Dịch vụ Dấu thời gian - "Dấu bưu điện" trên môi trường số

Trong tài liệu điện tử, dấu thời gian được sử dụng để chứng minh một tài liệu điện tử hoặc một sự kiện khi được ký dấu thời gian có thể chứng minh được tồn tại của tài liệu điện tử đó, sự kiện đó tại thời điểm nhất định (tồn tại trước thời điểm đóng dấu thời gian và không bị sửa đổi từ lúc đóng dấu thời gian).

Nhu cầu xác minh thời gian trong giao dịch điện tử

Mặc dù các giao dịch điện tử giúp thuận tiện vượt trội so với hoạt động truyền thống (tiết kiệm thời gian, thiết kiệm chi phí) nhưng giao dịch điện tử bộc lộ những hạn chế nhất định.

Trong môi trường tài liệu giấy, thời gian có hiệu lực của tài liệu thường được viết trên văn bản giấy. Do đặc tính của văn bản giấy, việc sửa đổi thời gian này khó xảy ra. Do đó, trong quá trình lưu trữ tài liệu giấy, khi cần xác minh lại thời điểm của tài liệu được tạo ra, người kiểm tra có thẩm quyền chỉ cần xem lại nội dung tài liệu. Mặt khác quá trình lưu trữ tài liệu giấy thường được lưu trên tủ vật lý đảm bảo an toàn khi truy xuất.

DỊCH VỤ CẤP DẤU THỜI GIAN

Dịch vụ cấp dấu thời gian thông qua một tổ chức được tin tưởng là tổ chức cung cấp dịch vụ cấp dấu thời gian (Timestamp Authority - TSA). Người yêu cầu dấu thời gian gửi yêu cầu lên cho TSA. TSA sử dụng tham số thời gian tin cậy gắn vào dữ liệu và ký số. Tham số thời gian được lấy từ Nguồn thời gian chuẩn. Chữ ký số dấu thời gian cùng các thông tin kèm theo được đóng gói thành Mã dấu thời gian và gửi lại cho người yêu cầu. Mã dấu thời gian chứa đầy đủ thông tin giúp Người kiểm tra có thể xác minh dấu thời gian của dữ liệu.

Ngược lại, trong môi trường điện tử, các tài liệu được tạo ra và được lưu giữ dưới dạng số. Khả năng sửa đổi nội dung của các tài liệu này là hết sức dễ dàng và sự thay đổi đó hầu như không để lộ dấu vết về mặt vật lý. Làm cách nào để kiểm chứng được khi nào dữ liệu này đã được tạo ra hoặc đã được thay đổi lần cuối cùng? Việc gắn “dấu thời gian” sẽ cung cấp sự trợ giúp để có thể chứng minh về tính phù hợp với thời gian của tài liệu.

Như vậy, nhu cầu xác minh dấu thời gian hỗ trợ cho các hoạt động bảo đảm tính an toàn trong giao dịch điện tử. Nó giúp đưa ra bằng chứng về sự tồn tại của dữ liệu tại một thời điểm xác định; đóng vai trò quan trọng đối với tính hợp lệ (về thời gian) của các tài liệu đã được ký số, hay tính hợp lệ về thời gian của chữ ký số; đưa ra bằng chứng có thể sử dụng cho các dịch vụ chống chối bỏ.

Hiện nay, chữ ký số và dịch vụ chứng thực chữ ký số đang được ứng dụng mạnh mẽ trong giao dịch điện tử. 

Chữ ký số sử dụng trong các thông điệp dữ liệu điện tử đảm bảo tính xác thực, tính toàn vẹn, tuy nhiên về bằng chứng thời điểm ký số đối với một số loại giao dịch cần chính xác thời gian ký thì một mình chữ ký số chưa thể đảm bảo, do đó bằng chứng tin cậy về thời điểm tồn tại của thông điệp dữ liệu cần thiết, công cụ thông dụng là dấu thời gian dựa trên hạ tầng khóa công khai.

Ngoài ra, khi chứng thư số hết hạn hoặc bị thu hồi, người ký vẫn có thể sử dụng khóa bí mật ký lên thông điệp dữ liệu và gửi đi. Mặc dù chữ ký số giúp kiểm tra chính xác thông tin người ký nhưng cá nhân hay tổ chức khi cần kiểm tra lại sẽ không kiểm tra được thời điểm thông điệp dữ liệu được ký số sử dụng chứng thư số đã hết hiệu lực hay chưa. Bên cạnh đó, người ký cũng có nhu cầu chứng minh thời điểm ký số trước khi chứng thư số hết hạn hoặc bị thu hồi. Điều này dẫn đến nhu cầu cần cung cấp bằng chứng về thời điểm ký.

Như vậy, dịch vụ dấu thời gian đảm bảo bằng chứng tin cậy về thời gian cho:

- Thời điểm tồn tại của thông điệp dữ liệu (sau thời điểm ký dấu thời gian, nếu thông điệp dữ liệu bị thay đổi sẽ bị phát hiện).

- Thời điểm ký số lên thông điệp dữ liệu (có bằng chứng tin cậy về thời gian thực hiện ký số).

DỊCH VỤ CẤP DẤU THỜI GIAN (Điều 30 Nghị định 130/2018/NĐ-CP):

1. Dịch vụ cấp dấu thời gian là dịch vụ giá trị gia tăng để gắn thông tin về ngày, tháng, năm và thời gian vào thông điệp dữ liệu.

2. Dịch vụ cấp dấu thời gian được cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Việc cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với dịch vụ cấp dấu thời gian.

3. Ngày, tháng, năm và thời gian được gắn vào thông điệp dữ liệu là ngày, tháng, năm và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian.

4. Nguồn thời gian của các tổ chức cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy định của pháp luật về nguồn thời gian chuẩn quốc gia.

Dấu thời gian có vai trò quan trọng trong việc đảm bảo rằng các tài liệu được lưu trữ có thể được xác nhận trong nhiều năm sau khi chúng được ký. Điều này có thể được sử dụng với chữ ký của tài liệu để chứng minh rằng chữ ký tồn tại tại thời điểm nó được đóng dấu. Do đó, ngay cả khi các trường hợp xung quanh việc tạo ra chữ ký số thay đổi (chẳng hạn như khóa ký sau đó bị xâm phạm và chữ ký bị thu hồi), chữ ký vẫn có hiệu lực.

Ngay cả khi tài liệu chưa được ký, đóng dấu thời gian có thể được sử dụng khi lưu trữ tài liệu để bảo vệ tính xác thực của tài liệu, chứng minh sự tồn tại của tài liệu đó tại một thời điểm nhất định và đảm bảo rằng mọi thay đổi có thể được phát hiện.

Với chức năng đảm bảo làm bằng chứng tin cậy của dấu thời gian, dấu thời gian được dùng trong các lĩnh vực như: 

- Dịch vụ chữ ký số (để xác định thời điểm ký), làm tăng tính bảo mật của dịch vụ chứng thực chữ ký số;

- Trong hoạt động tài chính, kế toán, thuế: đảm bảo thời gian khởi tạo hoặc xử lý chứng từ điện tử bị ràng buộc bởi các văn bản quy phạm pháp luật chuyên ngành hoặc có thể gây tranh chấp về lợi ích, pháp lý giữa các bên tham gia giao dịch. 

- Trong hoạt động công chứng và bảo vệ sở hữu trí tuệ: bảo vệ mẫu mã, thiết kế và các tài liệu khác nhau được sản xuất bởi các công ty có quyền sở hữu trí tuệ đối với sản phẩm.

- Trong lưu trữ điện tử: thiết lập dấu thời gian để tuyên bố rằng thông tinlưu trữ đã tồn tại ở một thời điểm cụ thể trong thời gian trước đây.

- Hoạt động ngân hàng: các giao dịch trong ngành ngân hàng đòi hỏi bằng chứng thời gian chính xác cao.

Dịch vụ dấu thời gian cung cấp bằng chứng tin cậy đảm bảo thời điểm tồn tại của giao dịch điện tử, thông điệp dữ liệu. Với tầm quan trọng như vậy, nên dấu thời gian đã được tiêu chuẩn hóa trên thế giới. Việc áp dụng dấu thời gian vào hoạt động chứng thực chữ ký số làm tăng thêm tính tin cậy cho dịch vụ này.

Kinh nghiệm triển khai dịch vụ của quốc tế

Dấu thời gian, dịch vụ cấp dấu thời gian được các nước quy định trong luật chữ ký điện tử như: Estonia, Đức, Ấn Độ, ... Một số nước không quy định trong luật như Nhật Bản, Mỹ, ... nhưng lại quy định trong ứng dụng chuyên ngành dưới dạng các hướng dẫn. Có thể nói rằng, do hệ thống pháp lý khác nhau nên các quy định về dấu thời gian cũng khác nhau ở các nước trên thế giới, dựa trên công nghệ hạ tầng khóa công khai, các nước trên thế giới triển khai dịch vụ cấp dấu thời gian có thể chia làm 3 nhóm:

Nhóm 1: Là những nước đến nay chưa thấy rõ việc triển khai dịch vụ cấp dấu thời gian như Singapore. Singapore không có quy định pháp lý về dấu thời gian và CA của Singapore không cung cấp dịch vụ cấp dấu thời gian.

Nhóm 2: Là những nước đang chuẩn bị và bắt đầu triển khai như Philippines. Philippines đã có hướng dẫn về hoạt động dành cho TSA vào năm 2015. Tuy nhiên, trên trang chủ của RootCA của Philippines vẫn đang hiển thị dự thảo Thông tư về Dấu thời gian (từ năm 2015) và trên website các CA Philippines chưa thấy cung cấp.

Nhóm 3: Là những nước đã triển khai dịch vụ như Malaysia, Hàn Quốc, Ấn Độ, Nhật Bản, Liên minh châu Âu EU. Về pháp lý, Malaysia, Ấn Độ, Hàn Quốc đều có quy định pháp lý cùng yêu cầu về tiêu chuẩn cho dấu thời gian và dịch vụ cấp dấu thời gian; Nhật Bản có quy định dấu thời gian trong hoạt động kinh tế. Về mô hình, TSA tại Ấn Độ và Hàn Quốc đều là các CA; Malaysia cấp phép TSA (có thể là CA hoặc không là CA); Nhật Bản cấp phép riêng TSA và tổ chức nguồn thời gian. Các nước này đều ứng dụng dấu thời gian trong hoạt động giao dịch điện tử. Liên minh châu Âu quy định dịch vụ cấp dấu thời gian là một loại hình dịch vụ tin cậy (trust service) hoạt động trong khuôn khổ pháp lý eIDAS của châu Âu.

Nhìn chung do mỗi nước có mô hình quản lý khác nhau nên các quy định về dấu thời gian và mô hình triển khai sẽ khác nhau. Ấn Độ và Hàn Quốc là 2 nước có mô hình quản lý hạ tầng khóa công khai (PKI) tương đối giống Việt Nam.

Quy định pháp lý về dịch vụ cấp dấu thời gian ở Việt Nam

Tại Việt Nam, dịch vụ cấp dấu thời gian đã được quy định tại Điều 30 Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Theo đó, quy định tổ chức cung cấp dịch vụ dấu thời gian TSA (Timestamp Authority) cần phải tuân theo các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với dịch vụ cấp dấu thời gian, cụ thể như sau:

Về tiêu chuẩn bắt buộc áp dụng của dịch vụ dấu thời gian

Về tiêu chuẩn kỹ thuật, dịch vụ cấp dấu thời gian dựa trên hạ tầng khóa công khai gồm tiêu chuẩn chung về hạ tầng khóa công khai và các tiêu chuẩn riêng liên quan đến thời gian. Các tổ chức lớn về tiêu chuẩn trên thế giới như: Viện Tiêu chuẩn Mỹ (ANSI) công nhận bộ chuẩn X9.95 về quản lý dịch vụ cấp dấu thời gian; Tổ chức Tiêu chuẩn quốc tế (ISO) đưa ra bộ chuẩn ISO/IEC 18014 về dịch vụ cấp dấu thời gian; Viện Tiêu chuẩn Viễn thông châu Âu (ETSI) đưa ra tiêu chuẩn kỹ thuật TS 101 861 và TS 102 023 về định dạng dấu thời gian và yêu cầu quy chế cho TSA; Tổ công tác kỹ thuật về Internet (IETF) đưa ra khuyến nghị RFC 3161 về giao thức dấu thời gian và RFC 3628 về yêu cầu quy chế cho TSA. Nhìn chung, các tiêu chuẩn này đều dựa trên khuyến nghị RFC 3161 về kỹ thuật và RFC 3628 về quy chế cho TSA.

Tại Việt Nam, ngày 23/3/2015, Bộ trưởng Bộ Thông tin và Truyền thông đã ban hành Thông tư số 06/2015/ TT-BTTTT quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số, trong đó đã quy định tiêu chuẩn cho dịch vụ cấp dấu thời gian như sau: giao thức dấu thời gian là RFC 3161 và dịch vụ dấu thời gian là ISO/IEC 18014. Hai bộ tiêu chuẩn này là tiêu chuẩn cơ bản về giao thức dấu thời gian và cơ chế tạo dấu thời gian cho TSA.

Về nguồn thời gian chuẩn quốc gia

Nguồn chuẩn thời gian quốc gia được quy định cụ thể tại Quyết định số 14/2006/QĐ-TTg ngày 17/01/2006 của Thủ tướng Chính phủ về các chuẩn đo lường quốc gia, trong đó chuẩn về lĩnh vực thời gian - tần số, thông tin về đồng hồ thời gian đang được quy định duy trì, bảo quản tại Phòng đo lường Thời gian - Tần số, Viện Đo lường Việt Nam, Tổng cục Tiêu chuẩn, Đo lường - chất lượng, Bộ Khoa học và Công nghệ. Viện Đo lường Việt Nam đã triển khai cung cấp các dịch vụ liên quan bao gồm 3 phương thức:

- Đồng bộ thời gian chuẩn qua giao thức NTP (Network Time Protocol)

- So sánh thời gian qua phương pháp Common View

- Hiệu chuẩn các chuẩn đo lường, phương tiện đo về thời gian - tần số

Như vậy, nguồn thời gian của TSA sẽ được đồng bộ với nguồn thời gian chuẩn quốc gia qua 03 phương thức nêu trên.

Mô hình triển khai dịch vụ cấp dấu thời gian nào phù hợp cho Việt Nam?

Việt Nam hiện theo mô hình phân cấp trong hạ tầng khóa công khai, mức cao nhất RootCA tự cấp chứng thư số cho chính mình và cấp chứng thư số dấu thời gian cho CA. CA lấy tham số thời gian từ Nguồn thời gian và ký mã dấu thời gian cho dữ liệu được yêu cầu lên. Do đó, mô hình triển khai kỹ thuật có thể có 3 mô hình sau:

Mô hình 1: RootCA cung cấp toàn bộ dịch vụ. Với mô hình này, TSA duy nhất là RootCA sẽ có tính tin tưởng cao nhất và nâng cao vai trò của RootCA. RootCA cần xây dựng và vận hành hệ thống TSA quốc gia và có thể phải hỗ trợ khách hàng nếu cần thiết. 

Mô hình 2: RootCA cung cấp nguồn thời gian chuẩn cho các CA. CA thực hiện ký dấu thời gian. Với mô hình này, hệ thống dấu thời gian vẫn được tin tưởng mức quốc gia trong khi khó khăn của RootCA tại mô hình 1 đã được CA san sẻ. RootCA chỉ cần xây dựng và vận hành hệ thống nguồn thời gian chuẩn cho các CA. Ngoài ra để quản lý hiệu quả, RootCA xây dựng hệ thống đối soát dấu thời gian. 

Mô hình 3: CA sử dụng nguồn thời gian chuẩn của mình và thực hiện ký dấu thời gian. Với mô hình này, mặc dù thuận lợi để CA hoàn toàn cung cấp dịch vụ nhưng việc đảm bảo tính tin tưởng về mã dấu thời gian cũng hoàn toàn do CA thực hiện. Do đó, RootCA cần xây dựng hệ thống giám sát việc ký dấu thời gian của CA cùng các quy định khác để đảm bảo tránh rủi ro về gian lận dấu thời gian. 

Để nâng đảm bảo chất lượng dịch vụ, cũng như đảm bảo kiểm soát tốt các nhật ký (log) của các giao dịch phục vụ làm bằng chứng trong giao dịch điện tử, mô hình 2 là mô hình phù hợp để triển khai tại Việt Nam.

Đề xuất việc quản lý dịch vụ cấp dấu thời gian ở Việt Nam trong thời gian tới

Hiện nay, tại Việt Nam, nhu cầu sử dụng dấu thời gian trong các giao dịch điện tử là rất lớn như xác thực tin cậy thời gian hiệu lực của văn bản điện tử, tài liệu điện tử, hợp đồng điện tử, hóa đơn điện tử, các giao dịch điện tử trong ngành tài chính, ngân hàng, chứng khoán... Tuy nhiên, hiện tại do quy định pháp lý về dấu thời gian quy định về việc cung cấp dịch vụ dấu thời gian, các quy định về áp dụng, sử dụng dấu thời gian vẫn chưa có quy định cụ thể, do đó, việc sử dụng chủ yếu vẫn do nhận thức và nhu cầu về dấu thời gian của các tổ chức, đơn vị triển khai, áp dụng.

Về phía nhà cung cấp dịch vụ, TrustCA Timestamp (thuộc Tập đoàn công nghệ Savis) đã tuân thủ đầy đủ các quy định của pháp luật Việt Nam cũng như các tiêu chuẩn, quy chuẩn kỹ thuật, đủ điều kiện, được cấp chứng nhận để cung cấp dịch vụ dấu thời gian đến khách hàng.

Để thúc đẩy thị trường dịch vụ cấp và sử dụng dấu thời gian và bảo vệ quyền lợi của người sử dụng, dịch vụ cấp dấu thời gian cần phải có các quy định pháp lý cụ thể. Quy định pháp lý cho việc cung cấp, sử dụng dịch vụ dấu thời gian trong các dịch vụ số, giao dịch điện tử cần được xây dựng, ban hành theo các nguyên tắc như sau:

Một là: Cân bằng giữa việc quản lý chặt chẽ, thống nhất, tuân thủ các quy định về quy trình, thủ tục, tiêu chuẩn, quy chuẩn kỹ thuật và tạo thuận lợi và thúc đẩy, khuyến khích cho doanh nghiệp CA cung cấp dịch vụ cấp dấu thời gian.

Hai là: Tạo môi trường pháp lý cho các CA có nhu cầu cung cấp dịch vụ cấp dấu thời gian nhằm tăng tình bảo mật, chính xác của giao dịch điện tử. Tạo thị trường cạnh tranh hơn nữa về chất lượng dịch vụ của dịch vụ chứng thực chữ ký số.

Ba là: Quy định giá trị pháp lý của dấu thời gian làm bằng chứng pháp lý khi xảy ra tranh chấp.

Bốn là: Quy định về hoạt động cấp phép hoặc chứng nhận hoặc đánh giá sự phù hợp cung cấp dịch vụ cấp dấu thời gian và hoạt động cung cấp dịch vụ cũng như nghĩa vụ của TSA. TSA là tổ chức tin cậy giống CA nên cũng cần quy định về hoạt động cấp phép hoặc chứng nhận hoặc đánh giá sự phù hợp, hoạt động cung cấp dịch vụ và nghĩa vụ cho TSA giống như đã quy định cho CA. Nhưng, hoạt động của TSA và CA là hai hoạt động riêng biệt nên không thể sử dụng quy trình của CA áp dụng cho TSA.

Năm là: Quy định dịch vụ cấp dấu thời gian gồm các nội dung: Giá trị pháp lý dấu thời gian; Cấp phép dịch vụ cấp dấu thời gian; Hoạt động cung cấp dịch vụ cấp dấu thời gian; Quy trình xác minh tính hợp lệ dấu thời gian; Trách nhiệm, nghĩa vụ của tổ chức cấp dấu thời gian; Trách nhiệm, nghĩa vụ của RootCA; Trách nhiệm, nghĩa vụ của bên kiểm tra dịch vụ cấp dấu thời gian.

Ngày và thời gian của chữ ký số (chữ ký điện tử) có thể có ý nghĩa pháp lý trong một số tình huống. Ví dụ: giả sử chữ ký số của khách hàng được xác nhận bởi một chứng thư số từ một CA và sau đó chứng thư số đó được phát hiện đã bị thu hồi. Chữ ký hóa ra đã bị làm giả, và một vụ kiện lớn xoay quanh câu hỏi “Ai chịu trách nhiệm?”. Rõ ràng khi đó tất cả sẽ phụ thuộc vào việc việc kiểm tra thời điểm chữ ký được tạo ra và dấu thời gian sẽ là bằng chứng để xác định ai chịu trách nhiệm.

Dấu thời gian không chỉ dành sử dụng tại thời điểm ký mà còn được dùng để xác thực về sau cho các hồ sơ lưu trữ của một cơ quan, doanh nghiệp. Sẽ không bao giờ biết khi nào một chữ ký và dấu thời gian của nó sẽ trở nên quan trọng. Để hỗ trợ xác thực trong thời gian lâu dài, thông tin thu hồi và chứng thư số của CA ban đầu được sử dụng để xác thực chữ ký số cần phải có sẵn vô thời hạn. Các tính năng tùy chọn của chữ ký số và tiêu chuẩn con dấu sẽ cung cấp khả năng lưu trữ thông tin này cùng với chữ ký, cũng như thêm dấu thời gian trên các tài liệu lưu trữ bằng cách sử dụng mật mã hiện đại.

Trong xu hướng chuyển đổi số toàn diện, các hồ sơ, dữ liệu sẽ là thông điệp dữ liệu số, các giao dịch sẽ dần chuyển hoàn toàn lên môi mạng, việc ứng dụng đóng dấu thời giaCn lên thông điệp dữ liệu sẽ như con dấu bưu điện xác nhận thời gian của thông điệp dữ liệu trên môi trường số.

(Bài viết đăng ấn phẩm in Tạp chí TT&TT số 8 tháng 8/2021)