Bài viết chia sẻ một số thông tin về chữ ký số, vốn dần trở thành một công cụ không thể thiếu trong thời đại số, giúp đảm bảo tính bảo mật và toàn vẹn của các tài liệu điện tử. Đối với các doanh nghiệp và cá nhân, chữ ký số không chỉ là yêu cầu về pháp lý mà còn mang lại sự tiện lợi trong giao dịch hàng ngày.
Chữ ký số là một dạng chữ ký điện tử được pháp luật công nhận giá trị pháp lý tương đương với chữ ký tay. Nó là thông tin đặc biệt với mỗi cá nhân, tổ chức, doanh nghiệp. Thông tin này được tạo ra dựa trên những tiêu chuẩn đã được thiết lập thông qua công nghệ PKI (Public Key Infrastructure), đảm bảo tính toàn vẹn của tài liệu và ngăn ngừa việc làm giả hoặc thay đổi sau khi ký. Ngoài ra, chữ ký này được đảm bảo bởi tổ chức cung cấp chứng nhận (CA) đáng tin cậy, được nhà nước chấp thuận.
Theo quy định của pháp luật, thì chữ ký số được coi là có giá trị khi đáp ứng được các điều kiện sau:
Một số mẫu chữ ký số. Nguồn: Misa
Chữ ký số là gì?
Chữ ký số là một dạng chữ ký điện tử được pháp luật công nhận giá trị pháp lý tương đương với chữ ký tay. Nó là thông tin đặc biệt với mỗi cá nhân, tổ chức, doanh nghiệp. Thông tin này được tạo ra dựa trên những tiêu chuẩn đã được thiết lập thông qua công nghệ PKI (Public Key Infrastructure), đảm bảo tính toàn vẹn của tài liệu và ngăn ngừa việc làm giả hoặc thay đổi sau khi ký. Ngoài ra, chữ ký này được đảm bảo bởi tổ chức cung cấp chứng nhận (CA) đáng tin cậy, được nhà nước chấp thuận.
Theo quy định của pháp luật, thì chữ ký số được coi là có giá trị khi đáp ứng được các điều kiện sau:
- Được tạo trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai tương ứng với chứng thư số đó
- Được tạo ra bằng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số
Một số mẫu chữ ký số. Nguồn: Misa
Chữ ký số có thể được sử dụng cho tổ chức, doanh nghiệp hay cá nhân. Mỗi loại gồm các yêu cầu về cách thức hiển thị khác nhau. Với doanh nghiệp, việc hiển thị phải bao gồm hình ảnh với con dấu màu đỏ có kích thước như con dấu thực, lưu dưới dạng .png. Ngoài ra, các thông tin cũng cần được cung cấp như Tên doanh nghiệp/tổ chức/cơ quan, Thời gian ký theo tiêu chuẩn ISO 8601.
Đối với cá nhân, hình ảnh hiển thị chỉ cần là chữ ký tay của người sở hữu, màu xanh dưới dạng .png và không yêu cầu thông tin liên quan đến chữ ký số đó.
Yêu cầu hiển thị cho chữ ký số
Chữ ký số mang lại nhiều lợi ích cho cá nhân và tổ chức, bao gồm:
• Xác thực danh tính: Chữ ký số giúp xác định chính xác nguồn gốc và danh tính của người ký thông qua chứng thư số.
• Bảo mật cao: Với 2 lớp mã hóa, chữ ký số đảm bảo thông tin không bị can thiệp hay đánh cắp.
• Toàn vẹn tài liệu: Chữ ký số đảm bảo rằng tài liệu chưa bị thay đổi sau khi ký.
• Tiết kiệm thời gian và chi phí: Giảm thiểu nhu cầu in ấn, chuyển phát tài liệu, và gặp gỡ trực tiếp để ký kết hợp đồng.
Ứng dụng
Quảng cáo
Chữ ký số dần trở nên phổ biến vì nó có nhiều ứng dụng trong các ngành nghề khác nhau:
• Tài chính và ngân hàng: Bảo mật các giao dịch trực tuyến và ký kết hợp đồng tài chính.
• Y tế: Đảm bảo tính toàn vẹn của bệnh án và thông tin sức khỏe.
• Sở hữu trí tuệ: Xác nhận quyền sở hữu các tài liệu bản quyền.
• Tiền điện tử: Đảm bảo giao dịch an toàn và bảo mật.
Ở Việt Nam, chữ ký số trở nên phổ biến và được cá nhân lẫn doanh nghiệp sử dụng. Với cá nhân, chữ ký số có thể dùng để mã hoá dữ liệu, bảo mật thông tin; kê khai, quyết toán thuế TNCN; ký hợp đồng lao động, hợp đồng kinh tế; giao dịch ngân hàng, tín dụng ..
Trong khi đó, doanh nghiệp/tổ chức có thể sử dụng chữ ký số trong việc kê khai thuế, thực hiện hoá đơn điện tử, khai hồ sơ bảo hiểm xã hội, nộp thuế, thực hiện các dịch vụ công với kho bạc nhà nước hay hải quan, giao dịch ngân hàng, đăng ký doanh nghiệp.
Quảng cáo
Một số ứng dụng của chữ ký số tại Việt Nam
Cá nhân và doanh nghiệp ở Việt Nam có thể đăng ký sử dụng chữ ký số thông qua các tổ chức CA được chính phủ cấp phép
Cách thức hoạt động
Công nghệ PKI
Chữ ký số hoạt động dựa trên công nghệ PKI (Public Key Infrastructure), tạo ra hai dãy khóa: khóa công khai (Public Key) và khóa bí mật (Private Key).
Chữ ký số hoạt động công nghệ PKI (Public Key Infrastructure) bao gồm việc tạo ra hai dãy số dài là khóa công khai (Public Key) và khóa bí mật (Private Key).
Cặp khoá Private - Public.
Ngoài ra, PKI cũng yêu cầu việc sử dụng các chứng thư số (Digital Certificate) để xác thực một cá nhân, tổ chức doanh nghiệp là chủ sở hữu của cặp Public/Private key. Các chứng thư số này sẽ được cung cấp bởi các Certificate Authorities (CA - Tổ chức xác thực chứng thư số), được pháp luật xác nhận trong việc đảm bảo mã khoá an toàn và cung cấp các dịch vụ xác nhận số - chứng chỉ số. PKI cũng bao gồm các tập quy định để cung cấp, xác thực tính chính danh của chứng thư số hay những quy tắc dẫn tới việc thu hồi chứng thư này.
Thuật toán RSA trong chữ ký số
PKI sử dụng thuật toán RSA (Rivest–Shamir–Adleman) để tạo ra cặp key Public/Private, và thực hiện việc mã hoá và giải mã. RSA là dạng mã hoá bất đối xứng. Khác với mã hoá đối xứng là chỉ sử dụng đúng 1 key duy nhất để mã hoá và giải mã, nó sử dụng Private key và Public key để thực hiện công việc này như sau:
• Khi người gửi ký tài liệu, RSA sử dụng Private Key để mã hóa dữ liệu đã được hashed (một chuỗi giá trị đặc biệt đại diện cho tài liệu).
• Bên nhận sử dụng Public Key của người gửi để giải mã dữ liệu đó, xác thực tính toàn vẹn của tài liệu.
Thế mạnh của RSA nằm tính bảo mật cao, xuất phát từ độ khó của việc phân tích thừa số các số lớn. Để giải mã một tài liệu được bảo vệ bởi RSA, phải tìm được các thừa số nguyên tố của một số rất lớn, điều này gần như không thể về mặt tính toán.
Thông tin Metadata và cách nhúng vào tài liệu
Chữ ký số không chỉ mã hóa tài liệu mà còn đính kèm các thông tin bổ sung dưới dạng metadata. Metadata là dữ liệu giúp xác thực thông tin liên quan đến chữ ký số, đảm bảo tài liệu được bảo vệ toàn vẹn và xác định rõ ràng người ký, thời gian ký, và các chi tiết kỹ thuật khác.
Thông tin trong metadata
Metadata đi kèm với tài liệu ký số thường bao gồm các thành phần sau:
- Hash đã mã hoá (Digital Signature): thành phần chính của chữ kí số, là kết quả của việc mã hóa nội dung tài liệu đã được hashed bằng khóa bí mật (Private Key). Nó đảm bảo tính toàn vẹn của tài liệu, ngăn ngừa việc tài liệu bị thay đổi sau khi ký.
- Public key: Thông tin về khóa công khai của người ký được đính kèm trong metadata hoặc liên kết với chứng thư số (digital certificate). Bên nhận sử dụng khóa này để giải mã và xác thực chữ ký số. của người gửi được đính kèm vào chứng chỉ số (digital certificate).
- Thời gian ký: Thời điểm chính xác khi tài liệu được ký bằng chữ ký số.
- Thuật toán sử dụng: thông tin về các thuật toán đã được dùng để hash và mã hóa tài liệu, như SHA-256 và RSA. Điều này giúp bên nhận xác định phương thức bảo mật được sử dụng và kiểm tra tính hợp lệ của tài liệu.
- Thông tin về CA: Nếu chữ ký số được chứng nhận bởi một tổ chức CA đáng tin cậy, metadata sẽ chứa thông tin về CA đó, cho phép bên nhận kiểm tra và xác thực tính hợp lệ của chứng thư số.
Metadata được nhúng trực tiếp vào tài liệu dưới dạng một phần không hiển thị, nhưng có thể được kiểm tra và xác thực bằng các phần mềm hỗ trợ. Dưới đây là cách metadata được nhúng vào các loại tài liệu phổ biến:
- Tài liệu PDF: Trong file PDF, metadata của chữ ký số được nhúng trực tiếp vào cấu trúc của file. Người nhận có thể sử dụng các phần mềm hỗ trợ chữ ký số như Adobe Acrobat để kiểm tra và xác thực thông tin metadata. Metadata không hiển thị cho người dùng đọc tài liệu, nhưng có thể được kiểm tra qua chức năng xác thực chữ ký số.
- Email: Khi gửi email sử dụng giao thức bảo mật như S/MIME, metadata của chữ ký số được nhúng vào phần header của email. Người nhận email có thể sử dụng các ứng dụng email hỗ trợ S/MIME để xác thực chữ ký số và kiểm tra các thông tin metadata kèm theo.
Ví dụ ứng dụng thực tế của chữ ký số
Mình lấy ví dụ trường hợp mà chữ kí số có thể được sử dụng là bên gửi - Công ty A sẽ kí tài liệu thông qua chữ ký số và bên nhận - Công ty B sẽ nhận thông tin và giải mã nhằm xác thực tài liệu này toàn vẹn. Thuật toán mà bên A sử dụng sẽ là SHA-256 và RSA
Quá trình kí kết tài liệu giữa Công Ty A và Công Ty B sử dụng chữ ký số
Công ty A ký tài liệu:
- Công ty A sử dụng chữ ký số của mình để ký vào hợp đồng bằng cách mã hóa tài liệu đã được hashed thông qua SHA-256, bằng khóa bí mật (Private Key) của họ.
- Chữ ký số được đính kèm vào hợp đồng dưới dạng metadata, cùng với thông tin về chứng thư số và khóa công khai (Public Key) của Công ty A.
- Thông tin được gửi đi đến công ty B bao gồm: Tài liệu bao gồm chữ ký - Metadata
- Công ty B nhận hợp đồng và sử dụng khóa công khai (Public Key) của Công ty A để giải mã chữ ký số trong metadata
- Công ty B sử dụng thông tin về thuật toán để hash tài liệu đi kèm, sau dó so sánh với thông tin được giải mã ở trên để đảm bảo rằng tài liệu chưa bị thay đổi sau khi ký.
- Công ty B kiểm tra tính hợp lệ của chứng thư số, xác nhận rằng chữ ký số đã được cung cấp bởi một tổ chức CA đáng tin cậy và đang trong thời hạn hiệu lực.
- Sau khi xác thực, Công ty B ký lại hợp đồng bằng chữ ký số của họ và gửi lại cho Công ty A. Cả hai bên đều có thể lưu trữ hợp đồng đã được ký số, đảm bảo tính toàn vẹn và không thể phủ nhận trong tương lai.
Các loại chữ kí số
Các loại chữ ký số
Hiện tại trên thị trường có 4 loại chữ ký số
Chữ ký số máy chủ HSM (Hardware Security Module)
Ở chữ ký số HSM, cặp Public key/Private key, chứng thư số được lưu trữ trong thiết bị HSM và tích hợp thông qua máy chủ hoá đơn điện tử được bộ Thông Tin & Truyền thông cung cấp. Loại này thường được các doanh nghiệp sử dụng để ký số hàng loạt và phân quyền dễ dàng.
Về cơ bản, cách thức hoạt động của chữ ký số với HSM cũng tương tự như trên nhưng cặp mã khoá luôn được giữ trong thiết bị HSM nhằm đảm bảo an toàn. Sau khi tài liệu được hashed bên ngoài HSM, giá trị này sẽ được gửi tới HSM để được xác thực với private key để trở thành chữ ký số. Chữ ký số này sẽ được trả về cho người gửi, đính kèm vào tài liệu để gửi đi và quá trình giải mã cũng tương tự như đề cập ở trên.
Chữ ký số token
Chữ ký số này là loại truyền thống, được sử dụng thông qua một USB Token cấp cho chủ sở hữu của chữ ký đó cùng với một mã PIN để truy cập, phổ biến trong các giao dịch doanh nghiệp và ngân hàng. USB Token này sẽ lưu trữ cặp mã public key và private key và khi sử dụng, người dùng cần kết nối vào máy tính, xác thực thông qua mã PIN để thực hiện việc mã hoá trước khi gửi đi.
Chữ ký số từ xa (Remote signature)
Đây là loại chữ ký sử dụng công nghệ đám mây (cloud-based) mà không thêm bất kỳ thiết bị phần cứng nào. Ở dạng này, cặp key của doanh nghiệp, cá nhân sẽ được lưu trữ trên máy chủ đám mây. Người sử dụng buộc phải xác thực định danh thông qua tài khoản, xác thực 2 yếu tố 2FA hay sinh trắc học trước khi thực hiện việc mã hoá sử dụng private key được lưu trên đám mây. Thông thường, hình thức này được thực hiện bởi các dịch vụ bên thứ ba, nổi tiếng như DocuSign, Adobe Sign, vốn phải đáp ứng các tiêu chuẩn khắt khe như eIDAS (bộ quy định về định danh số của Châu Âu).
Ở Việt Nam, một số nhà cung cấp chữ ký số từ xa nổi tiếng bao gồm FPT, VNPT, Viettel hay BKAV, Misa, v.v.
Chữ ký số SmartCard
Loại chữ ký này sử dụng các thẻ gắn chip có khả năng thực hiện các tác vụ mã hoá, thường được sử dụng trong các lĩnh vực đòi hỏi bảo mật cao như ngân hàng, chính phủ, hay môi trường doanh nghiệp. Thẻ gắn chip này có thể là thẻ sử dụng công nghệ RFID hay NFC và người dùng có thể truy cập vào thông qua một đầu đọc thẻ, sau đó thực hiện việc mã hoá.
Ngoài ra, một hình thức khác của Smart Card là chữ ký số được thiết lập sẵn trên SIM do nhà mạng phát triển và việc truy cập vào cặp key được thực hiện thông qua khoá bảo mật là OTP mà nhà mạng gửi về.
Một số nhà cung cấp
Ở Việt Nam, thị trường các đơn vị CA cung cấp chữ ký số, chứng thực chữ ký số khá đang dạng. Bạn có thể tìm hiểu danh sách một số đơn vị tại trang này của bộ Thông tin và Truyền thông. Một số đơn vị cung cấp nổi tiếng bao gồm Misa, BKAV, VNPT, FPT, Viettel, v.v. Theo mình tìm hiểu, thì phần lớn các đơn vị này cung cấp dịch vụ thường là theo năm với các gói như 1 năm - 2 năm và 3 năm và có lựa chọn USB Token đi kèm.
Thị phần Windows chiếm phần lớn tại Việt Nam nên không khó hiểu khi các ứng dụng chữ ký số hỗ trợ rất mạnh nền tảng này.
Về nền tảng hỗ trợ, thì phần lớn các đơn vị CA này đều hỗ trợ phần mềm cho Windows. Điều này khá dễ hiểu vì gần 80% máy tính sử dụng tại Việt Nam vận hành trên Windows. Tuy nhiên, một số đơn vị CA cũng đưa ra các ứng dụng cho các nền tảng khac như Misa với eSign cho iPad - Misa Token Manager cho Mac hoặc Viettel cũng có ứng dụng Viettel MySign hỗ trợ cho iPad.
Nguồn: [1][2][3][4][5][6][7]