Triển khai và sử dụng chữ ký số trong lĩnh vực ngân hàng: Kinh nghiệm từ Hàn Quốc

CKS được sử dụng rộng rãi trong các lĩnh vực của đời sống xã hội, không chỉ bao gồm giấy khai sinh, giấy đăng ký kết hôn mà còn cả thuế điện tử, mua sắm điện tử và hải quan điện tử, và đặc biệt là trong lĩnh vực tài chính, ngân hàng.

CKS được sử dụng làm phương pháp bảo mật chính trong lĩnh vực tài chính, ngân hàng

Theo số liệu do Cơ quan An ninh và Internet Hàn Quốc (KISA) cung cấp, hiện nay, tổng số chứng thư số (một thuật ngữ thường được nhắc đến khi nói về CKS) cấp tại Hàn Quốc đã đạt hơn 170 triệu chứng thư số (bao gồm chứng thư số cho cá nhân, cá nhân trong tổ chức và tổ chức).

Đạo luật chữ ký điện tử (CKĐT) của Hàn Quốc được ban hành vào năm 1999. KISA đã chỉ định 5 tổ chức chứng nhận công cộng là tổ chức chứng nhận cấp cao nhất và đặt tên các chứng thư số được cấp bởi 5 tổ chức này là Chứng thư số được ủy quyền. Kể từ đó, khi Đạo luật Chính phủ điện tử (CPĐT) và Đạo luật giao dịch tài chính điện tử công nhận tính hiệu quả của CKĐT theo Luật CKĐT, chứng thư số công cộng đã trở thành bắt buộc đối với các giao dịch trực tuyến và dịch vụ CPĐT.

Năm 2003, chính phủ Hàn Quốc bắt buộc áp dụng công nghệ CKS dựa trên chứng thư số để tăng cường bảo mật cho ngân hàng trực tuyến.

Chia sẻ tại hội thảo “Vai trò của CKS cá nhân trong các giao dịch thanh toán điện tử” mới đây, ông Shin Jin Hwan, Giám đốc dự án Deloitte Anjin LLC Hàn Quốc cho biết, có 3 lý do chính khiến CKS được sử dụng làm phương pháp bảo mật chính.

Đầu tiên, CKS có thể xác minh danh tính trực tuyến. Theo Luật CKĐT, bất cứ khi nào chứng thư số được cấp, danh tính của người giữ chứng thư số sẽ được xác minh trực tiếp thông qua thẻ đăng ký cư trú, hộ chiếu,… Mặc dù ngân hàng đã xác minh danh tính của khách hàng khi mở tài khoản ngân hàng nhưng vẫn phải xác minh lại danh tính của mình thông qua cơ quan chứng nhận hoặc cơ quan đăng ký để cấp chứng thư.

Thứ hai, bất cứ khi nào một giao dịch tài chính được thực hiện, CKS sẽ được tạo bằng khóa riêng tương ứng với chứng thư số của người đăng ký. Đối với các giao dịch tài chính bao gồm CKS, người dùng có thể kiểm tra xem chi tiết giao dịch có bị giả mạo hoặc thay đổi trong quá trình xác minh CKS hay không. Ngoài ra, do CKS có giá trị pháp lý nên có thể đưa ra tòa án làm bằng chứng nếu có tranh chấp phát sinh.

Cuối cùng, tính chống chối bỏ trách nhiệm là một tính năng độc đáo của CKS và là yêu cầu quan trọng nhất khi sử dụng chứng thư số. Nếu CKS được tạo bằng khóa riêng tương ứng với chứng thư số thì CKS sẽ được đưa vào giao dịch điện tử, do đó, chủ sở hữu chứng thư số sau đó không thể phủ nhận rằng mình không tham gia vào giao dịch.

Đặc biệt trong các giao dịch tài chính, về mặt kỹ thuật có thể xác định được ai là người phải chịu trách nhiệm trong trường hợp tổn thất tài chính. Nếu tổn thất tài chính xảy ra tại thời điểm CKS chưa được tạo ra thì hoạt động của hệ thống ngân hàng có thể phải chịu trách nhiệm. Ngược lại, đối với các giao dịch tài chính có CKS, chủ sở hữu chứng thư số hoặc cơ quan chứng nhận đã phát hành giấy chứng nhận có thể sẽ phải chịu trách nhiệm.

Các ngân hàng chịu trách nhiệm về sự an toàn của dịch vụ ngân hàng, cơ quan cấp chứng thư số phải thực hiện xác minh danh tính chính xác khi cấp chứng thư số và người giữ chứng thư số có nghĩa vụ đảm bảo rằng khóa riêng tương ứng với chứng thư số không bị rò rỉ hoặc sử dụng sai mục đích. Với phương pháp này, các giao dịch tài chính được ký số và việc sử dụng chứng thư số có thể giúp tăng cường bảo mật, và tăng trách nhiệm cũng như nghĩa vụ của ngân hàng, cơ quan chứng nhận và chủ sở hữu chứng thư số.

Với những tiện ích và khả năng bảo mật cao, công nghệ xác thực/chữ ký dựa trên chứng thư số đã được sử dụng trong hầu hết các dịch vụ thương mại điện tử, dịch vụ CPĐT và dịch vụ tài chính.

Thực trạng sử dụng CKS tại các ngân hàng Hàn Quốc

Các dịch vụ tài chính đang phát triển rất nhanh tại quốc gia này, đặc biệt là dịch vụ mobile banking. Hiện người dân Hàn Quốc có thể sử dụng smartphone để thực hiện các lệnh chuyển tiền dễ dàng và các ngân hàng Hàn Quốc đang tiếp tục cập nhật, phát triển các ứng dụng công nghệ hỗ trợ việc chuyển tiền, thanh toán, giúp khách hàng thực hiện các giao dịch nhanh chóng hơn, đồng thời liên tục cập nhật các phần mềm để hỗ trợ bảo mật cho các giao dịch như: OTP, CKS, CKĐT...

Hiện nay, Hàn Quốc đã có Luật về giao dịch điện tử (GDĐT), luật về CKS. Nhờ đó, các công nghệ về CKS và xác thực điện tử không chỉ hỗ trợ cho các ngân hàng, mà còn hỗ trợ cho các đối tác của ngân hàng, giúp cho hoạt động tài chính cũng như việc thực thi các đạo luật về CKS, CKĐT dễ dàng hơn.

Tính đến tháng 10/2023, Hàn Quốc có tổng cộng 23 ngân hàng là thành viên của Hiệp hội Ngân hàng Hàn Quốc đang cung cấp các dịch vụ tài chính sử dụng CKS. Trong đó, ngân hàng Shinhan, Woori và Kookmin là những ngân hàng thương mại lớn có nhiều chi nhánh tại Hàn Quốc. Các ngân hàng địa phương, bao gồm ngân hàng Daegu và Busan, đang hoạt động kinh doanh tập trung tại các tỉnh, thành phố tương ứng.

Ngoài ra, còn có các ngân hàng có mục đích đặc biệt như Nonghyup dành cho nông dân và Suhyup dành cho ngư dân. Có hai quỹ cung cấp tài sản thế chấp tín dụng, trong đó có Tập đoàn Tài chính Công nghệ Hàn Quốc và Tập đoàn Tài chính Nhà ở Hàn Quốc, chuyên về nhà ở. Cuối cùng, có 3 ngân hàng chỉ hoạt động trên Internet là K Bank, Kakao Bank và Toss Bank, chỉ cung cấp dịch vụ tài chính trực tuyến.

Ngoài ra, các ngân hàng tiết kiệm và công ty chứng khoán là tổ chức tài chính thứ cấp cũng cung cấp dịch vụ ngân hàng và chứng khoán bằng chứng thư số.

Kakao Bank là ngân hàng trực tuyến có số lượng người dùng lớn nhất Hàn Quốc. Người dùng có thể chuyển tiền sang tài khoản ngân hàng khác hoặc rút tiền từ các máy ATM ngoại tuyến thông qua thiết bị di động của mình. Ưu điểm của Kakao Bank là các chức năng này có thể được sử dụng trên thiết bị di động và tính bảo mật đã được cải thiện nhờ sử dụng CKS.

CKS được coi là phương thức xác thực đa yếu tố tăng cường. Bằng cách thêm CKS vào các giao dịch tài chính như chuyển khoản ngân hàng, khách hàng có thể xác minh tính toàn vẹn của giao dịch. Trong số các phương tiện bảo mật được đề cập đến nay, chỉ có chứng thư số mới có thể tạo và xác minh CKS.

Hay như ngân hàng Woori có lịch sử lâu đời và có nhiều chi nhánh tại các tỉnh, thành phố ở Hàn Quốc. Chính sách của ngân hàng này quy định các yêu cầu đối với ngân hàng trực tuyến, được sử dụng trên PC và thiết bị di động, và thực hiện dịch vụ ngân hàng qua điện thoại.

Phương thức xác thực của ngân hàng này được sử dụng khác nhau tùy thuộc vào mức giới hạn chuyển hàng ngày và một lần. Giới hạn chuyển tiền càng cao đòi hỏi mức độ bảo mật càng cao. Ngân hàng Woori đã chỉ định CKS là phương thức xác thực cần thiết cho ngân hàng trực tuyến. Do đó, CKS được sử dụng ở tất cả các cấp độ bảo mật.

Tại Hàn Quốc, cấp độ bảo mật ngân hàng trực tuyến được chia thành 3 cấp độ và số tiền có thể được chuyển một lần và mỗi ngày được phân biệt tùy thuộc vào cấp độ bảo mật.

Ví dụ, chính sách bảo mật cấp 1 là sử dụng chứng thư và OTP, người dùng có thể chuyển 100.000 USD/lần hoặc 500.000 USD mỗi ngày.

Nhiều người cũng đánh giá cao khả năng của phương pháp bảo mật OTP, tuy nhiên, OTP chỉ cung cấp chức năng xác thực cho người dùng nhưng không thể cung cấp CKS và chức năng chống chối bỏ trách nhiệm.

Trong Internet banking, OTP có thể được sử dụng để cung cấp xác thực người dùng, nhưng không thể kiểm tra xem dữ liệu truyền có bị giả mạo/thay đổi hay chuyên gia quản trị cơ sở dữ liệu có giả mạo/thay đổi hồ sơ giao dịch trong cơ sở dữ liệu và các tính năng bảo mật quan trọng đối với Internet banking hay không.

Độ mạnh bảo mật của CKS được xác định bởi độ dài khóa và thuật toán. Khi công nghệ phát triển nhanh chóng, hệ thống xác thực quốc gia của Hàn Quốc đã tăng cường đáng kể độ dài khóa và thuật toán.

Hiện tại, độ dài khóa chứng thư số được sử dụng trong hệ thống xác thực quốc gia của Hàn Quốc là 2.048 bit, thuật toán CKS là SHA256RSA và hồ sơ chứng chỉ được cấp theo RFC 5280.

Năm 2014, Hàn Quốc đã cấp và lưu trữ chứng thư số trên điện thoại di động, cho phép sử dụng chức năng xác thực/chữ ký tương tự trong các dịch vụ ngân hàng di động.

Theo kết quả khảo sát về việc sử dụng CKS do KISA thực hiện năm 2017, việc sử dụng chứng thư số là cao nhất trong ngân hàng trực tuyến, bao gồm cả mobile banking.

Để CKS và PKI (hạ tầng khóa công khai) trở thành dịch vụ đáng tin cậy và sử dụng ngày càng phổ biến, theo ông Shin Jin Hwan, cơ quan chứng nhận cấp và quản lý chứng thư số phải cung cấp mức độ đảm bảo cao. Cơ quan chứng nhận đóng vai trò quan trọng nhất trong hệ thống chứng nhận quốc gia, chịu trách nhiệm xác minh chính xác danh tính của người đăng ký chứng thư số và cung cấp cách thức an toàn để chủ sở hữu chứng thư số lưu trữ và quản lý an toàn các khóa riêng tương ứng.

Ngoài ra, để tổ chức chứng nhận cung cấp các dịch vụ đáng tin cậy, cần có sự quản lý của tổ chức chứng nhận hàng đầu và sự đánh giá của bên thứ ba. “Chúng tôi hy vọng rằng một dịch vụ hệ thống chứng nhận quốc gia đáng tin cậy dựa này sẽ được áp dụng cho các giao dịch tài chính tại Việt Nam, tăng cường sự thuận tiện cho người dùng và tăng cường tính an toàn của các dịch vụ tài chính”, ông Shin Jin Hwan chia sẻ./.