Dịch vụ Nhận dạng, Xác thực và Tin cậy Điện tử (eIDAS - Electronic Identification, Authentication and Trust Services) là một quy định của Liên minh Châu Âu về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong thị trường chung Châu Âu xác định 3 loại chữ ký điện tử:
- Chữ ký điện tử đơn giản (SES - Simple Electronic Signatures);
- Chữ ký điện tử nâng cao (AdES - Advanced Electronic Signatures);
- Chữ ký điện tử đủ điều kiện (QES- Qualified Electronic Signatures).
Thuật ngữ “Chữ ký điện tử đơn giản” là một tên bản ngữ dùng để nhóm lại tất cả các chữ ký điện tử không nâng cao hoặc không đủ tiêu chuẩn. Mặc dù nó được đa số các nhà cung cấp chữ ký điện tử sử dụng, nhưng eIDAS không thực sự sử dụng thuật ngữ này.
Tuy nhiên, để hiểu một cách đơn giản thì sẽ sử dụng thuật ngữ “Chữ ký đơn giản” để chỉ định cấp đầu tiên trong 3 cấp độ của chữ ký điện tử. Theo eIDAS, chữ ký điện tử là “dữ liệu ở dạng điện tử được đính kèm hoặc liên kết logic với dữ liệu khác ở dạng điện tử và được người dùng sử dụng để ký”.
Chữ ký điện tử nên đạt được những điều kiện sau:
Tôn trọng các tiêu chuẩn chữ ký của Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI - European Telecommunications Standards Institute), cùng với quy định của eIDAS về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong Thị trường chung Châu Âu:
- Sử dụng chứng nhận điện tử;
- Sử dụng hệ thống xác minh danh tính;
- Có cách để chứng minh rằng tài liệu không được chỉnh sửa sau khi nó được ký.
Tiêu chuẩn công nghiệp là ký các tài liệu điện tử thông qua một nhà cung cấp đáng tin cậy cũng là một tổ chức cấp chứng thư số. Có thể tìm thấy danh sách các cơ quan cấp chứng thư số đủ điều kiện ở Châu Âu trên trang web của Ủy ban Châu Âu.
Sự khác biệt giữa 3 loại chữ ký chủ yếu là mức độ bảo mật của mỗi loại và độ phức tạp của hệ thống xác minh danh tính người ký mà mỗi loại chữ ký sử dụng. Do đó, sức mạnh của chữ ký điện tử nằm ở mức độ tin cậy mà nó cung cấp đối với việc xác định người ký và có bằng chứng rằng tài liệu thực sự đã được ký.
Tuy nhiên, việc yêu cầu khách hàng sử dụng một hệ thống đòi hỏi nhiều bước phức tạp không phải luôn hữu ích khi chữ ký đơn giản hoặc nâng cao có thể đã có mức hiệu lực và bảo mật thích hợp.
SES đang được sử dụng rộng rãi nhất hiện nay. Ngày nay, phần lớn chữ ký điện tử trên thị trường được gọi là “đơn giản” vì chúng phù hợp hơn và cách sử dụng nhanh chóng, linh hoạt. SES phù hợp với yêu cầu về mức độ bảo mật và nhận dạng pháp lý đối với các tài liệu.
Không có danh sách thiết lập các yêu cầu cho loại chữ ký này. Do đó, người dùng có thể chỉ trong 2 cú nhấp chuột và không cần bất kỳ quy trình xác minh danh tính hoặc đồng ý cụ thể nào khi ký một tài liệu. Trong trường hợp này, người ký sẽ rất dễ chối bỏ việc mình đã ký. Theo định nghĩa này, một chữ ký được quét hoặc một chữ ký số cơ bản, chẳng hạn như chữ ký thực hiện trên thiết bị đầu cuối của người giao hàng, người mang bưu kiện chẳng hạn, được gọi là chữ ký đơn giản.
Tuy nhiên, quy trình SES có thể được củng cố và có giá trị pháp lý cao hơn nếu thêm một bước xác thực bổ sung, trong đó mã SMS mà người ký nhận được là yêu cầu xác minh cần thiết để ký tài liệu.
Tương tự, mặc dù không bắt buộc phải lưu giữ một dấu vết nào đối với các SES nhưng rõ ràng là việc tạo và lưu trữ, cũng như số lượng và chất lượng của các bằng chứng được thu thập sẽ cung cấp mức độ tin cậy cao hơn nhiều trong trường hợp có xảy ra tranh chấp.
Thông tin theo dõi và lưu trữ này có thể được tạo thành từ các yếu tố như địa chỉ email của người ký, số điện thoại, địa chỉ IP của máy tính được sử dụng để ký tài liệu,... Mục đích của danh sách các bằng chứng này là để cung cấp cho luật sư khả năng dễ dàng theo dõi các giai đoạn khác nhau của một giao dịch theo từng bước.
Ngay cả trong trường hợp của một SES, một số nhà cung cấp dịch vụ cũng tạo ra một tệp lưu trữ được đóng dấu tem thời gian cho mỗi vết và mỗi thủ tục chứa một tập hợp các dấu vết máy tính mà sẽ được lưu trữ trong nhiều năm tại một cơ quan lưu trữ của bên thứ ba được chứng nhận quốc tế.
AdES an toàn hơn, được khuyên dùng cho các giao dịch tài chính lớn hoặc để ký các tài liệu có giá trị pháp lý cao. Tuy nhiên, AdES phải đáp ứng các tiêu chí xác minh danh tính nghiêm ngặt nên có mức độ bảo mật cao và được quy định trong Quy định eIDAS.
Do đó, AdES phải đảm bảo được những điều kiện sau:
- Được liên kết duy nhất và rõ ràng với người ký;
- Cho phép người ký được xác định chính thức;
- Được tạo ra bằng các phương tiện dưới sự kiểm soát duy nhất của người ký, chẳng hạn như điện thoại hoặc máy tính cá nhân của họ;
- Đảm bảo rằng tài liệu đã ký không thể được sửa đổi.
Điều này có thể được thực hiện thông qua các giải pháp như tải lên và xác minh trực tiếp ID của người ký cũng như việc bổ sung ID của người đó vào một tệp lưu trữ. Việc thêm bằng chứng đồng ý của người ký, chẳng hạn như xác nhận của người ký về nội dung là chính xác, để cho thấy rằng tài liệu đã được hiểu đúng hoặc sao chép văn bản trước khi ký. Khi đó sẽ chứng minh sự tự nguyện ký vào tài liệu của người ký, trong trường hợp xảy ra kiện tụng. Tất cả các hệ thống xác minh danh tính và bằng chứng này có thể được kết hợp để củng cố thêm giá trị pháp lý của chữ ký.
Ngoài ra còn có một thủ tục chữ ký nâng cao với chứng thư đủ điều kiện mà yêu cầu xác minh trực tiếp (vật lý hoặc từ xa) danh tính của người ký và có thể được sử dụng trong các trường hợp cụ thể. Nó là giải pháp trung gian giữa chữ ký nâng cao và chữ ký đủ điều kiện.
QES là hình thức tiên tiến nhất của bảo mật chữ ký điện tử. Nó đặc biệt quan trọng và chỉ được sử dụng trong những trường hợp rất cụ thể khi cần phải có đủ điều kiện.
Từ quan điểm pháp lý, có một bước tiến lớn giữa chữ ký đủ điều kiện và chữ ký đơn giản hoặc nâng cao. QES có các ràng buộc quy định được xác định chính xác về danh tính của người ký và cách chữ ký được bảo vệ. Hiệu lực pháp lý của nó tương đương với chữ ký viết tay, trong khi các cấp độ khác của chữ ký điện tử có giá trị để làm chứng cớ. Do đó, nó được công nhận hợp pháp ở tất cả các Quốc gia thành viên của Liên minh Châu Âu.
Quy trình chữ ký điện tử được coi là đáng tin cậy khi nó sử dụng QES do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Các tổ chức chứng nhận này được kiểm soát bởi Văn phòng Ủy viên Thông tin (ICO - Information Commissioner’s Office) ở Vương quốc Anh và bởi các cơ quan tương đương ở mỗi quốc gia Châu Âu.
Quy trình chữ ký đủ điều kiện sử dụng các tiêu chí bảo mật tương tự như chữ ký nâng cao, nhưng yêu cầu danh tính của người ký phải được xác thực trước và chữ ký phải nằm trong thiết bị tạo chữ ký điện tử đủ điều. Trong khi việc xác minh danh tính trước đây yêu cầu một cuộc gặp thực tế, thì giờ đây nó có thể được thực hiện từ xa nếu đáp ứng các điều kiện nhất định.
Do đó, điều này có thể được thực hiện trong một cuộc gặp trực tiếp trong đó người ký sẽ được cấp một phương thức nhận dạng gọi là “token” (thẻ thông minh, khóa USB,...) cho phép tổ chức chứng nhận xác thực danh tính của người ký để ký các tài liệu sau khi nhập mã PIN cá nhân. Khóa mật mã này phải được bảo vệ cực kỳ chắc chắn và đáng tin cậy, do đó về mặt logic phải được lưu trữ ở một nơi an toàn. Nó sẽ được ICO xác minh và xác thực trước khi thiết bị được cấp chứng nhận.
Một giải pháp thay thế cho việc phân phối khóa mật mã là sử dụng HSM trong đám mây, cho phép hoạt động này được thực hiện từ xa với xác thực hai yếu tố của người ký sau khi yêu cầu chữ ký được kích hoạt, sau khi xác minh định danh vật lý trực tiếp (face to face).
Do đó, sự lựa chọn về loại chữ ký điện tử phải đảm bảo tính dễ sử dụng và bảo mật. Việc thực hiện thủ tục chữ ký đủ điều kiện chỉ nên được sử dụng trong các trường hợp cụ thể, vì thủ tục này đặc biệt phức tạp. Do đó, tùy thuộc vào người dùng để quyết định xem bảo mật có được ưu tiên hơn trải nghiệm người dùng hay không hay mức độ bảo mật đơn giản đã là quá đủ hay chưa.
Do đó, các chuyên gia khuyên nên chọn theo phương pháp gồm 3 bước sau:
- Bước 1: Phân tích bối cảnh pháp lý và quy định để xác định những ràng buộc và rủi ro liên quan đến việc sử dụng chữ ký điện tử cho trường hợp cụ thể của người dùng.
- Bước 2: Phân tích các loại rủi ro và cơ hội khác: hình ảnh công ty, tác động về mặt năng suất, cổ phần tài chính,...
- Bước 3: Sự lựa chọn cấp độ chữ ký điện tử, dung hòa trải nghiệm người dùng và các nhu cầu về bảo mật.
|
TÀI LIỆU THAM KHẢO 1. Matthieu Duault, Simple, advanced, and qualified electronic signature-What is the difference, https://yousign.com/blog/electronic-signature-simpleadvanced-qualified-what-difference. 2. Nadim Farah, What’s the Difference between Advanced and Qualied Signatures in eIDAS?, https://www.globalsign.com/en/blog/difference-between-eidas-advanced-and-qualified-electronic-signatures 3. John Erik Setsaas, What is the difference between Advanced and Qualified Electronic Signatures? (eIDAS AES and QES), https://www.signicat.com/resources/what-is-the-difference-between-aes-and-qes. 4. David McNeal, eIDAS Electronic Signatures: Qualified vs Advanced - When to choose what and why, https://www.cryptomathic.com/news-events/blog/eidas-electronic-signatures-qualified-vs-advanced-when-to-choose-what-and-why |
TS. Trần Duy Lai
16:00 | 03/09/2021
15:00 | 21/05/2020
14:00 | 03/04/2007
15:00 | 04/08/2023
Quy định về định danh điện tử và dịch vụ tin cậy (eIDAS) của Liên minh châu Âu (EU) được ban hành vào năm 2014 nhằm mục đích nâng cao lòng tin đối với các giao dịch điện tử trên thị trường nội khối, bằng cách cung cấp nền tảng pháp lý chung cho giao dịch điện tử đảm bảo an toàn giữa người dân, doanh nghiệp, cơ quan nhà nước và quốc tế trong thị trường nội khối. Từ đó tăng cường hiệu quả của các dịch vụ trực tuyến công và tư, kinh doanh điện tử và thương mại điện tử trong EU. Trong phần I của bài báo, tác giả sẽ giải thích rõ hơn về quy định eIDAS và sổ cái phân tán (Distributed Ledger Technology - DLT).
10:00 | 26/05/2023
Trong thời đại số, sự phát triển của các công nghệ như trí tuệ nhân tạo (Artificial Intelligence - AI), Metaverse, Web 3.0, tiền điện tử (Stablecoin), mạng xã hội, truyền thông 6G, Big data, Blockchain và Internet of Things (IoT) đang thúc đẩy sự thay đổi toàn diện về cách thức quản lý, trao đổi và sử dụng thông tin. Những công nghệ này đang trở thành những công cụ quan trọng để tạo ra những hệ thống thông tin an toàn, thông minh, hiệu quả và đáng tin cậy trong nhiều lĩnh vực. Trong giới hạn nội dung bài báo này, tác giả sẽ giới thiệu về xu hướng kết hợp công nghệ Blockchain với công nghệ IoT và AI trong tương lai gần để tạo ra những giải pháp, sản phẩm khoa học công nghệ mới cho thế giới kỹ thuật số.
07:00 | 06/03/2023
Tính đến ngày 23/2, đã có hơn 178 triệu hồ sơ đồng bộ trạng thái xử lý trên Cổng Dịch vụ công Quốc gia, hơn 78 triệu thẻ căn cước công dân gắn chip điện tử đã được cấp cho công dân.
07:00 | 15/09/2022
Chủ thể danh tính điện tử là cơ quan, tổ chức, công dân Việt Nam không phải thanh toán chi phí đăng ký cấp tài khoản định danh điện tử và chi phí sử dụng tài khoản định danh điện tử do hệ thống định danh và xác thực điện tử tạo lập. Đây là một trong những nội dung tại Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử vừa được Thủ tướng Chính phủ Phạm Minh Chính ký ban hành.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024
