Các loại chữ ký điện tử đơn giản, nâng cao và đủ điều kiện
Dịch vụ Nhận dạng, Xác thực và Tin cậy Điện tử (eIDAS - Electronic Identification, Authentication and Trust Services) là một quy định của Liên minh Châu Âu về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong thị trường chung Châu Âu xác định 3 loại chữ ký điện tử:
- Chữ ký điện tử đơn giản (SES - Simple Electronic Signatures);
- Chữ ký điện tử nâng cao (AdES - Advanced Electronic Signatures);
- Chữ ký điện tử đủ điều kiện (QES- Qualified Electronic Signatures).
Thuật ngữ “Chữ ký điện tử đơn giản” là một tên bản ngữ dùng để nhóm lại tất cả các chữ ký điện tử không nâng cao hoặc không đủ tiêu chuẩn. Mặc dù nó được đa số các nhà cung cấp chữ ký điện tử sử dụng, nhưng eIDAS không thực sự sử dụng thuật ngữ này.
Tuy nhiên, để hiểu một cách đơn giản thì sẽ sử dụng thuật ngữ “Chữ ký đơn giản” để chỉ định cấp đầu tiên trong 3 cấp độ của chữ ký điện tử. Theo eIDAS, chữ ký điện tử là “dữ liệu ở dạng điện tử được đính kèm hoặc liên kết logic với dữ liệu khác ở dạng điện tử và được người dùng sử dụng để ký”.
Chữ ký điện tử nên đạt được những điều kiện sau:
Tôn trọng các tiêu chuẩn chữ ký của Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI - European Telecommunications Standards Institute), cùng với quy định của eIDAS về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong Thị trường chung Châu Âu:
- Sử dụng chứng nhận điện tử;
- Sử dụng hệ thống xác minh danh tính;
- Có cách để chứng minh rằng tài liệu không được chỉnh sửa sau khi nó được ký.
Tiêu chuẩn công nghiệp là ký các tài liệu điện tử thông qua một nhà cung cấp đáng tin cậy cũng là một tổ chức cấp chứng thư số. Có thể tìm thấy danh sách các cơ quan cấp chứng thư số đủ điều kiện ở Châu Âu trên trang web của Ủy ban Châu Âu.
Sự khác biệt giữa 3 loại chữ ký chủ yếu là mức độ bảo mật của mỗi loại và độ phức tạp của hệ thống xác minh danh tính người ký mà mỗi loại chữ ký sử dụng. Do đó, sức mạnh của chữ ký điện tử nằm ở mức độ tin cậy mà nó cung cấp đối với việc xác định người ký và có bằng chứng rằng tài liệu thực sự đã được ký.
Tuy nhiên, việc yêu cầu khách hàng sử dụng một hệ thống đòi hỏi nhiều bước phức tạp không phải luôn hữu ích khi chữ ký đơn giản hoặc nâng cao có thể đã có mức hiệu lực và bảo mật thích hợp.
Chữ ký điện tử đơn giản
SES đang được sử dụng rộng rãi nhất hiện nay. Ngày nay, phần lớn chữ ký điện tử trên thị trường được gọi là “đơn giản” vì chúng phù hợp hơn và cách sử dụng nhanh chóng, linh hoạt. SES phù hợp với yêu cầu về mức độ bảo mật và nhận dạng pháp lý đối với các tài liệu.
Không có danh sách thiết lập các yêu cầu cho loại chữ ký này. Do đó, người dùng có thể chỉ trong 2 cú nhấp chuột và không cần bất kỳ quy trình xác minh danh tính hoặc đồng ý cụ thể nào khi ký một tài liệu. Trong trường hợp này, người ký sẽ rất dễ chối bỏ việc mình đã ký. Theo định nghĩa này, một chữ ký được quét hoặc một chữ ký số cơ bản, chẳng hạn như chữ ký thực hiện trên thiết bị đầu cuối của người giao hàng, người mang bưu kiện chẳng hạn, được gọi là chữ ký đơn giản.
Tuy nhiên, quy trình SES có thể được củng cố và có giá trị pháp lý cao hơn nếu thêm một bước xác thực bổ sung, trong đó mã SMS mà người ký nhận được là yêu cầu xác minh cần thiết để ký tài liệu.
Tương tự, mặc dù không bắt buộc phải lưu giữ một dấu vết nào đối với các SES nhưng rõ ràng là việc tạo và lưu trữ, cũng như số lượng và chất lượng của các bằng chứng được thu thập sẽ cung cấp mức độ tin cậy cao hơn nhiều trong trường hợp có xảy ra tranh chấp.
Thông tin theo dõi và lưu trữ này có thể được tạo thành từ các yếu tố như địa chỉ email của người ký, số điện thoại, địa chỉ IP của máy tính được sử dụng để ký tài liệu,... Mục đích của danh sách các bằng chứng này là để cung cấp cho luật sư khả năng dễ dàng theo dõi các giai đoạn khác nhau của một giao dịch theo từng bước.
Ngay cả trong trường hợp của một SES, một số nhà cung cấp dịch vụ cũng tạo ra một tệp lưu trữ được đóng dấu tem thời gian cho mỗi vết và mỗi thủ tục chứa một tập hợp các dấu vết máy tính mà sẽ được lưu trữ trong nhiều năm tại một cơ quan lưu trữ của bên thứ ba được chứng nhận quốc tế.
Chữ ký điện tử nâng cao
AdES an toàn hơn, được khuyên dùng cho các giao dịch tài chính lớn hoặc để ký các tài liệu có giá trị pháp lý cao. Tuy nhiên, AdES phải đáp ứng các tiêu chí xác minh danh tính nghiêm ngặt nên có mức độ bảo mật cao và được quy định trong Quy định eIDAS.
Do đó, AdES phải đảm bảo được những điều kiện sau:
- Được liên kết duy nhất và rõ ràng với người ký;
- Cho phép người ký được xác định chính thức;
- Được tạo ra bằng các phương tiện dưới sự kiểm soát duy nhất của người ký, chẳng hạn như điện thoại hoặc máy tính cá nhân của họ;
- Đảm bảo rằng tài liệu đã ký không thể được sửa đổi.
Điều này có thể được thực hiện thông qua các giải pháp như tải lên và xác minh trực tiếp ID của người ký cũng như việc bổ sung ID của người đó vào một tệp lưu trữ. Việc thêm bằng chứng đồng ý của người ký, chẳng hạn như xác nhận của người ký về nội dung là chính xác, để cho thấy rằng tài liệu đã được hiểu đúng hoặc sao chép văn bản trước khi ký. Khi đó sẽ chứng minh sự tự nguyện ký vào tài liệu của người ký, trong trường hợp xảy ra kiện tụng. Tất cả các hệ thống xác minh danh tính và bằng chứng này có thể được kết hợp để củng cố thêm giá trị pháp lý của chữ ký.
Ngoài ra còn có một thủ tục chữ ký nâng cao với chứng thư đủ điều kiện mà yêu cầu xác minh trực tiếp (vật lý hoặc từ xa) danh tính của người ký và có thể được sử dụng trong các trường hợp cụ thể. Nó là giải pháp trung gian giữa chữ ký nâng cao và chữ ký đủ điều kiện.
Chữ ký điện tử đủ điều kiện
QES là hình thức tiên tiến nhất của bảo mật chữ ký điện tử. Nó đặc biệt quan trọng và chỉ được sử dụng trong những trường hợp rất cụ thể khi cần phải có đủ điều kiện.
Từ quan điểm pháp lý, có một bước tiến lớn giữa chữ ký đủ điều kiện và chữ ký đơn giản hoặc nâng cao. QES có các ràng buộc quy định được xác định chính xác về danh tính của người ký và cách chữ ký được bảo vệ. Hiệu lực pháp lý của nó tương đương với chữ ký viết tay, trong khi các cấp độ khác của chữ ký điện tử có giá trị để làm chứng cớ. Do đó, nó được công nhận hợp pháp ở tất cả các Quốc gia thành viên của Liên minh Châu Âu.
Quy trình chữ ký điện tử được coi là đáng tin cậy khi nó sử dụng QES do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Các tổ chức chứng nhận này được kiểm soát bởi Văn phòng Ủy viên Thông tin (ICO - Information Commissioner’s Office) ở Vương quốc Anh và bởi các cơ quan tương đương ở mỗi quốc gia Châu Âu.
Quy trình chữ ký đủ điều kiện sử dụng các tiêu chí bảo mật tương tự như chữ ký nâng cao, nhưng yêu cầu danh tính của người ký phải được xác thực trước và chữ ký phải nằm trong thiết bị tạo chữ ký điện tử đủ điều. Trong khi việc xác minh danh tính trước đây yêu cầu một cuộc gặp thực tế, thì giờ đây nó có thể được thực hiện từ xa nếu đáp ứng các điều kiện nhất định.
Do đó, điều này có thể được thực hiện trong một cuộc gặp trực tiếp trong đó người ký sẽ được cấp một phương thức nhận dạng gọi là “token” (thẻ thông minh, khóa USB,...) cho phép tổ chức chứng nhận xác thực danh tính của người ký để ký các tài liệu sau khi nhập mã PIN cá nhân. Khóa mật mã này phải được bảo vệ cực kỳ chắc chắn và đáng tin cậy, do đó về mặt logic phải được lưu trữ ở một nơi an toàn. Nó sẽ được ICO xác minh và xác thực trước khi thiết bị được cấp chứng nhận.
Một giải pháp thay thế cho việc phân phối khóa mật mã là sử dụng HSM trong đám mây, cho phép hoạt động này được thực hiện từ xa với xác thực hai yếu tố của người ký sau khi yêu cầu chữ ký được kích hoạt, sau khi xác minh định danh vật lý trực tiếp (face to face).
Do đó, sự lựa chọn về loại chữ ký điện tử phải đảm bảo tính dễ sử dụng và bảo mật. Việc thực hiện thủ tục chữ ký đủ điều kiện chỉ nên được sử dụng trong các trường hợp cụ thể, vì thủ tục này đặc biệt phức tạp. Do đó, tùy thuộc vào người dùng để quyết định xem bảo mật có được ưu tiên hơn trải nghiệm người dùng hay không hay mức độ bảo mật đơn giản đã là quá đủ hay chưa.
Do đó, các chuyên gia khuyên nên chọn theo phương pháp gồm 3 bước sau:
- Bước 1: Phân tích bối cảnh pháp lý và quy định để xác định những ràng buộc và rủi ro liên quan đến việc sử dụng chữ ký điện tử cho trường hợp cụ thể của người dùng.
- Bước 2: Phân tích các loại rủi ro và cơ hội khác: hình ảnh công ty, tác động về mặt năng suất, cổ phần tài chính,...
- Bước 3: Sự lựa chọn cấp độ chữ ký điện tử, dung hòa trải nghiệm người dùng và các nhu cầu về bảo mật.
TÀI LIỆU THAM KHẢO 1. Matthieu Duault, Simple, advanced, and qualified electronic signature-What is the difference, https://yousign.com/blog/electronic-signature-simpleadvanced-qualified-what-difference. 2. Nadim Farah, What’s the Difference between Advanced and Qualied Signatures in eIDAS?, https://www.globalsign.com/en/blog/difference-between-eidas-advanced-and-qualified-electronic-signatures 3. John Erik Setsaas, What is the difference between Advanced and Qualified Electronic Signatures? (eIDAS AES and QES), https://www.signicat.com/resources/what-is-the-difference-between-aes-and-qes. 4. David McNeal, eIDAS Electronic Signatures: Qualified vs Advanced - When to choose what and why, https://www.cryptomathic.com/news-events/blog/eidas-electronic-signatures-qualified-vs-advanced-when-to-choose-what-and-why |
TS. Trần Duy Lai