Làm thế nào để bảo mật và phòng chống việc sao chép hình ảnh chữ ký điện tử?

Em thấy một số ứng dụng có tính năng quét ảnh chữ ký và ghép vào tài liệu hoặc hỗ trợ ký điện tử.
Tuy nhiên, em lo ngại về rủi ro hình ảnh chữ ký bị sao chép và dán vào các tài liệu khác một cách tự do trái phép.

Làm sao để ngăn chặn điều này ạ, khi mà dường như tính năng quét ảnh chữ ký của ứng dụng trở nên vô nghĩa ?

Chữ ký điện tử không phải là mình chèn cái hình của chữ ký vô trang giấy là xong. Giải thích thì hơi dài dòng, bạn có thể google thêm bằng tiếng Việt để nắm thông tin cơ bản

Từ đó bạn hiểu duoc nguyên tắc xác thực của loại chữ ký này, nên việc lo lắng nó sẽ nằm ở chỗ khác

Ví dụ, môt tài liệu (PDF) đã được “ký” chữ ký điện tử, thì cái tài liệu đó chỉ có thể read-only thôi. Bạn không edit duoc, muốn edit thì bạn copy nội dung, làm thành file khác, nhưng file mới đó không có cái chữ ký điện tử kia.

Còn việc chèn cái hình chữ ký vô văn bản, thì nó như cái hình bình thường thôi, không phải là chữ ký điện tử

4 Likes

Dạ làm sao để mình phân biệt được chữ ký ở 2 tài liệu, 1 tài liệu được kí lần đầu, 1 tài liệu được cắt và ghép chữ ký vào (biết nó là hình bình thường, không phải chữ ký) khi nó giống hệt và không có dấu mực ạ ?

Ví dụ, môt tài liệu (PDF) đã được “ký” chữ ký điện tử, thì cái tài liệu đó chỉ có thể read-only thôi. Bạn không edit duoc, muốn edit thì bạn copy nội dung, làm thành file khác, nhưng file mới đó không có cái chữ ký điện tử kia.

Còn việc chèn cái hình chữ ký vô văn bản, thì nó như cái hình bình thường thôi, không phải là chữ ký điện tử.

Trong trường hợp làm hop đồng điện tử, thì bạn có thể “ký” chữ ký điện tử của bạn vô cái hop đồng đã đươc ký bở đối tác, nhưng bạn không edit duoc hop đồng đó

1 Like

Vâng, không edit được, nhưng kẻ xấu không có nhu cầu edit, mà hắn ta chỉ muốn sao chép chữ ký.

Em biết 1 là cái chữ ký hợp lệ, 2 là hình bình thường, nhưng với công nghệ hiện nay thì làm sao để phân biệt là chữ ký đó là giả mạo ?
Kẻ xấu có thể xóa background, trích xuất, làm mịn, dùng AI, v.v để nó giống y hệt với việc ký lần đầu, chứ không ngốc để chèn ảnh gốc vào như cái hình bình thường

Giống như xét OAuth and Auth0 user vậy, có cách đơn giản và cách phức tạp, bạn chọn xài cái nào thì bạn tìm hiểu rõ cách thức hoạt động và rủi ro cũng như sự bất tiện/tiện lợi của nó

Bạn đâu thể chọn cách đơn giản, nhiều rủi ro để làm xong rồi ngồi nói sao nó dễ bị bypass quá được

2 Likes

Em tìm hiểu tính năng đó cho app cần làm.
Có một số app đã tồn tại cung cấp tính năng đó, nhưng chính tính năng này lại hỗ trợ bypass luôn.

Em sẽ cân nhắc thêm, cảm ơn anh

Bạn đọc thêm về chữ ký điện tử đi, có vẻ bạn chưa hiểu về nó. Chữ ký điện tử giống như bạn đi ra cơ quan công chứng hoặc làm sổ đỏ nhà đất ở nhà nước hoặc bạn thi IELTS ấy. Nghĩa là có bên thứ 3 đảm tránh việc lưu trữ chữ ký. Cho nên, bạn không thi IELTS mà bạn làm Photoshop hay gì gì đó thì người ta chỉ cần tra trên trang của tổ chức là ra ngay. Tương tự, bằng cấp đại học cũng vậy, ngày nay nhiều ứng viên nộp bằng giả xin việc, bị nhân sự phát hiện ra ngay vì họ liên hệ với trường, không có trong danh sách cấp bằng là… bùm.

Cho nên “kẻ xấu sao chép chữ ký” là sao cái gì bạn? Cái chữ ký đó lưu ở bên thứ 3, không có key thì chịu chết.

Tương tự vậy, giờ đây có kẻ xấu lấy đuọc nick mình, nhưng “chữ ký” chính là giọng văn của mình, kẻ xấu ấy có viết bài lên đây mạo nhận mình thì mấy anh em ở đây phát hiện ra ngay :smiley:

1 Like

Chữ ký điện tử ở trường hợp em đề cập chỉ là một cái ảnh ghép, nên mạo danh rất dễ, nên tính năng ký ở đây lại trở nên vô nghĩa nhất là khi có bên thứ 3 bảo chứng rồi.

Và không phải lúc nào cũng có bên thứ 3, đôi khi nó chỉ là một đơn xin của 1 cá nhân, nếu dễ mạo danh thế, thì không ai công nhận tính hợp lệ của chữ ký ghép ảnh đó cả, nên nó cũng không có giá trị.

Vậy thì cái đó không gọi là chữ ký điện tử hoặc bạn phải giải thích với người khác (rất mệt mỏi khi đẻ ra cái tên A, ý nghĩa B) cụ thể cái việc chèn cái hình ảnh vào chỗ trên văn bản kia gọi là gì.

Vì nếu cái bạn đang nói hiểu đó là “chữ ký điện tử” thì SAI BÉT, vớ vẩn. Chữ ký điện tử có giá trị pháp lý, còn cái bạn đang nói không có giá trị pháp lý, nó không khác gì chữ ký nhìn thấy trong bản photocopy văn bản giấy mà không có công chứng. Cách đó thường dùng khi 1 công ty lớn người ta in chữ ký vào thiệp giấy/ thư chúc mừng do chủ tịch công ty gửi nhân viên thôi, nó mang tính tượng trưng/ vui là chính, không có giá trịị gì về mặt luật pháp.

Mình dám nói như trên là vì ngày xưa mình phải gửi thư rất nhiều, mỗi lần 1000 thư là bình thường và chèn chữ ký của sếp (như bạn nói đấy) vào như vậy thì đi ra văn phòng luật sư để hỏi, ông luật sư cười rung cả bàn ghế và nói “về học lại nghiệp vụ hành chính văn phòng đi em” :smiley: Xong, mình hỏi giờ làm sao? Thời đó chưa có chữ ký điện tử nên ông luật sư mới nói với mình là sử dụng máy Fax nếu không thể thuyết phục sếp dùng “chữ ký sống” vì văn bản trên máy Fax có giá trị pháp lý.

4 Likes

Vâng cảm ơn bác.
Vậy bác thấy sao về ảnh này khi ảnh cho rằng chữ ký điện tử có thể scan qua ảnh, dùng màu xanh, và chỉ lưu hành trên internet thay vì photo. Có phải mô tả này đang sai hay không ?

Túm lại là cái bạn nói thì là một phần của chữ ký điện tử, nó mới là điều kiện cần, chưa có điều kiện đủ. Để nó có giá trị pháp lý thì hoặc người ta chuyển sang dùng tập con của nó, tức chữ ký số, hoặc vẫn dùng chữ ký như bạn đang nói và kèm theo các yếu tố do luật quy định sau:

Theo Điều 22 Luật Giao dịch điện tử 2005 về điều kiện để bảo đảm an toàn cho chữ ký điện tử được quy định như sau:

Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng an toàn do các bên giao dịch thỏa thuận và đáp ứng được 04 điều kiện sau đây:

  • Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng.

  • Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.

  • Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện.

  • Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.

Chữ ký điện tử đã được tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử chứng thực được xem là bảo đảm các điều kiện an toàn 04 quy định nêu trên.

Còn nếu không đặt ra việc liên quan đến pháp luật, viêc chèn hình ảnh chữ ký vào văn bản cho có vẻ là “đây là văn bản thật, được ký đàng hoàng” thì xem ra cũng vui mắt hơn là ghi “Đã ký và đóng dấu”.

Chuyện kẻ gian nào đó dùng chữ ký hình ảnh kia mà lừa được ai đó thì đó lại là việc khác rồi, nó không phải là chuyện bảo mật liên quan CNTT gì ở đây hết, nó là chuyện không hiểu biết gì về luật pháp. Cái đó nằm ngoài phạm vi của việc lập trình, và “chống sao chép” là vô phương, bạn KHÔNG có khả năng chống khi mà người ta có thể xem được trên màn hình, họ có thể đơn giản là vẽ lại y chang bằng bút mà không cần công nghệ gì cao siêu.

5 Likes

“Ký điện tử” và “ký số” là 2 khái niệm khác nhau. Mọi người thường nhầm lẫn 2 khái niệm này. Các bác bên trên đang nói đến “ký số” (cái này mình thấy quan trọng và cần thiết hơn) còn bạn đang hiểu là “ký điện tử”. Bạn có thể xem video này để hiểu rõ https://youtu.be/j8qYJcRcsYg (video của Adobe - chuyên làm phần mềm xác thực tài liệu đã ký số). Còn bạn muốn biết quy trình ký như thế nào thì vào search google “Viettel CA”, “FPT CA”, “Misa CA” web của họ có giải thích cho người sử dụng phổ thông, không dùng thuật ngữ IT rất dễ hiểu. Còn muốn hiểu kỹ nữa thì chi 500k mua usb token về ký vào file word thử.

3 Likes

Hóa ra vẫn có nhiều người kể cả “dân IT” vẫn nghĩ cái screenshot hình chữ ký dán vô file word là “chữ ký điện tử” !

Cái hình đó thì học sinh lớp 1 cũng copy được, chống kiểu gì ?

3 Likes

Thì nó vẫn là “chữ ký điện tử” mà, chỉ là ở mức rất thấp, như xác nhận nội dung của file thôi.

Giống như khi tải phần mềm về thì người ta cung cấp “chữ ký” là mã MD5 của nó để check, giúp user tránh download hàng phake, có chèn mã độc thôi,

Chỉ là bạn này chưa biết "chữ ký điện tử"cần sử dụng trong trường hợp nào và loại nào phù hợp cho nhu cầu đó thôi

2 Likes

Câu đầu tạm chấp nhận được theo kiểu cái gì trên máy tính thì gọi là “điện tử”.
So sánh với cái MD5 hơi bị khập khiễng!

MD5 Checksum vẫn được sử dụng rộng rãi, và nó rõ ràng là 1 loại signature

Thực ra cái mã md5 nó đã là 1 dạng cấp tiến chữ kí theo ngôn ngữ của máy tính hơn rồi. Đối nghịch với chữ kí điện tử được hiển thị dưới dạng ảnh (chữ kí loại này là analog theo cách mà con người kí không phải là kí theo ngôn ngữ máy tính) mà chủ topic đang nghĩ đến. Nên đoạn đầu bạn nói thì ổn nhưng đoạn ví dụ lại không ăn nhập

Một văn bản, có text và chèn hình chữ ký, thì có MD5 checksum của nó. Sao lại không ăn nhập ta?

Cái điểm chính ở đây là bạn phải xét trên việc cái được gọi là chữ kí đó được hình thành như thế nào và nó đóng vai trò gì.
MD5 được gọi là 1 dạng chữ kí thô sơ vì nó được hình thành từ dữ liệu mà nó đảm bảo, ngược lại với ảnh chữ kí được đính kèm vào không đại diện cho gì cả

83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao?