Trung tâm Chứng thực chữ ký số quốc gia là đơn vị sự nghiệp có thu, thuộc Cục Ứng dụng công nghệ thông tin, có tư cách pháp nhân, có con dấu và tài khoản riêng để giao dịch theo quy định của pháp luật, trụ sở chính đặt tại thành phố Hà Nội.

Trung tâm Chứng thực chữ ký số quốc gia có nhiệm vụ, quyền hạn quy định tại Quyết định số 891/QĐ-BTTTT ngày 13/06/2008 của Bộ trưởng Bộ Thông tin và Truyền thông:

1. Hướng dẫn thủ tục, tiếp nhận hồ sơ, tổ chức việc thẩm tra hồ sơ xin cấp phép cung cấp dịch vụ chứng thực chữ ký số công cộng, hồ sơ xin thay đổi nội dung giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng, hồ sơ xin gia hạn giấy phép;

2. Hướng dẫn thủ tục, tiếp nhận hồ sơ, tổ chức việc thẩm tra hồ sơ đăng ký cung cấp dịch vụ chứng thực chữ ký số chuyên dùng, hồ sơ xin thay đổi nội dung giấy đăng ký cung cấp dịch vụ chứng thực chữ ký số chuyên dùng, hồ sơ xin gia hạn giấy đăng ký cung cấp dịch vụ chứng thực chữ ký số chuyên dùng;

3. Thực hiện chức năng của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia cấp phát chứng thư số cho các tổ chức đăng ký cung cấp dịch vụ chứng thực chữ ký số công cộng theo giấy phép của Bộ Thông tin và Truyền thông;

4. Tham gia xây dựng các chính sách, văn bản quy phạm pháp luật trong lĩnh vực quản lý nhà nước về chữ ký số và chứng thực chữ ký số, các chiến lược và kế hoạch thúc đẩy ứng dụng chữ ký số trong các hoạt động giao dịch điện tử;

5. Phối hợp xây dựng và kiểm tra việc tuân thủ các quy chuẩn kỹ thuật và tiêu chuẩn về chữ ký số và dịch vụ chứng thực chữ ký số;

6. Theo dõi, giám sát các hoạt động chứng thực chữ ký số công cộng, các hoạt động chứng thực chuyên dùng; đề xuất kế hoạch và tham gia công tác thanh tra các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;

7. Hướng dẫn thủ tục, tiếp nhận hồ sơ, tổ chức việc thẩm tra hồ sơ xin cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số, giấy công nhận chữ ký số và chứng thư số nước ngoài;

8. Theo dõi, giám sát việc triển khai các kế hoạch ứng dụng chữ ký số phục vụ các hoạt động giao dịch điện tử công cộng;

9. Thu các khoản phí, lệ phí về các hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng theo quy định của Nhà nước;

10. Đề xuất và tham gia các dự án xây dựng, hoàn thiện và ứng dụng cơ sở hạ tầng khóa công khai trong các hoạt động giao dịch điện tử phục vụ phát triển kinh tế-xã hội;

11. Tham gia các hoạt động hợp tác quốc tế, nghiên cứu khoa học – công nghệ, các hội thảo trong lĩnh vực chữ ký số và chứng thực chữ ký số. Đề xuất và xây dựng kế hoạch phát triển các nguồn lực về hạ tầng khóa công khai và các hoạt động tuyên truyền, phổ biến pháp luật về ứng dụng chữ ký số trong phát triển kinh tế – xã hội. Thử nghiệm và đề xuất ứng dụng các công nghệ mới để đảm bảo an ninh, an toàn thông tin phục vụ giao dịch điện tử;

12. Tham gia, giám sát việc xây dựng cơ sở hạ tầng thông tin, các chuẩn trao đổi thông tin và cơ chế đảm bảo an ninh thông tin phục vụ việc trao đổi thông tin trong các hoạt động giao dịch điện tử. Thực hiện chức năng là đầu mối của Cục Ứng dụng công nghệ thông tin trong lĩnh vực ứng dụng chữ ký số để đảm bảo an toàn, an ninh thông tin trong cơ quan nhà nước và thương mại điện tử;

13. Tổ chức cung cấp các dịch vụ liên quan đến đào tạo, tư vấn, triển khai ứng dụng và chuyển giao công nghệ về chữ ký số và các công nghệ liên quan đến giao dịch điện tử;

* Liên hệ:

Địa chỉ: Số 6, Phố Chùa Một Cột, Hà Nội
Điện thoại:  (84-4) 3734 7164
Fax: (84) 080 48299

* Lãnh đạo:

Giám đốc: TS. Đào Đình Khả
Điện thoại:  (84-4) 3734 7164
Fax: (84) 080 48299
E-mail: dinhkha@mic.gov.vn

Điều kiện cần và đủ

Tháng 9/2009, Bộ TTTT cấp phép cung cấp dịch vụ chứng thực chữ ký số. Nhưng đến nay đã sau 1 năm mà VNPT (doanh nghiệp (DN) đầu tiên được cấp phép) vẫn chưa có dịch vụ nào ra mắt thị trường!

Ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực CKS quốc gia (Root CA) cho biết “Việc được Bộ TTTT cấp giấy phép chỉ là điều kiện cần. Sau khi nhận giấy phép, các DN mới đi vào đầu tư về hạ tầng, phần mềm. Sau khi kiếm tra thực tế, nếu đạt yêu cầu, Bộ TTTT, cụ thể là Trung tâm Chứng thực CKS quốc gia mới cấp chứng thư số cho các DN này”.

Đó chính là điều kiện đủ. Việc cấp chứng thư số cho các CA (DN cung cấp dịch vụ chứng thực chữ ký số) được hiểu tương tự như việc công nhận vai trò pháp lý của các CA. Từ đó, các CKS do các CA này phát ra mới có giá trị pháp lý. Sau khi nhận chứng thư số, DN mới tiến hành các hoạt động kinh doanh và đưa dịch vụ chữ ký số (CA) ra thị trường.

Được biết, trong số 5 giấy phép đã cấp, hiện đã có 1 DN được cấp chứng thư số. Một số DN đang nỗ lực để được nhận chứng thư số và có thể đưa dịch vụ ra thị trường vào đầu quý III tới.

Ứng dụng CKS = công nghệ + quy trình

Có thể hình dung CKS như một bộ gồm khóa và chìa. Nó được áp dụng để bảo mật các ứng dụng. Điều đó có nghĩa là bản thân CKS không tách riêng như một giải pháp độc lập mà cần được nghiên cứu, phân tích kỹ lưỡng khả năng tích hợp lên các ứng dụng. Đó là một quy trình dựa trên công nghệ lõi của hệ thống CA: những chính sách bảo mật, cách thức tích hợp ứng dụng để có thể tạo ra nền tảng bảo mật hoàn chỉnh. “CKS là một tập hợp các công nghệ, quy trình và chính sách chứ không đơn thuần là một công cụ. Do đó, để tích hợp CKS vào ứng dụng của khách hàng một cách có hiệu quả, đòi hỏi nhà cung cấp phải rất hiểu ứng dụng của khách hàng”, ông Dương Dũng Triều, Tổng Giám đốc FPT IS nhấn mạnh.

Chính vì vậy, khi lựa chọn đối tác, DN cần tìm nhà cung cấp có khả năng tích hợp CKS vào hệ thống hiện có (bao gồm việc tư vấn cho khách hàng cần thực hiện thêm những gì, viết thêm mô-đun nào trong ứng dụng…).

Cân nhắc hiệu quả khi đầu tư cho CKS

Nếu so sánh CKS với các giải pháp xác thực mạnh khác như One Time Password (OTP), ma trận (SMS OTP) thì CKS cung cấp khả năng bảo mật đầy đủ và toàn diện hơn bởi ngoài tính chống từ chối mà các giải pháp bảo mật khác không có, CKS còn được pháp luật công nhận có giá trị như chữ ký tay. Thậm chí, một số giao dịch trực tuyến còn được pháp luật yêu cầu phải sử dụng CKS, chẳng hạn như kê khai thuế trực tuyến, hải quan trực tuyến… Đây là điểm mấu chốt để đảm bảo hiệu quả đầu tư cho CKS.

Ngoài ra, ứng dụng CKS có thể đem lại hiệu quả chi phí đầu tư rất lớn cho DN, người dân. Lấy ví dụ tại hệ thống e-Tax Filling (Khai thuế điện tử của Đài Loan, mô hình được bình chọn là ứng dụng CKS tốt nhất châu Á): Trước khi áp dụng hệ thống e-Tax, trung bình mỗi người dân mất 3 ngày, và chi phí không nhỏ để di chuyển thu thập chứng từ nộp thuế giữa các địa điểm. Sau khi hệ thống e-Tax hoàn thành, người dân chỉ mất 5 phút để hoàn thành việc khai thuế qua mạng. Tất cả các thông tin đều được bảo mật an toàn dựa trên nền tảng của CKS.

Vài ứng dụng CKS phổ biến

Một số ứng dụng trong cuộc sống ứng dụng CKS có thể kể đến như bảo mật máy chủ web (khi tiến hành giao dịch trên các website TMĐT uy tín. Tất cả các thông tin nhạy cảm sẽ được mã hóa – địa chỉ web thường có dạng “https” để ký số và mã hóa email); Đăng nhập từ xa qua VPN, wireless (CKS lúc này được sử dụng để thay thế phương pháp xác thực kém an toàn như username/password).

Một số giao dịch trong ngành ngân hàng, chứng khoán hiện nay đang được dùng OTP. Đây là một giải pháp tình thế do lúc đó dịch vụ CKS chưa có mặt trong khi Luật Giao dịch Điện tử ra đời năm 2005 đã công nhận giá trị pháp lý của CKS. Vì vậy, thời gian tới, rất có thể các giao dịch ngân hàng qua Internet (Internet banking) cũng sẽ ứng dụng CKS. Tuy nhiên, với các tổ chức ngân hàng đang ứng dụng OPT, giải pháp mà các CA khuyến cáo là nên có lộ trình chuyển đổi. Bước đầu có thể sử dụng song song (chẳng hạn với những giao dịch có giá trị tiền thấp vẫn dùng OTP, những giao dịch có giá trị tiền lớn thì dùng CKS).

Ứng dụng trên “SIM base CA”

Về căn bản, CKS là một loại chữ ký điện tử dựa trên hệ thống mật mã không đối xứng, chứa thông tin định danh người chủ sở hữu chữ ký đó. Các thông tin này có thể được lưu trữ bằng nhiều hình thức khác nhau: dưới dạng file và lưu trữ trên máy tính; trên các thiết bị lưu trữ đặc biệt (USB token); trên thẻ (smart card); thậm chí trên sim điện thoại (SIM base CA). Tùy nhu cầu mà mỗi khách hàng chọn những hình thức lưu trữ khác nhau, tuy nhiên, SIM base CA được đánh giá cao ở tính di động, thuận tiện do gắn liền với chiếc điện thoại di động.

Trên thế giới, SIM base CA được sử dụng từ những năm 2001 – 2002. Quốc gia có nhiều SIM base CA là Đài Loan, Hàn Quốc. Theo đánh giá của một số CA trong nước, Việt Nam có số lượng người sử dụng điện thoại di động khá lớn do đó thị trường cho SIM base CA khá tiềm năng. Tuy nhiên, để có được dịch vụ SIM base CA cần sự phối hợp giữa nhà cung cấp dịch vụ CKS và nhà cung cấp dịch vụ viễn thông.

Ngày 10/8/2010, Bộ TTTT chính thức trao giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng thứ 5 cho Công ty cổ phần Hệ thống Thông tin FPT (FPT IS). Theo đó, FPT IS được cung cấp 3 loại chứng thư số, bao gồm: chứng thư số cho cơ quan, tổ chức, cá nhân; Chứng thư số SSL (dành cho website) và Chứng thư số Code Signing (dành cho các sản phẩm phần mềm).
Thứ trưởng Bộ TTTT Nguyễn Minh Hồng đặt vấn đề cần thành lập Hiệp hội các CA Việt Nam, hợp tác CA các nước để CKS của Việt Nam được quốc tế công nhận, trước mắt là với các nước trong khu vực

Bộ Thông tin – Truyền thông hồi tháng Tám đã trao giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng cho Công ty cổ phần Hệ thống Thông tin FPT. Đây là doanh nghiệp thứ năm được phép cung cấp dịch vụ này, cùng với bốn đơn vị trước đó là VNPT, Bkis, Viettel và Nacencomm.

Bên cạnh hoạt động của cơ quan quản lý nhà nước là Trung tâm Chứng thực chữ ký số quốc gia, sự tham gia của các doanh nghiệp vào việc cung cấp dịch vụ này được xem là cú hích cho thị trường được đánh giá là có nhiều tiềm năng.

Nhu cầu nhiều nhưng giao dịch chưa khởi sắc

Bắt đầu ứng dụng dịch vụ chữ ký số trong các hoạt động nghiệp vụ từ tháng 12 năm ngoái, ngành thuế được xem là một trong những đơn vị đầu tiên tiếp cận với hình thức bảo đảm an toàn thông tin đã trở nên phổ biến ở các nước có nền thương mại điện tử phát triển. Với dịch vụ số này, các doanh nghiệp không phải đến cơ quan thuế để nộp hồ sơ, họ chỉ cần đăng ký qua mạng Internet và sử dụng chữ ký số thay cho con dấu mà vẫn bảo đảm tính pháp lý của giấy tờ.

Bớt thời gian đi lại, không phải chen chúc xếp hàng tại cơ quan thuế vào những ngày cuối tháng, một số doanh nghiệp cho biết họ khá hào hứng đón nhận dịch vụ mới mẻ này. Bà Vũ Thục Quyên, kế toán trưởng kiêm Giám đốc Ban Tài chính – Kế toán của Ngân hàng Bảo Việt, cho biết doanh nghiệp mình chỉ mất khoảng nửa ngày để hoàn thành thủ tục nộp các tờ khai thuế vào cuối tháng thay vì phải cử nhân viên túc trực trong vòng 2-3 ngày tại cơ quan thuế như trước đây.

Chữ ký số được biết đến như một công nghệ xác thực, đảm bảo an ninh,an toàn cho giao dịch trên môi trường Internet. Chữ ký số sẽ giải quyếtvấn đề toàn vẹn dữ liệu và là bằng chứng chống sự chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các doanh nghiệp, tổ chức, cá nhân yêntâm với các giao dịch điện tử của mình trong môi trường Internet.

Kế hoạch tổng thể phát triển thương mại điện tử giai đoạn 2011-2015(được phê duyệt tại Quyết định 1703/QĐ-TTg) đã xác định đến năm 2015 sẽcó một số tổ chức của Việt Nam được các tổ chức chứng thực chữ ký số có uy tín của nước ngoài thừa nhận.

Việc được các tổ chức quốc tế công nhận có ba cấp độ: chấp nhận toàndiện, chấp nhận chọn lọc và chỉ chấp nhận trong một số giao dịch cụ thể.

Sự đón nhận dịch vụ chữ ký số cũng đến từ các doanh nghiệp có vốn đầu tư nước ngoài vốn đã làm quen với các giao dịch điện tử. Bà Đinh Thúy Anh, đại diện của Công ty TNHH B.Braun Việt Nam, cho biết chữ ký số là dịch vụ mà công ty đã chờ đợi từ lâu bởi nó cho phép tiết kiệm thời gian, nhân lực cũng như những vấn đề phát sinh trong quá trình thực hiện các thủ tục hành chính liên quan.

Sau ngành thuế, hải quan là một trong những đơn vị triển khai thí điểm dịch vụ chữ ký số cho các tờ khai hải quan điện tử. Lộ trình này sẽ được bắt đầu vào tháng mười năm nay tại Cục Hải quan Hà Nội và sau đó được mở rộng ra các cục hải quan khác trên khắp cả nước.

Tuy nhu cầu về chữ ký số đang tăng lên, nhưng theo thống kê của Bộ Công Thương, tính đến nay mới có khoảng 2.500 doanh nghiệp, chủ yếu hoạt động trong lĩnh vực xuất nhập khẩu, ứng dụng chữ ký số và chứng thư số khi sử dụng các dịch vụ công trực tuyến mà bộ cung cấp. Đây là con số rất nhỏ so với số lượng các doanh nghiệp trên cả nước.

Các chuyên gia của bộ đánh giá rằng nhiều doanh nghiệp còn thờ ơ với dịch vụ mới mẻ này là do họ chưa hiểu đúng về những tiện ích cũng như vai trò quan trọng mà chữ ký số và các giải pháp chữ ký số mang lại cho hoạt động sản xuất, kinh doanh.

Ông Nguyễn Trần Hiệu, Phó cục trưởng Cục Công nghệ thông tin, Tổng cục Hải quan, nói rằng doanh nghiệp vẫn có tâm lý e dè khi ứng dụng các giải pháp mới như chữ ký số vào những thủ tục liên quan đến tài chính, đặc biệt là doanh nghiệp vừa và nhỏ. “Các doanh nghiệp lo ngại về vấn đề bảo mật, tính pháp lý cũng như hạ tầng đường truyền”, ông nói và cho biết thêm khi triển khai dịch vụ này, ngành hải quan đã đẩy mạnh công tác thông tin để các doanh nghiệp hiểu về những tiện ích mà dịch vụ này có thể đem lại.

Bên cạnh đó, theo ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực chữ ký số quốc gia, những khó khăn khi triển khai dịch vụ này là khó tránh khỏi bởi Việt Nam đang trong giai đoạn xây dựng hạ tầng khóa công khai (Public key infrastruc-ture – PKI), hạ tầng nền tảng cho chữ ký số. Đây là hệ thống khá phức tạp và có liên quan đến nhiều vấn đề về pháp lý, công nghệ, tổ chức và tài chính. Chính vì thế, việc phát triển dịch vụ này đòi hỏi sự nỗ lực chung của các cơ quan nhà nước lẫn cộng đồng doanh nghiệp.

Thị trường đang rộng mở

Phần lớn chuyên gia có mặt tại cuộc hội thảo về phát triển ứng dụng chữ ký số trong thương mại điện tử do Bộ Công Thương phối hợp với Bộ Thông tin-Truyền thông tổ chức hồi tháng trước đều nhận định, mặc dù còn gặp khá nhiều trở ngại xuất phát từ tâm lý e ngại của doanh nghiệp ứng dụng cũng như môi trường hoạt động, thị trường này vẫn có nhiều tiềm năng.

Sự xuất hiện của bốn nhà cung cấp dịch vụ chữ ký số công cộng là Bkis, Viettel, Nacencomm và FPT IS chỉ trong một thời gian ngắn sau khi đơn vị đầu tiên được cấp giấy phép là VNPT đã cho thấy sức hấp dẫn của thị trường chứng thực điện tử.

Ông La Thế Hưng, Trưởng phòng An ninh bảo mật của VDC, đơn vị được VNPT ủy quyền thực hiện dịch vụ, cho biết hành lang pháp lý và sự phát triển của các cổng thương mại điện tử, các ứng dụng về tài chính – ngân hàng và dịch vụ hành chính công trên mạng Internet sẽ là những cơ sở giúp chữ ký số phát triển trong thời gian tới.Ông Khả cũng nhận định rằng việc sử dụng chữ ký số trong các giao dịch điện tử là một xu hướng tất yếu trong tương lai gần. Chỉ tính trong khu vực châu Á, từ những năm 2000 luật về chữ ký số và chứng thực điện tử đã được ban hành tại Nhật Bản, Hàn Quốc, Singapore và Malaysia.

Và những rào cản hiện hữu

Mặc dù vậy, theo ông Nguyễn Thanh Hưng, Cục trưởng Cục Thương mại điện tử và Công nghệ thông tin, Bộ Công thương, vẫn còn nhiều rào cản trong quá trình ứng dụng chữ ký số ở Việt Nam. Cụ thể, Bộ Công thương hiện đã tích hợp chữ ký số vào thư điện tử (e-mail), nhưng với những giao dịch không quan trọng thì không cần thiết phải bảo mật bởi chữ ký số, còn đối với những văn bản quan trọng thì quy định của luật lại không cho phép sao chép và lưu trữ ở dạng dữ liệu số.

Ở góc độ nhà cung cấp dịch vụ, ông Hoàng Quốc Khánh, Giám đốc Nacencomm, cho rằng cơ sở pháp lý cho việc ứng dụng và phát triển chữ ký số hiện tại đã khá đầy đủ nhưng các chính sách khuyến khích còn chưa cụ thể. Ngoài ra, hoạt động thương mại điện tử ở Việt Nam mới ở giai đoạn ban đầu, vẫn chưa có nhiều hợp đồng, giao dịch được ký kết, thực hiện, thanh toán… trên môi trường điện tử.

Bên cạnh đó, thói quen cũ về mua bán thực tế và mối e ngại của người tiêu dùng đối với giao dịch trực tuyến còn lớn cũng góp phần tạo nên những lực cản. Một khó khăn khác là các đơn vị cung cấp dịch vụ chứng thực chữ ký số công cộng của Việt Nam mới chỉ được thừa nhận ở trong nước và họ còn một quãng đường dài để được thừa nhận ở thị trường quốc tế. Và điều này đòi hỏi sự hợp tác và hợp lực giữa các nhà cung cấp dịch vụ trong quá trình đàm phán với các tổ chức chứng nhận của quốc tế.

Đây là một mục tiêu được đánh giá là khó thực hiện. Nghị định 26 cũng quy định để các quốc gia công nhận chữ ký số lẫn nhau thì cần phải có công ước về vấn đề này. Hiện Việt Nam chưa ký công ước với nước nào và trước mắt, có thể sẽ tiến hành ký kết với các nước trong khu vực châu Á.

(Theo TBKTSGO)

Tu van cong nghe

Sáng ngày 21/9/2010 tại Hà Nội, Uỷ ban Chứng khoán Nhà nước (SSC) và Tập đoàn VNPT đã ký kết thoả thuận hợp tác triển khai chữ ký số công cộng.

Ông Phạm Long Trận, Chủ tịch Hội đồng thành viên của Tập đoàn VNPT cho biết VNPT sẽ cung cấp giải pháp, tư vấn kỹ thuật và công nghệ tích hợp chữ ký số vào ứng dụng trong các giao dịch điện tử trong hoạt động chứng khoán của SSC. Chương trình hợp tác được chia làm hai giai đoạn: giai đoạn 1 là ứng dụng chữ ký số trong các giao dịch giữa SSC với các công ty chứng khoán, công ty quản lý quỹ và công ty đại chúng; giai đoạn 2 là ứng dụng chữ ký số trong các giao dịch của các nhà đầu tư trong lĩnh vực chứng khoán.

Ngoài ra, VNPT và SSC cũng sẽ phối hợp cùng nhau trong các hoạt động truyền thông, đào tạo nâng cao nhận thức về ý nghĩa, tác dụng của chữ ký số, hỗ trợ cung cấp chứng thư số cho người tham gia sử dụng các dịch vụ giao dịch chứng khoán điện tử.

Tại lễ ký kết, ông Vũ Bằng – Chủ tịch Uỷ ban Chứng khoán Nhà nước khẳng định việc sử dụng chữ ký số trong ngành giao dịch chứng khoán sẽ được đẩy mạnh trong thời gian tới. Theo kế hoạch, trong 3 tháng (từ 1/10 – 31/12/2010), Uỷ ban Chứng khoán Nhà nước sẽ thí điểm ứng dụng chữ ký số trong giao dịch với 20 công ty chứng khoán tham gia.

Trước đó, ngành thuế và hải quan đã triển khai thử nghiệm dịch vụ chữ ký trong các giao dịch khai thuế và khai hải quan điện tử.

(Theo ICTnews)

Tư vấn công nghệ

Live demo: http://themeforest.net/item/mediapress-ultimate-wordpress-newsmagazine-theme/full_screen_preview/140688

Mediapress is a News/Magazine theme. The 3 collumn on the homepage are completely widgetized and we created 8 custom widget for you to display your content. There is 90+ shortcodes wich are in the visual editor of WordPress and 35 options to change the CSS in the theme options (Font size, color, background colors etc etc) Mediapress is also fully localized so you can translate the theme really easily. Give it a try!

Preview:

http://themeforest.net/item/mediapress-ultimate-wordpress-newsmagazine-theme/full_screen_preview/140688

Download:

http://www.mirrorcreator.com/files/0RKSIV6F/Mediapress_v1.0.rar_links

http://www.hotfiles.ro/download/mediapress_v1.0.rar/129290

http://www.mediafire.com/?9zql9ct70fllrf3

http://www.filemirrorupload.com/download.php?uid=EXDLBDTS

http://uploadmirrors.com/download/MXKUK7S4/Mediapress_v1.0.rar

Live demo: http://www.theme-junkie.com/demo/newswire/

This Package allows you to make any modifications to the theme as required to fit needs or requirements for personal or client projects. Further, you can use it in any number of domains as you wish. Regular theme updates and forum support are guaranteed.

Live demo:  http://www.theme-junkie.com/demo/portal/

This Package allows you to make any modifications to the theme as required to fit needs or requirements for personal or client projects. Further, you can use it in any number of domains as you wish. Regular theme updates and forum support are guaranteed

Có thể hiểu đơn giản về chữ ký số và chứng thực số là: Trong môi trường mạng, thông điệp dữ liệu sẽ có giá trị như một văn bản được ký và đóng dấu khi nó được ký bởi chữ ký số, và được cơ quan được cấp phép dịch vụ chứng thực số chứng thực.

Chữ ký số và chứng thực số là 2 vấn đề đã được đề cập và tranh luận nhiều ở Việt Nam trong nhiều năm qua, được coi là chìa khóa để hiện thực hóa thành công thương mại điện tử. Sau thời gian dài chuẩn bị soạn thảo, lấy ý kiến các chuyên gia và người dân, Nghị định 26 về chữ ký số và dịch vụ chứng thực chữ ký số đã được Thủ tướng Chính phủ ban hành ngày 15/2/2007, công nhận chữ ký số và chứng thực số có giá trị pháp lý trong giao dịch điện tử, bước đầu thúc đẩy sự phát triển của thương mại điện tử tại Việt Nam.

Sau khi nghị định của Thủ tướng được ban hành, Bộ TT-TT và các bộ, ngành liên quan cũng đã ra nhiều văn bản liên quan hướng dẫn thực hiện chữ ký số và dịch vụ chứng thực chữ ký số.

Ngày 31/12/2008, Bộ TT-TT ban hành 6 loại tiêu chuẩn trong giao dịch điện tử được quy định buộc phải áp dụng chữ ký số và chứng thực số, bao gồm: Chuẩn bảo mật cho HSM, Chuẩn mã hóa, Chuẩn tạo yêu cầu và trao đổi chứng thư số, Chuẩn về chính sách và quy chế chứng thực chữ ký số, Chuẩn về lưu trữ và truy xuất chứng thư số và Chuẩn về kiểm tra trạng thái chứng thư số.

Theo Bộ TT-TT, danh mục các tiêu chuẩn này sẽ còn được định kỳ xem xét cập nhật, sửa đổi, bổ sung phù hợp với điều kiện thực tế của Việt Nam.

Các tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được Bộ Thông tin và Truyền thông cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được Chính phủ Việt Nam công nhận sẽ dựa trên danh mục ban hành này để áp dụng chứng thực.

Theo Vietnamnet

Tu van cong nghe

Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ ký điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video, … dữ liệu đó có bị thay đổi hay không.

Hai khái niệm chữ ký số (digital signature) và chữ ký điện tử (electronic signature) thường được dùng thay thế cho nhau mặc dù chúng không hoàn toàn có cùng nghĩa. Chữ ký số chỉ là một tập con của chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số)[1][2][3][4].

Lịch sử

Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi[5].

Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.

Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền[6], chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online[7]…
Tính pháp lý của chữ ký điện tử
Các định nghĩa pháp lý

Nhiều luật được ban hành trên thế giới công nhận giá trị pháp lý của chữ ký điện tử nhằm thúc đẩy các giao dịch điện tử xuyên quốc gia.

Luật Giao dịch điện tử (Việt Nam), điều 4 định nghĩa
(1)Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
(2)Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
(5)Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
(12)Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.

Bộ luật ESIGN (Hoa Kỳ), điều 106 định nghĩa
(2)Điện tử (electronic)- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.
(4)Văn bản điện tử (electronic record)- Các hợp đồng hoặc các văn bản khác được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.
(5)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Bộ luật GPEA (Hoa Kỳ), điều 1710 định nghĩa
(1)Chữ ký điện tử (electronic signature)- là cách thức ký các văn bản điện tử đảm bảo:
(A)Nhận dạng và xác thực cá nhân đã tạo ra văn bản;
(B)Chỉ ra sự chấp thuận của người ký đối với nội dung trong văn bản.

Bộ luật UETA (Hoa Kỳ), điều 2 định nghĩa
(5)Điện tử (electronic’valeking132′)- chỉ các công nghệ liên quan tới điện, số, từ, không dây, quang, điện từ hoặc các khả năng tương tự.
(6)Tác tử điện tử (electronic agent)- là các chương trình máy tính hoặc các phương tiện tự động khác sử dụng độc lập để khởi đầu một hành động hoặc đáp lại các tín hiệu điện tử mà không cần sự giám sát của con người.
(7)Văn bản điện tử (electronic record’valeking132′)- Các văn bản được tạo ra, lưu trữ, trao đổi dưới dạng điện tử.
(8)Chữ ký điện tử (electronic signature)- Các tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Bộ luật Federal Reserve
giống với bộ luật ESIGN

Commodity Futures Trading Commission 17 CFR Phần 1 Điều 1.3 định nghĩa
(tt) Chữ ký điện tử là tín hiệu âm thanh, ký hiệu, quá trình gắn (vật lý hoặc logic) với hợp đồng hay văn bản và được thực hiện bởi người muốn ký vào hợp đồng hay văn bản đó.

Food and Drug Administration 21 CFR Điều 11.3 định nghĩa
(5) Chữ ký số là các chữ ký điện tử dựa trên các phương pháp mật mã để nhận thực người tạo văn bản dựa trên các quy tắc và tham số sao cho có thể kiểm tra được nhân dạng của người tạo và tính toàn vẹn của văn bản.
(7) Chữ ký điện tử là các số liệu (máy tính) được tạo ra, chấp nhận và cho phép bởi cá nhân có thẩm quyền (tương đương với người ký văn bản giấy truyền thống).

Kiểm tra pháp lý đối với chữ ký điện tử

Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax…).

Tại Hoa Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:

* Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
* Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
* Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
* Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
* Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
* Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.

Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.

Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.

Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý trên được gắn với văn bản trong một số trường hợp cụ thể.
Pháp luật liên quan tới việc sử dụng chữ ký điện tử

* Hoa Kỳ – Electronic Signatures in Global and National Commerce Act
* Hoa Kỳ – Uniform Electronic Transactions Act – adopted by 48 states
* Hoa Kỳ – Digital Signature And Electronic Authentication Law
* Hoa Kỳ – Government Paperwork Elimination Act (GPEA)
* Hoa Kỳ – The Uniform Commercial Code (UCC)
* Anh – s.7 Electronic Communications Act 2000
* Liên minh châu Âu – Electronic Signature Directive (1999/93/EC)
* Mexico – E-Commerce Act [2000]
* Costa Rica – Digital Signature Law 8454 (2005)
* Việt Nam – Luật Giao dịch điện tử[8][9] – có hiệu lực từ ngày 1 tháng 3 năm 2006.

Những sử dụng giả luật của chữ ký điện tử

Một số trang web (đặc biệt là các trang khiêu dâm) và các điều khoản sử dụng phần mềm tuyên bố một số hành động gắn với chữ ký điện tử. Chẳng hạn, một trang web có thể tuyên bố rằng với việc truy cập vào trang web, bạn đã chấp nhận một số quy định. Một ví dụ khác là khi cài đặt phần mềm, trước khi cài sẽ xuất hiện một màn hình thông báo rằng với việc tiếp tục cài đặt thì bạn chấp nhận một số điều về bản quyền. Các điều khoản này có thể không được thông báo trước khi bán và không phải lúc nào cũng được hiển thị đầy đủ khi bạn cài đặt. Các điều kiện về bản quyền này thường bao gồm các điều cấm người sử dụng công bố các thông tin về sản phẩm nếu không được sự cho phép của nhà sản xuất, các điều hạn chế người sử dụng nghiên cứu sản phẩm (reverse engineering) kể cả cho mục đích hợp pháp như để tạo ra các tệp theo định dạng của phần mềm. Trong một số trường hợp, các điều khoản này có thể trái với quy định của pháp luật. Một số người cho rằng các điều trên là hợp lý để bảo vệ các bí mật công nghệ. Tuy nhiên một khi sản phẩm đã được bán rộng rãi thì lý do này cũng không thực sự thuyết phục.

Tính pháp lý của các điều khoản đề cập ở trên không rõ ràng. Tại Hoa Kỳ, chỉ có 2 tiểu bang chấp thuận bản sửa đổi của Luật thương mại thống nhất (Uniform Commercial Code) cho phép những hạn chế về bản quyền và thông báo sau bán hàng. Tại Anh, điều 9 của Quy chế thương mại điện tử năm 2002 (Electronic-Commerce (EC Directive) Regulations 2002 – SI 2002/2003) cho phép người mua có khả năng xác định trước các bước kỹ thuật khác nhau để kết thúc hợp đồng.
Chữ ký mật mã

Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).

Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra – checksum…). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi.

Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.

Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.

Theo Wiki

Tư vấn công nghệ

Chữ ký số là một tập con của chữ ký điện tử. Ta có thể dùng định nghĩa về chữ ký điện tử cho chữ ký số:

Chữ ký điện tử là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video…) nhằm mục đích xác định người chủ của dữ liệu đó[5].

Ta cũng có thể sử dụng định nghĩa rộng hơn, bao hàm cả mã nhận thực, hàm băm và các thiết bị bút điện tử.

Chữ ký số khóa công khai (hay hạ tầng khóa công khai) là mô hình sử dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai – bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các thông tin mật. Khóa công khai thường được phân phối thông qua chứng thực khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký và kiểm tra chữ ký.

Khái niệm chữ ký điện tử – mặc dù thường được sử dụng cùng nghĩa với chữ ký số nhưng thực sự có nghĩa rộng hơn. Chữ ký điện tử chỉ đến bất kỳ phương pháp nào (không nhất thiết là mật mã) để xác định người chủ của văn bản điện tử. Chữ ký điện tử bao gồm cả địa chỉ telex và chữ ký trên giấy được truyền bằng fax.

Lịch sử

Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi [6].

Vào thập kỷ 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.

Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền[7], chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online[8]… (vui long trich nguan khi copy tu day valeking132@yahoo.com.vn)
Các ưu điểm của chữ ký số

Việc sử dụng chữ ký số mang lại một số lợi điểm sau:

Khả năng xác định nguồn gốc

Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản với khóa bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký số thì văn bản cần phải được mã hóa bằng hàm băm (văn bản được “băm” ra thành chuỗi, thường có độ dài cố định và ngắn hơn văn bản) sau đó dùng khóa bí mật của người chủ khóa để mã hóa, khi đó ta được chữ ký số. Khi cần kiểm tra, bên nhận giải mã (với khóa công khai) để lấy lại chuỗi gốc (được sinh ra qua hàm băm ban đầu) và kiểm tra với hàm băm của văn bản nhận được. Nếu 2 giá trị (chuỗi) này khớp nhau thì bên nhận có thể tin tưởng rằng văn bản xuất phát từ người sở hữu khóa bí mật. Tất nhiên là chúng ta không thể đảm bảo 100% là văn bản không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ.

Vấn đề nhận thực đặc biệt quan trọng đối với các giao dịch tài chính. Chẳng hạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới dạng (a,b), trong đó a là số tài khoản và b là số tiền chuyển vào tài khoản đó. Một kẻ lừa đảo có thể gửi một số tiền nào đó để lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần để thu lợi (tấn công truyền lại gói tin).

Tính toàn vẹn

Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập tức bị phát hiện. Quá trình mã hóa sẽ ẩn nội dung của gói tin đối với bên thứ 3 nhưng không ngăn cản được việc thay đổi nội dung của nó. Một ví dụ cho trường hợp này là tấn công đồng hình (homomorphism attack): tiếp tục ví dụ như ở trên, một kẻ lừa đảo gửi 1.000.000 đồng vào tài khoản của a, chặn gói tin (a,b) mà chi nhánh gửi về trung tâm rồi gửi gói tin (a,b3) thay thế để lập tức trở thành triệu phú!Nhưng đó là vấn đề bảo mật của chi nhánh đối với trung tâm ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ người gửi tới chi nhánh, bởi thông tin đã được băm và mã hóa để gửi đến đúng đích của nó tức chi nhánh, vấn đề còn lại vấn đề bảo mật của chi nhánh tới trung tâm của nó

Tính không thể phủ nhận

Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với văn bản. Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng cứ để bên thứ ba giải quyết. Tuy nhiên, khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt được hoàn toàn.
Thực hiện chữ ký số khóa công khai

Chữ ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai. Để có thể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một cặp khóa: một công khai và một bí mật. Khóa công khai được công bố rộng rãi còn khóa bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóa công khai.
Sơ đồ tạo và kiểm tra chữ ký số

Toàn bộ quá trình gồm 3 thuật toán:

* Thuật toán tạo khóa
* Thuật toán tạo chữ ký số
* Thuật toán kiểm tra chữ ký số

Xét ví dụ sau: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó thực sự do chính Bob gửi. Bob gửi cho Alice bản tin kèm với chữ ký số. Chữ ký này được tạo ra với khóa bí mật của Bob. Khi nhận được bản tin, Alice kiểm tra sự thống nhất giữa bản tin và chữ ký bằng thuật toán kiểm tra sử dụng khóa công cộng của Bob. Bản chất của thuật toán tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó (gần như không thể) tạo ra được chữ ký của Bob nếu không biết khóa bí mật của Bob. Nếu phép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực sự do Bob gửi.

Thông thường, Bob không mật mã hóa toàn bộ bản tin với khóa bí mật mà chỉ thực hiện với giá trị băm của bản tin đó. Điều này khiến việc ký trở nên đơn giản hơn và chữ ký ngắn hơn. Tuy nhiên nó cũng làm nảy sinh vấn đề khi 2 bản tin khác nhau lại cho ra cùng một giá trị băm. Đây là điều có thể xảy ra mặc dù xác suất rất thấp.
Một vài thuật toán chữ ký số

* Full Domain Hash, RSA-PSS …, dựa trên RSA
* DSA
* ECDSA
* ElGamal signature scheme
* Undeniable signature
* SHA (thông thường là SHA-1) với RSA

Tình trạng hiện tại – luật pháp và thực tế

Tất cả các mô hình chữ ký số cần phải đạt được một số yêu cầu để có thể được chấp nhận trong thực tế:

* Chất lượng của thuật toán: một số thuật toán không đảm bảo an toàn;
* Chất lượng của phần mềm/phần cứng thực hiện thuật toán;
* Khóa bí mật phải được giữ an toàn;
* Quá trình phân phối khóa công cộng phải đảm bảo mối liên hệ giữa khóa và thực thể sở hữu khóa là chính xác. Việc này thường được thực hiện bởi hạ tầng khóa công cộng (PKI) và mối liên hệ khóa\leftrightarrowngười sở hữu được chứng thực bởi những người điều hành PKI. Đối với hệ thống PKI mở, nơi mà tất cả mọi người đều có thể yêu cầu sự chứng thực trên thì khả năng sai sót là rất thấp. Tuy nhiên các PKI thương mại cũng đã gặp phải nhiều vấn đề có thể dẫn đến những văn bản bị ký sai.
* Những người sử dụng (và phần mềm) phải thực hiện các quá trình đúng thủ tục (giao thức).

Chỉ khi tất cả các điều kiện trên được thỏa mãn thì chữ ký số mới là bằng chứng xác định người chủ (hoặc người có thẩm quyền) của văn bản.

Một số cơ quan lập pháp, dưới sự tác động của các doanh nghiệp hy vọng thu lợi từ PKI hoặc với mong muốn là người đi tiên phong trong lĩnh vực mới, đã ban hành các điều luật cho phép, xác nhận hay khuyến khích việc sử dụng chữ ký số. Nơi đầu tiên thực hiện việc này là bang Utah (Hoa kỳ). Tiếp theo sau là các bang Massachusetts và California. Các nước khác cũng thông qua những đạo luật và quy định và cả Liên hợp quốc cũng có những dự án đưa ra những bộ luật mẫu trong vấn đề này. Tuy nhiên, các quy định này lại thay đổi theo từng nước tùy theo điều kiện về trình độ khoa học (mật mã học). Chính sự khác nhau này làm bối rối những người sử dụng tiềm năng, gây khó khăn cho việc kết nối giữa các quốc gia và do đó làm chậm lại tiến trình phổ biến chữ ký số.

Khía cạnh pháp luật

Một số quy định liên quan tới giá trị pháp lý của chữ ký số:
Trung quốc

* Luật chữ ký điện tử của Trung quốc (tiếng Trung quốc) – Mục tiêu hướng tới thống nhất việc thực hiện, khẳng định tính pháp lý và bảo vệ quyền lợi hợp pháp của các bên liên quan tới việc thực hiện chữ ký điện tử.

Brazil

* Medida provisória 2.200-2 (tiếng Bồ đào nha) – Luật Brazil thừa nhận tính pháp lý của văn bản số nếu được chứng nhận bởi ICP-Brasil (PKI chính thức của Brazil) hoặc một PKI khác nếu các bên đồng ý.

Liên hiệp châu Âu

* EU đã thiết lập khung pháp lý cho chữ ký điện tử:
o Hướng dẫn số 1999/93/EC của Quốc hội châu Âul ngày 13 tháng 12 năm 1999 về khung pháp lý của chữ ký điện tử.
o Quyết định 2003/511/EC sử dụng 3 thỏa thuận tại hội thảo CEN làm tiêu chuẩn kỹ thuật.
* Các luật ban hành: Một số quốc gia đã thực hiện quyết định 1999/93/EC.
o Áo
+ Luật chữ ký, 2000
o Anh, Scotland và Wales
+ Luật thông tin điện tử, 2000
o Đức
+ Luật chữ ký, 2001
o Lithuania
+ Luật chữ ký điện tử, 2002
o Nauy
+ Luật chữ ký điện tử, 2001 (tiếng Nauy).
o Tây ban nha
+ Ley 59/2003, de 19 de diciembre, de firma electrónica (tiếng Tây ban nha).
o Thụy điển
+ Qualified Electronic Signatures Act (SFS 2000:832) (tiếng Thụy điển).
+ SFS 2000:832 bản dịch tiếng Anh

Ấn độ

* Luật Công nghệ thông tin, 2000

New Zealand

* Luật Giao dịch điện tử, 2003 điều 22-24

Luật thương mại quốc tế của Ủy ban Liên hiệp quốc

* UNCITRAL Luật mẫu về chữ ký điện tử (2001), bộ luật có ảnh hưởng lớn.

Hoa kỳ

* Uniform Electronic Transactions Act (UETA)
* Electronic Signatures in Global and National Commerce Act (E-SIGN), at 15 U.S.C. 7001 et seq.

Thụy sỹ

* Luật liên bang về dịch vụ chứng thực liên quan tới chữ ký điện tử, 2003

Uruguay

Luật pháp Uruguay bao gồm cả chữ ký điện tử và chữ ký số:

* Liên quan tới mật khẩu và các hành động tương đương trong công nghệ thông tin
* Liên quan tới chữ ký số, chữ ký điện tử và PKI

Việt Nam

* Luật Giao dịch điện tử[9][10] – có hiệu lực từ ngày 1 tháng 3 năm 2006.

Digital signature

A digital signature or digital signature scheme is a mathematical scheme for demonstrating the authenticity of a digital message or document. A valid digital signature gives a recipient reason to believe that the message was created by a known sender, and that it was not altered in transit. Digital signatures are commonly used for software distribution, financial transactions, and in other cases where it is important to detect forgery or tampering.

Digital signatures are often used to implement electronic signatures, a broader term that refers to any electronic data that carries the intent of a signature,[1] but not all electronic signatures use digital signatures.[2][3][4] In some countries, including the United States, India, and members of the European Union, electronic signatures have legal significance. However, laws concerning electronic signatures do not always make clear whether they are digital cryptographic signatures in the sense used here, leaving the legal definition, and so their importance, somewhat confused.

Digital signatures employ a type of asymmetric cryptography. For messages sent through a nonsecure channel, a properly implemented digital signature gives the receiver reason to believe the message was sent by the claimed sender. Digital signatures are equivalent to traditional handwritten signatures in many respects; properly implemented digital signatures are more difficult to forge than the handwritten type. Digital signature schemes in the sense used here are cryptographically based, and must be implemented properly to be effective. Digital signatures can also provide non-repudiation, meaning that the signer cannot successfully claim they did not sign a message, while also claiming their private key remains secret; further, some non-repudiation schemes offer a time stamp for the digital signature, so that even if the private key is exposed, the signature is valid nonetheless. Digitally signed messages may be anything representable as a bitstring: examples include electronic mail, contracts, or a message sent via some other cryptographic protocol.

Definition
A digital signature scheme typically consists of three algorithms:

* A key generation algorithm that selects a private key uniformly at random from a set of possible private keys. The algorithm outputs the private key and a corresponding public key.
* A signing algorithm that, given a message and a private key, produces a signature.
* A signature verifying algorithm that, given a message, public key and a signature, either accepts or rejects the message’s claim to authenticity.

Two main properties are required. First, a signature generated from a fixed message and fixed private key should verify the authenticity of that message by using the corresponding public key. Secondly, it should be computationally infeasible to generate a valid signature for a party who does not possess the private key.
History
In 1976, Whitfield Diffie and Martin Hellman first described the notion of a digital signature scheme, although they only conjectured that such schemes existed.[5][6] Soon afterwards, Ronald Rivest, Adi Shamir, and Len Adleman invented the RSA algorithm, which could be used to produce primitive digital signatures (although only as a proof-of-concept—”plain” RSA signatures are not secure).[7] The first widely marketed software package to offer digital signature was Lotus Notes 1.0, released in 1989, which used the RSA algorithm.[citation needed]

To create RSA signature keys, generate an RSA key pair containing a modulus N that is the product of two large primes, along with integers e and d such that e d ≡ 1 (mod φ(N)), where φ is the Euler phi-function. The signer’s public key consists of N and e, and the signer’s secret key contains d.

To sign a message m, the signer computes σ ≡ md (mod N). To verify, the receiver checks that σe ≡ m (mod N).

As noted earlier, this basic scheme is not very secure. To prevent attacks, one can first apply a cryptographic hash function to the message m and then apply the RSA algorithm described above to the result. This approach can be proven secure in the so-called random oracle model[clarification needed].

Other digital signature schemes were soon developed after RSA, the earliest being Lamport signatures,[8] Merkle signatures (also known as “Merkle trees” or simply “Hash trees”),[9] and Rabin signatures.[10]

In 1988, Shafi Goldwasser, Silvio Micali, and Ronald Rivest became the first to rigorously define the security requirements of digital signature schemes.[11] They described a hierarchy of attack models for signature schemes, and also present the GMR signature scheme, the first that can be proven to prevent even an existential forgery against a chosen message attack.[11]

Most early signature schemes were of a similar type: they involve the use of a trapdoor permutation, such as the RSA function, or in the case of the Rabin signature scheme, computing square modulo composite n. A trapdoor permutation family is a family of permutations, specified by a parameter, that is easy to compute in the forward direction, but is difficult to compute in the reverse direction without already knowing the private key. However, for every parameter there is a “trapdoor” (private key) which when known, easily decrypts the message. Trapdoor permutations can be viewed as public-key encryption systems, where the parameter is the public key and the trapdoor is the secret key, and where encrypting corresponds to computing the forward direction of the permutation, while decrypting corresponds to the reverse direction. Trapdoor permutations can also be viewed as digital signature schemes, where computing the reverse direction with the secret key is thought of as signing, and computing the forward direction is done to verify signatures. Because of this correspondence, digital signatures are often described as based on public-key cryptosystems, where signing is equivalent to decryption and verification is equivalent to encryption, but this is not the only way digital signatures are computed.

Used directly, this type of signature scheme is vulnerable to a key-only existential forgery attack. To create a forgery, the attacker picks a random signature σ and uses the verification procedure to determine the message m corresponding to that signature.[12] In practice, however, this type of signature is not used directly, but rather, the message to be signed is first hashed to produce a short digest that is then signed. This forgery attack, then, only produces the hash function output that corresponds to σ, but not a message that leads to that value, which does not lead to an attack. In the random oracle model, this hash-and-decrypt form of signature is existentially unforgeable, even against a chosen-message attack.[6][clarification needed]

There are several reasons to sign such a hash (or message digest) instead of the whole document.

* For efficiency: The signature will be much shorter and thus save time since hashing is generally much faster than signing in practice.
* For compatibility: Messages are typically bit strings, but some signature schemes operate on other domains (such as, in the case of RSA, numbers modulo a composite number N). A hash function can be used to convert an arbitrary input into the proper format.
* For integrity: Without the hash function, the text “to be signed” may have to be split (separated) in blocks small enough for the signature scheme to act on them directly. However, the receiver of the signed blocks is not able to recognize if all the blocks are present and in the appropriate order.
Notions of security
In their foundational paper, Goldwasser, Micali, and Rivest lay out a hierarchy of attack models against digital signatures[11]:

1. In a key-only attack, the attacker is only given the public verification key.
2. In a known message attack, the attacker is given valid signatures for a variety of messages known by the attacker but not chosen by the attacker.
3. In an adaptive chosen message attack, the attacker first learns signatures on arbitrary messages of the attacker’s choice.

They also describe a hierarchy of attack results[11]:

1. A total break results in the recovery of the signing key.
2. A universal forgery attack results in the ability to forge signatures for any message.
3. A selective forgery attack results in a signature on a message of the adversary’s choice.
4. An existential forgery merely results in some valid message/signature pair not already known to the adversary.

The strongest notion of security, therefore, is security against existential forgery under an adaptive chosen message attack.
Uses of digital signatures
As organizations move away from paper documents with ink signatures or authenticity stamps, digital signatures can provide added assurances of the evidence to provenance, identity, and status of an electronic document as well as acknowledging informed consent and approval by a signatory. The United States Government Printing Office (GPO) publishes electronic versions of the budget, public and private laws, and congressional bills with digital signatures. Universities including Penn State, University of Chicago, and Stanford are publishing electronic student transcripts with digital signatures.

Below are some common reasons for applying a digital signature to communications:
Authentication

Although messages may often include information about the entity sending a message, that information may not be accurate. Digital signatures can be used to authenticate the source of messages. When ownership of a digital signature secret key is bound to a specific user, a valid signature shows that the message was sent by that user. The importance of high confidence in sender authenticity is especially obvious in a financial context. For example, suppose a bank’s branch office sends instructions to the central office requesting a change in the balance of an account. If the central office is not convinced that such a message is truly sent from an authorized source, acting on such a request could be a grave mistake.
Integrity

In many scenarios, the sender and receiver of a message may have a need for confidence that the message has not been altered during transmission. Although encryption hides the contents of a message, it may be possible to change an encrypted message without understanding it. (Some encryption algorithms, known as nonmalleable ones, prevent this, but others do not.) However, if a message is digitally signed, any change in the message after signature will invalidate the signature. Furthermore, there is no efficient way to modify a message and its signature to produce a new message with a valid signature, because this is still considered to be computationally infeasible by most cryptographic hash functions (see collision resistance).
Non-repudiation

Non-repudiation, or more specifically non-repudiation of origin, is an important aspect of digital signatures. By this property an entity that has signed some information cannot at a later time deny having signed it. Similarly, access to the public key only does not enable a fraudulent party to fake a valid signature. This is in contrast to symmetric systems, where both sender and receiver share the same secret key, and thus in a dispute a third party cannot determine which entity was the true source of the information.
Additional security precautions

Putting the private key on a smart card

All public key / private key cryptosystems depend entirely on keeping the private key secret. A private key can be stored on a user’s computer, and protected by a local password, but this has two disadvantages:

* the user can only sign documents on that particular computer
* the security of the private key depends entirely on the security of the computer

A more secure alternative is to store the private key on a smart card. Many smart cards are designed to be tamper-resistant (although some designs have been broken, notably by Ross Anderson and his students). In a typical digital signature implementation, the hash calculated from the document is sent to the smart card, whose CPU encrypts the hash using the stored private key of the user, and then returns the encrypted hash. Typically, a user must activate his smart card by entering a personal identification number or PIN code (thus providing two-factor authentication). It can be arranged that the private key never leaves the smart card, although this is not always implemented. If the smart card is stolen, the thief will still need the PIN code to generate a digital signature. This reduces the security of the scheme to that of the PIN system, although it still requires an attacker to possess the card. A mitigating factor is that private keys, if generated and stored on smart cards, are usually regarded as difficult to copy, and are assumed to exist in exactly one copy. Thus, the loss of the smart card may be detected by the owner and the corresponding certificate can be immediately revoked. Private keys that are protected by software only may be easier to copy, and such compromises are far more difficult to detect.
Using smart card readers with a separate keyboard

Entering a PIN code to activate the smart card commonly requires a numeric keypad. Some card readers have their own numeric keypad. This is safer than using a card reader integrated into a PC, and then entering the PIN using that computer’s keyboard. Readers with a numeric keypad are meant to circumvent the eavesdropping threat where the computer might be running a keystroke logger, potentially compromising the PIN code. Specialized card readers are also less vulnerable to tampering with their software or hardware and are often EAL3 certified.
Other smart card designs

Smart card design is an active field, and there are smart card schemes which are intended to avoid these particular problems, though so far with little security proofs.
Using digital signatures only with trusted applications

One of the main differences between a digital signature and a written signature is that the user does not “see” what he signs. The user application presents a hash code to be encrypted by the digital signing algorithm using the private key. An attacker who gains control of the user’s PC can possibly replace the user application with a foreign substitute, in effect replacing the user’s own communications with those of the attacker. This could allow a malicious application to trick a user into signing any document by displaying the user’s original on-screen, but presenting the attacker’s own documents to the signing application.

To protect against this scenario, an authentication system can be set up between the user’s application (word processor, email client, etc.) and the signing application. The general idea is to provide some means for both the user app and signing app to verify each other’s integrity. For example, the signing application may require all requests to come from digitally-signed binaries.

WYSIWYS
Main article: WYSIWYS

Technically speaking, a digital signature applies to a string of bits, whereas humans and applications “believe” that they sign the semantic interpretation of those bits. In order to be semantically interpreted the bit string must be transformed into a form that is meaningful for humans and applications, and this is done through a combination of hardware and software based processes on a computer system. The problem is that the semantic interpretation of bits can change as a function of the processes used to transform the bits into semantic content. It is relatively easy to change the interpretation of a digital document by implementing changes on the computer system where the document is being processed. From a semantic perspective this creates uncertainty about what exactly has been signed. WYSIWYS (What You See Is What You Sign) [13] means that the semantic interpretation of a signed message cannot be changed. In particular this also means that a message cannot contain hidden info that the signer is unaware of, and that can be revealed after the signature has been applied. WYSIWYS is a desirable property of digital signatures that is difficult to guarantee because of the increasing complexity of modern computer systems.
Digital signatures vs. ink on paper signatures

An ink signature can be easily replicated from one document to another by copying the image manually or digitally. Digital signatures cryptographically bind an electronic identity to an electronic document and the digital signature cannot be copied to another document. Paper contracts often have the ink signature block on the last page, and the previous pages may be replaced after a signature is applied. Digital signatures can be applied to an entire document, such that the digital signature on the last page will indicate tampering if any data on any of the pages have been altered.
Some digital signature algorithms

* RSA-based signature schemes, such as RSA-PSS
* DSA and its elliptic curve variant ECDSA
* ElGamal signature scheme as the predecessor to DSA, and variants Schnorr signature and Pointcheval-Stern signature algorithm
* Rabin signature algorithm
* Pairing-based schemes such as BLS
* Undeniable signatures
* Aggregate signature – a signature scheme that supports aggregation: Given n signatures on n messages from n users, it is possible to aggregate all these signatures into a single signature whose size is constant in the number of users. This single signature will convince the verifier that the n users did indeed sign the n original messages.
The current state of use — legal and practical
Digital signature schemes share basic prerequisites that— regardless of cryptographic theory or legal provision— they need to have meaning:

1.  Quality algorithms
Some public-key algorithms are known to be insecure, practicable attacks against them having been discovered.

2.Quality implementations
An implementation of a good algorithm (or protocol) with mistake(s) will not work.

3.  The private key must remain private
if it becomes known to any other party, that party can produce perfect digital signatures of anything whatsoever.

4.  The public key owner must be verifiable
A public key associated with Bob actually came from Bob. This is commonly done using a public key infrastructure and the public key\leftrightarrowuser association is attested by the operator of the PKI (called a certificate authority). For ‘open’ PKIs in which anyone can request such an attestation (universally embodied in a cryptographically protected identity certificate), the possibility of mistaken attestation is non trivial. Commercial PKI operators have suffered several publicly known problems. Such mistakes could lead to falsely signed, and thus wrongly attributed, documents. ‘closed’ PKI systems are more expensive, but less easily subverted in this way.

5. Users (and their software) must carry out the signature protocol properly.

Only if all of these conditions are met will a digital signature actually be any evidence of who sent the message, and therefore of their assent to its contents. Legal enactment cannot change this reality of the existing engineering possibilities, though some such have not reflected this actuality.

Legislatures, being importuned by businesses expecting to profit from operating a PKI, or by the technological avant-garde advocating new solutions to old problems, have enacted statutes and/or regulations in many jurisdictions authorizing, endorsing, encouraging, or permitting digital signatures and providing for (or limiting) their legal effect. The first appears to have been in Utah in the United States, followed closely by the states Massachusetts and California. Other countries have also passed statutes or issued regulations in this area as well and the UN has had an active model law project for some time. These enactments (or proposed enactments) vary from place to place, have typically embodied expectations at variance (optimistically or pessimistically) with the state of the underlying cryptographic engineering, and have had the net effect of confusing potential users and specifiers, nearly all of whom are not cryptographically knowledgeable. Adoption of technical standards for digital signatures have lagged behind much of the legislation, delaying a more or less unified engineering position on interoperability, algorithm choice, key lengths, and so on what the engineering is attempting to provide.

Industry standards

Some industries have established common interoperabiltity standards for the use of digital signatures between members of the industry and with regulators. These include the Automotive Network Exchange for the automobile industry and the SAFE-BioPharma Association for the healthcare industry.
Using separate key pairs for signing and encryption

In several countries, a digital signature has a status somewhat like that of a traditional pen and paper signature, like in the EU digital signature legislation. Generally, these provisions mean that anything digitally signed legally binds the signer of the document to the terms therein. For that reason, it is often thought best to use separate key pairs for encrypting and signing. Using the encryption key pair, a person can engage in an encrypted conversation (e.g., regarding a real estate transaction), but the encryption does not legally sign every message he sends. Only when both parties come to an agreement do they sign a contract with their signing keys, and only then are they legally bound by the terms of a specific document. After signing, the document can be sent over the encrypted link. If a signing key is lost or compromised, it can be revoked to mitigate any future transactions. If an encryption key is lost, a backup or key escrow should be utilized to continue viewing encrypted content. Signing keys should never be backed up or escrowed.

Theo Wiki

Tư vấn công nghệ