Chữ ký số và chứng thực: chặt hay buông?

  •  
  • 231

Nghị định về chữ ký số và chứng thực chữ ký số sẽ chi tiết tới mức có thể để khi ban hành có thể triển khai ngay, hạn chế tới mức thấp nhất việc ban hành thêm các văn bản hướng dẫn. Cơ quan soạn thảo đã giải quyết được nhiều vướng mắc, nhưng còn một số nội dung chưa thống nhất.

Không cần con dấu ảo

Cuối tháng 8/2006, Bộ BCVT đã lấy ý kiến lần cuối cùng về dự thảo nghị định nói trên để chuẩn bị trình Chính Phủ. Đối với chữ ký số (CKS), Bộ đề xuất: người có thẩm quyền trong cơ quan, tổ chức (CQ, TC) được cấp CKS tương đương với chức vụ và khi giao dịch chỉ cần ký một lần mà không cần “đóng dấu” (CQ, TC ký lần 2). Có nghĩa là, chữ ký này tương đương với chữ ký tay cộng với con dấu của tổ chức. Hiện nay, các nước như Nhật Bản, Hàn Quốc cũng làm như vậy. Về mặt công nghệ, các chuyên gia đều xác nhận ký một lần là an toàn, vì CKS đã được bảo đảm bởi các tổ chức cung cấp dịch vụ chứng thực chữ ký số (CA - Certification Authority). 

Hình minh hoạ của Wikipedia.org về quy trình tạo và xác thực chữ ký số

Mặc dù đồng ý với phương án ký một lần, nhưng không ít người còn băn khoăn. Ông Lê Mạnh Hùng, phó giám đốc Cục CNTT Ngân Hàng Nhà Nước Việt Nam đặt câu hỏi: Trong trường hợp một người kiêm nhiệm nhiều vị trí hoặc được ủy quyền thì làm thế nào? Bản thân người đó khi giao dịch cá nhân thì có dùng chữ ký riêng của họ không? Nếu không giải quyết được vấn đề này thì một người có thể có đến 3-4 CKS. Ông Vũ Hoàng Liên, giám đốc công ty VDC thắc mắc: “Ký 1 lần, khi có chuyện gì xảy ra thì cá nhân chịu trách nhiệm hay cơ quan chịu trách nhiệm?”. Riêng ông Lê Mạnh Hà, giám đốc Sở BCVT TP.HCM không đồng ý với phương án ký một lần. Ông nói: “Xét về quan điểm quản lý thì ký 2 lần chặt chẽ hơn, vì đó là văn bản chính thức của tổ chức, không phải văn bản của cá nhân, và vấn đề không phải chỉ là xác thực chữ ký. Ký 2 lần cũng phù hợp quy định về quản lý con dấu của Nhà Nước”.

Tuy nhiên, theo bà Lê Thị Ngọc Mơ, phó vụ trưởng vụ Viễn Thông (Bộ BCVT), tổ trưởng tổ soạn thảo, người có thẩm quyền ký với chức vụ nào thì trong văn bản sẽ có thông tin về chức vụ đó, Như vậy, người ký đã đại diện cho CQ, TC, và văn bản đó là văn bản của CQ, TC đó. Trong trường hợp những người này ký với tư cách cá nhân thì dùng CKS khác.

Thúc đẩy cạnh tranh nhưng phải quản chặt

Về tổ chức cung cấp dịch vụ chứng thực chữ ký số (CA), dự thảo đề xuất xây dựng một CA chung cho quốc gia (Root CA), bên dưới là các CA nhánh, được chia làm 2 loại: CA công cộng (dùng để giao dịch với các tổ chức, cá nhân trong xã hội, kinh doanh) và CA dùng riêng hay chuyên dùng (để giao dịch giữa các thành viên của một cơ quan, tổ chức; giữa hai hay nhiều đơn vị liên kết với nhau thông qua điều lệ hoặc quy phạm pháp luật; phục vụ giao dịch nội bộ cơ quan, tổ chức và phi lợi nhuận).

Muốn được cung cấp dịch vụ CA công cộng, đối tượng phải là DN (để thúc đẩy cạnh tranh), có giấy phép và giấy chứng thư số do CA quốc gia cấp, phải tuân thủ các điều kiện về nhân sự, tài chính, kỹ thuật, an toàn an ninh… Đặc biệt, DN phải có vốn pháp định khoảng 40 tỉ đồng và ký quỹ 5 tỉ đồng hoặc bảo hiểm nếu có. Theo nhóm soạn thảo, quy định vốn như vậy nhằm bảo đảm sự an toàn cho khách hàng, đặc biệt khi DN bị giải thể (phải tiếp tục duy trì nghĩa vụ sau khi giải thể).

Nội dung này của dự thảo gây nhiều phản ứng. Nhiều người không rõ con số 40 tỉ dựa trên cơ sở gì và tại sao phải cao như vậy (hạn chế nhiều DN tham gia). Trong khi đó, vốn pháp định của các ngân hàng cũng chỉ ở mức 10-20 tỉ đồng. Theo lý giải của ông Vũ Đức Đam, Thứ Trưởng Bộ BCVT, nếu kinh doanh được, duy trì dịch vụ được lâu dài và ổn định thì CA phải rất chuyên nghiệp và rất lớn. Nếu không, CA sẽ không tạo được sự tin tưởng của khách hàng và có thể bị CA hoặc khách hàng nước ngoài chỉ ra hàng loạt bất cập, vô lý. Ngoài ra, có những quy chuẩn về bảo mật không chỉ về mật mã, như địa điểm, sự canh gác, chống bom, đạn, động đất… Vì thế các CA cần có vốn pháp định cao. Một chuyên gia khác cũng cho rằng, mức độ sử dụng CA ở Việt Nam sẽ từ từ chứ không ào ạt, cho nên chỉ cần một số CA tốt là có thể đáp ứng. Theo bà Lê Thị Ngọc Mơ, tổ trưởng tổ biên tập dự thảo, ngay cả Hàn Quốc - nước có công nghệ khá phát triển - cũng chỉ có chừng 6-7 CA, nên Việt Nam cũng không cần dùng nhiều.

Đối với các CA dùng riêng, vấn đề đặt ra là có nên quản lý không, quản lý như thế nào, hay để tự do phát triển? Thuật ngữ CA dùng riêng hay chuyên dùng cũng gây ra nhiều tranh cãi. Trong Luật GDĐT chỉ nêu 2 loại CA là “công cộng” và “chuyên dùng”. Dự thảo NĐ lần trước chia chuyên dùng thành 2 loại, “chuyên dùng đặc biệt” và “chuyên dùng phổ thông”. Dự thảo lần này lại gộp 2 loại làm 1 khiến một số điều trong NĐ không được rõ ràng. Có ý kiến cho rằng, 2 loại này CA chỉ giống nhau ở chỗ không liên quan đến các hoạt động kinh tế và sinh lợi, còn về quy trình, công việc, tổ chức… lại rất khác nhau.

Vì thế, nhiều người cho rằng CA cần phân biệt làm 2 loại, gồm loại chuyên dùng (trong các cơ quan Đảng, Chính Phủ, quân đội, an ninh và một số ngành đặc biệt như tài chính, ngân hàng) và loại dùng riêng (trong các công ty, trường học, tổ chức khác). Theo Bộ BCVT, các cơ quan, tổ chức như Đảng, Chính Phủ, an ninh, quốc phòng sẽ có CA riêng, không phải đăng ký với Bộ BCVT, không phải là đối tượng của dự thảo này.

Về các CA còn lại, nhất là CA dùng riêng (phổ thông), có ý kiến cho rằng đó chỉ là những CA mang tính nội bộ, và các CQ, TC sử dụng phải tự chịu trách nhiệm, không cần Nhà Nước quản lý. Ngược lại, một số người, trong đó có các đại diện của Bộ BCVT thấy không nên khuyến khích vì e chỗ nào cũng phát triển thì sẽ dẫn đến khó khăn cho công tác quản lý, sinh ra những “mảng tối” mà cơ quan quản lý không nắm bắt được. Vì thế, dự thảo đề nghị đối với các CA chuyên dùng/dùng riêng, CQ, TC, DN nào muốn sử dụng phải đăng ký bằng cách thông báo với Bộ BCVT.

Tiêu chuẩn cho CA quốc gia cũng là một vấn đề đang được bàn cãi. Hiện nay, Bộ BCVT chưa đưa ra được bộ tiêu chuẩn chi tiết cho CA. Theo ông Hoàng Quốc Khánh, giám đốc kỹ thuật của công ty NacenComm, không thể tránh được việc xây dựng tiêu chuẩn. Các DN muốn cung cấp CA thì phải dựa vào tiêu chuẩn để xin phép và cơ quan cấp phép phải có tiêu chuẩn để xem có cấp phép được hay không và để đánh giá xem DN có làm tốt dịch vụ hay không.

Tuy nhiên, ông Vũ Đức Đam cho biết, việc xây dựng tiêu chuẩn có thể phải mất hàng năm, nhiều năm vì phải tham khảo hàng nghìn tiêu chuẩn của nước ngoài. Vì thế, việc xây dựng CA quốc gia chỉ có thể đảm bảo những điều kiện tối thiểu để đáp ứng nhu cầu thực tế (CA quốc gia không nên ra quá chậm so với CA các ngành). Các tiêu chuẩn sẽ được tiếp tục xây dựng sau. Và để tránh hậu quả pháp lý do thiếu tiêu chuẩn, việc cấp phép sẽ được thực hiện một cách chặt chẽ.

Thụy Anh

Theo PC World VN
  • 231