BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “ NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” Thuộc đề tài : “Nghiên cứu số vấn đề kỹ thuật, công nghệ chủ yếu thương mại điện tử triển khai thử nghiệm - mã số KC.01.05” 5095-1 14/9/2006 Hà nội, thỏng nm 2004 nội dung Chơng 1: Các hiểm hoạ an toàn thơng mại điện tử .4 1.1 Giíi thiƯu .4 1.2 Các hiểm hoạ sở hữu trí tuệ .7 1.3 C¸c hiểm hoạ thơng mại điện tử Ch−¬ng 2: Thùc thi an toàn cho thơng mại điện tử 20 2.1 Bảo vệ tài sản thơng mại điện tử 20 2.2 Bảo vệ sở hữu trí tuệ .21 2.3 Bảo vệ máy khách 22 2.4 Bảo vệ kênh thơng mại điện tử .27 2.5 Đảm bảo tính toàn vẹn giao dÞch 36 2.6 Bảo vệ máy chủ thơng mại 39 2.7 Tãm t¾t 41 Ch−¬ng 3: Mét sè kü thuËt an toàn áp dụng cho thơng mại điện 43 3.1 MËt m· ®èi xøng 43 3.2 Mật mà khoá công khai 45 3.3 Xác thực thông báo hàm băm 60 3.4 Ch÷ ký sè 71 Chơng 4: Chứng điện tử 79 4.1 Giíi thiệu chứng khoá công khai 79 4.2 Quản lý cặp khoá công khai khoá riêng 85 4.3 Phát hành chứng 89 4.4 Ph©n phèi chøng chØ 92 4.5 Khuôn dạng chứng X.509 .94 4.6 ViÖc thu håi chøng chØ 107 4.7 CRL theo X.509 114 4.8 Cặp khoá thời hạn hợp lệ cña chøng chØ 121 4.9 Chøng thùc th«ng tin ủ qun 123 4.10 Tãm t¾t 128 Chơng 5: Cơ sở Hạ tầng khoá c«ng khai .131 5.1 Các yêu cầu 131 5.2 C¸c cÊu tróc quan hƯ cđa CA 132 5.3 C¸c chÝnh s¸ch cña chøng chØ X.509 145 5.4 Các ràng buộc tên X.509 .150 5.5 T×m đờng dẫn chứng thực phê chuẩn .152 5.6 Các giao thức quản lý chøng chØ 154 5.7 Ban hµnh luËt 155 Ch÷ ký điện tử hoạt động thơng mại điện tử .156 Phần A: Cơ sở công nghệ cho chữ ký số .170 Phần B: Cơ sở pháp lý cho ch÷ ký sè .195 Các vấn đề lý thuyết Trong phần trình bầy vần đề lý thuyết phục vụ cho việc xây dựng giải pháp an toàn TMĐT trình bầy phần Chơng 1: Các hiểm hoạ an toàn thơng mại ®iƯn tư 1.1 Giíi thiƯu Khi Internet míi ®êi, th tín điện tử ứng dụng phỉ biÕn nhÊt cđa Internet Tõ cã th− tÝn điện tử, ngời ta thờng lo lắng đặt vấn đề nghi ngờ, th điện tử bị đối tợng (chẳng hạn, đối thủ cạnh tranh) chặn đọc công ngợc trở lại hay không? Ngày nay, mối hiểm hoạ lớn Internet ngày phát triển cách mµ chóng ta cã thĨ sư dơng nã cịng thay ®ỉi theo Khi mét ®èi thđ c¹nh tranh cã thĨ truy nhập trái phép vào thông báo thông tin số, hậu nghiêm trọng nhiều so với trớc Trong thơng mại điện tử mối quan tâm an toàn thông tin phải đợc đặt lên hàng đầu Một quan tâm điển hình ngời tham gia mua bán Web số thẻ tín dụng họ có khả bị lộ đợc chuyển mạng hay không Từ 30 năm trớc xảy điều tơng tự mua bán sử dụng thẻ tín dụng thông qua điện thoại: Tôi tin cậy ngời ghi lại số thẻ tín dụng đầu dây bên hay không? Ngày nay, khách hàng thờng đa số thẻ tín dụng thông tin khác họ thông qua điện thoại cho ngời xa l¹, nh−ng nhiỊu ng−êi sè hä l¹i e ngại làm nh qua máy tính Trong phần này, xem xét vấn đề an toàn phạm vi thơng mại điện tử đa nhìn tổng quan nh giải pháp thời An toàn máy tính: Chính việc bảo vệ tài sản không bị truy nhập, sử dụng, phá huỷ trái phép có hai kiĨu an toµn chung: vËt lý vµ logic An toµn vật lý bao gồm việc bảo vệ thiết bị (ví dụ nh báo động, ngời canh giữ, cửa chống cháy, hàng rào an toàn, tủ sắt hầm bí mật nhà chống bom) Việc bảo vệ tài sản không sử dụng biện pháp bảo vệ vật lý gọi an toàn logic Bất kỳ hoạt động đối tợng gây nguy hiểm cho tài sản máy tính đợc coi nh hiểm hoạ Biện pháp đối phó: Đây tên gọi chung cho thủ tục (có thể vật lý logic) phát hiện, giảm bớt loại trừ hiểm hoạ Các biện pháp đối phó thờng biến đổi, phụ thuộc vào tầm quan trọng tài sản rủi ro Các hiểm hoạ bị coi rủi ro thấp xảy đợc bỏ qua, chi phí cho việc bảo vệ chống lại hiểm hoạ vợt giá trị tài sản cần đợc bảo vệ Ví dụ, tiến hành bảo vệ mạng máy tính xảy trận bÃo thành phố Okalahoma, nơi thờng xuyên xảy trận bÃo, nhng không cần phải bảo vệ mạng máy tính nh Los Angeles, nơi xảy trận bÃo Mô hình quản lý rủi ro đợc trình bày hình 1.3, có hoạt động chung mà bạn tiến hành, phụ thuộc vào chi phí khả xảy hiểm hoạ vật lý Trong mô hình này, trận bÃo Kansas Okalahoma nằm góc phần t thứ 2, trận bÃo nam California nằm góc phần t thứ Khả xảy lớn Tác động thấp (chi phí) I Kiểm soát III Bỏ qua II Ngăn chặn IV Tác động cao (chi phí) Kế hoạch bảo hiểm/dự phòng Khả xảy thấp Hình 1.3 Mô hình quản lý rủi ro Kiểu mô hình quản lý rủi ro tơng tự áp dụng cho bảo vệ Internet tài sản thơng mại điện tử khỏi bị hiểm hoạ vật lý điện tử Ví dụ, đối tợng mạo danh, nghe trộm, ăn cắp Đối tợng nghe trộm ngời thiết bị có khả nghe trộm chép truyền Internet Để có lợc đồ an toàn tốt, bạn phải xác định rủi ro, định nên bảo vệ tài sản tính toán chi phí cần sử dụng để bảo vệ tài sản Trong phần sau, tập trung vào việc bảo vệ, quản lý rủi ro không tập trung vào chi phí bảo vệ giá trị tài sản Chúng ta tập trung vào vấn đề nh xác định hiểm hoạ đa cách nhằm bảo vệ tài sản khỏi bị hiểm hoạ Phân loại an toàn máy tính Các chuyên gia lĩnh vực an toàn máy tính trí cần phân loại an toàn máy tính thành loại: loại đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn (integrity) loại bảo đảm tính sẵn sàng (necessity) Trong đó: Tính bí mật ngăn chặn việc khám phá trái phép liệu đảm bảo xác thực nguồn gốc liệu Tính toàn vẹn ngăn chặn sửa đổi trái phép liệu Tính sẵn sàng ngăn chặn, không cho phép làm trễ liệu chống chối bỏ Giữ bí mật biện pháp an toàn máy tính đợc biết đến nhiều Hàng tháng, tờ báo đa nhiều viết nói vụ công ngân hàng sử dụng trái phép số thẻ tín dụng bị đánh cắp để lấy hàng hoá dịch vụ Các hiểm hoạ tính toàn vẹn không đợc đa thờng xuyên nh− trªn, nªn nã Ýt quen thc víi mäi ng−êi Ví dụ công toàn vẹn, chẳng hạn nh nội dung thông báo th điện tử bị thay đổi, khác hẳn với nội dung ban đầu có vài ví dụ hiểm hoạ tính sẵn sàng, xảy thờng xuyên Việc làm trễ thông báo phá huỷ hoàn toàn thông báo gây hậu khó lờng Ví dụ, bạn gửi thông báo th tín điện tử lúc 10 sáng tới E*Trade, công ty giao dịch chứng khoán trực tuyến, đề nghị họ mua 1.000 cổ phiếu IBM thị trờng Nhng sau đó, ngời môi giới mua bán cổ phiếu thông báo nhận đợc thông báo bạn sau 30 phút chiều (một đối thủ cạnh tranh đà làm trễ thông báo) giá cổ phiếu lúc đà tăng lên 15% thời gian chuyển tiếp Bản quyền sở hữu trí tuệ Quyền quyền bảo vệ sở hữu trí tuệ vấn đề cần đến an toàn, chúng đợc bảo vệ thông qua biện pháp khác Bản quyền việc bảo vệ sở hữu trí tuệ thực thể lĩnh vực Sở hữu trí tuệ chủ sở hữu ý tởng kiểm soát việc biểu diễn ý tởng dới dạng ảo thực Cũng giống với xâm phạm an toàn máy tính, xâm phạm quyền gây thiệt hại Tuy nhiên, không giống với lỗ hổng an toàn máy tính Tại Mỹ, luật quyền đà đời từ năm 1976 có nhiều trang Web đa thông tin quyền Chính sách an toàn an toàn tích hợp Để bảo vệ tài sản thơng mại điện tử mình, tổ chức cần có sách an toàn phù hợp Một sách an toàn tài liệu công bố tài sản cần đợc bảo vệ phải bảo vệ chúng, ngời phải chịu trách nhiệm cho việc bảo vệ này, hoạt động đợc chấp nhận hoạt động không đợc chấp nhận Phần lớn sách an toàn đòi hỏi an toàn vật lý, an toàn mạng, quyền truy nhập, bảo vệ chống lại virus khôi phục sau thảm hoạ Chính sách phải đợc phát triển thờng xuyên tài liệu sống, công ty văn phòng an toàn phải tra cứu cập nhật thờng xuyên hay định kỳ, thông qua Để tạo sách an toàn, phải việc xác định đối tợng cần phải bảo vệ (ví dụ, bảo vệ thẻ tín dụng khỏi bị đối tợng nghe trộm) Sau đó, xác định ngời có quyền truy nhập vào phần hệ thống Tiếp theo, xác định tài nguyên có khả bảo vệ tài sản đà xác định trớc Đa thông tin mà nhóm phát triển sách an toàn đòi hỏi Cuối cùng, uỷ thác tài nguyên phần mềm phần cứng tự tạo mua lại, rào cản vật lý nhằm thực sách an toàn.Ví dụ, sách an toàn rằng, không đợc phép truy nhập trái phép vào thông tin khách hàng thông tin nh số thẻ tín dụng, khái lợc tín dụng, phải viết phần mềm đảm bảo bí mật từ đầu tới đầu (end to end) cho khách hàng thơng mại điện tử mua phần mềm (các chơng trình giao thức) tuân theo sách an toàn Để đảm bảo an toàn tuyệt đối khó, chí không thể, tạo rào cản đủ để ngăn chặn xâm phạm An toàn tích hợp việc kết hợp tất biện pháp với nhằm ngăn chặn việc khám phá, phá huỷ sửa đổi trái phép tài sản Các yếu tố đặc trng sách an toàn gồm: Xác thực: Ai ngời cố gắng truy nhập vào site thơng mại điện tử? Kiểm soát truy nhập: Ai ngời đợc phép đăng nhập vào site thơng mại điện tử truy nhập vào nó? Bí mật: Ai ngời đợc phép xem thông tin có chọn lọc? Toàn vẹn liệu: Ai ngời đợc phép thay đổi liệu ngời không đợc phép thay đổi liệu? Kiểm toán: Ai ngời gây biÕn cè, chóng lµ biÕn cè nh− thÕ nµo vµ xảy nào? Trong phần này, tập trung vào vấn đề áp dụng sách an toàn vào thơng mại điện tử nh Tiếp theo, tìm hiểu hiểm hoạ thông tin số, hiểm hoạ sở hữu trí tuệ 1.2 Các hiểm hoạ sở hữu trí tuệ Các hiểm hoạ sở hữu trí tuệ vấn đề lớn chúng đà tồn trớc Internet đợc sử dụng rộng rÃi Việc sử dụng tài liệu có sẵn Internet mà không cần cho phép chủ nhân dễ dàng Thiệt hại từ việc xâm phạm quyền khó ớc tính so với thiệt hại xâm phạm an toàn lên tính bí mật, toàn vẹn hay sẵn sàng (nh đà trình bày trên) Tuy nhiên, thiệt hại nhỏ Internet có mục tiêu riêng hấp dẫn với hai lý Thø nhÊt, cã thĨ dƠ dµng chép có đợc thứ tìm thấy Internet, không cần quan tâm đến ràng buộc quyền Thứ hai, nhiều ngời ý thức ràng buộc quyền, ràng buộc quyền bảo vệ sở hữu trí tuệ Các ví dụ việc ý thức cố tình xâm phạm quyền xảy hàng ngày Internet Hầu hết chuyên gia trí rằng, xâm phạm quyền Web xảy ngời ta không đợc chép Hầu hết ngời không chủ tâm chép sản phẩm đà đợc bảo vệ gửi Web Mặc dù luật quyền đà đợc ban bố trớc Internet hình thành, Internet đà làm rắc rối ràng buộc quyền nhà xuất Nhận việc chép trái phép văn dễ dàng, không cho phép sử dụng trái phép tranh trang Web việc khó khăn Trung tâm Berkman Internet xà hội trờng luật Harvard đà giới thiệu khoá học có tiêu đề "Sở hữu trí tuệ không gian máy tính" The Copyright Website giải vấn đề quyền, gửi nhóm tin sử dụng không gian lận Sử dụng không gian lận cho phép sử dụng giới hạn tài liệu quyền sau thoả mÃn số điều kiện Trong vài năm trở lại đây, xảy tranh chấp quyền sở hữu trí tuệ tên miền Internet Các án đà phải giải nhiều trờng hợp xoay quanh hoạt động Cybersquatting Cybersquatting hoạt động đăng ký tên miền, đăng ký nhÃn hiệu cá nhân hay công ty khác ngời chủ sở hữu trả số lợng lớn đôla để có đợc địa URL 1.3 Các hiểm hoạ thơng mại điện tử Có thể nghiên cứu yêu cầu an toàn thơng mại điện tử cách kiểm tra toàn quy trình, bắt đầu với khách hàng kết thúc với máy chủ thơng mại Khi cần xem xét liên kết logic "dây chuyền thơng mại", tài sản phải đợc bảo vệ nhằm đảm bảo thơng mại điện tử an toàn, bao gồm máy khách, thông báo đợc truyền kênh truyền thông, máy chủ Web máy chủ thơng mại, gồm phần cứng gắn với máy chủ Khi viễn thông tài sản cần đợc bảo vệ, liên kết viễn thông không mối quan tâm an toàn máy tính an toàn thơng mại điện tử Ví dụ, liên kết viễn thông đợc thiết lập an toàn nhng biện pháp an toàn cho máy khách máy chủ Web, máy chủ thơng mại, chắn không tồn an toàn truyền thông Một ví dụ khác, máy khách bị nhiễm virus thông tin bị nhiễm virus đợc chuyển cho máy chủ thơng mại máy chủ Web Trong trờng hợp này, giao dịch thơng mại an toàn chừng yếu tố cuối an toàn, máy khách Các mục trình bày bảo vệ máy khách, bảo vệ truyền thông Internet bảo vệ máy chủ thơng mại điện tử Trớc hết xem xét hiểm hoạ máy khách Các mối hiểm hoạ máy khách Cho đến biểu diễn đợc nội dung Web, trang Web chủ yếu trạng thái tĩnh Thông qua ngôn ngữ biểu diễn siêu văn HTML (ngôn ngữ mô tả trang Web chuẩn), trang tĩnh dạng động phần không đơn hiển thị nội dung cung cấp liên kết trang Web với thông tin bổ xung Việc sử dụng rộng rÃi nội dung động (active content) đà dẫn ®Õn ®iỊu nµy Khi nãi ®Õn active content, ng−êi ta muốn nói đến chơng trình đợc nhúng vào trang Web cách suốt tạo hoạt động Active content hiển thị hình ảnh động, tải phát lại âm thanh, thực chơng trình bảng tính dựa vào Web Active content đợc sử dụng thơng mại điện tử để đặt khoản mục mà muốn mua thẻ mua hàng tính toán tổng số hoá đơn, bao gồm thuế bán hàng, chi phí vận chuyển đờng thuỷ chi phí xử lý Các nhà phát triển nắm lấy active content tận dụng tối đa chức HTML bổ xung thêm sống động cho trang Web Nó giảm bớt gánh nặng cho máy chủ phải xử lý nhiều liệu gánh nặng đợc chuyển bớt sang cho máy khách nhàn rỗi ngời sử dụng Active content đợc cung cấp theo số dạng Các dạng active content đợc biết đến nhiều nhÊt lµ applets, ActiveX controls, JavaScript vµ VBScript JavaScript VBScript cho script (tập lệnh) lệnh thực đợc, chúng đợc gọi ngôn ngữ kịch VBScript tập ngôn ngữ lập trình Visual Basic Microsoft, công cụ biên dịch nhanh gọn mềm dẻo sử dụng trình duyệt Web ứng dụng khác có sử dụng Java applets ActiveX controls Microsoft Applet chơng trình nhỏ chạy chơng trình khác không chạy trực tiếp máy tính Điển hình applet chạy trình duyệt Web Còn có cách khác để cung cấp active content, nhng chúng không phổ biến với nhiều ngời, chẳng hạn nh trình Graphics trình duyệt Web plug-ins Các tệp Graphics chứa lệnh ẩn đợc nhúng kèm Các lệnh đợc thực máy khách chúng đợc tải Các chơng trình công cụ biên dịch thực lệnh đợc tìm thấy chơng trình Graphics, số khuôn dạng khác tạo lệnh lợi (ẩn lệnh graphics) chúng đợc thực Plugins chơng trình biên dịch thực lệnh, đợc nhúng vào hình ảnh tải về, âm đối tợng khác Active content cho trang Web khả thực hoạt động Ví dụ, nút nhấn kích hoạt các chơng trình đợc nhúng kèm để tính toán hiển thị thông tin gửi liệu từ máy khách sang máy chủ Web Active content mang lại sống động cho trang Web tĩnh Active content đợc khởi chạy nh nào? Đơn giản, bạn cần sử dụng trình duyệt Web xem trang Web có chứa active content Applet tự động tải về, song song với trang mà bạn xem bắt đầu chạy máy tính bạn Điều làm nảy sinh vấn đề Do mođun active content đợc nhúng vào trang Web, chúng suốt hoàn toàn ngời xem duyệt trang Web chứa chúng Bất kỳ cố tình gây hại cho máy khách nhúng active content gây hại vào trang Web Kỹ thuật lan truyền đợc gọi ngựa thành Tơroa, thực gây hoạt động bất lợi Con ngựa thành Tơroa chơng trình ẩn chơng trình khác trang Web Con ngựa thành Tơroa thâm nhập vào máy tính bạn gửi thông tin bí mật ngợc trở lại cho máy chủ Web cộng tác (một hình thức xâm phạm tính bí mật) Nguy hiểm hơn, chơng trình sửa đổi xoá bỏ thông tin máy khách (một hình thức xâm phạm tính toàn vẹn) Việc đa active content vào trang Web thơng mại điện tử gây số rủi ro Các chơng trình gây hại đợc phát tán thông qua c¸c trang Web, cã thĨ ph¸t hiƯn sè thẻ tín dụng, tên ngời dùng mật Những thông tin thờng đợc lu giữ file đặc biệt, file đợc gọi cookie Các cookie đợc sử dụng để nhớ thông tin yêu cầu khách hàng, tên ngời dùng mật Nhiều active content gây hại lan truyền thông qua cookie, chúng phát đợc nội dung file phía máy khách, chí huỷ bỏ file đợc lu giữ c¸c m¸y kh¸ch VÝ dơ, mét virus m¸y tÝnh đà phát đợc danh sách địa th tín điện tử ngời sử dụng gửi danh sách cho ngời khác Internet Trong trờng hợp này, chơng trình gây hại giành đợc đầu vào (entry) thông qua th tín điện tử đợc truy nhập từ Web trình duyệt Cũng có nhiều ngời không thích lu giữ cookie máy tính họ Trên máy tính cá nhân có lu số lợng lớn cookie giống nh Internet số cookie chứa thông tin nhạy cảm mang tính chất cá nhân Có nhiều chơng trình phần mềm miễn phí giúp nhận dạng, quản lý, hiển thị loại bỏ cookie.Ví dơ, Cookie Crusher (kiĨm so¸t c¸c cookie tr−íc chóng đợc lu giữ ổ cứng máy tính) Cookie Pal Các mối hiểm hoạ kênh truyền thông Internet đóng vai trò kết nối khách hàng với tài nguyên thơng mại điện tử (máy tính dịch vụ thơng mại) Chúng ta đà xem xét hiểm hoạ máy khách, tài nguyên kênh truyền thông, kênh đợc sử dụng để kết nối máy khách máy chủ Internet đà an toàn Ban đầu mạng dùng quân Mạng DARPA đợc xây dựng để cung cấp truyền thông không an toàn nhiều đờng truyền thông bị cắt Nói cách khác, mục đích ban đầu cung cấp số đờng dẫn luân phiên để gửi thông tin quân thiết yếu Dự tính, thông tin nhạy cảm đợc gửi theo dạng đà đợc mà hoá, thông báo chuyển mạng đợc giữ bí mật chống lấy trộm Độ an toàn thông báo chuyển mạng có đợc thông qua phần mềm chuyển đổi thông báo sang dạng chuỗi ký tự khó hiểu ngời ta gọi chúng văn mà Ngày nay, tình trạng không an toàn Internet tồn Các thông báo Internet đợc gửi theo đờng dẫn ngẫu nhiên, từ nút nguồn tới nút đích Các thông báo qua số máy tính trung gian mạng trớc tới đích cuối lần đi, chúng theo tuyến đờng khác Không có đảm bảo tất máy tính mà thông báo qua Internet tin cậy, an toàn không thù địch Bạn biết rằng, thông báo đợc gửi ®i tõ Manchester, England tíi Cairo, Egypt cho mét th−¬ng gia qua máy tính đối tợng cạnh tranh, chẳng hạn Beirut, Lebanon Vì kiểm soát đợc đờng dẫn đợc gói thông báo đâu, đối tợng trung gian đọc thông báo bạn, sửa đổi, chí loại bỏ hoàn toàn thông báo khỏi Internet Do vậy, thông báo đợc gửi mạng đối tợng có khả bị xâm phạm đến tính an toàn, tính toàn vẹn tính sẵn sàng Chúng ta xem xét chi tiết mối hiểm hoạ an toàn kênh Internet dựa vào phân loại Các mối hiểm hoạ tính bí mật Đe doạ tính bí mật mối hiểm hoạ hàng đầu vµ rÊt phỉ biÕn KÕ tiÕp theo tÝnh bÝ mËt tính riêng t Tính bí mật tính riêng t hai vấn đề khác Đảm A/CN.9/465, đoạn 62-82; A/CN.9/WG.IV/WP.82, đoạn 42-44; A/CN.9/457, đoạn 48-52; A/CN.9/WG.IV/WP.80, đoạn 11-12; Mục 7: Thoả mn mục (1) [Mọi ngời, quan, công cộng cá nhân, đợc xác định phạm vi nớc ban hành luật] định loại chữ ký điện tử thoả mÃn điều khoản mục (2) Mọi định đợc đa đoạn (1) nên phù hợp với chuẩn Quốc tế đợc công nhận (3) Không có điều mục ảnh hởng đến việc sử dụng quy tắc t pháp Quốc tế Xác định trớc tình trạng chữ ký điện tử 132 Mục trình bày vai trò nớc ban hành luật việc thiết lập, công nhận thực thể phê chuẩn việc sử dụng chữ ký điện tử, chứng nhận chất l−ỵng cđa chóng Gièng nh− mơc 6, mơc dùa vào quan niệm đợc yêu cầu để tạo điều kiện phát triển thơng mại điện tử chắn khẳng định trớc, thời điểm đối tác thơng mại sử dụng kỹ thuật chữ ký điện tử, thời điểm tranh cÃi trớc Khi kỹ thuật chữ ký đáp ứng yêu cầu an toàn tin cậy mức độ cao, nên có phơng tiện để đánh giá khía cạnh kỹ thuật tin cậy an toàn; đồng thời tuỳ thuộc vào dạng kỹ thuật chữ ký đợc công nhận Mơc ®Ých cđa mơc 133 Mơc ®Ých cđa mơc làm sáng tỏ: Nớc ban hành luật thiết kế tổ chức, quan có quyền định công nghệ có lợi từ quy tắc đợc thiết lập mục Mục điều khoản thiết lập tất yếu mà nớc ban hành luật ban hành Tuy nhiên, truyền đạt thông báo rõ ràng: tính chắn khẳng định trớc đạt đợc, cách xác định kỹ thuật chữ ký điện tử thoả mÃn tiêu chuẩn tin cậy mục 6, định đợc đa phù hợp với chuẩn Quốc tế Không nên làm sáng tỏ mục quy định hiệu lực pháp lý bắt buộc sử dụng kiểu kỹ thuật chữ ký đó, giới hạn sử dụng công nghệ cho kỹ thuật để đáp ứng yêu cầu độ tin cậy mục Ví dụ, thành viên đợc tự sử dụng kỹ thuật không thoả mÃn mục 6, mà họ chấp thuận thực Họ đợc tự trình bày, trớc trọng tài phân xử, phơng pháp chữ ký mà họ chọn để sử dụng thoả mÃn yêu cầu mục Đoạn (1) 134 Đoạn (1) trình bày rõ: thực thể phê chuẩn việc sử dụng chữ ký điện tử, chứng nhận chất lợng chúng, không thiết phải quan nhà nớc Không nên xem đoạn (1) khuyến nghị phơng tiện đạt đợc công nhận công nghệ chữ ký dành cho nớc, báo giới hạn nên áp dụng nớc mong muốn thông qua hớng tiếp cận Đoạn (2) 135 Với đoạn (2), khái niệm "chuẩn" không nên bị giới hạn chuẩn tổ chức nh Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) Tổ công tác kỹ thuật Internet (IETF) phát triển, chuẩn kỹ thuật khác Từ "các chuẩn" nên đợc làm sáng tỏ với nghĩa rộng hơn, bao gồm hoạt động công nghiệp sử dụng thơng mại, văn tổ chức Quốc tế nh Phòng Thơng mại Quốc tế, thực thể tín dụng địa phơng hoạt động dới bảo hộ ISO (xem A/CN.9/484, đoạn 66), Tập đoàn mạng giới (W3C) UNCITRAL (bao gồm Luật mẫu Thơng mại điện tử Luật mẫu Chữ ký điện tử UNCITRAL) Không nên để tình trạng thiếu vắng chuẩn liên quan cản trở cá nhân, quan có thẩm quyền đa định đợc đa đoạn (1) Với chuẩn "đợc công nhận", câu hỏi đợc đặt "sự công nhận" đợc hình thành từ đòi hỏi công nhận (xem A/CN.9/465, đoạn 94) Câu hỏi đợc thảo luận mục 12 (xem đoạn 159 dới đây) Đoạn (3) 136 Đoạn (3) giải thích rõ ràng mục đích mục không can thiệp vào việc sử dụng quy tắc t pháp Quốc tế (xem A/CN.9/467, đoạn 94) Nếu thiếu điều khoản này, mục đợc làm sáng tỏ khuyến khích nớc ban hành luật đối xử phân biệt với chữ ký điện tử nớc khác, sở không tuân theo quy tắc đợc cá nhân quan liên quan thiết lập đoạn (1) Các tài liệu tham khảo UNCITRAL A/CN.9/484, đoạn 64-66; A/CN.9/WG.IV/WP.88, phụ lục, đoạn 127-131; A/CN.9/467, đoạn 90-95; A/CN.9/WG.IV/WP.84, đoạn 49-51; A/CN.9/465, đoạn 90-98; A/CN.9/WG.IV/WP.82, đoạn 46; A/CN.9/457, đoạn 48-52; A/CN.9/WG.IV/WP.80, đoạn 15 Mục 8: Hớng dẫn ngời ký (1) Khi liệu tạo chữ ký đợc sử dụng để tạo chữ ký có hiệu lực pháp lý, ngời ký nên: (a) Quan tâm cách hợp lý nhằm tránh việc sử dụng trái phép liệu tạo chữ ký (b) Không đợc chậm trễ, thông báo cho đối tợng tin cậy vào ngời ký cung cấp dịch vụ hỗ trợ chữ ký điện tử khi: (i) Ngời ký biết liệu tạo chữ ký bị lộ; (ii) Ngời ký đợc biết đà gây rủi ro đáng kể liệu tạo chữ ký bị lộ; (c) Khi chứng đợc sử dụng để hỗ trợ chữ ký điện tử, ngời ký cần quan tâm hợp lý để đảm bảo tính xác đầy đủ tất biểu diễn cần thiết ngời ký đa ra, liên quan tới chứng suốt thời gian tồn nó, biĨu diƠn n»m chøng chØ (2) Ng−êi ký cÇn phải chịu trách nhiệm pháp lý không thực yêu cầu đoạn (1) Tiêu đề 137 Ban đầu, mục (và mục 9, 11) dự định bao gồm quy tắc nghĩa vụ trách nhiệm pháp lý thành viên khác (ngời ký, thành viên tin cậy nhà cung cấp dịch vụ chứng thực) Tuy nhiên, thay đổi nhanh chóng làm ảnh hởng đến khía cạnh kỹ thuật thơng mại thơng mại điện tử, đồng thời, vai trò tự điều chỉnh lĩnh vực thơng mại điện tử nhiều nớc, việc trí nội dung quy tắc gặp khó khăn Các mục đợc soạn thảo, bao gồm tối thiểu "quy tắc hớng dẫn" thành viên Chẳng hạn, mục Hớng dẫn nhà cung cấp dịch vụ chứng thực (xem đoạn 144 dới đây) Luật mẫu ủng hộ giải pháp liên kết nghĩa vụ (đợc thiết lập mục 9) với việc tạo chữ ký điện tử hợp pháp (xem A/CN.9/483, đoạn 117) Nguyên tắc ngời ký phải chịu trách nhiệm pháp lý không thực yêu cầu đoạn (1) đợc thiết lập đoạn (2); ra, ngời ký phải chịu trách nhiệm pháp lý không tôn trọng quy tắc hớng dẫn luật áp dụng, Luật mẫu (xem đoạn 141 dới đây) Đoạn (1) 138 Các đoạn nhỏ (a) (b) đợc áp dụng chung cho tất chữ ký điện tử, đoạn nhỏ (c) đợc áp dụng cho chữ ký điện tử có chứng hỗ trợ Nói riêng, nghĩa vụ đoạn (1)(a) nghĩa vụ bản, thờng có thoả thuận sử dụng thẻ tín dụng Theo sách đợc phê chuẩn đoạn (1), nghĩa vụ nên đợc áp dụng cho liệu tạo chữ ký Tuy nhiên, điều khoản thay đổi thông qua thoả thuận mục cho phép thay đổi chuẩn (đợc thiết lập mục 8) lĩnh vực bị coi không phù hợp, gây hậu khó lờng 139 Đoạn (1)(b) đa khái niệm "ngời tin cậy vào ngời ký cung cấp dịch vụ hỗ trợ chữ ký điện tử" Tuỳ thuộc vào công nghệ đợc sử dụng, "thành viên tin cậy" không ngời tìm kiếm tin cậy vào chữ ký, mà nhà cung cấp dịch vụ chứng thực, nhà cung cấp dịch vụ thông báo tình trạng thu hồi chứng thành viên liên quan khác 140 Đoạn (1)(c) áp dụng chứng đợc sử dụng để hỗ trợ liệu tạo chữ ký "Thời hạn tồn tại" chứng đợc làm sáng tỏ rộng hơn, bao trùm lên khoảng thời gian bắt đầu xin cấp chứng chỉ, tạo chứng với khoảng thời gian hết hạn huỷ bỏ chứng Đoạn (2) 141 Đoạn (2) không xác định hậu quả, giới hạn trách nhiệm pháp lý, hai luật Quốc gia Tuy nhiên, đoạn (2) xác định rõ, nớc ban hành luật phải chịu trách nhiệm pháp lý không tuân theo yêu cầu nghĩa vụ đoạn (1) Đoạn (2) dựa vào kết luận Nhóm làm việc đa phiên họp thứ 35, gặp khó khăn tìm kiếm trí hậu phát sinh từ việc ngời ký vi phạm trách nhiệm pháp lý Đoạn (2) thiết lập nguyên tắc: ngời ký nên chịu trách nhiệm pháp lý không thực yêu cầu đoạn (1) luật áp dụng khác Luật mẫu nớc ban hành luật giải hậu pháp lý (xem A/CN.9/465, đoạn 108) Các tài liệu tham khảo UNCITRAL A/CN.9/484, đoạn 67-69; A/CN.9/WG.IV/WP.88, phụ lục, đoạn 132-136; A/CN.9/467, đoạn 96-104; A/CN.9/WG.IV/WP.84, đoạn 52-53; A/CN.9/465, đoạn 99-108; A/CN.9/WG.IV/WP.82, đoạn 50-55; A/CN.9/457, đoạn 65-98; A/CN.9/WG.IV/WP.80, đoạn 18-19 Mục 9: Hớng dẫn nhà cung cấp dịch vụ chứng thực (1) Khi nhà cung cấp dịch vụ chứng thực cung cấp dịch vụ nhằm hỗ trợ chữ ký điện tử, muốn chữ ký có hiệu lực hợp pháp nh chữ ký, nhà cung cấp dịch vụ chứng thực nên: (a) Hoạt động phù hợp với biểu diễn sách hoạt động nhà cung cấp đa ra; (b) Quan tâm hợp lý nhằm đảm bảo tính xác đầy đủ tất biểu diễn cần thiết nhà cung cấp đa ra, liên quan tíi chøng chØ st thêi gian tån t¹i cđa nó, biểu diễn nằm chứng (c) Cung cấp phơng tiện có khả truy nhập đợc, cho phép thành viên tin cậy xác định từ chứng chỉ: (i) Nhận dạng nhà cung cấp dịch vụ chứng thực; (ii) Ngời ký (đợc nhận dạng chứng chỉ) kiểm soát đợc liệu tạo chữ ký thời điểm chứng đợc phát hành; (iii) Dữ liệu tạo chữ ký hợp lệ thời điểm trớc thời điểm chứng đợc phát hành; (d) Cung cấp phơng tiện có khả truy nhập đợc, cho phép thành viên tin cậy xác định từ chứng chỉ, cách khác: (i) Phơng pháp đợc sử dụng để nhận dạng ngời ký; (ii) Mọi giới hạn mục đích giá trị liệu tạo chữ ký chứng đợc sử dụng; (iii) Dữ liệu tạo chữ ký hợp lệ không bị lộ; (iv) Mọi giới hạn phạm vi mức trách nhiệm pháp lý mà nhà cung cấp dịch vụ chứng thực đặt ra; (v) Phơng tiện mà ngời ký sử dụng để đa thông báo theo mục (1) (b); (vi) Dịch vụ thu hồi đợc đa lúc; (e) Đa dịch vụ theo (d) (v), cung cấp cho ngời ký phơng tiện thông báo theo mục (1) (b) đa dịch vụ theo (d) (vi), đảm bảo tính sẵn sàng dịch vụ thu hồi lúc; (f) Sử dụng nguồn tài nguyên hệ thèng, thđ tơc vµ ng−êi tin cËy thùc dịch vụ (2) Nhà cung cấp dịch vụ chứng thực cần phải chịu trách nhiệm pháp lý không thực yêu cầu đoạn (1) Đoạn (1) 142 Đoạn nhỏ (a) nhấn mạnh quy tắc sau: nhà cung cấp dịch vụ chứng thực nên tôn trọng biểu diễn cam kết nhà cung cấp đa ra, ví dụ, quy định hoạt động chứng thực (CPS) kiểu công bố sách khác 143 Đoạn nhỏ (c) định nghĩa nội dung thiết yếu hiệu lực bÊt kú chøng chØ nµo theo LuËt mÉu L−u ý, trờng hợp chữ ký số, cần phải xác định liên kết ngời ký với khoá công khai, nh khoá riêng (xem A/CN.9/484, đoạn 71) Đoạn nhỏ (d) liệt kê yếu tố bổ sung có chứng chỉ, yếu tố có hiệu lực với thành viên tin cậy thành viên tin cậy truy nhập vào Đoạn nhỏ (e) không dự định áp dụng cho chứng giao dịch sử dụng lần, chứng chi phí thấp dành cho ứng dụng rủi ro thấp, hai 144 Nhà cung cấp dịch vụ chứng thực ngời phát hành chứng "giá trị cao" đợc mong đợi thực trách nhiệm nghĩa vụ đợc đa mục Tuy nhiên, Luật mẫu không đòi hỏi ngời ký, nhà cung cấp dịch vụ chứng thực mức độ siêng tin cậy mối quan hệ hợp lý với mục đích chữ ký điện tử chứng đợc sử dụng (xem đoạn 137 trên) Luật mẫu ủng hộ giải pháp liên kết nghĩa vụ (đợc thiết lập mục 9) với việc tạo chữ ký điện tử hợp pháp (xem A/CN.9/483, đoạn 117) Bằng cách giới hạn phạm vi mục vào trờng hợp - đó, dịch vụ chứng thực đợc cung cấp để hỗ trợ chữ ký điện tử có hiệu lực pháp lý, Luật mẫu không dự định tạo kiểu hiệu lực pháp lý cho chữ ký (xem đoạn 119) Đoạn (2) 145 Đoạn (2) luật Quốc gia xác định hậu trách nhiệm pháp lý (xem A/CN.9/484, đoạn 73) Tuỳ thuộc vào quy tắc áp dụng luật Quốc gia, không nên làm sáng tỏ đoạn (2) nh quy tắc trách nhiệm pháp lý tuyệt đối Đoạn (2) loại trừ khả - đó, nhà cung cấp dịch vụ chứng thực chứng minh lỗi bất cẩn 146 Các dự thảo mục gần có thêm đoạn, đoạn đa hậu trách nhiệm pháp lý đợc thiết lập đoạn (2) Trong trình soạn thảo Luật mẫu, ngời ta nhận thấy rằng, câu hỏi trách nhiệm pháp lý nhà cung cấp dịch vụ chứng thực không đợc đa cách đầy đủ, phê chuẩn điều khoản đơn lẻ với đoạn (2) Đoạn (2) phát biểu nguyên tắc thích hợp áp dụng cho ngời ký, nhng không đủ để giải hoạt động thơng mại chuyên nghiệp mà mục bao trùm Một cách để bù đắp thiếu vắng liệt kê (trong văn Luật mẫu) yếu tố cần phải quan tâm đánh giá tổn thất nhà cung cấp dịch vụ chứng thực gây Quyết định cuối đa vào hớng dẫn danh sách không hạn chế yếu tố báo Khi đánh giá trách nhiệm pháp lý nhà cung cấp dịch vụ chứng thực, cần quan tâm đến yếu tố sau, không kể khác: (a) chi phí để có đợc chứng chỉ; (b) tính chất thông tin đợc chứng thực; (c) tồn phạm vi giới hạn mục đích sử dụng chứng chỉ; (d) tồn công bố giới hạn phạm vi chừng mực trách nhiệm pháp lý nhà cung cấp dịch vụ chứng thực; (e) hớng dẫn cộng tác thành viên tin cậy Trong trình soạn th¶o Lt mÉu, ng−êi ta cịng nhÊt trÝ r»ng, nớc ban hành luật xác định mát khôi phục đợc, gánh nặng đợc đặt vào quy tắc quản lý giới hạn trách nhiệm pháp lý nớc có thiết lập nhà cung cấp dịch vụ chứng thực, nớc khác có áp dụng luật theo quy tắc xung đột luật pháp liên quan (xem A/CN.9/484, đoạn 74) Các tài liệu tham khảo UNCITRAL A/CN.9/484, đoạn 70-74; A/CN.9/WG.IV/WP.88, phụ lục, đoạn 137-141; A/CN.9/483, đoạn 114-127; A/CN.9/467, đoạn 105-129; A/CN.9/WG.IV/WP.84, đoạn 54-60; A/CN.9/465, đoạn 123-142 (dự thảo mục 12); A/CN.9/WG.IV/WP.82, đoạn 59-68 (dự thảo mục 12); A/CN.9/457, đoạn 108-119; A/CN.9/WG.IV/WP.80, đoạn 22-24 Mục10: Sự tin cậy Phù hợp với mục đích mục (1) (f), xác định nguồn tài nguyên hƯ thèng, thđ tơc vµ ng−êi mµ nhµ cung cÊp dÞch vơ chøng thùc sư dơng cã tin cËy hay không, nên quan tâm đến yếu tố sau đây: (a) Các nguồn tài ngời, bao gồm tài sản; (b) Chất lợng hệ thống phần mềm phần cứng; (c) Các thủ tục xử lý chứng ứng dụng dành cho chứng chỉ, trì ghi; (d) Tính sẵn sàng thông tin dành cho ngời ký (đợc nhận dạng chứng chỉ) thành viên tin cậy; (e) Kiểm toán định kỳ mở rộng thực thể độc lập tiến hành; (f) Sự công bố nớc, thực thể đợc uỷ nhiệm nhà cung cấp dịch vụ chứng thực việc tuân thủ tồn đà đề cập trên; (g) Bất kỳ yếu tố liên quan khác Tính mềm dẻo khái niệm "sự tin cậy" 147 Ban đầu, mục 10 đợc soạn thảo phần mục Sau đó, đợc soạn thảo thành mục riêng nhng chủ yếu trợ giúp làm sáng tỏ khái niệm "các hệ thống, thủ tục nguồn tài nguyên ngời tin cậy" mục 9(1)(f) Mục 10 đa danh sách không hạn chế yếu tố cần quan tâm xác định tin cậy Danh sách dự định cung cấp khái niệm mềm dẻo tin cậy, thay đổi nội dung tuỳ thuộc vào ngời ta mong đợi chứng phạm vi chứng đợc tạo Các tài liệu tham khảo UNCITRAL A/CN.9/WG.IV/WP.88, phụ lục, đoạn 142; A/CN.9/483, đoạn 128-133; A/CN.9/467, đoạn 114-119 Mục 11: Hớng dẫn thành viên tin cậy Thành viên tin cậy phải gánh chịu hậu pháp lý không: (a) Tiến hành bớc hợp lý để kiểm tra tin cậy chữ ký điện tử, hoặc: (b) Khi chữ ký điện tử đợc hỗ trợ thông qua chứng chỉ, (i) Kiểm tra khoảng thời gian tồn hợp lệ, tình trạng treo huỷ bỏ chứng chỉ; (ii) Tuân theo giới hạn chứng Sự tin cậy hợp lý 148 Mục 11 phản ánh ý tởng, thành viên (ngời dự định tin cậy chữ ký điện tử) nên đặt câu hỏi: tin cậy hợp lý trờng hợp chừng mực nào, dới ánh sáng tất trờng hợp Nó không dự định giải vấn đề tính hợp lệ chữ ký điện tử Vấn đề đợc đa mục không nên phụ thuộc vào hớng dẫn thành viên tin cậy Vấn đề tính hợp lệ chữ ký điện tử nên đợc tách riêng, khác với vấn đề xác định thành viên tin cậy có tin cậy hợp lý vào chữ ký không thoả mÃn tiêu chuẩn đợc thiết lập mục hay không Vấn đề khách hàng 149 Khi mục 11 đặt gánh nặng vào thành viên tin cậy, đặc biệt trờng hợp thành viên khách hàng, nên nhớ rằng, Luật mẫu dự định gạt bỏ quy tắc bảo vệ khách hàng Tuy nhiên, Luật mẫu đóng vai trò hữu ích việc giáo dục tất thành viên, có thành viên tin cậy, chuẩn hớng dẫn hợp lý cần tuân theo chữ ký điện tử Thêm vào đó, việc thiết lập chuẩn hớng dẫn, thành viªn tin cËy nªn kiĨm tra sù tin cËy cđa chữ ký thông qua phơng tiện truy nhập dễ dàng, đợc xem yêu cầu thiết yếu phát triển hệ thống sở hạ tầng khoá công khai Khái niệm "thành viên tin cậy" 150 Phù hợp với định nghĩa này, khái niệm "thành viên tin cậy" dự định bao trùm lên thành viên tin cậy chữ ký điện tử Do vậy, tuỳ thuộc vào trờng hợp, "thành viên tin cậy" ngời có quan hệ hợp đồng với ngời ký; nhà cung cấp dịch vụ chứng thực Cần nhận thức rằng, nhà cung cấp dịch vơ chøng thùc hc ng−êi ký cã thĨ tù trë thành "thành viên tin cậy" Tuy nhiên, khái niệm rộng "thành viên tin cậy" không nên có nghĩa vơ kiĨm tra sù hỵp lƯ cđa chøng chØ mua đợc từ nhà cung cấp dịch vụ chứng thực Không tuân theo yêu cầu mục 11 151 Về ¶nh h−ëng cđa viƯc thiÕt lËp nghÜa vơ chung, thể thành viên tin cậy nên kiểm tra hiệu lực pháp lý chữ ký điện tử chứng chỉ, câu hỏi đợc đặt thành viên tin cậy không tuân theo yêu cầu mục 11 làm Nếu thành viên tin cậy không tuân theo yêu cầu mục 11, không nên loại trừ thành viên tin cậy khỏi việc sử dụng chữ ký chứng việc kiểm tra hợp lý phát chữ ký chứng không hợp lệ Các yêu cầu mục 11 không dự định yêu cầu tuân theo giới hạn kiểm tra thông tin mà thành viên tin cậy truy nhập cách dễ dàng Có thể giải trờng hợp thông qua luật áp dụng, Luật mẫu Hơn nữa, hậu việc thành viên tin cậy không tuân theo yêu cầu mục 11 luật áp dụng, Luật mẫu quản lý (xem A/CN.9/484, đoạn 75) Các tài liệu tham khảo UNCITRAL A/CN.9/484, đoạn 75; A/CN.9/WG.IV/WP.88, phụ lục, đoạn 143-146; A/CN.9/467, đoạn 130-143; A/CN.9/WG.IV/WP.84, đoạn 61-63; A/CN.9/465, đoạn 109-122 (dự thảo mục 10 11); A/CN.9/WG.IV/WP.82, đoạn 56-58 (dự thảo mục 10 11); A/CN.9/457, đoạn 99-107; A/CN.9/WG.IV/WP.80, đoạn 20-21 Mục 12: Công nhận chứng chữ ký điện tử nớc khác (1) Khi xác định chứng chữ ký điện tử có hiệu lực pháp lý hay không, không cần phải quan tâm tới: (a) Vị trí địa lý - nơi chứng đợc phát hành; nơi chữ ký điện tử đợc tạo sử dụng; (b) Vị trí địa lý - nơi kinh doanh ngời phát hành ngời ký (2) Một chứng đợc phát hành bên [Nớc ban hành luật] nên có hiệu lực pháp lý nh chứng đợc phát hành [Nớc ban hành luật] đảm bảo mức tin cậy ngang (3) Một chữ ký điện tử đợc tạo sử dụng bên [Nớc ban hành luật] nên có hiệu lực pháp lý nh chữ ký điện tử đợc tạo vµ sư dơng [N−íc ban hµnh lt] nÕu nã đảm bảo mức tin cậy ngang (4) Khi xác định chứng chữ ký điện tử cã ®−a mét møc tin cËy ngang b»ng hay không, theo đoạn (2) (3), vấn đề cần đợc quan tâm chuẩn Quốc tế đợc công nhận yếu tố liên quan khác (5) Trong đoạn (2), (3) (4), thành viên tự thoả thn víi viƯc sư dơng mét sè kiĨu chữ ký điện tử chứng đó, thoả thuận nên đợc công nhận, phù hợp với mục đích công nhận qua biên giới, trừ thoả thuận không hợp lệ hiệu lực luật áp dụng Quy tắc chung không phân biệt 152 Đoạn (1) đợc dự định phản ánh nguyên tắc bản: nguồn gốc xuất xứ không nên yếu tố xác định chứng chữ ký điện tử nớc khác có đợc công nhận hiệu lực pháp lý hay không chừng mực công nhận nh Việc xác định chữ ký điện tử chứng có hiệu lực pháp lý hay không chừng mực công nhận không nên phụ thuộc vào vị trí - nơi chứng chữ ký điện tử đợc phát hành (xem A/CN.9/483, đoạn 27) mà phụ thuộc vào tÝnh tin cËy kü thuËt "Møc tin cËy ngang b»ng " 153 Mục đích đoạn (2) cung cấp tiêu chuẩn chung công nhận qua biên giới chứng chỉ, cho nhà cung cấp dịch vụ chứng thực chịu gánh nặng vô lý để có đợc giấy phép phạm vi quyền hạn Vì mục đích này, đoạn (2) thiết lập ngỡng đánh giá ngang mặt kỹ thuật chứng nớc ngoài, cách kiểm tra tính tin cậy chúng, dựa vào yêu cầu vỊ sù tin cËy n−íc ban hµnh lt thiÕt lập, chiểu theo Luật mẫu (đoạn 31) Tiêu chuẩn áp dụng phạm vi quyền hạn, không cần quan tâm tới tính chất lợc đồ chứng thực mà từ thu đợc chứng chữ ký (đoạn 29) Mức tin cậy thay đổi theo phạm vi quyền hạn 154 Bằng cách tham chiếu vào khái niệm "mức tin cậy ngang bằng", đoạn (2) thừa nhận rằng, có khác yêu cầu phạm vi quyền hạn cá nhân Yêu cầu ngang bằng, nh đà đợc sử dụng đoạn (2), không cã nghÜa lµ møc tin cËy cđa mét chøng chØ nớc nên đồng xác với mức tin cậy dành cho chứng nớc (xem đoạn 32) Mức tin cậy thay đổi phạm vi quyền hạn 155 Thêm vào đó, nên lu ý rằng, thực tế, nhà cung cấp dịch vụ chứng thực phát hành chứng với mức tin cậy khác nhau, tuỳ thuộc vào mục đích - đó, chứng đợc khách hàng dự định sử dụng Tuỳ thuộc vào mức tin cậy riêng chứng chỉ, chứng chữ ký điện tử đa hiệu lực pháp lý khác nhau, nớc nớc Vì vậy, việc áp dụng khái niệm ngang đợc sử dụng đoạn (2), nên ghi nhớ rằng, ngang đợc thiết lập chứng so sánh mặt chức Tuy nhiên, Luật mẫu không dự định thiết lập tơng ứng chứng có kiểu khác nhau, nhà cung cấp dịch vụ chứng thực khác phát hành phạm vi quyền hạn khác Luật mẫu đợc soạn thảo nhằm vào hệ thống phân cấp kiểu chứng khác Trong thực tế, yêu cầu án trọng tài phân xử định hiệu lực pháp lý chứng nớc cố gắng cân với mức tơng ứng gần nớc ban hành luật (xem A/CN.9/483, đoạn 33) Đối xử ngang với chứng kiểu chữ ký điện tử khác 156 Quy tắc đối xử với chữ ký điện tử đợc trình bày đoạn (3) giống nh quy tắc đối xử với chứng đoạn (2) (đoạn 41) Việc công nhận hiệu lực pháp lý phù hợp với luật nớc 157 Đoạn (2) (3) liên quan tới việc kiểm tra tính tin cậy qua biên giới, đoạn đợc áp dụng đánh giá tin cậy chứng chữ ký điện tử nớc Tuy nhiên, trình soạn thảo Luật mẫu, cần ghi nhớ rằng, nớc ban hành luật không muốn kiểm tra tính tin cậy chữ ký chứng xác định nớc ban hành luật đợc thuyết phục rằng, luật phạm vi quyền hạn (chữ ký chứng có nguồn gốc từ đó) cung cÊp mét chn tin cËy ngang b»ng VỊ c¸c kỹ thuật hợp pháp, qua công nhận tin cậy chứng chữ ký theo lt cđa tõng n−íc cã thĨ n−íc ban hµnh luật đa (ví dụ, hiệp ớc công bố đơn phơng), Luật mẫu đề xuất cụ thể (xem đoạn 39 42) Các yếu tố cần quan tâm đánh giá ngang thực tế chữ ký chứng nớc 158 Trong trình soạn thảo Luật mẫu, ban đầu đoạn (4) đợc đa vào danh sách yếu tố cần quan tâm xác định chứng chữ ký điện tử có mức tin cậy ngang bằng, phù hợp với mục đích đoạn (2) (3) hay không Sau đó, ngời ta nhận rằng, hầu hết yếu tố đà đợc liệt kê mục 6, 10 Việc bắt đầu lại yếu tố phạm vi mục 12 không cần thiết Việc bổ xung lần lợt tham khảo đợc trình bày phức tạp, liên quan tới tiêu chuẩn công nhận qua biên giới vào đoạn (4) làm cho trở thành tham khảo không riêng biệt (cụ thể, xem A/CN.9/483, đoạn 43-49) Thêm vào đó, việc đánh giá mức độ ngang chứng nớc khác với việc đánh giá tính tin cậy nhà cung cấp dịch vụ chứng thực theo mục 10 Vì vậy, tham khảo đợc thêm vào đoạn (4) "các chuẩn Quốc tế đợc công nhận" Các chuẩn Quốc tế đợc công nhận 159 Khái niệm "Các chuẩn Quốc tế đợc công nhận" nên đợc làm sáng tỏ rộng hơn, bao trùm lên chuẩn kỹ thuật thơng mại Quốc tế, chuẩn quy tắc thực thể phủ liên phủ thông qua (xem đoạn 49) "Các chuẩn Quốc tế đợc công nhận" công bố kỹ thuật, pháp lý hoạt động thơng mại đợc chấp nhận, thực thể cá nhân công cộng phát triển (hoặc hai), mang tính quy phạm giải thích, chúng đợc chấp nhận áp dụng Quốc tế Các chuẩn theo dạng yêu cầu, khuyến nghị, hớng dẫn, quy tắc hớng dẫn, công bố hoạt động quy tắc tốt (các đoạn 101-104) Việc công nhận thoả thuận thành viên liên quan 160 Đoạn (5) công nhận thoả thuận sử dụng số kiểu chữ ký điện tử chứng thành viên liên quan, làm móng cho việc công nhận chữ ký chứng qua biên giới (xem đoạn 54) Nên lu ý rằng, để phù hợp với mục (5), đoạn (5) không dự định thay luật bắt buộc mà nớc ban hành luật mong muốn áp dụng, đặc biệt luật bắt buộc yêu cầu chữ ký viết tay (xem đoạn 113) Đoạn (5) cần mang lại hiệu lực cho quy định hợp đồng đợc thành viên chấp thuận, nhằm công nhận việc sử dụng số chữ ký điện tử chứng (đợc coi nớc số tất nớc, nơi thành viên tìm kiếm công nhận pháp lý chữ ký điện tử chứng này), không cần chữ ký điện tử chứng trải qua kiểm tra đánh giá mức độ ngang thực tế (đợc thiết lập đoạn (2), (3) (4) Đoạn (5) không ảnh hởng đến vị trí hợp pháp thành viên thứ (xem đoạn 56) Các tài liệu tham khảo UNCITRAL A/CN.9/484, đoạn 76-78; A/CN.9/WG.IV/WP.88, phụ lục, đoạn 147-155; A/CN.9/483, đoạn 25-58 (mục 12); A/CN.9/ WG.IV/WP.84, đoạn 61-68; (dự thảo mục 13); A/CN.9/465, đoạn 21-35; A/CN.9/WG.IV/WP.82, đoạn 69-71; A/CN.9/454, đoạn 173; A/CN.9/446, đoạn 196-207 (dự thảo mục 19); A/CN.9/WG.IV/WP.73, đoạn 75; A/CN.9/437, đoạn 74-89 (dự thảo mục 1); A/CN.9/WG.IV/WP.71, đoạn 73-75 Tài liƯu tham kh¶o G.P.SCHNEISER and Technology, 2000 J.T.Perry, "Electronic Commerce", Course D.Stinson, "Cryptography: Theory and Practice", CRC Press, 1995 B.Schneider, "Applied Cryptography", 2nd edition, Wiley, 1995 U.S.Department of Commerce, "Digital Signature Standard (DSS)", Federal Information Processing Standards Publication FIPS PUB 186, 1994 UNCITRAL (United Nations Commission on International Trade Law) Model Law on Electronic Signatures (2001) Guide to Enactment of the UNCITRAL Model Law on Electronic Signatures (2001) ... truyền thông điện tử giao dịch điện tử Chơng Thực thi an toàn cho thơng mại điện tử Việc bảo vệ tài sản điện tử tuỳ chọn, mà thực cần thiết thơng mại điện tử ngày phát triển Thế giới điện tử phải... nhÃn hiệu cá nhân hay công ty khác ngời chủ sở hữu trả số lợng lớn đôla để có đợc địa URL 1.3 Các hiểm hoạ thơng mại điện tử Có thể nghiên cứu yêu cầu an toàn thơng mại điện tử cách kiểm tra toàn... 155 Chữ ký điện tử hoạt động thơng mại điện tử .156 Phần A: Cơ sở công nghệ cho chữ ký sè .170 Phần B: Cơ sở pháp lý cho chữ ký số .195 C¸c vấn đề lý thuyết Trong phần trình