Cơ sở pháp lý cho chữ ký điện tử
Nhiều nước trên thế giới đã có Luật về chữ ký điện tử và chứng thực chữ ký điện tử. Tính đến năm 2004, đã có trên 50 quốc gia ban hành Luật về chữ ký điện tử. Ở Việt Nam, vấn đề này cũng là một nội dung quan trọng của Luật Giao dịch điện tử năm 2005. Trong Chương III. Công nhận giá trị pháp lý của chữ ký điện tử nêu rõ chữ ký điện tử có giá trị như chữ ký tay khi ký trên Thông điệp dữ liệu (TĐDL), quy định các vấn đề liên quan đến con dấu trong môi trường điện tử, quy định về việc chứng thực chữ ký điện tử và các nhà cung cấp dịch vụ chứng thực chữ ký điện tử. Đây là căn cứ pháp lý quan trọng để triển khai hệ thống chữ ký điện tử và chứng thực chữ ký điện tử ở nước ta. Trong đó quy định về nguyên tắc sử dụng chữ ký điện tử (Điều 23) và Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử (Điều 30).
Ngay trong giai đoạn soạn thảo Luật Giao dịch điện tử, Ban soạn thảo đã ý thức được tầm quan trọng của việc xây dựng một văn bản dưới luật để hướng dẫn chi tiết thi hành các quy định liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử của Việt Nam. Tư tưởng chỉ đạo khi xây dựng Luật là không quy định cụ thể các công nghệ ứng dụng trong giao dịch điện tử, do vậy Luật quy định chung về chữ ký điện tử. Công nghệ để thực hiện chữ ký điện tử có nhiều loại, nhưng hiện nay phổ biến nhất trên thế giới là công nghệ chữ ký số dựa trên công nghệ mật mã, vì vậy Chính phủ đã giao Bộ Bưu chính Viễn thông soạn thảo Nghị định về chữ ký số và chứng thực chữ ký số. Ngày 15/2/2007 Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Ban Cơ yếu Chính phủ cũng đã đề xuất xây dựng Tiêu chuẩn Việt Nam về chữ ký số và hướng dẫn sử dụng chữ ký số an toàn để trình Bộ trưởng Bộ Khoa học và Công nghệ ký ban hành.
Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số đã bám sát nội dung, tư tưởng của Luật song trong quá trình xây dựng Nghị định, một nội dung được thảo luận và có nhiều ý kiến là Mô hình Hệ thống chứng thực chữ ký số (CA) và việc vận hành hệ thống này trong thực tế ở Việt Nam như thế nào.
Về mô hình chứng thực chữ ký số
Trong khuôn khổ bài này không nói đến công nghệ tạo chữ ký số, tiêu chuẩn chữ ký số… mà chỉ đề cập đến vấn đề được nhiều quốc gia quan tâm là mô hình hệ thống chứng thực chữ ký số của một quốc gia được tổ chức như thế nào để vừa đảm bảo an toàn trong giao dịch, vừa thuận lợi cho người sử dụng. Mô hình Hệ thống chứng thực chữ ký số dựa trên Cơ sở hạ tầng Khóa công khai (PKI) quốc gia của các nước thường có hai xu hướng :
1. Mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA): Các nước có mô hình này có thể kể đến Hồng Kông. Với số dân ít nên Hồng Kông chỉ có một hệ thống cung cấp dịch vụ chữ ký số và chứng thực chữ ký số cho mọi hoạt động, Khóa riêng (Private Key) được tích hợp vào thẻ căn cước (ID Card) và Bưu điện là đơn vị đóng vai trò Root CA.
Mô hình này có ưu điểm chính là dễ quản lý, chi phí thấp, thống nhất công nghệ và khi thực hiện giao dịch quốc tế thì chỉ cần một CA cầu nối. Tuy nhiên, nó cũng có nhược điểm chính là làm phức tạp hóa các hệ thống chính sách áp dụng cho từng loại lĩnh vực cụ thể; khi số lượng thuê bao tăng, lưu lượng giao dịch nhiều có thể gây tắc nghẽn.
2. Mô hình chứng thực chéo (Mô hình có nhiều Root CA và cầu nối): Có các hệ thống chứng thực gốc khác nhau được kết nối, công nhận lẫn nhau qua các cầu nối (Pidge CA). Mô hình này có ưu điểm chính là phân định rõ ràng các loại chứng chỉ số cho các lĩnh vực cụ thể do vậy đơn giản trong quản lý dịch vụ. Nhược điểm của nó là chi phí cao cho công nghệ do phải đầu tư nhiều Root CA và cầu nối; mỗi thuê bao cần một chứng chỉ tương ứng của CA thuộc lĩnh vực đó, do vậy một thuê bao sẽ phải có nhiều chứng chỉ.
Nhiều nước áp dụng mô hình thứ hai này:
Hàn Quốc có hệ thống CA gốc do Bộ Thông tin và Truyền thông (MIC) quản lý; bên cạnh đó còn có hệ thống CA của các cơ quan Chính phủ (G-PKI) (Hình 1).
Trung Quốc cũng có mô hình tương tự: CA Chính phủ (Government CA) và CA Thương mại (CA cho doanh nghiệp, CA cho công nghiệp, các CA địa phương).
Nhiều nước cũng có CA Chính phủ như: Thái Lan, Phần Lan. Úc còn có hệ thống CA riêng cho lĩnh vực y tế, bảo vệ sức khoẻ.
Về hệ thống PKI Quốc gia của Việt Nam:
Như trên đã phân tích, các quốc gia tùy thuộc vào tổ chức bộ máy, phương thức quản lý nhà nước và điều kiện kinh tế xã hội mà có các mô hình riêng về hệ thống PKI Quốc gia. Việt Nam ngoài một số đặc điểm tương tự các nước còn có những đặc điểm riêng về hệ thống và phương thức quản lý nhà nước, nhất là các quy định liên quan đến sử dụng, cấp phát, quản lý con dấu. Dựa trên các đặc thù này tại khoản 1, Điều 30 của Luật Giao dịch điện tử đã quy định có hai loại tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử: “Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp dịch vụ chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng”
Bám sát quy định này của Luật, mô hình hệ thống CA của Việt Nam trong thời gian tới sẽ có cấu trúc như mô tả tại Hình 2.
1. CA Công cộng: Được tổ chức như một hệ thống PKI thống nhất cung cấp dịch vụ CA công cộng. Bộ Bưu chính Viễn thông quản lý Root CA này cũng như cấp phép, quản lý hoạt động của các nhà cung cấp dịch vụ CA công cộng. Mô hình này phù hợp với quy định của Luật Giao dịch điện tử và cũng đã được thể hiện chi tiết trong Nghị định 26/2007/NĐ-CP.
2. CA chuyên dụng: Nội dung này đã được thể hiện trong Nghị định 26/2007/NĐ-CP, song theo chúng tôi vấn đề này này cần được nghiên cứu thấu đáo hơn để có thể khả thi trong đời sống. Chúng ta đều biết rằng sẽ có một hệ thống chữ ký số và chứng thực chữ ký số chuyên dùng cho hoạt động hành chính của các cơ quan trong hệ thống chính trị của Việt Nam. Hệ thống này phải được xây dựng riêng, không lẫn với hệ thống CA công cộng mô tả trong mục 1. Thực ra đây cũng là mô hình của nhiều quốc gia khác. Hệ thống này thực tế sẽ hình thành một Root CA riêng, tạm gọi là Root CA hành chính (tương tự như CA Chính phủ của các nước khác). Nghị định 26/2007/NĐ-CP tuy không thiết kế thành một khoản riêng trong Điều 4 về các tổ chức cung cấp dịch vụ chứng thực chữ ký số, song trong khoản 4 Điều 6 về Trách nhiệm quản lý nhà nước về dịch vụ chứng thực chữ ký số đã quy định “Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị”.
Trong thực tế Việt Nam còn một mảng đặc thù nữa là hoạt động nghiệp vụ của các các cơ quan Nhà nước, như nghiệp vụ trong lĩnh vực Tư pháp (Điều tra, Kiểm sát, Toà án), nghiệp vụ Ngân hàng, nghiệp vụ Tài chính (Thuế, Hải quan, Kho bạc)… Đây vừa được coi là các giao dịch nghiệp vụ, phi hành chính của nội bộ các cơ quan nhà nước, vừa bao gồm các giao dịch nghiệp vụ của cơ quan nhà nước với công dân, nhất là cung cấp dịch vụ công trực tuyến (G2B, G2C). Trong lĩnh vực này, cá nhân, tổ chức thuộc hệ thống cơ quan nhà nước có thể dùng chữ ký số trong hệ thống CA hành chính giao dịch với công dân và doanh nghiệp. Nhưng ngược lại, công dân và doanh nghiệp có thể dùng chữ ký số được chứng thực bởi các CA Công cộng để giao dịch với cơ quan Nhà nước hay phải sử dụng hệ thống CA Chuyên dụng - Nghiệp vụ của các ngành này? nhất là các trường hợp đặc thù như quan hệ giữa doanh nghiệp và cơ quan Thuế, khách hàng với Ngân hàng… Và như vậy, có thể hình thành một nhóm các Root CA Nghiệp vụ nữa. Đây là vấn đề cần được nghiên cứu cả về mặt công nghệ lẫn cơ chế quản lý để chúng ta thực sự có một hệ thống CA quốc gia hoạt động hiệu quả.
Một vấn đề nữa cần được nghiên cứu đó là con dấu trong môi trường điện tử. Khoản 2, Điều 24 của Luật quy định: Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.
Quy định tại điều này được thực hiện đối với cơ quan nhà nước khi sử dụng hệ thống CA hành chính và Điều 11, Điều 12 của Nghị định đã có hướng giải quyết rất sáng tạo cho nội dung này. Nhưng đối với doanh nghiệp và các tổ chức ngoài hệ thống nhà nước (thông thường con dấu được cơ quan Công an cấp) thì có thể vận dụng khoản 2, Điều 24 của Luật khi họ sử dụng dịch vụ của các CA.
Hệ thống CA của Việt Nam sẽ không phải là mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA), song việc sử dụng một chuẩn thống nhất, sự kết nối và công nhận lẫn nhau giữa các hệ thống CA là rất quan trọng. Cầu nối (Pidge) này hình thành ra sao, nguyên tắc thế nào, ai quản lý cũng là vấn đề đặt ra để giải quyết trong thời gian tới. Điều này đòi hỏi có những phân tích khoa học và mang tính tổng thể của các cơ quan nhà nước có trách nhiệm.
16:00 | 03/09/2021
15:00 | 02/11/2021
14:00 | 15/07/2024
Lợi dụng tình trạng nhiều người dùng gặp khó khăn khi cập nhật sinh trắc học trên các ứng dụng ngân hàng, nhiều kẻ xấu đã giả danh cán bộ ngân hàng hỗ trợ cài đặt sinh trắc học để lừa đảo, chiếm đoạt tiền trong tài khoản của nạn nhân.
10:00 | 17/08/2023
Chiều ngày 15/8, đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Hoàng Văn Thủy, Phó Cục trưởng Cục Chứng thực số và Bảo mật thông tin làm Trưởng đoàn phối hợp với Sở Thông tin và Truyền thông tỉnh Phú Yên đã tiến hành kiểm tra, đánh giá tình hình ứng dụng chữ ký số chuyên dùng Chính phủ trong hoạt động của cơ quan nhà nước năm 2023 trên địa bàn huyện Tây Hòa.
16:00 | 26/04/2023
Từ ngày 01 - 10/3/2023, Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã phối hợp với đoàn công tác do Bộ Thông tin và Truyền thông chủ trì, thực hiện khảo sát tình hình sử dụng chữ ký số chuyên dùng chính phủ trên dịch vụ công trực tuyến tại một số bộ, ngành, địa phương. Qua quá trình khảo sát cho thấy, chữ ký số chuyên dùng Chính phủ tiếp tục đóng vai trò quan trọng trong việc thúc đẩy sử dụng dịch vụ công trực tuyến, góp phần không nhỏ trong phát triển Chính phủ điện tử hướng tới Chính phủ số, thúc đẩy chuyển đổi số quốc gia. Với vai trò của mình, Ban Cơ yếu Chính phủ luôn đảm bảo kịp thời và hiệu quả việc sản xuất và cấp phát Chứng thư số chuyên dùng cho các Bộ, ngành và địa phương.
09:00 | 13/12/2022
Chuyển đổi số hiện là xu thế tất yếu trên toàn thế giới. Tại Việt Nam, quá trình chuyển đổi số đã bắt đầu diễn ra và đã đạt được những kết quả tích cực ở cả 3 trụ cột là Chính phủ số, kinh tế số và xã hội số. Chuyển đổi số là quá trình áp dụng các công nghệ mới trong hệ sinh thái công nghệ số. Bài viết nghiên cứu tổng quan về một số công nghệ nền tảng cũng như xu hướng chuyển đổi số ở Việt Nam.
Trong giao dịch giấy tờ truyền thống, chữ ký tay là phương tiện để xác thực nguồn gốc và nội dung của văn bản. Chữ ký tay còn có khả năng chống chối bỏ, nghĩa là người gửi sau khi đã ký vào văn bản thì không thể chối bỏ chữ ký của mình và văn bản sau khi được ký thì không thể thay đổi được nội dung. Đối với văn bản điện tử chữ ký tay không còn đảm bảo được các tính năng nói trên, vì vậy chữ ký số điện tử (gọi tắt là chữ ký số) được sử dụng để thay thế vai trò của chữ ký tay. Bài viết sau đây giới thiệu mô hình các cơ chế chữ ký số khôi phục thông điệp đựa trên phân tích số nguyên quy định tại TCVN 12855-2: 2020.
14:00 | 25/07/2024
Kết quả đánh giá 63 cổng dịch vụ công năm 2024 cho thấy, các địa phương đã có một số cải thiện trong việc cung cấp dịch vụ công trực tuyến so với kết quả rà soát năm 2023, tuy nhiên cũng cần sự đầu tư, cải thiện về nhiều mặt để tăng mức độ thuận tiện, thân thiện, tính tiếp cận, đáp ứng nhu cầu của mọi người dùng.
10:00 | 28/08/2024