Chuẩn hóa dịch vụ chứng thực chữ ký số công cộng: Siết kỹ thuật, tăng niềm tin giao dịch số

<p style="text-align: justify;">Những năm gần đây, chữ ký số đã trở thành công cụ quen thuộc trong đời sống kinh tế – xã hội. Từ kê khai thuế, giao dịch ngân hàng, ký hợp đồng điện tử đến giải quyết thủ tục hành chính, chữ ký số hiện diện ngày càng rộng rãi, không còn giới hạn trong phạm vi cơ quan nhà nước hay doanh nghiệp lớn. Tuy nhiên, cùng với sự phổ cập đó là yêu cầu ngày càng cao về mức độ an toàn, tin cậy và khả năng kiểm soát rủi ro của hạ tầng kỹ thuật đứng phía sau mỗi cú “click ký”.</p>

Trong bối cảnh đó, ngày 31/12/2025, Bộ Khoa học và Công nghệ ban hành Thông tư số 50/2025/TT-BKHCN, kèm theo Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng. 

QCVN 137:2025/BKHCN được đánh giá là một bước đi mang tính nền tảng, đánh dấu sự chuyển dịch từ cách quản lý dựa trên danh mục tiêu chuẩn sang chuẩn hóa toàn diện hạ tầng kỹ thuật chữ ký số theo vòng đời dịch vụ.

Khi chữ ký số bước vào "vùng lõi" của nền kinh tế số

Theo các báo cáo về chuyển đổi số quốc gia, khối lượng giao dịch điện tử tại Việt Nam đang tăng trưởng nhanh, đặc biệt trong các lĩnh vực tài chính – ngân hàng, thương mại điện tử và dịch vụ công trực tuyến. Chữ ký số vì vậy không chỉ là công cụ hỗ trợ, mà đã trở thành "chìa khóa pháp lý" để xác lập tính ràng buộc, giá trị pháp lý và trách nhiệm của các bên trong môi trường số.

Tuy nhiên, thực tiễn triển khai thời gian qua cũng cho thấy không ít thách thức. Sự xuất hiện của các mô hình ký số mới như ký số từ xa, ký số trên thiết bị di động đặt ra câu hỏi lớn: làm thế nào để bảo đảm khóa bí mật không bị lạm dụng, hệ thống không bị xâm nhập và giao dịch không bị giả mạo, nhất là khi khóa ký không còn nằm trực tiếp trên thiết bị vật lý của người dùng?

Chính từ yêu cầu đó, QCVN 137:2025/BKHCN ra đời, đáp ứng tinh thần của Luật Giao dịch điện tử năm 2023, vốn coi dịch vụ tin cậy và chữ ký số là trụ cột của niềm tin số.

Khác với các văn bản trước đây chủ yếu quy định danh mục tiêu chuẩn bắt buộc áp dụng, QCVN 137:2025/BKHCN lần đầu tiên thiết lập một khung yêu cầu kỹ thuật thống nhất, bao trùm toàn bộ vòng đời của dịch vụ chứng thực chữ ký số công cộng.

Quy chuẩn không chỉ dừng ở yêu cầu đối với thuật toán mật mã hay độ dài khóa, mà mở rộng sang các thành phần cốt lõi khác như: hệ thống quản lý chứng thư chữ ký số, thiết bị lưu trữ khóa bí mật, thiết bị bảo mật phần cứng (HSM), cũng như quy trình vận hành, phân quyền, kiểm soát nội bộ và quản lý rủi ro của tổ chức cung cấp dịch vụ.

Cách tiếp cận này phản ánh một thực tế: an toàn chữ ký số không chỉ nằm ở công nghệ, mà nằm ở cách công nghệ được vận hành và kiểm soát.

Phân tách rõ mô hình ký số, tiệm cận chuẩn mực quốc tế

Một điểm nhấn quan trọng của QCVN 137:2025/BKHCN là việc phân tách rõ ràng các mô hình ký số, gắn với yêu cầu kỹ thuật và tiêu chuẩn quốc tế tương ứng.

Theo đó, mô hình ký số sử dụng thiết bị phần cứng lưu khóa bí mật như USB Token, Smartcard phải tuân thủ tiêu chuẩn ETSI EN 319 411-1. Mô hình ký số từ xa – đang được áp dụng rộng rãi trong ngân hàng số, dịch vụ công trực tuyến – phải đáp ứng ETSI TS 119 431-1 và ETSI TS 119 431-2. Mô hình ký số trên thiết bị di động cũng áp dụng ETSI EN 319 411-1, bảo đảm an toàn khi người dùng ký số trực tiếp trên smartphone hoặc tablet.

Việc viện dẫn trực tiếp các tiêu chuẩn ETSI (châu Âu) cho thấy định hướng hội nhập quốc tế rõ rệt, đồng thời mở ra khả năng công nhận và kết nối chữ ký số Việt Nam trong các giao dịch xuyên biên giới trong tương lai.

Trong lĩnh vực ngân hàng, ký số từ xa mang lại tiện lợi vượt trội cho khách hàng khi không cần thiết bị phần cứng riêng. Tuy nhiên, việc khóa bí mật được lưu trữ tập trung tại hệ thống của nhà cung cấp cũng làm gia tăng rủi ro nếu quy trình kiểm soát không đủ chặt chẽ.

QCVN 137:2025/BKHCN đặt ra yêu cầu kiểm soát đa lớp, xác thực mạnh, ghi vết đầy đủ và phân quyền rõ ràng đối với từng vai trò trong hệ thống. Đây được xem là "lớp phòng vệ" cần thiết để phòng ngừa nguy cơ giả mạo chữ ký, lạm dụng khóa bí mật hoặc gián đoạn dịch vụ – những rủi ro có thể gây hậu quả lớn khi chữ ký số được sử dụng trong các giao dịch giá trị cao.

Theo Thông tư 50/2025/TT-BKHCN, trừ trường hợp tổ chức cung cấp dịch vụ lựa chọn áp dụng trực tiếp quy định của Luật Giao dịch điện tử năm 2023, các tổ chức đang hoạt động hợp pháp phải hoàn thành việc rà soát, nâng cấp hệ thống, quy trình kỹ thuật và đội ngũ nhân sự để đáp ứng QCVN 137:2025/BKHCN trước ngày 10/4/2027.

Thông tư có hiệu lực từ ngày 01/7/2026 và chính thức thay thế Thông tư số 06/2015/TT-BTTTT và Thông tư số 16/2019/TT-BTTTT – những văn bản đã hoàn thành sứ mệnh trong giai đoạn đầu phát triển chữ ký số tại Việt Nam. Đối với các hồ sơ xin cấp phép đã nộp nhưng chưa được cấp phép, quy định cũ vẫn được áp dụng nhằm bảo đảm tính ổn định và liên tục pháp lý.

Giới chuyên gia đánh giá, việc ban hành QCVN 137:2025/BKHCN không chỉ là bước hoàn thiện kỹ thuật, mà còn là tuyên bố chính sách về cách Việt Nam xây dựng và bảo vệ niềm tin trong môi trường số. Khi dịch vụ chứng thực chữ ký số công cộng được chuẩn hóa và kiểm soát chặt chẽ, người dân và doanh nghiệp có cơ sở vững chắc hơn để yên tâm sử dụng giao dịch điện tử.

Trong bối cảnh chữ ký số đang dần trở thành "chìa khóa" giao dịch số của toàn xã hội, việc chuẩn hóa kỹ thuật ngay từ giai đoạn này được xem là yêu cầu tất yếu, mang ý nghĩa lâu dài cho phát triển dịch vụ công trực tuyến, thương mại điện tử, tài chính – ngân hàng và quản trị số trong những năm tới.