Chữ ký số
Luật quốc hội, nghị định chính phủ, và thông tư của bộ TT&TT nhà nước Việt Nam đã ban hành các quy định cụ thể để hợp thức hóa chữ ký số trong trường hợp thực hiện các hoạt động trên nền tảng số.
Thế nào là chữ ký điện tử và chữ ký số
Chữ ký điện tử (electronic signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó.
Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ ký điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video,... dữ liệu đó có bị thay đổi hay không.
Hai khái niệm chữ ký số (digital signature) và chữ ký điện tử (electronic signature) thường được dùng thay thế cho nhau mặc dù chúng không hoàn toàn có cùng nghĩa. Chữ ký số chỉ là một tập con của chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số)
Lịch sử
Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi[5].
Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.
Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền[6], chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online[7]...
Tính pháp lý của chữ ký điện tử
Các định nghĩa pháp lý
Nhiều luật được ban hành trên thế giới công nhận giá trị pháp lý của chữ ký điện tử nhằm thúc đẩy các giao dịch điện tử xuyên quốc gia.
Luật Giao dịch điện tử (Việt Nam), điều 4 định nghĩa
(1)Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
(2)Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
(5)Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
(12)Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.
Bộ luật ESIGN (Hoa Kỳ), điều 106 định nghĩa
(2)Điện tử (electronic)- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.
(4)Văn bản điện tử (electronic record)- Các hợp đồng hoặc các văn bản khác được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.
(5)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.
Bộ luật GPEA (Hoa Kỳ), điều 1710 định nghĩa
(1)Chữ ký điện tử (electronic signature)- là cách thức ký các văn bản điện tử đảm bảo:
(A)Nhận dạng và xác thực cá nhân đã tạo ra văn bản;
(B)Chỉ ra sự chấp thuận của người ký đối với nội dung trong văn bản.
Bộ luật UETA (Hoa Kỳ), điều 2 định nghĩa
(5)Điện tử (electronic'valeking132')- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.
(6)Tác tử điện tử (electronic agent)- là các chương trình máy tính hoặc các phương tiện tự động khác sử dụng độc lập để khởi đầu một hành động hoặc đáp lại các tín hiệu điện tử mà không cần sự giám sát của con người.
(7)Văn bản điện tử (electronic record'valeking132')- Các văn bản được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.
(8)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.
Bộ luật Federal Reserve
giống với bộ luật ESIGN
Commodity Futures Trading Commission 17 CFR Phần 1 Điều 1.3 định nghĩa
(tt) Chữ ký điện tử là tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.
Food and Drug Administration 21 CFR Điều 11.3 định nghĩa
(5) Chữ ký số là các chữ ký điện tử dựa trên các phương pháp mật mã để nhận thực người tạo văn bản dựa trên các quy tắc và tham số sao cho có thể kiểm tra được nhân dạng của người tạo và tính toàn vẹn của văn bản.
(7) Chữ ký điện tử là các số liệu (máy tính) được tạo ra, chấp nhận và cho phép bởi cá nhân có thẩm quyền (tương đương với người ký văn bản giấy truyền thống).
Kiểm tra pháp lý đối với chữ ký điện tử[sửa | sửa mã nguồn]
Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax...).
Tại Hoa Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:
Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.
Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.
Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.
Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý trên được gắn với văn bản trong một số trường hợp cụ thể.
Pháp luật liên quan tới việc sử dụng chữ ký điện tử
Hoa Kỳ - Electronic Signatures in Global and National Commerce Act
Hoa Kỳ - Uniform Electronic Transactions Act - adopted by 48 states
Hoa Kỳ - Digital Signature And Electronic Authentication Law
Liên minh châu Âu - Electronic Signature Directive (1999/93/EC)
México - E-Commerce Act [2000]
Costa Rica - Digital Signature Law 8454 (2005)
Việt Nam - Luật Giao dịch điện tử[8][9] - có hiệu lực từ ngày 1 tháng 3 năm 2006.
Những sử dụng giả luật của chữ ký điện tử
Một số trang web (đặc biệt là các trang khiêu dâm) và các điều khoản sử dụng phần mềm tuyên bố một số hành động gắn với chữ ký điện tử. Chẳng hạn, một trang web có thể tuyên bố rằng với việc truy cập vào trang web, bạn đã chấp nhận một số quy định. Một ví dụ khác là khi cài đặt phần mềm, trước khi cài sẽ xuất hiện một màn hình thông báo rằng với việc tiếp tục cài đặt thì bạn chấp nhận một số điều về bản quyền. Các điều khoản này có thể không được thông báo trước khi bán và không phải lúc nào cũng được hiển thị đầy đủ khi bạn cài đặt. Các điều kiện về bản quyền này thường bao gồm các điều cấm người sử dụng công bố các thông tin về sản phẩm nếu không được sự cho phép của nhà sản xuất, các điều hạn chế người sử dụng nghiên cứu sản phẩm (reverse engineering) kể cả cho mục đích hợp pháp như để tạo ra các tệp theo định dạng của phần mềm. Trong một số trường hợp, các điều khoản này có thể trái với quy định của pháp luật. Một số người cho rằng các điều trên là hợp lý để bảo vệ các bí mật công nghệ. Tuy nhiên một khi sản phẩm đã được bán rộng rãi thì lý do này cũng không thực sự thuyết phục.
Tính pháp lý của các điều khoản đề cập ở trên không rõ ràng. Tại Hoa Kỳ, chỉ có 2 tiểu bang chấp thuận bản sửa đổi của Luật thương mại thống nhất (Uniform Commercial Code) cho phép những hạn chế về bản quyền và thông báo sau bán hàng. Tại Anh, điều 9 của Quy chế thương mại điện tử năm 2002 (Electronic-Commerce (EC Directive) Regulations 2002 - SI 2002/2003) cho phép người mua có khả năng xác định trước các bước kỹ thuật khác nhau để kết thúc hợp đồng.
Chữ ký mật mã
Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).
Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra - checksum...). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi.
Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.
Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.
Trích nguồn wikipedia