Lịch sử phát triển chữ ký điện tử: Khía cạnh pháp lý và công nghệ
Chữ ký viết tay đã xuất hiện từ thế kỷ thứ tư trong các văn kiện giao lý Do thái được hoàn thành cùng với các thủ tục an toàn để ngăn chặn sửa đổi nội dung các tài liệu sau khi chúng được ký tên. Thực hành xác thực các tài liệu bằng cách ký tên các chữ ký viết tay đã bắt đầu được sử dụng trong đế chế La mã từ năm 439 sau Công nguyên.
SỰ RA ĐỜI CỦA CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử từ khi ra đời có chức năng giống như chữ ký viết tay được áp dụng cho các tài liệu điện tử trong môi trường điện tử thay cho môi trường giấy truyền thống. Chữ ký số là một dạng chữ ký điện tử với kỹ thuật toán học được sử dụng để kiểm tra tính toàn vẹn và tính xác thực của tài liệu điện tử. Các chữ ký số chủ yếu được sử dụng để xác thực việc truy cập hay hành động cụ thể của người sử dụng. Mục đích đầu tiên của các chữ ký số là đảm bảo an toàn cho tài liệu điện tử sao cho nó không bị làm giả.
Chữ ký số có sứ mệnh phải thực hiện là cho phép ký tên lên các dữ liệu và tài liệu điện tử với các chữ ký điện tử sử dụng phép lập mã và khóa công khai được quản lý bởi một Thẩm quyền chứng thực (CA). Trong đa số các trường hợp thì chữ ký số đi theo sau một luật quốc gia trong một nước mà ở đó tài liệu cần được thừa nhận theo pháp luật. Chúng ta sẽ diễn giải lịch sử phát triển của các chữ ký số trên cả hai phương diện pháp lý và công nghệ.
Bắt đầu từ năm 1976 khi Whitfield Diffie và Martin Hellman lần đầu tiên mô tả khái niệm lược đồ chữ ký số mặc dù họ chỉ giả thiết rằng các lược đồ như vậy tồn tại dựa trên các hàm số mà chúng là các hoán vị một chiều có cửa sập.
Vào năm 1977 Ronald Rivest, Adi Shamir và Len Adleman đã phát minh ra thuật toán RSA mà nó ngày nay hiện vẫn là thuật toán chữ ký số phổ biến nhất. Trong giai đoạn sơ khai nó đã được sử dụng để sinh ra các chữ ký số nguyên thủy (mặc dù chỉ là chứng minh tính khả thi và các chữ ký số “thô sơ” như vậy là không an toàn). Công ty tư nhân của họ là RSA Security đã được thành lập sau đó vào năm 1982. Sau đó vào năm 1995, RSA Security đã dồn hết tâm trí vào việc khai trương Digital Certificates International được biết tới rõ hơn là VeriSign.
CHỮ KÝ ĐIỆN TỬ: TÍNH PHÁP LÝ VÀ CÔNG NGHỆ
Vào năm 1988, Shafi Goldwasser, Silvio Micali và Ronald Rivest đã định nghĩa các yêu cầu an toàn của các lược đồ chữ ký số. Họ mô tả sự phân cấp của các mô hình tấn công đối với các lược đồ chữ ký số. Đó là bắt đầu của việc tạo ra các chữ ký điện tử an toàn hơn.
Vào năm 1989, phần mềm Lotus Notes 1.0 đã được sinh ra và được đưa ra thị trường. Lotus Notes là phần mềm đầu tiên sử dụng các chữ ký số với thuật toán RSA.
Cuối cùng vào năm 1996, Ủy ban châu Âu đã đặt nền móng đối với 15 quốc gia thành viên của nó để chuẩn bị các biện pháp phù hợp để đảm bảo tính toàn vẹn và tính xác thực của các tài liệu được truyền đi bằng điện tử. Đó là Khung pháp lý đối với chữ ký điện tử và chữ ký số trên tài liệu.
Chỉ một năm sau đó vào năm 1997, Ý và Đức là những quốc gia đầu tiên ban bố luật chữ ký số dựa trên khóa công khai được đăng ký.
Adobe đã đưa ra các chữ ký số đầu tiên trong các công cụ PDF là Adobe Acrobat và Adobe Acrobat Reader vào năm 1999. Chữ ký số đã đến cùng với phép lập mã và đã được đăng ký với ETSI. Chuẩn quốc tế được biết đến là PAdES (PDF Advanced Electronic Signatures) và hiện đang là cơ sở đối với hàng tỷ các giao dịch chữ ký số hàng năm.
Vào năm 2000, Hoa Kỳ đã thông qua Luật ESIGN làm cho các chữ ký điện tử trở nên hợp pháp đối với hầu như bất kỳ việc sử dụng nào. Nó đã là nền tảng để nhiều quốc gia làm theo với các tiêu chuẩn quốc gia được họ ban hành.
Vào năm 2001, Ủy ban liên hợp quốc về luật thương mại quốc tế viết tắt là UNCITRAL đã ban hành Luật khung về chữ ký điện tử để các quốc gia tham khảo xây dựng luật chữ ký điện tử của mình. Các luật về chữ ký điện tử của các quốc gia mang các nền tảng thống nhất, trung tính đối với mô hình pháp lý, trung tính đối với công nghệ và ít có các thay đổi lớn.
Trên thế giới có ba loại chữ ký điện tử chính:
(i) Chữ ký điện tử cơ bản hoặc chữ ký điện tử đơn giản hoặc chữ ký điện tử mở là trung tính đối với công nghệ tức là dạng hay công nghệ điện tử bất kỳ nói chung được chấp nhận. Nó thể hiện ý định của người ký tên, được thực hiện bởi người gắn liền với chữ ký và gắn liền không thể tẩy xóa được với tài liệu mà người ký chủ định ký;
(ii) Chữ ký điện tử nâng cao là dạng chữ ký điện tử cộng thêm các yêu cầu bổ sung đối với chữ ký điện tử cơ bản và nó phải là duy nhất liên kết với người ký, nhận dạng được người ký, chỉ chịu sự kiểm soát duy nhất của người ký và phát hiện ra những thay đổi đối với tài liệu hay dữ liệu sau khi áp dụng chữ ký điện tử;
(iii) Chữ ký điện tử tiêu chuẩn hay chữ ký số hay chữ ký chứng nhận tại Liên minh châu Âu là chữ ký điện tử nâng cao sử dụng chứng thư số được phát hành bởi Thẩm quyền chứng thực được sát hạch như một chứng nhận danh tính điện tử cá nhân, an toàn.
Chứng nhận số duy nhất phải được ban hành đến cá nhân dưới dạng mà họ có thể giữ dưới sự kiểm soát của mình. Chữ ký điện tử dựa trên chứng thư số cũng đáp ứng các yêu cầu đối với chữ ký điện tử cơ bản và nâng cao.
Tương ứng thì các luật chữ ký điện tử cũng được phân chia làm ba loại: (i) Luật chữ ký điện tử đơn mở hay tối thiểu hay được chấp nhận; (ii) Luật chữ ký điện tử phân lớp; (iii) Luật chữ ký điện tử theo luật lệ. Luật giao dịch điện tử của Việt Nam ban hành năm 2005 thuộc mô hình chữ ký điện tử phân lớp nêu trên. Điều này có nghĩa là chữ ký điện tử tiêu chuẩn được xem là một dạng hợp pháp của chữ ký điện tử. Điều này không có nghĩa là chữ ký điện tử nếu không phải là tiêu chuẩn thì không thể được chấp nhận trước tòa án nhưng nó sẽ cần có thêm bằng chứng để hỗ trợ nó.
Các chữ ký số dựa trên các thẩm quyền chứng thực mà chúng có thể là tâm điểm của sự lừa đảo. Trong lịch sử của các chữ ký số trường hợp đáng lưu ý của sự phá hoại CA giống như vậy đã xảy ra vào năm 2001. Thẩm quyền chứng thực VeriSign đã cấp phát hai chứng thư số cho một người tuyên bố là người của Microsoft. Các chứng thư số có tên “Công ty Microsoft” vì thế nên chúng cũng được sử dụng để đánh lừa ai đó tin rằng các cập nhật đối với phần mềm Microsoft đến từ Mocrosoft khi chúng thực ra lại không phải là như vậy. Microsoft và VeriSign đã tiến hành các bước để hạn chế ảnh hưởng của vấn đề này.
Vào năm 2008, định dạng tài liệu PDF được phát minh bởi Adobe đã trở thành chuẩn mở đối với ISO là chuẩn ISO 32000. Chuẩn này bao gồm các chữ ký số là một phần không tách rời của định dạng. Điều này cho phép nhiều triển khai và các giải pháp phần mềm mới sử dụng chuẩn tài liệu PDF.
Vào năm 2011, Adobe Sign (Được phát triển từ EchoSign) một dịch vụ chữ ký số dựa trên đám mây đã được triển khai. Với Adobe Sign chúng ta có thể chuẩn bị và gửi đi một tài liệu đối với chữ ký điện tử trong một vài cái click chuột. Để ký số một thiết bị bất kỳ có thể được sử dụng từ Desktop, Laptop, Tablet hay Mobilephone. Những người cấp phát có thể dõi vết mỗi bước từ lúc bắt đầu cho đến khi kết thúc.
Trước khi có dịch vụ chữ ký số từ xa dựa trên đám mây thì nhiều giải pháp chữ ký số di động đã được phát triển và đưa vào sử dụng thực tế. Các dịch vụ chữ ký số di động này vẫn do thẩm quyền chứng thực CA quản lý nhưng do hoạt động trên các thiết bị di động nên môi trường truyền thông tin và lưu trữ khóa bí mật được vận hành phức tạp hơn và các vấn đề về năng suất hoạt động và an toàn hệ thống thông tin cần được xem xét đặc biệt. Việt Nam trong các năm gần đây đã tiến hành triển khai các chữ ký số trên một số loại thiết bị di động phục vụ triển khai hoạt động Chính phủ điện tử đáp ứng được các nhiệm vụ cấp thiết đề ra. Chắc chắn rằng, các giải pháp chữ ký điện tử từ xa hay dựa trên đám mây với các lợi thế về an toàn và hiệu quả sẽ sớm được áp dụng trong thực tế triển khai Chính phủ điện tử tại Việt Nam.
Gần đây vào năm 2008 công ty Guardtime đã phát triển giải pháp chữ ký điện tử mới dựa vào Hạ tầng cơ sở chữ ký không khóa (KSI – Keyless Signature Infrastructure) thay vì dựa vào Hạ tầng cơ sở khóa công khai (PKI – Public-Key Infrastructure) như đối với chữ ký số thông dụng. Vào năm 2012 giải pháp đã được ứng dụng hiệu quả cho hoạt động triển khai Chính phủ điện tử tại Estonia.
Loại chữ ký điện tử này sử dụng công nghệ Chuỗi khối (BlockChain) với hàm băm mật mã cùng với công nghệ sổ cái phân tán. Độ an toàn mật mã thay vì bảo vệ tính bí mật của thông tin đã được chuyển đổi sang bảo vệ tính toàn vẹn của thông tin. Rất nhiều tính chất ưu việt nổi trội đã đạt được của các chữ ký điện tử này so với loại chữ ký số dựa trên PKI. Về mặt an toàn mật mã các chữ ký điện tử này có khả năng kháng được máy tính lượng tử và về mặt năng suất hoạt động thì việc ký số được thực hiện nhanh hơn rất nhiều so với các chữ ký số thông dụng.
KẾT LUẬN
Lịch sử phát triển chữ ký điện tử không có nhiều thay đổi lớn về mặt pháp lý, song có nhiều thay đổi, tiến hóa về mặt công nghệ và luôn luôn được cập nhật, đưa vào sử dụng ngày càng an toàn hơn và hiệu quả hơn. Việt Nam luôn theo sát các bước tiến về pháp lý và công nghệ chữ ký điện tử để có thể kịp thời đưa các thành tựu mới vào thực tế triển khai Chính phủ điện tử Việt Nam.
Trần Quang Kỳ