Chữ ký điện tử hoạt động như thế nào vào năm 2026

Giới thiệu

Chữ ký điện tử ngày nay là trung tâm của quá trình chuyển đổi số của các doanh nghiệp: vào năm 2025, hơn 70% các tổ chức lớn châu Âu đã tích hợp nó vào ít nhất một quy trình hợp đồng (nguồn: Gartner, Digital Process Automation Survey 2025). Tuy nhiên, ít người quyết định hiểu rõ các cơ chế làm cho nó có hiệu lực pháp lý và không thể giả mạo về mặt kỹ thuật. Hiểu rõ cách hoạt động kỹ thuật của chữ ký điện tử — mã hóa, PKI, chứng chỉ — cho phép bạn chọn giải pháp phù hợp, giảm rủi ro pháp lý và tăng tốc độ áp dụng nội bộ. Bài viết này hướng dẫn bạn từng bước qua kiến trúc kỹ thuật và các tiêu chuẩn quản lý chữ ký điện tử vào năm 2026.

---

Nền tảng mã hóa của chữ ký điện tử

Chữ ký điện tử dựa trên các nguyên tắc mã hóa được chứng minh. Hiểu rõ các cơ chế này là cách để hiểu tại sao nó đáng tin cậy hơn chữ ký viết tay được số hóa.

Mã hóa bất đối xứng: khóa công khai và khóa riêng tư

Nguyên tắc cơ bản là mã hóa bất đối xứng, được phát minh vào những năm 1970 và được chuẩn hóa bởi các thuật toán như RSA (Rivest–Shamir–Adleman) hoặc đường cong elliptic (ECDSA). Mỗi người ký sở hữu hai khóa có liên quan toán học:

• Khóa riêng tư: được lưu giữ bí mật bởi người ký, trên một thiết bị an toàn (thẻ thông minh, token HSM, hoặc mô-đun phần mềm được bảo vệ). Nó được sử dụng để tạo chữ ký.
• Khóa công khai: được phân phối tự do, được bao gồm trong chứng chỉ kỹ thuật số. Nó được sử dụng để xác minh chữ ký.

Nguyên tắc bảo mật dựa trên sự bất đối xứng tính toán: đó là điều tầm thường về mặt toán học để xác minh chữ ký với khóa công khai, nhưng thực tế là không thể phục hồi khóa riêng tư từ khóa công khai (bài toán logarit rời rạc hoặc phân tích thừa số của các số nguyên lớn).

Các hàm băm: dấu vân tay kỹ thuật số của tài liệu

Trước khi ký, hệ thống tính toán một dấu vân tay mã hóa của tài liệu thông qua hàm băm (SHA-256 hoặc SHA-3 vào năm 2026). Dấu vân tay này, được gọi là hash hoặc condensat, là một chuỗi ký tự có kích thước cố định (256 bit cho SHA-256) đại diện duy nhất cho nội dung của tài liệu.

Thuộc tính thiết yếu: sửa đổi một ký tự duy nhất của tài liệu sẽ tạo ra một hash hoàn toàn khác. Đây là cách đảm bảo tính toàn vẹn của tài liệu đã ký: bất kỳ thay đổi nào sau chữ ký đều có thể phát hiện ngay lập tức.

Chữ ký điện tử thực sự là do đó mã hóa hash này với khóa riêng tư của người ký. Khi xác minh, người nhận:

1. Giải mã chữ ký với khóa công khai để lấy lại hash ban đầu;
2. Tính toán lại hash của tài liệu nhận được;
3. So sánh cả hai: nếu giống nhau, chữ ký hợp lệ.

---

Cơ sở hạ tầng khóa công khai (PKI): chuỗi tin tưởng

Chỉ có mã hóa là chưa đủ: bạn cũng phải chứng minh rằng khóa công khai thực sự thuộc về người tuyên bố sở hữu nó. Đây là vai trò của PKI (Public Key Infrastructure) — hoặc Cơ sở hạ tầng khóa công khai.

Các cơ quan cấp chứng chỉ (CA)

Một Cơ quan cấp chứng chỉ (AC hoặc CA) là một bên thứ ba đáng tin cậy được công nhận cấp chứng chỉ kỹ thuật số. Chứng chỉ kỹ thuật số là một tệp được chuẩn hóa (định dạng X.509) chứa:

• Danh tính của người nắm giữ (tên, tổ chức, email);
• Khóa công khai của anh ta;
• Thời gian hiệu lực;
• Chữ ký kỹ thuật số của chính AC.

Ở châu Âu, các CA được công nhận được liệt kê trong Trusted Lists được xuất bản bởi từng nước thành viên EU phù hợp với quy định eIDAS. Ở Pháp, ANSSI xuất bản và duy trì danh sách này. Các nhà cung cấp dịch vụ tin tưởng được công nhận (QTSP) — chẳng hạn như CertSign, Certigna, hoặc Universign — phải tuân theo các cuộc kiểm toán thường xuyên theo tiêu chuẩn ETSI EN 319 401.

Chuỗi chứng chỉ và hủy bỏ

PKI hoạt động theo mô hình phân cấp:

• Một AC gốc (Root CA) tự ký, được lưu giữ ngoại tuyến trong các điều kiện bảo mật vật lý tối đa;
• Các AC trung gian phát hành chứng chỉ cho người dùng cuối cùng.

Hủy bỏ chứng chỉ là một cơ chế quan trọng: nếu khóa riêng tư bị xâm phạm, AC công bố tính không hợp lệ của nó thông qua CRL (Certificate Revocation List) hoặc thông qua giao thức OCSP (Online Certificate Status Protocol), cho phép xác minh thời gian thực.

Đối với chữ ký điện tử được công nhận theo eIDAS, khóa riêng tư phải được tạo và lưu giữ trong một QSCD (Qualified Signature Creation Device) — thiết bị được chứng nhận CC EAL4+ hoặc cao hơn, chẳng hạn như thẻ thông minh hoặc HSM (Hardware Security Module).

---

Ba cấp độ chữ ký theo eIDAS

Quy định châu Âu eIDAS n° 910/2014 (và phát triển của nó eIDAS 2.0 đang được triển khai) xác định ba cấp độ chữ ký, mỗi cấp độ dựa trên các đảm bảo kỹ thuật ngày càng tăng. Để tìm hiểu sâu hơn về khung quy định này, hãy tham khảo hướng dẫn đầy đủ về quy định eIDAS.

Chữ ký điện tử đơn giản (SES)

Chữ ký đơn giản là hình thức ít ràng buộc nhất về mặt kỹ thuật. Nó có thể đơn giản như một hộp kiểm, mã OTP (One-Time Password) được gửi qua SMS, hoặc hình ảnh chữ ký viết tay. Nó không nhất thiết phải liên quan đến chứng chỉ được công nhận.

Cách sử dụng điển hình: xác nhận dự thầu, sự đồng ý tiếp thị, hợp đồng có rủi ro thấp.

Rủi ro: giá trị pháp lý hạn chế trong trường hợp tranh chấp. Gánh nặng chứng minh nằm trên người gọi chữ ký.

Chữ ký điện tử nâng cao (AdES)

Chữ ký nâng cao đáp ứng bốn yêu cầu kỹ thuật chính xác (điều 26 eIDAS):

1. Nó được liên kết với người ký một cách duy nhất;
2. Nó cho phép xác định người ký;
3. Nó được tạo từ dữ liệu dưới sự kiểm soát độc quyền của người ký;
4. Nó cho phép phát hiện bất kỳ sửa đổi nào sau đó của tài liệu.

Cụ thể, điều này liên quan đến việc sử dụng chứng chỉ kỹ thuật số cá nhân và một cơ chế xác thực mạnh. Các định dạng tiêu chuẩn được xác định bởi ETSI: PAdES (cho PDF), XAdES (XML), CAdES (dữ liệu nhị phân) và JAdES (JSON), tất cả được chuẩn hóa trong loạt ETSI EN 319 100.

Chữ ký điện tử được công nhận (QES)

Chữ ký được công nhận là cấp độ cao nhất. Nó đòi hỏi:

• Một chứng chỉ được công nhận được cấp bởi QTSP được công nhận eIDAS;
• Một QSCD để tạo chữ ký.

Nó được hưởng lợi từ một giả định pháp lý về độ tin cậy và tương đương pháp lý với chữ ký viết tay trên toàn Liên minh châu Âu (điều 25 eIDAS). Đây là cấp độ cần thiết cho các tài liệu xác thực điện tử, một số tài liệu công chứng, hoặc các đấu thầu công khai nhạy cảm.

So sánh các giải pháp chữ ký điện tử của chúng tôi phân tích sự khác biệt thực tế giữa các cấp độ này để giúp bạn lựa chọn.

---

Quy trình hoàn chỉnh của chữ ký điện tử từng bước một

Đây là cách một giao dịch chữ ký điện tử thực sự diễn ra trên nền tảng SaaS như Certyneo:

Bước 1: chuẩn bị và gửi tài liệu

Người khởi tạo chữ ký tải tài liệu (hợp đồng, bổ sung, đơn đặt hàng) lên nền tảng. Hệ thống ngay lập tức tạo một hash SHA-256 của tệp gốc, với dấu thời gian và được lưu giữ một cách bất biến. Dấu vân tay này sẽ được sử dụng làm tài liệu tham khảo cho bất kỳ xác minh nào trong tương lai.

Bước 2: xác thực người ký

Tùy thuộc vào cấp độ chữ ký được chọn, xác thực thay đổi:

• SES: email + liên kết chữ ký;
• AdES: xác thực mạnh (OTP SMS, ứng dụng di động FIDO2);
• QES: xác minh danh tính trước (mặt đối mặt hoặc IDV video), cấp chứng chỉ được công nhận để sử dụng một lần hoặc liên tục.

Bước 3: tạo chữ ký mã hóa

Người ký kích hoạt hành động ký. Nền tảng (hoặc QSCD):

1. Tính toán hash của tài liệu;
2. Mã hóa hash này với khóa riêng tư của người ký;
3. Tích hợp chữ ký và chứng chỉ vào tài liệu (PDF được ký ở định dạng PAdES-LTV để bảo quản dài hạn).

Bước 4: dấu thời gian được công nhận

Một dịch vụ dấu thời gian được công nhận (TSA) tuân thủ tiêu chuẩn RFC 3161 áp dụng một timestamp mã hóa, chứng minh rằng chữ ký tồn tại tại một thời điểm cụ thể. Điều này bảo vệ chống lại sự giả mạo ngày tháng và đảm bảo giá trị pháp lý theo thời gian — ngay cả khi chứng chỉ của người ký hết hạn sau đó.

Bước 5: lưu trữ pháp lý

Tài liệu được ký được lưu trữ với dấu vết kiểm toán hoàn chỉnh: danh tính người ký, địa chỉ IP, dấu thời gian, hash tài liệu, chứng chỉ được sử dụng. Hồ sơ bằng chứng này (audit trail) là cần thiết trong trường hợp tranh chấp pháp lý. Các giải pháp tuân thủ eIDAS duy trì những bằng chứng này ở định dạng PAdES-LTV (Long-Term Validation) tích hợp dữ liệu xác thực để cho phép xác minh nhiều năm sau khi chữ ký.

Để hiểu cách tích hợp quy trình này vào quy trình nhân sự của bạn, hãy khám phá giải pháp chữ ký điện tử cho nhân sự của chúng tôi và mẫu hợp đồng có thể tải xuống.

Khung pháp lý áp dụng cho chữ ký điện tử

Chữ ký điện tử nằm trong khung chuẩn mực đa lớp, điều phối luật dân sự quốc gia và luật châu Âu hóa.

Bộ Luật Dân sự Pháp

Điều 1366 của Bộ Luật Dân sự đặt ra nguyên tắc cơ bản: "Chữ viết điện tử có hiệu lực pháp lý tương tự như chữ viết trên giấy, với điều kiện là có thể xác định được đúng người phát hành và nó được thiết lập và lưu giữ trong các điều kiện nhằm đảm bảo tính toàn vẹn của nó." Điều 1367 làm rõ rằng chữ ký điện tử "bao gồm việc sử dụng một quy trình xác định đáng tin cậy đảm bảo liên kết của nó với hành động mà nó gắn liền."

Sắc lệnh n° 2017-1416 ngày 28 tháng 9 năm 2017 xác định giả định độ tin cậy cho các chữ ký được công nhận và nâng cao phù hợp với eIDAS.

Quy định eIDAS n° 910/2014

Góc đá của luật châu Âu về tin tưởng kỹ thuật số, quy định eIDAS (electronic IDentification, Authentication and trust Services) thiết lập khung pháp lý thống nhất cho chữ ký điện tử, tem điện tử, dấu thời gian được công nhận, dịch vụ gửi được giới thiệu và chứng chỉ xác thực trang web. Điều 25 của nó, khoản 2, cấp cho chữ ký được công nhận một giả định pháp lý về tương đương với chữ ký viết tay trên toàn bộ EU.

Quy định eIDAS 2.0 (đang được chuyển đổi vào quý 1 năm 2026) tăng cường những quy định này với ví điện tử danh tính kỹ thuật số châu Âu (EUDIW) và mở rộng các nghĩa vụ cho các thị trường dịch vụ tài chính và chăm sóc sức khỏe.

Tiêu chuẩn ETSI

Các định dạng chữ ký được chuẩn hóa bởi ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) xác định các hồ sơ kỹ thuật của chữ ký nâng cao và được công nhận;
• ETSI EN 319 421 quản lý các chính sách của các dịch vụ dấu thời gian được công nhận.

RGPD và bảo vệ dữ liệu

Xử lý dữ liệu danh tính trong bối cảnh chữ ký điện tử (tên, email, sinh trắc học để xác minh danh tính) phải tuân thủ RGPD n° 2016/679. Người chịu trách nhiệm xử lý phải: có cơ sở pháp lý (lợi ích hợp pháp hoặc thực hiện hợp đồng), áp dụng nguyên tắc tối thiểu hóa dữ liệu, và đảm bảo bảo mật bằng các biện pháp kỹ thuật thích hợp (mã hóa, giả danh).

Chỉ thị NIS2

Chỉ thị NIS2 (2022/2555/UE), được chuyển đổi vào luật pháp Pháp kể từ tháng 10 năm 2024, áp đặt cho các nhà khai thác dịch vụ thiết yếu và các nhà cung cấp dịch vụ kỹ thuật số (bao gồm các nhà cung cấp chữ ký điện tử) các nghĩa vụ gia tăng về an ninh mạng, quản lý rủi ro và thông báo sự cố trong vòng 24 giờ. Không tuân thủ sẽ tiếp xúc với các hình phạt có thể đạt 10 triệu euro hoặc 2% doanh thu toàn cầu.

Các kịch bản sử dụng cụ thể của chữ ký điện tử

Kịch bản 1: một văn phòng luật kinh tế tự động hóa ký ủy quyền

Một văn phòng luật kinh tế có khoảng một chục nhân viên xử lý trung bình 120 ủy quyền đại diện mỗi tháng. Thủ tục giấy liên quan đến in, gửi bằng đường bưu điện hoặc trao tay, sau đó số hóa các tài liệu được gửi lại — tạo ra độ trễ trung bình 4,5 ngày làm việc cho mỗi hồ sơ và tỷ lệ mất tài liệu ước tính là 8%.

Bằng cách triển khai chữ ký điện tử nâng cao (AdES) với xác thực OTP, văn phòng đã giảm độ trễ ký xuống dưới 4 giờ trung bình, giảm tỷ lệ bất thường tài liệu xuống dưới 1%, và tiết kiệm khoảng 2.200 € mỗi năm về chi phí bưu điện và in. Dấu vết kiểm toán được tạo tự động cũng đã đơn giản hóa hai thủ tục tranh chấp ủy quyền, cung cấp bằng chứng dấu thời gian không thể chối cãi. Khám phá giải pháp chuyên dụng của chúng tôi cho các công ty luật pháp lý.

Kịch bản 2: một SME công nghiệp số hóa hợp đồng nhà cung cấp của mình

Một SME công nghiệp quản lý khoảng 200 hợp đồng nhà cung cấp mỗi năm (điều khoản và điều kiện chung của các bài mua, bổ sung giá, NDA) chịu độ trễ ký có thể vượt quá ba tuần cho các hợp đồng xuyên biên giới với các đối tác ở Đức và Tây Ban Nha. Sự khác biệt về hệ thống pháp lý và sự thiếu công nhận lẫn nhau đã làm chậm các cuộc đàm phán.

Bằng cách áp dụng chữ ký được công nhận (QES) được cấp bởi QTSP được công nhận eIDAS, được công nhận trên toàn EU, SME đã được hưởng lợi từ công nhận pháp lý tự động ở ba quốc gia mà không cần bất kỳ hợp pháp hóa bổ sung nào. Độ trễ ký trung bình xuyên biên giới đã giảm từ 18 ngày xuống 2,5 ngày. Chữ ký điện tử trong doanh nghiệp chi tiết các lợi ích này cho các đội mua hàng.

Kịch bản 3: một nhóm bệnh viện bảo vệ sự đồng ý minh bạch của bệnh nhân

Một nhóm bệnh viện gồm khoảng 800 giường phải thu thập sự đồng ý minh bạch của bệnh nhân cho các giao thức nghiên cứu lâm sàng. Quản lý giấy tạo ra rủi ro tuân thủ RGPD (tài liệu không được lưu trữ đúng cách, ngày không thể theo dõi) và huy động nhân viên y tế cho các nhiệm vụ hành chính.

Bằng cách tích hợp chữ ký điện tử đơn giản với xác định qua mã SMS — đủ cho các hành động không phải tuân thủ yêu cầu được công nhận — nhóm bệnh viện đã tự động hóa việc thu thập, lưu trữ và theo dõi sự đồng ý. Thời gian hành chính cho mỗi bệnh nhân đã giảm từ 12 phút xuống dưới 2 phút, giải phóng khoảng 800 giờ chăm sóc mỗi năm. Tất cả các tài liệu được lưu trữ với dấu thời gian được công nhận, hoàn toàn đáp ứng các yêu cầu của CNIL. Khám phá giải pháp chữ ký cho chăm sóc sức khỏe của chúng tôi.

Kết luận

Hiểu rõ cách hoạt động kỹ thuật của chữ ký điện tử — từ mã hóa bất đối xứng đến PKI, từ chứng chỉ được công nhận đến dấu thời gian pháp lý — là không thể thiếu để đưa ra những lựa chọn sáng suốt về tuân thủ và hiệu quả operaional. Ba cấp độ eIDAS (đơn giản, nâng cao, được công nhận) đáp ứng các nhu cầu khác nhau, và lựa chọn phải luôn được hướng dẫn bởi phân tích rủi ro pháp lý và giá trị pháp lý mong đợi.

Certyneo hỗ trợ bạn trong quá trình chuyển đổi này với nền tảng SaaS tuân thủ eIDAS, QTSP được công nhận và tích hợp đơn giản hóa vào các quy trình hiện có của bạn. Ước tính các lợi nhuận tiềm tàng cho tổ chức của bạn nhờ máy tính ROI chữ ký điện tử của chúng tôi, hoặc bắt đầu ngay bằng cách tham khảo các gói và giá cả của chúng tôi. Tuân thủ và hiệu suất không còn là sự thỏa hiệp nữa.