Làm thế nào để bảo mật và phòng chống việc sao chép hình ảnh chữ ký điện tử?

Ây da, cuối cùng là mình thấy mình nói không có sai, và comment này của bạn thì ý cũng chỉ lặp lại những gì đã nói ở trên thôi mà?!

Không bạn ơi, cái mình đang phản biện là ý ví dụ và cái chữ kí dạng ảnh của bạn không hề ăn nhập với nhau. Như chính bạn cũng thừa nhận ảnh chữ kí cũng cần md5 để xác nhận vậy nên bản chất chữ kí hình ảnh là không có ý nghĩa. Còn về ý kiến chữ kí dạng hình ảnh là chữ kí điện tử thì mình không có ý kiến gì vì suy cho cùng mọi thứ thể hiện trên máy tính đều là điện tử và không thể phủ nhận được nhưng định nghĩa kiểu vậy thì cũng chẳng ra được cái gì, nếu nói kiểu vậy thì file âm thanh cũng có thể gọi là chữ kí điện tử được

Ở trên mình nói là:

Thì nó vẫn là “chữ ký điện tử” mà, chỉ là ở mức rất thấp, như xác nhận nội dung của file thôi.
Giống như khi tải phần mềm về thì người ta cung cấp “chữ ký” là mã MD5 của nó để check, giúp user tránh download hàng phake, có chèn mã độc thôi…

Cái “nó” ở đây là “screenshot hình chữ ký dán vô file word” được nói ở comment phía trên.

Bên dưới mình giải thích lại, “một văn bản, có text và chèn hình chữ ký, thì có MD5 checksum của nó”

Thì cái mình giải thích và ví dụ là phù hợp, sao lại nó là không ăn nhập?

Bạn nói “nhưng định nghĩa kiểu vậy thì cũng chẳng ra được cái gì,” thì là do bạn chưa biết, có thể là do chưa có nhu cầu xài chữ ký kiểu này nên mới nói vậy.

Trong bussiness, khi cần trao đổi những thông tin chính thức, nhưng không quá quan trọng và có thể dễ dàng kiểm tra lại sau đó, thì người ta chỉ cần “chữ ký” như thế này là đủ. Ví dụ như báo giá mặt hàng, làm quotation, biên bản ghi nhớ cuộc họp, bản nháp hợp đồng, template của quy trình abc nào đó đã được thoả thuận… rất nhiều thứ. Chữ ký bằng hình ảnh nó thể hiện tính chất formal về mặt feeling cho người đọc, và có MD5 checksum để bảo đảm nguồn gốc (file không bị sửa đổi trong qua trình trao đổi)

Bạn nói “nếu nói kiểu vậy thì file âm thanh cũng có thể gọi là chữ kí điện tử được”, thì đúng là “âm thanh” cũng có thể là chữ ký điện tử được, nếu như bạn đọc cái hình mình post khi comment ở đầu thread.

Bạn biết vì sao trong thực tế người ta lại cần bạn kí tay trực tiếp thay vì in hay photocopy không? Vì có 1 điểm quan trọng của chữ ký cần có là không thể hoặc khó sao chép, do đó hoặc nó phải đến từ 1 đặc điểm quan trọng của bạn hoặc nó phải được tự chứng minh từ đống dữ liệu hình thành nên nó, tức là chữ kí phải tự chứng minh được sự tồn tại của bản thân nó.
MD5 trong vó dụ mà bạn nêu ra khác với ảnh chữ kí chính là ở điểm này, file ảnh chữ kí không thể tự chứng minh được nó, cũng không thể chống hoặc hạn chế sao chép.
Còn về vấn đề hợp đồng cho phép đính kèm chữ ký vào thì mục đích của nó cũng chỉ là 1 phần nội dung của văn bản chứa nó, nói dễ hiểu thì nó là 1 hình thức trình bày thể hiện nội dung mà không có tác dụng chứng minh là nó đã được kí
Quay lại vấn đề file ảnh chữ kí cũng có MD5 điều này đúng nhưng nó lại 1 lần nữa chứng minh file ảnh không thể tự chứng minh được nó, nghĩa là nếu tôi copy ảnh đó ra 1 văn bản khác thì bạn cũng không có cách nào phân biệt, lúc này file ảnh không khác gì bản photocopy hoặc bản in ở thế giới thực

Có nhiều loại chữ ký điện tử và mức độ tin cậy cũng như rủi ro của nó cao thấp khác nhau.
Tuỳ nhu cầu mà người ta chọn loại phù hợp để xài,

Và mình cũng đã giải thích một số trường hợp được xài trong thực tế để bạn tham khảo.

CÒn nếu bạn thấy nó không phù hợp với bạn thì là lựa chọn của bạn thôi, mình không ý kiến cũng không như có nhu cầu thuyết phục bạn thay đổi quan điểm.

Cái chính mình giải thích nãy giờ là cái comment và giảii thích của mình nó đúng và thực tế có sử dụng.

Update: mình giải thích thêm, có vẻ bạn bị lấn cấn vụ cái hình chữ ký với MD5.
Ví dụ giờ mình soạn báo giá, 1 tháng có thể gởi ra ngoài tới cả trăm báo giá với nhiều chi tiết và cho nhiều khách khác nhau, có thể là nhiều báo giá cho cùng 1 khách, thì về mặt nội dung và hình thức trình bày, mình chèn cái hình chụp của chữ ký và con dấu cộng ty vô khi mình xuất báo giá, và mình lưu lại cái MD5 của file báo giá đó.

Khi có khách phản hồi về báo giá, mình chỉ cần check chuỗi MD5 của cái file mà họ gởi lại cho mình coi nó có khớp với cái mà mình đã gởi đi không là xong.

Ngoài ra, việc ai đó copy hình chữ ký và con dấu để làm tài liệu khác mà chưa có sự đồng ý của chính chủ, thì là vi phạm pháp luật.

Việc này cũng như ai đó giả mạo chữ ký ngoài đời thật thôi. Họ có thể ký thật giống, không phát hiện được. Nhung khi phát hiện ra, thì đó là phạm pháp.

Vấn đề ứng dụng của chữ kí hình ảnh mà bạn đang lái sang và ví dụ MD5 của bạn không hề không khớp với nhau, đó mới chính là điểm mình đang tranh luận chứ không phải là tính ứng dụng của ảnh chữ kí.
MD5 là 1 dạng chữ kí đơn giản nhưng tự nó chứng minh được chính nó còn ảnh chữ kí thì không.
Mình hoàn toàn đồng ý với ý kiến bạn trong một số trường hợp không quá quan trọng chấp nhận văn bản đi kèm ảnh chữ kí dạng ảnh kiểu này như là một giải pháp mang tính tạm thời. Bạn hiểu vấn đề rồi chứ.

Thiệt tình là mình không hiểu là bạn đang không hiểu chỗ nào trong đám comment của mình, vì mình đã giải thích lại từng bước một cách rõ ràng nhất có thể rồi.

MD5 checksum là để bảo đảm nội dung của file ko bị thay đổi khi truyền qua tay người khác, cũng có giống chữ kí số 1 phần, nhưng chữ kí số ngoài bảo đảm nội dung này ko bị thay đổi nó còn xác nhận nội dung này của người có public key này viết ra nữa. Còn muốn xác nhận của anh X viết ra thì còn phải có bên thứ 3 đứng ra chứng nhận pubkey này của anh X nữa, chắc đó là chữ kí điện tử.

checksum = nội dung ko thay đổi
digital sign = nội dung ko thay đổi + của người cầm pubkey này
esign = nội dung ko + của người cầm pubkey này + pubkey này được cty A chứng nhận là của anh X

checksum được implement bằng crypto hash
digital sign impl = mã hóa cái checksum bằng private key của asymetric encryption
esign thì thêm bên thứ 3 đứng ra xác minh cái public key của anh X, có thể mời anh X lên đưa CCCD ra, hoặc như Adobe thì nó cần tạo acc Adobe cần email là đủ à, vậy esign Adobe dỏm hơn :V

có lẽ là vậy

Lại nói về md5 thì chính bản thân bạn cũng thừa nhận check md5 của nó là xong, vậy thì việc check md5 trên 1 file có chứa ảnh chữ kí và file không chứa ảnh chữ kí về bản chất là không có sự khác biệt, do đó việc nhúng thêm ảnh vào là không cần thiết, cái cốt lõi cần kiểm tra ở đây vẫn chỉ là mã md5. Nên ngay từ bước chứng minh ban đầu bạn đã thất bại rồi

Bạn nói đúng, nhưng nói tên bị ngược so với định nghĩa của bên nhà nước.
Và đúng là có nhiều loại chữ ký như vậy, như chữ ký số của công ty, chử ký điện tử của cá nhân mà nhà nước đang triển khai, etc

thì nhiều bên thứ 3 đứng ra xác nhận anh X cầm privkey của pubkey này thôi, giống như cmnd có thêm nơi cấp là để chỉ bên thứ 3 này đó :V Rốt cục cũng phải quay về pháp luật nhà nước để bảo vệ cái chữ kí thôi, chứ mấy bên thứ 3 này bị hack rồi đổi cái pubkey của người ta giả mạo cũng được vậy

Sao bạn không chịu đọc lại các comment để hiểu mà cứ phải tranh cãi.
Mình đã nói từ bạn đầu ở trên, hình ảnh, âm thanh cũng có thể là chữ ký điện thử (cái mà bạn nói sai, mìnhh đã reply và sau đó bạn không nói tới)

Việc người ta muốn chèn hình chữ ký thì là quyền của họ, bạn thấy không cần, nhưng họ muốn thì đâu có nghĩa là họ sai. Về mặt pháp luật cũng như về mặt kỹ thuật, họ đều không sai.

Mình giải thích thêm 1 lần nữa, ở khía cạnh khác, hy vọng giúp bạn hiểu.

Ví dụ giờ mình gởi 1 bản báo giá văn phòng phẩm cho đại lý, gồm 1000 mặt hàng.
Khi bên đại lý họ nói ok, tui muốn mua hàng theo cái báo giá xxx này.
Thay vì mình ngồi kiểm tra 1000 thủ công thì rất lâu, nên sẽ để việc đó làm sau; mình sẽ check md5 trước coi md5 khớp không, nếu ok thì tạm thời tin tưởng để làm tiếp.

Nhưng vì sao trện báo gía mình lại chèn hình chữ ký và con dấu?
Như đã nói ở trên, vể mặt cảm nhận của người đọc, người ta sẽ nhận biết đây là van bản chính thức của công ty, nếu họ lén chỉnh sửa gì trong đó, thì là họ đang phạm pháp, đang cố tình giả mạo giấy tờ, lừa đảo. Sẽ khó cãi hơn khi chỉ là 1 file pdf xuất từ excel mà không có chữ ký, con dấu.

Mình cũng nhắc lại, hinh ảnh, âm thanh cũng có thể là chữ ký điện thử, theo luật đã nói.

Có thể công A thấy làm như vậy là không cấn thiết, nhưng giám đốc công ty B lập dị, thích làm vậy, thìcông ty B cũng không sai gì cả.

Screen Shot 2024-07-12 at 22.16.311372×360 87.9 KB

mấy ông (như tôi 1 thời) lậm crypto cứ suốt ngày bảo mật 128-bit, 256-bit gì này nọ, cầm súng dí vào đầu thì cũng ói ra hết thôi 128-bit 1000 năm ko crack được cái gì

Haizzz, bạn có vẻ không chú ý đến điểm chính trong tranh luận giữa mình và bạn mà chỉ cố lái sang việc ứng dụng của chữ kí hình ảnh do đó tranh luận đi vào ngõ cụt.
Quote nguyên văn lại câu nói của bạn,

Thì nó vẫn là “chữ ký điện tử” mà, chỉ là ở mức rất thấp, như xác nhận nội dung của file thôi.
Giống như khi tải phần mềm về thì người ta cung cấp “chữ ký” là mã MD5 của nó để check, giúp user tránh download hàng phake, có chèn mã độc thôi,
Chỉ là bạn này chưa biết "chữ ký điện tử"cần sử dụng trong trường hợp nào và loại nào phù hợp cho nhu cầu đó thôi

Bạn đang nhập nhằng giữa việc được kí và kết quả kí do đó không thể phân biệt được sự khác nhau giữa MD5 và hình ảnh chữ kí gắn kèm. Điều này dẫn đến sai lầm trong việc đưa ra ví dụ là mọi người khi chia sẻ file thường post kèm MD5 để giải thích cho việc người ta gắn ảnh chữ kí vào văn bản.

Các dạng chữ kí dù là dạng gì cũng đều có 1 đặc điểm là tự nó chứng minh được chính nó hay có thể hiểu là giữa chữ kí và văn bản được kí có sự liên quan đến nhau. Đối với MD5 thì chữ kí kiểu này có thể tự chứng minh từ file dữ liệu, người nhận có thể tự kiểm chứng được, tự họ có thể tính toán ra mã MD5 và so sánh, lúc này file A được kí bằng mã md5 Z và người dùng có thể xác nhận nó.

Ngược lại thì chữ kí dạng ảnh hay bất kì dạng nào trong mấy dạng mà bạn nêu (file ảnh, âm thanh,…) lại không có được đặc điểm này, bản thân các file chữ kí kiểu này có thể tự chứng minh bằng 1 mã MD5 K nào đó nhưng các file này lại không thể tự chứng minh được sự liên quan của mình với dữ liệu mà nó kí, hay nói đúng hơn là các file kiểu này không hề kí 1 cái gì cả.
VD: bạn gửi file B cho ông X có chứa ảnh chữ kí, ông X lưu lại file B’ và ngồi sửa thành 1 nội dung khác. Khi có tranh cãi bạn sẽ không thể chứng minh được file B’ của ông X là không hợp lệ do file này cũng chứa chữ kí 100% hợp lệ của bạn và việc này dễ dàng đến mức bất kì ai cũng có thể thực hiện mà không tốn chút sức lực, hay có thể phát biểu là mối quan hệ giữa file chữ kí và file cần kí là không có sự liên quan đến nhau.

Mối quan hệ ràng buộc giữa chữ kí và nội dung cần kí là yếu tố cốt lõi để xác định file đã được kí hay đơn giản chỉ là chứa nội dung chữ kí. Điểm này cũng đúng trong thế giới thật, chữ kí tay của bạn luôn để lại sự liên quan giữa văn bản và chữ kí hình thành nên 1 văn bản đã được kí chứ không phải chỉ là 1 văn bản chứa nội dung chữ kí. (như kiểu tiền và ảnh chứa hình tiền vậy)

MÌnh có lái đi đâu đâu, vỉ viết comment nhiều lần rồi, nên thôi mình post cái hình thay cho comment

Screen Shot 2024-07-12 at 22.16.311372×360 87.9 KB

Screen Shot 2024-07-12 at 22.32.48504×712 94.2 KB

À hiểu rồi, cái bạn đang nói đến là tính năng kí điện tử của 1 số file văn bản có hỗ trợ bởi các trình kí mã hóa, VD file PDF mà bạn nói ở đoạn này. Ví dụ, môt tài liệu (PDF) đã được “ký” chữ ký điện tử
Nếu ý bạn là chỗ đó thì hoàn toàn chính xác và chữ kí đó là hợp lệ vì lúc này bản thân chữ kí đã được xác nhận bằng các biện pháp kĩ thuật được đảm bảo bởi các trình kí mã hóa, các trình kí này chính là trung gian xác nhận mối liên hệ giữa file được kí và chữ kí.
Nó khác hoàn toàn với ý nghĩ ban đầu của mình về việc bạn chèn ảnh chữ kí vào văn bản. Mình miss đoạn trên mà chỉ đọc đoạn dưới nên hiểu theo ý khác,
Như đã nói mình luôn bảo lưu quan điểm 1 file được kí là 1 file phải tự chứng minh được mối liên quan giữa chữ kí và nội dung được kí bằng các hàng rào kĩ thuật từ đó mới hình thành được 1 file đã kí. Nếu các ví dụ và nội dung bạn chia sẻ thỏa mãn được điều này thì đều có thể xem là tương đương nhau

Việc bạn vừa comment là đúng, thực tế mình ký HĐ với khách hàng ở nước ngoài cũng bằng cách đó.
Nhưng trong thread này, thì đúng như mình nói nãy giờ, chèn hình chụp của chữ ký vô file hop đong pdf vẫn được coi là chữ ký điện tử hợp pháp, và hop đồng hộp lệ, như trong 2 cái hình mình post ở comment bên trên.

Cần xách định rõ, việc bạn secure chữ ký điện tử về mặt kỹ thuật hoàn toàn khác với giá trị pháp lý. Mình cho rằng đây là cái bạn đang bị vướng mắc.

Ngoài đời thật, một người nào đó hoàn toàn có thể giả chữ ký của bạn khi làm giả giấy tờ, nó cũng tương tự việc ai đó copy chữ ký của bạn trong file để làm ra 1 file khác.

Vể mặt pháp lý, cà 2 trường hợp này đều là giả mạo và không hợp pháp.

Khi người ta cần mức bảo vệ cao về mặt kỹ thuật, người ta sẽ xài những lạoi chữ ký phứ tạp hơn, như có key xác nhận, hay có token để auth khi ký.

Muốn hình ảnh không bị sao chép thì bạn có thể sử dụng các công cụ DRM (Digital rights management) để bảo vệ. Các ứng dụng có hỗ trợ DRM và bật tính năng chống screenshot thì nó sẽ không screenshot được. Ví dụ như Netflix nếu bạn có screenshot hoặc quay video màn hình thì nó sẽ đen thui là do được DRM bảo vệ.

Tất nhiên mọi thứ đều là làm khó khăn hơn chứ không thể ngăn chặn triệt để. Nên từ đó dân sec mới có câu hỏi này:

Để giảm tải cái rủi ro giả mạo chữ ký này thì với các file pdf, văn bản số. Hai bên sẽ phải trao đổi các khoá với nhau để làm 1 transaction giao dịch và kiểm chứng. Khi này các file pdf hoặc văn bản số sẽ được ký bằng chữ ký số đính kèm trong file pdf (không phải chữ ký mà mình ký tay hoặc xài hình ảnh). Khi đó bên còn lại sử dụng key đã trao đổi để xác thực -> Kẻ thủ ác có tự gõ lại file + dán chữ ký vào thì không có các khoá để chứng thực cũng như không. Nếu không xài chữ ký số, không theo quy trình bảo mật thì … tự chịu

Còn nếu nói về mặt giấy tờ bên ngoài, thì bạn phải coi nơi làm thủ tục hành chính giấy tờ có các quy định về bảo mật tốt không. Như ngân hàng luôn bắt bạn có mặt + ký xác nhận chứ không thể nhờ người thân chẳng hạn. Hoặc có thì phải làm giấy này giấy kia đủ đường.
Nếu các cơ quan lỏng lẻo việc này, thì bạn nên xem xét không làm giấy tờ ở những cơ quan này nếu sợ bị giả mạo.

Cách này cũng ổn nhưng xác suất không được 100% vì trong setting của browser có chỗ tắt không cho browser kết nối với API của OS thì vẫn chụp được.

Haha, vậy là đến độ tuổi hoặc mức nhận thức nào đó người ta bỗng quay về với những tư tưởng đã rất cổ xưa. Cổ nhân đã phát hiện, để lại qua sách (các loại từ vỏ cây, da thú, đá, sách giấy, truyền miệng…) từ lâu: quyền lực mềm tưởng rằng mong manh, ít thực tế, nhưng thực sự nó lại là cái rất bền vững, là giá trị thật. Trong khi đó, quyền lực cứng xem vậy chứ dễ tan biến mà thôi. Không chỉ là quyền lực, mà là vật chất hữu hình vs vô hình. Không nói đâu xa, qua hiện tượng Thích Minh Tuệ là thấy được điều cổ nhân đã nói.