động trong lĩnh vực này. Tô chức trung gian này thưửng được gọi là tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; - Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử này phải có năng lực vê kỹ thuật, về công nghệ cũng như có đủ cơ sở về nguồn lực (nguồn vật lực, tài lực và nhân lực) để thực hiện dịch vụ này . - Hoạt động chứng thực chữ ký điện tử, tùy theo tính chất của từng lĩnh vực hoạt động, có thể là dịch vụ công (chỉ trả phí hành chính) hoặc dịch vụ tư (có thu tiền cho dịch vụ) tùy theo quy định của pháp luật mỗi nước. Do đó, việc ban hành pháp luật cụ thể điều chỉnh và hướng dẫn thực hiện loại hình dịch vụ chứng thực chữ ký điện tử là rất cần thiết. - Để làm bằng chứng cho sự xác thực của chữ ký điện tử, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải cấp cho khách hàng chứng thư điện tử. Việc cấp chứng thư điện tử chính là dịch vụ quan trọng của cơ quan chứng thực chữ ký điện tử. Tùy thuộc vào loại chữ ký điện tử cần xác thực và công nghệ ký điện tử, chứng thư điện tử sẽ được cấp theo nhiều hình thức khác nhau. Tuy nhiên, về cơ bản, "chứng thư điện tử" là thông điệp dữ liệu, do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành, nhàm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là ngưửi ký chữ ký điện tử21. Bên canh việc cấp chứng thư điện tử, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cũng là đơn vị cung cấp công cụ để ngưửi sử dụng (tổ chức hoặc cá nhân) có thể tiến hành ký chữ ký điện tử khi cần thiết. Công cụ này thưửng có tên gọi là "Chương trình ký điện tử". Đây là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho ngưửi ký thông điệp dữ liệu.22 Những yêu cầu, điều kiện nêu trên cho thấy dịch vụ chứng thực chữ ký điện tử là loại hình dịch vụ rất phức tạp. So với dịch vụ công chứng giấy tử, văn bản có chữ ký bằng tay, dịch vụ chứng thực chữ ký điện tử đòi hỏi các tổ chức cung cấp loại hình dịch vụ này phải thỏa mãn nhiều yêu cầu. Đó là yêu cầu về kỹ thuật, về công nghệ, về thuật toán v.v Những yêu cầu này cho thấy đặc điểm của dịch vụ này. 21 Điều 4 khoản Ì & 2 Luật Giao dịch điện từ Việt Nam năm 2005 22 Điều 4 khoản 3 Luật Giao dịch điện tử Việt Nam năm 2005 23
29. 2. Đặc điểm của dịch vụ chứng thực chữ ký điện tử So với dịch vụ công chứng truyền thống, dịch vụ chứng thực chữ ký điện tử có 4 đặc điểm nổi bật sau đây: Thứ nhất, Dịch vụ chứng thực chữ ký điện tủ là một loại hình dịch vụ phức tạp. Tính phức tạp của dịch vụ chứng thực chữ ký điện tử thể hiện ở chộ các loại chữ ký điện tử khác nhau sẽ do các chương trình ký điện tử khác nhau tạo ra. Vì vậy, khi cung cấp dịch vụ chứng thực chữ ký điện tử, cần phân biệt rõ các loại chữ ký, vì đối với mội loại chữ ký điện tử khác nhau, hoạt động chứng thực chữ ký điện tử cũng sẽ khác nhau. Trước hết, về bản chất, các chữ ký điện tử đều được lưu trên các phương tiện điện tử và được số hóa bởi các công nghệ số (ví dụ: các ký tự 0-1 trên ổ cứng máy tính, trong USB hoặc trên thẻ thông minh ). Điểm khác biệt là các chữ ký điện tử có nhiều định dạng khác nhau và được tạo ra bởi nhiều thiết bị, phương tiện khác nhau và được nhận dạng khác nhau (xem hình 7) theo các công nghệ khác nhau. Các chữ ký điện tử thông dụng gồm: • Tên của người ký được đánh máy vào cuối thử điện tử • Bản quét (scan) chữ ký truyền thống được gắn với thông điệp điện tử Hình 7: Thiết bị tạo chữ ký điện tử và nhận dạng chữ ký điện tử ResolLition: eoo- I ooo cli=.ĩ Sampling f-Sề t *— 2 3 s O—400 £amplâs/sec. lnt.-i f.ico: Serial (RS-232). USB Colour:fc>l»-*«s, blac k i-iveni&i-ầ*:e = LC-dẼsplay for real-tínne Nguồn: stepover. de • Một dãy ký tự bí mật (PIN - personal identification number) để xác định người thực hiện giao dịch điện tử (ví dụ PIN của thẻ ATM hay thẻ tín dụng) • Một mật khẩu người tạo văn bản sử dụng để người nhận có thể xác định chính xác người tạo là ai (ví dụ: mật khẩu để mở, chỉnh sửa file văn bản) 24
30. • Một đặc điểm sinh học cụ thể của mỗi cá nhân, được dùng đê xác thực cá nhân đó (ví dụ vân tay, võng mạc, tiếng nói đã được số hóa) • Đặc biệt là chữ ký số sử dụng công nghệ PKI23. Trong các loại trên, chỉ có chữ ký số là đáp ứng đờy đủ các điều kiện của chữ ký điện tử an toàn và có thể sử dụng thay thế cho chữ ký (và dấu) truyền thống khi ký các vãn bản điện tử. Các loại chữ ký điện tử khác thường chỉ được sử dụng hạn chê trong nội bộ các doanh nghiệp (ví dụ: kiểm tra nhân viên) hoặc trong một sô giao dịch B2C (ví dụ thẻ ATM, thẻ tín dụng ngân hàng cấp cho khách hàng). Ví dụ, để cấp chứng thư điện tử đối với chữ ký số người ta sẽ phải cấp chứng thư cho từng chữ ký số đơn lè, bởi vì, chữ ký số được tạo ra trong từng lờn ký sẽ là duy nhất, gắn với nội dung của văn bản có chữ ký đó. Mỗi văn bản điện tử khác nhau sẽ tạo ra các chữ ký số khác nhau (nhưng vẫn xác định được người ký là ai từ chữ ký số đó). Theo quy định của EU và UK, trong các loại chữ ký điện tử chỉ có chữ ký số là có giá trị làm bằng chứng trước tòa khi có tranh chấp phát sinh24. Đối với các loại chữ ký điện tử thông thường, dù đã được xác thực bởi một tổ chức chứng thực, khả năng áp dụng trong các giao dịch điện tử là rất thấp vì độ an toàn thấp. Ví dụ, dùng bản scan vân tay là chữ ký điện tử cho hợp đồng là một phương pháp không an toàn vì việc giả mạo rất dễ dàng với việc sử dụng các kỹ thuật công nghệ hiện nay. Tương tự như vậy, dùng võng mạc, giọng nói hay các mật khẩu cũng được coi là các phương pháp không an toàn trong các giao dịch điện tử. Tuy nhiên, các phương pháp này vẫn được sử dụng trong một số hoạt động an ninh thuộc nội bộ trong từng tổ chức. Hiện nay, chữ ký số sử dụng công nghệ PKI được coi là công nghệ tốt nhất có thể tạo ra các chữ ký điện tử đặc thù (chữ ký số) đảm bảo được các yêu cờu về bão mật và sự an toàn trong giao dịch điện tử và được luật pháp các nước thừa nhận rộng rãi. Chữ ký số sử dụng công nghệ PKI trước tòa án (hoặc trước các cơ quan giải quyết tranh chấp) có thể làm bằng chứng cho các giao dịch điện tử nếu có tranh chấp phát sinh. Vì vậy, để đơn giản hóa các công việc liên quan đến chứng thực chữ ký số các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử đã sử dụng các chứng chi số dựa vào công nghệ PKI làm công cụ ràng buộc khóa công khai của thuê bao và để kiểm tra thông tin xác thực của thuê bao đó (tên, địa chỉ ). Thực chất của hoạt động cung cấp dịch vụ 23(1)(D)(1998). Underthe Caliíornia Digital Signature Regulations, tham khảo tại website: 25
31. chứng thực chữ ký số là cấp cho người sử dung một chương trình khóa bí mật và chứng thư số. Tính phức tạp của dịch vụ chứng thực chữ ký điện tử còn thể hiện ở hàng loạt các công việc cồn phải thực hiện để cấp cho khách hàng một chứng thư điện tử. Đó là: • Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử; • Cung cấp thông tin cồn thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu; • Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật; Thứ hai, dịch vụ chứng thực chữ ký điện tử phải cung cấp khả nhiêu thông tin cho khách hàng. Đè có căn cứ và là bàng chứng khi giải quyết các tranh chấp phát sinh liên quan đến chữ ký điện tử, ví dụ như chứng minh người đã ký chữ ký điện tử là ai, tố chức cung cấp dịch vụ chứng thực phải sử dụng chứng thư điện tử. Do đó, chứng thư điện tử, khi cấp cho người đăng ký, phải có đồy đủ các nội dung cồn thiết đế sau này có thế sử dụng làm bàng chứng. Những nội dung cơ bàn phải có trên chứng thư điện tử thường là 9 vấn đề. Đó là: (i) Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; (li) Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử; (iii) Số hiệu của chứng thư điện tử; (iv) Thời hạn có hiệu lực của chứng thư điện tử; (v) Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử; (vi) Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; (vii) Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử; (viii) Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử; (ix) Các nội dung khác theo quy định của Chính phủ.25 Đây là 9 nội dung quan trọng phải có trong chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử cung cấp. Bản thân tổ chức cung cấp dịch vụ này phải chú ý để tuân thủ và cá nhân, tố chức được cung cấp dịch vụ này cũng phải nắm bắt để kiểm tra lại nội dung của chứng thư điện tử nhằm bảo vệ quyền lợi của mình. Có thể sơ đồ hóa những nội dung chủ yếu của chứng thư điện tử tại hình 8 dưới đây. Trong 9 nội dung ở trên, cả hai bên, bên cung cấp dịch vụ và bên được cung cấp dịch vụ, phải đặc biệt chú ý đến nội dung thứ năm (xem hình 8). Nội dung thứ năm này yêu cồu tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải cung cấp cho 25 Điều 29 Luật Giao dịch điện tử Việt Nam năm 2005 26
32. khách hàng dịch vụ dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử. Dữ liệu này thông thường gồm khóa công khai của người được cấp chửng thư điện tử. Chính khóa công khai, phần mềm rút gọn (hash íunction) và phần mềm ký điện tử sẽ là công cụ đế kiếm tra chữ ký điện tử của người được cấp. Khóa công khai của người nhận cũng chính là công cụ để người gửi sử dụng trong việc mã hóa thông điệp điện tử nhàm đảm bảo tính bí mật của thông điệp trong quá trình giao dịch. Theo đó, người gửi sẽ dùng khóa công khai của người nhận để mã hóa thông điệp trưừc khi gửi, người nhận sẽ là người duy nhất có thể giải mã thông điệp khi sử dụng khóa bí mật tương ứng của mình Hình 8. Nội dung chủ yếu của chứng thư điện tử 1. Thông tín của tố chức, cả nhân âỉrítc rần rhứrtp chỉ so 8ob"s (dentitỹing Iníormation: Name, Organization, Address 2. Khóa công khai của tể chức, Bob's Putolic Key cá nhân được cấp chứng chi số Dlgibal ID Validity Dates 3. Hạn sử dụng Dĩgítal ID Certiricate Numloer 4. So chứng chi ABC Corp.'s Digital Signature andĩ.D. Iníormation 5. Chữ kỷ sô của tổ chức cấp chửng chỉ sổ (CA) Nguồn: www.verisign.com Trên thế giừi hiện nay, có nhiều công ty hành nghề cung cấp dịch vụ chứng thực chữ ký điện từ, trong đó, tiêu biểu là công ty Verisign của Hoa Kỳ, công ty hàng đẩu cung cấp dịch vụ chứng thực chữ ký điện tử và chữ ký số. Bên canh đó còn có một số công ty có tên tuổi trong lĩnh vực này như Chambersign, Trustwise26. Chương 2 sẽ phân tích kỹ hơn về các công ty này. Thứ ba, dịch vụ chứng th c chữ kỷ điện tử phải được th c hiện theo một qui trình kiếm tra an toàn. Luật pháp các nưừc đều có xu hưừng quy định rõ rằng dịch vụ chứng thực chữ ký điện tử phải theo một qui trình kiểm tra an toàn (xem hình 9). Ví dụ, theo Luật Giao dịch điện tử Việt Nam năm 2005: "Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận ]aw.com/page-443) 27
33. và đáp ứng được 4 điều kiện sau đây: (1) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhát với người ký trong bối cảnh dữ liệu đó được sử dụng; (2) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát cịa người ký tại thời điểm ký; (3) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện; (4) Mọi thay đổi đối với nội dung cịa thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện. Cũng theo Luật Giao dịch điện tử Việt Nam năm 2005, chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực cũng được coi là chữ ký điện tử an toàn. Thứ tư, dịch vụ chứng thực chữ ký điện tử do các tố chức có tham quyên cung cáp. Theo quy định cịa Luật Giao dịch điện tử Việt Nam năm 2005 và các văn bản dưới luật có liên quan, "dịch vụ chứng thực chữ ký số" là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Dịch vụ chứng thực chữ ký số bao gồm các nội dung cụ thể: Tạo cặp khóa bao gôm khóa công khai và khóa bí mật cho thuê bao; cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số cịa thuê bao; Duy trì trực tuyến cơ sở dữ liệu về chứng thư số; Những dịch vụ khác có liên quan theo quy định cịa pháp luật.28 Chữ ký số về bản chất là một loại chữ ký điện tử đặc biệt, vì vậy việc chứng thực chữ ký số cũng có sự khác biệt nhất định so với việc chứng thực các loại chữ ký điện tử thông thường khác. Để làm rõ sự khác biệt này, có thể so sánh việc chứng thực chữ ký điện tử là vân tay người sử dụng với chứng thực chữ ký số dùng công nghệ PKI thông qua qui trình tạo chứng thư điện tử mà tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải thực hiện. Để thực hiện việc cung cấp dịch vụ chứng thực chữ ký điện tử (hay chữ ký số), một nhiệm vụ quan trọng mà trước tiên tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải làm là tạo cặp khóa, tạo chứng chỉ số và duy trì trực tuyến cơ sở dữ liệu về chứng thư số để các cá nhân và tổ chức có thể truy cập và sử dụng trong quá trình sử dụng chữ ký số (xem hình 9). Việc chứng thực chữ ký điện tử thực chất là xác nhận sự trung thực cịa các thông tin về người gửi và kiểm tra xem, có đúng với các thông tin trên chứng thư điện tử hay không. Việc này được thực hiện bằng khóa công khai cịa chính tổ chức chứng thực đã cấp chứng thư điện tử. Những thông tin về người gửi và khóa công khai đã được tổ chức chứng thực xác nhận bằng cách ký bằng khóa bí mật khi cấp chứng chỉ số. 27 Điều 22, khoản Ì Luật Giao dịch điện từ Việt Nam năm 2005 2,_Điều 3, khoản 6, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 Quy định chi tiết thi hành luật Giao dịch điện tù vê Chữ ký số và dịch vụ chứng thực chữ ký sô. 28
34. Hình 9. Quy trình tạo chứng thư điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử : BI. CQCT tạo ra cặp khóa BỈ ị Cơ QUAN C.THựC NGƯỜI GỬI : MẬT và CÔNG KHAI cho người •! cặ^khôacùaCQ CT cặp khóa củarcgff<ỳf' gửi 7 I đăng kỷ pnvate Kcy Pubíc Key B2. CQCT tạo thông điệp dữ liệu chứa nội dung CHỬNG CHỈ sò CHỬNG CHỈ sô NỘI DUNG NỘI DUNG Nội dung chứngchỉsụ ị - Thông tin về NG Nội dung chứng chi sô • B3. Rút gọn gói tin nội dung về NG *ị - Khóa công khai - Thông tin ì chứng chi so - Khóa ị - Số chứng chỉ công khai -Số - Hạn sư dụng - Hạn sử dụng : B4. CQCT dùng khóa bí mật đê * - • KỶ SÒ vào chứng chỉ so trước *• • '. khi cụp cho người đãng kỷ RÚT GỌN KÝ SỐ i Nội dung rút gọn _^ ChữkỷcúaCQCT Nguồn: Nhóm tác giả tự nghiên cứu, tống hợp và www.verisien.com Từ hình 9 có thể thấy quy trình tạo chứng thư điện tử cho người sử dụng gồm bốn bược sau đây: • Bược 1. Tổ chức chứng thực tạo ra cặp khóa bí mật và công khai cho người sử dụng (người được cung cấp dịch vụ chứng thực); • Bược 2. Tổ chức chứng thực tạo thông điệp chứa nội dung chứng chỉ số vợi đầy đủ các thông tin cần thiết (như thông tin về người gửi, thông tin về số chứng chỉ, hiệu lực của chứng chi ) • Bược 3. Rút gọn nội dung gói tin của chứng chỉ số và ký xác nhận bằng khóa bí mật của mình • Bược 4. Gắn chữ ký số vào thông điệp chứa nội dung chứng chỉ số để tạo thành chứng chỉ số (chứng chỉ này người đăng ký biết và được lưu trữ trên vvebsite của nhà cung cấp dịch vụ để các bên liên quan có thể sử dụng trong giao dịch). Khi người nhận muốn xác thực kiểm tra các thông tin về người gửi thông điệp, người nhận sẽ sử dụng khóa công khai của tổ chức chứng thực để giải mã chứng thư điện tử của người nhận hoặc phần chữ ký số của tổ chức chứng thực gắn vợi chứng thư điện tử để xác thực nội dung chứng thư đặc biệt là khóa công khai có chính xác là khóa gắn vợi người gửi hay không. 29
35. 3. Vai trò của dịch vụ chứng thực chữ ký điện tử 3.1. Dịch vụ chứng thực chữ ký điện tử góp phần bảo đảm sự an toàn đôi với các giao dịch điện tò Để tiến hành các giao dịch điện tử trong cả lĩnh vực thương mại và phi thương mại, điều quan trọng nhất là cần có những phương pháp cụ thế đế xác định các bên thực hiện những giao dịch đó. Giao dịch điện tử phổ biến nhất hiện nay là qua thư điện tử và tại các website bán hàng (B2C), tuy nhiên cản trở lặn nhất là các bên tham gia không thể thực hiện các giao dịch vặi giá trị lặn vì không có biện pháp và công cụ thuận tiện, an toàn để xác định chính xác người đang giao dịch vặi mình là ai. Cụ thế hơn, trong các giao dịch điện tử, người nhận các thông điệp dữ liệu như đặt hàng, hỏi hàng, phát giá, hợp đồng trưặc khi trả lời quyết định có ký kết hợp đồng hay giao hàng hay không cần phải có công cụ để xác định một số vấn đề nhàm bảo vệ quyền lợi cho mình. Những vấn đề đó là: (i) Ai là người thực sự gửi thông điệp dữ liệu đó? Bằng chứng về thời gian gửi thông điệp, địa điểm gửi thông điệp? (li) Bằng chứng nào để ràng buộc trách nhiệm của người gửi đối vặi thông điệp đó? (iii) Làm sao để nội dung của những thông điệp đó không bị thay đổi sau khi đã ký và trong quá trình truyền gửi qua mạng? Vặi dịch vụ chứng thực chữ ký điện tử, những vấn đề nêu trên sẽ được làm rõ. Như vậy, dịch vụ chứng thực chữ ký điện tử ra đời là do yêu cầu khách quan xuất phát từ chính sự phát triển của giao dịch điện tử cũng như từ yêu cầu phải bảo mật chữ ký điện tử nhằm tạo sự tin cậy cho các hoạt động điện tử trên môi trường mạng. Sự cần thiết phải có dịch vụ chứng thực chữ ký điện tò ngày càng trờ thành nhu cầu cấp bách. Ví dụ dưặi đây sẽ cho thấy rõ điều này. Công ty A là một nhà phân phối đồ nội thất gia đình và văn phòng, công ty B là nhà cung cấp sản phẩm cho công ty A. Vào một ngày, Công ty B nhận được một email từ ông BÌU (giám đốc mua sắm của công ty A) đặt mua 1000 bộ nội thất do công ty B sản xuất. Email được nhận trong bổi cảnh hai công ty đã có quan hệ kinh doanh lâu nay và đã có thỏa thuận cụ thể giữa ông Bin và giám đốc cung cấp của công ty B. Email được nhận vào ngày 23/2/2005, hai ngày sau khi công ty B đã tăng giá bộ nội thất lên 30%, vặi lý do là tỷ giá hối đoái biến động và nội thất này được công ty B sản xuất từ nguyên liệu nhập khẩu. Công ty B giao hàng cho công ty A kèm theo hóa đơn yêu cầu thanh toán sau 30 ngày kể từ ngày nhận được hàng. Trong thực tế công ty B 29 E-Business, The law and You, 2002, tr. 167, Prentice Han. 30
36. không nhận được thanh toán đúng hẹn và qua điều tra công ty B thây công ty A đang gặp khó khăn về tài chính. Tuy nhiên, vấn đề lại trở nên phức tạp khi mà công ty A tìm cách thoát khỏi trách nhiệm thanh toán lô hàng thực tế đã được giao đến kho của công ty A với 5 lí do dưới đây: - Eraail đặt hàng chưa hề được công ty A chính thức gửi cho công ty B; email mà công ty B đưa ra làm bằng chứng thực ra là do công ty B hay bên nào đó giả mạo lập ra: - Email được gửi đi tỉ máy tính của Ông Bin nhưng do ai đó truy cập trái phép vào đó chứ không phải do bản thân Ông Bin gửi; - Email được gửi đi tỉ ngày 19/2/2005, hai ngày trước khi công ty B thông báo tăng giá, do đó công ty A đòi công ty B chấp nhận thanh toán với mức giá thấp. - Email đặt hàng được gửi đúng như trên, nhưng ngay sau đó Ông Bin đã gửi một email khác hủy đơn đặt hàng, tuy nhiên công ty B đã không nhận được email hủy đơn đặt hàng; - Email thực sự được gửi nhưng số lượng đặt hàng chỉ có 100 bộ thay vì 1000 bộ. Thực tế có ai đó đã thay đổi nội dung email trong quá trình truyền gửi. Giả sử công ty A dựa vào 5 điểm nêu trên để tỉ chối thanh toán tiền hàng, thì tranh chấp thật sự sẽ phát sinh. Để có thể giải quyết được tranh chấp này, một vấn đề đặt ra là làm thế nào để kiểm chứng được sự đúng đắn trong các thông tin thuộc 5 vấn đề nêu trên? Cả 5 vấn đề nêu trên trong thực tế đều liên quan đến chữ ký điện tử và việc xác nhận chữ ký điện tử. Rõ ràng, so với giao dịch truyền thống, giao dịch điện tử với chữ ký điện tử đặt ra nhiều vấn đề liên quan đến tính an toàn của một giao dịch điện tử. Đối với việc sử dụng chữ ký điện tử như vân tay, giọng nói, mật khẩu, võng mạc hay các thông điệp dữ liệu khác để xác nhận các cá nhân hay tổ chức, việc chứng thực chữ ký điện tử được thực hiện bời chính cơ quan hay tổ chức mà các đối tác đó đang giao dịch (ví dụ như ngân hàng kiểm tra chữ ký điện tử của khách hàng, doanh nghiệp kiểm tra chữ ký điện tử của nhân viên, hải quan kiêm tra chữ ký điện tử của doanh nghiệp )- Việc sử dụng chữ ký số (digital signature) đòi hỏi phải xác định được ai đang nắm giữ khóa bí mật tương ứng với khóa công khai (được dùng để giải mã chữ ký số) để tỉ đó xác định danh tính của người/tổ chức đã tạo ra chữ ký số đó. Mặc dù có thể dùng một số phương pháp đế xác minh chủ sở hữu của khóa công khai, phương 31
37. pháp phổ biến nhất hiện nay là sử dụng cơ quan chứng thực (certiíĩcation authority - CA) để cung cấp các thông tin về danh tính người nắm giữ khóa bí mật tương ứng với khóa công khai đang được sử dụng trong các giao dịch điện tử và có trách nhiệm tham gia giải quyết các tranh chấp phát sinh liên quan đến chữ ký điện tử và chữ ký sỉ. Vai trò cụ thể của cơ quan chứng thực được thể hiện rõ theo các bước trong giao dịch điện tử sau: "Trước hết, người gửi thông điệp dữ liệu đăng ký với cơ quan chứng thực để nhận được một chứng chỉ sỉ (electronic certiíĩcate). Chứng chỉ sỉ này, thực chất là một fĩle dữ liệu (đặc biệt) lưu trữ các thông tin cần thiết như thông tin về người gửi, thông tin về khóa công khai của người gửi và thông tin về chữ ký sỉ của cơ quan chứng thực và một khóa bí mật tương ứng với khóa công khai trên chứng chỉ sỉ. Khóa bí mật này cũng là một thông điệp dữ liệu, được dùng kết họp với phần mềm ký sỉ để tạo ra chữ ký sỉ. Người gửi, sau khi tạo ra chữ ký sỉ, sẽ gắn với thông điệp dữ liệu cần gửi cùng với chứng chỉ sỉ của mình đến cho người nhận. Người nhận sẽ kiểm tra danh tính của người gửi bằng chữ ký sỉ và khóa công khai kèm trong chứng chỉ sỉ của người gửi. Bằng cách này, người nhận có thể xác nhận được xem có đúng là người gửi thông điệp dữ liệu cũng chính là người có thông tin nêu trong chứng chỉ sỉ hay không. Ngoài ra, người nhận cũng xác thực được nội dung dữ liệu được ký có đày đủ và toàn vẹn sau khi ký hay không." Ngày nay, do nhận thức được sự cần thiết phải có dịch vụ chứng thực chữ ký điện tử, nhiều nước trên thế giới, đặc biệt là EU, Mỹ, Bỉ đều đã triển khai dịch vụ chứng thực điện tử thành công. Tại Việt Nam, việc triển khai dịch vụ chứng thực điện tử cũng đang được quan tâm nghiên cứu. Rõ ràng, không chỉ đỉi với các nước phát triển, sự cần thiết phải có dịch vụ chứng thực chữ ký điện tử cũng là yêu cầu bức xúc đỉi với cả các nước đang phát triển. 3.2. Dịch vụ chứng thực chữ ký điện tử góp phần nâng cao năng lực công nghệ thông tin, năng lực cạnh tranh của doanh nghiệp và của quốc gia TMĐT là kết quả của việc ứng dụng công nghệ thông tin vào mọi hoạt động thương mại. Đặc biệt, với sự phát triển như vũ bão của Internet đã tạo tiền đề cho việc ứng dụng TMĐT tại các nước khác nhau trên thế giới. TMĐT không những giúp doanh nghiệp mở rộng thị trường kinh doanh, tạo ra kênh bán hàng mới để xuất khẩu 32
38. hàng hóa mà còn thúc đẩy sự phát triển của những ngành có lợi nhuận cao và đây nhanh sự tiếp cận của kinh tế quốc gia vào nền kinh tế số hóa. Trong thời đại công nghệ thông tin đang phát triển như vũ bão, theo dự báo của nhiều chuyên gia trong lĩnh vực công nghệ thông tin, một nước nếu không nhanh chóng nắm bắt công nghệ và tham gia vào nền kinh tế số thì trong khoảng một thập kỷ nữa nước đó có thể sẽ bặ bỏ cách, trở nên cô lập với nền kinh tế thế giới và không thê hội nhập được. Để tiến hành các giao dặch TMĐT, đặc biệt là giao dặch TMĐT ở phạm vi quốc tế, việc sử dụng chữ ký điện tử và chữ ký số là điều kiện tiên quyêt vì nó góp phần bào đảm an toàn cho các hoạt động trong lĩnh vực công nghệ thông tin. Hiện nay, một số nước Châu âu có xu hướng hạn chế giao dặch TMĐT với các nước, các vùng lãnh thổ không có biện pháp đảm bảo an toàn thông tin trên mạng. Ví dụ, Amazon (website bán hàng trực tuyến lớn nhất thế giới) không chấp nhận các giao dặch mua hàng trực tuyến từ Việt Nam, và một số nước khác trên thế giới chi bởi lý do duy nhất là còn nhiều rủi ro trong việc xác thực danh tính khách hàng giao dặch qua mạng. Đê các doanh nghiệp, tổ chức và cá nhân có thể tích cực tham gia TMĐT với các đối tác trong và ngoài nước, điều cần thiết nhất hiện nay là phải có cơ quan chứng thực chữ ký điện tử làm nhiệm vụ cung cấp công cụ và dặch vụ hỗ trợ các doanh nghiệp, tổ chức và cá nhân tiến hành các giao dặch điện tử. Trong đó đặc biệt là dặch vụ chứng thực chữ ký điện tử. Trong bối cảnh hội nhập kinh tế quốc tế hiện nay, việc phát triển dặch vụ chứng thực điện tử sẽ góp phần thúc đẩy các doanh nghiệp triển khai TMĐT, tạo tiền đề cho sự phát triển kinh tế Việt Nam hội nhập với nền kinh tế thế giới, rút ngắn khoảng cách và chênh lệch về trình độ phát triển kinh tế, giữa Việt Nam với các nước trên thế giới. Cụ thể hơn, việc phát triển dặch vụ chứng thực điện tử là điều kiện để triển khai các dặch vụ điện tử trong quản lý Nhà nước như Chính phủ điện tử, Hải quan điện tử, trong cung cấp dặch vụ y tế, trong đào tạo, trong các hoạt động tài chính, ngân hàng điện tử Những phân tích trên đây cho thấy việc thúc đẩy dặch vụ chứng thực chữ ký điện tử phát ữiển cũng đồng nghĩa với việc góp phần nâng cao năng lực công nghệ của các doanh nghiệp, từ đó, thúc đẩy sự phát triển kinh tế nói chung và thương mại nói riêng. Điều này sẽ đóng góp đáng kể vào việc nâng cao năng lực cạnh tranh của cả quốc gia lẫn doanh nghiệp. 33
39. 3.3. Dịch vụ chứng thực chữ ký điện tử ra đời đáp ứng yêu cầu bảo mật chữ ký điện tử trong các giao dịch điện tử liên quan đến các lĩnh vực tài chinh, ngăn hàng. Nhu cầu về dịch vụ chứng thực chữ ký điện tử đã xuất hiện trong nhiều lĩnh vực như thanh toán điện tử đối với các ngành ngân hàng, hải quan điện tử, thuế điện tử, cáp phép điện tử cho các hoạt động đầu tư, thương mại. Những lĩnh vực này đang đòi hỏi phải thực hiện nhanh và triển khai trên diện rộng nhổm đáp ứng yêu cầu của người sử dụng. Thanh toán điện tử là lĩnh vực có sự tham gia của nhiều chủ thế kinh tế bên cạnh các tổ chức tín dụng. Thanh toán điện tử đòi hỏi sự công nhận về mặt pháp lý của chữ ký điện tử cùng với sự phát triển của dịch vụ chứng thực điện tử. Khi sử dụng dịch vụ chứng thực điện tử, thông tin được truyền tải sẽ đảm bảo tính bảo mật, tính toàn vẹn và tính xác thực. Điều này sẽ làm cho khách hàng yên tâm. Chỉ khi sử dụng chữ ký số và công nghệ mã hóa của chữ ký số, các bên tham gia dịch vụ thanh toán trực tuyến qua Intemet mới có thể yên tâm thực hiện các giao dịch qua Internet. Đặc biệt trong bối cảnh công nghệ hiện nay, việc sử dụng dịch vụ chứng thực chữ ký điện tử đối với thanh toán điện tử là rất cần thiết khi số tội phạm ăn cắp thẻ tín dụng ngày một gia tăng. Với sự trợ giúp của dịch vụ chứng thực chữ ký điện tử, thông tin cá nhân của khách hàng cùng với số thẻ tín dụng sẽ được giữ an toàn hơn do đã được mã hóa khi gửi đi. Điều này sẽ đảm bảo an toàn trong suốt quá trình giao dịch điện tử. Tại Việt Nam hiện nay, cùng với sự phát triển cùa TMĐT, chứng từ điện tử đang trở nên khá phổ biến trong giao dịch giữa các đối tác kinh doanh đặc biệt ờ những bước tiến tới giao kết hợp đồng điện tử. về mặt pháp lý, các giao dịch điện tử, Nghị định TMĐT, Nghị định về giao dịch điện tử trong hoạt động tài chính đã cung cấp đủ cơ sở để doanh nghiệp có thể sử dụng chứng từ điện tử trong các giao dịch thương mại nói chung. Tuy nhiên, cần có những biện pháp kỹ thuật để đảm bảo giá trị pháp lý của chứng từ điện tử trong trường hợp xảy ra tranh chấp. Theo quy định tại điều 3, Nghị định về Giao dịch điện tử trong hoạt động tài chính, "chứng từ điện tử là thông tin được tạo ra, gửi đi, nhận và lưu trữ bổng phương tiện điện tử trong hoạt động tài chính. Chứng từ điện tử là một hình thức cùa thông 34
40. điệp dữ liệu, bao gồm chứng từ kế toán điện tử, chứng từ thu, chi ngân sách điện tử; thông tin khai và thực hiện thủ tục hài quan điện tử, thông tin khai và thực hiện thủ tục thuế điện tử, chứng từ giao dịch chứng khoán điện tử, báo cáo tài chính điện tử, báo cáo quyết toán điện tử và các loại chứng từ điện tử khác phù hợp với từng loại giao dịch theo quy định của pháp luật." Điều 5, khoản 3 của Nghị định này cũng quy định điều kiện để chứng từ điện tử có giá trị pháp lý là "Chứng từ điện tử phải có đủ chữ ký điện tử của những ngưối có trách nhiệm ký chứng từ". Điều này cho thấy sự cần thiêt của dịch vụ chứng thực chữ ký điện tử đối với các hoạt động trong lĩnh vực tài chính, ngân hàng điện tử. 3.4. Dịch vụ chứng thực chữ kỷ điện tử góp phần cung cấp bằng chứng pháp lý xác thực cho các bên khi cỏ tranh chấp liên quan đến giao dịch điện tử và chữ kỷ điện tử Thực tế giải quyết tranh chấp trong những năm gần đây cho thấy có nhiều vụ tranh chấp phát sinh từ các giao dịch điện tử, ở cả phạm vi trong nước lẫn quốc tế, trong cả lĩnh vực thương mại và phi thương mại, nhiều vụ tranh chấp bị bế tắc vì các bên, cả Nguyên đơn lẫn Bị đơn, không cung cấp được bàng chứng pháp lý về sự vi phạm hợp đồng của đối tác. Lý do là bởi vì chữ ký điện tử trong các hợp đồng điện tử bị quét làm giả, bị xóa hoặc bị phủ nhận vì vậy, nếu chữ ký điện tử được một tổ chức có thẩm quyền xác thực thông qua dịch vụ chứng thực chữ ký điện tử thì tranh chấp sẽ được tháo gỡ. Rõ ràng, dịch vụ chứng thực chữ ký điện tử là một trong những cơ sở giúp các bên có được bàng chứng chứng minh rằng hợp đồng điện tử đã được ký kết. Và đây là bằng chứng không thể phủ nhận đối với các bên. 3.5. Dịch vụ chứng thực chữ kỷ điện tử cung cấp các công cụ, phương tiện cần thiết để phát triển các giao dịch điện tử Việc truyền, nhận dữ liệu qua mạng Internet giúp thu ngắn được khoảng cách vật lý giữa ngưối gửi và ngưối nhận dữ liệu. Tuy nhiên, ngày nay với sự gia tăng không ngừng của thế lực tội phạm máy tính thì việc truyền, nhận dữ liệu qua mạng thưống ẩn chứa rất nhiều rủi ro. Do vậy, việc đưa ra giải pháp nhằm ngăn chặn tới mức tối đa các mối đe dọa đến an ninh dữ liệu đang được đặt ra tạo tiền đề cho việc đẩy mạnh các giao dịch qua mạng Internet. Một trong những giải pháp hữu hiệu nhất đó chính là chứng thực chữ ký điện tử. Chứng thực chữ ký điện tử là hoạt động chứng thực danh tính của những ngưối tham gia vào việc gửi và nhận thông tin qua mạng, đồng thối, cung cấp cho họ những 35
41. công cụ, những dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. Hệ thống chứng thực điện tử được xây dựng dựa trên cơ sở hổ tầng khoa công khai (PKI - Public Key Inữastructure) với nền tảng là mật mã khoa công khai và chữ ký số. Điều này đòi hỏi những tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phải là những tổ chức có khả năng sử dụng chuyên nghiệp những vấn đề liên quan đến khía cổnh kỹ thuật, công nghệ thông tin hiện đổi. Sự ra đời của các tổ chức như vậy với các dịch vụ như vậy sẽ thúc đẩy các giao dịch điện tử nói chung và các hoổt động TMĐT nói riêng phát triển. 3.6. Dịch vụ chứng thực chữ ký điện tử góp phần tạo lập và hoàn thiện môi trường pháp lý cho các giao dịch điện tử. Các nước muốn triển khai dịch vụ chứng thực chữ ký điện tử cần phải xây dựng môi trường pháp lý phù hợp. Như phần trên đã phân tích, giao dịch điện tử nói chung và hoổt động TMĐT nói riêng chỉ có thể hình thành, phát triển khi môi trường pháp lý được xây dựng và hoàn thiện. Vì vậy, cho đến nay, hầu hết các nước trên thế giới, kế cả các nước phát triển như Mỹ, khối các nước EU và các nước đang phát triển như Singapore, Thái Lan, Hàn Quốc đều đã lần lượt ban hành Luật Giao dịch điện tử, Luật về Chữ ký điện tử, Luật về Chữ ký số Tuy nhiên, trong quá trình thực hiện các luật này, đặc biệt, trong quá trình ứng dụng công nghệ thông tin vào các giao dịch trên môi trường Internet, vấn đề bảo mật, vấn đề an toàn của chữ ký điện tử mới thật sự phát sinh. Do đó việc ban hành các vãn bản luật và dưới luật về chứng thực chữ ký điện tử trở nên cần thiết. Và, cần thiết hơn là phải ban hành khung pháp lý cho các loổi hình dịch vụ liên quan đến giao dịch điện tử, trong đó có dịch vụ chứng thực chữ ký điện tử. Như vậy, sự hình thành dịch vụ chứng thực chữ ký điện tử góp phàn hoàn thiện môi trường pháp lý cho sự phát triển của các giao dịch điện tử, trong đó có sự phát triển của TMĐT. 3.7. Dịch vụ chứng thực chữ kỷ điện tử góp phần đào tạo nguồn nhân lực và hiện đại hóa cơ sở hạ tầng cho công nghệ thông tin. Xây dựng hổ tầng khóa công khai, hổ tàng kỹ thuật đồng bộ với hổ tầng khóa công khai, xây dựng nguồn nhân lực có đủ trình độ để sử dụng dịch vụ và xây dựng một mô hình tổ chức, một quy trình cung cấp dịch vụ chứng thực điện tử phù họp với quốc gia mình. 36
42. 4. Điều kiện đảm bảo cho sự phát triển dịch vụ chứng thực chữ ký điện tử Để dịch vụ chứng thực chữ ký điện tử phát triển, cần phải có những điêu kiện nhất định Đó là những điều kiện về công nghệ, về pháp lý, về nguồn nhân lực v.v mà nếu thiếu, dịch vụ chứng thực chữ ký điện tử sẽ khó tồn tại, Trong số các điêu kiện đó, phần dưới đây sẽ phân tích 5 điều kiện chủ yếu đảm bảo cho dịch vụ chứng thực chữ ký điện tử có thể hình thành, tồn tại và phát triển trong thực tế. Những điều kiện chủ yếu đó là: 4.1. Điều kiện về hạ tầng công nghệ thông tin và truyền thông Dịch vụ chứng thực chữ ký điện tử, về tính chất là mật loại giao dịch điện tử, do đó để triển khai được dịch vụ này cần có bào đảm các điều kiện nhất định về hạ tầng công nghệ thông tin và truyền thông ờ phạm vi nhà nước cũng như đối với doanh nghiệp. Chì số Xã hậi Thông tin (Iníòrmation Society Index) được Tập đoàn Dữ liệu quốc tế (IDC) tập hợp và công bố hàng năm thường được sử dụng như là mật trong những căn cứ chủ yếu để đánh giá mức đậ phát triển của mật xã hậi thông tin. Những tiêu chí cùa chỉ số này cũng có được sử dụng để đánh giá điều kiện về hạ tầng công nghệ thông tin và truyền thông cho giao dịch điện tử nói chung và cho dịch vụ chứng thực chữ ký điện tử nói riêng. Những tiêu chí đó bao gồm: - Hạ tầng máy tính: Đè đáp ứng những điều kiện này, trước hết cần có công nghiệp phần cứng (cả hàng điện tử và linh kiện máy tính) phục vụ công nghệ thông tin và truyền thông. Tiêu chuẩn để đánh giá điều kiện về công nghệ thông tin và truyền thông thường bao gồm tỷ lệ máy tính trên đầu người và kim ngạch xuất khẩu hàng năm của những mặt hàng này. Hệ thống máy tính càng nhiều thì điều kiện về hạ tầng công nghệ thông tin cho dịch vụ chứng thực chữ ký điện tử càng dễ dàng và thuận lợi. - Hạ tầng Internet & dịch vụ viễn thông: Dịch vụ Internet và viễn thông là những điều kiện tiếp theo (sau hạ tầng máy tính) cần phải đáp ứng để có thể triển khai hoạt đậng chứng thực chữ ký điện tử. Điều kiện này được thể hiện ở số lượng thuê bao, tốc đậ tăng và số người sử dụng Internet. về phía nhà cung cấp dịch vụ, điều kiện này được thể hiện ở năng lực của các nhà cung cấp thông qua thị phần, các loại dịch vụ viễn thông và dung lượng kết nối Internet quốc tế (Xem bảng 2). 37
43. Bảng 2. Số lượng người sử dụng Internet tại một số khu vực trong giai đoạn từ 2000-2005 (đ.v: Nghìn người) Khu vục 2000 2001 2002 2003 2004 2005 Bắc Mỹ 136.791 156.823 175.110 175.110 205.000 219.758 Châu Âu 110.824 125.172 147.263 169.124 191.273 205.412 ChâuÁ 99.557 102.951 153.198 197.894 250.121 316/233 Nguồn: im (2004) và Ecommerce and Development report 2004 (UNCTAD), tr.2 và nu Worĩd Teìecommunication Indicators database, 2005; Ecom Report 2005 (UNCTAD) tr. 2 và Econ Report 2006, UNCTAD, ÍT. 7 Bàng 2 ờ trên cung cấp một số liệu khá thú vị: Khu vực Châu Á lại là khu vực có số lượng người sử dụng Internet tăng đều và tăng mạnh qua các năm, từ năm 2000 đến năm 2005. Tiếp theo là khu vực Bắc Mỹ. Trong khi đó, khu vực Châu Âu lại ở vị trí chậm nhất. Nếu xem xét về hạ tổng Internet và số lượng người sử dụng Internet tại một số quốc gia, có thể thấy nếu tính từ xuất phát điểm đổu là năm 2000, thì số lượng sử dụng Intemet ở các nước phát triển tăng đều và khá ổn định. (xem bàng 3) Bảng 3. Số lượng người sử dụng Internet tại một số quốc gia (đ.v: Nghìn người) Nước/k.vực 2000 2001 2002 2003 2004 Mỹ 124.000 142.823 159.000 159.000 185.000 Hàn Quốc 19.040 24.380 26.270 29.220 31.800 Bỉ 3.000 3.200 3.400 4.000 4.200 Singapore 1.300 1.700 2.100 2.100 Nguồn: nu (2004) và Ecommerce andDevelopment report 2004 (UNCTAD), tr.3,4 và Ecom Report 2006, UNCTẢD, tr. 7 Nếu xét theo tỷ lệ người sử dụng intemet thì con số vẫn là như vậy: Mỹ là nước dẫn đổu và tiếp theo là Hàn Quốc. (xem bảng 4) Bảng 4. Tỷ lệ người sử dụng Internet tại một số quốc gia trong giai đoạn 2000 - 2006 (đ.v: %) Nước/k.vực 2000 2001 2002 2003 2004 2005 2006 Mỹ 44.1 50.1 55.2 55.6 62.3 65.7 68.5 Bỉ 29.2 31.0 32.8 38.6 40.6 48.2 50.6 Hàn Quốc 41.4 51.5 55.1 61.1 65.7 68.4 70.4 Singapore 32.4 41.2 50.4 50.9 56.1 39.8 39.2 Nguồn: ITU (2004) và Ecommerce andDevelopment report 2004 (UNCTAD) tr.6 7 Và UNCTẢD calculations based ôn nu ỊVorld Telecommunication Indicators Database, 2005, tr. 60 và Ecom Report 2007, ỚNCTAD, tr. 72 38
44. Từ số liệu ở bảng 4 nêu trên, có thể thấy tỷ lệ người sử dụng Internet tại Hàn Quốc từ năm 2000 đến nay đã tăng đều và thậm chí vượt Mỹ. Trong khi đó, tỷ lệ này ở Singapore lại rất thất thường. Bảng 5. Tỷ lệ sử dụng Internet Băng rộng tại một số quốc gia trong giai đoạn 2000-2006 (đ. v: Số người /100 người) Nước 2000 2001 2002 2003 2004 2005 2006 Mỹ 2.5 4.5 6.9 8.6 12.8 16.3 19.1 Singapore 1.9 3.7 6.5 10.0 12.0 15.3 18.2 Bỉ 1.2 4.4 8.4 10.9 15.4 19.2 19.2 Hàn Quốc 8.4 16.6 22.0 23.6 24.6 25.2 29.0 Nguồn: Ecom Report 2005, UNCTAD, tr. 7 và Ecom Report 2007, UNCTAD, tr. 87 Qua các bảng trên có thể thấy tỷ lệ người sử dụng máy tính và phứ cập máy tính tại khu vực Châu Á còn quá thấp so với hai khu vực còn lại: mức độ phứ cập máy tính quá thấp, chỉ đạt 6,0% so với Bắc Mỹ là 74% và Châu Âu là 30,8% là một rào cản lớn đối với triển khai các hoạt động liên quan đến triển khai dịch vụ chứng thực chữ ký điện tử. 4.2. Điều kiện về khuôn khổ pháp lý Để dịch vụ chứng thực chữ ký điện tử thực sự đi vào cuộc sống, cần phải có một khuôn khứ pháp lý phù hợp với các quy định rõ ràng để bảo đảm quyền lợi cho khách hàng cũng như cho các tứ chức cung cấp dịch vụ chứng thực chữ ký điện tử. Ngoài ra, cũng cần có các quy định cụ thể về cơ chế xử lý vi phạm và cơ chế xử lý tranh chấp phát sinh từ việc thực hiện dịch vụ chứng thực chữ ký điện tử. Một khuôn khứ pháp lý đầy đủ và phù hợp phải bao gồm hệ thống các văn bản luật và dưới luật về giao dịch điện tử, về TMĐT, về chữ ký điện tử, về địa vị pháp lý của các tứ chức cung cấp dịch vụ chứng thực chữ ký điện tử, về quyền lợi, nghĩa vụ của khách hàng và về quản lý nhà nước đối với hoạt động chứng thực chữ ký điện tử. Cụ thể, để dịch vụ chứng thực chữ ký điện tử có thể tồn tại và phát triển, các nước vẫn phải ban hành các luật, văn bản dưới luật trong đó có các nội dung chủ yếu sau đây: - Thừa nhận giá trị pháp lý của chữ ký điện tử, quy định về nghĩa vụ của người đăng ký cũng như bên chấp nhận chữ ký điện tử trong các giao dịch điện tử; Thừa 39
45. nhận giá trị pháp lý của các chữ ký điện tử, chữ ký số và chứng thư số do các tô chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài; - Hướng dẫn quy trình hoạt động của các cơ quan chứng thực chữ ký điện tử; điều kiện thành lập và hoạt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử và các biện pháp xử lý vi phạm pháp luật liên quan đến chữ ký điện tử Quy định các điều kiện đầm bầo an toàn cho chữ ký số điện tử, chữ ký số v.v Do đặc thù của chữ ký số, dù có rất nhiều lợi ích nhưng cũng rát phức tạp vê công nghệ, trong quy định của luật cũng như các chính sách cần nhấn mạnh đèn việc khuyến khích sử dụng chữ ký số và dịch vụ chứng thực chữ ký số. Đặc biệt khuyên khích sử dụng trong các lĩnh vực kinh tế, chính trị, xã hội để thúc đẩy việc trao đối thông tin và các giao dịch qua mạng nhằm nâng cao năng suất lao động; mở rộng các hoạt động thương mại; hỗ trợ cầi cách hành chính, tăng tiện ích xã hội. 4.3. Điều kiện về chinh sách khuyến khích của Nhà nước Để dịch vụ chứng thực chữ ký điện tử có thể phát triển và đi vào cuộc sống, cần phầi có sự ủng hộ của Nhà nước thông qua các chính sách khuyến khích sự phát triến của loại hình dịch vụ này. Nhà nước cũng cần có chính sách khuyến khích các doanh nghiệp tham gia vào dịch vụ và khuyến khích khách hàng sử dụng dịch vụ chứng thực chữ ký điện tử. Cụ thể, Nhà nước cần có chính sách hỗ trợ phát triển hạ tầng cơ sở mạng Internet và viễn thông, chính sách hỗ trợ xây dựng hành lang pháp lý, chính sách hỗ trợ các doanh nghiệp đi đầu trong lĩnh vực cung cấp dịch vụ tạo điều kiện thuận lợi thúc đẩy dịch vụ chứng thực điện tử phát triển. Có thể lấy Singapore là một ví dụ minh họa cho điều này (xem hộp 1). Song song với xây dựng chính sách, cần có cơ quan đầu mối về chứng thực điện tử quốc gia (CA root) để quần lý chung và đưa ra hệ thống chữ ký điện tử thống nhất trong cầ nước và phù hợp với các tiêu chuẩn quốc tế. Bên cạnh đó, cần có chính sách chứng thực và tiêu chuẩn chứng thực quốc gia nhằm đầm bầo sự thống nhất và độ tin cậy, an toàn của hệ thống cũng như thuận tiện trong triển khai. Đồng thời, cần có những biện pháp, chính sách cụ thể để đẩy nhanh tiến độ hoạt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử ở cấp quốc gia và quốc tế. 40
46. Hộp 1. Chính sách phát triển chính phủ điện tử của Singapore Tầm nhìn của Chính phủ Singapore là trở thành nước dẫn đầu về Chính phủ điện từ (e- Governemnt) để quản lý nhà nước trong nền kinh tế số, điều này được khẳng định rõ trong Chương trình Hành động cùa Chính phũ Singapore, tháng 6.2002. Cồng dịch vụ công điện tờ cùa Singapore cung cấp mọi thông tin liên quan đến quản lý nhà nước về dịch vụ và thông tin, đồng thời liên kết đến các \vebsite cùa mọi cơ quan quàn lý nhà nước khác. Tại \vebsite "eCitizen" cung cấp trên 100 dịch vụ công trực tuyến. Hai website liên quan điển hình khác là xvebsite cùa Uy ban Quàn lý và Phát triển Nhà và Cục cành sát với 38 và 17 dịch vụ công tương ứng. Chinh phù điện tờ liên kết trực tiếp đến kinh doanh điện tờ tại cổng thưong mại điện tờ B2B tại đó các doanh nghiệp có thể truy cập và sờ dụng các dịch vụ công đối với doanh nghiệp. Các dịch vụ công điện từ không chỉ nhanh, thuận tiện mà còn tiết kiệm chi phí cho các to chức và cá nhân. Đăng ký một doanh nghiệp mới chi mất khoáng 2 giờ và chi phí khoảng 175 USD so với 700 đến 20.000 USD và khoảng 2 ngày. Bên cạnh đó, cổng mua sắm công điện tù của chính phù Singapore tại địa chì tích hợp quy trinh mua sắm nhàm tiết kiệm chi phí, tăng mức độ minh bạch và là bàn đạp để triển khai ứng dụng thương mại điện tờ trong mọi lĩnh vực khác. Năm 2002, hơn 3.400 nhà thầu với trên 6.500 hồ sơ thầu đã được thực hiện trên các giao dịch điện tờ với tổng trị giá khàng 152 triệu USD. Tổng so người sờ dụng hệ thống mua sắm công khoáng 12.000 (so với 3.000 năm 2001) và tổng số nhà cung cấp khoảng 8.800. Mô hình chính phù điện tờ cùa Singapore thành công một phần do cơ sở hạ tầng về chữ ký điện tờ đã được triển khai đồng bộ, cung cấp công cụ để tiến hành các giao dịch điện tờ an toàn và thuận tiện. Nguồn: Ecom Report, 2004, UNCTAD, tr. 137 4.4. Điều kiện về năng lực công nghệ của tổ chức sử dụng chữ kỷ điện tử Để phát triển dịch vụ chứng thực chữ ký điện tờ, cần có một đội ngũ chuyên gia công nghệ thông tin đủ mạnh, có khả năng bắt kịp với sự phát triển của công nghệ, kỹ thuật cũng như có khả năng thiết kế, xây dựng các ứng dụng đáp ứng các yêu cầu đặt ra khi được cung cấp dịch vụ chứng thực chữ ký điện tờ. Yêu cầu về nguồn nhân lực không chỉ về chất lượng mà phải cả về số lượng để có thể một mặt vừa tạo lập chữ ký điện tờ mặt khác vừa có thể kiểm tra giám sát những hành vi gian lận trong việc tạo lập chữ ký điện tờ. Nói cách khác, muốn cho các hoạt động cung cấp dịch vụ chứng thực chữ ký điện tờ được triển khai thành công thì bản thân các tổ chức, các doanh nghiệp, các cá nhân tạo lập và sờ dụng chữ ký điện tờ phải có năng lực đủ mạnh về công nghệ thông tin, về ngoại ngữ Năng lực đủ mạnh về công nghệ thông tin sẽ tạo điều kiện cho các tổ chức, đơn vị, doanh nghiệp sờ dụng chữ ký điện tờ giảm thiểu rủi ro do có hành vi gian lận chữ ký điện tờ. Ngoài ra, năng lực công nghệ thông tin đủ mạnh cũng sẽ giúp các tổ chức này sớm áp dụng dịch vụ chứng thực chữ ký điện tờ vì dịch vụ này sẽ tạo cho họ sự tin tưởng vào TMĐT cũng như các giao dịch điện tờ. Kinh nghiệm các nước đã triển khai thành công dịch vụ chứng thực chữ ký điện tờ cho thấy, khó khăn khi triển khai dịch vụ chứng thực chữ ký điện tờ và sờ dụng chữ ký điện tờ trong giao dịch điện tờ chính là ở năng lực yếu kém về công nghệ trong các tô chức sờ dụng dịch vụ này. Vi vậy, những nước nào có năng lực công nghệ thông tin phát triển thì ở những nước đó, dịch vụ chứng thực chữ ký điện tờ cũng phát triển. 41