Chữ ký điện tử

Chữ ký điện tử (tiếng Anh: electronic signature hay e-signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó^[1]^[2]^[3]. Chữ ký điện tử có giá trị pháp lý tương đương như chữ ký viết tay, miễn là nó tuân theo các yêu cầu của quy chế cụ thể mà nó được tạo ra (ví dụ, eIDAS ở Liên minh châu Âu, NIST-DSS ở Hoa Kỳ hoặc ZertES ở Thụy Sĩ)^[4]^[5].

Chữ ký điện tử là một khái niệm pháp lý khác biệt với chữ ký số (digital signature), một cơ chế mã hóa thường được sử dụng để triển khai chữ ký điện tử. Trong khi chữ ký điện tử có thể đơn giản chỉ là tên được nhập vào tài liệu điện tử, chữ ký số ngày càng được sử dụng trong giao dịch điện tử và trong các tài liệu đăng ký để triển khai chữ ký điện tử một cách an toàn về mặt mã hóa. Các cơ quan tiêu chuẩn như NIST hay ETSI cung cấp các tiêu chuẩn để triển khai chúng (ví dụ: NIST-DSS, XAdES hoặc PAdES)^[4]^[6]. Khái niệm này không phải là mới, với các quốc gia áp dụng thông luật đã công nhận chữ ký điện báo từ giữa thế kỷ 19 và chữ ký fax từ những năm 1980.

Lịch sử[sửa | sửa mã nguồn]

Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa Kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi^[7].

Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.

Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền^[8], chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online^[9]...

Tính pháp lý của chữ ký điện tử[sửa | sửa mã nguồn]

Các định nghĩa pháp lý[sửa | sửa mã nguồn]

Nhiều luật được ban hành trên thế giới công nhận giá trị pháp lý của chữ ký điện tử nhằm thúc đẩy các giao dịch điện tử xuyên quốc gia.

Luật Giao dịch điện tử (Việt Nam), điều 4 định nghĩa: (1)Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.; (2)Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.; (5)Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.; (12)Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.

Bộ luật ESIGN (Hoa Kỳ), điều 106 định nghĩa: (2)Điện tử (electronic)- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.; (4)Văn bản điện tử (electronic record)- Các hợp đồng hoặc các văn bản khác được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.; (5)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Bộ luật GPEA (Hoa Kỳ), điều 1710 định nghĩa: (1)Chữ ký điện tử (electronic signature)- là cách thức ký các văn bản điện tử đảm bảo:; (A)Nhận dạng và xác thực cá nhân đã tạo ra văn bản;; (B)Chỉ ra sự chấp thuận của người ký đối với nội dung trong văn bản.

Bộ luật UETA (Hoa Kỳ), điều 2 định nghĩa: (5)Điện tử (electronic'valeking132')- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.; (6)Tác tử điện tử (electronic agent)- là các chương trình máy tính hoặc các phương tiện tự động khác sử dụng độc lập để khởi đầu một hành động hoặc đáp lại các tín hiệu điện tử mà không cần sự giám sát của con người.; (7)Văn bản điện tử (electronic record'valeking132')- Các văn bản được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.; (8)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Bộ luật Federal Reserve: giống với bộ luật ESIGN

Commodity Futures Trading Commission 17 CFR Phần 1 Điều 1.3 định nghĩa: (tt) Chữ ký điện tử là tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Food and Drug Administration 21 CFR Điều 11.3 định nghĩa: (5) Chữ ký số là các chữ ký điện tử dựa trên các phương pháp mật mã để nhận thực người tạo văn bản dựa trên các quy tắc và tham số sao cho có thể kiểm tra được nhân dạng của người tạo và tính toàn vẹn của văn bản.; (7) Chữ ký điện tử là các số liệu (máy tính) được tạo ra, chấp nhận và cho phép bởi cá nhân có thẩm quyền (tương đương với người ký văn bản giấy truyền thống).

Kiểm tra pháp lý đối với chữ ký điện tử[sửa | sửa mã nguồn]

Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax...).

Tại Hoa Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:

Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.

Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.

Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.

Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý trên được gắn với văn bản trong một số trường hợp cụ thể.

Pháp luật liên quan tới việc sử dụng chữ ký điện tử[sửa | sửa mã nguồn]

Hoa Kỳ - Electronic Signatures in Global and National Commerce Act
Hoa Kỳ - Uniform Electronic Transactions Act - adopted by 48 states
Hoa Kỳ - Digital Signature And Electronic Authentication Law
Hoa Kỳ - Government Paperwork Elimination Act (GPEA)
Hoa Kỳ - The Uniform Commercial Code (UCC)
Anh - s.7 Electronic Communications Act 2000
Liên minh châu Âu - Electronic Signature Directive (1999/93/EC)
México - E-Commerce Act [2000]
Costa Rica - Digital Signature Law 8454 (2005)
Việt Nam - Luật Giao dịch điện tử^[10]^[11] - có hiệu lực từ ngày 1 tháng 3 năm 2006.

Những sử dụng giả luật của chữ ký điện tử[sửa | sửa mã nguồn]

Một số trang web (đặc biệt là các trang khiêu dâm) và các điều khoản sử dụng phần mềm tuyên bố một số hành động gắn với chữ ký điện tử. Chẳng hạn, một trang web có thể tuyên bố rằng với việc truy cập vào trang web, bạn đã chấp nhận một số quy định. Một ví dụ khác là khi cài đặt phần mềm, trước khi cài sẽ xuất hiện một màn hình thông báo rằng với việc tiếp tục cài đặt thì bạn chấp nhận một số điều về bản quyền. Các điều khoản này có thể không được thông báo trước khi bán và không phải lúc nào cũng được hiển thị đầy đủ khi bạn cài đặt. Các điều kiện về bản quyền này thường bao gồm các điều cấm người sử dụng công bố các thông tin về sản phẩm nếu không được sự cho phép của nhà sản xuất, các điều hạn chế người sử dụng nghiên cứu sản phẩm (reverse engineering) kể cả cho mục đích hợp pháp như để tạo ra các tệp theo định dạng của phần mềm. Trong một số trường hợp, các điều khoản này có thể trái với quy định của pháp luật. Một số người cho rằng các điều trên là hợp lý để bảo vệ các bí mật công nghệ. Tuy nhiên một khi sản phẩm đã được bán rộng rãi thì lý do này cũng không thực sự thuyết phục.

Tính pháp lý của các điều khoản đề cập ở trên không rõ ràng. Tại Hoa Kỳ, chỉ có 2 tiểu bang chấp thuận bản sửa đổi của Luật thương mại thống nhất (Uniform Commercial Code) cho phép những hạn chế về bản quyền và thông báo sau bán hàng. Tại Anh, điều 9 của Quy chế thương mại điện tử năm 2002 (Electronic-Commerce (EC Directive) Regulations 2002 - SI 2002/2003) cho phép người mua có khả năng xác định trước các bước kỹ thuật khác nhau để kết thúc hợp đồng.

Chữ ký mật mã[sửa | sửa mã nguồn]

Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).

Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra - checksum...). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi.

Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.

Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.

Tham khảo[sửa | sửa mã nguồn]

^ Lỗi chú thích: Thẻ <ref> sai; không có nội dung trong thẻ ref có tên Cryptomathic_WHATISADIGITALSIGNATURE
^ Lỗi chú thích: Thẻ <ref> sai; không có nội dung trong thẻ ref có tên eIDAS_Reference
^ “What Are E-Signatures? | Signable |”. Lưu trữ bản gốc ngày 31 tháng 7 năm 2017. Truy cập ngày 20 tháng 12 năm 2016.
^ ^a ^b Turner, Dawn. “Major Standards and Compliance of Digital Signatures - A World-Wide Consideration”. Cryptomathic. Lưu trữ bản gốc ngày 9 tháng 2 năm 2016. Truy cập ngày 7 tháng 1 năm 2016.
^ “Federal Rules of Evidence | Federal Rules of Evidence | LII / Legal Information Institute”. Law.cornell.edu. Lưu trữ bản gốc ngày 25 tháng 11 năm 2011. Truy cập ngày 6 tháng 3 năm 2015.
^ JA, Ashiq. “Recommendations for Providing Digital Signature Services”. Cryptomathic. Lưu trữ bản gốc ngày 9 tháng 2 năm 2016. Truy cập ngày 7 tháng 1 năm 2016.
^ Electronic Signatures - Understanding the Origins, Laws and Affects
^ “Digital pen pad solutions”. Bản gốc lưu trữ ngày 30 tháng 5 năm 2006. Truy cập ngày 26 tháng 5 năm 2006.
^ Online electronic signatures
^ “Hệ thống văn bản quy phạm pháp luật của chính phủ”. Bản gốc lưu trữ ngày 27 tháng 9 năm 2007. Truy cập ngày 5 tháng 6 năm 2006.
^ “Cổng thông tin điện tử chính phủ”. Bản gốc lưu trữ ngày 30 tháng 6 năm 2006. Truy cập ngày 5 tháng 6 năm 2006.

Liên kết ngoài[sửa | sửa mã nguồn]

Introduction to cryptography Lưu trữ 2016-03-03 tại Wayback Machine from the PGP international website
OpenOffice Electronic Signatures and Security specification (OpenOffice format) Lưu trữ 2006-06-14 tại Wayback Machine, also in pdf format. Incorporates standards for document format and XML Digital Signatures. Includes a comparison of document signature software and features from Adobe (Acrobat), Microsoft (Word) and Mozilla.

[Cryptomathic_WHATISADIGITALSIGNATURE-1] Lỗi chú thích: Thẻ <ref> sai; không có nội dung trong thẻ ref có tên Cryptomathic_WHATISADIGITALSIGNATURE

[eIDAS_Reference-2] Lỗi chú thích: Thẻ <ref> sai; không có nội dung trong thẻ ref có tên eIDAS_Reference

[3] “What Are E-Signatures? | Signable |”. Lưu trữ bản gốc ngày 31 tháng 7 năm 2017. Truy cập ngày 20 tháng 12 năm 2016.

[Cryptomathic_MajorStandardsDigSig-4] Turner, Dawn. “Major Standards and Compliance of Digital Signatures - A World-Wide Consideration”. Cryptomathic. Lưu trữ bản gốc ngày 9 tháng 2 năm 2016. Truy cập ngày 7 tháng 1 năm 2016.

[5] “Federal Rules of Evidence | Federal Rules of Evidence | LII / Legal Information Institute”. Law.cornell.edu. Lưu trữ bản gốc ngày 25 tháng 11 năm 2011. Truy cập ngày 6 tháng 3 năm 2015.

[CryptomathicDigSigServicesAshiqJA-6] JA, Ashiq. “Recommendations for Providing Digital Signature Services”. Cryptomathic. Lưu trữ bản gốc ngày 9 tháng 2 năm 2016. Truy cập ngày 7 tháng 1 năm 2016.

[ps-7] Electronic Signatures - Understanding the Origins, Laws and Affects

[8] “Digital pen pad solutions”. Bản gốc lưu trữ ngày 30 tháng 5 năm 2006. Truy cập ngày 26 tháng 5 năm 2006.

[9] Online electronic signatures

[10] “Hệ thống văn bản quy phạm pháp luật của chính phủ”. Bản gốc lưu trữ ngày 27 tháng 9 năm 2007. Truy cập ngày 5 tháng 6 năm 2006.

[11] “Cổng thông tin điện tử chính phủ”. Bản gốc lưu trữ ngày 30 tháng 6 năm 2006. Truy cập ngày 5 tháng 6 năm 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]