THƯƠNG MẠI ĐIỆN TƯ
Tìm hiểu về chữ ký số và các giải pháp đảm bảo an toàn trong giao dịch
thương mại điện tử.
I.
1.
2.
Chữ ký sô
Khái niệm
Để thực hiện các giao dịch điện tử như nộp hồ sơ, thuế, sử dụng hóa đơn
điện tử…, tổ chức – cá nhân phải có chữ ký sơ. Vậy chữ ký sơ là gì?
• Chữ ký sô là thông tin đi kèm theo dữ liệu (văn bản: word, excel, pdf…; hình
ảnh; video...) nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký sô
được hiểu như con dấu điện tử của doanh nghiệp. Vì vậy, chữ ký sô không
những chỉ dùng trong việc kê khai thuế, mà người sử dụng còn có thể sử
dụng trong tất cả các giao dịch điện tử với mọi tở chức và cá nhân khác.
• Chữ ký sơ dựa trên công nghệ mã hóa công khai, mỗi người dùng phải có 1
cặp khóa gồm khóa công khai (public key) và khóa bí mật (private key).
- Khoá bí mật (private key) là một khóa trong cặp khóa thuộc hệ thông mã
không đôi xứng được dùng để tạo chữ ký sô.
- Khoá công khai (public key) là một khóa trong cặp khóa thuộc hệ thông
mã không đôi xứng, được sử dụng để kiểm tra chữ ký sô được tạo bởi
khóa bí mật tương ứng trong cặp khóa (xác thực chữ ký sơ).
Đặc trưng
• Tính xác thực danh tính (xác định nguồn gốc): Kiểm tra tính đúng đắn của
thực thể đang giao dịch trên mạng.
• Tính tồn vẹn : Đảm bảo dữ liệu mã hóa không bị thay đổi.
Trường hợp dữ liệu mã hóa bị sửa đổi thì không thể khôi phục lại dạng
ban đầu. Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là
văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm
băm cũng sẽ thay đổi và lập tức bị phát hiện. Quy trình mã hóa sẽ ẩn nợi
dung đơi với bên thứ ba.
• Tính khơng thể phủ nhận (Tính chối bỏ): Xác nhận chủ thể đã thực hiện giao
dịch trên mạng. Trong giao dịch, một bên có thể từ chôi nhận một văn bản
nào đó là do mình gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu
bên gửi phải gửi kèm chữ ký sô với văn bản. Khi có tranh chấp, bên nhận sẽ
dùng chữ ký này như một chứng cứ để bên thứ ba giải qút.
• Tính bảo mật: Dữ liệu được bảo mật an toàn trong toàn bộ quá trình xử lý. Về
kỹ thuật công nghệ của chữ ký sô là dựa trên hạ tầng mã hóa công khai (PKI),
trong đó phần quan trọng nhất là thuật toán mã hóa công khai RSA. Thuật
toán mã hóa dựa vào cặp khoá bí mật (Private key) và cơng khai (Public key),
trong đó người chủ chữ ký sẽ giữ khóa Private key cho cá nhân dùng để tạo
1
3.
chữ ký, Public key của cá nhân hay tổ chức đó được công bô rộng rãi dùng để
kiểm tra chữ ký. Khi được sử dụng cho việc mã hóa: Private Key để giải mã;
Public Key dùng cho mã hóa. Công nghệ này đảm bảo chữ ký sô khi được
một người dùng nào đó tạo ra là duy nhất, không thể giả mạo được và chỉ có
người sở hữu khóa bí mật mới có thể tạo ra được chữ ký sô đó (đã được
chứng minh về mặt kỹ thuật mã hóa).
Cơ sở pháp lý
Một sô văn bản quy phạm pháp luật do Qc hợi, Chính phủ và các Bợ thơng
qua và ban hành liên quan đến chữ ký sô:
Luật Giao dịch điện tử số 51/2005/QH11 do Quôc hội thông qua ngày
29/11/2005 quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước;
trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác do pháp luật quy
định.
Luật Công nghệ thông tin số 67/2006/QH11 do Quôc hội thông qua ngày
29/6/2006 quy định về hoạt động ứng dụng và phát triển công nghệ thông tin, các biện
pháp bảo đảm ứng dụng và phát triển công nghệ thông tin, quyền và nghĩa vụ của cơ
quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin.
Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 của Chính phủ quy định chi tiết
thi hành Luật Giao dịch điện tử về chữ ký sô và dịch vụ chứng thực chữ ký sô.
Thông tư số 05/2010/TT-BNV ngày 01/7/2010 của Bộ Nội vụ hướng dẫn về cung
cấp, quản lý và sử dụng dịch vụ chứng thực chữ ký sô chun dùng phục vụ các cơ
quan tḥc hệ thơng chính trị.
4.
Quy trình khởi tạo chữ ký sô
Các hệ thông mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa
bí mật mà chỉ có người chủ của khóa biết. Để sử dụng Chữ ký sô thì văn bản cần phải
được mã hóa hàm băm (thường có độ dài cô định và ngắn hơn văn bản). Sau đó dùng
khoá bí mật của người chủ khóa để mã hóa, khi đó ta được Chữ ký sô. Khi cần kiểm
tra, bên nhận giải mã với khóa công khai để lấy lại hàm băm và kiểm tra với hàm băm
của văn bản nhận được. Nếu hai giá trị này khớp nhau thì bên nhận có thể tin tưởng
rằng văn bản đó xuất phát từ người sở hữu khóa bí mật.
2
5.
6.
7.
8.
II.
Chứng thực chữ ký sô
- Dịch vụ chứng thực chữ ký sô là một loại hình dịch vụ chứng thực chữ ký
điện tử, do tổ chức cung cấp dịch vụ chữ ký sô cấp.
- Dịch vụ chứng thực chữ ký sô bao gồm:
+ Tạo cặp khóa, bao gồm: public key và private key
+ Cấp, gia hạn, tạm dừng, thu hồi chứng thư sô
+ Duy trì tuyến cơ sở dữ liệu về chứng thư sô
+ Những dịch vụ khác có liên quan
Cách thức đăng ký chữ ký sô
- Thế nhân:
+ Dùng chứng minh thư
+ Dùng trong các giao dịch đơn lẻ, mang tính bảo mật thấp
- Pháp nhân:
+ Dùng con dấu và chữ ký (MST DN)
+ Dùng trong tất cả các hoạt động kinh doanh, thương mại,…
Một sô lưu ý trong quá trình sử dụng chữ ký sô
- Bảo vệ khóa bí mật và PIN code
- Sử dụng và bảo quản thiết bị USB Token/Smartcard
- Thông tin hỗ trợ sử dụng
- Quy trình cấp phát, bảo hành, xin cấp lại
Vai trò của chữ ký sô
- Đôi với xã hội:
+ Giao thông
+ An ninh, Trật tự
+ Nâng cao nhận thức về giao dịch điện tử cho cộng đồng
- Đôi với doanh nghiệp:
+ Đơn giản, nhanh chóng, thuận tiện
+ Dữ liệu an toàn, bảo mật, đầy đủ
+ Tiết kiệm thời gian, chi phí, ưu đãi
+ Xử lý công việc từ nhiều địa điểm
- Đơi với cơ quan th́:
+ Tiết kiệm chi phí quản lý
+ Thông tin cập nhật kịp thời
+ Giảm thiểu các thủ tục hành chính
Các giải pháp đảm bảo an toàn trong giao dịch thương mại điện tử
1. Giải pháp ở góc độ quản lý Nhà nước
3
Tăng cường công tác tuyên truyền, giáo dục, phổ biến pháp luật trong lĩnh
vực công nghệ thông tin nói chung và thương mại điện tử nói riêng đôi
với nhân dân và đặc biệt trong các trường đại học, cao đẳng, trung học
phổ thông để cung cấp các kiến thức pháp luật cần thiết cho nhân dân,
sinh viên và học sinh. Nâng cao nhận thức của cộng đồng cư dân mạng về
môi trường thương mại điện tử trong sạch và cạnh tranh lành mạnh.
- Hoàn thiện hành lang pháp lý để xử lý tội phạm trong lĩnh vực công nghệ
thông tin nói chung và thương mại điện tử nói riêng. Sửa đổi, bổ sung
thêm các điều luật về tội phạm sử dụng công nghệ cao, tội phạm trong lĩnh
vực thương mại điện tử vào Bộ luật Hình sự. Đồng thời bổ sung tính pháp
lý của chứng cứ điện tử và ban hành các nghị định hướng dẫn Luật Giao
dịch điện tử và Luật Công nghệ thông tin... Xử lý nghiêm minh các trường
hợp cô tình vi phạm, các trường hợp để lại hậu quả nghiêm trọng.
- Làm tôt công tác nắm tình hình về các đôi tượng có khả năng thực hiện
hành vi phạm tội trong lĩnh vực thương mại điện tử (các hacker, tổ chức
hacker, trang web của hacker…). Các cơ quan quản lý Nhà nước về công
nghệ thông tin và các tở chức ứng cứu sự cơ máy tính cần tăng cường phôi
hợp và đưa ra các cảnh báo về thủ đoạn hoạt động của các đôi tượng phạm
tội trong lĩnh vực thương mại điện tử.
- Đào tạo chuyên môn cho các cán bộ thực thi pháp luật liên quan tới công
nghệ thông tin (công an, kiểm sát, toà án) để có được đội ngũ cán bộ có
trình độ kiến thức về công nghệ thông tin phục vụ công tác điều tra, truy
tô và xét xử các loại tội phạm liên quan tới công nghệ thông tin.
Giải pháp cho doanh nghiệp:
- Bản thân các doanh nghiệp phải tự trang bị hệ thông an ninh mạng chắc
chắn, áp dụng các biện pháp kỹ thuật, công nghệ mới để bảo vệ mình.
Biện pháp hữu hiệu nhất hiện nay và đang được hầu hết các doanh nghiệp
sử dụng trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa cơng
khai (PKI - Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ
thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ sô và chứng
chỉ sơ.
- Xây dựng chính sách về an ninh mạng và yêu cầu nhân viên phải chấp
hành nghiêm túc. Điều đó có ý nghĩa quan trọng trong việc xây dựng ý
thức và thể chế hóa hoạt động đảm bảo an ninh cho thương mại điện tử.
Các doanh nghiệp phải luôn nhắc nhở nhân viên của mình ý thức về vấn
đề an ninh mạng và những nguy cơ tấn công mà doanh nghiệp có thể gặp
trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ
phía họ. Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng:
-
2.
4
3.
Sử dụng mật khẩu bí mật, quét virus và cập nhật các chương trình phịng,
chơng virus mới thường xun. Sử dụng các thiết bị kiểm soát việc ra vào
trụ sở làm việc như: Các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết
bị nhận dạng, đánh dấu nhận dạng tia cực tím, các hệ thơng phát hiện xâm
phạm như camera, chuông báo động. Thường xuyên sao lưu dữ liệu vào
những nơi an toàn.
Giải pháp cho khách hàng:
- Tránh để lợ, mất cắp các thơng tin bí mật liên quan tới tài khoản, mật
khẩu… Trong trường hợp đặc biệt cần thông báo ngay cho nhà cung cấp
để đảm bảo an toàn cho tài khoản của khách hàng.
- Không đặt mật khẩu là những thơng tin mang tính phở biến thường dùng
để giao tiếp như tên người thân, ngày, tháng, năm sinh, sô điện thoại, sô
chứng minh nhân dân... Không nên ghi mật khẩu vào các thiết bị thường
sử dụng hoặc ghi mật khẩu ra giấy. Không kiểm tra tài khoản hay thực
hiện các giao dịch ở những nơi công cộng, nhất là các dịch vụ Internet
công cộng.
- Thường xuyên theo dõi những thông tin tài khoản của mình. Lưu ý kiểm
tra tài khoản và thực hiện các giao dịch trên các máy tính sạch (khơng
virus, khơng có các chương trình theo dõi và không để người khác theo
dõi…). Nếu sử dụng thẻ tín dụng để thanh toán, hãy nhờ ngân hàng thông
kê về tình hình thu, chi định kỳ hàng năm.
5