Dịch vụ Nhận dạng, Xác thực và Tin cậy Điện tử (eIDAS - Electronic Identification, Authentication and Trust Services) là một quy định của Liên minh Châu Âu về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong thị trường chung Châu Âu xác định 3 loại chữ ký điện tử:
- Chữ ký điện tử đơn giản (SES - Simple Electronic Signatures);
- Chữ ký điện tử nâng cao (AdES - Advanced Electronic Signatures);
- Chữ ký điện tử đủ điều kiện (QES- Qualified Electronic Signatures).
Thuật ngữ “Chữ ký điện tử đơn giản” là một tên bản ngữ dùng để nhóm lại tất cả các chữ ký điện tử không nâng cao hoặc không đủ tiêu chuẩn. Mặc dù nó được đa số các nhà cung cấp chữ ký điện tử sử dụng, nhưng eIDAS không thực sự sử dụng thuật ngữ này.
Tuy nhiên, để hiểu một cách đơn giản thì sẽ sử dụng thuật ngữ “Chữ ký đơn giản” để chỉ định cấp đầu tiên trong 3 cấp độ của chữ ký điện tử. Theo eIDAS, chữ ký điện tử là “dữ liệu ở dạng điện tử được đính kèm hoặc liên kết logic với dữ liệu khác ở dạng điện tử và được người dùng sử dụng để ký”.
Chữ ký điện tử nên đạt được những điều kiện sau:
Tôn trọng các tiêu chuẩn chữ ký của Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI - European Telecommunications Standards Institute), cùng với quy định của eIDAS về các dịch vụ nhận dạng và ủy thác điện tử cho các giao dịch điện tử trong Thị trường chung Châu Âu:
- Sử dụng chứng nhận điện tử;
- Sử dụng hệ thống xác minh danh tính;
- Có cách để chứng minh rằng tài liệu không được chỉnh sửa sau khi nó được ký.
Tiêu chuẩn công nghiệp là ký các tài liệu điện tử thông qua một nhà cung cấp đáng tin cậy cũng là một tổ chức cấp chứng thư số. Có thể tìm thấy danh sách các cơ quan cấp chứng thư số đủ điều kiện ở Châu Âu trên trang web của Ủy ban Châu Âu.
Sự khác biệt giữa 3 loại chữ ký chủ yếu là mức độ bảo mật của mỗi loại và độ phức tạp của hệ thống xác minh danh tính người ký mà mỗi loại chữ ký sử dụng. Do đó, sức mạnh của chữ ký điện tử nằm ở mức độ tin cậy mà nó cung cấp đối với việc xác định người ký và có bằng chứng rằng tài liệu thực sự đã được ký.
Tuy nhiên, việc yêu cầu khách hàng sử dụng một hệ thống đòi hỏi nhiều bước phức tạp không phải luôn hữu ích khi chữ ký đơn giản hoặc nâng cao có thể đã có mức hiệu lực và bảo mật thích hợp.
SES đang được sử dụng rộng rãi nhất hiện nay. Ngày nay, phần lớn chữ ký điện tử trên thị trường được gọi là “đơn giản” vì chúng phù hợp hơn và cách sử dụng nhanh chóng, linh hoạt. SES phù hợp với yêu cầu về mức độ bảo mật và nhận dạng pháp lý đối với các tài liệu.
Không có danh sách thiết lập các yêu cầu cho loại chữ ký này. Do đó, người dùng có thể chỉ trong 2 cú nhấp chuột và không cần bất kỳ quy trình xác minh danh tính hoặc đồng ý cụ thể nào khi ký một tài liệu. Trong trường hợp này, người ký sẽ rất dễ chối bỏ việc mình đã ký. Theo định nghĩa này, một chữ ký được quét hoặc một chữ ký số cơ bản, chẳng hạn như chữ ký thực hiện trên thiết bị đầu cuối của người giao hàng, người mang bưu kiện chẳng hạn, được gọi là chữ ký đơn giản.
Tuy nhiên, quy trình SES có thể được củng cố và có giá trị pháp lý cao hơn nếu thêm một bước xác thực bổ sung, trong đó mã SMS mà người ký nhận được là yêu cầu xác minh cần thiết để ký tài liệu.
Tương tự, mặc dù không bắt buộc phải lưu giữ một dấu vết nào đối với các SES nhưng rõ ràng là việc tạo và lưu trữ, cũng như số lượng và chất lượng của các bằng chứng được thu thập sẽ cung cấp mức độ tin cậy cao hơn nhiều trong trường hợp có xảy ra tranh chấp.
Thông tin theo dõi và lưu trữ này có thể được tạo thành từ các yếu tố như địa chỉ email của người ký, số điện thoại, địa chỉ IP của máy tính được sử dụng để ký tài liệu,... Mục đích của danh sách các bằng chứng này là để cung cấp cho luật sư khả năng dễ dàng theo dõi các giai đoạn khác nhau của một giao dịch theo từng bước.
Ngay cả trong trường hợp của một SES, một số nhà cung cấp dịch vụ cũng tạo ra một tệp lưu trữ được đóng dấu tem thời gian cho mỗi vết và mỗi thủ tục chứa một tập hợp các dấu vết máy tính mà sẽ được lưu trữ trong nhiều năm tại một cơ quan lưu trữ của bên thứ ba được chứng nhận quốc tế.
AdES an toàn hơn, được khuyên dùng cho các giao dịch tài chính lớn hoặc để ký các tài liệu có giá trị pháp lý cao. Tuy nhiên, AdES phải đáp ứng các tiêu chí xác minh danh tính nghiêm ngặt nên có mức độ bảo mật cao và được quy định trong Quy định eIDAS.
Do đó, AdES phải đảm bảo được những điều kiện sau:
- Được liên kết duy nhất và rõ ràng với người ký;
- Cho phép người ký được xác định chính thức;
- Được tạo ra bằng các phương tiện dưới sự kiểm soát duy nhất của người ký, chẳng hạn như điện thoại hoặc máy tính cá nhân của họ;
- Đảm bảo rằng tài liệu đã ký không thể được sửa đổi.
Điều này có thể được thực hiện thông qua các giải pháp như tải lên và xác minh trực tiếp ID của người ký cũng như việc bổ sung ID của người đó vào một tệp lưu trữ. Việc thêm bằng chứng đồng ý của người ký, chẳng hạn như xác nhận của người ký về nội dung là chính xác, để cho thấy rằng tài liệu đã được hiểu đúng hoặc sao chép văn bản trước khi ký. Khi đó sẽ chứng minh sự tự nguyện ký vào tài liệu của người ký, trong trường hợp xảy ra kiện tụng. Tất cả các hệ thống xác minh danh tính và bằng chứng này có thể được kết hợp để củng cố thêm giá trị pháp lý của chữ ký.
Ngoài ra còn có một thủ tục chữ ký nâng cao với chứng thư đủ điều kiện mà yêu cầu xác minh trực tiếp (vật lý hoặc từ xa) danh tính của người ký và có thể được sử dụng trong các trường hợp cụ thể. Nó là giải pháp trung gian giữa chữ ký nâng cao và chữ ký đủ điều kiện.
QES là hình thức tiên tiến nhất của bảo mật chữ ký điện tử. Nó đặc biệt quan trọng và chỉ được sử dụng trong những trường hợp rất cụ thể khi cần phải có đủ điều kiện.
Từ quan điểm pháp lý, có một bước tiến lớn giữa chữ ký đủ điều kiện và chữ ký đơn giản hoặc nâng cao. QES có các ràng buộc quy định được xác định chính xác về danh tính của người ký và cách chữ ký được bảo vệ. Hiệu lực pháp lý của nó tương đương với chữ ký viết tay, trong khi các cấp độ khác của chữ ký điện tử có giá trị để làm chứng cớ. Do đó, nó được công nhận hợp pháp ở tất cả các Quốc gia thành viên của Liên minh Châu Âu.
Quy trình chữ ký điện tử được coi là đáng tin cậy khi nó sử dụng QES do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp. Các tổ chức chứng nhận này được kiểm soát bởi Văn phòng Ủy viên Thông tin (ICO - Information Commissioner’s Office) ở Vương quốc Anh và bởi các cơ quan tương đương ở mỗi quốc gia Châu Âu.
Quy trình chữ ký đủ điều kiện sử dụng các tiêu chí bảo mật tương tự như chữ ký nâng cao, nhưng yêu cầu danh tính của người ký phải được xác thực trước và chữ ký phải nằm trong thiết bị tạo chữ ký điện tử đủ điều. Trong khi việc xác minh danh tính trước đây yêu cầu một cuộc gặp thực tế, thì giờ đây nó có thể được thực hiện từ xa nếu đáp ứng các điều kiện nhất định.
Do đó, điều này có thể được thực hiện trong một cuộc gặp trực tiếp trong đó người ký sẽ được cấp một phương thức nhận dạng gọi là “token” (thẻ thông minh, khóa USB,...) cho phép tổ chức chứng nhận xác thực danh tính của người ký để ký các tài liệu sau khi nhập mã PIN cá nhân. Khóa mật mã này phải được bảo vệ cực kỳ chắc chắn và đáng tin cậy, do đó về mặt logic phải được lưu trữ ở một nơi an toàn. Nó sẽ được ICO xác minh và xác thực trước khi thiết bị được cấp chứng nhận.
Một giải pháp thay thế cho việc phân phối khóa mật mã là sử dụng HSM trong đám mây, cho phép hoạt động này được thực hiện từ xa với xác thực hai yếu tố của người ký sau khi yêu cầu chữ ký được kích hoạt, sau khi xác minh định danh vật lý trực tiếp (face to face).
Do đó, sự lựa chọn về loại chữ ký điện tử phải đảm bảo tính dễ sử dụng và bảo mật. Việc thực hiện thủ tục chữ ký đủ điều kiện chỉ nên được sử dụng trong các trường hợp cụ thể, vì thủ tục này đặc biệt phức tạp. Do đó, tùy thuộc vào người dùng để quyết định xem bảo mật có được ưu tiên hơn trải nghiệm người dùng hay không hay mức độ bảo mật đơn giản đã là quá đủ hay chưa.
Do đó, các chuyên gia khuyên nên chọn theo phương pháp gồm 3 bước sau:
- Bước 1: Phân tích bối cảnh pháp lý và quy định để xác định những ràng buộc và rủi ro liên quan đến việc sử dụng chữ ký điện tử cho trường hợp cụ thể của người dùng.
- Bước 2: Phân tích các loại rủi ro và cơ hội khác: hình ảnh công ty, tác động về mặt năng suất, cổ phần tài chính,...
- Bước 3: Sự lựa chọn cấp độ chữ ký điện tử, dung hòa trải nghiệm người dùng và các nhu cầu về bảo mật.
TÀI LIỆU THAM KHẢO 1. Matthieu Duault, Simple, advanced, and qualified electronic signature-What is the difference, https://yousign.com/blog/electronic-signature-simpleadvanced-qualified-what-difference. 2. Nadim Farah, What’s the Difference between Advanced and Qualied Signatures in eIDAS?, https://www.globalsign.com/en/blog/difference-between-eidas-advanced-and-qualified-electronic-signatures 3. John Erik Setsaas, What is the difference between Advanced and Qualified Electronic Signatures? (eIDAS AES and QES), https://www.signicat.com/resources/what-is-the-difference-between-aes-and-qes. 4. David McNeal, eIDAS Electronic Signatures: Qualified vs Advanced - When to choose what and why, https://www.cryptomathic.com/news-events/blog/eidas-electronic-signatures-qualified-vs-advanced-when-to-choose-what-and-why |
TS. Trần Duy Lai
16:00 | 03/09/2021
15:00 | 21/05/2020
14:00 | 03/04/2007
14:00 | 01/03/2024
Ngày 06/01/2022, Thủ tướng Chính phủ đã phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số (CĐS) quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (gọi tắt là Đề án 06). Mục tiêu tổng quát của Đề án là ứng dụng Cơ sở dữ liệu (CSDL) quốc gia về dân cư, hệ thống định danh và xác thực điện tử, thẻ căn cước công dân (CCCD) gắn chip điện tử trong công cuộc CĐS quốc gia một cách linh hoạt, sáng tạo, phù hợp Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030. Đối với Ban Cơ yếu Chính phủ (CYCP), để thực hiện cải cách hành chính, chuyển đổi số mạnh mẽ, toàn diện, Ban đã thực hiện triển khai hệ thống định danh tập trung căn cứ theo Nghị định số 59/2022/NĐ-CP nhằm đảm bảo quá trình CĐS của Ban CYCP được thống nhất, đồng bộ, qua đó góp phần vào sự phát triển của các dịch vụ công toàn trình phục vụ các cơ quan Đảng, Nhà nước thực hiện CĐS thành công.
14:00 | 18/10/2022
Một trong những nội dung tại Nghị quyết Hội nghị trực tuyến Chính phủ với địa phương và Phiên họp Chính phủ thường kỳ tháng 9/2022 là Chính phủ yêu cầu Bộ TT&TT chỉ đạo các nhà mạng cung cấp miễn phí chữ ký số cá nhân cho người dân khi thực hiện thủ tục hành chính trên môi trường điện tử.
09:00 | 21/09/2022
12 số trên thẻ Căn cước công dân (CCCD) là số định danh cá nhân. Nếu biết được ý nghĩa của các số này, người dùng sẽ dễ ghi nhớ số Căn cước công dân của mình hơn.
14:00 | 07/04/2022
Bộ TT&TT đặt mục tiêu đưa trợ lý ảo trở nên phổ biến với công chức, viên chức trong cơ quan nhà nước và phục vụ nhu cầu cơ bản tra cứu, tìm kiếm thông tin của người dân.
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024