Tải bản đầy đủ (.pdf) (63 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Chữ ký điện tử và các giao thức xác thực

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.78 MB, 63 trang )

DANH MỤC TỪ, THUẬT NGỮ VIẾT TẮT

Từ viết tắt

Tên đầy đủ

Nghĩa

ATM

Automatic Teller Machine

Máy rút tiền tự động

CA

Certificate Authority

Nhà cung cấp chứng chỉ số

CPĐT
DC

Chính phủ điện tử
Digital Certificate

Chứng chỉ điện tử

Hash Message Authentical Code

Mã xác thực thông điệp



DSA
HMAC

dựa vào hàm băm
MACs

Message Authentication Codes

Mã xác thực thông điệp

MD5

Message Degist 5

Giải thuật tiêu hóa tin 5

OAEP

Optimal Asymmetric Encryption

Chuyển đổi mã hóa bất đối

Padding

xứng tối ưu

Persional Computer

Máy tính cá nhân


RSA

Rivest, Sharmir, Adleman

Thuật toán RSA

SHA

Secure Hash Algorithm

Giải thuật băm an toàn

PC
PKCS

1


LỜI NÓI ĐẦU
Tuy mới ra đời trong những năm 50 của thế kỷ XX và thực sự phát triển
mạnh mẽ trong những năm gần đây nhưng tin học đã đóng một vai trò không thể
thiếu trong đời sống hiện nay của con người. Cùng với xu thế phát triển chung
của thế giới và khu vực trong những năm gần đây ngành tin học ở Việt Nam có
những bước đột phá nhất định. Tin học ngày càng đi sâu vào trong đời sống của
con người. Nó được ứng dụng trong mọi lĩnh vực của cuộc sống. Tin học làm cho
đời sống của con người trở nên tiện nghi hơn trước rất nhiều. Trước kia khi cần
mua một sản phẩm gì đó hay đơn giản là đọc một bài báo bạn cần phải ra cửa
hàng rất mất thời gian. Nhưng giờ đây với sự phát triển của công nghệ thông tin
và mạng internet bạn chỉ cần ngồi ở nhà cũng có thể xem phim đọc báo một cách

thoải mái bất kỳ lúc nào bạn có thời gian rảnh rỗi. Cùng với sự hỗ trợ của
Internet, con người có thể tiết kiệm được rất nhiều chi phí và thời gian. Các bên
là đối tác làm ăn có thể trao đổi thông tin qua mạng bằng hình thức hội nghị
truyền hình, sinh viên có thể không cần đến lớp mà có thể học tại nhà khi có thời
gian bằng hình thức học E-Learning, một người ở bên Mỹ có thể trò chuyện cùng
người thân mà không cần tốn kém,…Với Internet mọi thứ đều đơn giản.
Thương mại điện tử là hình thức kinh doanh, hoạt động bằng phương pháp
điện tử, là việc trao đổi thông tin, dữ liệu thông qua các phương tiện công nghệ
điện tử mà không cần in ra giấy trong bất cứ công đoạn nào trong quá trình giao
dịch. Trong sự phát triển nhanh chóng của Internet đã kéo theo một loạt các dịch
vụ mới ra đời như trò chuyện, quảng cáo, tư vấn, đặt hàng, bán hàng… qua
Internet. Trong số đó, dịch vụ thương mại điện tử (TMĐT)(ElectronicCommerce) là một bước nhảy vọt trong việc ứng dụng Internet vào cuộc sống và
kinh doanh. Thông qua TMĐT, nhiều loại hình kinh doanh mới được hình thành,
trong đó có việc mua bán hàng trên mạng. Với hình thức này, người tiêu dùng có
thể tiếp cận với hàng hóa một cách dễ dàng và nhanh chóng hơn rất nhiều so với
cách thức mua bán truyền thống, đồng thời còn tiết kiệm thời gian để người dùng
có thể đầu tư vào việc khác. Ngoài ra TMĐT còn giúp con người có thể tìm kiếm
tự động theo nhiều mục đích khác nhau, tự động cung cấp thông tin theo nhu cầu,

2


sở thích và con người có thể ngồi tại nhà để mua sắm theo ý muốn. Những lý do
trên cho thấy ưu điểm của TMĐT đem lại là một thế mạnh để phát triển nền kinh
tế đất nước và cải thiện đời sống người dân.
Tuy nhiên trong điều kiện hiện nay thương mại điện tử còn chưa được mọi
người sử dụng rộng rãi vì TMĐT chưa tạo được niềm tin ở người sử dụng . Để
TMĐT đến với từng người, từng nhà, từng cơ quan và tạo niềm tin cho những
người tham gia TMĐT, em đã xây dựng đề tài: “Chữ ký điện tử và các giao
thức xác thực”. Với đề tài này em chưa thể bao quát hết các vấn đề nhưng cũng

đã nêu bật lên các vấn đề như thế nào là thương mại điện tử, chữ ký điện tử, tầm
quan trọng của chữ ký điện tử trong TMĐT, các thuật toán tạo và xác thực chữ
ký điện tử…Trong thời gian làm đồ án cùng với sự giúp đỡ tận tình của thầy giáo
hướng dẫn Ths.Lê Tuấn Anh và các bạn em đã hoàn thành đề tài này. Em xin
chân thành cảm ơn.

3


CHƯƠNG I: CHỮ KÝ ĐIỆN TỬ VÀ CÁC KHÁI NIỆM
LIÊN QUAN
1.1. Thương mại điện tử và chữ ký điện tử
1.1.1. Thương mại điện tử
a. Khái niệm thương mại điện tử
Thương mại điện tử (còn gọi là thị trường điện tử, thị trường ảo, ECommerce hay E-Business): Là việc tiến hành một phần hay toàn bộ hoạt động
thương mại bằng những phương tiện điện tử. Thương mại điện tử vẫn mang bản
chất như các hoạt động thương mại truyền thống. Tuy nhiên, thông qua các
phương tiện điện tử mới, các hoạt động thương mại được thực hiện nhanh hơn,
hiệu quả hơn, giúp tiết kiệm chi phí và mở rộng không gian kinh doanh. Tại đây
một mối quan hệ thương mại hay dịch vụ trực tiếp giữa người cung cấp và khách
hàng được tiến hành thông qua Internet.
Nhìn một cách tổng quát, định nghĩa thương mại điện tử được chia thành 2
nhóm tùy thuộc vào quan điểm:
- Theo nghĩa hẹp: Thương mại điện tử chỉ bó hẹp trong việc mua bán hàng hóa
và dịch vụ thông qua các phương tiện điện tử nhất là qua Internet và các mạng
liên thông khác.
- Theo nghĩa rộng: Thương mại điện tử là các giao dịch tài chính và thương mại
bằng phương tiện điện tử như: trao đổi dữ liệu điện tử, chuyển tiền điện tử và các
hoạt động như gửi/rút tiền bằng thẻ tín dụng. Thương mại điện tử trong định
nghĩa này gồm nhiều hành vi trong đó: hoạt động mua bán hàng hoá; dịch vụ;

giao nhận các nội dung kỹ thuật số trên mạng; chuyển tiền điện tử; mua bán cổ
phiếu điện tử, vận đơn điện tử; đấu giá thương mại; hợp tác thiết kế; tài nguyên
trên mạng; mua sắm công cộng; tiếp thị trực tiếp với người tiêu dùng và các dịch
vụ sau bán hàng; đối với thương mại hàng hoá (như hàng tiêu dùng, thiết bị y tế
chuyên dụng) và thương mại dịch vụ (như dịch vụ cung cấp thông tin, dịch vụ
pháp lý, tài chính); các hoạt động truyền thống (như chăm sóc sức khoẻ, giáo
dục) và các hoạt động mới như siêu thị ảo.

4


Điểm đặc biệt của thương mại điện tử so với các kênh phân phối truyền
thống là tính linh hoạt cao về mặt cung ứng và giảm thiểu tối đa chi phí vận tải
đối với các đối tác kinh doanh, các phí tổn khác như phí tổn điện thoại và đi lại
để thu thập khách hàng hay phí tổn trình bày giới thiệu cũng được giảm xuống
đáng kể. Mặc dù vậy, tại các dịch vụ vật chất cụ thể khoảng cách không gian vẫn
còn phải được khắc phục vì thế đòi hỏi một khả năng tiếp vận nhất định.
b. Lợi ích của thương mại điện tử
Tại các nước có trình độ ứng dụng công nghệ thông tin cao thì việc bán lẻ
hàng hóa, dịch vụ qua Internet là khá phổ biến. Nhiều tỷ đô la doanh thu từ các
doanh nghiệp trên toàn thế giới đã được sinh ra từ thương mại điện tử. Ngoài ra bằng
những công nghệ phần mềm hiện đại và bản chất tương tác hai chiều của Internet
các công ty và doanh nghiệp còn có thể được các thông tin về cá nhân người tiêu
dùng và xu hướng tiêu dùng của họ thông qua các thủ tục đăng ký, đặt hàng, giao
hàng và thanh toán. Chính nhờ giảm thiểu chung gian trong mua bán hàng hóa, dịch
vụ và tiết kiệm chi phí trong việc mở cửa hàng và trưng bày sản phẩm những doanh
nghiệp chỉ dựa vào phương pháp truyền thống (trực tiếp gặp gỡ khách hàng) nay
cũng có kế hoạch mở các trang web thương mại điện tử để bán hàng và giới thiệu
sản phẩm hay ít nhất cũng là tham gia quảng cáo trên internet.
Chúng ta đều thấy lợi ích lớn nhất mà TMĐT đem lại chính là sự tiết kiệm

chi phí và tạo thuận lợi cho các bên giao dịch. Giao dịch bằng phương tiện điện
tử nhanh hơn so với giao dịch truyền thống rất nhiều, ví dụ như fax hay thư điện
tử thì nội dung thông tin đến tay người nhận nhanh hơn gửi thư. Các giao dịch
qua Internet có chi phí rất rẻ, một doanh nghiệp có thể gửi thư tiếp thị, chào hàng
đến hàng loạt khách hàng chỉ với chi phí giống như gửi cho một khách hàng. Với
TMĐT, các bên có thể tiến hành giao dịch khi ở cách xa nhau, giữa thành phố với
nông thôn, từ nước này sang nước kia, hay nói cách khác là không bị giới hạn bởi
không gian địa lý. Điều này cho phép các doanh nghiệp tiết kiệm chi phí đi lại,
thời gian gặp mặt trong khi mua bán. Còn với người tiêu dùng, họ có thể ngồi tại
nhà để đặt hàng, mua sắm nhiều loại hàng hóa, dịch vụ thật nhanh chóng.

5


Những lợi ích như trên chỉ có được với những doanh nghiệp thực sự nhận
thức được giá trị của TMĐT. Vì vậy, TMĐT góp phần thúc đẩy sự cạnh tranh
giữa các doanh nghiệp để thu được nhiều lợi ích nhất. Điều này đặc biệt quan
trọng trong bối cảnh hội nhập kinh tế quốc tế, khi các doanh nghiệp trong nước
phải cạnh tranh một cách bình đẳng với các doanh nghiệp nước ngoài.
c. Phân loại thương mại điện tử

CHÍNH
PHỦ

DOANH
NGHIỆP

NGƯỜI
TIÊU DÙNG


CHÍNH
PHỦ

CP với CP
(G2G):Điều phối

CP với DN (G2B):
Thông tin

CP với NTD
(G2C): thông tin

DOANH
NGHIỆP

DN với CP (B2G):
Đấu thầu

DN với DN
(B2B): TMĐT

DN với NTD
(B2C): TMĐT

NTD với CP
(C2G): Đóng thuế

NTD với DN
(C2B): So sánh giá
cả


NGƯỜI
TIÊU DÙNG

NTD với NTD
(C2C): Đấu giá

Hình 1.1.1: Các hình thức giao dịch thương mại điện tử
Dựa vào chủ thể của thương mại điện tử có thể phân chia thương mại điện
tử ra các loại hình sau:
- Người tiêu dùng:
 C2C (Consumer-To-Consumer): Người tiêu dùng với người tiêu dùng.
 C2B (Consumer-To-Business): Người tiêu dùng với doanh nghiệp
 C2G (Consumer-To-Government): Người tiêu dùng với chính phủ.
- Doanh nghiệp:
 B2C (Business-To-Consumer): Doanh nghiệp với người tiêu dùng.
 B2B (Business-To-Business): Doanh nghiệp với doanh nghiệp.
 B2G (Business-To-Government): Doanh nghiệp với chính phủ.
 B2E (Business-To-Employee): Doanh nghiệp với nhân viên.

6


- Chính phủ:
 G2C (Government-To-Consumer): Chính phủ với người tiêu dùng
 G2B (Government-To-Business): Chính phủ với doanh nghiệp
 G2G (Government-To-Government): Chính phủ với chính phủ.
Trong đó:
B2B là loại hình giao dịch qua các phương tiện điện tử giữa doanh nghiệp
với doanh nghiệp. Theo Tổ chức Liên hợp quốc về Hợp tác và Phát triển kinh tế

(UNCTAD), TMĐT B2B chiếm tỷ trọng lớn trong TMĐT (khoảng 90%). Các
giao dịch B2B chủ yếu được thực hiện trên các hệ thống ứng dụng TMĐT như
mạng giá trị gia tăng (VAN); dây chuyền cung ứng hàng hoá, dịch vụ (SCM), các
sàn giao dịch TMĐT… Các doanh nghiệp có thể chào hàng, tìm kiếm bạn hàng,
đặt hàng, ký kết hợp đồng, thanh toán qua các hệ thống này. Ở một mức độ cao,
các giao dịch này có thể diễn ra một cách tự động. TMĐT B2B đem lại nhiều lợi
ích thực tế cho doanh nghiệp, đặc biệt giúp giảm các chi phí về thu thập thông tin
tìm hiểu thị trường, quảng cáo, tiếp thị, đàm phán, tăng các cơ hội kinh doanh,…
B2C là loại hình giao dịch giữa doanh nghiệp và người tiêu dùng qua các
phương tiện điện tử. Doanh nghiệp sử dụng các phương tiện điện tử để bán hàng
hóa, dịch vụ tới người tiêu dùng. Người tiêu dùng thông qua các phương tiện điện tử
để lựa chọn, mặc cả, đặt hàng, thanh toán, nhận hàng. Giao dịch B2C tuy chiếm tỷ
trọng ít (khoảng 10%) trong TMĐT nhưng có sự phạm vi ảnh hưởng rộng. Để tham
gia hình thức kinh doanh này, thông thường doanh nghiệp sẽ thiết lập website, hình
thành cơ sở dữ liệu về hàng hoá, dịch vụ; tiến hành các quy trình tiếp thị, quảng cáo,
phân phối trực tiếp tới người tiêu dùng. TMĐT B2C đem lại lợi ích cho cả doanh
nghiệp lẫn người tiêu dùng. Doanh nghiệp tiết kiệm nhiều chi phí bán hàng do
không cần phòng trưng bày hay thuê người giới thiệu bán hàng, chi phí quản lý cũng
giảm hơn. Người tiêu dùng sẽ cảm thấy thuận tiện vì không phải tới tận cửa hàng, có
khả năng lựa chọn và so sánh nhiều mặt hàng cùng một lúc.
B2G là loại hình giao dịch giữa doanh nghiệp với cơ quan nhà nước, trong
đó cơ quan nhà nước đóng vai trò khách hàng. Quá trình trao đổi thông tin giữa
doanh nghiệp với cơ quan nhà nước được tiến hành qua các phương tiện điện tử.

7


Cơ quan nhà nước cũng có thể thiết lập những website tại đó đăng tải thông tin
về nhu cầu mua hàng của các cơ quan nhà nước, tiến hành việc đấu thầu hàng
hoá, dịch vụ và lựa chọn nhà cung cấp trên website. Điều này một mặt giúp tiết

kiệm các chi phí tìm nhà cung cấp, đồng thời giúp tăng cường tính minh bạch
trong hoạt động mua sắm công.
C2C là loại hình giao dịch giữa các cá nhân với nhau. Sự phát triển của các
phương tiện điện tử làm cho nhiều cá nhân có thể tham gia hoạt động thương mại
với tư cách là người bán, người cung cấp dịch vụ. Một cá nhân có thể tự thiết lập
website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng một website
có sẵn để đấu giá một số món hàng mình có. C2C góp phần tạo nên sự đa dạng của
thị trường.
G2C là loại hình giao dịch giữa cơ quan nhà nước với cá nhân. Đây chủ yếu
là các giao dịch mang tính hành chính, nhưng có thể mang những yếu tố của
TMĐT. Ví dụ khi người dân đóng tiền thuế qua mạng, trả phí khi đăng ký hồ sơ
trực tuyến, v.v...
1.1.2. Giao dịch điện tử
a. Khái quát
Giao dịch điện tử chỉ là việc thực hiện những giao dịch thương mại dựa trên
các công cụ điện tử (Electronic) mà cụ thể là mạng Internet và www (World Wide
Web - tức là những trang web hay website). Ví dụ: việc trưng bày hình ảnh hàng
hóa, thông tin về doanh nghiệp trên Website cũng là một phần của giao dịch điện
tử, hay liên lạc với khách hàng qua E-mail, tìm kiếm khách hàng thông qua việc
tìm kiếm thông tin trên mạng Internet…
Có nhiều cấp độ thực hiện giao dịch điện tử. Ở cấp độ cơ bản, doanh nghiệp
có thể chỉ có Website trưng bày thông tin, hình ảnh, tìm kiếm khách hàng qua
mạng, liên hệ với khách hàng qua E-mail mà thôi. Cấp độ cao hơn thì các doanh
nghiệp đã có thể thực hiện một số giao dịch trên mạng như cho khách hàng đặt
hàng ngay trên mạng, quản lý thông tin khách hàng, đơn đặt hàng bằng cơ sở dữ
liệu tự động trên mạng, có thể xử lý thanh toán qua mạng bằng thẻ tín dụng.

8



b. Các hệ thống điện tử
- Hệ thống môi giới điện tử: E-Broker
Các hệ thống môi giới điện tử như BargianFinder, Jango… thường cung
cấp công cụ tìm kiếm thông tin giúp khách hàng có thể dễ dàng tìm kiếm các
hàng hóa và dịch vụ mà họ cần. Khách hàng sẽ đưa yêu cầu tìm kiếm và hệ thống
môi giới sẽ tự động tìm kiếm những nhà cung cấp có khả năng đáp ứng yêu cầu
này. Kết quả là danh sách các hàng hóa và dịch vụ cùng với địa chỉ liên lạc hoặc
địa chỉ Web của nhà cung cấp tương ứng, danh sách có thể sắp xếp theo tiêu
chuẩn giá cả. Tuy nhiên, hệ thống chỉ hỗ trợ giai đoạn tìm kiếm thông tin, còn
những công việc khác như đặt hàng, thanh toán, phân phối… phải do khách hàng
tự thực hiện trực tiếp với nhà cung cấp họ đã chọn.
- Hệ thống đấu giá điện tử: E-Auction
Cùng với sự phát triển của Internet, nhiều website bán đấu giá đã ra đời,
trong đó có một số website nổi tiếng như E-Bay, Onsale, FirstAuction…Các site
bán đấu giá làm trung gian đàm phán về giá cả hàng hóa giữa người mua và
người bán với chi phí thấp hơn nhiều so với các cuộc đấu giá truyền thống. Bất
cứ người dùng Internet nào cũng có thể tham gia mua hoặc bán hàng hóa trong
các cuộc bán đấu giá trực tuyến. Nhiều khách hàng thực hiện việc đấu giá để mua
và bán linh kiện máy tính, đồ chơi, quần áo, đồ cổ và nhiều thứ linh tinh khác.
Ngay cả các công ty cũng tham gia để bán hàng hóa tồn kho, hàng thanh lý.
- Trung tâm TMĐT(Thương Mại Điện Tử):
Một trung tâm TMĐT là một tập hợp cửa hàng điện tử được quản lý bởi
một tổ chức chung. Tổ chức này thường là một nhà cung cấp dịch vụ nổi tiếng,
có uy tín được nhiều người dùng tin cậy. Một ví dụ của mô hình này là Electronic
Mall Bodensee.
Trung tâm TMĐT là nơi lưu trữ các thông tin sản phẩm của những nhà
cung cấp. Vì thế, trung tâm TMĐT rất phù hợp với các công ty nhỏ không có
điều kiện để tự xây dựng hệ thống TMĐT riêng mình. E-Auction cung cấp cho
khách hàng các dịch vụ tìm kiếm, so sánh thông tin trong một catalog chung của
nhiều nhà cung cấp có đăng ký với hệ thống. Đặt hàng đồng thời với nhiều nhà


9


cung cấp bằng cách dùng giỏ mua sắm điện tử và thanh toán bằng một phương
thức chung. Tuy nhiên, trung tâm TMĐT không quan tâm đến việc thực hiện một
giao dịch cá thể nào, các đơn đặt hàng sẽ được chuyển về cho nhà cung cấp.
Đa số những hệ thống TMĐT áp dụng các mô hình kinh doanh kể trên thích
hợp với các dịch vụ bán lẻ B2C hoặc C2C. Tuy nhiên, trong khuynh hướng phát
triển của nền kinh tế, một số thị trường điện tử không chỉ đáp ứng được nhu cầu
mua sắm của những người tiêu dùng mà còn phải có khả năng hỗ trợ các giao
dịch giữa các doanh nghiệp. Tất cả các hoạt động liên quan đến việc kinh doanh
phải được hỗ trợ trong môi trường điện tử, từ quảng cáo, cung cấp thông tin đến
việc trả giá hay đàm phán hợp đồng, các hoạt động tài chính cũng như dịch vụ
hậu đãi khách hàng.
1.1.3. Chữ ký điện tử

Bản tin rõ

Người gửi

Bản tin
gốc

Người nhận
Băm

Băm
So sánh
Bản

tin
băm

Private-key
Người gửi

Mã hóa

public-key
người gửi
Chữ ký
điện tử

Giải mã

Bản tin băm

Hình 1.1.3: Mô hình tạo và xác thực chữ ký điện tử.
a. Khái niệm chữ ký điện tử
Chúng ta ai cũng quen với văn bản trên giấy, chúng được ký và đóng dấu
để xác nhận và chứng thực, để đối tác biết được văn bản đó có phải là văn bản
thật hay không. Cùng với sự phát triển của công nghệ thông tin, các văn bản
không chỉ được lưu trữ thủ công như thế nữa mà chúng được lưu trữ trên các
phương tiện điện tử dưới dạng số, để dễ dàng sao chép và sửa đổi. Nếu ta sử
dụng chữ ký truyền thống sẽ rất dễ dàng bị giả mạo chữ ký

10


Trong thời đại mà thương mại điện tử đang lên ngôi, chính phủ điện tử đang

trở nên cấp thiết, những bức thư điện tử cũng không còn xa lạ và là công cụ không
thể thiếu đối với mỗi con người năng động thì một sự đảm bảo cho các nội dung
điện tử là rất cần thiết. Hãy thử tưởng tượng bạn đọc được trên một email thông tin
rằng sản phẩm nổi tiếng A đang bán giảm giá một nửa, hơn nữa khi mua sản phẩm
A bạn còn được tặng một gói B và một năm đọc báo C miễn phí. Hay là bạn đọc
được trên một diễn đàn rằng ngôi sao nhạc trẻ X và ngôi sao thời trang Y sẽ tặng quà
giới hâm mộ tại địa điểm Z. Thật là những cơ hội hiếm có nhưng làm sao có thể tin
tưởng được điều này? Nếu như những email và bài viết kia có được chữ ký điện tử
của những người phát ngôn đáng tin cậy thì ta có thể hoàn toàn yên tâm về nội dung
của chúng, đó là đặc điểm nổi bật nhất của chữ ký điện tử.
Nguy cơ bị thay đổi sao chép hoặc mất dữ liệu trên mạng thật sự là một
trở ngại đáng quan tâm trong giao dịch điện tử, vì thế đảm bảo tính toàn vẹn dữ
liệu là một phần trong các biện pháp đảm bảo an toàm thông tin. Thanh toán bằng
thẻ tín dụng qua dịch vụ web có thể gặp các rủi ro như:
- Thông tin truyền từ trình duyệt web của khách hàng ở dạng thuần văn bản nên
có thể bị lọt vào mắt của người khác.
- Trình duyệt web của khách hàng không thể xác định máy chủ mà mình trao đổi
thông tin là thật hay giả mạo.
- Chúng ta không thể đảm bảo thông tin được truyền đi có bị thay đổi hay không.
Vì vậy cần có một cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử.
Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng được các yêu cầu sau:
- Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi không bị đánh cắp.
- Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, mạo nhận.
- Hệ thống phải có khả năng đảm bảo tính toàn vẹn dữ liệu.
Một vai trò quan trọng nữa của chữ ký điện tử là khả năng bảo mật, doanh
nghiệp M có thể trao đổi những bản hợp đồng với tổ chức N qua mạng mà không
ngại có sự nhòm ngó của các công ty cung cấp dịch vụ internet hoặc của bất kỳ
hacker nào là nhờ có chữ ký điện tử.

11



Chữ ký điện tử (digital signature): là đoạn dữ liệu ngắn đính kèm với văn
bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn
vẹn của nội dung văn bản gốc. Hay chữ ký điện tử: là thuật ngữ chỉ mọi phương
thức khác nhau để một cá nhân, đơn vị có thể "ký tên" vào một dữ liệu điện tử,
thể hiện sự chấp thuận và xác nhận tính nguyên bản của nội dung dữ liệu đó.
Để chứng minh rằng một thông điệp đã thực sự được gửi bởi chính người
gửi mà không phải là do một kẻ khác giả mạo khái niệm Digital Signatures được
ra đời. Khi ta sử dụng Digital Signatures bạn sẽ kiểm tra được tính xác thực của
một thông điệp. Việc sử dụng Digital Signatures sẽ giảm bớt nguy cơ giả mạo
thông điệp (đặc biệt là các thông điệp giả mạo.
Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử
(email, file text, bảng tính…). Chữ ký điện tử rất đa dạng, có thể là một tên hoặc
hình ảnh cá nhân kèm theo dữ liệu điện tử, một mã khoá bí mật, hay một dữ liệu
sinh trắc học (chẳng hạn như hình ảnh mặt, dấu vân tay, hình ảnh mống mắt...) có
khả năng xác thực người gửi.
Chữ ký điện tử là mô hình đảm bảo an toàn dữ liệu khi truyền trên mạng và
được sử dụng để tạo chứng nhận điện tử trong các giao dịch điện tử qua mạng
Internet.
Digital Signatures là sự kết hợp giữa Secret Key (khoá bí mật) và text, tiếp
đó nó sẽ sử dụng Public Key của người gửi để thẩm tra thông điệp. Nó không chỉ
kiểm tra, thẩm định thông tin về người gửi mà nó còn có thể kiểm tra cả nội dung
của thông điệp. Như vậy bạn sẽ biết được rằng thông điệp đó không bị giả mạo
và nó không bị sửa đổi hay can thiệp vào nội dung trong quá trình vận chuyển.
b. Sự khác biệt giữa chữ ký thường và chữ ký điện tử
- Với văn bản thường chữ ký là một phần vật lý của văn bản, việc kiểm tra tính
đúng đắn của chữ ký được thực hiện bằng cách so sánh với chữ ký gốc
- Chữ ký điện tử dùng để xác thực một vấn đề nào đó. Chữ ký điện tử được kiểm
tra bằng thuật toán công khai, ai cũng có thể kiểm tra được và bảo đảm kết quả là

như nhau, mỗi đoạn tin chữ ký phải khác nhau với những văn bản gốc khác nhau
(phải có đặc thù riêng không thể cắt, dán)

12


c. Yêu cầu về chữ ký điện tử
Do tính chất phức tạp của chữ ký điện tử nên chữ ký điện tử phải đáp ứng
được các yêu cầu sau:
- Chữ ký phải là một chuỗi bit phụ thuộc vào bản tin gốc được ký.
- Chữ ký phải sử dụng một thông tin duy nhất nào đó của người gửi để người gửi
không thể chối bỏ được hoặc người khác không thể làm giả được.
- Chữ ký phải được tạo ra một cách dễ dàng
- Chúng ta dễ dàng nhận ra và kiểm tra chữ ký đó.
- Khó có thể làm giả chữ ký điện tử bằng cách tạo ra một bản tin cho một chữ ký
đã có hoặc tạo ra một chữ ký mới cho một bản tin đã cho trước.
- Chữ ký điện tử luôn được gắn với thuật toán băm một chiều (Hashing).
- Chữ ký điện tử trong thực tế luôn phải lưu trữ một bản sao.
d. Điều kiện để đảm bảo an toàn cho chữ ký điện tử
Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng
một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được
các điều kiện sau đây:
- Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu
đó được sử dụng
- Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký
- Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện
- Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có
thể bị phát hiện.
e. Đặc điểm của chữ ký điện tử
Chữ ký điện tử được ví như chìa khóa trong thương mại điện tử và chính

phủ điện tử. Nếu chữ ký điện tử được triển khai rộng rãi thì sẽ tiết kiệm cho
doanh nghiệp về thời gian cũng như chi phí. Vì vậy chữ ký điện tử phải có những
đặc điểm sau:
- Tính xác nhận: một chữ ký điện tử đảm bảo rằng chính người ký là người tạo ra
nó.

13


- Tính an toàn: không thể làm giả chứ ký nếu như không biết thông tin bí mật để
tạo chữ ký.
- Không thể dùng lại: một chữ ký điện tử không thể dùng cho một tài liệu khác
- Không thể phủ nhận: một khi người ký không thể phủ nhận chữ ký đó.
- Tính hiệu quả: ký và xác nhận nhanh chóng dễ dàng.
f. Tiện ích và hạn chế của chữ ký điện tử
- Ưu điểm:
 Bằng việc sử dụng chữ ký điện tử thông tin và dữ liệu được gửi bằng hình thức
điện tử được bảo vệ tốt hơn.
 Chữ ký điện tử cho phép nội dung của thông điệp được gửi là duy nhất không
thể hủy bỏ và thay đổi
 Chữ ký điện tử tạo điều kiện thuận lợi cho việc nhận dạng cả hai bên gửi và nhận
- Hạn chế:
 Hệ thống này tự nó có thể hỏng, điều này có nghĩa là nó rất cần sử dụng một hệ
thống thích hợp để phân loại các mật mã riêng.
 Hệ thống phân loại cần được bảo vệ một cách hợp lý và quản lý bởi một cá
nhân hay tập thể được ủy quyền tuyệt đối để thực hiện công việc đó.
1.2. Tính pháp lý trong chữ ký điện tử
1.2.1. Các định nghĩa pháp lý
Trên thế giới có nhiều luật đã được ban hành để công nhận giá trị pháp lý
của chữ ký điện tử nhằm thúc đẩy các giao dịch điện tử xuyên quốc gia. Sau đây

là một số các định nghĩa về tính pháp lý của chữ ký điện tử:
- Luật giao dịch điện tử (Việt Nam), điều 4 định nghĩa:
(1) Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng
thực chữ ký phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực
là người ký chữ ký điện tử.
(2) Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được
chứng thực là người ký chữ ký điện tử.
(3) Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh
hoặc dạng tương tự.

14


(12) Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được
lưu trữ bằng phương tiện điện tử.
- Bộ luật ESIGN (Hoa Kỳ), điều 106 định nghĩa:
(2) Điện tử (electronic) chỉ các công nghệ liên quan tới điện, số, từ, không dây,
quang, điện từ hoặc các khả năng tương tự.
(4) Văn bản điện tử (electronic record) chỉ các hợp đồng hoặc các văn bản khác
được tạo ra, được lưu trữ, trao đổi dưới dạng điện tử.
(5) Chữ ký điện tử (electronic signature) chỉ các tín hiệu, âm thanh, ký hiệu, quá
trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi
người muốn ký vào hợp đồng hay văn bản đó.
- Bộ luật GPEA (Hoa Kỳ), điều 1710 định nghĩa:
(1) Chữ ký điện tử (electronic signature) là cách thức ký các văn bản điện tử đảm bảo:
+ Nhận dạng và xác thực cá nhân đã tạo ra văn bản
+ Chỉ ra sự chấp thuận của người ký đối với nội dung trong văn bản.
- Bộ luật UETA (Hoa Kỳ), điều 2 định nghĩa:
(5) Điện tử (electronic) chỉ các công nghệ liên quan tới điện, từ, số, không dây,
quang, điện từ hoặc các khả năng tương tự.

(6) Tác nhân điện tử (electronic agent) là các chương trình máy tính hoặc các
phương tiện tự động khác sử dụng độc lập để khởi đầu một hành động hoặc đáp
lại các tín hiệu điện tử mà không cần sự giám sát của con người.
(7) Văn bản điện tử (electronic record) là các văn bản được tạo ra, lưu trữ, trao
đổi dưới dạng điện tử.
(8) Chữ ký điện tử (electronic signature) là các tín hiệu âm thanh, ký hiệu, quá
trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi
người muốn ký vào hợp đồng hay văn bản đó.
- Bộ luật Federal Reserve có định nghĩa giống với luật ESIGN
- Commodity Futures Trading Commission 17 CFR phần 1 điều 1.3 định nghĩa:
(tt) Chữ ký điện tử là tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic)
với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng
hay văn bản đó

15


- Food and Drug Administration 21 CFR điều 11.3 định nghĩa:
(5) Chữ ký số là các chữ ký điện tử dựa trên các phương pháp mật mã để nhận
thực người tạo văn bản dựa trên các quy tắc và tham số sao cho có thể kiểm tra
được nhân dạng của người tạo và tính toàn vẹn của văn bản
(7) Chữ ký điện tử là các số liệu (máy tính) được tạo ra, chấp nhận và cho phép
bởi cá nhân có thẩm quyền (tương đương với người ký văn bản trên giấy truyền
thống).
1.2.2. Kiểm tra pháp lý với chữ ký điện tử
Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký
đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án, các điều kiện này
có thể thay đổi tùy theo quy định của pháp luật, cả trong một số trường hợp văn
bản không có chữ ký (Fax, Telex…).
Tại Hoa Kỳ các bước kiểm tra cho chữ ký điện tử bao gồm:

- Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử, các
yêu cầu về phần cứng phần mềm,các lựa chọn và chi phí (nếu có).
- Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu.
- Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu)
- Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản
- Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký
- Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.
Tại Việt Nam quy định giá trị pháp lý đối với chữ ký điện tử như sau:
-Trong trường hợp pháp luật quy định văn bản cần có chữ ký thì yêu cầu đó đối
với một thông điệp dữ liệu được xem là đáp ứng nếu chữ ký điện tử được sử
dụng để ký thông điệp dữ liệu đó đáp ứng các điều kiện sau đây:
 Phương pháp tạo chữ ký điện tử cho phép xác minh được người ký và
chứng tỏ được sự chấp thuận của người ký đối với nội dung thông điệp dữ
liệu
 Phương pháp đó là đủ tin cậy và phù hợp với mục đích mà theo đó thông
điệp dữ liệu được tạo ra và gửi đi.

16


- Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan,
tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu
thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng
các điều kiện về chữ ký điện tử và chữ ký điện tử đó có chứng thực.
- Chính phủ quy định cụ thể việc quản lý và sử dụng chữ ký điện tử của cơ quan,
tổ chức.
Vấn đề quan trọng nhất cần xem xét là sự giả mạo (giả mạo chữ ký và giả
mạo sự chấp nhận), tòa án phải giả định rằng sự giả mạo là không thể thực hiện.
Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn. Thông
thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra

chữ ký điện tử. Chẳng hạn như, họ có thể gọi điện trực tiếp cho người ký trước
khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào
các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp
dụng trong bất kỳ mội trường nào, vì sự giả mạo cũng là một vấn đề thường xảy
ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký
truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.
1.2.3. Hiệu quả pháp lý của chữ ký điện tử
Mục đích của chữ ký điện tử là mang lại hiệu quả giống như chữ ký bằng
tay. Vì vậy nó phải đáp ứng được những yêu cầu về tính toàn diện và xác thực,
cũng như phải đảm bảo việc không làm mất nội dung đã ký. Không phải tất cả
các chữ ký điện tử đều có thể coi tương đương với chữ ký bằng tay. Vì vậy chữ
ký điện tử phải đáp ứng được những yêu cầu cụ thể sau:
- Nó phải là chữ ký điện tử tiên tiến
- Chữ ký phải dựa trên chứng chỉ đã được công nhận
- Chữ ký điện tử phải được phát hành bởi một tổ chức đảm bảo về phát hành chữ ký.
Nếu chữ ký điện tử đáp ứng được tất cả các yêu cầu nêu trên thì chữ ký
điện tử có thể được dùng làm bằng chứng trong các vụ kiện pháp lý.

17


1.3. Chứng chỉ điện tử
1.3.1. Khái niệm
Thông tin
riêng: họ
tên…

Khóa riêng của
CA


Khóa công khai
của người dùng

Các thông tin
của người dùng

Chứng
chỉ số

Mã hóa

Kho lưu trữ
bảo mật

Hình 1.3: Chứng chỉ điện tử
Hai người A và B cần trao đổi thông tin với nhau. A có một cặp khóa để
có thể ký trên văn bản, tài liệu số. Tương tự như vậy, B hay bất cứ ai sử dụng chữ
ký điện tử, đều có một cặp khóa như vậy, khóa bí mật được giữ riêng còn khóa
công khai được đưa ra công cộng. Vấn đề đặt ra là làm thế nào để biết một khóa
công khai thuộc về A, B hay một người nào đó. Hơn nữa trong môi trường giao
dịch Internet, cần sự tin cậy rất cao, A muốn giao dịch với nhân vật X nào đó, X
và A cần trao đổi thông tin cá nhân cho nhau, các thông tin đó bao gồm: họ tên,
địa chỉ, số điện thoại, email…Vậy A là thế nào để có thể chắc chắn rằng mình
đang giao dịch với nhân vật X chứ không phải nhân vật nào khác giả mạo X.
Chứng chỉ số được tạo ra để giải quyết vấn đề này.
Chứng chỉ điện tử: là cơ chế để xác nhận thông tin chính xác về các đối
tượng sử dụng chứng chỉ số. Thông tin giữa A và X sẽ được xác nhận bằng một
bên trung gian mà A và X tin tưởng. Bên trung gian là nhà cung cấp chứng chỉ số

18



CA (Certificate Authority). CA có một chứng chỉ số của riêng mình, CA sẽ cấp
chứng chỉ số cho A và X cũng như các đối tượng khác. Hay chứng chỉ điện tử là
một file dữ liệu được dùng như một chứng minh nhân dân hay một hộ chiếu trên
mạng Internet. Chứng chỉ điện tử cho phép bạn chứng minh mình là ai khi tham
gia các giao dịch điện tử. Nó gắn chặt chủ sở hữu với cặp khóa mà họ dùng để
mã hóa và ký lên dữ liệu trao đổi.
Trở lại vấn đề trên A và X sẽ có cách kiểm tra thông tin của nhau dựa trên
chứng chỉ số như sau: khi A giao dịch với X, họ sẽ chuyển chứng chỉ số cho
nhau, đồng thời họ cũng có chứng chỉ số của CA, phần mềm tại máy tính của A
có cơ chế để kiểm tra chứng chỉ số của X có hợp lệ không, phần mềm sẽ kết hợp
chứng chỉ số của nhà cung cấp CA và chứng chỉ của X để thông báo để thông báo
cho A về tính xác thực của đối tượng X. Nếu phần mềm kiểm tra và thấy phần
mềm của X là phù hợp với chứng chỉ CA thì A có thể tin tưởng vào X
Cơ chế chữ ký điện tử và chứng chỉ số sử dụng các thuật toán mã hóa đảm
bảo không thể giả mạo CA để cấp chứng chỉ không hợp pháp, mọi chứng chỉ giả
mạo đều dễ dàng có thể bị phát hiện. Với tình huống trên với cơ chế chứng chỉ số
mọi chứng chỉ đều được công khai để bất kỳ ai cũng có thể truy cập được. Trong
chứng chỉ số gồm các tham số sau:
- Theo cơ chế chữ ký điện tử trong chữ ký điện tử có một tham số quan trọng
phải có, đó là khóa công khai.
- Ngoài ra chứng chỉ số còn chứa các thông tin về danh tính của đối tượng được cấp
chứng chỉ, bao gồm thông tin về chủ sở hữu chứng chỉ như email, số điện
thoại…các thông tin này là tùy chọn theo quy định của nhà cung cấp chứng chỉ số.
- Còn một tham số quan trọng trong sử dụng chứng chỉ số đó là khóa bí mật,
khóa bí mật sẽ không được lưu trong chứng chỉ số mà được lưu tại máy tính của
chủ sở hữu, chủ sở hữu cần chịu trách nhiệm giữ an toàn khóa bí mật này.
Khi A gửi văn bản và chữ ký, để người khác có thể xác nhận văn bản của
mình với thông tin đầy đủ về chủ sở hữu, A sẽ gửi cả chứng chỉ của mình đi kèm

với văn bản. Giả sử X nhận được văn bản A đi kèm với chứng chỉ, khi đó X có
thể dễ dàng xác định tính hợp pháp của văn bản đó

19


1.3.2. Phương pháp có một chứng chỉ số
Để có một chứng chỉ số, trước hết cần có một cơ quan cung cấp chứng chỉ
số (CA). Các cá nhân, tổ chức muốn có chứng chỉ số cần đăng ký với tổ chức này
và khi đăng ký họ đương nhiên chấp nhận uy tín của tổ chức này. Trên thế giới
hiện có nhiều tổ chức CA như vậy, một số tổ chức lớn như: Verisign, RSA,
Entrust…được sử dụng chứng chỉ số rất phổ biến. Riêng ở Việt Nam hiện nay
cung cấp chứng chỉ số có VASC – CA với các giải pháp sau:
- Chứng chỉ số cá nhân VASC – CA: Giúp mã hóa thông tin, bảo mật email, sử
dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua giao thức
bảo mật SSL.
- Chứng chỉ số SSL server VASC – CA: Giúp bảo mật các hoạt động trao đổi
thông tin trên website, xác thực người dùng bằng SSL, xác minh tính chính
thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng và ngăn chặn
hacker dò mật khẩu.
- Chứng chỉ số nhà phát triển phần mềm VASC – CA: Cho phép nhà phát triển
phần mềm ký vào các chương trình applet, script, Java software, activeX control,
EXE, CAB và DDL, đảm bảo tính hợp pháp của sản phẩm, cho phép người sử
dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi của chương trình
(do hỏng, bị virus hay hacker phá hoại).
Sau khi đăng ký với CA, CA sẽ kiểm tra thông tin của người đăng ký và
sẽ cấp một chứng chỉ cho họ. Thông thường chứng chỉ được lưu dưới dạng file
để dễ cài đặt vào thiết bị (PC, Server…) hoặc đặc biệt hơn với mức độ bảo mật
cao nó có thể lưu trong các Token (loại thẻ lưu dữ liệu) sử dụng giống như một
USB để lưu trữ chứng chỉ số.

Việc sử dụng chứng chỉ số không chỉ áp dụng trong trường hợp giao dịch
web mà còn được sử dụng trong nhiều lĩnh vực khác như: bảo mật email,
website, cho các thiết bị di động…
1.3.3. Hiện trạng sử dụng chứng chỉ số
Việc sử dụng chứng chỉ số trên thế giới hiện nay là rất phổ biến chủ yếu
nhằm bảo vệ các giao dịch điện tử như bảo mật email, website, thanh toán điện

20


tử…Các quốc gia phát triển chính phủ điện tử được coi là hàng đầu trên thế giới
như: Mỹ, Canada, Anh, Thụy Sĩ, Hàn Quốc, Nhật Bản…có những đơn vị chứng
thực CA lớn mạnh. Các đơn vị chứng thực (CA) được xây dựng ở nhiều quy mô,
cấp độ khác nhau, từ các cơ quan chính phủ đến các tổ chức doanh nghiệp, cá
nhân đều có thể xây dựng CA tùy thuộc vào yêu cầu sử dụng. Các CA có thể
được xây dựng với mục đích chuyên dụng hoặc thương mại:
- CA chuyên dụng được áp dụng trong phạm vi một cơ quan nhà nước, một tổ
chức, một doanh nghiệp, hoặc có thể do cá nhân tự xây dựng. Những đối tượng
sử dụng CA chuyên dụng được cấp chứng chỉ bởi CA đó và quy định tin tưởng
nhau trong phạm vi CA đó.
- CA thương mại được xây dựng với mục đích thương mại, kinh doanh dịch vụ
xác thực điện tử. Những đối tượng sử dụng chứng chỉ của CA thương mại phải
có thỏa thuận pháp lý tin tưởng CA thương mại đó và tin tưởng những đối tượng
khác được cấp chứng chỉ bởi CA.
Ở Việt Nam việc xây dựng một hệ thống chứng chỉ điện tử là một trong số
các nhân tố quan trọng của chính phủ điện tử cũng như trong giao dịch thương
mại, chúng ta đã và đang từng bước xây dựng hệ thống này. Về luật pháp hiện ta
đã có luật giao dịch điện tử (2005), Nghị định 26 quy định chi tiết thi hành luật
giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, Nghị định 27
vêg giao dịch điện tử trong hoạt động tài chính. Các đơn vị nhà nước tổ chức

doanh nghiệp cũng đã và đang xây dựng hệ thống chứng thực chuyên dụng để
đáp ứng cho yêu cầu nội bộ. Bộ thông tin và truyền thông (MIC) đang xây dựng
trung tâm chứng thực quốc gia RootCA (CA gốc).
1.4. Xác thực chữ ký điện tử
1.4.1. Giao thức xác thực chữ ký điện tử
a. Khái niệm
Xác thực (authentication) là một hành động nhằm thiết lập hoặc chứng
thực một cái gì đó (hoặc một người nào đó) có đáng tin cậy hay không, có nghĩa
là những lời khai báo do người đó đưa ra hoặc về vật đó là sự thật. Xác thực một
đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, trong khi xác thực

21


một người thường bao gồm việc thẩm tra nhận dạng họ. Việc xác thực thường
dựa vào nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể.
Trong an ninh máy tính (Computer Sercurity), xác thực là một quy trình
nhằm cố gắng xác minh nhận dạng số của phần truyền gửi thông tin trong giao
dịch chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là
một người dùng sử dụng máy tính, bản thân một máy tính hoặc một chương trình
ứng dụng máy tính.
Giao thức xác thực chữ ký số hay các phương thức xác thực danh tính nói
chung được thực hiện trong các giao thức xác thực điện tử được gọi chung là
chứng thực số (Digital Certificate). Chứng thực số bao hàm cả hình thức xác thực
của một cá nhân như chữ ký, xác thực của tổ chức như các website (là thật,
không phải giả mạo), dịch vụ thương mại điện tử, kể cả chứng thực tính nguyên
bản của các phần mềm.
Đối tượng sử dụng sử dụng dịch vụ xác thực chữ ký điện tử công cộng
không chỉ giới hạn trong các tổ chức doanh nghiệp mà bao gồm 2 đối tượng
chính như sau:

- Nhóm đối tượng sử dụng dịch vụ chấp nhận nộp chi phí ở mức cao: là các
khách hàng có nhu cầu được sử dụng dịch vụ chứng thực số đòi hỏi sự an toàn
cao trong giao dịch. Những khách hàng này chấp nhận trả phí dịch vụ ở mức cao
để có sự cam kết bảo hiểm cao của nhà cung cấp dịch vụ, ví dụ như: khách hàng
tham gia vào hệ thống nộp thuế điện tử, hải quan điện tử, giao dịch chứng khoán
điện tử…
- Nhóm đối tượng sử dụng dịch vụ chấp nhận nộp phí ở mức thấp: là các khách
hàng có nhu cầu được sử dụng dịch vụ chứng thực số nhưng không đòi hỏi sự an
toàn cao trong các giao dịch. Những khách hàng này không cần nhà cung cấp
dịch vụ cam kết bảo hiểm ở mức cao, phí dịch vụ ở mức thấp hơn mức trên.
Nhóm khách hàng này bao gồm các đối tượng tham gia giao dịch hành chính
công.
b. Các hoạt động chứng thực chữ ký điện tử
Hoạt động dịch vụ chứng thực chữ ký điện tử bao gồm các hoạt động sau:

22


- Cấp, gia hạn, tạm đình chỉ, phục hồi, thu hồi chứng thư điện tử
- Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký
thông điệp dữ liệu.
- Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký
điện tử theo quy định của pháp luật.
c. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử
- Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp
dịch vụ chứng thực chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng
thực chữ ký điện tử chuyên dùng được phép thực hiện các hoạt động chứng thực
chữ ký điện tử theo quy định của pháp luật.
- Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử công cộng là tổ chức cung
cấp dịch vụ chứng thực chữ ký điện tử cho cơ quan, tổ chức, cá nhân sử dụng trong

các hoạt động công cộng. Hoạt động cung cấp dịch vụ chứng thực chữ ký điện tử
công cộng là hoạt động kinh doanh có điều kiện theo quy định của pháp luật.
- Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng là tổ chức
cung cấp dịch vụ chứng thực chữ ký điện tử cho cơ quan, tổ chức, cá nhân sử
dụng trong các hoạt động chuyên ngành hoặc lĩnh vực. Hoạt động cung cấp dịch
vụ chứng thực chữ ký điện tử chuyên dùng phải được đăng ký với cơ quan quản
lý nhà nước về dịch vụ chứng thực chữ ký điện tử.
1.4.2. Vai trò của xác thực chữ ký điện tử
Giao thức xác thực chữ ký điện tử là dịch vụ cung cấp giải pháp bảo đảm
an toàn thông tin, là cở sở tạo niềm tin cho người sử dụng trong việc gửi và nhận
thông tin trực tuyến. Bản chất của sản phẩm chứng thực chữ ký điện tử tương tự
như cấp con dấu và xác nhận con dấu của người đóng dấu, cung cấp bằng chứng
cho người nhận diện của một đối tượng. Sản phẩm giải quyết vấn đề mạo danh,
giúp cho người nhận thông tin biết thông tin từ đâu cung cấp và tin cậy vào bên
cung cấp thông tin. Dịch vụ chứng thực chữ ký điện tử có thể được ứng dụng
trong các giao dịch điện tử như: thương mại điện tử (chứng thực người tham gia
giao dịch, xác thực tính an toàn của giao dịch điện qua mạng Internet, chứng thực
tính nguyên vẹn của hợp đồng, tài liệu, Internet Banking - chuyển tiền qua

23


mạng…); khai báo hải quan điện tử; thuế điện tử; giao dịch chứng khoán. Đặc
biệt, dịch vụ có thể ứng dụng vào chính phủ điện tử (CPĐT) trong các hoạt động
hành chính công như: khai sinh, khai tử, nộp thuế, cấp các loại giấy tờ và chứng
chỉ…; Mua bán đấu thầu, qua mạng; Hệ thống nộp hồ sơ xin cấp giấy phép: xuất
bản, y tế, giáo dục, xây dựng…
Dịch vụ chứng thực chữ ký điện tử có vai trò rất quan trọng trong việc
đảm bảo an toàn thông tin trong giao dịch điện tử. Chữ ký điện tử cũng là
phương tiện để các doanh nghiệp tăng tính cạnh tranh trong thương mại điện tử.

việc cung cấp dịch vụ chứng thực số không chỉ là một dịch vụ đơn thuần mang
lại doanh thu cho doanh nghiệp mà còn là một trong những biện pháp giúp Việt
Nam phát triển thương mại điện tử.
Dịch vụ chứng thực số bao gồm các hoạt động: chứng thư số cá nhân cho
cơ quan, tổ chức, cá nhân; chứng thư số giành cho trang thông tin điện tử, chứng
thư số giành cho ứng dụng các hoạt động thương mại điện tử, các dịch vụ hành
chính công; các thủ tục pháp lý hoặc thủ tục tài chính.
1.4.3. Ứng dụng của chứng thực số
Một email có thể được ký bằng chữ ký điện tử, đảm bảo người nhận có thể
chắc chắn rằng đó đúng là email của người gửi chứ không phải email giả mạo.
Để làm được điều này người gửi và người nhận sẽ phải sử dụng cùng một hệ
thống chứng thực số do một nhà cung cấp chứng chỉ số (Certificate Authority,
viết tắt là CA) cung cấp.
Trong thực tế, các hình thức chứng thực số được sử dụng nhiều nhất trong
các giao dịch thương mại điện tử, đặc biệt trong các hoạt động thanh toán trực
tuyến của ngân hàng. Một website dịch vụ ngân hàng có thể khẳng định về tính
xác thực của mình với những người truy cập vào bằng cách sử dụng một hình
thức chứng thực số, đảm bảo website đó không là giả mạo. Người sử dụng ngoài
hình thức bảo mật thông thường như mật khẩu, cũng phải dùng một chứng thực số
cá nhân để khẳng định danh tính của mình, xác nhận các hoạt động giao dịch của
mình với dịch vụ ngân hàng. Chứng thực số sẽ giúp ngân hàng đảm bảo các khách
hàng không thể chối cãi các giao dịch của mình khi họ đã dùng chứng thực số.

24


Các hoạt động liên ngân hàng (như chuyển khoản, thanh toán…) trong
giao dịch điện tử cũng đều phải sử dụng chứng thực số để xác định rõ danh tính
của mỗi bên, khẳng định trách nhiệm và các hoạt động của từng bên trong giao
dịch. Đây là quy trình bảo mật quan trọng, cũng như cơ sở về mặt pháp lý để làm

căn cứ khi thực hiện các hoạt động giao dịch trực tuyến.
Không chỉ nằm trong lĩnh vực thương mại điện tử, chứng thực số hiện còn
được sử dụng như một dạng chứng minh thư cá nhân. Tại các nước công nghệ
phát triển, chứng thực số CA được tích hợp vào các chip nhớ nằm trong thẻ căn
cước, thẻ tín dụng để tăng cường khả năng bảo mật chống giả mạo, cho phép chủ
thẻ xác thực danh tính của mình trên nhiều hệ thống khác nhau chẳng hạn như xe
bus, thẻ rút tiền ATM, kiểm soát hải quan, ra vào các chung cư,…

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×