Giới thiệu về chữ ký điện tử (CKĐT) Phân loại CKĐT Tính pháp lý của CKĐT Ứng dụng tại Việt Nam CHỮ KÝ ĐIỆN TỬ Giới thiệu chữ ký điện tử: Hợp đồng điện tử đã được con người sử dụng hơn 100 năm nay với việc sử dụng mã morse và điện tín. Chữ kí điện tử đã được bang New Hamshire phê chuẩn hiệu lực từ năm 1889, nhưng với sự phát triển của khoa học kĩ thuật thì chữ kí điện tử mới được phát triển và sử dụng rộng rãi. Tại sao lại cần có chữ kí điện tử? Với sự phát triển của khoa học kĩ thuật, những yêu cầu về quản lý thông tin, lưu trữ tài liệu,…ngày càng cao, trong khi đó những phương thức cũ ngày càng già nua, yếu ớt và chậm chạp. Nhu cầu ngày nay cần 1 môi trường nhanh, mạnh, có tính bảo mật cao, có hiệu lực pháp lý. Vây, chữ kí điện tử ra đời với tính bảo mật cao, đáng tin cậy, có trách nhiệm pháp lý. Chữ ký điện tử là gì? Trên môi trường mạng, bất cứ dạng thông tin nào được sử dụng để nhận biết một con người đều được coi là Chữ Ký Điện Tử (CKĐT). Chữ ký đó ở đây có thể coi là một biểu tượng điện tử hoặc một Process được gắn vào tài liệu (một đoạn âm thanh hoặc hình ảnh được chèn vào cuối email cũng là một CKĐT) Hiện nay chuẩn phổ biến được dùng cho chữ kí điện tử là OpenPGP (hỗ trợ bởi PGP và GnuPG) Phân loại chữ ký điện tử. 1.Chữ kí số (digital signature) Là một dạng CKĐT Độ an toàn cao, được sử dụng rộng rãi Được phát triển dựa trên lý thuyết về mật mã và thuật toán mã hóa bất đối xứng Thuật toán mã hóa dựa vào cặp khóa bí mật (Private Key) và công khai (Public Key) Được sử dụng thông qua một nhà cung cấp chính thức (CA - Certificate Authority) Chữ kí số giúp người nhận thông điệp có thể tin tưởng ở nội dung văn bản mình nhận được là của một người quen biết. Người gửi cũng không thể chối bỏ trách nhiệm là chính mình đã gửi bản thông điệp đó. Thông điệp đã được số hóa là một chuỗi các bit (vd: email, contracts…được gửi thông qua những giao thức mã hóa). Bạn có thể tạo cho mình một chữ ký số (CKS) thông qua rất nhiều phần mềm có sẵn như OpenSSL hoặc thông qua một tổ chức CA nào đó (có mất phí)…. Việc lưu CKS trong máy vi tính có thể có rủi ro như bị sao chép hoặc lộ mật khẩu bảo vệ Private Key => Dùng thẻ thông minh (Smart Card) để lưu CKS E-SIGN Là dạng chữ ký thường không sử dụng PKI(public key infrastructure) Chủ yếu quản lý dựa nào danh tính và nhận dạng Logs Có tính bảo mật không cao Chỉ thích hợp cho các hệ thống đóng Ngoài ra, chữ kí điện tử còn 1 dạng khác là biometric signature, công nghệ này cho phép ta sử dụng dấu vân tay hoặc tròng đen của mắt làm 1 kiểu chữ kí. Nhưng dạng chữ kí này đòi hỏi công nghệ cao và tốn kém đồng thời có những lỗ hỏng trong bảo mật, nên dạng chữ kí này không được phổ biến. Giá trị pháp lý của chữ ký điện tử. 1. Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử dụng để ký thông điệp dữ liệu đó đáp ứng các điều kiện sau đây: a) Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ liệu; b) Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông điệp dữ liệu được tạo ra và gửi đi. 2. Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực 3. Chính phủ quy định cụ thể việc quản lý và sử dụng chữ ký điện tử của cơ quan, tổ chức ứng dụng của chữ ký điện tử. Ứng dụng của chữ kí điện tử khá lớn trong thương mại điện tử là bảo đảm an toàn dữ liệu khi truyền trên mạng trong các giao dịch điện tử qua internet lưu hồ sơ theo phương thức điện tử là các tập tin tài liệu nằm trên các thiết bị lưu theo phương thức điện tử như: qua e-mail, qua các trang web, tin nhắn bảo mật máy chủ web Bảo mật máy chủ web( khi tiến hành giao dịch trên các website Thương mại điện tử uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa - địa chỉ web thường có dạng "https" để ký số và mã hóa email); (CKS lúc này được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password). giao dịch trong ngành ngân hàng, chứng khoán hiện nay đang được dùng OTP. Sở TTTT TP.HCM là đơn vị đi tiên phong trong việc triển khai ứng dụng chữ ký số trong hoạt động giao dịch điện tử phục vụ công tác quản lý nhà nước tại địa phương. Tập đoàn VNPT vừa trở thành nhà cung cấp dịch vụ chứng thực số đầu tiên tại VN. PKI LÀ GÌ? hạ tầng khóa công khai (tiếng Anh: Public key infrastructure, viết tắt PKI) là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai. OTP LÀ GÌ? OTP: Một mật khẩu một lần (OTP) là một mật khẩu có giá trị chỉ có một phiên đăng nhập, giao dịch. OTPs tránh một số thiếu sót có liên quan đến truyền thống (tĩnh) mật khẩu . Các thiếu sót quan trọng nhất đó là giải quyết bằng OTPs được rằng, trái ngược với tĩnh mật khẩu , họ không dễ bị tấn công replay . Điều này có nghĩa rằng, nếu một kẻ đột nhập tiềm năng quản lý để ghi lại một OTP đó đã được sử dụng để đăng nhập vào một dịch vụ hay thực hiện một giao dịch, họ sẽ không thể lạm dụng nó vì nó sẽ không còn giá trị. Mặt khác, OTPs được khó khăn cho con người để ghi nhớ. Do đó họ yêu cầu công nghệ bổ sung để làm việc. OTP thế hệ thuật toán thường sử dụng các tính ngẫu nhiên . Điều này là cần thiết vì nếu không nó có thể dễ dàng dự đoán tương lai từ quan sát OTPs những người trước đây. OTP thuật toán cụ thể khác nhau rất nhiều chi tiết của họ phương pháp tiếp cận khác nhau cho thế hệ của OTPs được liệt kê dưới đây. Căn cứ vào thời gian đồng bộ hóa giữa máy chủ xác thực và khách hàng cung cấp mật khẩu (OTPs chỉ có giá trị trong một thời gian ngắn) Sử dụng một thuật toán toán học để tạo ra một mật khẩu mới dựa trên các mật khẩu trước đó (OTPs được, có hiệu quả một chuỗi và phải được sử dụng trong một trật tự xác định trước). Sử dụng một thuật toán toán học mà các mật khẩu mới được dựa trên một thách thức (ví dụ, một số ngẫu nhiên được chọn bởi các máy chủ hoặc giao dịch các chi tiết xác thực) và / hoặc một truy cập. Ngoài ra còn có những cách khác nhau để làm cho người sử dụng nhận thức của các OTP tiếp theo để sử dụng. Một số hệ thống điện tử đặc dụng thẻ mà người dùng thực và tạo ra OTPs và chỉ cho họ cách sử dụng một màn hình hiển thị nhỏ. Các hệ thống khác bao gồm phần mềm chạy trên nền của người dùng điện thoại di động . Tuy nhiên, các hệ thống khác tạo ra OTPs trên phía máy chủ và gửi chúng cho người dùng sử dụng một out-of-band kênh như tin nhắn SMS nhắn tin. Cuối cùng, trong một số hệ thống, OTPs được in trên giấy mà người dùng phải mang theo với họ.
|