I Phân loại an toàn máy tính
7.Ban hành luật
Việc triển khai và sử dụng cỏ hiệu quả các PKI (đặc biệt trong lĩnh vực thương mại điện lử) phụ thuộc vào việc giải quyết lình trạng pháp lý không rõ ràng - như phụ thuộc vào việc giải quyết các vấn đề kỹ thuật. Nhiều luậl sửa đổi bổ xung có thể giải quyết hiệu quả mội số tình trạng pháp lý không rõ ràng. Thêm vào đỏ, các khởi xướng l iêng có thể quy định cơ sở hạ tầng có lổ chức, dùng cho việc triển khai kỹ thuật khoá công khai.
Tuy nhiên, giải pháp phù hợp nhất cho việc giải quyết lình trạng pháp lý không rõ ràng và các yêu cẩu của cơ sở hạ lầng là ban hành các luật Ihích hựp. Tối thiểu, các luật chữ ký số quy định rằng: các Iruyền thông điện tử và các bản ghi được ký bằng chữ ký số là hựp pháp và có hiệu lực như là các tài liệu được ký Iruyền ihống. Các luật chữ ký số khác không chỉ đưa ra tính hợp lệ và giá trị dựa trên bằng chứng của tài liệu được ký số, mà còn thiết lập các chế độ quản lý hợp pháp PKI toàn diện, có thể giải quyết các vấn đề như: trách nhiệm pháp lý, các kho lưu giữ và chấl lưựng của CA.
Tại Mỹ, Ulah là bang đẩu tiên han hành luật chữ ký số, tiếp theo là bang Caniibrnia. Sau đó, nhiều bang cúa Mỹ đã ban hành luật chữ ký số hoặc dưa ra một số các đề xuấl về luậl chữ ký số. Mội số nước đã ban hành luật, ví dụ như Đức, Đan mạch và Ý.
7.1 Công nghệ
M ột sô các dạo luật và các đề xuấl liên quan tới "chữ ký" chí quan lâm dến mục tiêu của mât mã khoá công khai hoặc PKI. Các đề xướng như vâỳ quy
định: công nhộn pháp lý và bắl buộc truyền thông có các kiểu chữ ký điện lử đi kèm, trong đó có các chữ ký số. Đồi khi, các hoạt động và các đề xuâì như vậy đưực mô tả như tecltnoloỊỊV-iieỉttral.
Ngưực lại, ban hành luật tecìm<)ÌOỊ>\'-speàfic (ví dụ quan tâm nhiều vào các khả năng của măl mã khoa còng khai) cho phép liôn kếl luật chi tiết, làm chính sách trong phạm vi khả năng mở rộng, hoăc các điểm yếu dỗ bị tấn công của công nghệ đặc thù. Ví dụ, mộl hệ thống khoá công khai thực hiện chức năng đơn ihuần - quy định mộl mức tin cậy cao đối với việc xác thực của các thành viên lliam gia Iruyền ihông, tính loàn vẹn của thông báo và có thổ cả tính tin cây.
Ban hành luật (đưa ra các PKI mội cách chính xác và đầy đủ) cũng có thể cung cấp các giả định có bằng chứng để liên kết mộl Ihông báo (thông báo này được ký bằng khoá riêng) với mộl tổ chức và có ihể tạo ra cơ sở hạ làng hựp pháp cần thiết nhằm hỗ trợ chống bác bỏ. Nói cách khác, han hành luậl teehnology-neutral cho phép những người điều chỉnh luật linh hoạt hơn, phù hợp với các giải pháp an toàn, hao gồm các công nghệ mới và các công nghệ này có thể được phát triển trong tương lai, thị trường sẽ chấp nhân các công nghô thích hợp nhất.
7.2 Phạm vi và chi tiết
Những người làm chính sách tán ihành các cách tiếp cận khác nhau đôi với phạm vi và chi tiết trong luật chữ ký số. Ví dụ, một số nhà làm luật và các học gia cho rằng: luậl chữ ký số không nên quá chi liốt đến nỗi trở thành nặng nề, tóm lại gọi là liếp cân tối thiểu, nó quy định một cách ngắn gọn sự hựp lệ của các lài liệu điện lử và có thể uỷ quyền làm luật cho một thực thể quản trị lliích hợp. Thêm vào dỏ, một số nước lựa chọn đổ đưa ra các luậl mà chỉ giới hạn irong các nội dung Ihuộc lĩnh vực công khai.
Một ví dụ về tiếp cận tối thiểu do Caniíornia quy định. Đây là một luậl rất ngắn gọn, các nội dung của nó đưn giản như sau:
16.5 Sử dụng cltữ ký s ố
(ci) Troỉiíị một cuộc truyền thônq bất kỳ với một thực th ể công khai, như đã được trình bày Irong mục Hỉ 1.2, trong đỏ yêu cầu hoặc sử dụng một chữ kỷ, mọi thành viên trong cuộc truyền thông cố th ể kỷ lên bằng cách sử dụng tnộl
chữ kỷ s ố tuân theo các yêu cầu của mục ìià\. Việc sứ dụiií> một chữ ký s ổ sẽ dại được lác dụng và hiệu quả như khi sứ dụng chữ kỷ viết lav - khi và chi khi chữ ký s ố cô lất cả cúc thuộc lính như sau:
1) Chữ ký sỏ là duy nhất đối với người sứ dụng nó. 2) Nó cỏ khả ìiăìig kiểm tra được.
3) Nó chịu sự kiểm soát duy nhất của người sử dụng nỏ.
4) Nó được Hên kếl với dữ liệu theo cácli sưu: nếu dữ liệu bị thay đổi íìù chữ ký sỏ không còn hợp lệ Iiỉĩa.
5) Nó tuân llieo các điều luật dược Nt>oại Irưâtig thông qua. Các điều luật ban đầu s ẽ được lliồiiỊỊ qua Irtiớc tiiỊày I I I I 1997.
(b) Việc sứ dụng và chấp nhận mội cltữ ký s ố thuộc quyền lựa chọn của rác thành viên. Trong mục này, không có bái cứ điều gì yêu cần mội thực th ể ( ông khai sử dụng hoặc cho phép sứ dụng một chữ ký sô.
(c) Cúc chữ kỷ s ố được sứ dụng llieo đúng mục 71066 (trong Public Resources Ctìde) dược miễn mục này.
(cl) C h ữ k ý s ố c ó n g h ĩa là m ộ l tên đ iệ n tứ, đ ư ợ c t ạ o r a th ô n g q u a m á y lính,
với mục đích: thành viên sử dụng nỏ đạí dược tác dụng và hiệu quả như khi sứ clụntỊ chữ kỷ viết tay.
Tiếp cân tôi thiểu có thể làm cho công nghệ trở nên mềm dẻo hơn và đáp ứng các luật mới. Tuy nhiên, tiếp cận tối thiểu có thể bỏ qua nhiều yêu cầu quan trụng. Ví dụ, hạn chế hiệu quả của việc ban hành luật chữ ký số vào các hoại động ihuộc lĩnh vực công khai, hoặc các lác động qua lại giữa các thành viên bí mâl và công khai, rõ ràng là hạn chế lợi ích, có thể bỏ qua các rào cản quan trọng và các vấn đề không được giải quyết. Kỹ thuật chữ ký số còn mới và phức lạp, do vây các luật hiện hành nên quy định một khung làm việc hợp pháp thích hựp - nhằm thiết lâp một PKI đáng lin cậy, việc thiết lập này dưực cần phối hợp và kiểm soát, c â n bổ xung thêm các vấn đề hợp pháp thiết yếu (ví dụ như chia nhỏ trách nhiệm pháp lý), chứ không phải chỉ cỏ lính hợp lệ cứa một chữ ký số.
Ngược lại với tiếp cận tối thiểu, tiếp cận loàn diện hình thành một luật, luật
này b ao trùm lên nh iều khía cạnh củ a vấn đề, chi tiết hơn và khả năng ứng
dụng rộng hơn.
Tiếp cân loàn diện được luậl chữ ký số của Ulah lỏm tắt, phác ihảo như sau: Phần 1. Đề mục, giải thích và các định nghĩa
Phần 2. Việc cấp phép và dự luật của các CA Phần 3. Trách nhiệm của CA và ihuê bao Phần 4. Hiệu lực của một chữ ký số
Phổn 5. Các dịch vụ và các kho chứa đưực lổ chức lại
7.3 Các văn bản và chữ ký
Yêu cầu lối thiểu đối với một dạo luậl chữ ký số là: công nhận tính hựp lệ và làm cho nó hiệu lực đối với (ít nhất) một kiểu thông báo điện tử nào đó. Các kiểu chữ ký điên lử và chữ ký số được sử dụng để phê chuẩn hợp pháp các bản ghi và các giao dịch. Mục 401, 403, 404 của Ulah Act là các nguyên lắc điển hình: (adsbygoogle = window.adsbygoogle || []).push({});
Mục 401. Đáp ứng các yêu cẩu chữ kỷ. Với một điều luật yêu cầu chữ ký, lioặc đưa ra hậu quả của việc thiếu chữ kỷ, chữ kỷ s ố có Ihể đáp ứng được yêu cầu này ì lếu:
a) chữ kỷ s ổ được kiểm tra bằng cách sử dụng khoú công khai ịkìioá công khai này có trong một chứng chỉ hợp lệ do một CA có đăng ký phát hành);
b) chữ ký số ìià y được người kỷ lạo ra clio íliông báo; r) n y tờ i nhận khôtiỉỊ có iIiôhiị tin hoặc ihôHiỊ báo như sau:
(i) người ký chia xẻ trách nhiệm với một thuê bao; hoặc:
(ii) người ký không được phép nắm giữ kiioá riêng đ ể lạo chữ kỷ sô. Mục 403. l ài liệĩt (được ký sỏ) được tháo thành văn bản. Một thông báo hợp lệ và cố hiệu lực như khi 11Ó được thảo thành văn bản (trên giấy tờ) nếu nó:
chứng ch ỉ này:
(i) dược một CA cỏ đủng ký phút hành ;
(ii) IỈÓ hợp lệ lại lliời điểm chữ ký s ố được tạo ra.
M ục 404. Các thông báo ban đẩu được kỷ số. Mộí bản sao của thông báo được ký có hiệu lực và hợp lệ như thông báo ban dầu, trừ khi người kỷ lạo được một ví dụ của thông báo được kv và ví dụ này chính ìà thông báo ban đầu duy nhất, chỉ trong trường hợp này ví dụ tạo thành mội thông báo cố hiệu lực và hợp lệ.
7.4 Chất lượng và các chuẩn của CA
Việc triển khai kỹ thuật chữ ký số có Ihành cỏng hay không - phụ thuộc phẩn lớn vào việc thiết lạp các hỗ trự. Vì vây, luậl nên thiết lập một cơ sở hạ tầng hợp pháp cho các CA, bao gồm các quy tắc và các chuẩn về chất lưựng, kho lưu giữ và trách nhiệm pháp lý.
Các đao luât chữ ký số (ví dụ Đao luâl của Utah) cố gắng đưa ra chất lượng của CA hằng cách giới hạn việc cấp phép của các CA cho các thực thể thuộc chính phú, nh ữ ng ngưừi được uỷ quyền đại diẹn trước toà, các cơ quan tài chính và những người được uỷ thác khác. Tuy nhiên, hầu hết các đạo luật và các đổ xuâì thừa nhân rằng: các giới hạn nhơ vậy loại trừ không thích hựp phần lớn công nghệ Ihông tin. Vì vây, họ không giởi hạn việc cấp phép cho các thành viên như Irên. Thêm vào đó, các nhà làm luật quan tâm đến: luật nên yêu cầu cấp phép trong phạm vi quyền hạn, hoặc đưn giản chỉ cung cấp đặc quyền trong phạm vi quyền hạn của nước ngoài (các bang hoặc các nước khác) cấp phép cho các CA. Như mội sự lựa chọn (hoặc hỗ trự), nhiều nước quan tâm đến lợi ích của việc công nhận các CA quốc gia nhằm đảm bảo mộl giải pháp cụ thể phù hợp, từ đó có thể xác định chất lượng và thẩm quyền của các CA.
Các quy lắc và các chuẩn đặc Irưng trình bày: việc sử dụng các hệ thống lin cậy, công bố và đưa ra các tuyên bố về chính sách và các hoạt động, sở hữu bản ghi, các hiểu diễn và các đảm bảo mà một chứng chỉ có thể có, huỷ bỏ, treo và kết thúc các chứng chỉ.
7.5 Các chuẩn của thuê bao
Luâl chữ ký số (thiết lạp các cơ sở hạ tổng khoá công khai) có thể đưa ra các trách nhiệm và các quy tắc áp dụng cho các thuê bao, cũng như các CA. Ví dụ, trách nhiệm của các thuê bao khi sử dụng các hê thống tin cậy, giữ bí mật các khoá riêng của họ, treo hoặc huỷ bỏ nếu một trong các khoá riêng của họ bị Ihoả hiệp.
7.6 Chia nhỏ trách nhiệm pháp lý
Có lẽ vấn đề quan trọng nhất và hay đưực Iranh luân nhiều nhất trong luật chữ ký số là người nào phải chịu trách nhiệm pháp lý và phải chịu mức độ như thế nào đối với các thiệt hại do tin cậy các chứng chỉ sai sót. Người phải chịu trách nhiệm pháp lý chính là các CA, các thuê bao và các thành viên tin cậy vào các chứng chỉ sai sót. Khi CA phái hành một chứng chỉ, CA là mục tiêu đầu tiên dành cho các khiếu kiện. Gánh nặng này có thể đưực chia xẻ cho các thành viên khác (ở mộl mức độ nào đó). Hai câu hỏi quan trọng được đặt ra cho vấn đề này là: trước tiên, có nên chia nhỏ trách nhiệm pháp lý cho tất cả các thành viên hay không, thứ hai, nếu chia nhỏ thì tiến hành như thế nào?
Thừa nhận rằng, PKI có đủ khả năng tiến hành các xúc tiến của mình thông qua các luật chia nhỏ trách nhiệm pháp lý, sau đó vấn đề chỉ còn là: lược đồ chia nhỏ hiệu quả nhất có khả năng hỗ trợ triển khai PKI và phân chia công hàng các rủi ro Ưn điện tử an toàn và các ứng dụng khác của chính phủ.