Khi một tài liệu hoặc giao dịch điện tử được ký số, bất kỳ sự thay đổi nào trong nó cũng sẽ gây ra sự thay đổi trong chữ ký số, từ đó làm mất tính toàn vẹn của dữ liệu và báo hiệu về sự
TỔNG QUAN VỀ BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ
KHÁI NIỆM VỀ NẢO MẬT
1.1.1 Dữ liệu và thông tin
Dữ liệu là các giá trị định lượng hoặc định tính của thông tin về các sự vật, hiện tượng trong cuộc sống Trong lĩnh vực tin học, dữ liệu được sử dụng như một biểu diễn hình thức hóa của thông tin về các sự kiện, hiện tượng, phù hợp với yêu cầu truyền nhận và xử lý bằng máy tính.Thông tin là các dữ liệu đã trải qua quá trình xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn về các sự vật, sự kiện, hiện tượng từ một góc độ cụ thể.
Hệ thống thông tin là một cấu trúc tổ chức có mục đích thu thập, lưu trữ, xử lý, và truyền tải thông tin để hỗ trợ quyết định và hoạt động của tổ chức hoặc cá nhân Nó bao gồm các thành phần phần cứng, phần mềm và con người, cùng với quy trình và quy định, để đảm bảo thông tin được quản lý và sử dụng một cách hiệu quả
Mục tiêu của hệ thống thông tin là cung cấp thông tin đúng đắn, kịp thời và có ý nghĩa để hỗ trợ quyết định và hoạt động của tổ chức Nó giúp tổ chức thu thập dữ liệu từ các nguồn khác nhau, xử lý thông tin để tạo ra thông tin có giá trị, và truyền tải thông tin đến người dùng cuối ở mức độ phù hợp
Hệ thống thông tin không chỉ giúp tổ chức quản lý thông tin một cách hiệu quả mà còn giúp tăng cường hiệu suất làm việc, cải thiện quy trình làm việc và nâng cao sự linh hoạt và đáp ứng nhanh chóng đối với biến đổi và thách thức của môi trường kinh doanh.
1.1.3 Bảo mật hệ thống thông tin
Bảo mật hệ thống thông tin là quá trình và các biện pháp nhằm bảo vệ thông tin trong hệ thống thông tin khỏi các mối đe dọa, tấn công, và rủi ro có thể gây tổn hại hoặc làm mất tính mạng lợi ích của thông tin
Mục tiêu của bảo mật hệ thống thông tin là đảm bảo tính bảo mật của thông tin, bảo vệ tính toàn vẹn và sẵn có của dữ liệu, ngăn chặn truy cập trái phép hoặc sửa đổi thông tin, và đảm bảo rằng hệ thống thông tin hoạt động một cách an toàn và ổn định Để đạt được mục tiêu này, bảo mật hệ thống thông tin thường bao gồm việc triển khai các biện pháp bảo mật như xác thực, kiểm soát truy cập, mã hóa dữ liệu, giám sát hệ thống, bảo vệ chống phần mềm độc hại và các biện pháp khác để ngăn chặn và phản ứng lại các mối đe dọa bảo mật.
NHỮNG YÊU CẦU CỦA HỆ THỐNG THÔNG TIN
Một hệ thống bảo mật an toàn thông tin phải đáp ứng những yêu cầu sau:
Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép.
Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu.
Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu.
Tính xác thực (Authenticity): Đảm bảo rằng thông tin được xác định là từ nguồn gốc đáng tin cậy và chưa bị sửa đổi hay thay đổi một cách trái phép.
Tính trách nhiệm giải trình (Accountability): Đảm bảo rằng mọi hành động hoặc sự kiện đều có người chịu trách nhiệm và có thể được theo dõi và kiểm soát.
Mục tiêu cuối cùng của hệ thống bảo mật chính là ngăn chặn được các hành vi vi phạm các chính sách bảo mật của chủ thể, phát hiện sớm các hành vi đó để xây dựng các biện pháp ngăn chặn.
NHỮNG NGUY CƠ GÂY MẤT AN TOÀN ĐỐI VỚI NGƯỜI DÙNG THƯƠNG MẠI ĐIỆN TỬ
Bảng 1 Nguy cơ và rủi ro về bảo mật thông tin trong thương mại điện tử
Khái niệm Là những tai nạn, sự cố xảy ra ngẫu nhiên, khách quan ngoài ý muốn của người tham gia giao dịch thương mại điện tử, gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch Thương mại điện tử
Rủi ro đối với người mua
Khi tham gia vào Thương mại điện tử, rủi ro bị đánh cắp các thông tin bí mật về tài khoản, thông tin cá nhân
Các trang mua hàng dễ bị giả mạo (Giả mạo trang web, giả mạo địa chỉ IP, giả mạo thư điện tử, …)
Trường hợp các tin tặc tấn công vào các website, truy cập vào các thông tin thẻ tín dụng, xâm phạm tính tin cậy của dữ liệu, quyền riêng tư đối với thông
10 tin cá nhân của khách hàng
Rủi ro đối với người bán
Người bán có thể gặp các vấn đế mất an toàn liên quan đến đơn đặt hàng giả mạo,
Có thể bị thay đổi địa chỉ nhận đối với các giao dịch chuyển khoản ngân hàng do các đối tượng xâm nhập bất hợp pháp.
Rủi ro đối với các nền tảng, sàn
Các rủi ro về công nghệ là một vấn đề lớn, các tin tặc có thể gán các chương trình virus nguy hiểm, gây ảnh hưởng tới hệ thống, đánh cắp dữ liệu khách hàng,
CƠ SỞ LÝ THUYẾT VỀ BẢO MẬT
KHÁI NIỆM CHỮ KÝ SỐ
“Về bản chất, chữ ký số là một thông điệp dữ liệu, là một dạng của chữ ký điện tử nhưng có độ an toàn cao và được sử dụng rộng rãi Công thức để sinh ra chữ ký số phụ thuộc vào 03 yếu tố đầu vào là văn bản điện tử cần ký, khóa bí mật, phần mềm ký số. Chữ ký số dựa trên lý thuyết về mật mã và các thuật toán mã hóa bất đối xứng Việc thừa nhận chữ ký số thuộc sở hữu của cơ quan, cá nhân nào đó phải được một tổ chức cung cấp dịch vụ chứng thực và tổ chức này phải được thừa nhận về tính pháp lý và kỹ thuật.
Khái niệm chữ ký số được quy định trong pháp luật các nước cũng rất đa dạng Theo ủy ban Liên Hợp Quốc về Luật Thương mại quốc tế (UNCITRAL), chữ ký số là tên gọi cho các ứng dụng công nghệ sử dụng tính bất đối xứng mật mã, còn được gọi là hệ thống mã hóa khóa công khai, để bảo đảm tính xác thực của thông điệp điện tử và bảo đảm tính toàn vẹn của nội dung tin nhắn Cụ thể, theo hướng dẫn ban hành Luật mẫu về Chữ ký điện tử năm 2001 (UNCITRAL Model Law on Electronic), thì chữ ký số được tạo và xác minh bằng cách sử dụng mật mã, một nhảnh của toán học ứng dụng liên quan đến việc biến đổi các thông điệp thành dạng có vẻ khó hiểu và trở lại dạng ban đầu Chữ ký số sử dụng cái được gọi là “mật mã khóa công khai”, thường dựa trên việc sử dụng các hàm thuật toán để tạo ra hai “khóa” khác nhau nhưng có liên quan đến toán học (tức là các số lớn được tạo ra bằng cách sử dụng một loạt các công thức toán học áp dụng cho các số nguyên tố).
Quy định của pháp luật Việt Nam hiện hành về chữ ký số phù hợp với các quy định của Luật mẫu về chữ ký điện tử năm 2001 của ủy ban Liên Hợp Quốc về Luật Thương mại quốc tế Khoản 6 Điều 3 Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số (Nghị định số 130/2018/NĐ-CP) quy định: “Chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng, theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định:
Được chính xác việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa.
Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên.”
Như vậy, chữ ký số đầu tiên được xác định là một dạng của chữ ký điện tử, là tập hợp con của chữ ký điện tử Chữ ký số được sử dụng với phương thức kỹ thuật là việc biến đổi dữ liệu và tạo khóa công khai để bảo vệ sự toàn vẹn và bảo mật đối với dữ liệu ban đầu”
CƠ SỞ CHỮ KÝ SỐ
2.2.1 Nguyên lý hoạt động của chữ ký số
Hình 1 Minh họa nguyên lý hoạt động của chữ ký số
Người gửi (chủ văn bản): ký văn bản bằng cách mã hóa nó với khóa bí mật của mình, rồi gửi cho bên nhận.
Người nhận tiến hành kiểm tra chữ ký bằng cách sử dụng khóa công khai của người gởi để giải mã văn bản Nếu giải mã thành công thì văn bản ký là đúng người gởi.
2.2.2 Nguyên lý hoạt động của chữ ký số
2.2.2.1 Thuật toán mã hóa công khai RSA
Hình 2 Thuật toán mã hóa công khai RSA
“Thuật toán RSA được phát minh năm 1978, sử dụng chế độ mã hóa khối RSA là một thuật toán mã hóa khóa công khai Đây là thuật toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mã hóa Nó đánh dấu một sự tiến bộ vượt bậc của lĩnh vực mật mã học trong việc sử dụng khóa công cộng Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa cá nhân) Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được.”
1 Chọn hai số nguyên tố lớn p và q Tính n = p x q và m = p(n) = (p = 1) x (q-1).
3 Tìm d sao cho e x d = 1 (mod m), tức là tính d = e-1 (mod m).
Khóa công khai (Public key) là (e, n)
Khoa bí mật (Private key) là d, p, q.”
Mã hóa và giải mã:
“Với M, C là một số nguyên e (0, n) và là biểu diễn dạng số nguyên của bản rõ và bản mã tương ứng Ta có:
C= E (M) : mã hóa bản rõ với khóa PUPU
M = D (E (M)) : giải mã bản mã với khóa PR (ko cho phép tính được PR từ PU)PR PU
Dạng mã hóa / giải mã:
“Độ an toàn của hệ thống RSA dựa trên việc giải quyết bài toán phân tích thừa số nguyên tố của các số nguyên lớn Nếu bài toán này khó, không có thuật toán hiệu quả để giải quyết, thì việc phá mã toàn bộ của RSA sẽ trở nên không khả thi Để ngăn chặn phá mã một phần, cần sử dụng các phương pháp chuyển đổi bản rõ an toàn.
Bài toán RSA đề cập đến việc tính căn bậc e modulo n, trong đó (e, n) là khóa công khai và c là bản mã Phương pháp triển vọng nhất để giải bài toán này là phân tích n ra thừa số nguyên tố Khi thực hiện được điều này, kẻ tấn công có thể tìm ra số mũ bí mật d từ khóa công khai và giải mã theo đúng quy trình của thuật toán Nếu kẻ tấn công tìm được 2 số nguyên tố p và q sao cho n = pq, họ có thể dễ dàng tìm ra giá trị (p-1)(q- 1) và xác định d từ e Hiện chưa có phương pháp nào được phát triển trên máy tính để giải bài toán này trong thời gian đa thức Tuy nhiên, cũng chưa có chứng minh về sự không tồn tại của thuật toán đó Có thể tham khảo bảng dưới đây để xem số thao tác và thời gian cần thiết để phân tích số n thành thừa số nguyên tố, sử dụng phương pháp General Number Field Sieve (GNFS):”
Bảng 2 Bảng thử nghiệm độ bảo mật của RSA
Số bit của n Số thao tác Thời gian
2.2.2.2 Cơ sở hạ tầng của khóa công khai
“PKI hạ tầng cơ sở khóa công khai là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật.
Dựa trên cách sử dụng của khóa công khai và chữ ký điện tử, PKI chính là bộ khung của các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo mật của người sử dụng PKI cung cấp một cặp khóa, trong đó có một khóa là khóa công khai (Public key), khóa còn lại là khóa bí mật (Private key) mà người sử dụng phải giữ bí mật Hai khóa này có liên quan mật thiết đến nhau, sao cho một thông điệp được mã hóa bởi một khóa công khai thì chỉ giải mã được bởi một khóa bí mật tương ứng.
Mô hình phân tầng của hạ tầng cơ sở khóa công khai
Mô hình này tương đương với cấu trúc phân cấp, trong đó có CA gốc và các CA cấp dưới CA gốc xác thực các CA cấp dưới, và các CA này tiếp tục xác thực các CA cấp thấp hơn mà không cần phải xác thực các CA cấp trên.
Trong mô hình này, mỗi thực thể sẽ lưu trữ bản sao khóa công khai của CA gốc và kiểm tra đường dẫn của chứng thư bắt đầu từ chữ ký của CA gốc.
Mặc dù mô hình này có nhược điểm, nhưng nó vẫn phù hợp với yêu cầu của các tổ chức chính phủ do sự tự nhiên của cấu trúc phân cấp.
Mô hình này hoạt động quanh một CA trung tâm với nhiều CA khác Trong mô hình này, các CA có thể cộng tác với nhau Đây là một mô hình kết hợp hai mô hình CA- gốc và Cross-CA Điều này cung cấp cách đơn giản để quản lý CA gốc, bởi vì nó chỉ yêu cầu một cặp chứng chỉ chéo cho mỗi CA, so sánh với n2 chứng chỉ trong hệ thống hoàn thành.
X.509 là một chuẩn cho chứng chỉ số quốc tế được sử dụng để chứng thực cho thông tin chủ thể và khóa công khai của các tổ chức, cá nhân Khuôn dạng chứng chỉ X.509 có các thành phần cơ bản như sau:
Bảng 3 Các thành phần của khuôn dạng chứng chỉ X509
Phiên bản (Version) Chỉ ra dạng phiên bản
Số hiệu (Serial Number) Số hiệu nhận dạng duy nhất của chứng chỉ này Nó được
CA phát hành gán cho.
Tên thuật toán ký được CA sử dụng để ký chứng chỉ.
Người phát hành (Issuer) Tên theo chuẩn X.509 của CA phát hành
(được trình bày chi tiết hơn trong mục "Tên trong X.509").
Tên tổ chức CA phát hành giấy chứng nhận: Tên phân biệt theo chuẩn X.500
Hai CA không được sử dụng cùng một tên phát hành
Ngày/ giờ có hiệu lực và hết hạn của 1 chứng chỉ.
Not - before: Thời gian chứng nhận bắt đầu có hiệu lực.
Not - after: Thời gian chứng nhận hết hiệu lực.
Các giá trị thời gian này được đo theo chuẩn thời gian quốc tế, chính xác đến từng giây.
Chủ thể (Subject) Tên X.509 của đối tượng nắm giữ khóa riêng (Tương ứng với khóa công khai được chứng thực).
Thông tin về khóa công khai của chủ thể (Subject
Gồm có khóa công khai của chủ thể cùng với một tên thuật toán sử dụng khóa công khai này.
Tên duy nhất của người phát hành (Issuer unique identifier)
Là một chuỗi bit tuỳ chọn, được sử dụng để chỉ ra tên rõ ràng của CA phát hành, trong trường hợp cùng một tên được gán cho thực
18 thể khác nhau trong cùng thời gian.
Tên duy nhất của chủ thể (Subject unique identifier)
Là một chuỗi bit tuỳ chọn, được sử dụng để chỉ ra tên rõ ràng của chủ thể, trong trường hợp cùng một tên được gán cho các thực thể khác nhau trong cùng thời gian.
Extensions Chứa các thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng nhận Được đưa ra trong X.509 phiên bản ba
Signature Chữ ký điện tử được tổ chức CA áp dụng.
Tổ chức CA sử dụng khóa bí mật có kiểu quy định trong trường thuật toán chữ ký.
Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận.
Kết luận: CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không chỉ cho tên chủ thể và khóa công cộng”
2.2.2.3 Các hàm băm (Hash Functions)
Hình 4 Hàm băm bảo mật (Hash Functions)
“Hàm băm tiếp nhận các đầu vào với kích thước bất kỳ, và đầu ra là một khối dữ liệu có kích thước cố định Từ văn bản x, ta có thể dễ dàng tính ra bản băm của x là H(x), nhưng từ H(x) không thể tìm ra x Và một tính chất quan trọng nhất của hàm băm là với những văn bản khác biệt nhau dù là rất nhỏ, thì sau khi qua hàm băm kết quả nhận được cũng phải khác nhau, ta có thế gọi là độ nhạy cảm của hàm băm với sự thay đổi của văn bản. Định nghĩa hàm băm: Hàm băm H(x) là một hàm tính checksum mạnh thỏa mãn các yêu cầu sau:
H có thể áp dụng cho các thông điệp x với các độ dài khác nhau
Kích thước của Output H = H(x) là cố định và nhỏ
Một số đặc tính của băm:
Tính chất 1 - Tính một chiều: Với một h cho trước, không thể tìm lại được x sao cho h = H(x) (về mặt thời gian tính toán)
Tính chất 2 - Tính chống trùng yếu: Cho trước một x, không thể tìm y≠ x sao cho H(x) = H(y)
Tính chất 3 - Tính chống trùng mạnh: Không thể tìm ra cặp x, y bất kỳ (x≠y) sao cho H(x) = H(y), hay nói cách khác nếu H(x) = H(y) thì có thể chắc chắn rằng x = y.”
2.2.3 Quá trình tạo và kiểm tra chữ ký số
2.2.3.1Quá trình tạo chữ ký số
Hình 5 Quá trình tạo chữ ký số
“Các bước để tạo ra một chữ ký số:
Bước 1: Dùng giải thuật băm để tính message digest của thông điệp cần truyền đi Kết quả ta được một message digest.
Bước 2: Sử dụng khóa bí mật của người gửi để mã hóa message digest thu được ở bước 1 Thông thường ở bước này ta dùng giải thuật RSA Kết quả thu được gọi là digital signature của thông điệp ban đầu Công việc này gọi là "ký" vào thông điệp. Sau khi đã ký vào thông điệp, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra Ngoài ra, việc ký này đảm bảo người nhận tin tưởng thông điệp này xuất phát từ người gửi chứ không phải là ai khác.
Bước 3: Gộp digital signature vào thông điệp ban đầu và gửi đến người nhận.2.2.3.2 Quá trình kiểm tra chữ ký số
Hình 6 Quá trình kiểm tra chữ ký số
Các bước để kiểm tra một chữ ký số:
Bước 1 : Tách message ban đầu và chữ ký số.
Bước 2: Dùng khóa công khai của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số của thông điệp.
Bước 3: Dùng giải thuật (MD5 hoặc SHA) băm thông điệp ban đầu.
Bước 4: So sánh 2 chuỗi băm kết quả thu được ở 2 bước trên Nếu trùng nhau, ta kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này là của người gửi.”
QUY ĐỊNH PHÁP LÝ VỀ CHỮ KÝ SỐ HIỆN NAY
2.3.1 Quy trình về giá trị pháp lý của chữ ký số
“Theo Điều 8 Nghị định số 130/2018/NĐ-CP thì giá trị pháp lý của chữ ký số được quy định như sau:
Một là, trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được bảo đảm an toàn theo quy định tại Điều 9 Nghị định số 130/2018/NĐ-CP.
Hai là, trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp
22 ứng nếu thông điệp dữ liệu đó được ký bời chữ ký số cơ quan, tổ chức và chữ ký số đó được bảo đảm an toàn theo quy định tại Điều 9 Nghị định số 130/2018/NĐ-CP.
Ba là, chữ ký số và chứng thư số nước ngoài được cấp giấy phép sử dụng tại Việt Nam có giá trị pháp lý và hiệu lực như chữ ký số và chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam cấp.
Như vậy, nếu chữ ký số không đáp ứng đủ các điều kiện tối thiểu này thì chữ ký số đó không được công nhận giá trị pháp lý Việc sử dụng những loại chữ ký số này sẽ khiến người dùng có nguy cơ gặp rủi ro về mặt pháp lý do không tuân thủ theo quy định của pháp luật.”
2.3.2 Quy trình về điều kiện đảm bảo an toàn cho chữ ký số Được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số đó.
Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số do một trong các tổ chức sau cung cấp:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của các cơ quan, tổ chức được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số chuyên dùng.
Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
Như vậy, trước khi quyết định mua chữ ký số, người dùng cần tìm hiểu kỹ lưỡng xem chữ ký số đó có đảm bảo đủ điều kiện an toàn hay không, nếu không chữ ký số sẽ bị coi là không hợp lệ và không có giá trị pháp lý.
CÁC LOẠI HÌNH CHỮ KÝ SỐ TRONG THƯƠNG MẠI ĐIỆN TỬ
Số lượng tổ chức cung cấp chứng thực chữ ký số
Hình 7 Số lượng CA công cộng giai đoạn 2009 - 2022
Giai đoạn 2009 – 2018, chữ ký số ở Việt Nam còn chưa phổ biến và phát triển tương đối chậm nên số tổ chức cung cấp chữ ký số vẫn còn hạn chế Giai đoạn 2018-2022 thì số lượng các tổ chức cung cấp dịch vụ chứng thực chữ ký số tăng trưởng vượt bậc từ 9 lên đến 23 tổ chức nhờ chính sách, chương trình chuyển đổi số của quốc gia, khuyến khích phát triển thị trường chứng thực số cũng như do dịch Covid-19 mà số người tin dùng các dịch vụ trực tuyến tăng mạnh trong giai đoạn này.
Hìn h 8 Thị phần thị trường cung cấp chứng thực chữ ký số công cộng năm 2022
Tính hết năm 2022, VNPT-CA và Viettel-CA là hai tổ chức cung cấp chứng thực chữ ký số công cộng chiếm thị phần lớn nhất (chiếm 54,2% thị phần) do đây là hai nhà mạng viễn thông lớn nhất Việt Nam có lợi thế về cơ sở hạ tầng và mạng lưới phân phối cùng với tiềm lực tài chính lớn nên có thể phát triển một cách mạnh mẽ Tiếp đến là BkavCA, FastCA, LCS-CA chiếm khoảng 20,68% thị phần nhờ có uy tín và kinh nghiệm trong lĩnh vực chứng thực số từ lâu Ngoài ra thì EasyCA, FPT-CA, CA2, SmartSign với tiềm lực công nghệ lớn cũng chiếm khoảng 13,86% thị phần Qua đó cho thấy thị trường cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam đang ngày càng phát triển với sự cạnh tranh gay gắt giữa các tổ chức cung cấp dịch vụ.Khách hàng hiện tại nên cân nhắc các yếu tố như uy tín, chất lượng dịch vụ, giá cả, khi lựa chọn tổ chức cung cấp dịch vụ phù hợp với nhu cầu của mình.
Số lượng chữ ký số đang hoạt động
Hình 9 Số lượng chữ ký số đang hoạt động giai đoạn 2015 – 2022
Tương tự như sự tăng trưởng đột biến của số tổ chức cung cấp chứng thực chữ ký số thì số lượng chữ ký số cũng có sự tăng trưởng mạnh mẽ trong giai đoạn 2018 – 2022 từ gần 1 triệu tăng lên đến 2 triệu (xấp xỉ gấp 2 lần) Tính đến hết năm 2022, số lượng kỹ số đang hoạt động tăng khoảng 20,14% so với cùng kỳ năm 2021 Đây là tốc độ tăng trưởng khá nhanh mở ra nhiều cơ hội hơn trong việc ứng dụng chữ ký số vào các lĩnh vực khác nhau đặc biệt là trong giai đoạn chuyển đổi số nói chung và lĩnh vực thương mại điện tử nói riêng.
TÌNH ỨNG DỤNG CHỮ KÝ SỐ PHỔ BIẾN
3.2.1 Chứng thực danh tính trong giao dịch ngân hàng trực tuyến
Chữ ký số được sử dụng để xác định danh tính của người dùng và chứng thực tài khoản của họ Khi người dùng thực hiện các giao dịch, chữ ký số giúp ngân hàng xác định rằng họ là chủ sở hữu hợp pháp của tài khoản và có quyền thực hiện các giao dịch tương ứng Việc sử dụng chữ ký số sẽ phù hợp cho các giao dịch ngân hàng lớn một cách an toàn nhất trong khi OTP (One-Time Password) sẽ được sử dụng cho các giao dịch nhỏ, thường xuyên một cách nhanh chóng, tiện lợi hơn.
3.2.2 Chứng thực tài liệu, hợp đồng điện tử
Trong bối cảnh tội phạm Internet đang ngày càng phát triển mạnh mẽ với nhiều thủ đoạn tinh vi hơn thì việc sử dụng chữ ký số đã trở thành một công cụ quan trọng để
26 đảm bảo tính bảo mật và tính hợp lệ của các tài liệu, hợp đồng giao dịch trong thương mại điện tử.
Quy trình ký kết tài liệu, hợp đồng điện từ gồm 6 bước cơ bản (Nguyễn Văn Hồng, 2007):
Bước 1: Người gửi rút gọn văn bản cần ký bằng hàm băm.
Bước 2: Người gửi tạo chữ ký số bằng khóa bí mật và văn bản đã rút gọn.
Bước 3: Người gửi gửi văn bản gốc, chữ ký số, khóa công khai, chứng chỉ số cho người nhận.
Bước 4: Người nhận giải mã chữ ký số của người gửi bằn khóa công khai được văn bản rút gọn 1.
Bước 5: Người nhận tiếp tục rút gọn văn bản gốc nhận được để có văn bản rút gọn 2
Bước 6: So sánh hai văn bản rút gọn thu được để chứng thực tính toàn vẹn của nội dung và xác thực đúng chính xác người gửi.
Việc ký kết tài liệu, hợp đồng điện tử bằng chữ ký số loại bỏ việc cần phải gặp mặt trực tiếp và thủ tục giấy tờ, giúp tiết kiệm thời gian cho cả hai bên mà vẫn đảm bảo tính an toàn, toàn vẹn và pháp lý Do đó, chữ ký số được sử dụng trong thương mại điện tử để ký hợp đồng mua bán hàng hóa, dịch vụ trực tuyến giữa các bên một cách an toàn, nhanh chóng nhất.
ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA CHỮ KÝ SỐ CỦA XÁC THỰC CHỮ KÝ SỐ
KÝ SỐ TRONG THƯƠNG MẠI ĐIỆN TỬ
Đảm bảo an toàn dữ liệu: Sự bảo mật của việc ký số được đảm bảo thông qua nhiều phương pháp như hạ tầng khóa công khai, hàm băm, mật mã và mã hóa. Tất cả những cách tiếp cận này tạo ra một hệ thống bảo mật vững chắc cho chữ ký số trong Thương mại điện tử.
Pháp lý rõ ràng: Chữ ký số có độ bảo mật cao, được công nhận pháp lý và được Nhà nước bảo vệ Trong trường hợp có tranh chấp, chữ ký của bên đã ký sẽ không thể bị chối bỏ.
Tăng hiệu suất làm việc: So với việc ký tay, việc sử dụng chữ ký số giúp loại bỏ sự lãng phí thời gian và khả năng mắc phải lỗi của con người trong quá trình vận chuyển tài liệu Người mua và người bán có thể trao đổi tài liệu qua internet mà không bị ràng buộc bởi vị trí địa lý của họ, chỉ cần có kết nối internet ổn định.
Cải thiện trải nghiệm người dùng: Đây là một ưu điểm cơ bản của chữ ký số trong Thương mại điện tử, khi các quy trình liên quan đến ký chứng từ và thanh toán trở nên đơn giản, nhanh chóng và an toàn hơn, không gây ra sự phức tạp và chỉ mất vài phút.
Đơn giản hóa các hợp đồng B2B: Chữ ký số trong Thương mại điện tử cũng có thể được áp dụng trong các giao dịch tài chính giữa các công ty hoặc tổ chức Hợp đồng Thương mại điện tử B2B thường phức tạp và yêu cầu sự tham gia của các nhóm pháp lý, tuy nhiên, việc sử dụng chữ ký số giúp tiết kiệm thời gian và chi phí, giảm bớt sự phức tạp trong quá trình thực hiện.
Bên cạnh những ưu điểm nổi bật đã được đề cập, chữ ký số vẫn tồn tại một số hạn chế đáng lưu ý như:
Khả năng phức tạp khi phát hiện sai sót hoặc giả mạo: Mặc dù trường hợp sai sót hoặc giả mạo chữ ký số thường xuyên xảy ra rất ít, nhưng việc cần phải tính đến Trong trường hợp chữ ký số gặp vấn đề, làm trở ngại cho quá trình xác thực người sử dụng không chính xác, việc kiểm tra lại chữ ký số đó sẽ trở nên phức tạp và tốn thời gian.
Một số loại chữ ký số gặp khó khăn trong quá trình kê khai thuế trực tuyến: Sử dụng chữ ký số trong quá trình kê khai thuế trực tuyến có thể gặp phải một số vấn đề như: cài đặt Java, không tương thích với trình duyệt Internet Explorer, lỗi về hồ sơ thuế chưa được đăng ký trực tuyến, vấn đề về cấu trúc hoặc tên tệp khai không hợp lệ, và nhiều vấn đề khác.
3.4 TIỀM NĂNG VÀ KHÓ KHĂN, GIẢI PHÁP CHO ÁP DỤNG CHỮ KÝ SỐ VÀO THƯƠNG MẠI ĐIỆN TỬ HIỆN NAY
3.4.1 Xu hướng và tiềm năng cho áp dụng chữ ký số trong TMĐT
Công nghệ Blockchain và chữ ký số
Công nghệ blockchain là một công nghệ lưu trữ và truyền tải dữ liệu dưới dạng các khối được liên kết với nhau bằng mã hóa, không có sự can thiệp của bên thứ ba Công nghệ blockchain có thể được áp dụng vào chữ ký số để tăng cường tính an toàn, minh bạch và hiệu quả của các giao dịch điện tử trong thương mại điện từ
Trí tuệ nhân tạo và chữ ký số
Trí tuệ nhân tạo là một lĩnh vực khoa học máy tính liên quan đến việc mô phỏng các khả năng của trí tuệ con người bằng máy móc, như học, suy luận, nhận biết, lập kế hoạch và ra quyết định Trí tuệ nhân tạo có thể được áp dụng vào chữ ký số để tối ưu hóa quá trình xác thực danh tính, kiểm tra toàn vẹn nội dung và phát hiện gian lận
Ngoài ra, trí tuệ nhân tạo và chữ ký số có thể giúp thương mại điện tử tăng cường khả năng thu hút, giữ chân và phục vụ khách hàng, bằng cách sử dụng các thuật toán đề xuất sản phẩm, tối ưu hóa giá cả, tăng tương tác và bảo mật giao dịch. Điện toán đám mây và chữ ký số Điện toán đám mây là một công nghệ cung cấp các dịch vụ máy tính qua internet, như lưu trữ, xử lý, phân tích và truyền tải dữ liệu Điện toán đám mây có thể được áp dụng vào chữ ký số để cung cấp một nền tảng lưu trữ, quản lý và truy cập dữ liệu một cách linh hoạt, tiện lợi và tiết kiệm chi phí Trong thương mại điện tử, điện toán đám mây và chữ ký số có thể giúp tạo ra các hợp đồng điện tử có giá trị pháp lý bằng với hợp đồng giấy, bằng cách sử dụng các nền tảng hoặc ứng dụng hỗ trợ tạo, ký, lưu trữ và quản lý hợp đồng điện tử.
3.4.2 Khó khăn cho áp dụng chữ ký số trong TMĐT
Công tác phổ biến và tuyên truyền về các chính sách, quy định của Nhà nước liên quan đến việc sử dụng chữ ký số vẫn chưa được triển khai một cách rộng rãi đến tất cả các cơ quan nhà nước Do đó, một số cơ quan vẫn gặp khó khăn trong việc xây dựng kế hoạch triển khai cụ thể Thông tin về tư vấn và hỗ trợ kỹ thuật không đủ kịp thời và đầy đủ, dẫn đến khó khăn trong quá trình áp dụng chữ ký số tại các cơ quan nhà nước. Một số quy định về công tác văn thư và lưu trữ vẫn chưa phù hợp với việc sử dụng văn bản điện tử kèm chữ ký số.
Tại Việt Nam, vẫn tồn tại một số vấn đề gây trì trệ quá trình số hóa và công dân hóa điện tử tại nhiều địa phương, tỉnh thành Điều này dẫn đến việc không đạt được mức tiêu chuẩn của chương trình chuyển đổi số quốc gia đặt ra, đặc biệt là trong chiến lược định hướng đến năm 2025 của Chính phủ Do đó, số lượng người dân truy cập và yêu cầu cung cấp chữ ký số vẫn chưa đạt mức cao như mong đợi.
Trong lĩnh vực thương mại điện tử và thực hiện theo quy định của Luật giao dịch điện tử 2005 và Nghị định số 130/2018/NĐ-CP, việc sử dụng chữ ký số đang gặp phải nhiều hạn chế Cụ thể, các giải pháp chứng thực hiện tại thường phụ thuộc vào USB Token, điều này làm cho quá trình sử dụng chữ ký số không tiện lợi và không linh hoạt Người dùng không thể ký tài liệu mọi lúc, mọi nơi, trên mọi nền tảng như mong muốn.
Ngoài ra, giá thành của các thiết bị chứng thực chữ ký số vẫn còn cao, gây ra rào cản cho cá nhân muốn sử dụng chữ ký số Điều này ảnh hưởng đến sự phát triển của việc sử dụng chữ ký số cho cá nhân trong các giao dịch điện tử.
3.4.3 Biện pháp khắc phục cho áp dụng chữ ký số trong TMĐT Để vượt qua những hạn chế đã được đề cập trước đó, đã có nhiều giải pháp được áp dụng nhằm thúc đẩy việc sử dụng chữ ký số:
ĐÁNH GIÁ HIỆU QUẢ
4.1 HIỆU QUẢ TRONG ỨNG DỤNG VÀO CƠ QUAN NHÀ NƯỚC
Hình 12 Thống kê các cơ quan nhà nước có số lượng chữ ký số nhiều nhất
Trong quá trình ứng dụng chữ ký số chuyên dùng, các cơ quan, tổ chức đánh giá chữ ký số chuyên dùng có nhiều hiệu quả cụ thể:
Nâng cao hiệu quả, rút ngắn thời gian xử lý công việc.
Tiết giảm một phần chi phí in ấn giấy tờ, tiết kiệm thời gian luân chuyển văn bản, tài liệu.
Giảm thời gian trình ký hồ sơ, tài liệu so với ký văn bản giấy
Việc sử dụng chữ ký số đảm bảo an toàn các giao dịch điện tử, tạo được môi trường làm việc trực tuyến hiện đại, tiết kiệm thời gian và chi phí.
Nâng cao hiệu quả công việc, tăng tính công khai, minh bạch trong quản lý điều hành, góp phần tích cực trong việc cải cách hành chính.
4.2 HIỆU QUẢ TRONG LĨNH VỰC NGÂN HÀNG
Hiệu quả sử dụng chữ ký số: chống sửa đổi giao dịch sau khi đã ký, tăng cường an toàn trong xác thực đăng nhập hệ thống công nghệ thông tin, chống từ chối khi ký giao dịch
Hình 13 Đối tượng, mục đích sử dụng chữ ký số nhiều nhất
Theo báo cáo của NEAC trên cho ta thấy giao dịch trong ngân hàng là một trong những lĩnh vực được cả đối tượng người dùng là tổ chức lẫn cá nhân tin tưởng sử dụng một cách rộng rãi Điều này cho thấy sự hiệu quả trong việc bảo mật và tiện lợi của chữ ký số.
4.3 HIỆU QUẢ TRONG LĨNH VỰC ĐẤU THẦU
Hình 14 Kết quả ứng dụng chữ ký số trên hệ thống đấu thầu quốc gia
Hình 15 Kết quả ứng dụng chữ ký số trên hệ thống đấu thầu quốc gia
Trong lĩnh vực đấu thầu, việc áp dụng chữ ký số đã đóng góp vào việc bổ sung và hoàn thiện tính năng của Hệ thống e-GP, tạo ra một môi trường hoạt động thông suốt và đảm bảo an toàn an ninh mạng Nhờ vào chữ ký số, các tiện ích của Hệ thống e-GP đã được nâng cao, đáp ứng tốt hơn các yêu cầu của công tác đấu thầu qua mạng.
Một trong những điểm nổi bật của việc áp dụng chữ ký số là việc đơn giản hóa các thủ tục hành chính trong quá trình đấu thầu Hồ sơ đăng ký tài khoản trên Hệ thống đấu thầu quốc gia được tiếp nhận trực tuyến, giúp tiết kiệm thời gian và công sức cho các bên tham gia. Đồng thời, chữ ký số cũng đảm bảo bảo mật, chính xác và toàn vẹn của dữ liệu trong các giao dịch trên hệ thống Điều này tạo ra một môi trường đấu thầu công bằng, minh bạch và giúp giảm thiểu rủi ro về sự gian lận và làm giả thông tin.
Việc thực hiện đấu thầu qua mạng cũng góp phần nâng cao hiệu quả của công tác đấu thầu, tạo ra một môi trường cạnh tranh lành mạnh Các tổ chức và doanh nghiệp có thể
36 tiết kiệm chi phí phát sinh như chi phí mua hồ sơ mời thầu, chi phí đi lại, in ấn so với hình thức đấu thầu truyền thống. Đặc biệt, dịch vụ chứng thực chữ ký số chuyên dùng được cung cấp miễn phí trong Hệ thống đấu thầu quốc gia, giúp tiết kiệm ngân sách nhà nước và chi phí xã hội Tỷ lệ tiết kiệm và giảm nhân sự tham gia vào công tác đấu thầu cũng được ghi nhận cao hơn so với các phương thức đấu thầu khác
4.4 HIỆU QUẢ TRONG THU THUẾ XUẤT NHẬP KHẨU
Hình 16 Số lượng doanh nghiệp nộp thuế qua mạng giai đoạn 2015 – 2022
Trong quá trình hoạt động của Tổng Cục Hải Quan, việc áp dụng chữ ký số đã mang lại nhiều hiệu quả tích cực và đa chiều:
Ban hành các văn bản quy phạm pháp luật đã thúc đẩy sự ứng dụng của chữ ký số trong các quy trình công việc Việc triển khai chữ ký số cho thao tác ký và xác thực văn bản trực tuyến không chỉ đảm bảo tính pháp lý của thông tin trên mạng Internet mà còn là bước quan trọng tiến tới xây dựng Chính quyền điện tử Điều này đã góp phần giảm bớt sự phụ thuộc vào giấy tờ hành chính và tối ưu hóa các quy trình làm việc. Ứng dụng chữ ký số cũng đã góp phần rút ngắn thời gian thông quan hàng hoá và đơn giản hóa các thủ tục hành chính liên quan đến tờ khai xuất nhập khẩu Việc này không chỉ tạo điều kiện thuận lợi cho hoạt động xuất nhập khẩu mà còn giúp tối ưu hóa quy trình làm việc của các doanh nghiệp và cơ quan Hải quan. Đảm bảo tính bảo mật và an toàn thông tin cũng là một ưu điểm quan trọng của việc sử dụng chữ ký số Điều này giúp giảm thiểu rủi ro về thất thoát thông tin và tăng cường sự tin cậy trong công tác quản lý ngân sách nhà nước.
Ngoài ra, ứng dụng chữ ký số còn đảm bảo tính pháp lý của các giao dịch điện tử giữa các cơ quan Hải quan và doanh nghiệp tham gia hoạt động xuất nhập khẩu Điều này giúp tạo điều kiện thuận lợi cho việc thực hiện các giao dịch và hợp đồng trực tuyến một cách an toàn và hiệu quả.
Cuối cùng, việc ứng dụng chữ ký số đã giảm thiểu chi phí và thời gian cho các doanh nghiệp trong quá trình khai báo hải quan điện tử Điều này cũng giúp giảm bớt nhân sự cần thiết cho công tác kiểm tra và xác minh thông tin, đồng thời tối ưu hóa quy trình làm việc của cơ quan Hải quan.
4.5 HIỆU QUẢ ĐỐI VỚI NGƯỜI DÙNG CÁ NHÂN
Hình 17 Thống kê về mục đích khách hàng cá nhân sử dụng chữ ký số
Chữ ký số là một công nghệ quan trọng trong thế giới kỹ thuật số hiện đại, mang lại nhiều lợi ích đối với người dùng cá nhân Trong bối cảnh môi trường trực tuyến ngày càng phổ biến và quan trọng, việc hiểu và sử dụng chữ ký số đúng cách đem lại những ảnh hưởng tích cực đến cuộc sống và công việc của mỗi cá nhân.
Trước hết, chữ ký số giúp người dùng cá nhân xác thực tính toàn vẹn của thông tin. Bằng cách tạo ra một mã số duy nhất cho mỗi tài liệu điện tử, chữ ký số cho phép người nhận biết liệu tài liệu đó đã bị sửa đổi hay không Điều này cực kỳ hữu ích trong việc đảm bảo tính chính xác của thông tin được chia sẻ trực tuyến, đặc biệt là trong các giao dịch quan trọng như ký kết hợp đồng hoặc giao dịch tài chính.
Ngoài ra, chữ ký số cũng giúp người dùng cá nhân xác định nguồn gốc của thông tin. Khi một tài liệu được ký bởi chữ ký số của một cá nhân hay tổ chức cụ thể, người nhận có thể chắc chắn rằng tài liệu đó được tạo ra hoặc phê duyệt bởi đúng người hoặc tổ chức mà nó tuyên bố Điều này giúp tránh được các trường hợp lừa đảo hoặc giả mạo danh tính trực tuyến.
Không chỉ mang lại tính toàn vẹn và nguồn gốc, chữ ký số cũng đảm bảo tính bảo mật cho thông tin cá nhân của người dùng Bằng cách sử dụng các phương pháp mã hóa mạnh mẽ, chữ ký số trở thành một công cụ đáng tin cậy để bảo vệ thông tin quan trọng khỏi sự xâm nhập và sửa đổi trái phép.
Ngoài những ảnh hưởng trên, chữ ký số cũng có giá trị pháp lý trong một số trường hợp Việc sử dụng chữ ký số có thể giúp xác nhận tính xác thực của các giao dịch hoặc thoả thuận trực tuyến, bảo vệ quyền lợi của người dùng cá nhân theo pháp luật.