Chữ ký điện tử là gì? Hướng dẫn đầy đủ 2026

Một chữ ký điện tử là một tập hợp dữ liệu dưới dạng điện tử, được gắn hoặc liên kết logic với dữ liệu khác dưới dạng điện tử và mà người ký sử dụng để ký. Định nghĩa này, từ quy định eIDAS (quy định (EU) số 910/2014), bao quát phổ rộng các cơ chế kỹ thuật, từ đơn giản nhất (tích hộp, gõ tên) đến phức tạp nhất (chứng chỉ mật mã đủ điều kiện).

Trong luật Pháp, Điều 1367 Bộ luật Dân sự Pháp quy định rằng "chữ ký cần thiết cho sự hoàn thiện của một hành vi pháp lý xác định người đặt nó" và, khi nó là điện tử, nó "bao gồm việc sử dụng một quy trình nhận dạng đáng tin cậy đảm bảo liên kết của nó với hành vi mà nó gắn vào". Độ tin cậy của quy trình được giả định cho chữ ký đủ điều kiện theo nghĩa của eIDAS.

Cụ thể, một chữ ký điện tử thực hiện ba chức năng: nó nhận dạng người ký, nó thể hiện đồng ý của họ với nội dung tài liệu, và nó đảm bảo tính toàn vẹn của tài liệu (mọi sửa đổi sau khi ký đều có thể phát hiện được).

Cơ chế dựa trên hai trụ cột: xác thực người ký và tính toàn vẹn của tài liệu.

Để xác thực người ký, sử dụng một hoặc nhiều yếu tố nhận dạng: địa chỉ email đáng tin cậy (liên kết dùng một lần), mã OTP nhận qua SMS, chứng chỉ mật mã cá nhân, v.v. Để đảm bảo tính toàn vẹn, người ta tính dấu vết (hash) của tài liệu tại thời điểm ký. Nếu tài liệu bị sửa đổi sau đó, dấu vết không còn khớp — chữ ký bị vô hiệu.

Trong các giải pháp như Certyneo, quy trình dựa vào các thư viện xử lý PDF tích hợp siêu dữ liệu mật mã này trực tiếp vào tệp. Một audit trail có dấu thời gian (nhật ký hành động) bổ sung cho hệ thống bằng cách ghi lại mỗi bước: gửi, mở, OTP được xác thực, ký, v.v.

Về mặt kỹ thuật, nhiều cơ chế bảo mật được áp dụng để tăng cường tính bất khả xâm phạm của quy trình: dấu thời gian qualifié (RFC 3161) ghi lại bằng chứng thời gian được xác nhận trên mỗi chữ ký; mã hóa TLS 1.3 bảo vệ dữ liệu trong quá trình truyền; định vị địa lý và địa chỉ IP của người ký được ghi lại để theo dõi; cuối cùng, trong một số luồng (AES/QES), dữ liệu sinh trắc học hành vi (tốc độ gõ, áp lực) được bổ sung cho dấu vân tay định danh.

Khái niệm không thể chối cãi là trung tâm: nhờ vào audit trail được horodatage và ký kỹ thuật số, về mặt kỹ thuật không thể cho người ký phủ nhận rằng họ đã ký một tài liệu mà không làm giả chuỗi bằng chứng. Về lưu trữ, quy định pháp luật Pháp (sắc lệnh 2016-1673) yêu cầu lưu trữ trong 10 năm cho hầu hết các tài liệu thương mại — Certyneo đảm bảo lưu trữ này với giá trị chứng cứ trong môi trường lưu trữ độc lập (EU).

Ở Pháp, chữ ký điện tử được công nhận từ luật số 2000-230 ngày 13 tháng 3 năm 2000, luật này đã sửa đổi Bộ luật Dân sự Pháp để công nhận văn bản điện tử và chữ ký điện tử tương đương với phiên bản giấy. Điều 1366 quy định văn bản điện tử "có cùng giá trị chứng cứ như văn bản trên giấy".

Ở cấp độ châu Âu, quy định eIDAS (EU) số 910/2014 tạo ra một khuôn khổ pháp lý thống nhất cho chữ ký điện tử. Điều 25 đặt ra nguyên tắc không phân biệt: "không thể từ chối hiệu lực pháp lý và chấp nhận làm bằng chứng trước tòa đối với chữ ký điện tử chỉ vì chữ ký này ở dạng điện tử". Chữ ký đủ điều kiện (QES) được hưởng giả định pháp lý tương đương với chữ ký viết tay ở 27 quốc gia thành viên.

Đối với các tài liệu thông thường (hợp đồng thương mại, hợp đồng lao động, báo giá, NDA, ủy quyền), một chữ ký nâng cao (AES) mang lại sự cân bằng tuyệt vời giữa dễ sử dụng và bảo đảm pháp lý. Chữ ký đủ điều kiện (QES) được dành cho các văn bản có giá trị rất cao hoặc các tình huống mà quy định ngành yêu cầu rõ ràng.