Điều 22, Luật Giao dịch điện tử (Việt Nam),

Một phần của tài liệu GIÁO TRÌNH INTERNET VÀ THƯƠNG MẠI ĐIỆN TỬ (Trang 129 - 135)

- Thẻ y tế và phúc lợi xã hội: Nhiều nước với hệ thống chăm só cy tế quốc gia

4 Điều 22, Luật Giao dịch điện tử (Việt Nam),

để thực hiện ký kết, hơn nữa do đặc thù của các văn bản điện tử việc xác định và tìm

ra các thay đổi trong nội dung rất khó thực hiện. Chữ ký số giúp giải quyết vấn đề

trên và tăng cường tính bảo mật và tồn vẹn nội dung văn bản tốt hơn nhiều lần so với chữ ký trên giấỵ

Bên cạnh đó, chữ ký số rất khó giả mạo như trong trường hợp của chữ ký trên giấy và con dấụ Bản chất của chữ ký trên giấy là phải giống nhau qua các lần ký, chính vì thế việc cắt dán, sao chép hay ký giả sẽ được thực hiện và rất khó bị phát

hiện do các chữ ký trên giấy của một người phải giống nhaụ Tuy nhiên, với công nghệ ký số mỗi chữ ký gắn với văn bản được ký sẽ hoàn toàn khác nhau nếu nội dung văn bản đó chỉ khác nhau dù một chi tiết nhỏ. Hơn nữa, việc xác thực một người có phải là chủ của chữ ký số lại có thể được thực hiện dễ dàng và chính xác. Với cơng

nghệ khóa cơng khai, chữ ký số có một số ưu điểm hơn so với chữ ký trên giấỵ

Bảng 3.6. Những ưu điểm của chữ ký số so với chữ ký trên giấy Đặc điểm Chữ ký trên giấy Chữ ký số

Có thể sử dụng đối với các chứng từ & giao

dịch điện tử Khơng Có

Tự động hóa xác thực chủ thể của chữ ký Khơng Có

Chữ ký giúp xác thực tính nguyên vẹn

của nội dung văn bản Khơng Có

Thể hiện cam kết đối với nội dung văn bản Có Có

Có thể được hỗ trợ bởi các yếu tố quanh việc

ký kết Có Có

Được luật pháp các nước thừa nhận Có Có

Bên cạnh đó, xác thực thời gian ký điện tử cũng dễ dàng hơn và khó giả mạo

hơn đối với chữ ký bằng giấy với sự hỗ trợ của các máy chủ lưu trữ về thời gian ký

(trusted time-stamping server).

Chữ ký số giữ vai trị đảm bảo an tồn cho các giao dịch điện tử. Đây là yếu tố quan trọng nhất và là điều kiện tiên quyết khi chuyển các giao dịch có giá trị lớn trên giấy tờ sang giao dịch trên mạng, đem lại lợi thế cạnh tranh cho các doanh nghiệp

trong bối cảnh hội nhập kinh tế quốc tế. Thay vì việc truy cập một website, điền các mẫu (form) đặt hàng, giao dịch có sẵn, sau đó in ra giấy và ký theo phương thức

truyền thống rồi gửi đơn hàng qua bưu điện hoặc fax, việc sử dụng chữ ký số cho

phép những bước cuối cùng trong quy trình giao dịch được thực hiện tự động trên

mạng. Trong môi trường mở của mạng Internet hiện nay, khi các giao dịch đặc biệt

liên quan đến thanh tốn, tài chính và ngân hàng, doanh nghiệp cần nhận thức được

tầm quan trọng và vai trị của bảo mật và an tồn cũng như quy định của các nước về vấn đề nàỵ Với các giao dịch thương mại điện tử B2C, giá trị các giao dịch nhỏ, các

cá nhân thường sử dụng các thông tin trên thẻ tín dụng để xác thực sự đồng ý của

mình và dùng các thơng tin này tương đương với “chữ ký” khi thực hiện các giao dịch nàỵ Với các giao dịch thương mại điện tử B2B có giá trị lớn, việc sử dụng chữ ký số là cần thiết vì tầm quan trọng của giao dịch và đòi hỏi về mức độ bảo mật cũng cao hơn.

3.1.2. Sử dụng chữ ký số trong giao dịch điện tử 3.1.2.1. Quy trình tạo lập chữ ký số

Chính quy trình tạo lập chữ ký số đem lại những lợi thế ưu việt hơn so với chữ ký bằng tay trên giấỵ Chữ ký số về bản chất là một thông điệp dữ liệu có dạng file text, tập hợp các ký tự hoặc một loại thông điệp dữ liệu đặc thù do phần mềm ký số sinh ra dựa trên các thuật toán nhất định. Việc tạo ra chữ ký số phụ thuộc vào ba yếu tố: (i) bản thân văn bản điện tử cần ký (ii) khóa bí mật (private key) và (iii) phần

mềm để ký số.

- Văn bản điện tử hay thông điệp dữ liệu cần ký số là yếu tố đầu vào thứ nhất

để tạo ra chữ ký số; do đó các văn bản khác nhau sẽ có chữ ký số gắn kèm khác nhau;

- Khóa bí mật có thể là một mật khẩu (password) hoặc một thông điệp dữ liệu; - Phần mềm ký số là phần mềm có chức năng tạo ra các chữ ký số từ hai yếu tố là văn bản cần ký, khóa bí mật và gắn chữ ký số được tạo ra vào thơng điệp gốc.6

Khóa bí mật và phần mềm để ký số được cấp cho người ký hoặc tổ chức của

người ký, gắn duy nhất với người này hay tổ chức này, do cơ quan chứng thực điện tử cấp. Tương ứng với khóa bí mật có duy nhất một khóa cơng khai (cũng là một thơng

điệp dữ liệu hoặc mật khẩu) do cơ quan chứng thực tạo ra cho cá nhân hay tổ chức sử

dụng khóa bí mật. Khóa cơng khai được công bố cho các bên liên quan hoặc mọi

người biết, giống như danh bạ điện thoại của các cá nhân và tổ chức do bưu điện

công bố để mọi người sử dụng khi cần giao dịch.

Cơ quan giữ vai trò quan trọng nhất trong việc sử dụng chữ ký số chính là các Tổ chức cung cấp dịch vụ chứng thực chữ ký số, trong đó tổ chức cung cấp dịch vụ

chứng thực chữ ký số quốc gia (Root Certification Authority) là tổ chức cung cấp dịch vụ chứng thực chữ ký số cho các tổ chức cung cấp dịch vụ chữ ký số công cộng. Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia là duy nhất. 7 Các tổ chức cung cấp dịch vụ chứng thực chữ ký số có nhiệm vụ tạo ra cặp khóa cơng khai & bí mật và cấp chứng thư số cho các thuê bao (là tổ chức và cá nhân đăng ký sử dụng

dịch vụ). Thông thường, chứng thư số là thơng điệp dữ liệu trong đó có các nội dung

6 Điều 3, mục 11, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số

cơ bản như: Thông tin về cá nhân, tổ chức được cấp chứng thư số, khóa cơng khai, thời hạn sử dụng, số chứng chỉ, chữ ký số và thông tin của tổ chức cấp chứng chỉ số.

Hình 3.2 . Minh hoạ nội dung của chứng chỉ số

Nguồn: www.verisign.com

Một nhiệm vụ quan trọng của tổ chức cung cấp dịch vụ chứng thực điện tử là duy trì trực tuyến cơ sở dữ liệu về chứng thư số để các cá nhân và tổ chức có thể truy cập và sử dụng trong quá trình sử dụng chữ ký số.

Hình 3.3. Minh hoạ quy trình tạo chứng thư điện tử

Nguồn: Bài giảng TS. Mai Anh, Chữ ký số, 2007 và các nguồn khác

Quy trình tạo chứng thư điện tử cho người sử dụng gồm bốn bước như sau:

Bước 1. Cơ quan chứng thực tạo ra cặp khóa cơng khai và bí mật cho người

sử dụng

Bước 2. Cơ quan chứng thực tạo thông điệp nội dung chứng chỉ số với đầy đủ

Bước 3. Rút gọn chứng chỉ số và ký xác nhận bằng khóa bí mật của mình Bước 4. Gắn chữ ký số vào thông điệp chứa nội dung chứng chỉ số để tạo

thành chứng chỉ số (chứng chỉ này người đăng ký biết và được lưu trữ trên website

của nhà cung cấp dịch vụ để các bên liên quan có thể sử dụng trong giao dịch).

Việc chứng thực chữ ký điện tử thực chất là xác thực các thông tin về người

gửi có đúng với các thơng tin trên chứng thư điện tử hay không, việc này được thực

hiện bằng khóa cơng khai của chính cơ quan chứng thực đã cấp chứng thư điện tử.

Những thông tin về người gửi và khóa cơng khai đã được cơ quan chứng thực xác

nhận bằng cách ký bằng khóa bí mật khi cấp chứng chỉ số.

Khi người nhận muốn xác thực các thông tin về người gửi thông điệp, người

nhận sẽ sử dụng khóa cơng khai của Cơ quan chứng thực để giải mã chứng thư điện

tử của người nhận hoặc phần chữ ký số của cơ quan chứng thực gắn với chứng thư

điện tử để xác thực nội dung chứng thư đặc biệt là khóa cơng khai có gắn với người

gửi hay khơng.

3.1.2.2. Quy trình sử dụng chữ ký số để ký các thông điệp dữ liệu

Để ký một chứng từ điện tử, người gửi sẽ sử dụng khóa bí mật và phần mềm

ký điện tử để mã hóa chứng từ đó thành chữ ký số rồi gửi cho người nhận. Tuy nhiên, về nguyên tắc, để tạo điều kiện thuận lợi cho người nhận trong q trình kiểm tra tính tồn vẹn của nội dung chứng từ và xác thực chứ ký, người gửi có thể gửi kèm theo thơng điệp đã ký khóa cơng khai và chứng thư điện tử của mình hoặc địa chỉ để truy cập chứng thư điện tử của mình. Với khóa cơng khai và chứng thư điện tử, người

nhận sẽ dễ dàng xác thực được chữ ký và nội dung thông điệp.

Nguồn: Bài giảng: TS. Mai Anh, Chữ ký số, 2007 và http://en.wikipediạorg

Quy trình tạo và chứng thực chữ ký số đem lại ba lợi thế cho chữ ký số:

- Chữ ký số là duy nhất đối với từng văn bản được ký vì yếu tố đầu vào thứ

nhất là bản thân chính văn bản đó;

- Chữ ký số là duy nhất đối với chủ thể ký vì yếu tố đầu vào thứ hai là khóa bí mật gắn với chủ thể đó;

- Trong trường hợp cần xác thực thơng tin người đã ký có thể sử dụng chứng

chỉ số và khóa cơng khai của cơ quan chứng thực để kiểm tra

Quy trình thực hiện ký số cũng tạo điều kiện để xác thực chữ ký số dễ dàng

hơn so với chữ ký tay trên giấỵ Việc xác thực chữ ký được thực hiện căn cứ vào ba

yếu tố đầu vào gồm: (i) văn bản được ký ; (ii) chữ ký số và (iii) khóa cơng khaị Quy trình kiểm tra chữ ký số được phần mềm thực hiện và cho kết quả đúng và saị Nếu

B1. Rút gọn văn bản cần ký bằng phần B2. Tạo chữ ký số bằng khóa bí mật & B3. Gửi văn bản gốc, chữ ký số, khóa cơng B4. Giải mã chữ ký

số của người gửi bằn

B5. Rút gọn văn bản

gốc nhận được để có

B6. So sánh hai văn

đúng có nghĩa văn bản và chữ ký số là xác thực nếu sai có nghĩa một trong hai yếu tố

xác thực đã bị thay đổi hoặc sai lệch.

Việc tạo ra chữ ký số có thể do máy tính hoặc các thiết bị điện tử cầm tay thực hiện, các thiết bị này có thể truy cập đến khóa bí mật được lưu tại một vị trí bí mật

trong hoặc ngồi thiết bị đó. Có nhiều loại chữ ký điện tử khác được sử dụng hỗ trợ chữ ký số như thẻ thông minh (smartcard), dấu hiệu sinh học (biometrics) và mật khẩu (passwords). Lợi ích nổi bật nhất của chữ ký số là giải quyết được việc ràng

buộc trách nhiệm của các bên trong giao dịch điện tử. Thông thường, khi một bên xác nhận sự đồng ý với nội dung giao dịch thơng qua việc kích chuột vào nút “I agree”

hoặc “Confirrm” trên website nếu xảy ra tranh chấp sẽ rất khó để xác minh hoặc tìm lại vị trí của các nút trên. Đồng thời cũng rất khó xác định xem đó có phải là nút “I

agrree” đã được sử dụng cho giao dịch hay không, đặc biệt khi các website luôn thay

đổi về nội dung và hình thức. Trong các giao dịch điện tử với giá trị nhỏ được thực

hiện tự động (B2C) chữ ký số được gắn vào các hóa đơn điện tử (receipt) sẽ ràng

buộc trách nhiệm của người bán và tạo được sự tin tưởng của người mua tốt hơn. Công nghệ tạo ra cặp khóa và chứng chỉ số đóng vai trị quan trọng trong việc sử dụng chữ ký số, hiện nay Entrust và Verisign là những nhà cung cấp giải pháp về chữ ký số hàng đầu thế giới hiện nay với công nghệ PKI được nghiên cứu và phát

triển liên tục từ 1994 đến naỵ

3.1.3. Quy định về chữ ký số và sử dụng chữ ký số trong giao dịch điện tử

Chữ ký số lần đầu được xây dựng năm 1976, sau hơn 25 năm liên tục nghiên cứu và phát triển về công nghệ và luật pháp, hiện nay các quốc gia phát triển đều đã có hạ tầng về công nghệ và khung pháp lý điều chỉnh chữ ký số. Việc xây dựng cơ sở hạ tầng về chữ ký số dựa trên cơng nghệ khóa cơng khai đến nay đã được triển khai

rộng khắp tại nhiều nước trên thế giới, tại một số nước hệ thống này được xây dựng với quy mơ rất lớn, ví dụ Bộ Quốc phòng Mỹ đã đầu tư 700 triệu USD từ năm 2000

đến 2005 cho riêng hạ tầng PKI của mình 8. Bên cạnh đó, Hoa Kỳ đưa ra một số quy

định về sử dụng chữ ký số như: Luật về chữ ký điện tử trong giao dịch thương mại

quốc gia và quốc tế (e-Sign, 2000), luật về giao dịch điện tử thống nhất (UETA), Luật về dịch vụ tài chính (Gramm Leach Billey) và luật về loại bỏ các chứng từ giấy trong giao dịch của cơ quan Nhà nước (Government Paperwork Elimination Act). Những quy định loại này không chỉ khiến các tổ chức phải nhanh chóng đáp ứng các chuẩn giao dịch mà còn tạo ra những cơ hội và thách thức. Việt Nam cũng đã xây dựng

xong Luật giao dịch điện tử (2006), Luật công nghệ thông tin (2006) và Nghị định

26/2007/NĐ-CP ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số… để từng bước đưa chữ ký số vào trong các giao dịch điện tử.

Một phần của tài liệu GIÁO TRÌNH INTERNET VÀ THƯƠNG MẠI ĐIỆN TỬ (Trang 129 - 135)

(195 trang)