Dấu thời gian trong chữ ký số - Người làm chứng số khách quan nhất của văn bản điện tử

Lỗ hổng từ thời gian máy tính cá nhân

Thông thường, khi ký một tệp PDF, phần mềm sẽ mặc định lấy thời gian hệ thống, tức đồng hồ hiển thị ở góc màn hình, để ghi nhận làm "thời gian ký". Về mặt pháp lý, đây là một điểm yếu nghiêm trọng.

Đồng hồ máy tính cá nhân rất dễ bị chỉnh sửa. Một cá nhân hoàn toàn có thể lùi ngày giờ về một tháng trước để ký khống hợp đồng, hợp thức hóa hồ sơ hoặc né tránh vi phạm cam kết.

Để khắc phục điều này, Dấu thời gian (TSA) ra đời. Do một bên thứ ba độc lập cấp và được đồng bộ trực tiếp với đồng hồ nguyên tử chuẩn quốc gia, không một ai, kể cả người ký, có thể can thiệp hay thay đổi mốc thời gian này. Vậy, dấu thời gian là gì?

Dấu thời gian (Time Stamp) là một đoạn dữ liệu mã hóa được gắn chặt vào tệp đã ký. Chức năng của nó là chứng minh sự tồn tại của dữ liệu tại một thời điểm cụ thể, được xác nhận bởi một bên thứ ba uy tín gọi là Cơ quan cấp Dấu thời gian (TSA - Time Stamping Authority).

Tại Việt Nam, hệ thống này do Ban Cơ yếu Chính phủ quản lý và vận hành, đảm bảo tính độc lập và trung lập tuyệt đối đối với tất cả các bên tham gia ký kết.

Cơ chế hoạt động

Khi người dùng nhấn nút ký số, toàn bộ quá trình sau sẽ diễn ra trong tích tắc:

1. Băm nội dung văn bản: Phần mềm ký tạo ra một chuỗi mã băm (hash) đại diện cho toàn bộ nội dung văn bản. Chỉ cần nội dung bị thay đổi dù chỉ một ký tự, chuỗi hash này sẽ biến đổi hoàn toàn.

2. Gửi lên máy chủ TSA: Chuỗi mã băm được gửi đến máy chủ TSA, nơi được đồng bộ với đồng hồ nguyên tử chuẩn quốc gia, hoạt động liên tục và độc lập.

3. TSA ký và đóng dấu: Máy chủ ghi nhận thời gian chính xác tại khoảnh khắc nhận được yêu cầu, ghép mốc thời gian này vào mã băm, sau đó dùng khóa bí mật riêng của TSA để ký xác nhận lại toàn bộ gói dữ liệu đó.

4. Nhúng vào tệp PDF: Đoạn dữ liệu “Dấu thời gian” được trả về và nhúng thẳng vào tệp cùng với chữ ký của người dùng. Hai yếu tố này gắn kết chặt chẽ và không thể tách rời.

Tầm quan trọng của Dấu thời gian về mặt pháp lý

Dấu thời gian không chỉ là thông tin mang tính bổ sung, nó là cơ sở cốt lõi để xác thực hiệu lực pháp lý của văn bản trong suốt vòng đời lưu trữ.

Chống gian lận thời gian: Vì mốc thời gian được cấp bởi tổ chức TSA độc lập, không ai có thể can thiệp để lùi hay tiến ngày trên văn bản đã được đóng dấu.

Xác thực hiệu lực lâu dài (Long-Term Validation): Mọi chứng thư số đều có thời hạn sử dụng. Giả sử đến năm 2030, chúng ta mở lại một văn bản được ký từ năm 2026, lúc này chứng thư số có thể đã hết hạn. Hệ thống sẽ sử dụng Dấu thời gian để "chốt" mốc ký, sau đó tra cứu hệ thống (OCSP/CRL) để kiểm tra xem: vào đúng ngày giờ đó, chứng thư số có còn hiệu lực hay không? Nhờ cơ chế này, văn bản vẫn giữ nguyên giá trị pháp lý về sau.

Checklist xác thực văn bản điện tử trên thực tế

Trên một văn bản ký số hợp lệ, các thông tin sau cần được xác nhận đồng thời để bảo đảm tính pháp lý toàn diện:

Dấu thời gian: Phải có. Xác nhận thời gian được lấy từ máy chủ chuẩn của tổ chức cấp, không phải từ máy tính của người dùng.

Hợp lệ tại thời điểm ký: Chứng thư số phải đang trong tình trạng có hiệu lực vào đúng ngày giờ thực hiện ký.

Trạng thái OCSP (Chưa bị thu hồi): Đảm bảo chứng thư số không bị đình chỉ hay thu hồi trước thời hạn.

Kết luận

Dấu thời gian chính là “người làm chứng số” khách quan nhất trong hệ thống chữ ký điện tử. Bằng cách khóa chặt thời điểm ký với đồng hồ chuẩn quốc gia, nó bảo vệ văn bản khỏi mọi hành vi gian lận và đảm bảo giá trị pháp lý lâu dài ngay cả khi chứng thư số đã hết hạn. Một văn bản điện tử thiếu Dấu thời gian hợp lệ đồng nghĩa với việc thiếu bằng chứng pháp lý về thời điểm, và rủi ro này hoàn toàn có thể vô hiệu hóa tính pháp lý của toàn bộ chữ ký.