Cơ sở pháp lý cho chữ ký điện tử
Nhiều nước trên thế giới đã có Luật về chữ ký điện tử và chứng thực chữ ký điện tử. Tính đến năm 2004, đã có trên 50 quốc gia ban hành Luật về chữ ký điện tử. Ở Việt Nam, vấn đề này cũng là một nội dung quan trọng của Luật Giao dịch điện tử năm 2005. Trong Chương III. Công nhận giá trị pháp lý của chữ ký điện tử nêu rõ chữ ký điện tử có giá trị như chữ ký tay khi ký trên Thông điệp dữ liệu (TĐDL), quy định các vấn đề liên quan đến con dấu trong môi trường điện tử, quy định về việc chứng thực chữ ký điện tử và các nhà cung cấp dịch vụ chứng thực chữ ký điện tử. Đây là căn cứ pháp lý quan trọng để triển khai hệ thống chữ ký điện tử và chứng thực chữ ký điện tử ở nước ta. Trong đó quy định về nguyên tắc sử dụng chữ ký điện tử (Điều 23) và Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử (Điều 30).
Ngay trong giai đoạn soạn thảo Luật Giao dịch điện tử, Ban soạn thảo đã ý thức được tầm quan trọng của việc xây dựng một văn bản dưới luật để hướng dẫn chi tiết thi hành các quy định liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử của Việt Nam. Tư tưởng chỉ đạo khi xây dựng Luật là không quy định cụ thể các công nghệ ứng dụng trong giao dịch điện tử, do vậy Luật quy định chung về chữ ký điện tử. Công nghệ để thực hiện chữ ký điện tử có nhiều loại, nhưng hiện nay phổ biến nhất trên thế giới là công nghệ chữ ký số dựa trên công nghệ mật mã, vì vậy Chính phủ đã giao Bộ Bưu chính Viễn thông soạn thảo Nghị định về chữ ký số và chứng thực chữ ký số. Ngày 15/2/2007 Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Ban Cơ yếu Chính phủ cũng đã đề xuất xây dựng Tiêu chuẩn Việt Nam về chữ ký số và hướng dẫn sử dụng chữ ký số an toàn để trình Bộ trưởng Bộ Khoa học và Công nghệ ký ban hành.
Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số đã bám sát nội dung, tư tưởng của Luật song trong quá trình xây dựng Nghị định, một nội dung được thảo luận và có nhiều ý kiến là Mô hình Hệ thống chứng thực chữ ký số (CA) và việc vận hành hệ thống này trong thực tế ở Việt Nam như thế nào.
Về mô hình chứng thực chữ ký số
Trong khuôn khổ bài này không nói đến công nghệ tạo chữ ký số, tiêu chuẩn chữ ký số… mà chỉ đề cập đến vấn đề được nhiều quốc gia quan tâm là mô hình hệ thống chứng thực chữ ký số của một quốc gia được tổ chức như thế nào để vừa đảm bảo an toàn trong giao dịch, vừa thuận lợi cho người sử dụng. Mô hình Hệ thống chứng thực chữ ký số dựa trên Cơ sở hạ tầng Khóa công khai (PKI) quốc gia của các nước thường có hai xu hướng :
1. Mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA): Các nước có mô hình này có thể kể đến Hồng Kông. Với số dân ít nên Hồng Kông chỉ có một hệ thống cung cấp dịch vụ chữ ký số và chứng thực chữ ký số cho mọi hoạt động, Khóa riêng (Private Key) được tích hợp vào thẻ căn cước (ID Card) và Bưu điện là đơn vị đóng vai trò Root CA.
Mô hình này có ưu điểm chính là dễ quản lý, chi phí thấp, thống nhất công nghệ và khi thực hiện giao dịch quốc tế thì chỉ cần một CA cầu nối. Tuy nhiên, nó cũng có nhược điểm chính là làm phức tạp hóa các hệ thống chính sách áp dụng cho từng loại lĩnh vực cụ thể; khi số lượng thuê bao tăng, lưu lượng giao dịch nhiều có thể gây tắc nghẽn.
2. Mô hình chứng thực chéo (Mô hình có nhiều Root CA và cầu nối): Có các hệ thống chứng thực gốc khác nhau được kết nối, công nhận lẫn nhau qua các cầu nối (Pidge CA). Mô hình này có ưu điểm chính là phân định rõ ràng các loại chứng chỉ số cho các lĩnh vực cụ thể do vậy đơn giản trong quản lý dịch vụ. Nhược điểm của nó là chi phí cao cho công nghệ do phải đầu tư nhiều Root CA và cầu nối; mỗi thuê bao cần một chứng chỉ tương ứng của CA thuộc lĩnh vực đó, do vậy một thuê bao sẽ phải có nhiều chứng chỉ.
Nhiều nước áp dụng mô hình thứ hai này:
Hàn Quốc có hệ thống CA gốc do Bộ Thông tin và Truyền thông (MIC) quản lý; bên cạnh đó còn có hệ thống CA của các cơ quan Chính phủ (G-PKI) (Hình 1).
Trung Quốc cũng có mô hình tương tự: CA Chính phủ (Government CA) và CA Thương mại (CA cho doanh nghiệp, CA cho công nghiệp, các CA địa phương).
Nhiều nước cũng có CA Chính phủ như: Thái Lan, Phần Lan. Úc còn có hệ thống CA riêng cho lĩnh vực y tế, bảo vệ sức khoẻ.
Về hệ thống PKI Quốc gia của Việt Nam:
Như trên đã phân tích, các quốc gia tùy thuộc vào tổ chức bộ máy, phương thức quản lý nhà nước và điều kiện kinh tế xã hội mà có các mô hình riêng về hệ thống PKI Quốc gia. Việt Nam ngoài một số đặc điểm tương tự các nước còn có những đặc điểm riêng về hệ thống và phương thức quản lý nhà nước, nhất là các quy định liên quan đến sử dụng, cấp phát, quản lý con dấu. Dựa trên các đặc thù này tại khoản 1, Điều 30 của Luật Giao dịch điện tử đã quy định có hai loại tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử: “Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp dịch vụ chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng”
Bám sát quy định này của Luật, mô hình hệ thống CA của Việt Nam trong thời gian tới sẽ có cấu trúc như mô tả tại Hình 2.
1. CA Công cộng: Được tổ chức như một hệ thống PKI thống nhất cung cấp dịch vụ CA công cộng. Bộ Bưu chính Viễn thông quản lý Root CA này cũng như cấp phép, quản lý hoạt động của các nhà cung cấp dịch vụ CA công cộng. Mô hình này phù hợp với quy định của Luật Giao dịch điện tử và cũng đã được thể hiện chi tiết trong Nghị định 26/2007/NĐ-CP.
2. CA chuyên dụng: Nội dung này đã được thể hiện trong Nghị định 26/2007/NĐ-CP, song theo chúng tôi vấn đề này này cần được nghiên cứu thấu đáo hơn để có thể khả thi trong đời sống. Chúng ta đều biết rằng sẽ có một hệ thống chữ ký số và chứng thực chữ ký số chuyên dùng cho hoạt động hành chính của các cơ quan trong hệ thống chính trị của Việt Nam. Hệ thống này phải được xây dựng riêng, không lẫn với hệ thống CA công cộng mô tả trong mục 1. Thực ra đây cũng là mô hình của nhiều quốc gia khác. Hệ thống này thực tế sẽ hình thành một Root CA riêng, tạm gọi là Root CA hành chính (tương tự như CA Chính phủ của các nước khác). Nghị định 26/2007/NĐ-CP tuy không thiết kế thành một khoản riêng trong Điều 4 về các tổ chức cung cấp dịch vụ chứng thực chữ ký số, song trong khoản 4 Điều 6 về Trách nhiệm quản lý nhà nước về dịch vụ chứng thực chữ ký số đã quy định “Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị”.
Trong thực tế Việt Nam còn một mảng đặc thù nữa là hoạt động nghiệp vụ của các các cơ quan Nhà nước, như nghiệp vụ trong lĩnh vực Tư pháp (Điều tra, Kiểm sát, Toà án), nghiệp vụ Ngân hàng, nghiệp vụ Tài chính (Thuế, Hải quan, Kho bạc)… Đây vừa được coi là các giao dịch nghiệp vụ, phi hành chính của nội bộ các cơ quan nhà nước, vừa bao gồm các giao dịch nghiệp vụ của cơ quan nhà nước với công dân, nhất là cung cấp dịch vụ công trực tuyến (G2B, G2C). Trong lĩnh vực này, cá nhân, tổ chức thuộc hệ thống cơ quan nhà nước có thể dùng chữ ký số trong hệ thống CA hành chính giao dịch với công dân và doanh nghiệp. Nhưng ngược lại, công dân và doanh nghiệp có thể dùng chữ ký số được chứng thực bởi các CA Công cộng để giao dịch với cơ quan Nhà nước hay phải sử dụng hệ thống CA Chuyên dụng - Nghiệp vụ của các ngành này? nhất là các trường hợp đặc thù như quan hệ giữa doanh nghiệp và cơ quan Thuế, khách hàng với Ngân hàng… Và như vậy, có thể hình thành một nhóm các Root CA Nghiệp vụ nữa. Đây là vấn đề cần được nghiên cứu cả về mặt công nghệ lẫn cơ chế quản lý để chúng ta thực sự có một hệ thống CA quốc gia hoạt động hiệu quả.
Một vấn đề nữa cần được nghiên cứu đó là con dấu trong môi trường điện tử. Khoản 2, Điều 24 của Luật quy định: Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.
Quy định tại điều này được thực hiện đối với cơ quan nhà nước khi sử dụng hệ thống CA hành chính và Điều 11, Điều 12 của Nghị định đã có hướng giải quyết rất sáng tạo cho nội dung này. Nhưng đối với doanh nghiệp và các tổ chức ngoài hệ thống nhà nước (thông thường con dấu được cơ quan Công an cấp) thì có thể vận dụng khoản 2, Điều 24 của Luật khi họ sử dụng dịch vụ của các CA.
Hệ thống CA của Việt Nam sẽ không phải là mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA), song việc sử dụng một chuẩn thống nhất, sự kết nối và công nhận lẫn nhau giữa các hệ thống CA là rất quan trọng. Cầu nối (Pidge) này hình thành ra sao, nguyên tắc thế nào, ai quản lý cũng là vấn đề đặt ra để giải quyết trong thời gian tới. Điều này đòi hỏi có những phân tích khoa học và mang tính tổng thể của các cơ quan nhà nước có trách nhiệm.
16:00 | 03/09/2021
15:00 | 02/11/2021
12:00 | 11/08/2023
Bộ Thông tin và Truyền thông (TT&TT) đề nghị các Bộ, ngành, địa phương triển khai Kho dữ liệu điện tử của cá nhân, tổ chức trên Hệ thống thông tin giải quyết thủ tục hành chính để lưu dữ liệu giải quyết dịch vụ công, phục vụ chia sẻ, tái sử dụng.
10:00 | 26/05/2023
Trong thời đại số, sự phát triển của các công nghệ như trí tuệ nhân tạo (Artificial Intelligence - AI), Metaverse, Web 3.0, tiền điện tử (Stablecoin), mạng xã hội, truyền thông 6G, Big data, Blockchain và Internet of Things (IoT) đang thúc đẩy sự thay đổi toàn diện về cách thức quản lý, trao đổi và sử dụng thông tin. Những công nghệ này đang trở thành những công cụ quan trọng để tạo ra những hệ thống thông tin an toàn, thông minh, hiệu quả và đáng tin cậy trong nhiều lĩnh vực. Trong giới hạn nội dung bài báo này, tác giả sẽ giới thiệu về xu hướng kết hợp công nghệ Blockchain với công nghệ IoT và AI trong tương lai gần để tạo ra những giải pháp, sản phẩm khoa học công nghệ mới cho thế giới kỹ thuật số.
15:00 | 02/03/2023
Dự án Luật Giao dịch điện tử (sửa đổi) dự kiến sẽ được Quốc hội tiếp tục cho ý kiến, xem xét thông qua tại Kỳ họp thứ 5 diễn ra vào tháng 5/2023 tới. Thường trực Ủy ban Khoa học, Công nghệ và Môi trường cũng dự kiến báo cáo Ủy ban Thường vụ Quốc hội 05 vấn đề lớn trong việc tiếp thu, giải trình và chỉnh lý dự án Luật.
07:00 | 15/09/2022
Chủ thể danh tính điện tử là cơ quan, tổ chức, công dân Việt Nam không phải thanh toán chi phí đăng ký cấp tài khoản định danh điện tử và chi phí sử dụng tài khoản định danh điện tử do hệ thống định danh và xác thực điện tử tạo lập. Đây là một trong những nội dung tại Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử vừa được Thủ tướng Chính phủ Phạm Minh Chính ký ban hành.
Xác thực không mật khẩu là một phương thức xác thực cho phép người dùng truy cập vào một dịch vụ, ứng dụng, hệ thống công nghệ thông tin mà không cần nhập mật khẩu truyền thống hoặc trả lời các câu hỏi bảo mật. Xác thực không mật khẩu đang được xem là giải pháp xác thực an toàn hiện nay và được dự đoán sẽ trở thành xu hướng trong tương lai. Bài viết này sẽ hướng dẫn độc giả cách thiết lập Passkey cho tài khoản Google để giúp quá trình đăng nhập trở nên thuận lợi, đơn giản và tăng cường khả năng bảo mật tài khoản của người dùng.
10:00 | 10/04/2024
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam - VNCERT/CC, Cục An toàn thông tin (Bộ TT&TT) đưa ra cảnh báo về hình thức lừa đảo mới nhắm vào các cá nhân, tổ chức sử dụng chữ ký số. Bằng việc gửi mail thông báo chữ ký số của cá nhân, tổ chức đã hết hạn, đối tượng lừa đảo yêu cầu người dùng thực hiện thao tác gia hạn để lừa chiếm đoạt tài sản.
14:00 | 05/03/2024