II. BÀI TẬP TÌNH HUỐNG
TRONG THƯƠNG MẠI ĐIỆN TỬ
7.1.3.1. Chữ ký số trực tiếp
Chữ ký số trực tiếp là hệ thống chữ ký trong đó chỉ có sự tham gia của người gửi và người nhận. Trong trường hợp này, chữ ký số được tạo ra bằng cách mã hóa tồn bộ thơng điệp hoặc chuỗi băm của thơng điệp bằng khóa riêng của người gửi.
Hình 7.1 Tạo chữ ký sớ và kiểm tra chữ ký số
(Nguồn TCVN TCVN 7635: 2007)
Ngoài ra, để đảm bảo tính bí mật, có thể mã hóa tồn bộ thơng điệp và chữ ký bằng khóa cơng khai của người nhận (nếu dùng mã hóa khóa
cơng khai), hoặc bằng khóa bí mật của người gửi và người nhận (nếu dùng mã hóa đối xứng). Ví dụ, để đảm bảo tính bí mật và xác thực, người gửi có thể tiến hành ký thơng điệp (tạo chữ ký) trước, sau đó mã hóa toàn bộ thông điệp và chữ ký; hoặc ngược lại, mã hóa thông điệp trước sau đó tiến hành ký lên thông điệp đã được mã hóa. Trường hợp xảy ra tranh chấp, cần có sự can thiệp của trọng tài viên, thành viên này phải được xem thông báo và chữ ký. Trong cả hai trường hợp, ký trước mã sau hoặc mã trước ký sau, trọng tài viên đều phải biết khóa riêng của người gửi.
Việc sử dụng chữ ký số trực tiếp có một điểm yếu là sự an tồn của khóa riêng của người gửi. Người gửi có thể chối bỏ việc đã gửi một thơng điệp, anh ta có thể tuyên bố: khóa riêng bị mất hoặc bị đánh cắp, một ai đó đã làm giả chữ ký của anh ta.
Để ngăn chặn tình trạng này, cần phải thực hiện các biện pháp kiểm soát quản lý (liên quan đến sự an tồn của các khóa riêng), chẳng hạn như yêu cầu tất cả các thơng điệp được ký phải có tem thời gian (thời điểm gửi), yêu cầu báo cáo cho cơ quan trung tâm về tình trạng các khóa bị lộ. Tuy nhiên, các hiểm họa vẫn còn tồn tại như: khóa riêng của X có thể bị đánh cắp tại thời điểm T và sau đó có thể được sử dụng để gửi thông điệp với chữ ký của X và gắn tem thời gian ở trước hoặc tại đúng thời điểm T.