Một yếu tố quan trọng trong quá trình khởi tạo cũng như xác thực tài liệu điện tử là ký số cấp dấu thời gian Timestamp. Từ khái niệm tới những lý giải tại sao cần cấp dấu thời gian lại là phương thức hiệu quả đối với việc duy trì hiệu lực và tính pháp lý của chữ ký số sẽ được trình bày cụ thể trong bài viết này.
Dấu thời gian là gì?
Ghi vết thời gian, gắn thông tin về ngày, tháng, năm và thời gian vào thông điệp dữ liệu, xác định chính xác và không thể chỉnh sửa mốc thời gian là khái niệm cơ bản về ký số cấp dấu thời gian. Dấu thời gian đang được ứng dụng rộng rãi trong các ngành nghề sáng tạo hay trên những tài liệu nhạy cảm về thời gian như bản quyền tác giả, bản quyền sáng chế, sở hữu trí tuệ, giao dịch tài chính, ngân hàng, chứng khoán, hợp đồng mua – bán, bệnh án điện tử,…
Ký số cấp dấu thời gian timestamp nhằm chứng minh mốc thời gian tài liệu được ký kết hay thời gian tài liệu có hiệu lực là chính xác, độc lập và không thể chối bỏ.
RFC 3161 và RFC 5816 là các tiêu chuẩn đối với ký số cấp dấu thời gian. Các dấu thời gian là bằng chứng về nguồn thời gian tin cậy, giá trị thời gian tin cậy và định danh duy nhất đối với từng dấu thời gian được ban hành. Với dấu thời gian, việc tự động thay đổi giờ hệ thống của thiết bị để giả mạo thời gian khởi tạo, chỉnh sửa và truy cập tài liệu điện tử là không thể thực hiện được.
Dấu thời gian giữ vai trò quan trọng đối với hoạt động lưu vết, xác thực tin cậy thời điểm các thông tin, thông điệp dữ liệu được khởi tạo, phát hành thậm chí thay đổi trên môi trường điện tử. Để tăng cường tính bảo mật, lưu trữ lâu dài và tính pháp lý của các tài liệu điện tử, dấu thời gian sẽ là giải pháp tối ưu, giúp người dùng ghi vết, lưu vết mọi nỗ lực chỉnh sửa, bảo đảm sự toàn vẹn dữ liệu và quan trọng là xác định tin cậy mốc thời gian.
Tại sao cần phải ký số cấp dấu thời gian?
Như đã đề cập, dấu thời gian là một phương thức hiệu quả để chứng minh rằng tài liệu không bị thay đổi kể từ khi được ký số cấp dấu thời gian. Nếu một tài liệu là một bằng chứng quan trọng trong tranh chấp tố tụng, sẽ rất khó để chứng minh rằng chữ ký số trên tài liệu này có hiệu lực tại thời điểm ký nếu không có dấu thời gian. Bởi các chứng thư số thường sẽ hết hạn sau 3 năm, gây khó khăn cho việc chứng minh tính hợp lệ của tài liệu trong dài hạn.
Nếu không có ký số cấp dấu thời gian, các tài liệu điện tử, đặc biệt là đối với các tài liệu có ràng buộc pháp lý như: hợp đồng kinh doanh, hợp đồng tín dụng, hợp đồng mua bán, sao kê ngân hàng, bản quyền tác giả, sở hữu trí tuệ… có thể dễ dàng bị làm giả, thay đổi thời gian ký. Điều này có thể dẫn đến những cuộc chiến pháp lý tốn kém trong giải quyết tranh chấp khi các bên nỗ lực phủ nhận bằng chứng của nhau.
Dấu thời gian được coi là một nhân chứng độc lập – cung cấp bằng chứng cần thiết để chứng minh rằng tài liệu không bị thay đổi, mốc thời gian ký số là đáng tin cậy kể từ khi được ký số cấp dấu thời gian.
Dấu thời gian có thực sự tin tưởng và cơ quan nào chịu trách nhiệm ban hành dấu thời gian?
Tại Việt Nam, theo quy định tại Nghị định 130/2018/NĐ-CP, dịch vụ cấp dấu thời gian được cung cấp bởi các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng (CA).
Việc cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với dịch vụ cấp dấu thời gian. Cụ thể là tuân thủ theo Điều 7 – Tiêu chuẩn dịch vụ cấp dấu thời gian của Thông tư số 06/2015/TT-BTTTT, đáp ứng các tiêu chuẩn quốc tế như RFC 3161 hay RFC nâng cao mới nhất 5816, tuân thủ tương thích với ISO/IEC 18014 về dịch vụ cấp dấu thời gian TimeStamp Service, yêu cầu an ninh đối với hệ thống quản lý chứng thư số và chữ ký số CWA 14167-1.
Vì vậy, các dấu thời gian này không bị người dùng trên các thiết bị cục bộ thao túng, sửa đổi. Dấu thời gian là đáng tin cậy và người dùng hoàn toàn chắc chắn rằng mốc thời gian trên dấu thời gian timestamp là chính xác và không thể bị giả mạo.
Dấu thời gian – Chứng cứ độc lập về mốc thời gian và xác thực lâu dài tài liệu điện tử
Việc bổ sung cấp dấu thời gian bên cạnh chữ ký số giúp người nhận không những định danh, xác thực người ký, đảm bảo tính toàn vẹn dữ liệu, chống chối bỏ mà còn xác thực được thời điểm ký hay kéo dài hiệu lực pháp lý của tài liệu được ký (khi kết hợp cùng công nghệ xác thực lâu dài LTV), từ đó cho phép hỗ trợ lưu trữ điện tử, lưu trữ lâu dài 10 năm, 20 năm, 50 năm hoặc vĩnh viễn mà không bị ràng buộc bởi hiệu lực của Chứng thư số công cộng.
Chữ ký số bao gồm dấu thời gian Timestamp đáp ứng tiêu chuẩn ký số nâng cao, phục vụ lưu trữ lâu dài đáp ứng tiêu chuẩn ETSI: PAdES đối với tài liệu PDF; XAdES với định dạng XML và CAdES cho các định dạng dữ liệu khác. Điều này nhằm đảm bảo rằng các tài liệu và dữ liệu có thể được đọc và xác minh sau một thời gian dài trong tương lai ngay cả khi chứng thư số đã hết hạn.
Công nghệ Xác thực lâu dài (Long-Term Validation – LTV)
Trong lưu trữ điện tử, sử dụng ký số cấp dấu thời gian và ký số xác thực lâu dài Long-term Validation (LTV) có vai trò không thể thay thế, nhằm đảm bảo tính xác thực, toàn vẹn, chống chối bỏ của tài liệu trong dài hạn mà không phụ thuộc vào thời hạn của chứng thư số.
Công nghệ Xác thực lâu dài – LTV có nghĩa là bạn có thể xác nhận rằng chữ ký vẫn còn hiệu lực tại thời điểm ký, bất kể trạng thái của chứng thư số tại thời điểm hiện tại đã hết hạn hay bị thu hồi. Ví dụ: nếu tôi ký tài liệu vào ngày hôm nay với chứng thư còn hiệu lực và dấu thời gian đáng tin cậy, nhưng sau đó chứng thư số của tôi bị thu hồi hoặc hết hạn sau hai tháng, thì tài liệu đã ký của tôi sẽ vẫn có giá trị sau đó nếu sử dụng xác thực lâu dài LTV.
Ký số cấp dấu thời gian Timestamp giúp xác thực sự tồn tại của tài liệu điện tử tại mốc thời gian tin cậy đồng thời đảm bảo tính toàn vẹn của tài liệu (bất kỳ sự thay đổi, sửa xóa nào trên tài liệu cũng sẽ bị phát hiện). Tuy nhiên, dấu thời gian lại không có khả năng xác thực chữ ký số, định danh người ký khi chứng thư số hết hạn hoặc chữ ký số áp dụng các thuật toán cũ và sẽ bị phá vỡ cấu trúc dữ liệu khi áp dụng các thuật toán ký số mới lên tài liệu đã cấp dấu Timestamp.
Bên cạnh ký số cấp dấu thời gian Timestamp, xác thực lâu dài LTV sẽ là bức tường an toàn bảo vệ tài liệu, là giải pháp tối ưu trong lưu trữ tài liệu điện tử lâu dài, lưu trữ vĩnh viễn.