Hỏi đáp về chữ ký số và ứng dụng chữ ký số trên Website Bộ GTVT

Thứ sáu, 10/12/2010 14:47 GMT+7
Chữ ký số (Digital Signature) là một dạng chữ ký điện tử, an toàn nhất và cũng được sử dụng rộng rãi nhất trong các giao dịch điện tử hiện nay trên thế giới. Chữ ký số hình thành dựa trên nền tảng hạ tầng khoá công khai (Public Key Infrastruture - PKI), kỹ thuật này bao gồm một cặp khoá: khoá bí mật và khoá công khai. Trong đó, khoá bí mật được người gửi sử dụng để ký (hay mã hoá) một dữ liệu điện tử, còn khoá công khai được người nhận sử dụng để mở dữ liệu điện tử đó (giải mã) và xác thực danh tính người gửi.
1. Chữ ký số là gì?
Chữ ký số (Digital Signature) là một dạng của chữ ký điện tử.
Chữ ký điện tử (Electronic Signature) là thông tin đi kèm theo dữ liệu điện tử (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó. Khái niệm chữ ký điện tử - mặc dù thường được sử dụng cùng nghĩa với chữ ký số nhưng thực sự có nghĩa rộng hơn. Chữ ký điện tử chỉ đến bất kỳ phương pháp nào (không nhất thiết là mật mã) để xác định người chủ của văn bản điện tử. Chữ ký điện tử thậm chí bao gồm cả địa chỉ telex và chữ ký trên giấy được truyền bằng fax.
Chữ ký số khóa công khai (hay hạ tầng khóa công khai - Public Key Infrastructure - PKI), giống như chữ ký số mà Website Bộ GTVT sử dụng, là mô hình ứng dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai - bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các thông tin mật. Khóa công khai thường được phân phối thông qua quá trình chứng thực khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký số và kiểm tra (hay xác thực) chữ ký số.
2. Chữ ký điện tử ra đời từ bao giờ?
Con người đã sử dụng các hợp đồng với chữ ký dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi.
Vào thập kỷ 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy, nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử và được coi là chữ ký điện tử.
Hiện nay, theo quan niệm thông dụng trong giao dịch quốc tế, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM (của Vietcombank chẳng hạn) để rút tiền, chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính (như phần mềm Office của Microsoft chẳng hạn), ký các hợp đồng điện tử online...
3. Thực hiện chữ ký số với khóa công khai như thế nào?
Chữ ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai. Để có thể trao đổi thông tin trong môi trường này, mỗi người sử dụng (như Website Bộ GTVT chẳng hạn) có một cặp khóa: một công khai và một bí mật. Khóa công khai được công bố rộng rãi còn khóa bí mật phải được người sử dụng giữ kín. Không thể tìm được khóa bí mật nếu chỉ biết khóa công khai. Việc tạo và xác thực chữ ký số theo theo nền tảng mật mã hóa khóa công khai được mô tả trong sơ đồ sau:

Quá trình tạo và kiểm tra xác thục chữ ký số
Sơ đồ tạo và kiểm tra xác thực chữ ký số

Quá trình tạo và kiểm tra chữ ký số sử dụng 3 thuật toán:
- Thuật toán tạo khóa bí mật và công khai.
- Thuật toán tạo chữ ký số bằng khóa bí mật.
- Thuật toán kiểm tra chữ ký số bằng khóa công khai.
Xét ví dụ sau: Giả sử anh Bob muốn gửi một văn bản cho chị Alice và muốn Alice biết văn bản đó thực sự do chính Bob gửi. Khi đó, anh Bob gửi cho chị Alice một văn bản điện tử kèm với chữ ký số. Chữ ký này được tạo ra với khóa bí mật của anh Bob.
Khi nhận được bản tin, chị Alice kiểm tra sự thống nhất giữa văn bản và chữ ký bằng thuật toán kiểm tra sử dụng khóa công khai của Bob. Bản chất của thuật toán tạo chữ ký đảm bảo rằng nếu chỉ cho trước văn bản, rất khó (gần như không thể) tạo ra được chữ ký số của anh Bob nếu không biết khóa bí mật của Bob. Nếu phép thử cho kết quả đúng thì chị Alice có thể tin tưởng rằng bản tin thực sự do anh Bob gửi.
Thông thường, để tránh mất thời gian, anh Bob không mật mã hóa toàn bộ văn bản bằng khóa bí mật của mình, mà chỉ thực hiện với mã băm, hay còn gọi là giá trị băm, đại diện và đặc trưng cho văn bản đó. Điều này khiến việc ký số của anh ta trở nên đơn giản hơn và chữ ký số trở nên ngắn hơn. Xác suất xẩy ra trường hợp 2 văn bản khác nhau lại cho ra cùng một giá trị băm là cực kỳ thấp.
4. Các ưu điểm của chữ ký số là gì?
Việc sử dụng chữ ký số mang lại nhiều ưu điểm khi cần xác định nguồn gốc và tính toàn vẹn của văn bản trong quá trình sử dụng.
4.1. Khả năng xác định nguồn gốc
Như đã nói trên, các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa thông tin đại diện cho văn bản với khóa bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký số thì văn bản cần phải được mã hóa bằng hàm băm (văn bản được "băm" ra thành chuỗi, thường có độ dài cố định và ngắn hơn văn bản và đại diện cho từng văn bản) sau đó dùng khóa bí mật của người chủ khóa để mã hóa, khi đó ta được chữ ký số gửi kèm với văn bản. Khi cần kiểm tra, bên nhận giải mã (bằng khóa công khai) để lấy lại chuỗi giá trị băm gốc (được sinh ra qua hàm băm ban đầu) và kiểm tra với hàm băm được tạo trực tiếp tại chỗ từ văn bản nhận được. Nếu 2 giá trị (chuỗi) này khớp nhau thì bên nhận có thể tin tưởng rằng văn bản xuất phát từ người sở hữu khóa bí mật với xác suất tin cậy cực kỳ cao.
Vấn đề xác thực hay nhận thực là đặc biệt quan trọng để chống lại các gian lận trong giao dịch hành chính hoặc tài chính. Chẳng hạn, một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới dạng (a,b), trong đó a là số tài khoản và b là số tiền chuyển vào tài khoản đó. Một kẻ lừa đảo có thể gửi một số tiền nào đó để lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần để thu lợi. Nhưng nếu giao dịch đó được xác thực bằng chữ ký số thì người ta nhanh chóng và dễ dàng biết được giao dịch là hợp lệ hay gian lận.
4.2. Khả năng xác định tính toàn vẹn
Văn bản điện tử trong quá trình truyền tin có thể bị sửa đổi vì nhiều nguyên nhân khác nhau. Tiếp tục ví dụ nêu ở trên, giả sử có một kẻ lừa đảo gửi 1.000.000 đồng vào tài khoản a, rồi chặn gói tin (a,b) mà chi nhánh gửi về trung tâm, tiếp đó kẻ lừa đảo này gửi gói tin (a,b3) về trung tâm thay thế cho (a,b) để lập tức trở thành đại tỷ phú (vì b3 = 1.000.0003 = 1 tỷ tỷ đồng)!
Trong thực tế, chữ ký số không hạn chế con người thay đổi văn bản. Chữ ký số chỉ là công cụ cho phép cả hai bên tham gia vào quá trình thông tin đều có thể dễ dàng và nhanh chóng xác định là văn bản trong khi truyền có bị sửa đổi hay không. Nếu văn bản bị thay đổi thì mã băm, tức giá trị băm, đại diện cho văn bản gốc và chứa trong chữ ký số cũng sẽ sai khác so với giá trị băm được tạo ra từ văn bản nhận được và lập tức sự thay đổi văn bản bị phát hiện.
5. Chữ ký số có hạn chế người dùng xem văn bản không?
Như đã giải thích ở trên, ở bước áp dụng hiện nay, bản thân chữ ký số không hạn chế người dùng bất kỳ xem văn bản được ký số, cũng không có cơ chế hạn chế hoàn toàn việc sửa đổi nội dung văn bản sau khi ký. Chữ ký số chỉ là công cụ xác thực nguồn gốc và tính toàn vẹn của văn bản.
Trong trường hợp muốn hạn chế người dùng "không mời" xem văn bản điện tử khi họ đã có file văn bản trong tay, thì người gửi văn bản cần dùng thêm công cụ mã hóa để mã hóa chính văn bản được gửi, chứ không chỉ mã hóa giá trị băm đại diện cho văn bản như trong trường hợp chữ ký số.
6. Các yêu cầu cơ bản đối với chữ ký số là gì?
Tất cả các mô hình chữ ký số cần phải đạt được một số yêu cầu để có thể được chấp nhận trong thực tế:
- Chất lượng của thuật toán được sử dụng phải đảm bảo an toàn;
- Chất lượng của phần mềm/phần cứng thực hiện thuật toán phải đảm bảo an toàn;
- Khóa bí mật phải được giữ bí mật, an toàn;
Quá trình phân phối khóa công cộng phải đảm bảo mối liên hệ giữa khóa và thực thể sở hữu khóa là chính xác. Việc này thường được thực hiện bởi hạ tầng khóa công cộng (Public Key Infrastructure - PKI) và mối liên hệ khóa với người sở hữu được chứng thực bởi những người điều hành PKI. Đối với hệ thống PKI dùng cho chữ ký số Website của Bộ GTVT, nơi mà tất cả mọi người đều có thể yêu cầu sự chứng thực trên thì khả năng sai sót là cực kỳ thấp.
Chữ ký số Website Bo GTVT (tức "Website Bộ GTVT") được cấp bởi Ban Cơ yếu Chính phủ thỏa mãn tất cả các điều kiện trên và được thực hiện với trình độ khoa học mật mã cực kỳ cao. Chữ ký số Website Bo GTVT là bằng chứng xác định văn bản điện tử có chữ ký này có nguồn gốc từ Website Bộ GTVT. Tuy nhiên, để chữ ký số đáp ứng được mục đích đặt ra, những người sử dụng văn bản (và phần mềm) phải thực hiện các thủ tục (giao thức) xác thực. Những thủ tục xác thực này thường rất đơn giản, dễ nhớ và được hướng dẫn tại đây.
7. Những văn bản quy phạm pháp luật nào liên quan đến việc áp dụng chữ ký số ở Việt Nam?
Sau đây là danh sách một số văn bản quy phạm pháp luật do Quốc hội, Chính phủ và các Bộ thông qua và ban hành liên quan đến chữ ký số:
- Luật Giao dịch điện tử số 51/2005/QH11 do Quốc hội thông qua ngày 29/11/2005 quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác do pháp luật quy định.
- Luật Công nghệ thông tin số 67/2006/QH11 do Quốc hội thông qua ngày 29/6/2006 quy định về hoạt động ứng dụng và phát triển công nghệ thông tin, các biện pháp bảo đảm ứng dụng và phát triển công nghệ thông tin, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin.
- Nghị định số 26/2007/NĐ-CP ngày 15/2/2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
- Thông tư số 05/2010/TT-BNV ngày 01/7/2010 của Bộ Nội vụ hướng dẫn về cung cấp, quản lý và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị.
8. Văn bản nào của Bộ GTVT liên quan đến ứng dụng chữ ký số?
Thông báo số 67/TB-BGTVT ngày 26/2/2009 về kết luận của Bộ trưởng Hồ Nghĩa Dũng tại Hội nghị triển khai ứng dụng công nghệ thông tin của Bộ GTVT năm 2009 nêu rõ: Giao Trung tâm Công nghệ thông tin tham mưu, xây dựng kế hoạch thực hiện nghiên cứu việc sử dụng chữ ký số trong giao dịch điện tử của Bộ Giao thông vận tải.
9. Triển khai ứng dụng chữ ký số cho các văn bản trên Website của Bộ GTVT được thực hiện như thế nào?
Thực hiện Luật Giao dịch điện tử, Luật Công nghệ thông tin, Nghị định số 26/2007/NĐ-CP, Thông tư số 05/2010/TT-BNVThông báo số 67/TB-BGTVT, Ngay từ năm 2008, Trung tâm Công nghệ thông tin Bộ GTVT đã nghiên cứu đề tài khoa học về ứng dụng chữ ký số trong giao dịch điện tử. Trong 2 tháng 10-11/2010, Trung tâm đã tiến hành rà soát và ký chữ ký số, do Ban Cơ yếu Chính phủ cấp, cho toàn bộ cơ sở dữ liệu gần 3000 đầu văn bản chỉ đạo điều hành, quy phạm pháp luật và dự thảo văn bản quy phạm pháp luật được đăng công khai trên Website Bộ từ năm 2008 cho đến nay theo quy định của văn bản số 7588/BGTVT-VP ngày 16/10/2008.
Từ ngày 1/12/2010, toàn bộ các văn bản dạng file DOC và PDF trên Website của Bộ GTVT tại địa chỉ http://mt.gov.vn đều được áp dụng chữ ký số để đảm bảo tính chân thực của văn bản.
Chữ ký số của Website của Bộ GTVT, được Ban Cơ yếu Chính phủ cấp, có hình dạng trực quan (nếu được ký lên file PDF và xem bằng phần mềm Adobe Reader) như sau:

Chữ ký số Website Bộ GTVT

Như đã trình bày ở các phần trên, chữ ký này mặc dù bên ngoài có hình dáng đơn giản như vậy, nhưng bên trong được hỗ trợ bởi công nghệ hạ tầng khóa công khai - Public Key Infrastructure - PKI mạnh, tiên tiến và hoàn thiện do Ban Cơ yếu Chính phủ thiết lập và điều hành, đảm bảo xác thực nhanh chóng, tiện lợi nguồn gốc và tính toàn vẹn bất kỳ văn bản nào được mọi tổ chức, cá nhân tải về từ Website Bộ GTVT.
Người sử dụng văn bản có chữ ký số nên thường xuyên kiểm tra tính xác thực của văn bản và chữ ký số theo hướng dẫn tại đây và liên hệ góp ý cho Website Bộ GTVT qua hộp thư: tic@mt.gov.vn, điện thoại: 043.8224464.

Vũ Đức
Tìm theo ngày :

Đánh giá

(Di chuột vào ngôi sao để chọn điểm)
  
Khách online:2832
Lượt truy cập: 106089350