Chứng thực chữ ký điện tử

Hiện nay công nghệ 4.0 ngày càng phát triển. Chữ ký điện tử dần đi vào cuộc sống. Đảm bảo an toàn, chữ ký điện tử cần được chứng thực. Vậy dịch vụ chứng thực chữ ký điện tử là gì? Các Luật sư của Luật Trần và Liên Danh sẽ giúp bạn giải quyết tất cả những vấn đề trên.

Khái niệm dịch vụ Chứng thực chữ ký điện tử

Theo Luật giao dịch điện tử của Việt nam (2005), “chứng thực chữ ký điện tử” là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. (Nguồn: Điều 4, khoản 2, Luật Giao dịch điện tử, 2005). Theo đó, cơ quan chứng thực chữ ký điện tử sẽ cấp chứng thư điện tử nhằm xác nhận hay chứng thực chữ ký điện tử đối với cơ quan, tổ chức hoặc cá nhân.

Đồng thời với việc cấp chứng thư điện tử, cơ quan chứng thực chữ ký điện tử có nhiệm vụ cung cấp chương trình ký điện tử cho các thuê bao để họ sử dụng khi muốn ký vào các văn bản điện tử. Tuy nhiên, cần lưu ý ở đây là có rất nhiều loại chữ ký điện tử khác nhau, cơ quan chứng thực thường chỉ cấp chứng thực cho các loại chữ ký điện tử an toàn và phổ biến hiện nay.

Công cụ để ràng buộc trách nhiệm của người ký chữ ký điện tử khi có tranh chấp phát sinh chính là “chứng thư điện tử”. Việc cấp chứng thư điện tử chính là hoạt động cơ bản nhất của cơ quan chứng thực. Tùy thuộc vào loại chữ ký điện tử cần xác thực và công nghệ ký điện tử, chứng thư điện tử sẽ có nhiều hình thức khác nhau.

Tuy nhiên, về cơ bản, “chứng thư điện tử” là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. (Nguồn: Điều 4, khoản 1 & 2, Luật Giao dịch điện tử, 2005).

Bên cạnh việc cấp chứng thư điện tử, cơ quan chứng thực cũng là đơn vị cung cấp công cụ để người sử dụng (tổ chức hoặc cá nhân) có thể tiến hành ký điện tử khi cần thiết.

Công cụ này thường là “chương trình ký điện tử”, đây là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu. (Nguồn: Điều 4, khoản 3, Luật giao dịch điện tử, 2005).

Để hiểu rõ các khái niệm trên, cần xem xét một số loại chữ ký điện tử phổ biến. Trước hết, về bản chất, các chữ ký điện tử đều được lưu trên các phương tiện điện tử và số hóa bởi các công nghệ số (ví dụ: các ký tự 0-1 trên ổ cứng máy tính, trong USB hoặc trên thẻ thông minh…). Điểm khác biệt là các chữ ký điện tử có nhiều định dạng khác nhau và được tạo ra bởi nhiều phương tiện khác nhau, theo các công nghệ khác nhau. Các chữ ký điện tử thông dụng gồm:

– Tên của người ký được đánh máy vào cuối thư điện tử

– Bản quét (scan) chữ ký truyền thống được gắn với thông điệp điện tử

– Một dãy ký tự bí mật (PIN – personal identification number) để xác định người thực hiện giao dịch điện tử (ví dụ PIN của thẻ ATM hay thẻ tín dụng)

– Một mật khẩu người tạo văn bản sử dụng để người nhận có thể xác định chính xác người tạo là ai (ví dụ: mật khẩu để mở, chỉnh sửa file văn bản)

– Một đặc điểm sinh học cụ thể của mỗi cá nhân, được dùng để xác thực cá nhân đó (ví dụ vân tay, võng mạc, tiếng nói đã được số hóa)

– Đặc biệt là chữ ký số sử dụng công nghệ PKI

Bản chất của hoạt động chứng thực chữ ký điện tử là cấp chương trình khóa bí mật và chứng thư điện tử cho người sử dụng. Những hoạt động chính của dịch vụ chứng thực chữ ký điện tử gồm:

– Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử.

– Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu.

– Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật. (Nguồn: Điều 28, Luật giao dịch điện tử).

Để có thể có căn cứ xử lý tranh chấp phát sinh liên quan đến chữ ký điện tử, điển hình là chứng minh người đã ký chữ ký điện tử là ai, cơ quan chứng thực phải sử dụng chứng chỉ số hay chứng thư điện tử. Do đó, chứng thư điện tử khi cấp cho người đăng ký phải có đầy đủ các nội dung cần thiết để sau này có thể sử dụng làm bằng chứng. Những nội dung cơ bản trên chứng thư điện tử gồm:

– Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử.

– Số hiệu của chứng thư điện tử.

– Thời hạn có hiệu lực của chứng thư điện tử.

– Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử.

– Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

– Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Các nội dung khác theo quy định của Chính phủ.

(Nguồn: Điều 29, Nội dung của chứng thư điện tử, Luật Giao dịch điện tử)

Nội dung quan trọng nhất trong chứng chỉ số hay chứng thư điện tử là mục (5): Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử (hay khóa công khai tương ứng với khóa bí mật đã cấp cho người đăng ký)

Dữ liệu này thông thường gồm khóa công khai của người được cấp chứng thư điện tử. Chính khóa công khai và phần mềm rút gọn (hash function) và phần mềm ký điện tử sẽ là công cụ để kiểm tra chữ ký điện tử của người được cấp. Khóa công khai của người nhận cũng chính là công cụ để người gửi sử dụng trong việc mã hóa thông điệp điện tử nhằm đảm bảo tính bí mật của thông điệp trong quá trình giao dịch.

Theo đó, người gửi sẽ dùng khóa công khai của người nhận để mã hóa thông điệp trước khi gửi, người nhận sẽ là người duy nhất có thể giải mã thông điệp khi sử dụng khóa bí mật tương ứng của mình.

Dịch vụ chứng thực chữ ký số là dịch vụ cơ bản hiện nay của các cơ quan chứng thực, rõ ràng là các loại chữ ký điện tử khác được sử dụng chủ yếu trong nội bộ tổ chức hoặc doanh nghiệp thường không cần chứng thực. Chỉ các chữ ký điện tử được các tổ chức, cá nhân sử dụng trong các giao dịch với đối tác bên ngoài mới cần sự chứng thực của cơ quan chứng thực.

Loại chữ ký điện tử cần sự chứng thực của bên thứ ba phổ biến hiện nay là chữ ký số, do đó khi nói đến chứng thực chữ ký điện tử hiện nay, chủ yếu được hiểu là chứng thực chữ ký số.

Theo quy định của Việt Nam hiện nay, “dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Dịch vụ chứng thực chữ ký số bao gồm:

– Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;

– Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao;

– Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;

– Những dịch vụ khác có liên quan theo quy định

Vai trò của dịch vụ Chứng thực chữ ký điện tử

Việc truyền, nhận dữ liệu qua mạng Internet giúp thu ngắn được khoảng cách vật lý đối với người gửi và người nhận dữ liệu. Tuy nhiên, ngày nay với sự gia tăng không ngừng của thế lực tội phạm máy tính thì việc truyền, nhận dữ liệu qua mạng tiềm ẩn rất nhiều rủi ro.

Do vậy, việc đưa ra giải pháp nhằm ngăn chặn tới mức tối đa các mối đe dọa đến an ninh dữ liệu đang được đặt ra tạo tiền đề cho việc đẩy mạnh các giao dịch qua mạng Internet. Một trong những giải pháp hữu hiệu nhất đó chính là chứng thực điện tử và chữ ký số.

Chứng thực điện tử là hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua mạng, đồng thời, cung cấp cho họ những công cụ, những dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. Hệ thống chứng thực điện tử được xây dựng dựa trên cơ sở hạ tầng khóa công khai (PKI – Public Key Infrastructure) với nền tảng là mật mã khóa công khai và chữ ký số.

Người sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ cấp chứng chỉ số và một cặp khóa (khóa bí mật và khóa công khai) để có thể tham gia sử dụng chứng thực điện tử trong các ứng dụng mà mình tham gia.

Nói cách khác, chứng thực điện tử có thể đem so sánh với thẻ chứng minh thư nhân dân, hay hộ chiếu. Sự khác nhau là ở chỗ, thẻ chứng minh thư nhân dân và hộ chiếu là bằng giấy để xác minh, nhân diện một người dùng trong cuộc sống thực. Việc chứng thực sẽ được thông qua cơ quan chức năng có thẩm quyền, còn chứng chỉ số không chỉ để xác minh con người, mà nó có thể xác minh rất nhiều loại thực thể khác nhau (tổ chức, cá nhân,…) thông qua môi trường ảo, môi trường Internet.

Chứng thực điện tử là hoạt động không chỉ chứng thực danh tính của người hay thực thể tham gia vào việc truyền nhận thông tin qua mạng internet, mà nó còn thực hiện việc bảo mật thông tin, xác thực nguồn gốc xuất xứ và tính toàn vẹn của thông tin.

Chứng thực điện tử ra đời nhằm đảm bảo cho an toàn thông tin trong môi trường mạng nên nó có đầy đủ các chức năng như: đảm bảo tính xác thực, đảm bảo tính bảo mật của thông tin, đảm bảo tính toàn vẹn thông tin và tính không thể phủ nhận.

Do có những tính năng như vậy, chứng thực điện tử được ứng dụng vào rất nhiều lĩnh vực như: ký vào tài liệu điện tử (trong cả lĩnh vực thương mại và phi thương mại), gửi nhận thư điện tử đảm bảo, trong giao dịch thương mại điện tử, trong bảo vệ mạng không dây WLAN (Wireless Local Area Network), bảo đảm an toàn cho các dịch vụ web, xác thực website, xác thực máy chủ hay xác thực phần mềm, mạng riêng ảo VPN (Virtual Private Network)…

Các chủ thể (hay các thuê bao) sử dụng dịch vụ chứng thực điện tử sẽ được các cơ quan cung cấp dịch vụ chứng thực điện tử CA (Certificattion Authority) cung cấp một chứng chỉ số kèm theo một cặp mã khóa (gồm một khóa bí mật do thuê bao giữ và một khóa công khai) để ký cho các giao dịch điện tử.

Các quốc gia muốn triển khai dịch vụ chứng thực điện tử cần phải xây dựng hành lang pháp lý phù hợp, xây dựng hạ tầng khóa công khai, hạ tầng kỹ thuật đồng bộ với hạ tầng khóa công khai, xây dựng nguồn nhân lực có đủ trình độ để sử dụng dịch vụ và xây dựng một mô hình tổ chức, một quy trình cung cấp dịch vụ chứng thực điện tử phù hợp với quốc gia mình.

Hoạt động dịch vụ chứng thực chữ ký điện tử là gì?

Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử. 

Hoạt động chứng thực chữ ký điện tử bao gồm:

– Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử.

– Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu.

– Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật.

Nội dung của chứng thư điện tử

Chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm các nội dung sau:

– Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư điện tử.

– Số hiệu của chứng thư điện tử.

– Thời hạn có hiệu lực của chứng thư điện tử.

– Dữ liệu để kiểm tra chữ ký điện tử của người được cấp chứng thư điện tử.

– Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

– Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

– Các nội dung khác theo quy định của Chính phủ.

Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử 

Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng được phép thực hiện các hoạt động chứng thực chữ ký điện tử theo quy định của pháp luật.

Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử có các quyền và nghĩa vụ sau đây:

a) Thực hiện các hoạt động dịch vụ chứng thực chữ ký điện tử 

b) Tuân thủ quy định của pháp luật về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử;

c) Sử dụng hệ thống thiết bị kỹ thuật, quy trình và nguồn lực tin cậy để thực hiện công việc của mình;

d) Bảo đảm tính chính xác và sự toàn vẹn của các nội dung cơ bản trong chứng thư điện tử do mình cấp;

đ) Công khai thông tin về chứng thư điện tử đã cấp, gia hạn, tạm đình chỉ, phục hồi hoặc bị thu hồi;

e) Cung cấp phương tiện thích hợp cho phép các bên chấp nhận chữ ký điện tử và các cơ quan quản lý nhà nước có thẩm quyền có thể dựa vào chứng thư điện tử để xác định chính xác nguồn gốc của thông điệp dữ liệu và chữ ký điện tử;

g) Thông báo cho các bên liên quan trong trường hợp xảy ra sự cố ảnh hưởng đến việc chứng thực chữ ký điện tử;

h) Thông báo công khai và thông báo cho những người được cấp chứng thư điện tử, cho cơ quan quản lý có liên quan trong thời hạn chín mươi ngày trước khi tạm dừng hoặc chấm dứt hoạt động;

i) Lưu trữ các thông tin có liên quan đến chứng thư điện tử do mình cấp trong thời hạn ít nhất là năm năm, kể từ khi chứng thư điện tử hết hiệu lực;

k) Các quyền và nghĩa vụ khác theo quy định của pháp luật.

Trên đây là nội dung tư vấn của chúng tôi. Để được tư vấn một cách chi tiết và đầy đủ hơn về chứng thực chữ ký điện tử Quý khách hàng vui lòng liên hệ qua Tổng đài tư vấn 0969 078 234 của Luật Trần và Liên Danh. Chúng tôi luôn sẵn sàng tư vấn, hỗ trợ Quý khách hàng những vấn đề pháp lý chất lượng hàng đầu trên toàn quốc.