OTP không phải là chữ ký điện tử

Ngày đăng: 17:06 - 08/10/2024

Theo khẳng định của đại diện Trung tâm chứng thực điện tử quốc gia (NEAC), Bộ TT&TT, OTP không phải là chữ ký điện tử mà chỉ là hình thức xác nhận sự chấp thuận đối với thông điệp điện tử.

Ba loại chữ ký điện tử

Luật Giao dịch điện tử (GDĐT) (sửa đổi) 2023 đã phân loại các chữ ký điện tử (CKĐT) theo nhu cầu, phạm vi sử dụng và quy định giá trị pháp lý cho các loại CKĐT này. Theo đó, có 3 loại CKĐT được sử dụng phổ biến.

Thứ nhất, CKĐT chuyên dùng là CKĐT do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ.

Thứ hai, chữ ký số (CKS) công cộng là CKS được sử dụng trong hoạt động công cộng và được bảo đảm bởi chứng thư CKS công cộng và được các đơn vị cung cấp dịch vụ chứng thực CKS công cộng (CA) cung cấp.

Thứ ba, CKS chuyên dùng công vụ là CKS được sử dụng trong hoạt động công vụ và được bảo đảm bởi chứng thư CKS chuyên dùng công vụ được thực hiện bởi tổ chức cung cấp dịch vụ chứng thư số công vụ như Ban Cơ yếu Chính phủ. CKS chuyên dùng được cơ quan nhà nước sử dụng nhiều.

CKĐT chuyên dùng phải đáp ứng đủ các yêu cầu: (1) Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu; (2) Dữ liệu tạo CKĐT chuyên dùng chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận; (3) Dữ liệu tạo CKĐT chuyên dùng chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký; (4) Hiệu lực của CKĐT chuyên dùng có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận.

CKS là CKĐT đáp ứng đủ các yêu cầu: Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu; Dữ liệu tạo CKS chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận; Dữ liệu tạo CKS chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký; Mọi thay đổi đối với thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.

Bên cạnh đó, CKS phải được bảo đảm bởi chứng thư CKS. Trường hợp CKS chuyên dùng công vụ phải được bảo đảm bởi chứng thư CKS của tổ chức cung cấp dịch vụ chứng thực CKS chuyên dùng công vụ. Trường hợp CKS công cộng phải được bảo đảm bởi chứng thư CKS của tổ chức cung cấp dịch vụ chứng thực CKS công cộng.

Phương tiện tạo CKS phải bảo đảm dữ liệu tạo CKS không bị tiết lộ, thu thập, sử dụng cho mục đích giả mạo chữ ký; bảo đảm dữ liệu được dùng để tạo CKS chỉ có thể sử dụng một lần duy nhất; không làm thay đổi dữ liệu cần ký.

Hình 1: Quy định về CKĐT tại Luật GDĐT 2005 và Luật GDĐT 2023. (Nguồn: NEAC).

Các hình thức xác nhận khác bằng phương tiện điện tử

Bên cạnh phân loại rõ các CKĐT, ông Nguyễn Văn Hà, Phụ trách phòng Thẩm tra chính sách, NEAC cho biết Luật GDĐT (sửa đổi) 2023 quy định sử dụng hình thức xác nhận khác bằng phương tiện điện tử (OTP, SMS,…) để thể hiện sự chấp thuận của chủ thể ký và thực hiện theo quy định pháp luật khác có liên quan.

Ông Nguyễn Văn Hà cho biết trong quá trình xây dựng Luật GDĐT sửa đổi 2023, NEAC - đơn vị thường trực xây dựng Luật đã nhận thấy nhiều ngân hàng đều coi hình thức xác nhận khác bằng phương tiện điện tử là CKĐT. Tuy nhiên, cần khẳng định OTP… không phải là CKĐT mà chỉ là hình thức xác nhận sự chấp thuận đối với thông điệp điện tử, chứ không phải là CKĐT.

Để đảm bảo thực tế diễn ra như vậy trên môi trường điện tử, ông Nguyễn Văn Hà cho biết Luật GDĐT (sửa đổi) 2023 đã bổ sung tại khoản 4 Điều 22 liên quan đến các hình thức xác nhận bằng phương tiện điện tử. Đó là: “Việc sử dụng các hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu mà không phải là CKĐT thực hiện theo quy định khác của pháp luật có liên quan”.

Cụ thể như Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Ngân hàng Nhà nước về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng đã quy định về các hình thức xác nhận bằng phương tiện điện tử như OTP để thực hiện các giao dịch trên môi trường điện tử.

Hình 2: Xác nhận bằng phương tiện điện tử và CKĐT tại Luật GDĐT 2023.

Ông Nguyễn Văn Hà cho biết thêm các giải pháp FIDO (Fast IDentity Online), OTP (One-Time Password), Advanced OTP có giá trị pháp lý không bị phủ nhận, trong khi CKS có giá trị tương đương chữ ký của cá nhân trên văn bản. Điểm quan trọng của CKĐT là tính chống chối bỏ còn các hình thức FIDO, OTP, FIDO Advanced không khẳng định được tính chống chối bỏ khi mà xác thực trên dữ liệu./.