Hiện nay có rất nhiều giải pháp chữ ký điện tử được cung cấp trên thị trường phục vụ nhu cầu số của tổ chức, doanh nghiệp. Tuy nhiên, các tài liệu giúp phân biệt rõ các loại chữ ký điện tử lại rất ít, gây khó khăn cho chủ doanh nghiệp trong so sánh và đánh giá. Bài viết dưới đây sẽ cung cấp các thông tin cần thiết giúp nhà quản lý, chủ doanh nghiệp lựa chọn được loại chữ ký điện tử phù hợp.
Chữ ký điện tử là gì?
Theo luật Giao dịch điện tử năm 2005, chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký.
Chữ ký điện tử được coi là đảm bảo an toàn khi đáp ứng các điều kiện sau:
- Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng;
- Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;
- Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;
- Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
Chữ ký điện tử được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử (CA) hay còn gọi là chữ ký số thỏa mãn đầy đủ các điều kiện an toàn kể trên và được coi là phương thức xác định tính pháp lý của văn bản điện tử.
Điều 8, Nghị định 130/2018/NĐ-CP nêu rõ: Trong trường hợp pháp luật quy định văn bản cần có chữ ký hoặc đóng dấu tổ chức thì yêu cầu đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bằng chữ ký số và chữ ký số đó được đảm bảo an toàn theo quy định.
Top 5 loại chữ ký điện tử thông dụng hiện nay
Rào cản lớn nhất đối với một tổ chức muốn triển khai giải pháp chữ ký điện tử là hiểu các thuật ngữ kỹ thuật mà các nhà cung cấp khác nhau sử dụng. Rất nhiều giải pháp chữ ký điện tử đang được cung cấp trên thị trường, với sự khác biệt về độ bảo mật, tin cậy, hiệu lực pháp lý, tính dễ sử dụng, khả năng tương tác và chi phí.
Tuy nhiên, những phân tích về các loại chữ ký điện tử để người dùng có thể so sánh và đánh giá về mức độ phù hợp của từng giải pháp trong việc đáp ứng một mục đích kinh doanh, vận hành cụ thể lại chưa có nhiều. Hôm nay, hãy cùng SAVIS tìm hiểu chi tiết về 05 loại chữ ký điện tử theo mức độ tăng dần dưới đây.
1. Chữ ký điện tử thông thường
Chữ ký điện tử là bất kỳ dấu hiệu nào được đặt trên tài liệu để biểu thị sự đồng ý của người ký. Ví dụ: một cái nhấp chuột, một chữ ký được vẽ trên màn hình, một hình ảnh được tải lên, một chữ ký được gõ bằng phông chữ viết tay (script) đặc biệt, tên được gõ hoặc thậm chí là địa chỉ email,…
Ưu điểm
– Dễ sử dụng: Chữ ký điện tử rất dễ áp dụng, vì người dùng không cần phải đăng ký hoặc đăng nhập. Tài liệu có thể được trình bày đơn giản trong trình duyệt web và người dùng được yêu cầu nhập hoặc vẽ chữ ký của họ hoặc tạo một số dấu hiệu khác trên màn hình.
– Chi phí: Chữ ký điện tử là một lựa chọn chi phí thấp cả về yêu cầu cơ sở hạ tầng và việc ký, vì người ký có thể sử dụng bất kỳ trình duyệt hiện đại nào.
Nhược điểm
– Tính bảo mật: Chữ ký điện tử hầu như không có tính bảo mật. Chữ ký này có thể dễ dàng bị sao chép từ tài liệu này sang tài liệu khác. Chữ ký không được bảo vệ bằng mật mã, vì vậy không thể bảo vệ tài liệu khỏi sự thay đổi sau khi ký.
– Tính pháp lý: Loại chữ ký điện tử này không nhận dạng duy nhất một người ký, và nó có thể dễ dàng bị chối bỏ: “Đó không phải là chữ ký của tôi”. Do đó chữ ký điện tử không phải là bằng chứng thuyết phục, dễ bị tranh chấp vì thiếu an ninh và độ tin cậy.
Có thể thấy, chữ ký điện tử thuận tiện nhưng không hữu ích cho các tài liệu nhạy cảm cần bảo mật cao như hợp đồng, giao dịch tài chính, ngân hàng, chứng khoán,…
2. Chữ ký điện tử gắn với biometric (sinh trắc học)
Chữ ký điện tử sinh trắc học được tạo ra bằng cách thu thập một số thông tin sinh trắc học độc nhất của người dùng, sau đó đính kèm với tài liệu. Thông tin sinh trắc học có thể bao gồm dấu vân tay, quét mống mắt hoặc ví dụ phổ biến nhất là đo các khía cạnh vật lý của quá trình vẽ chữ ký thực tế của người dùng, ví dụ như đo tốc độ, áp lực, độ nghiêng của bút, hình dạng và kích thước của chữ ký sử dụng bút cảm ứng và máy tính bảng phần cứng chuyên dụng.
Ưu điểm
Đây là giải pháp chữ ký điện tử thú vị với những dấu hiệu độc nhất của người dùng. Chữ ký điện tử sinh trắc học được chấp nhận tại toà án, dễ hiểu cho người sử dụng.
Nhược điểm
– Tính bảo mật: Chữ ký sinh trắc học rất dễ bị giả mạo. Các mối quan tâm khác đối với loại chữ ký điện tử này là làm thế nào để bạn xác minh chữ ký sinh trắc học? Cơ sở dữ liệu xác minh ban đầu được điền như thế nào và sau đó làm sao để bảo vệ khỏi bị hack? Có sự đánh đổi giữa kết quả dương tính giả và âm tính giả từ chính cơ chế sinh trắc học?
– Tính pháp lý: dù được chấp nhận tại toà án nhưng chữ ký điện tử sinh trắc học có tính bảo mật yếu, không cung cấp bất kỳ bằng chứng thuyết phục nào.
– Chi phí: Các chương trình chữ ký điện tử sinh trắc học tương đối đắt tiền vì chúng yêu cầu phần cứng và phần mềm chuyên dụng.
Chữ ký điện tử sinh trắc học không được khuyến nghị cho các hợp đồng thương mại, các giao dịch quan trọng vì vấn đề về bảo mật, khả năng tương tác và chi phí. Tuy nhiên, chúng hữu ích cho một số trường hợp sử dụng nhất định mà cả người ký và người xác minh đều hoạt động trong môi trường được kiểm soát và có thiết bị cần thiết.
3. Chữ ký số cơ bản
Chữ ký số là một dạng chữ ký điện tử, được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng. Chữ ký số đóng vai trò như một chữ ký tay cá nhân hoặc con dấu của doanh nghiệp, được thừa nhận về mặt pháp lý khi giao dịch trên môi trường điện tử (Theo Khoản 6, Điều 3, Nghị định 130/2018/NĐ-CP quy định về Luật giao dịch điện tử về chữ ký số và Dịch vụ chứng thực chữ ký số).
Ưu điểm
– Có thể xác thực danh tính người ký số thông qua chứng thư số của cá nhân, tổ chức, doanh nghiệp
– Mọi thay đổi dù là nhỏ nhất trên tài liệu đều bị phát hiện, đảm bảo tính toàn vẹn cho tài liệu
– Có thể được chấp nhận tại tòa án và phụ thuộc vào dữ liệu của nhà cung cấp dịch vụ chứng thực chữ ký số
– Dễ sử dụng, có thể ký bất kỳ đâu, bất kỳ lúc nào
Nhược điểm
– Tính bảo mật: Thời gian ký số trên tài liệu dễ bị làm giả do mặc định sử dụng giờ của máy tính, có thể bị sửa xoá mà không phát hiện được.
– Tính xác thực: Tài liệu không thể xác thực lâu dài sau khi chứng thư số hết hạn hoặc nhà cung cấp dừng hoạt động, cũng như không đảm bảo tiêu chuẩn lưu trữ lâu dài 5 năm, 10 năm hoặc vĩnh viễn.
Nhìn chung, chữ ký số cơ bản là giải pháp thông dụng và hữu ích cho tổ chức, doanh nghiệp và cá nhân hiện nay. Chữ ký số sở hữu mức độ an toàn, bảo mật phù hợp với các dịch vụ công, các quy trình thủ tục cơ bản.
4. Chữ ký số nâng cao (AdES)
Chữ ký số nâng cao (AdES) cung cấp mức độ tin cậy và an toàn cao nhất vì chúng sử dụng các khóa ký duy nhất cho mỗi người dùng.
Với chữ ký số nâng cao, danh tính của người dùng được ràng buộc trong tài liệu – không ai khác có thể ký thay cho người dùng này, không thể thay đổi tài liệu theo bất kỳ cách nào, người dùng không thể phủ nhận việc đã ký vào tài liệu.
Ưu điểm:
– Tính bảo mật cao: Bất kỳ thay đổi nào đối với tài liệu sau khi ký sẽ được hiển thị rõ ràng. Người ký có quyền kiểm soát duy nhất đối với khoá ký riêng tư. Khóa ký của người dùng có thể được lưu trữ cục bộ trên smart/token của họ, hoặc lưu tập trung trong Mô-đun bảo mật phần cứng (HSM), cơ sở dữ liệu được mã hóa, hoặc trong thiết bị di động. Trong quá trình đăng ký, danh tính của mỗi người dùng được xác thực bởi chứng thư số – được cấp bởi Nhà cung cấp dịch vụ chứng thực chữ ký số công cộng (CA).
Chữ ký số nâng cao (AdES) được tích hợp dấu thời gian điện tử Timestamp và công nghệ xác thực lâu dài LTV, LTAN, tạo bằng chứng tin cậy, xác thực được về hiệu lực của chữ ký số vào thời điểm ký. Hiệu lực của chữ ký số không phụ thuộc vào hiệu lực của chứng thư số của cá nhân hoặc pháp nhân, có thể xác thực được một cách độc lập trong 10 năm, 20 năm, đến vĩnh viễn. Do đó, người dùng được hưởng lợi ích và đảm bảo an toàn cao nhất: không phụ thuộc vào nhà cung cấp dịch vụ, không phải duy trì chứng thư số, không phải ký lại tài liệu điện tử.
– Tính pháp lý: Chữ ký số nâng cao (AdES) có tính pháp lý cao, tính chống chối bỏ mạnh mẽ trước tòa án khi được thực hiện đúng cách.
– Dễ sử dụng: Người dùng có thể sử dụng trình duyệt web hoặc ứng dụng di động để xem và ký tài liệu. Mỗi khóa ký được mã hóa theo một mật khẩu mà chỉ người dùng cuối sở hữu.
– Chi phí: Các giải pháp sử dụng khóa và chứng thư số được lưu giữ tập trung tiết kiệm chi phí hơn nhiều so với các phương pháp cũ hơn dựa trên USB Token hay Smartcard. Việc sử dụng các chứng thư số duy nhất cho mỗi người dùng có thể phải trả thêm phí khi sử dụng CA của bên thứ ba, tuy nhiên, việc sử dụng CA nội bộ trong giải pháp hoặc CA doanh nghiệp hiện có có thể làm giảm đáng kể chi phí này.
Có thể thấy chữ ký số nâng cao (AdES) đáp ứng được các yêu cầu về pháp lý, bảo mật ở mức độ cao. Đây là loại chữ ký phù hợp cho các tổ chức, doanh nghiệp và cá nhân giao dịch trên môi trường điện tử, đảm bảo an toàn tin cậy tối đa.
5. Chữ ký số từ xa (Remote Signing)
Chữ ký số từ xa là xu hướng hiện nay, sử dụng công nghệ đám mây (cloud-based) để ký số. Loại chữ ký số này cho phép ký số mọi lúc, mọi nơi, trên mọi thiết bị với mức độ tin cậy, an toàn vượt trội mà không phải lo lắng bảo quản thiết bị lưu khóa hay tìm kiếm cổng kết nối thích hợp.
Ưu điểm:
– Bảo mật, tin cậy: Ký số từ xa là dịch vụ ký số đảm bảo mức độ tin cậy, an toàn vượt trội, với cơ chế đảm bảo chỉ người dùng mới có thể kích hoạt khóa ký, ký số. Nhà cung cấp dịch vụ cũng không thể can thiệp vào quá trình kích hoạt hay ký thay khách hàng nếu không có sự uy quyền từ khách hàng. Đồng thời, nhờ việc tích hợp dễ dàng với dấu thời gian, công nghệ ký số xác thực lâu dài LTV, LTANS, mọi sự thay đổi trên tài liệu đều có thể bị phát hiện, đảm bảo tối đa tính toàn vẹn dữ liệu và chống gian lận, giả mạo khi giao dịch điện tử.
– Tính pháp lý: Chữ ký từ xa cung cấp mức độ tin cậy rất cao và được coi là tương đương hoặc tốt hơn chữ ký viết tay trong tòa án.
– Linh hoạt: Dễ dàng tích hợp với các công nghệ ký số nâng cao AdES, QES
– Dễ sử dụng: Rất dễ dàng cho người dùng cuối sử dụng hàng ngày, cung cấp một giải pháp ký kết di động và ngoài văn phòng an toàn và có độ tin cậy cao.
– Tiết kiệm chi phí: Người dùng cuối không cần sử dụng thêm phần cứng như USB Token hay SIM Card, chỉ cần sử dụng ID và mã PIN cá nhân để xác minh danh tính thông qua các thiết bị điện tử kết nối internet như smartphone, tablet, laptop,…
Như vậy, chữ ký số từ xa có sự thuận tiện, linh hoạt khi người dùng cuối có thể đăng nhập từ bất kỳ thiết bị kết nối internet nào, cung cấp độ tin cậy cao, tuân thủ tiêu chuẩn eIDAS. Chữ ký số từ xa đồng thời cung cấp bảo mật cao trong giao dịch điện tử, đảm bảo tương tự như chữ ký điện tử AdES hoặc QES.
Kết luận
Trên đây là 5 loại chữ ký điện tử thông dụng hiện nay. Chữ ký điện tử cơ bản và Chữ ký sinh trắc học nhìn chung dễ sử dụng, tuy nhiên bảo mật kém và tồn tại các rủi ro về pháp lý. Chữ ký số cơ bản ứng dụng nhiều trong giao dịch công, giao dịch các tài liệu không yêu cầu cao về tính bảo mật. Trong khi đó, chữ ký số từ xa đảm bảo an ninh bảo mật tối đa trong các giao dịch tài liệu nhạy cảm, yêu cầu tính xác thực và pháp lý trong dài hạn.
Hy vọng những thông tin mà bài viết cung cấp sẽ giúp chủ doanh nghiệp, nhà quản lý nhìn nhận một cách khách quan nhất về ưu nhược điểm của từng loại, từ đó chọn được loại chữ ký phù hợp với mục đích cụ thể.