Quy Trình Sử Dụng Chữ Ký Số Để Ký Các Thông Điệp Dữ Liệu

Chương 2. Giao dịch điện tử


Nguồn: www.verisign.com Một nhiệm vụ quan trọng của tổ chức cung cấp dịch vụ chứng thực điện

tử là duy trì trực tuyến cơ sở dữ liệu về chứng thư số để các cá nhân và tổ chức có thể truy cập và sử dụng trong quá trình sử dụng chữ ký số.

người gửi

cặp khóa củ

a CQ CT

cặp khóa

NỘI DUNG

Nội dung chứng chỉ số

Có thể bạn quan tâm!

Xem toàn bộ 360 trang tài liệu này.

- Thông tin về NG

- Khóa công khai

Thương mại điện tử 2009 Phần 1 - 20

KÝ SỐ

CHỨNG CHỈ SÔ

NỘI DUNG

Nội dung chứng chỉ số

- Thông tin về NG

- Khóa công khai

RÚT GỌN

NGƯỜI GỬI

a

CƠ QUAN C.THỰC

củ

B2. CQCT thông

điệp dữ liệu chứa nội

B3. Rút gọn gói tin nội dung chứng chỉ

Hình 12.2. Minh hoạ quy trình tạo tạo chứng thư điện tử


B1. Cơ quan chứng thực tạo cặp khóa


B4. CQCT ký số vào chứng chỉ số để xác

Nguồn: Bài giảng TS. Mai Anh, Chữ ký số, 2007 và các nguồn khác Quy trình tạo chứng thư điện tử cho người sử dụng gồm bốn bước như sau:

Bước 1. Cơ quan chứng thực tạo ra cặp khóa công khai và bí mật cho người sử dụng

Bước 2. Cơ quan chứng thực tạo thông điệp nội dung chứng chỉ số với đầy đủ các thông tin cần thiết

Bước 3. Rút gọn chứng chỉ số và ký xác nhận bằng khóa bí mật của mình

Bước 4. Gắn chữ ký số vào thông điệp chứa nội dung chứng chỉ số để tạo thành chứng chỉ số (chứng chỉ này người đăng ký biết và được lưu trữ trên website của nhà cung cấp dịch vụ để các bên liên quan có thể sử dụng trong giao dịch).

Việc chứng thực chữ ký điện tử thực chất là xác thực các thông tin về người gửi có đúng với các thông tin trên chứng thư điện tử hay không, việc này được thực hiện bằng khóa công khai của chính cơ quan chứng thực đã cấp chứng thư điện tử. Những thông tin về người gửi và khóa công khai đã được cơ quan chứng thực xác nhận bằng cách ký bằng khóa bí mật khi cấp chứng chỉ số.

Khi người nhận muốn xác thực các thông tin về người gửi thông điệp, người nhận sẽ sử dụng khóa công khai của Cơ quan chứng thực để giải mã chứng thư điện tử của người nhận hoặc phần chữ ký số của cơ quan chứng thực gắn với chứng thư điện tử để xác thực nội dung chứng thư đặc biệt là khóa công khai có gắn với người gửi hay không.

3.1.2.2. Quy trình sử dụng chữ ký số để ký các thông điệp dữ liệu

Để ký một chứng từ điện tử, người gửi sẽ sử dụng khóa bí mật và phần mềm ký điện tử để mã hóa chứng từ đó thành chữ ký số rồi gửi cho người nhận. Tuy nhiên, về nguyên tắc, để tạo điều kiện thuận lợi cho người nhận trong quá trình kiểm tra tính toàn vẹn của nội dung chứng từ và xác thực chứ ký, người gửi có thể gửi kèm theo thông điệp đã ký khóa công khai và chứng thư điện tử của mình hoặc địa chỉ để truy cập chứng thư điện tử của mình. Với khóa công khai và chứng thư điện tử, người nhận sẽ dễ dàng xác thực được chữ ký và nội dung thông điệp.

Hình 12.3. Minh hoạt quy trình ký số và xác thực chữ ký số

B1. Rút gọn văn bản cần ký bằng phần

B2. Tạo chữ ký số

bằng khóa bí mật &

B3. Gửi văn bản gốc, chữ ký số, khóa công

khai, chứng chỉ số

B4. Giải mã chữ ký số của người gửi bằn

khóa công khai được

B5. Rút gọn văn bản gốc nhận được để có

văn bản rút gọn 2

B6. So sánh hai văn bản rút gọn thu được

để kiểm tra tính toàn


Nguồn: Bài giảng: TS. Mai Anh, Chữ ký số, 2007 và http://en.wikipedia.org Quy trình tạo và chứng thực chữ ký số đem lại ba lợi thế cho chữ ký số:

- Chữ ký số là duy nhất đối với từng văn bản được ký vì yếu tố đầu vào thứ nhất là bản thân chính văn bản đó;

- Chữ ký số là duy nhất đối với chủ thể ký vì yếu tố đầu vào thứ hai là khóa bí mật gắn với chủ thể đó;

- Trong trường hợp cần xác thực thông tin người đã ký có thể sử dụng chứng chỉ số và khóa công khai của cơ quan chứng thực để kiểm tra

Quy trình thực hiện ký số cũng tạo điều kiện để xác thực chữ ký số dễ dàng hơn so với chữ ký tay trên giấy. Việc xác thực chữ ký được thực hiện căn cứ vào ba yếu tố đầu vào gồm: (i) văn bản được ký ; (ii) chữ ký số và (iii) khóa công khai. Quy trình kiểm tra chữ ký số được phần mềm thực hiện và cho kết quả đúng và sai. Nếu đúng có nghĩa văn bản và chữ ký số là xác thực nếu sai có nghĩa một trong hai yếu tố xác thực đã bị thay đổi hoặc sai lệch.

Việc tạo ra chữ ký số có thể do máy tính hoặc các thiết bị điện tử cầm tay thực hiện, các thiết bị này có thể truy cập đến khóa bí mật được lưu tại một vị trí bí mật trong hoặc ngoài thiết bị đó. Có nhiều loại chữ ký điện tử khác được sử dụng hỗ trợ chữ ký số như thẻ thông minh (smartcard), dấu hiệu sinh học (biometrics) và mật khẩu (passwords). Lợi ích nổi bật nhất của chữ ký số là giải quyết được việc ràng buộc trách nhiệm của các bên trong giao dịch điện tử. Thông thường, khi một bên xác nhận sự đồng ý với nội dung giao dịch thông qua việc kích chuột vào nút “I agree” hoặc “Confirrm” trên website nếu xảy ra tranh chấp sẽ rất khó để xác minh hoặc tìm lại vị trí của các nút trên. Đồng thời cũng rất khó xác định xem đó có phải là nút “I agrree” đã được sử dụng cho giao dịch hay không, đặc biệt khi các website luôn thay đổi về nội dung và hình thức. Trong các giao dịch điện tử với giá trị nhỏ được thực hiện tự động (B2C) chữ ký số được gắn vào các hóa đơn điện tử (receipt) sẽ ràng buộc trách nhiệm của người bán và tạo được sự tin tưởng của người mua tốt hơn.

Công nghệ tạo ra cặp khóa và chứng chỉ số đóng vai trò quan trọng trong việc sử dụng chữ ký số, hiện nay Entrust và Verisign là những nhà cung cấp giải pháp về chữ ký số hàng đầu thế giới hiện nay với công nghệ PKI được nghiên cứu và phát triển liên tục từ 1994 đến nay.

3.1.3. Quy định về chữ ký số và sử dụng chữ ký số trong giao dịch điện tử

Chữ ký số lần đầu được xây dựng năm 1976, sau hơn 25 năm liên tục nghiên cứu và phát triển về công nghệ và luật pháp, hiện nay các quốc gia phát triển đều đã có hạ tầng về công nghệ và khung pháp lý điều chỉnh chữ ký số. Việc xây dựng cơ sở

hạ tầng về chữ ký số dựa trên công nghệ khóa công khai đến nay đã được triển khai rộng khắp tại nhiều nước trên thế giới, tại một số nước hệ thống này được xây dựng với quy mô rất lớn, ví dụ Bộ Quốc phòng Mỹ đã đầu tư 700 triệu USD từ năm 2000 đến 2005 cho riêng hạ tầng PKI của mình 8. Bên cạnh đó, Hoa Kỳ đưa ra một số quy định về sử dụng chữ ký số như: Luật về chữ ký điện tử trong giao dịch thương mại quốc gia và quốc tế (e-Sign, 2000), luật về giao dịch điện tử thống nhất (UETA), Luật về dịch vụ tài chính (Gramm Leach Billey) và luật về loại bỏ các chứng từ giấy trong giao dịch của cơ quan Nhà nước (Government Paperwork Elimination Act). Những

quy định loại này không chỉ khiến các tổ chức phải nhanh chóng đáp ứng các chuẩn giao dịch mà còn tạo ra những cơ hội và thách thức. Việt Nam cũng đã xây dựng xong Luật giao dịch điện tử (2006), Luật công nghệ thông tin (2006) và Nghị định 26/2007/NĐ-CP ngày 15/2/2007 về Chữ ký số & Dịch vụ chứng thực chữ ký số… để từng bước đưa chữ ký số vào trong các giao dịch điện tử.

Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 về Chữ ký số và Dịch vụ chứng thực chữ ký số là Nghị định hướng dẫn chi tiết nhiều vấn đề pháp lý và công nghệ về chữ ký điện tử, đặc biệt là chữ ký số. Nghị định này quy định chi tiết về việc thừa nhận giá trị pháp lý của chữ ký số trong các các giao dịch điện tử (Điều 8); thừa nhận giá trị pháp lý của các chữ ký số và chứng thư số của nước ngoài; điều kiện đảm bảo an toàn cho chữ ký số; điều kiện cấp phép và hoạt động của các tổ chức cung cấp dịch vụ chứng thực chữ ký số và cả biện pháp xử lý những vi phạm pháp luật liên quan đến chữ ký số…

Nghị định này gồm 73 điều trong 11 Chương:

Chương 1: Những quy định chung (từ Điều 1 đến Điều 7)

Chương 2: Chữ ký số và chứng thư số (từ Điều 8 đến Điều 12)


8 Nguồn: Information Security Advantages and Remaining Challenges to Adoption of Public Key Infrastructure Technology, GAO, 2/2001

Chương 3: Cấp phép cung cấp dịch vụ chứng thực chữ ký số công cộng (từ Điều 13 đến 20)

Chương 4: Hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng ( từ Điều 21 đến Điều 28)

Chương 5: Quyền và nghĩa vụ của các bên tham gia cung cấp dịch vụ và sử dụng dịch vụ chứng thực chữ ký số (từ Điều 29 đến Điều 44)

Chương 6: Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng (từ Điều 45 đến Điều 51)

Chương 7: Công nhận chữ ký số, chứng thư số và hoạt động cung cấp dịch vụ chứng thực chữ ký số nước ngoài (từ Điều 52 đến Điều 55)

Chương 8: Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia (từ Điều 56 đến Điều 57)

Chương 9: Tranh chấp, khiếu nại, tố cáo, bồi thường (từ Điều 58 đến Điều 60) Chương 10: Thanh tra, kiểm tra và xử lý vi phạm (từ Điều 61 đến Điều 72)

Chương 11: Điều khoản thi hành (Điều 73)

Điều 1 và 2 của Nghị định số 26/2007/NĐ-CP nêu rõ phạm vi áp dụng chữ ký số và chứng thư số; việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số đối với cơ quan, tổ chức cung cấp dịch vụ chứng thực chữ ký số và cơ quan, tổ chức, cá nhân lựa chọn sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong giao dịch điện tử trong phạm vi lãnh thổ Việt Nam. Đồng thời Nghị định cũng nhấn mạnh đến chính sách khuyến khích sử dụng chữ ký điện tử (Điều 5): “Nhà nước khuyến khích việc sử dụng chữ ký số và dịch vụ chứng thực chữ ký số trong các lĩnh vực kinh tế, chính trị, xã hội để thúc đẩy việc trao đổi thông tin và các giao dịch qua mạng nhằm nâng cao năng suất lao động; mở rộng các hoạt động thương mại; hỗ trợ cải cách hành chính, tăng tiện ích xã hội, nâng cao chất lượng cuộc sống của nhân dân và bảo đảm an ninh, quốc phòng”. Nghị định này cũng khẳng định chính sách của Nhà nước thúc đẩy việc ứng dụng chữ ký số và phát triển dịch vụ chứng thực chữ ký số thông

qua những dự án trọng điểm nhằm nâng cao nhận thức; phổ biến pháp luật; phát triển ứng dụng; tổ chức đào tạo nguồn nhân lực; nghiên cứu, hợp tác và chuyển giao công nghệ liên quan đến chữ ký số và dịch vụ chứng thực chữ ký số.

Việc ban hành Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 là cơ sở pháp lý để các doanh nghiệp Việt Nam tiến hành triển khai dịch vụ cấp và chứng thực chữ ký số cho các tổ chức và cá nhân để có công cụ ký kết các hợp đồng điện tử thuận tiện, an toàn và phù hợp với trình độ quốc tế. Nghị định này góp phần tạo hành lang pháp lý cho một trong những hoạt động quan trọng nhất thúc đẩy giao dịch điện tử, đặc biệt là các giao dịch điện tử giữa các tổ chức và doanh nghiệp Việt Nam trong cả lĩnh vực thương mại và phi thương mại.

Thực tế đã chứng minh việc chậm trễ hoặc không sử dụng chữ ký số cũng có thể đem lại những hậu quả đáng tiếc cho các tổ chức trong thế giới công nghệ hiện nay. Tháng 8 năm 2000, giá cổ phiếu của Emulex Corporation bị tụt giảm 60% do một bài báo giả trên mạng. Sự cố này có thể đã không xảy ra nếu các bài báo của công ty này đều được ký số, khi đó mọi độc giả đều có thể kiểm chứng được tính xác thực của bài báo bằng việc sử dụng khóa công khai của công ty.

Ủy ban của Liên hiệp quốc về Luật thương mại quốc tế (UNCITRAL) đưa ra Luật mẫu về Chữ ký số năm 2001 (UNCITRAL Model Law on Electronic) làm cơ sở để các nước xây dựng luật và các văn bản điều chỉnh các hoạt động liên quan đến chữ ký số. Đến nay, hầu hết các nước đã có hệ thống luật hoặc quy định điều chỉnh chữ ký số, điển hình gồm

Châu Âu:

- Chỉ thị của Hội đồng và Nghị viện Châu Âu về chữ ký điện tử năm 1999 (Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures). Ngoài ra các nước khác cũng đã xây dựng luật chữ ký điện tử như Áo (2000), Bỉ (2001), CH Séc (2000), Anh (2000), Phần Lan (2003), Đức (2001), Ireland (2000), Italia (2005),

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 29/12/2022