Thứ Bảy, 6 tháng 10, 2007

GIAO DỊCH ĐIỆN TỬ


Sự phát triển vô cùng mạnh mẽ của công nghệ thông tin để làm biến đổi sâu sắc nhiều hoạt động của thế giới. Những thay đổi diễn ra trong các giao dịch là dễ thấy nhất vì nó động chạm đến từng cá nhân. Giao dịch điện tử, giao dịch trên mạng để và đang mang lại những lợi ích to lớn cho xã hội. Tuy nhiên, do tốc độ phát triển “tên lửa” của công nghệ thông tin và tính kỹ thuật cao của nó nên các rủi ro cho đối tượng tham gia giao dịch là một khả năng thường trực.
Trong giao dịch truyền thống, hình thức văn bản được ghi (viết) trên giấy là hình thức chủ yếu và được sử dụng rộng rãi từ lâu, trở thành phổ biến đến mức đương nhiên. Các văn bản này, ngoài nội dung còn có chữ ký xác nhận (hoặc điểm chỉ) của người cam kết chịu trách nhiệm về nội dung của văn bản. Ngoài ra, các công đoạn tiếp sau: bao gói, chuyển phát, đối chiếu khi cần thiết đều dễ hiểu, dễ kiểm soát đối với người lập văn bản. Về mặt quản lý, kỹ thuật xác định chữ ký của người lập văn bản cũng để phát triển đến mức không khó khăn khi xác nhận chữ ký thật so với chữ ký giả mạo. Để giao dịch điện tử được chấp nhận rộng rãi và phát triển sâu rộng, cần có hình thức đáp ứng các đặc trưng của chữ ký tay và bảo toàn được thông tin khi truyền đi trên các phương tiện điện tử. Do đó, yêu cầu đặt ra là phải có kỹ thuật, công nghệ đảm bảo không chỉ xác nhận tác giả mà còn phải xác minh được tính toàn vẹn của thông tin chứa trong văn bản giao dịch được truyền đi bởi các phương tiện điện tử.

Trên thế giới để có nhiều công trình nghiên cứu được ứng dụng rộng rãi nhằm nhận dạng và chứng thực cá nhân trong giao dịch điện tử. Giải pháp phổ biến, được công nhận và áp dụng rộng rãi là chữ ký kỹ thuật số (Digital Signatures) hay còn gọi là chữ ký điện tử.

Chữ ký điện tử là gì?
Thông thường, để chuyển thông điệp từ người gửi đến người nhận được bí mật, không bị sửa chữa trên đường đến tay người nhận, phải mã hoá chúng theo một nguyên tắc nào đó trước khi gửi đi, nguyên tắc này gọi là khoá mã (tiếng Anh là Key). Người nhận muốn hiểu được thông điệp phải sử dụng khoá mã đó để giải mã. Việc mã hoá và giải mã thông điệp dùng một chìa khoá rất dễ dẫn đến tình trạng chìa khoá đó bị người thứ ba chiếm đoạt. Người có chìa khoá mã có thể xem và sửa đổi nội dung thông điệp, như vậy sẽ làm mất tính nguyên trạng và bảo mật của thông tin.

Vấn đề đặt ra là làm sao đảm bảo thông điệp truyền đi bằng các phương tiện điện tử giữ được bí mật, nội dung không bị thay đổi trên đường truyền, người nhận thông điệp nhận đúng được người gửi và người gửi không chối bỏ được trách nhiệm để “ký” và gửi thông điệp của mình.

Giải quyết vấn đề nêu trên, trong truyền nhận các thông điệp điện tử, người ta sử dụng một chương trình phần mềm mã hoá các thông điệp có 2 khoá mã: Khoá mã công cộng (Public Key) và mã khoá riêng của người gửi thông điệp (Private Key hay còn gọi là Secret Key). Trong đó, mã khoá công cộng có thể được công khai cho những ai cần chia sẻ thông tin. Còn mã khoá riêng là bí mật của người “ký” gửi thông điệp đi. Hai khóa mã này có liên quan mật thiết đến nhau: Khi người gửi thông điệp dùng mã khoá riêng để mã hoá thông điệp thì trong thông điệp sẽ có một “chữ ký”. Người nhận dùng mã khoá công cộng cùng cặp để nhận dạng “chữ ký”, qua đó xác minh: người gửi thông điệp là ai; nội dung thông điệp có được bảo toàn nguyên trạng trong quá trình truyền trên mạng hay không. Về nguyên tắc, không thể dùng mã khoá công cộng để tìm ra mã khoá riêng.

Có thể hiểu “chữ ký điện tử” là sự kết hợp giữa khoá mã riêng và dữ liệu cần mã hoá bằng công nghệ số. Ở đây, cũng cần lưu ý bạn đọc là độ dài (đo bằng đơn vị thông tin) của khoá mã càng lớn thì khả năng bảo mật của thông tin để được mã hoá càng cao nhưng cũng vì thế mà nó cũng tỷ lệ thuận với thời gian cần phải bỏ ra để mã hoá và giải mã. Hiện nay, độ dài của mã khoá điện tử thường được thiết kế có độ dài từ 95 - 265 byte.

Như trên để trình bày, mỗi người tham gia giao dịch điện tử cần phải có đồng thời một cặp khoá mã (Public Key và Secret Key). Một câu hỏi được đặt ra: Ai là người cung cấp cặp khoá mã ấy? Và dịch vụ chứng thực điện tử để xuất hiện.

Chứng thực điện tử là gì?
“Chứng thực điện tử” hay “chứng thực số” (Digital Certificate) là dịch vụ do những nhà cung cấp chứng chỉ số (Certification Authorities - CA) thực hiện, cung cấp cho khách hàng công cụ và kiến thức cần thiết (tên truy cập, mật khẩu, địa chỉ kết nối, khoá mã...) nhằm bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin trong giao dịch qua mạng. Chứng thực điện tử dựa trên cơ sở hạ tầng khoá công khai (Public Key Infrastructure) với nền tảng là mật mã khoá công khai và chữ ký số. Nhà cung cấp dịch vụ chứng thực đảm bảo:
- Chứng thực danh tính của những người tham gia giao dịch: Chỉ có chủ sở hữu của chứng chỉ số mới có thể ký chữ ký điện tử và gửi thông điệp đi. Và người nhận thông điệp tin tưởng thông điệp đúng là của người chủ hợp pháp gửi đến.
- Bảo mật được thông tin: Thông điệp được mã hoá trước khi chuyển đi.
- Đảm bảo tính toàn vẹn của dữ liệu khi đến người nhận: Thông tin để được mã hoá sẽ không bị sửa đổi trên đường truyền.
Dịch vụ chứng thực điện tử để và đang phát triển thành dịch vụ toàn cầu. Một số nhà cung cấp nổi tiếng trên thế giới như Verysign, WSIeKey, eTrust... Để có một số Công ty và tổ chức của Việt Nam thử nghiệm và cung cấp dịch vụ chứng thực điện tử như Công ty phần mềm và truyền thông (VASC), Công ty điện toán và truyền số liệu (VDC), Trung tâm tin học - Bộ Khoa học và Công nghệ, Ban Cơ yếu Chính phủ.

Giao dịch điện tử có an toàn không?
Tuy rằng trên ý thuyết, việc tấn công vào hệ thống truyền nhận tin để được mã hoá trên mạng là không thể, nhưng thực ra mọi hệ thống điện tử chỉ có độ an toàn tương đối. Thiệt hại do các vụ tấn công gây ra là không đáng kể so với lợi ích do giao dịch điện tử mang lại. Hơn nữa, phần lớn các cuộc tấn công đều do sự mất cảnh giác, không cẩn thận của người sử dụng hệ thống. Ví dụ như việc để lộ Password hoặc đặt Password không đủ khó khiến cho khoá mã bí mật bị phá; hoặc để máy tính cá nhân bị dính virus, Trojan (thuật ngữ chỉ Chương trình máy tính xuất hiện để thực hiện một chức năng có ích, nhưng đồng thời có chứa các mã hoặc các lệnh ẩn, gây hỏng đối với hệ máy đang chạy nó. Thuật ngữ này được đặt theo điển tích Hy lạp về Con ngựa thành Troa (Trojan Horse): Theo thần thoại Hy Lạp, quân Hy Lạp muốn chiếm thành Troa để dùng mưu chứa quân vào bụng một con ngựa gỗ để đưa vào thành. Đêm đến quân trong bụng ngựa chui ra mở cửa thành, đốt lửa làm ám hiệu cho đại quân tấn công hạ được thành. Trojan máy tính đầu tiên xuất hiện năm 1989, ngụy trang dưới những thông tin về bệnh AIDS), Keylogger (chương trình lấy cắp khoá mã, mật khẩu...).

Vì vậy, để có an toàn tuyệt đối về mặt kỹ thuật trong giao dịch điện tử, ngoài trách nhiệm của nhà cung cấp dịch vụ chứng thực, người tham gia giao dịch phải luôn luôn có ý thức thực hiện nghiêm túc các chính sách, nội quy về bảo mật, về an toàn cho hệ thống.

Khía cạnh pháp lý của giao dịch điện tử
Vấn đề an toàn cho giao dịch thông qua mạng được khẳng định về mặt kỹ thuật nếu được tuân thủ nghiêm ngặt các quy trình, quy định về bảo mật. Tuy nhiên, trong giao dịch luôn luôn phát sinh các tranh chấp, để giải quyết các tranh chấp đó cần phải có các quy định pháp luật điều chỉnh. Chỉ khi có khung pháp lý chặt chẽ, đảm bảo phân định rõ quyền và nghĩa vụ của các bên có liên quan thì giao dịch điện tử mới có thể phát triển mạnh mẽ, rộng khắp.

Trước hết, phải xác định giá trị pháp lý của văn bản điện tử. Một văn bản điện tử đảm bảo các thành tố: khẳng định người ký, đảm bảo toàn vẹn của nội dung thông tin phải được coi như có giá trị như văn bản trên giấy truyền thống.

Thứ hai, cần quy định rõ trách nhiệm của các đối tượng tham gia giao dịch điện tử (kể cả nhà cung cấp chứng thực số) trong việc cung cấp, nhận, xử lý thông tin, bảo đảm an toàn hệ thống...

Thứ ba, phải thay đổi quy trình của từng giao dịch cụ thể theo mức độ phổ biến, và hành lang pháp lý của giao dịch điện tử trong xã hội. Ví dụ: Trong một số giao dịch, theo cách truyền thống, ngoài khai báo, bên có yêu cầu phải nộp bản photocopy và xuất trình văn bản gốc cho người xử lý. Khi giao dịch điện tử chưa phát triển như ở nước ta hiện nay thì việc khai thác các cơ sở dữ liệu điện tử có liên quan để đối chiếu, xác minh ngay là chưa thực hiện được vì chưa có hoặc không được phổ biến trên mạng (ví dụ như giấy phép xuất nhập khẩu, vận đơn…). Do đó, phải có quy định về giới hạn giao dịch và trách nhiệm lưu giữ bản gốc.

Thứ tư, phải có chế tài xử lý nghiêm khắc các vi phạm.

Giao dịch điện tử trên thế giới và ở Việt Nam
Trên thế giới, nhiều nước để ban hành các đạo luật công nhận giá trị pháp lý của chữ ký điện tử, tạo hành lang pháp lý cho giao dịch điện tử phát triển. Điểm qua một số nước trong khu vực và trên thế giới:
- Năm 1997 Malaysia ban hành Luật Chữ ký số;
- Năm 1998 Singapore ban hành Luật Giao dịch điện tử;
- Năm 1999 Hàn Quốc ban hành Luật Chữ ký điện tử, Luật này được sửa đổi năm 2001;
- Năm 2000 hàng loạt các nước và vùng lãnh thổ ban hành Luật về giao dịch điện tử như: Mỹ, Nhật Bản, Philippin, Thái Lan, Brunei, Ấn Độ, Hồng Kông;
- Năm 2001 Liên minh Châu Âu chính thức chấp nhận giá trị pháp lý của chữ ký điện tử;
- Năm 2004 Trung Quốc thông qua Luật Chữ ký điện tử.

Các cơ quan chức năng của Việt Nam đang tích cực soạn thảo các văn bản pháp quy điều chỉnh các mối quan hệ trong giao dịch điện tử như: Luật Giao dịch điện tử, Pháp lệnh Thương mại điện tử, Nghị định về chữ ký số và chứng thực điện tử. Tuy nhiên, do chưa có kinh nghiệm nên các dự án Luật nêu trên cần nhiều thời gian nghiên cứu.

Để sớm sử dụng những tiện ích mà giao dịch điện tử mang lại, không chờ đến khi xây dựng được hệ thống pháp luật về giao dịch điện tử, ngày 21/3/2002 Thủ tướng Chính phủ ban hành Quyết định số 44/2002/QĐ-TTg về việc sử dụng chứng từ điện tử làm chứng từ kế toán để hạch toán và thanh toán vốn của các Tổ chức cung ứng dịch vụ thanh toán. Điều 2 của Quyết định này quy định:
“Chứng từ điện tử là chứng từ kế toán mà các yếu tố của nó được thể hiện dưới dạng dữ liệu điện tử để được mã hoá mà không có sự thay đổi trong quá trình truyền qua mạng máy tính hoặc trên vật mang thông tin như băng từ, đĩa từ, các loại thẻ thanh toán.

Chứng từ điện tử phải có đủ các yếu tố quy định cho chứng từ kế toán, đảm bảo tính pháp lý của chứng từ kế toán và phải được mã hoá bảo đảm an toàn trong quá trình xử lý truyền tin và lưu trữ; riêng yếu tố chữ ký phải được mã hoá bằng khoá mật mã - được gọi là chữ ký điện tử. Chữ ký điện tử được xác lập riêng cho từng cá nhân để xác định quyền hạn và trách nhiệm của người lập và những người liên quan chịu trách nhiệm về tính an toàn và chính xác của chứng từ điện tử. Chữ ký trên chứng từ điện tử có giá trị như chữ ký tay trên chứng từ giấy”.

Có thể nói, đây là văn bản pháp lý cao nhất quy định về chữ ký điện tử đang được áp dụng tại Việt Nam. Căn cứ vào Quyết định của Thủ tướng Chính phủ, Thống đốc Ngân hàng Nhà nước Việt Nam để ban hành quy định về xây dựng, cấp phát, quản lý và sử dụng chữ ký điện tử trong hệ thống thanh toán điện tử liên ngân hàng.

Nhiều ngành khác của nước ta đang nỗ lực nghiên cứu, làm thí điểm, từng bước thay các giao dịch truyền thống bằng giao dịch điện tử trong phạm vi chức năng, quyền hạn của mình trước khi có một bộ luật bao quát cho mọi đối tượng tham gia giao dịch điện tử. Ngành Hải quan cũng đang cố gắng để có thể thực hiện thông quan điện tử cho hàng hoá xuất nhập khẩu của một số doanh nghiệp được chọn lọc làm thủ tục tại Cục Hải quan thành phố Hồ Chí Minh và Cục Hải quan thành phố Hải Phòng.

Y Vân_Viện NCHQ

Không có nhận xét nào:

Đăng nhận xét

Bài đăng phổ biến