Nguy cơ chủ chữ ký số từ xa bị “ký khống” hóa đơn mà không biết
Cập nhật: 29/05/2020
VOV.VN - Việc vận hành dịch vụ chữ ký số từ xa của MISA khi chưa được cơ quan chức năng thẩm định, liệu có đẩy rủi ro cho người dùng?
Chữ ký số từ xa (remote signature) còn được biết đến với những cái tên như: chữ ký số online, chữ ký số không dùng USB token, chữ ký số di động,… Đây là một loại chữ ký số kiểu mới sử dụng công nghệ đám mây (cloud-based) để ký số mà không cần sử dụng thêm bất kỳ thiết bị phần cứng nào.
Hiểu đơn giản thì với chữ ký số từ xa, người dùng không còn phải dùng USB token hay SIM để ký nữa, thay vào đó có thể ký trực tiếp ngay trên máy tính, điện thoại hoặc máy tính bảng.
Thông tư 16 của Bộ TT&TT được kỳ vọng giúp mở rộng thị trường chữ ký số cá nhân, thúc đẩy phát triển chính phủ điện tử. (Ảnh minh họa: KT) |
Đẩy rủi ro cho người dùng
Trong bối cảnh dịch Covid-19 khiến Việt Nam phải thực hiện giãn cách xã hội, từ tháng 3/2020, Công ty cổ phần MISA đã đưa vào vận hành mô hình chữ ký số từ xa và hiện đã cung cấp 2.583 chứng thư số theo mô hình này.
Điều đáng nói là dịch vụ chứng thực chữ ký số công cộng là ngành nghề kinh doanh có điều kiện (tiền kiểm) theo quy định tại Nghị định số 130/2018/NĐ-CP của Chính phủ. Cùng với đó, Thông tư số 16/2019/TT-BTTTT của Bộ TT&TT quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa có hiệu lực từ 1/4/2020.
Trao đổi với phóng viên VOV.VN, ông Ngô Tuấn Anh, Phó Chủ tịch Bkav - Chủ nhiệm Câu lạc bộ chữ số và giao dịch điện tử Việt Nam cho biết, chữ ký số từ xa mà MISA đang vận hành tương đương với username/password hoặc dịch vụ OTP (như chuyển tiền ngân hàng có tin nhắn về).
Như vậy, bất kỳ ai biết username/password đều có quyền sở hữu Khóa riêng của username này, thực hiện ký số bất kỳ giao dịch nào mà chủ nhân thực sự của nó không hề hay biết cho đến khi có sự cố được phát hiện (như mất tiền trong ngân hàng, hợp đồng, hóa đơn khống được ký bừa bãi...).
“Điều này làm giảm mức độ của chữ ký số xuống, trong khi tính chất quan trọng nhất của chữ ký số được pháp lý thừa nhận, luật hóa là tính “Chống chối bỏ”, giống như khi sử dụng chữ ký số thì khi xác minh chữ ký sẽ biết đấy là chữ ký của người đó. Còn chữ ký số từ xa hiện nay của MISA không đảm bảo điều đó”, ông Tuấn Anh lý giải.
“Vấn đề của MISA chính là chạy cung cấp dịch vụ trước khi được thẩm định, đánh giá của bên Trung tâm chứng thực chữ ký số quốc gia. Trong trường hợp kỹ thuật chưa kiểm định đã chạy có trục trặc, mà thực sự đang có vấn đề mà khiến lộ lọt thông tin khách hàng sẽ rất nguy hiểm. Việc này có thể ảnh hưởng đến uy tín của câu lạc bộ và nguy cơ ảnh hưởng đến sự phát triển bền vững của thị trường chữ ký số ở Việt Nam”, ông Tuấn Anh nhấn mạnh.
MISA đã công bố nâng cấp tính an toàn bảo mật giải pháp chữ ký số từ xa của mình bằng mã xác thực OTP, tuy nhiên thực tế cũng chứng minh giải pháp OTP đang sử dụng hiện nay vẫn có lỗ hổng, có thể bị hacker khai thác, lợi dụng, không an toàn. Hàng loạt các vụ mất tiền trong tài khoản thời gian qua, bất chấp sử dụng giải pháp mã xác thực OTP là minh chứng rõ nhất.
“Giải pháp chữ ký số được phát triển chính là nhằm thay thế cho giải pháp OTP. MISA lại dùng 1 giải pháp xác thực yếu hơn là OTP để xác thực cho giải pháp mạnh hơn là chữ ký số chuyên dùng (CA). Đây là cách làm vô nghĩa. Không đảm bảo được tính chống chối bỏ, xác thực nguồn gốc của chữ ký số. MISA đang đẩy rủi ro cho người dùng của mình”, ông Tuấn Anh cho hay.
Như VOV.VN đã thông tin, Trung tâm Chứng thực điện tử quốc gia (NEAC) – Bộ TT&TT đã yêu cầu Công ty cổ phần MISA dừng cung cấp dịch vụ MISA-CA theo mô hình ký số từ xa cho đến khi hệ thống kỹ thuật của doanh nghiệp đáp ứng các quy định tại Thông tư số 16 của Bộ TT&TT. Cùng với đó, Ban Chủ nhiệm Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam (VCDC) cũng quyết định khai trừ Công ty Cổ phần MISA ra khỏi Câu lạc bộ./.
Từ khóa: chữ ký số, chữ ký số từ xa, MISA, Bộ TT&TT, Trung tâm Chứng thực điện tử quốc gia
Thể loại: Khoa học - Công nghệ
Tác giả:
Nguồn tin: VOVVN