THƯƠNG MẠI ĐIỆN TƯ Tìm hiểu về chữ ký số và các giải pháp đảm bảo an toàn giao dịch thương mại điện tử I Chữ ký sô Khái niệm Để thực hiện các giao dịch điện tử nộp hồ sơ, thuế, sử dụng hóa đơn điện tử…, tổ chức – cá nhân phải có chữ ký sơ Vậy chữ ký sơ là gì? • Chữ ký sô là thông tin kèm theo dữ liệu (văn bản: word, excel, pdf…; hình ảnh; video ) nhằm mục đích xác định người chủ dữ liệu đó Chữ ký sô hiểu dấu điện tử doanh nghiệp Vì vậy, chữ ký sô không những dùng việc kê khai thuế, mà người sử dụng có thể sử dụng tất cả các giao dịch điện tử với tổ chức và cá nhân khác • Chữ ký sơ dựa cơng nghệ mã hóa công khai, người dùng phải có cặp khóa gồm khóa công khai (public key) và khóa bí mật (private key) - Khoá bí mật (private key) là một khóa cặp khóa thuộc hệ thông mã không đôi xứng dùng để tạo chữ ký sô - Khoá công khai (public key) là một khóa cặp khóa thuộc hệ thông mã không đôi xứng, sử dụng để kiểm tra chữ ký sô tạo khóa bí mật tương ứng cặp khóa (xác thực chữ ký sơ) Đặc trưng • Tính xác thực danh tính (xác định nguồn gốc): Kiểm tra tính đắn thực thể giao dịch mạng • Tính tồn vẹn : Đảm bảo dữ liệu mã hóa không bị thay đổi Trường hợp dữ liệu mã hóa bị sửa đổi thì không thể khôi phục lại dạng ban đầu Cả hai bên tham gia vào quá trình thông tin có thể tin tưởng là văn bản không bị sửa đổi truyền vì nếu văn bản bị thay đổi thì hàm băm thay đổi và lập tức bị phát hiện Quy trình mã hóa ẩn nội dung đôi với bên thứ ba • Tính khơng thể phủ nhận (Tính chối bỏ): Xác nhận chủ thể thực hiện giao dịch mạng Trong giao dịch, một bên có thể từ chôi nhận một văn bản nào đó là mình gửi Để ngăn ngừa khả này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký sô với văn bản Khi có tranh chấp, bên nhận dùng chữ ký này một chứng cứ để bên thứ ba giải qút • Tính bảo mật: Dữ liệu bảo mật an toàn toàn bộ quá trình xử lý Về kỹ thuật công nghệ chữ ký sô là dựa hạ tầng mã hóa công khai (PKI), đó phần quan trọng là thuật toán mã hóa công khai RSA Thuật toán mã hóa dựa vào cặp khoá bí mật (Private key) và cơng khai (Public key), đó người chủ chữ ký giữ khóa Private key cho cá nhân dùng để tạo chữ ký, Public key cá nhân hay tổ chức đó công bô rộng rãi dùng để kiểm tra chữ ký Khi sử dụng cho việc mã hóa: Private Key để giải mã; Public Key dùng cho mã hóa Công nghệ này đảm bảo chữ ký sô một người dùng nào đó tạo là nhất, không thể giả mạo và có người sở hữu khóa bí mật có thể tạo chữ ký sô đó (đã chứng minh mặt kỹ thuật mã hóa) Cơ sở pháp lý Một sô văn bản quy phạm pháp luật Quôc hội, Chính phủ và các Bợ thơng qua và ban hành liên quan đến chữ ký sô: Luật Giao dịch điện tử số 51/2005/QH11 Quôc hội thông qua ngày 29/11/2005 quy định giao dịch điện tử hoạt động các quan nhà nước; lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác pháp luật quy định Luật Công nghệ thông tin số 67/2006/QH11 Quôc hội thông qua ngày 29/6/2006 quy định hoạt động ứng dụng và phát triển công nghệ thông tin, các biện pháp bảo đảm ứng dụng và phát triển công nghệ thông tin, quyền và nghĩa vụ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký sô và dịch vụ chứng thực chữ ký sô Thông tư số 05/2010/TT-BNV ngày 01/7/2010 Bộ Nội vụ hướng dẫn cung cấp, quản lý và sử dụng dịch vụ chứng thực chữ ký sô chuyên dùng phục vụ các quan thuộc hệ thông trị Quy trình khởi tạo chữ ký sơ Các hệ thông mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa bí mật mà có người chủ khóa biết Để sử dụng Chữ ký sô thì văn bản cần phải mã hóa hàm băm (thường có độ dài cô định và ngắn văn bản) Sau đó dùng khoá bí mật người chủ khóa để mã hóa, đó ta Chữ ký sô Khi cần kiểm tra, bên nhận giải mã với khóa công khai để lấy lại hàm băm và kiểm tra với hàm băm văn bản nhận Nếu hai giá trị này khớp thì bên nhận có thể tin tưởng văn bản đó xuất phát từ người sở hữu khóa bí mật II Chứng thực chữ ký sô - Dịch vụ chứng thực chữ ký sô là một loại hình dịch vụ chứng thực chữ ký điện tử, tổ chức cung cấp dịch vụ chữ ký sô cấp - Dịch vụ chứng thực chữ ký sô bao gồm: + Tạo cặp khóa, bao gồm: public key và private key + Cấp, gia hạn, tạm dừng, thu hồi chứng thư sô + Duy trì tuyến sở dữ liệu chứng thư sô + Những dịch vụ khác có liên quan Cách thức đăng ký chữ ký sô - Thế nhân: + Dùng chứng minh thư + Dùng các giao dịch đơn lẻ, mang tính bảo mật thấp - Pháp nhân: + Dùng dấu và chữ ký (MST DN) + Dùng tất cả các hoạt động kinh doanh, thương mại,… Một sô lưu ý quá trình sử dụng chữ ký sô - Bảo vệ khóa bí mật và PIN code - Sử dụng và bảo quản thiết bị USB Token/Smartcard - Thông tin hỗ trợ sử dụng - Quy trình cấp phát, bảo hành, xin cấp lại Vai trị chữ ký sơ - Đôi với xã hội: + Giao thông + An ninh, Trật tự + Nâng cao nhận thức giao dịch điện tử cho cộng đồng - Đôi với doanh nghiệp: + Đơn giản, nhanh chóng, thuận tiện + Dữ liệu an toàn, bảo mật, đầy đủ + Tiết kiệm thời gian, chi phí, ưu đãi + Xử lý cơng việc từ nhiều địa điểm - Đôi với quan th́: + Tiết kiệm chi phí quản lý + Thơng tin cập nhật kịp thời + Giảm thiểu các thủ tục hành Các giải pháp đảm bảo an toàn giao dịch thương mại điện tử Giải pháp góc độ quản lý Nhà nước Tăng cường công tác tuyên truyền, giáo dục, phổ biến pháp luật lĩnh vực công nghệ thông tin nói chung và thương mại điện tử nói riêng đôi với nhân dân và đặc biệt các trường đại học, cao đẳng, trung học phổ thông để cung cấp các kiến thức pháp luật cần thiết cho nhân dân, sinh viên và học sinh Nâng cao nhận thức cộng đồng cư dân mạng môi trường thương mại điện tử và cạnh tranh lành mạnh - Hoàn thiện hành lang pháp lý để xử lý tội phạm lĩnh vực công nghệ thông tin nói chung và thương mại điện tử nói riêng Sửa đổi, bổ sung thêm các điều luật tội phạm sử dụng công nghệ cao, tội phạm lĩnh vực thương mại điện tử vào Bợ ḷt Hình sự Đờng thời bở sung tính pháp lý chứng cứ điện tử và ban hành các nghị định hướng dẫn Luật Giao dịch điện tử và Luật Công nghệ thông tin Xử lý nghiêm minh các trường hợp cô tình vi phạm, các trường hợp để lại hậu quả nghiêm trọng - Làm tôt công tác nắm tình hình các đôi tượng có khả thực hiện hành vi phạm tội lĩnh vực thương mại điện tử (các hacker, tổ chức hacker, trang web hacker…) Các quan quản lý Nhà nước công nghệ thông tin và các tổ chức ứng cứu sự máy tính cần tăng cường phơi hợp và đưa các cảnh báo thủ đoạn hoạt động các đôi tượng phạm tội lĩnh vực thương mại điện tử - Đào tạo chuyên môn cho các cán bộ thực thi pháp luật liên quan tới công nghệ thông tin (công an, kiểm sát, toà án) để có đội ngũ cán bộ có trình độ kiến thức công nghệ thông tin phục vụ công tác điều tra, truy tô và xét xử các loại tội phạm liên quan tới công nghệ thông tin Giải pháp cho doanh nghiệp: - Bản thân các doanh nghiệp phải tự trang bị hệ thông an ninh mạng chắn, áp dụng các biện pháp kỹ thuật, công nghệ để bảo vệ mình Biện pháp hữu hiệu hiện và hầu hết các doanh nghiệp sử dụng việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI - Public Key Infrastructure) đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ sô và chứng sô - Xây dựng sách an ninh mạng và yêu cầu nhân viên phải chấp hành nghiêm túc Điều đó có ý nghĩa quan trọng việc xây dựng ý thức và thể chế hóa hoạt động đảm bảo an ninh cho thương mại điện tử Các doanh nghiệp phải nhắc nhở nhân viên mình ý thức vấn đề an ninh mạng và những nguy công mà doanh nghiệp có thể gặp trường hợp thiếu kinh nghiệm thiếu sự lưu tâm mức từ phía họ Nhân viên cần lưu ý các giải pháp an toàn mạng: - Sử dụng mật bí mật, quét virus và cập nhật các chương trình phịng, chơng virus thường xuyên Sử dụng các thiết bị kiểm soát việc vào trụ sở làm việc như: Các thẻ từ, mã điện tử, thẻ thông minh các thiết bị nhận dạng, đánh dấu nhận dạng tia cực tím, các hệ thông phát hiện xâm phạm camera, chuông báo động Thường xuyên lưu dữ liệu vào những nơi an toàn Giải pháp cho khách hàng: - Tránh để lợ, cắp các thơng tin bí mật liên quan tới tài khoản, mật khẩu… Trong trường hợp đặc biệt cần thông báo cho nhà cung cấp để đảm bảo an toàn cho tài khoản khách hàng - Khơng đặt mật là những thơng tin mang tính phổ biến thường dùng để giao tiếp tên người thân, ngày, tháng, năm sinh, sô điện thoại, sô chứng minh nhân dân Không nên ghi mật vào các thiết bị thường sử dụng ghi mật giấy Không kiểm tra tài khoản hay thực hiện các giao dịch những nơi công cộng, là các dịch vụ Internet công cộng - Thường xuyên theo dõi những thông tin tài khoản mình Lưu ý kiểm tra tài khoản và thực hiện các giao dịch các máy tính (khơng virus, khơng có các chương trình theo dõi và không để người khác theo dõi…) Nếu sử dụng thẻ tín dụng để toán, nhờ ngân hàng thông kê tình hình thu, chi định kỳ hàng năm ... thực chữ ký sô - Dịch vụ chứng thực chữ ký sô là một loại hình dịch vụ chứng thực chữ ký điện tử, tổ chức cung cấp dịch vụ chữ ký sô cấp - Dịch vụ chứng thực chữ ký. .. lý + Thông tin cập nhật kịp thời + Giảm thiểu các thủ tục hành Các giải pháp đảm bảo an toàn giao dịch thương mại điện tử Giải pháp góc độ quản lý Nhà nước Tăng cường... các giao dịch đơn lẻ, mang tính bảo mật thấp - Pháp nhân: + Dùng dấu và chữ ký (MST DN) + Dùng tất cả các hoạt động kinh doanh, thương mại,… Một sô lưu ý quá trình sử dụng chữ