Triển khai Chữ ký điện tử và hệ thống cung cấp dịch vụ Chứng thực Chữ ký điện tử của Việt Nam
Cơ sở pháp lý cho chữ ký điện tử
Nhiều nước trên thế giới đã có Luật về chữ ký điện tử và chứng thực chữ ký điện tử. Tính đến năm 2004, đã có trên 50 quốc gia ban hành Luật về chữ ký điện tử. Ở Việt Nam, vấn đề này cũng là một nội dung quan trọng của Luật Giao dịch điện tử năm 2005. Trong Chương III. Công nhận giá trị pháp lý của chữ ký điện tử nêu rõ chữ ký điện tử có giá trị như chữ ký tay khi ký trên Thông điệp dữ liệu (TĐDL), quy định các vấn đề liên quan đến con dấu trong môi trường điện tử, quy định về việc chứng thực chữ ký điện tử và các nhà cung cấp dịch vụ chứng thực chữ ký điện tử. Đây là căn cứ pháp lý quan trọng để triển khai hệ thống chữ ký điện tử và chứng thực chữ ký điện tử ở nước ta. Trong đó quy định về nguyên tắc sử dụng chữ ký điện tử (Điều 23) và Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử (Điều 30).
Ngay trong giai đoạn soạn thảo Luật Giao dịch điện tử, Ban soạn thảo đã ý thức được tầm quan trọng của việc xây dựng một văn bản dưới luật để hướng dẫn chi tiết thi hành các quy định liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử của Việt Nam. Tư tưởng chỉ đạo khi xây dựng Luật là không quy định cụ thể các công nghệ ứng dụng trong giao dịch điện tử, do vậy Luật quy định chung về chữ ký điện tử. Công nghệ để thực hiện chữ ký điện tử có nhiều loại, nhưng hiện nay phổ biến nhất trên thế giới là công nghệ chữ ký số dựa trên công nghệ mật mã, vì vậy Chính phủ đã giao Bộ Bưu chính Viễn thông soạn thảo Nghị định về chữ ký số và chứng thực chữ ký số. Ngày 15/2/2007 Chính phủ đã ban hành Nghị định số 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Ban Cơ yếu Chính phủ cũng đã đề xuất xây dựng Tiêu chuẩn Việt Nam về chữ ký số và hướng dẫn sử dụng chữ ký số an toàn để trình Bộ trưởng Bộ Khoa học và Công nghệ ký ban hành.
Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số đã bám sát nội dung, tư tưởng của Luật song trong quá trình xây dựng Nghị định, một nội dung được thảo luận và có nhiều ý kiến là Mô hình Hệ thống chứng thực chữ ký số (CA) và việc vận hành hệ thống này trong thực tế ở Việt Nam như thế nào.
Về mô hình chứng thực chữ ký số
Trong khuôn khổ bài này không nói đến công nghệ tạo chữ ký số, tiêu chuẩn chữ ký số… mà chỉ đề cập đến vấn đề được nhiều quốc gia quan tâm là mô hình hệ thống chứng thực chữ ký số của một quốc gia được tổ chức như thế nào để vừa đảm bảo an toàn trong giao dịch, vừa thuận lợi cho người sử dụng. Mô hình Hệ thống chứng thực chữ ký số dựa trên Cơ sở hạ tầng Khóa công khai (PKI) quốc gia của các nước thường có hai xu hướng :
1. Mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA): Các nước có mô hình này có thể kể đến Hồng Kông. Với số dân ít nên Hồng Kông chỉ có một hệ thống cung cấp dịch vụ chữ ký số và chứng thực chữ ký số cho mọi hoạt động, Khóa riêng (Private Key) được tích hợp vào thẻ căn cước (ID Card) và Bưu điện là đơn vị đóng vai trò Root CA.
Mô hình này có ưu điểm chính là dễ quản lý, chi phí thấp, thống nhất công nghệ và khi thực hiện giao dịch quốc tế thì chỉ cần một CA cầu nối. Tuy nhiên, nó cũng có nhược điểm chính là làm phức tạp hóa các hệ thống chính sách áp dụng cho từng loại lĩnh vực cụ thể; khi số lượng thuê bao tăng, lưu lượng giao dịch nhiều có thể gây tắc nghẽn.
2. Mô hình chứng thực chéo (Mô hình có nhiều Root CA và cầu nối): Có các hệ thống chứng thực gốc khác nhau được kết nối, công nhận lẫn nhau qua các cầu nối (Pidge CA). Mô hình này có ưu điểm chính là phân định rõ ràng các loại chứng chỉ số cho các lĩnh vực cụ thể do vậy đơn giản trong quản lý dịch vụ. Nhược điểm của nó là chi phí cao cho công nghệ do phải đầu tư nhiều Root CA và cầu nối; mỗi thuê bao cần một chứng chỉ tương ứng của CA thuộc lĩnh vực đó, do vậy một thuê bao sẽ phải có nhiều chứng chỉ.
Nhiều nước áp dụng mô hình thứ hai này:
Hàn Quốc có hệ thống CA gốc do Bộ Thông tin và Truyền thông (MIC) quản lý; bên cạnh đó còn có hệ thống CA của các cơ quan Chính phủ (G-PKI) (Hình 1).
Trung Quốc cũng có mô hình tương tự: CA Chính phủ (Government CA) và CA Thương mại (CA cho doanh nghiệp, CA cho công nghiệp, các CA địa phương).
Nhiều nước cũng có CA Chính phủ như: Thái Lan, Phần Lan. Úc còn có hệ thống CA riêng cho lĩnh vực y tế, bảo vệ sức khoẻ.
Về hệ thống PKI Quốc gia của Việt Nam:
Như trên đã phân tích, các quốc gia tùy thuộc vào tổ chức bộ máy, phương thức quản lý nhà nước và điều kiện kinh tế xã hội mà có các mô hình riêng về hệ thống PKI Quốc gia. Việt Nam ngoài một số đặc điểm tương tự các nước còn có những đặc điểm riêng về hệ thống và phương thức quản lý nhà nước, nhất là các quy định liên quan đến sử dụng, cấp phát, quản lý con dấu. Dựa trên các đặc thù này tại khoản 1, Điều 30 của Luật Giao dịch điện tử đã quy định có hai loại tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử: “Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử bao gồm tổ chức cung cấp dịch vụ chữ ký điện tử công cộng và tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chuyên dùng”
Bám sát quy định này của Luật, mô hình hệ thống CA của Việt Nam trong thời gian tới sẽ có cấu trúc như mô tả tại Hình 2.
1. CA Công cộng: Được tổ chức như một hệ thống PKI thống nhất cung cấp dịch vụ CA công cộng. Bộ Bưu chính Viễn thông quản lý Root CA này cũng như cấp phép, quản lý hoạt động của các nhà cung cấp dịch vụ CA công cộng. Mô hình này phù hợp với quy định của Luật Giao dịch điện tử và cũng đã được thể hiện chi tiết trong Nghị định 26/2007/NĐ-CP.
2. CA chuyên dụng: Nội dung này đã được thể hiện trong Nghị định 26/2007/NĐ-CP, song theo chúng tôi vấn đề này này cần được nghiên cứu thấu đáo hơn để có thể khả thi trong đời sống. Chúng ta đều biết rằng sẽ có một hệ thống chữ ký số và chứng thực chữ ký số chuyên dùng cho hoạt động hành chính của các cơ quan trong hệ thống chính trị của Việt Nam. Hệ thống này phải được xây dựng riêng, không lẫn với hệ thống CA công cộng mô tả trong mục 1. Thực ra đây cũng là mô hình của nhiều quốc gia khác. Hệ thống này thực tế sẽ hình thành một Root CA riêng, tạm gọi là Root CA hành chính (tương tự như CA Chính phủ của các nước khác). Nghị định 26/2007/NĐ-CP tuy không thiết kế thành một khoản riêng trong Điều 4 về các tổ chức cung cấp dịch vụ chứng thực chữ ký số, song trong khoản 4 Điều 6 về Trách nhiệm quản lý nhà nước về dịch vụ chứng thực chữ ký số đã quy định “Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị”.
Trong thực tế Việt Nam còn một mảng đặc thù nữa là hoạt động nghiệp vụ của các các cơ quan Nhà nước, như nghiệp vụ trong lĩnh vực Tư pháp (Điều tra, Kiểm sát, Toà án), nghiệp vụ Ngân hàng, nghiệp vụ Tài chính (Thuế, Hải quan, Kho bạc)… Đây vừa được coi là các giao dịch nghiệp vụ, phi hành chính của nội bộ các cơ quan nhà nước, vừa bao gồm các giao dịch nghiệp vụ của cơ quan nhà nước với công dân, nhất là cung cấp dịch vụ công trực tuyến (G2B, G2C). Trong lĩnh vực này, cá nhân, tổ chức thuộc hệ thống cơ quan nhà nước có thể dùng chữ ký số trong hệ thống CA hành chính giao dịch với công dân và doanh nghiệp. Nhưng ngược lại, công dân và doanh nghiệp có thể dùng chữ ký số được chứng thực bởi các CA Công cộng để giao dịch với cơ quan Nhà nước hay phải sử dụng hệ thống CA Chuyên dụng - Nghiệp vụ của các ngành này? nhất là các trường hợp đặc thù như quan hệ giữa doanh nghiệp và cơ quan Thuế, khách hàng với Ngân hàng… Và như vậy, có thể hình thành một nhóm các Root CA Nghiệp vụ nữa. Đây là vấn đề cần được nghiên cứu cả về mặt công nghệ lẫn cơ chế quản lý để chúng ta thực sự có một hệ thống CA quốc gia hoạt động hiệu quả.
Một vấn đề nữa cần được nghiên cứu đó là con dấu trong môi trường điện tử. Khoản 2, Điều 24 của Luật quy định: Trong trường hợp pháp luật quy định văn bản cần được đóng dấu của cơ quan, tổ chức thì yêu cầu đó đối với một thông điệp dữ liệu được xem là đáp ứng nếu thông điệp dữ liệu đó được ký bởi chữ ký điện tử của cơ quan, tổ chức đáp ứng các điều kiện quy định tại khoản 1 Điều 22 của Luật này và chữ ký điện tử đó có chứng thực.
Quy định tại điều này được thực hiện đối với cơ quan nhà nước khi sử dụng hệ thống CA hành chính và Điều 11, Điều 12 của Nghị định đã có hướng giải quyết rất sáng tạo cho nội dung này. Nhưng đối với doanh nghiệp và các tổ chức ngoài hệ thống nhà nước (thông thường con dấu được cơ quan Công an cấp) thì có thể vận dụng khoản 2, Điều 24 của Luật khi họ sử dụng dịch vụ của các CA.
Hệ thống CA của Việt Nam sẽ không phải là mô hình phân cấp dựa trên một chứng thực gốc duy nhất (mô hình một Root CA), song việc sử dụng một chuẩn thống nhất, sự kết nối và công nhận lẫn nhau giữa các hệ thống CA là rất quan trọng. Cầu nối (Pidge) này hình thành ra sao, nguyên tắc thế nào, ai quản lý cũng là vấn đề đặt ra để giải quyết trong thời gian tới. Điều này đòi hỏi có những phân tích khoa học và mang tính tổng thể của các cơ quan nhà nước có trách nhiệm.