Buzz
Bài viết cung cấp cái nhìn về chữ ký số, công cụ thiết yếu trong kỷ nguyên số, giúp bảo vệ tính bảo mật và toàn vẹn của tài liệu điện tử. Đối với doanh nghiệp và cá nhân, chữ ký số không chỉ đáp ứng yêu cầu pháp lý mà còn mang lại sự thuận tiện trong các giao dịch hàng ngày.Chữ ký số là gì?
Chữ ký số là dạng chữ ký điện tử được công nhận pháp lý tương đương với chữ ký tay. Đây là thông tin đặc biệt cho từng cá nhân, tổ chức, doanh nghiệp, được tạo ra theo tiêu chuẩn công nghệ PKI (Public Key Infrastructure), bảo đảm tính toàn vẹn của tài liệu và ngăn ngừa việc làm giả hoặc chỉnh sửa sau khi ký. Chữ ký số còn được bảo đảm bởi tổ chức chứng nhận (CA) uy tín, được nhà nước phê duyệt.
Theo quy định pháp luật, chữ ký số có giá trị khi đáp ứng các điều kiện sau:
- Được tạo trong thời gian chứng thư số còn hiệu lực và có thể kiểm tra bằng khóa công khai tương ứng với chứng thư số đó
- Được tạo ra bằng khóa bí mật tương ứng với khóa công khai trên chứng thư số
Ví dụ về một số mẫu chữ ký số. Nguồn: Misa
Các yêu cầu hiển thị của chữ ký số
Chữ ký số mang lại nhiều lợi ích cho cá nhân và tổ chức, bao gồm:
• Xác thực danh tính: Chữ ký số cho phép xác minh chính xác nguồn gốc và danh tính của người ký thông qua chứng thư số.
• Bảo mật cao: Với hệ thống mã hóa kép, chữ ký số bảo vệ thông tin khỏi sự can thiệp và đánh cắp.
• Toàn vẹn tài liệu: Đảm bảo tài liệu không bị thay đổi sau khi đã ký.
• Tiết kiệm thời gian và chi phí: Giảm thiểu việc in ấn, gửi tài liệu và gặp gỡ trực tiếp để ký kết hợp đồng.
Ứng dụng
Tài chính và ngân hàngNgành y tếQuyền sở hữu trí tuệTiền tệ kỹ thuật số
Một số ứng dụng của chữ ký số tại Việt NamNguyên lý hoạt động
Công nghệ PKI
Chữ ký số dựa trên công nghệ PKI (Cơ sở hạ tầng khóa công khai), bao gồm việc tạo ra hai loại khóa: khóa công khai (Public Key) và khóa riêng tư (Private Key).
Chữ ký số sử dụng công nghệ PKI để tạo ra cặp khóa dài, bao gồm khóa công khai (Public Key) và khóa riêng tư (Private Key).
Cặp khóa Public - Private.
PKI còn yêu cầu sử dụng chứng thư số (Digital Certificate) để xác thực cá nhân, tổ chức hay doanh nghiệp sở hữu cặp khóa Public/Private. Các chứng thư số này được cấp bởi các Tổ chức cấp chứng chỉ (CA), được pháp luật công nhận trong việc bảo đảm mã khóa an toàn và cung cấp dịch vụ xác thực chứng chỉ số. PKI cũng quy định các quy trình cấp phát, xác thực tính hợp lệ của chứng thư số và các quy tắc liên quan đến việc thu hồi chứng thư số.
Thuật toán RSA trong chữ ký số
PKI áp dụng thuật toán RSA (Rivest–Shamir–Adleman) để tạo ra cặp khóa Public/Private và thực hiện mã hóa cũng như giải mã. RSA là một dạng mã hóa bất đối xứng. Khác với mã hóa đối xứng, nơi chỉ sử dụng một khóa duy nhất cho cả hai quá trình mã hóa và giải mã, RSA sử dụng cả Private Key và Public Key như sau:
• Khi người gửi ký tài liệu, RSA sử dụng Private Key để mã hóa dữ liệu đã được băm (một chuỗi giá trị đại diện cho tài liệu).
• Người nhận sử dụng Public Key của người gửi để giải mã dữ liệu, từ đó xác thực tính toàn vẹn của tài liệu.
Lợi thế của RSA nằm ở tính bảo mật cao, nhờ vào độ khó trong việc phân tích các số lớn. Để giải mã tài liệu được bảo vệ bởi RSA, cần phải tìm các thừa số nguyên tố của một số rất lớn, điều này gần như không thể thực hiện được về mặt tính toán.
Thông tin Metadata và cách tích hợp vào tài liệu
Chữ ký số không chỉ mã hóa tài liệu mà còn đính kèm thông tin bổ sung dưới dạng metadata. Metadata cung cấp dữ liệu cần thiết để xác thực chữ ký số, đảm bảo tài liệu được bảo vệ toàn vẹn, và chỉ rõ người ký, thời gian ký cũng như các chi tiết kỹ thuật khác.
Các thành phần của metadata
Metadata đi kèm với tài liệu ký số thường bao gồm những thông tin sau:
- Chữ ký số đã được mã hóa (Digital Signature): Phần cốt lõi của chữ ký số, là kết quả của việc mã hóa nội dung tài liệu đã được băm bằng khóa riêng (Private Key). Điều này đảm bảo tài liệu không bị thay đổi sau khi ký.
- Khóa công khai: Thông tin về khóa công khai của người ký, được đính kèm trong metadata hoặc liên kết với chứng thư số (digital certificate). Người nhận sử dụng khóa này để giải mã và xác thực chữ ký số của người gửi.
- Thời điểm ký: Thời gian cụ thể khi tài liệu được ký bằng chữ ký số.
- Thuật toán sử dụng: Thông tin về các thuật toán đã được sử dụng để băm và mã hóa tài liệu, như SHA-256 và RSA. Điều này giúp bên nhận xác định phương thức bảo mật và kiểm tra tính hợp lệ của tài liệu.
- Thông tin về CA: Nếu chữ ký số được chứng nhận bởi một tổ chức CA uy tín, metadata sẽ chứa thông tin về CA đó, cho phép bên nhận kiểm tra và xác thực tính hợp lệ của chứng thư số.
Metadata được tích hợp vào tài liệu dưới dạng phần không hiển thị, nhưng có thể được kiểm tra và xác thực bằng phần mềm hỗ trợ. Dưới đây là cách metadata được nhúng vào các loại tài liệu phổ biến:
- Tài liệu PDF: Trong file PDF, metadata của chữ ký số được tích hợp trực tiếp vào cấu trúc của tài liệu. Người nhận có thể sử dụng các công cụ hỗ trợ chữ ký số như Adobe Acrobat để kiểm tra và xác thực thông tin metadata. Metadata không hiển thị trực tiếp cho người đọc, nhưng có thể được xác thực qua chức năng kiểm tra chữ ký số.
- Email: Khi gửi email qua giao thức bảo mật như S/MIME, metadata của chữ ký số được nhúng vào phần header của email. Người nhận có thể dùng các ứng dụng email hỗ trợ S/MIME để xác thực chữ ký số và kiểm tra thông tin metadata đi kèm.
Ứng dụng thực tế của chữ ký số
Ví dụ điển hình về việc sử dụng chữ ký số là khi Công ty A gửi tài liệu và ký bằng chữ ký số, còn Công ty B nhận tài liệu và giải mã để xác thực tính toàn vẹn của tài liệu. Công ty A sẽ sử dụng các thuật toán như SHA-256 và RSA để ký tài liệu.
Quá trình ký kết tài liệu giữa Công Ty A và Công Ty B bằng chữ ký số
Công Ty A thực hiện ký tài liệu:
- Công Ty A sử dụng chữ ký số của mình để ký hợp đồng bằng cách mã hóa tài liệu đã được băm qua thuật toán SHA-256 bằng khóa bí mật (Private Key) của họ.
- Chữ ký số được gắn vào hợp đồng dưới dạng metadata, cùng với thông tin chứng thư số và khóa công khai (Public Key) của Công Ty A.
- Thông tin gửi đến Công Ty B bao gồm: Tài liệu có chữ ký - Metadata
- Công Ty B nhận hợp đồng và sử dụng khóa công khai (Public Key) của Công Ty A để giải mã chữ ký số trong metadata.
- Công Ty B áp dụng thông tin về thuật toán để băm tài liệu, sau đó đối chiếu với dữ liệu giải mã để đảm bảo tài liệu không bị thay đổi sau khi ký.
- Công Ty B kiểm tra tính hợp lệ của chứng thư số, xác minh rằng chữ ký số đã được cấp bởi một tổ chức CA đáng tin cậy và còn trong thời gian hiệu lực.
- Sau khi hoàn tất xác thực, Công Ty B ký lại hợp đồng bằng chữ ký số của mình và gửi lại cho Công Ty A. Cả hai bên đều có thể lưu giữ hợp đồng đã được ký số, đảm bảo tính toàn vẹn và không thể phủ nhận trong tương lai.
Các loại chữ ký số hiện có
Danh sách các loại chữ ký số
Hiện nay, trên thị trường tồn tại 4 loại chữ ký số chính
Chữ ký số từ máy chủ HSM (Module bảo mật phần cứng)
Chữ ký số HSM lưu trữ cặp khóa Public/Private và chứng thư số trong thiết bị HSM, được tích hợp qua hệ thống máy chủ hóa đơn điện tử do Bộ Thông Tin & Truyền thông cung cấp. Loại chữ ký này thường được các doanh nghiệp ưa chuộng để ký số hàng loạt và quản lý phân quyền một cách thuận tiện.
Cách thức hoạt động cơ bản của chữ ký số HSM tương tự như các phương pháp khác, nhưng cặp mã khóa luôn được giữ kín trong thiết bị HSM để bảo đảm an toàn. Sau khi tài liệu được hashed bên ngoài HSM, giá trị này sẽ được gửi đến HSM để xác thực bằng khóa bí mật (private key), tạo ra chữ ký số. Chữ ký số này sẽ được gửi lại cho người gửi, đính kèm vào tài liệu để gửi đi, và quy trình giải mã cũng diễn ra như đã mô tả.
Chữ ký số dạng token
Chữ ký số này thuộc loại truyền thống, sử dụng qua USB Token được cấp cho chủ sở hữu chữ ký cùng với mã PIN để truy cập. Đây là lựa chọn phổ biến trong các giao dịch doanh nghiệp và ngân hàng. USB Token lưu trữ cặp khóa công khai và bí mật; khi sử dụng, người dùng kết nối token vào máy tính, xác thực qua mã PIN để thực hiện mã hóa trước khi gửi tài liệu.
Chữ ký số từ xa (Remote Signature)
Chữ ký số từ xa là loại chữ ký sử dụng công nghệ đám mây, không yêu cầu thiết bị phần cứng. Trong phương pháp này, cặp khóa của doanh nghiệp hoặc cá nhân được lưu trữ trên máy chủ đám mây. Người dùng cần thực hiện xác thực danh tính qua tài khoản, xác thực hai yếu tố (2FA) hoặc sinh trắc học trước khi thực hiện mã hóa với khóa bí mật lưu trên đám mây. Thường thì dịch vụ này được cung cấp bởi các nhà cung cấp nổi tiếng như DocuSign, Adobe Sign, đáp ứng các tiêu chuẩn nghiêm ngặt như eIDAS (quy định định danh số của Châu Âu).
Tại Việt Nam, các nhà cung cấp chữ ký số từ xa nổi bật bao gồm FPT, VNPT, Viettel, BKAV, Misa, và nhiều đơn vị khác.
Chữ ký số SmartCard
Chữ ký số SmartCard sử dụng các thẻ chip với khả năng mã hóa cao, thường được áp dụng trong các lĩnh vực yêu cầu bảo mật nghiêm ngặt như ngân hàng, chính phủ và môi trường doanh nghiệp. Những thẻ này có thể sử dụng công nghệ RFID hoặc NFC, và người dùng cần có đầu đọc thẻ để thực hiện việc mã hóa.
Một dạng khác của SmartCard là chữ ký số tích hợp sẵn trên SIM do các nhà mạng phát triển, với việc truy cập vào cặp khóa được thực hiện qua mã OTP do nhà mạng cung cấp.
Các nhà cung cấp chữ ký số
Tại Việt Nam, thị trường CA cung cấp chữ ký số và chứng thực chữ ký số rất phong phú. Bạn có thể tham khảo danh sách các đơn vị tại trang của Bộ Thông tin và Truyền thông. Một số tên tuổi nổi bật bao gồm Misa, BKAV, VNPT, FPT, Viettel, v.v. Thông thường, các đơn vị này cung cấp dịch vụ theo hình thức thuê bao năm với các gói 1 năm, 2 năm, và 3 năm, và có lựa chọn USB Token kèm theo.
Với thị phần Windows áp đảo tại Việt Nam, không có gì ngạc nhiên khi các ứng dụng chữ ký số chủ yếu tập trung hỗ trợ nền tảng này.
Hầu hết các đơn vị CA đều cung cấp phần mềm tương thích với Windows, điều này không khó hiểu vì khoảng 80% máy tính tại Việt Nam chạy trên hệ điều hành này. Tuy nhiên, một số đơn vị CA cũng cung cấp ứng dụng cho các nền tảng khác như Misa với eSign cho iPad và Misa Token Manager cho Mac, hoặc Viettel với ứng dụng Viettel MySign cho iPad.
Nguồn: [][][3][4][5][6][]
