Đảm bảo Ví Kỹ thuật số: Các Khuôn khổ của EU, Hoa Kỳ và Úc

Thế giới đang nhanh chóng chuyển sang danh tính kỹ thuật số, và ví kỹ thuật số đang trở thành cách chính để mọi người quản lý thông tin xác thực của mình. Nhưng những chiếc ví này đáng tin cậy đến mức nào? Giá trị của chúng hoàn toàn phụ thuộc vào sức mạnh của các khuôn khổ đảm bảo đằng sau chúng. Trong bài viết này, chúng ta sẽ tìm hiểu sâu về bối cảnh đảm bảo và xác thực danh tính kỹ thuật số của ba cường quốc toàn cầu: Liên minh châu Âu với eIDAS 2.0, Hoa Kỳ với NIST SP 800-63, và Úc với khuôn khổ TDIF/AGDIS của mình.

Chúng ta sẽ khám phá các nguyên tắc cốt lõi đáng ngạc nhiên là tương tự nhau trên toàn cầu, như các mức độ đảm bảo dựa trên rủi ro và vai trò quan trọng của sinh trắc học trong việc liên kết một chứng chỉ kỹ thuật số với một người thật. Tuy nhiên, chúng ta cũng sẽ khám phá những khác biệt đáng kể trong kiến trúc và quy định của họ. Chúng ta sẽ phân tích mô hình chi tiết, linh hoạt của Hoa Kỳ, cách tiếp cận thống nhất, có khả năng tương tác của EU, và hệ thống lai từ Úc.

Một chủ đề trung tâm chúng ta sẽ điều tra là sự căng thẳng giữa bảo mật tập trung vào thiết bị và sự tiện lợi cho người dùng dựa trên tài khoản, đặc biệt là cách các ông lớn như Apple và Google đang xếp lớp các tài khoản đám mây lên trên các thông tin xác thực gắn liền với thiết bị. Chúng ta cũng sẽ trình bày chi tiết các bước thực tế của việc đăng ký thông tin xác thực, giải thích tại sao "thuế tái đăng ký" của việc chứng minh danh tính cho mỗi thiết bị mới là một tính năng bảo mật có chủ ý, chứ không phải là một lỗ hổng.

Cuối cùng, chúng ta sẽ xem xét kỹ hơn các khía cạnh độc đáo của Ví Danh tính Kỹ thuật số Châu Âu (EUDI) và sức mạnh của Chữ ký Điện tử Đủ điều kiện (QES) trong EU, có giá trị pháp lý tương đương với chữ ký tay. Khi kết thúc bài viết này, bạn sẽ có một sự hiểu biết toàn diện về bối cảnh phức tạp và đang phát triển của danh tính kỹ thuật số toàn cầu, và các lựa chọn chiến lược mà các nhà phát triển, chính phủ, và người dùng đang đối mặt.

Trong thế giới kỹ thuật số, danh tính không phải là một khái niệm nhị phân biết hoặc không biết; đó là một phổ của sự tin cậy. Một Mức độ Đảm bảo (LoA) định lượng sự tin cậy này, đại diện cho mức độ chắc chắn rằng một cá nhân tuyên bố một danh tính cụ thể thực sự là chủ sở hữu "thực sự" của danh tính đó. Thước đo này là nền tảng của niềm tin kỹ thuật số, làm cơ sở cho mọi giao dịch và tương tác an toàn. Một LoA cao hơn biểu thị một quy trình xác minh và xác thực danh tính nghiêm ngặt hơn, từ đó giảm nguy cơ gian lận danh tính, truy cập trái phép và các hình thức lạm dụng khác.

Tuy nhiên, việc đạt được mức độ đảm bảo cao hơn không phải là không có chi phí. Các quy trình cần thiết—chẳng hạn như xác minh trực tiếp hoặc sử dụng phần cứng chuyên dụng có thể gây ra chi phí và sự bất tiện đáng kể cho cả người dùng (người giữ danh tính) và nhà cung cấp dịch vụ (bên tin cậy). Sự ma sát vốn có này có thể tạo ra rào cản truy cập, có khả năng dẫn đến việc loại trừ những cá nhân thiếu tài liệu cần thiết, phương tiện kỹ thuật hoặc khả năng điều hướng các thủ tục phức tạp. Do đó, việc lựa chọn một LoA phù hợp không chỉ là một quyết định kỹ thuật mà còn là một bài tập quản lý rủi ro quan trọng nhằm tìm kiếm sự cân bằng tinh tế giữa bảo mật, khả năng sử dụng và khả năng bị loại trừ.

Sự cân bằng này được xác định bởi tác động tiềm tàng của một lỗi xác thực. Đối với các hoạt động có rủi ro thấp, chẳng hạn như tạo tài khoản trên một diễn đàn công cộng hoặc thay đổi địa chỉ gửi thư, một LoA thấp hơn có thể hoàn toàn chấp nhận được. Hậu quả của một lỗi là tối thiểu. Ngược lại, đối với các giao dịch có rủi ro cao, chẳng hạn như truy cập hồ sơ tài chính hoặc sức khỏe nhạy cảm, khởi tạo các giao dịch chuyển tiền lớn hoặc ký kết các hợp đồng có giá trị pháp lý, một LoA cao hơn nhiều được yêu cầu để giảm thiểu tác hại tiềm tàng nghiêm trọng.

Do đó, việc lựa chọn một khuôn khổ đảm bảo và các mức độ yêu cầu của nó vượt ra ngoài việc triển khai kỹ thuật để trở thành một công cụ của chính sách kinh tế và xã hội. Một khuôn khổ đặt ra tiêu chuẩn đảm bảo quá cao có thể tạo ra một pháo đài bất khả xâm phạm, an toàn nhưng không thể tiếp cận đối với một bộ phận dân số đáng kể, do đó kìm hãm việc áp dụng kỹ thuật số và tham gia kinh tế. Ngược lại, một khuôn khổ với các tiêu chuẩn quá thấp sẽ mời gọi gian lận lan rộng, làm xói mòn niềm tin của người tiêu dùng và doanh nghiệp, cuối cùng làm tổn hại đến nền kinh tế kỹ thuật số mà nó hướng tới hỗ trợ. Sự căng thẳng cơ bản này định hình các cách tiếp cận khác nhau của các nền kinh tế lớn trên toàn cầu, định hình hệ sinh thái kỹ thuật số của họ theo các triết lý quy định và ưu tiên xã hội độc đáo của họ.

Trong lịch sử, Mức độ Đảm bảo là một khái niệm nguyên khối. Một phát triển mới trong lĩnh vực danh tính kỹ thuật số là sự phân tách khái niệm này bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) trong Ấn phẩm Đặc biệt 800-63, Bản sửa đổi 3. Bản sửa đổi này đã chia LoA thành ba thành phần riêng biệt, trực giao, cho phép quản lý rủi ro chính xác và chi tiết hơn: Mức độ Đảm bảo Danh tính (IAL), Mức độ Đảm bảo Trình xác thực (AAL), và Mức độ Đảm bảo Liên kết (FAL).

Sự tách biệt các mối quan tâm này là một sự khác biệt cơ bản về kiến trúc so với mô hình thống nhất hơn được sử dụng ở Liên minh châu Âu. Mô hình của NIST cho phép một nhà cung cấp dịch vụ tách biệt rủi ro của việc đăng ký khỏi rủi ro của việc truy cập. Ví dụ, một cơ quan chính phủ có thể yêu cầu một sự kiện chứng minh danh tính trực tiếp, có độ tin cậy rất cao (IAL3) để cấp một chứng chỉ kỹ thuật số để truy cập các hồ sơ nhạy cảm. Tuy nhiên, đối với các lần truy cập thông thường sau đó để xem các hồ sơ đó, nó có thể chỉ yêu cầu một xác thực đa yếu tố có độ mạnh vừa phải (AAL2). Sự linh hoạt này cho phép áp dụng các biện pháp kiểm soát bảo mật một cách tinh tế hơn, phù hợp với các hành động cụ thể trong một dịch vụ.

Ngược lại, khuôn khổ eIDAS của EU sử dụng một LoA thống nhất (Thấp, Đáng kể, Cao) bao gồm cả khía cạnh đăng ký và xác thực. Khi ánh xạ giữa hai hệ thống, mức độ đảm bảo tổng thể của một dịch vụ được quyết định bởi mắt xích yếu nhất của nó. Ví dụ, một hệ thống được thiết kế với mức độ chứng minh danh tính cao nhất (IAL3) và liên kết (FAL3) nhưng chỉ sử dụng mức độ xác thực vừa phải (AAL2) sẽ được phân loại tương đương với LoA "Đáng kể" của eIDAS, chứ không phải "Cao". Sự khác biệt này có ý nghĩa sâu sắc đối với các nhà phát triển và kiến trúc sư xây dựng các hệ thống toàn cầu, vì nó buộc họ phải lựa chọn giữa việc thiết kế cho mức độ chi tiết cao nhất (NIST) và sau đó ánh xạ xuống mô hình EU đơn giản hơn, hoặc duy trì các luồng logic riêng biệt để tuân thủ triết lý kiến trúc riêng của từng khu vực. Mô hình của Hoa Kỳ ưu tiên sự linh hoạt trong quản lý rủi ro cho bên tin cậy, trong khi mô hình của EU ưu tiên sự đơn giản và khả năng tương tác rõ ràng để công nhận xuyên biên giới.

Mức độ Đảm bảo không phải là một đánh giá kỹ thuật trừu tượng; nó là người gác cổng chính quyết định những gì người dùng được phép làm trong thế giới kỹ thuật số. LoA được gán cho một danh tính kỹ thuật số hoặc được yêu cầu bởi một dịch vụ trực tiếp quyết định phạm vi giao dịch, độ nhạy của dữ liệu có thể được truy cập, và giá trị pháp lý của các hành động được thực hiện.

Ở đầu thấp nhất của phổ, một danh tính có mức độ đảm bảo thấp—thường là một danh tính tự khai báo mà không cần xác minh—cấp quyền truy cập vào các dịch vụ có rủi ro thấp. Điều này bao gồm các hoạt động như tham gia vào các diễn đàn trực tuyến, tạo một tài khoản webmail cơ bản, hoặc truy cập các trang web công cộng nơi hậu quả của việc một kẻ mạo danh có được quyền truy cập là không đáng kể.

Khi mức độ đảm bảo tăng lên "Đáng kể", người dùng có quyền truy cập vào một phạm vi dịch vụ rộng hơn và nhạy cảm hơn nhiều. Mức độ này thường yêu cầu danh tính của người dùng đã được xác minh dựa trên các tài liệu chính thức và bắt buộc sử dụng xác thực đa yếu tố (MFA). Do đó, nó là tiêu chuẩn cho nhiều tương tác kỹ thuật số phổ biến và quan trọng. Ví dụ về các dịch vụ được mở khóa ở LoA Đáng kể bao gồm:

• Truy cập các cổng thông tin chính phủ trực tuyến để khai thuế hoặc kiểm tra các quyền lợi.
• Thực hiện các giao dịch ngân hàng trực tuyến.
• Truy cập hồ sơ sức khỏe cá nhân hoặc thông tin bảo hiểm.
• Tương tác với các nhà cung cấp dịch vụ tiện ích hoặc các công ty viễn thông.

Mức độ đảm bảo cao nhất, "Cao", được dành riêng cho các giao dịch quan trọng nhất và có rủi ro cao nhất, nơi hậu quả của một lỗi xác thực có thể nghiêm trọng, dẫn đến tổn thất tài chính đáng kể, trách nhiệm pháp lý, hoặc gây hại cho cá nhân hoặc lợi ích công cộng. Để đạt được mức độ này, cần có các phương pháp chứng minh danh tính nghiêm ngặt nhất, thường liên quan đến xác minh trực tiếp hoặc từ xa có giám sát, và sử dụng các trình xác thực dựa trên phần cứng, chống giả mạo. Các dịch vụ yêu cầu LoA Cao bao gồm:

• Ký điện tử các tài liệu có giá trị pháp lý với giá trị tương đương chữ ký tay, chẳng hạn như hợp đồng bất động sản hoặc các thỏa thuận cho vay lớn.
• Truy cập dữ liệu chính phủ hoặc doanh nghiệp có độ nhạy cảm cao
• Thực hiện các giao dịch tài chính giá trị cao hoặc chuyển tiền lớn
• Cho phép kê đơn điện tử cho các chất được kiểm soát
• Tự cấp các tài liệu nhận dạng nền tảng, chẳng hạn như hộ chiếu

Một hệ thống danh tính kỹ thuật số có thể hỗ trợ nhiều mức độ đảm bảo cho phép một kiến trúc linh hoạt và phù hợp với rủi ro, cho phép người dùng nâng cấp mức độ đảm bảo của họ khi cần thiết cho các giao dịch khác nhau. Một thông tin xác thực danh tính thu được ở LoA Cao có thể, với sự đồng ý của người dùng, được sử dụng để truy cập các dịch vụ yêu cầu mức đảm bảo Đáng kể hoặc Thấp, nhưng điều ngược lại thì không đúng. Hệ thống phân cấp này đảm bảo rằng mức độ tin cậy được thiết lập luôn tương xứng với mức độ rủi ro liên quan.

Khi các quốc gia xây dựng cơ sở hạ tầng kỹ thuật số của mình, họ đang mã hóa niềm tin thông qua các khuôn khổ đảm bảo riêng biệt. Mặc dù thường có chung nguồn gốc từ các tiêu chuẩn quốc tế như ISO 29115, các triển khai cụ thể ở Liên minh châu Âu, Hoa Kỳ và Úc cho thấy các ưu tiên khác nhau về khả năng tương tác, tính linh hoạt và bảo mật.

Cách tiếp cận của Liên minh châu Âu đối với danh tính kỹ thuật số được neo vào Quy định eIDAS (Nhận dạng Điện tử, Xác thực và Dịch vụ Tin cậy), nhằm mục đích tạo ra một môi trường pháp lý có thể dự đoán và tương tác được cho các giao dịch điện tử trên tất cả các quốc gia thành viên. Khuôn khổ eIDAS 2.0 được cập nhật mở rộng tầm nhìn này bằng cách bắt buộc tạo ra Ví Danh tính Kỹ thuật số EU (EUDI), một ví kỹ thuật số cá nhân cho mọi công dân, cư dân và doanh nghiệp.

Trọng tâm của eIDAS là ba Mức độ Đảm bảo (LoA): Thấp, Đáng kể và Cao. Các mức độ này cung cấp một thước đo thống nhất về sự tin cậy vào một thông tin xác thực nhận dạng điện tử (eID), bao gồm toàn bộ vòng đời từ đăng ký đến xác thực. Cách tiếp cận thống nhất này được thiết kế để đơn giản hóa việc công nhận lẫn nhau; một thông tin xác thực eID được một quốc gia thành viên thông báo ở một LoA nhất định phải được tất cả các quốc gia thành viên khác công nhận cho các dịch vụ yêu cầu cùng một LoA hoặc thấp hơn. Các mức độ được định nghĩa như sau:

Trong khi eIDAS định nghĩa các mức độ, nó không quy định các công nghệ cụ thể, cho phép các quốc gia thành viên phát triển các chương trình eID quốc gia của riêng họ phản ánh bối cảnh địa phương, chẳng hạn như MitID của Đan Mạch (hỗ trợ cả ba LoA) hoặc itsme® của Bỉ (hoạt động ở LoA Cao).

Khuôn khổ của Hoa Kỳ, được định nghĩa bởi Ấn phẩm Đặc biệt 800-63-3 của NIST, có một cách tiếp cận chi tiết và được phân thành các thành phần hơn đối với việc đảm bảo. Thay vì một LoA thống nhất, duy nhất, nó tách quy trình thành ba mức độ đảm bảo riêng biệt: Danh tính (IAL), Trình xác thực (AAL), và Liên kết (FAL). Mô hình này cung cấp cho các cơ quan liên bang và các tổ chức khác một bộ công cụ linh hoạt để tiến hành Đánh giá Rủi ro Danh tính Kỹ thuật số (DIRA) và điều chỉnh các biện pháp kiểm soát bảo mật một cách chính xác theo rủi ro của các giao dịch cụ thể.

Mức độ Đảm bảo Danh tính (IAL):

Mức độ Đảm bảo Trình xác thực (AAL):

Mô hình chi tiết này cho phép một tổ chức kết hợp và phối hợp các mức độ khi cần thiết. Ví dụ, một hệ thống có thể yêu cầu một sự kiện chứng minh IAL2 một lần khi đăng ký nhưng sau đó cho phép người dùng lựa chọn giữa AAL1 (chỉ mật khẩu) cho các hành động rủi ro thấp và AAL2 (MFA) cho các hành động rủi ro cao hơn trong cùng một ứng dụng.

Cách tiếp cận của Úc, trước đây được quản lý bởi Khuôn khổ Danh tính Kỹ thuật số Tin cậy (TDIF) và hiện đang phát triển thành Hệ thống ID Kỹ thuật số của Chính phủ Úc (AGDIS) theo Đạo luật ID Kỹ thuật số 2024, đại diện cho một mô hình lai có chung các đặc điểm với cả hệ thống của EU và Hoa Kỳ. TDIF tách biệt các khái niệm về chứng minh danh tính và độ mạnh xác thực, giống như sự phân chia IAL/AAL của NIST, nhưng sử dụng thuật ngữ riêng biệt của mình.

Mức độ Chứng minh Danh tính (IP):

TDIF định nghĩa một loạt các mức độ IP tăng dần dựa trên số lượng và chất lượng của các tài liệu nhận dạng được xác minh và phương pháp liên kết người dùng với danh tính.

Mức độ Thông tin xác thực (CL):

TDIF định nghĩa độ mạnh của thông tin xác thực được sử dụng để truy cập liên tục.

Cấu trúc lai này cho phép các dịch vụ của Úc chỉ định cả độ mạnh danh tính yêu cầu (mức IP) và độ mạnh xác thực cần thiết (mức CL) để truy cập, cung cấp một khuôn khổ dựa trên rủi ro tương tự về nguyên tắc với NIST.

Bất chấp các thuật ngữ và triết lý kiến trúc khác nhau, một mô hình rõ ràng về hệ thống phân cấp rủi ro ba cấp xuất hiện trên các khuôn khổ của EU, Hoa Kỳ và Úc. Bằng cách ánh xạ các yêu cầu của họ, chúng ta có thể tạo ra một cái nhìn tổng quan.

So sánh này cho thấy một xu hướng cơ bản mạnh mẽ: sự hội tụ toàn cầu về liên kết sinh trắc học như là mỏ neo tin cậy cuối cùng cho danh tính đảm bảo cao. Mặc dù các khuôn khổ sử dụng ngôn ngữ khác nhau—"thu thập sinh trắc học bắt buộc" của NIST ở IAL3, "Mục tiêu Liên kết" của Úc cho IP2+ và cao hơn, và việc sử dụng dự kiến của Ví EUDI về phát hiện thực thể sống để đạt được LoA Cao—nguyên tắc là giống hệt nhau. Trong cả ba hệ sinh thái lớn của phương Tây, mức độ tin cậy kỹ thuật số cao nhất không còn được thiết lập bằng cách chỉ kiểm tra tài liệu hoặc hỏi các câu hỏi bí mật. Nó được đạt được bằng cách liên kết một con người sống, hiện diện với bằng chứng danh tính có thẩm quyền, do chính phủ cấp thông qua xác minh sinh trắc học. Việc kiểm tra "thực thể sống với tài liệu" này, thường là quét khuôn mặt được khớp với ảnh hộ chiếu hoặc bằng lái xe, đã trở thành tiêu chuẩn quốc tế trên thực tế cho việc chứng minh danh tính kỹ thuật số đảm bảo cao. Điều này có ý nghĩa đối với ngăn xếp công nghệ của bất kỳ nhà cung cấp danh tính nào, nâng cao việc phát hiện thực thể sống được chứng nhận và khớp sinh trắc học có độ chính xác cao từ các tính năng giá trị gia tăng thành các thành phần cốt lõi, không thể thương lượng của bất kỳ nền tảng nào muốn hoạt động ở các cấp độ cao nhất của nền kinh tế tin cậy kỹ thuật số.

Bảng sau đây cung cấp một phân tích so sánh trực tiếp, chuyển đổi các yêu cầu của mỗi khuôn khổ thành một cấu trúc chung.

Vương quốc Anh, từng thuộc chế độ eIDAS của EU, đã vạch ra con đường riêng của mình với một khuôn khổ đảm bảo vẫn phản ánh các thông lệ tốt nhất quốc tế. Hướng dẫn Thực hành Tốt 45 (GPG45) của Vương quốc Anh định nghĩa một quy trình chứng minh danh tính nghiêm ngặt tạo ra một trong bốn mức độ tin cậy trong việc xác minh danh tính: Thấp, Trung bình, Cao, hoặc Rất cao. Cách tiếp cận này phù hợp chặt chẽ với các mô hình LoA đa cấp quen thuộc; thực tế, GPG45 tham chiếu rõ ràng sự phù hợp của nó với eIDAS, NIST 800-63, ISO/IEC 29115, và Khuôn khổ Tin cậy Toàn Canada. Trong thực tế, GPG45 sử dụng một hệ thống tính điểm dựa trên các kiểm tra (tính xác thực của tài liệu, lịch sử hoạt động, khớp sinh trắc học, v.v.) để xác định mức độ tin cậy cho hồ sơ danh tính của người dùng. Xây dựng trên nền tảng này, chính phủ Vương quốc Anh đang triển khai một Khuôn khổ Tin cậy Danh tính và Thuộc tính Kỹ thuật số mới (hiện đang trong giai đoạn beta), sẽ thiết lập các quy tắc chứng nhận cho các nhà cung cấp danh tính và các bên tin cậy. Một mục tiêu chính của khuôn khổ tin cậy của Vương quốc Anh là khả năng tương tác quốc tế – đảm bảo rằng danh tính kỹ thuật số của Anh có thể được tin cậy ở nước ngoài và ngược lại – trong khi vẫn duy trì các nguyên tắc bảo mật và quyền riêng tư của riêng quốc gia. Điều này phản ánh một chiến lược rộng lớn hơn là duy trì sự hội tụ với các tiêu chuẩn toàn cầu ngay cả khi Vương quốc Anh phát triển hệ sinh thái danh tính kỹ thuật số hậu EU của mình.

Cách tiếp cận của Canada, do Hội đồng Xác thực và ID Kỹ thuật số Canada (DIACC) dẫn đầu thông qua Khuôn khổ Tin cậy Toàn Canada (PCTF), cũng đã áp dụng các nguyên lý cốt lõi của đảm bảo đa cấp và khả năng tương tác. Trong lịch sử, Canada đã sử dụng một mô hình đảm bảo bốn cấp (Cấp 1 đến 4) tương đương với các chương trình của NIST và ISO 29115, với hầu hết các dịch vụ chính phủ điện tử liên bang yêu cầu đăng nhập đảm bảo "cao" (tương đương với Cấp 3). Tuy nhiên, các bên liên quan của Canada đã nhận ra rằng một LoA tổng hợp, duy nhất có thể che giấu những khác biệt quan trọng trong cách một danh tính được xác minh. Ví dụ, các phương pháp chứng minh rất khác nhau – chẳng hạn như xác minh dựa trên kiến thức từ xa so với kiểm tra tài liệu trực tiếp – có thể cùng thỏa mãn cùng một LoA truyền thống, làm mờ đi các mức độ rủi ro khác nhau. Hiện nay có sự đồng thuận rộng rãi ở Canada rằng việc đảm bảo cần phải chi tiết hơn và cụ thể theo khả năng. PCTF đang phát triển theo hướng một mô hình hiện đại hóa, dựa trên rủi ro, tách biệt đảm bảo chứng minh danh tính khỏi đảm bảo trình xác thực (thông tin xác thực), lặp lại sự phân biệt IAL/AAL do NIST tiên phong. Sự phát triển này đòi hỏi một khuôn khổ tin cậy và chương trình công nhận toàn diện: các nhà cung cấp danh tính, nhà phát hành thông tin xác thực, và các kiểm toán viên được chứng nhận theo các tiêu chí chung để một danh tính kỹ thuật số được kiểm tra ở một tỉnh hoặc lĩnh vực có thể được chấp nhận một cách tự tin ở nơi khác. Kết quả là một cách tiếp cận hội tụ nơi Vương quốc Anh và Canada – mỗi quốc gia thông qua các cơ chế riêng của mình – củng cố cùng một chuẩn mực toàn cầu: danh tính kỹ thuật số đảm bảo cao dựa trên chứng minh ban đầu mạnh mẽ (thường với sinh trắc học), xác thực đa yếu tố liên tục, và các tiêu chuẩn nghiêm ngặt về quyền riêng tư và kiểm soát của người dùng. Cả hai quốc gia đều là ví dụ về cách các khu vực pháp lý đa dạng có thể đổi mới trong việc triển khai trong khi vẫn phù hợp với cấu trúc tin cậy quốc tế làm nền tảng cho các giao dịch kỹ thuật số xuyên biên giới.

Trong khi các khuôn khổ đảm bảo cung cấp nền tảng lý thuyết cho sự tin cậy, việc áp dụng thực tế của chúng trong các ví kỹ thuật số quyết định tính bảo mật và khả năng sử dụng trong thế giới thực của hệ thống. Điều này bao gồm hai giai đoạn quan trọng: bảo mật quyền truy cập vào chính chiếc ví và quy trình ban đầu, có tính quyết định cao của việc đăng ký một chứng chỉ kỹ thuật số đáng tin cậy.

Một ví kỹ thuật số là một nơi chứa an toàn cho các thông tin xác thực nhạy cảm nhất của một cá nhân. Bảo vệ nơi chứa này là điều tối quan trọng. Bảo mật của một chiếc ví là một cấu trúc đa lớp, bắt đầu từ bảo mật vật lý của thiết bị và mở rộng đến các giao thức mật mã điều chỉnh việc sử dụng nó.

Lớp phòng thủ đầu tiên và cơ bản nhất là cơ chế kiểm soát truy cập của chính thiết bị, chẳng hạn như mã PIN, mật khẩu, hoặc quét sinh trắc học (ví dụ: Face ID, quét vân tay). Điều này ngăn chặn một kẻ tấn công cơ hội có được quyền truy cập vật lý vào một thiết bị đã mở khóa khỏi việc truy cập ngay lập tức vào ví. Tuy nhiên, chỉ riêng lớp này là không đủ cho các hoạt động đảm bảo cao.

Do đó, một lớp xác thực thứ hai, độc lập là cần thiết để truy cập vào ứng dụng ví và, quan trọng hơn, để cho phép trình bày một thông tin xác thực. Các phương pháp tốt nhất và các quy định mới nổi, chẳng hạn như khuôn khổ Ví EUDI, bắt buộc xác thực đa yếu tố (MFA) mạnh để truy cập các chức năng của ví. Điều này thường liên quan đến việc kết hợp ít nhất hai trong số các yếu tố sau:

• Thứ bạn biết: Một mã PIN hoặc mật khẩu dành riêng cho ví.
• Thứ bạn có: Chính thiết bị vật lý, chứa các khóa mật mã.
• Thứ bạn là: Một xác minh sinh trắc học, chẳng hạn như quét vân tay hoặc khuôn mặt, được thực hiện tại thời điểm giao dịch.

Ngoài việc xác thực người dùng, công nghệ cơ bản của ví phải mạnh mẽ. Các thực hành bảo mật cốt lõi bao gồm:

• Sử dụng Phần tử Bảo mật (SE) hoặc Môi trường Thực thi Tin cậy (TEE): Các khóa mật mã quan trọng nên được lưu trữ trong một phần cứng được bảo vệ, chống giả mạo của thiết bị, tách biệt với hệ điều hành chính. Điều này ngăn chặn phần mềm độc hại trích xuất các khóa riêng tư.
• Mã hóa từ đầu đến cuối: Tất cả dữ liệu, cả khi lưu trữ trong ví và khi truyền đi trong quá trình trình bày, phải được mã hóa mật mã để ngăn chặn việc chặn và truy cập trái phép.
• Sao lưu và Phục hồi Mạnh mẽ: Vì các thông tin xác thực có thể được lưu trữ cục bộ, một cơ chế an toàn để phục hồi là cần thiết trong trường hợp thiết bị bị mất, bị đánh cắp hoặc bị hỏng. Điều này có thể đạt được thông qua các bản sao lưu đám mây được mã hóa hoặc, phổ biến hơn trong các hệ thống phi tập trung, một cụm từ khôi phục hoặc "seed" do người dùng nắm giữ có thể khôi phục ví trên một thiết bị mới.

Tuân thủ nguyên tắc "Zero Trust" cũng rất quan trọng; ví không bao giờ nên tin tưởng ngầm vào bất kỳ yêu cầu nào, mà phải xác minh mọi tương tác. Bằng cách kết hợp xác thực người dùng mạnh mẽ với một kiến trúc kỹ thuật được củng cố, một ví kỹ thuật số có thể phục vụ như một người quản lý thực sự đáng tin cậy cho danh tính kỹ thuật số của người dùng.

Quá trình cấp một thông tin xác thực Dữ liệu Nhận dạng Cá nhân (PID) đảm bảo cao hoặc một Bằng lái xe Di động (mDL) vào một chiếc ví là hiện thân thực tế của một sự kiện chứng minh danh tính IAL2 hoặc cao hơn. Hành trình này là bước quan trọng nhất trong vòng đời của thông tin xác thực, vì nó thiết lập niềm tin nền tảng mà tất cả các giao dịch trong tương lai sẽ dựa vào. Có hai phương pháp chính cho việc đăng ký đảm bảo cao này: một hành trình quang học dựa vào máy ảnh của thiết bị và một hành trình mật mã sử dụng Giao tiếp Trường gần (NFC).

Đây là phương pháp phổ biến nhất cho các tài liệu không có chip NFC hoặc khi NFC không được sử dụng. Mặc dù các bước cụ thể có thể thay đổi một chút giữa các khu vực pháp lý và các nhà cung cấp ví, luồng cốt lõi là nhất quán đáng kể và bao gồm một chuỗi các hành động xác minh và liên kết:

Toàn bộ quá trình này được thiết kế để đáp ứng các yêu cầu tin cậy cao của các khuôn khổ như NIST IAL2 hoặc eIDAS LoA Đáng kể/Cao. Việc kiểm tra thực thể sống, đặc biệt, là một thành phần không thể thương lượng để ngăn chặn các hình thức gian lận danh tính phổ biến nhất trong quá trình đăng ký quang học từ xa.

Đối với các tài liệu nhận dạng điện tử (eID) hiện đại, chẳng hạn như thẻ căn cước quốc gia (như Personalausweis của Đức), một hành trình đăng ký mật mã an toàn hơn có thể thực hiện được bằng NFC. Phương pháp này đọc dữ liệu trực tiếp từ chip nhúng của tài liệu, mang lại bảo mật vượt trội so với quét quang học.

Hành trình đăng ký NFC điển hình diễn ra như sau:

1. Khởi tạo: Người dùng bắt đầu quá trình trong ứng dụng ví và được nhắc sử dụng ID điện tử của họ.
2. Mở khóa Chip: Để truy cập chip, trước tiên nó phải được mở khóa. Điều này được thực hiện bằng cách nhập Số Truy cập Thẻ (CAN)—một số gồm 6 chữ số được in trên tài liệu—để thiết lập một kết nối an toàn thông qua một giao thức được gọi là Thiết lập Kết nối được Xác thực bằng Mật khẩu (PACE).
3. Đọc Dữ liệu NFC: Người dùng giữ tài liệu ID của họ gần đầu đọc NFC trên điện thoại thông minh. Ứng dụng đọc dữ liệu một cách an toàn từ chip, bao gồm các chi tiết cá nhân và một bức ảnh có độ phân giải cao, được chính phủ chứng nhận.
4. Xác minh Mật mã: Ứng dụng thực hiện các kiểm tra bảo mật quan trọng ở chế độ nền. Xác thực Thụ động xác minh chữ ký số của cơ quan cấp phát trên dữ liệu, đảm bảo nó không bị giả mạo. Xác thực Chủ động gửi một thử thách đến chip để xác nhận nó là thật và không phải là một bản sao.
5. Xác minh Người giữ (Liên kết): Ngay cả với một tài liệu an toàn về mặt mật mã, hệ thống phải xác minh rằng người đang giữ nó là chủ sở hữu thực sự. Điều này có thể được thực hiện theo hai cách:
   • Thực thể sống & Khớp Sinh trắc học: Người dùng thực hiện kiểm tra thực thể sống (như trong hành trình quang học), và khuôn mặt của họ được khớp sinh trắc học với bức ảnh chất lượng cao, đáng tin cậy được đọc từ chip.
   • Nhập mã PIN eID: Để có mức độ đảm bảo cao nhất, chẳng hạn như với eID của Đức, người dùng được nhắc nhập mã PIN 6 chữ số cá nhân của họ. Điều này chứng minh "sở hữu và kiến thức" (người dùng có thẻ và biết mã PIN), tạo ra một liên kết LoA Cao mà không nhất thiết cần kiểm tra thực thể sống trong bước cụ thể đó.
6. Cấp phát và Cung cấp: Với danh tính được xác minh thành công đến một mức độ đảm bảo cao, nhà phát hành ký mật mã vào chứng chỉ kỹ thuật số và cung cấp nó cho ví của người dùng.

Khuôn khổ Ví EUDI công nhận rõ ràng tầm quan trọng của việc đăng ký dựa trên NFC để đạt được LoA Cao, coi đó là nền tảng cho cả việc thiết lập ban đầu và phục hồi tài khoản. Phương pháp mật mã này về cơ bản an toàn hơn hành trình quang học vì nó xác minh tính xác thực kỹ thuật số của tài liệu một cách trực tiếp, thay vì dựa vào việc kiểm tra trực quan một hình ảnh được quét.

Trải nghiệm đăng ký của người dùng có thể khác biệt đáng kể tùy thuộc vào việc họ đang thêm một thông tin xác thực vào một ví gốc được tích hợp vào hệ điều hành của thiết bị (ví dụ: Apple Wallet, Google Wallet) hay vào một ứng dụng độc lập của bên thứ ba do một nhà phát hành hoặc một thực thể khác cung cấp. Sự lựa chọn giữa các mô hình này đặt ra một sự đánh đổi cho các nhà phát hành và người dùng: sự tiện lợi tích hợp và phạm vi tiếp cận rộng của các nền tảng gốc so với sự kiểm soát hoàn toàn và trải nghiệm tùy chỉnh của một ứng dụng chuyên dụng. Bảng sau đây cung cấp một so sánh từng bước của hai hành trình đăng ký này, đưa ra một hướng dẫn quan trọng cho bất kỳ tổ chức nào có kế hoạch phát hành hoặc xác minh các chứng chỉ kỹ thuật số.

Điều này có thể dẫn đến một hệ sinh thái phân mảnh, nơi người dùng có thể cần cài đặt và quản lý nhiều ứng dụng ví khác nhau nếu họ yêu cầu thông tin xác thực từ các tiểu bang hoặc nhà phát hành khác nhau (ví dụ: một ứng dụng cho mDL Louisiana của họ và một ứng dụng khác cho mDL California của họ).

Việc triển khai thực tế các ví danh tính kỹ thuật số dựa trên nền tảng của các tiêu chuẩn kỹ thuật và các khuôn khổ kiến trúc. Phần này cung cấp một phân tích chi tiết về hai trong số những trụ cột quan trọng nhất trong bối cảnh danh tính hiện đại: tiêu chuẩn ISO/IEC 18013-5 cho bằng lái xe di động và kiến trúc của Ví Danh tính Kỹ thuật số EU sắp ra mắt.

ISO/IEC 18013-5 là tiêu chuẩn quốc tế định nghĩa giao diện để lưu trữ, trình bày và xác minh bằng lái xe di động (mDL) và các thông tin xác thực tương tự khác. Nó được thiết kế để đảm bảo an ninh, quyền riêng tư và, quan trọng nhất, khả năng tương tác, cho phép một mDL được cấp ở một khu vực pháp lý có thể được đọc và tin cậy ở một khu vực khác.

Một câu hỏi quan trọng trong kiến trúc ví là liệu một chứng chỉ kỹ thuật số được liên kết với thiết bị của người dùng hay với tài khoản của người dùng. Tiêu chuẩn ISO 18013-5 về cơ bản là tập trung vào thiết bị trong kiến trúc bảo mật của nó. Mục tiêu chính của nó là ngăn chặn việc sao chép thông tin xác thực và đảm bảo rằng một lần trình bày đến từ thiết bị xác thực mà thông tin xác thực đã được cấp. Điều này đạt được thông qua liên kết thiết bị mạnh mẽ, nơi các khóa riêng tư của thông tin xác thực được lưu trữ trong một thành phần phần cứng an toàn, chống giả mạo của thiết bị di động, chẳng hạn như Phần tử Bảo mật (SE) hoặc Môi trường Thực thi Tin cậy (TEE). Trong quá trình trình bày, thiết bị thực hiện một hoạt động mật mã với khóa này, chứng minh nó là người giữ thực sự của thông tin xác thực. Tiêu chuẩn yêu cầu rõ ràng các thông tin xác thực phải được lưu trữ trên thiết bị di động gốc hoặc trên một máy chủ do cơ quan cấp phát quản lý, củng cố mô hình tập trung vào thiết bị này.

Tuy nhiên, tiêu chuẩn không cấm rõ ràng việc sử dụng tài khoản người dùng như một lớp để quản lý và điều phối. Điều này đã dẫn đến sự xuất hiện của một mô hình lai, đặc biệt là trong các triển khai ví gốc của Apple và Google. Trong mô hình này, mỏ neo bảo mật mật mã vẫn là thiết bị vật lý, nhưng một tài khoản đám mây tập trung vào người dùng (ví dụ: Apple ID hoặc Google Account) đóng vai trò là mỏ neo quản lý vòng đời. Lớp tài khoản này có thể tạo điều kiện cho các tính năng thân thiện với người dùng như chuyển một thông tin xác thực sang một thiết bị đáng tin cậy mới ở gần trong trường hợp của Apple.

Tiêu chuẩn ISO 18013-5 chủ yếu tập trung vào mô hình dữ liệu và giao diện để trình bày một thông tin xác thực, chứ không phải các chi tiết cụ thể của quy trình đăng ký ban đầu. Tuy nhiên, để một mDL được coi là đảm bảo cao (ví dụ: đáp ứng NIST IAL2 hoặc eIDAS LoA Cao), quy trình đăng ký phải mạnh mẽ. Trong thực tế, mọi triển khai lớn của một mDL đảm bảo cao đều bắt buộc kiểm tra phát hiện thực thể sống trong quá trình đăng ký ban đầu. Bước này là cần thiết để liên kết người dùng sống với tài liệu nhận dạng vật lý của họ và ngăn chặn các cuộc tấn công trình bày.

Câu hỏi phức tạp hơn phát sinh khi người dùng có một thiết bị mới. Có cần kiểm tra thực thể sống mỗi khi một mDL được cung cấp cho một điện thoại mới không? Đối với việc đăng ký dựa trên quang học, câu trả lời áp đảo là có. Thực hành an toàn nhất là coi việc cung cấp cho một thiết bị mới như một lần tái đăng ký đầy đủ. Đây không phải là một lỗi hệ thống mà là một lựa chọn thiết kế bảo mật có chủ ý. Bởi vì mô hình bảo mật là tập trung vào thiết bị, với các khóa mật mã gắn liền với phần cứng cụ thể, việc chỉ sao chép thông tin xác thực là không thể hoặc không an toàn. Một liên kết mới phải được thiết lập giữa người dùng và phần cứng mới.

Tuy nhiên, việc tái đăng ký này không phải lúc nào cũng cần kiểm tra thực thể sống. Nếu người dùng sở hữu một tài liệu nhận dạng đảm bảo cao có chip NFC và một ví hỗ trợ nó, họ có thể thực hiện tái đăng ký mật mã bằng cách đọc chip và chứng minh quyền sở hữu (ví dụ: bằng mã PIN), như đã trình bày chi tiết trong phần 4.2.2. Điều này cung cấp một liên kết mạnh mẽ tương đương, nếu không muốn nói là mạnh hơn, với thiết bị mới.

Các triển khai xác nhận quan điểm này. Credence ID, một nhà cung cấp công nghệ trong lĩnh vực này, tuyên bố rõ ràng rằng việc tái đăng ký là bắt buộc vì lý do bảo mật mỗi khi người dùng đổi điện thoại, vì quy trình sử dụng các khóa dành riêng cho thiết bị và dữ liệu không thể chuyển nhượng. Tương tự, quy trình thêm một mDL vào Google Wallet trên một điện thoại Android mới yêu cầu người dùng gửi một yêu cầu hoàn toàn mới đến DMV.

Apple cung cấp một quy trình "chuyển" hợp lý hơn, nhưng đây là một lớp khả năng sử dụng được xây dựng trên các nguyên tắc bảo mật cơ bản. Việc chuyển giao dựa vào trạng thái tin cậy của Tài khoản Apple của người dùng và quy trình thiết lập an toàn của iPhone mới để hoạt động như một đại diện cho một lần chứng minh lại đầy đủ. Người dùng vẫn được yêu cầu xác thực và xác nhận việc di chuyển, thực chất là ủy quyền lại cho việc liên kết với phần cứng mới.

Sự cần thiết phải thiết lập lại liên kết sinh trắc học trên mỗi thiết bị mới tạo ra một mức độ phiền toái cho người dùng, có thể được coi là một "thuế tái đăng ký" để duy trì bảo mật cao. Mặc dù bất tiện, đó là một hệ quả trực tiếp của một mô hình bảo mật ưu tiên đúng đắn việc ngăn chặn sao chép thông tin xác thực hơn là đồng bộ hóa liền mạch các tài liệu nhận dạng đảm bảo cao.

Ví Danh tính Kỹ thuật số Châu Âu (EUDI) là trung tâm của quy định eIDAS 2.0. Nó được hình dung như một ứng dụng an toàn, do người dùng kiểm soát sẽ được cung cấp bởi mỗi Quốc gia Thành viên EU, cho phép công dân lưu trữ và chia sẻ dữ liệu nhận dạng cá nhân (PID) và các chứng thực điện tử khác về các thuộc tính (EAA), chẳng hạn như bằng lái xe, bằng đại học, hoặc đơn thuốc.

Một câu hỏi kiến trúc quan trọng đối với Ví EUDI là nó sẽ xử lý việc sử dụng đa thiết bị như thế nào. Khuôn khổ Tham chiếu và Kiến trúc (ARF) hiện tại và các phân tích liên quan cho thấy rằng Ví EUDI sẽ không hoạt động giống như một dịch vụ đám mây thông thường tự động đồng bộ hóa trạng thái của nó trên nhiều thiết bị. Thay vào đó, kiến trúc hướng tới một mô hình nơi người dùng có một ví chính, neo vào thiết bị, hoạt động như gốc rễ của sự tin cậy của họ.

Quy định bắt buộc mỗi Quốc gia Thành viên phải cung cấp ít nhất một ví cho công dân của mình. Thành phần kiến trúc cốt lõi là Đơn vị Ví, nằm trên thiết bị di động cá nhân của người dùng và dựa vào một Thiết bị Mật mã An toàn của Ví (WSCD) cục bộ hoặc từ xa để bảo mật. Thiết kế này vốn đã gắn các chức năng bảo mật cao nhất của ví với một bối cảnh thiết bị cụ thể. Mặc dù ARF phác thảo rõ ràng các luồng cho việc sử dụng trên nhiều thiết bị—ví dụ, sử dụng điện thoại thông minh để quét mã QR để xác thực một phiên trên máy tính xách tay—đây là một mô hình tương tác, không phải là một mô hình đồng bộ hóa. Việc đồng bộ hóa thực sự trạng thái của ví, bao gồm các khóa riêng tư và thông tin xác thực của nó, trên nhiều thiết bị là phức tạp về mặt kỹ thuật và đặt ra những thách thức bảo mật đáng kể có thể mâu thuẫn với nguyên tắc "kiểm soát duy nhất" của eIDAS bởi người dùng.

Các phân tích hiện tại về khuôn khổ kết luận rằng hầu hết các triển khai Ví EUDI đang được thiết kế để sử dụng trên một thiết bị duy nhất. Điều này dẫn đến một số kết luận về bối cảnh đa thiết bị:

• Một Ví Chính: Một công dân có thể sẽ có một Ví EUDI chính do Quốc gia Thành viên của họ cấp, được neo vào thiết bị cá nhân chính của họ.
• Nhiều Ví, Độc lập: Một công dân có hai quốc tịch có thể sở hữu nhiều Ví EUDI (ví dụ: một từ Đức và một từ Pháp), nhưng đây sẽ là các phiên bản riêng biệt, độc lập và không được đồng bộ hóa.
• Ví Doanh nghiệp Riêng biệt: Sự không thực tế của việc sử dụng một ví cá nhân, một thiết bị cho các mục đích chuyên nghiệp đã dẫn đến sự phát triển của khái niệm Ví Doanh nghiệp Châu Âu (EUBW), một cơ sở hạ tầng ví riêng biệt để quản lý các vai trò và thông tin xác thực của tổ chức.

Cách tiếp cận kiến trúc này định vị Ví EUDI ít giống như một "ví đám mây được đồng bộ hóa" và giống hơn là một "trung tâm danh tính kỹ thuật số". Thiết bị di động chính của người dùng sẽ đóng vai trò là gốc rễ tin cậy cá nhân của họ cho các tương tác kỹ thuật số đảm bảo cao. Các thiết bị khác sẽ tương tác với trung tâm này thay vì là các thiết bị ngang hàng. Điều này có ý nghĩa quan trọng về khả năng sử dụng: người dùng sẽ cần thiết bị chính của họ để thực hiện các hoạt động quan trọng. Nó cũng nhấn mạnh tầm quan trọng của các cơ chế sao lưu và phục hồi mạnh mẽ và thân thiện với người dùng, vì việc mất thiết bị chính có thể khiến danh tính kỹ thuật số không thể truy cập được cho đến khi hoàn thành một lần tái đăng ký đầy đủ.

Hệ sinh thái Ví EUDI đang được xây dựng dựa trên một Khuôn khổ Tham chiếu và Kiến trúc (ARF) chi tiết nhằm tạo ra một hệ thống liên kết nhưng hoàn toàn có khả năng tương tác trên toàn EU. ARF được thành lập dựa trên bốn nguyên tắc thiết kế chính: lấy người dùng làm trung tâm, khả năng tương tác, bảo mật theo thiết kế và quyền riêng tư theo thiết kế.

Kiến trúc định nghĩa một tập hợp các vai trò và tương tác rõ ràng:

Khả năng tương tác là nền tảng của hệ sinh thái này, đảm bảo rằng một ví được cấp ở một Quốc gia Thành viên có thể được sử dụng để truy cập một dịch vụ ở bất kỳ quốc gia nào khác. Điều này đạt được thông qua việc áp dụng bắt buộc các tiêu chuẩn kỹ thuật chung. Đối với các tương tác từ xa (trực tuyến), ARF chỉ định việc sử dụng các giao thức OpenID for Verifiable Presentations (OpenID4VP) và OpenID for Verifiable Credentials Issuance (OpenID4VCI). Đối với các tương tác gần (trực tiếp), khuôn khổ bắt buộc tuân thủ tiêu chuẩn ISO/IEC 18013-5.

Niềm tin trên mạng lưới phi tập trung, rộng lớn này được thiết lập và duy trì thông qua một hệ thống Danh sách Tin cậy. Mỗi Quốc gia Thành viên sẽ duy trì danh sách các Nhà cung cấp Ví, Nhà cung cấp PID được chứng nhận và các nhà cung cấp dịch vụ tin cậy đủ điều kiện khác. Các danh sách quốc gia này được tổng hợp thành một Danh sách Tin cậy Trung tâm của EU, tạo ra một "xương sống tin cậy" có thể xác minh cho phép bất kỳ người tham gia nào trong hệ sinh thái có thể xác minh tính hợp pháp của bất kỳ người tham gia nào khác bằng mật mã.

Trong khi xác thực xác nhận danh tính cho mục đích truy cập một dịch vụ, một chữ ký số phục vụ một mục đích khác, sâu sắc hơn: nó ghi lại ý định pháp lý của một người để đồng ý với nội dung của một tài liệu hoặc tập dữ liệu. Trong khuôn khổ eIDAS của Liên minh châu Âu, hình thức cao nhất và có ý nghĩa pháp lý nhất của điều này là Chữ ký Điện tử Đủ điều kiện (QES).

Quy định eIDAS thiết lập một hệ thống phân cấp rõ ràng của các chữ ký điện tử, mỗi loại xây dựng dựa trên loại trước đó.

Hậu quả quan trọng nhất của QES là hiệu lực pháp lý của nó. Theo Điều 25 của Quy định eIDAS, một Chữ ký Điện tử Đủ điều kiện sẽ có hiệu lực pháp lý tương đương với một chữ ký tay. Đây là một giả định pháp lý mạnh mẽ được công nhận thống nhất trên tất cả 27 Quốc gia Thành viên EU.

Điều này có nghĩa là một tài liệu được ký bằng QES không thể bị từ chối hiệu lực pháp lý hoặc khả năng được chấp nhận làm bằng chứng trong các thủ tục tố tụng pháp lý chỉ vì lý do nó ở dạng điện tử. Mặc dù luật pháp quốc gia vẫn xác định loại hợp đồng nào yêu cầu hình thức văn bản, đối với bất kỳ giao dịch nào mà chữ ký tay là đủ, QES là tương đương pháp lý của nó. Điều này làm cho QES trở thành tiêu chuẩn vàng cho các giao dịch liên quan đến giá trị cao, rủi ro pháp lý đáng kể, hoặc các yêu cầu theo luật định về chữ ký bằng văn bản, chẳng hạn như:

• Hợp đồng mua bán bất động sản.
• Hợp đồng cho vay và tín dụng giá trị cao.
• Các tài liệu được công chứng và các hồ sơ tòa án chính thức.
• Hợp đồng lao động và các nghị quyết của công ty.

Việc sử dụng QES cung cấp tính không thể chối bỏ, có nghĩa là người ký bị ngăn cản việc phủ nhận sự tham gia của họ vào thỏa thuận đã ký, một tính năng quan trọng trong các tranh chấp pháp lý. Sự công nhận pháp lý xuyên biên giới này là một trụ cột cơ bản của Thị trường Kỹ thuật số Duy nhất của EU, cho phép các doanh nghiệp và công dân tham gia vào các giao dịch điện tử an toàn và tiện lợi mà không có gánh nặng hành chính và chi phí của các quy trình dựa trên giấy tờ.

Việc tạo ra một chữ ký có sức mạnh pháp lý của QES bao gồm một quy trình nghiêm ngặt, được quy định để đảm bảo mức độ đảm bảo danh tính và bảo mật cao nhất. Hai thành phần cốt lõi là bắt buộc:

1. Một Chứng chỉ Đủ điều kiện cho Chữ ký Điện tử: Đây là một chứng chỉ kỹ thuật số liên kết dữ liệu xác minh chữ ký (một khóa công khai) với một cá nhân cụ thể, có tên. Chứng chỉ này chỉ có thể được cấp bởi một Nhà cung cấp Dịch vụ Tin cậy Đủ điều kiện (QTSP). Một QTSP là một tổ chức đã trải qua một quy trình kiểm toán và chứng nhận nghiêm ngặt bởi một cơ quan giám sát quốc gia và được liệt kê trong Danh sách Tin cậy của EU. Trước khi cấp một chứng chỉ đủ điều kiện, QTSP phải xác minh danh tính của người nộp đơn đến một mức độ đảm bảo cao, thường thông qua các thủ tục nhận dạng trực tiếp hoặc từ xa tương đương.
2. Một Thiết bị Tạo Chữ ký Đủ điều kiện (QSCD): Chữ ký điện tử phải được tạo bằng một QSCD. Đây là một phần cứng hoặc phần mềm được cấu hình đã được chứng nhận đáp ứng các yêu cầu bảo mật nghiêm ngặt của eIDAS. Chức năng chính của QSCD là tạo chữ ký một cách an toàn và bảo vệ khóa ký riêng của người ký, đảm bảo rằng nó luôn nằm dưới sự kiểm soát duy nhất của họ. Ví dụ về QSCD bao gồm các mô-đun bảo mật phần cứng (HSM) được chứng nhận, thẻ thông minh, hoặc các dịch vụ ký từ xa an toàn do một QTSP quản lý.

Ví EUDI được thiết kế rõ ràng để tích hợp chức năng này, bằng cách được chứng nhận là một QSCD hoặc bằng cách giao tiếp an toàn với một dịch vụ QSCD từ xa do một QTSP cung cấp. Sự tích hợp này sẽ dân chủ hóa quyền truy cập vào QES, cho phép bất kỳ công dân châu Âu nào có một Ví EUDI được thiết lập đầy đủ có thể tạo ra các chữ ký số có giá trị pháp lý chỉ với vài lần nhấn, một bước tiến quan trọng hướng tới một nền hành chính và kinh tế hoàn toàn số hóa, không giấy tờ.

Bối cảnh danh tính kỹ thuật số toàn cầu đang hội tụ xung quanh các nguyên tắc chính như tin cậy sinh trắc học và bảo mật tập trung vào thiết bị. Việc điều hướng địa hình đang phát triển này đòi hỏi hành động chiến lược từ tất cả các bên tham gia. Các khuyến nghị sau đây được đưa ra để hướng dẫn các bên liên quan chính trong việc cân bằng giữa bảo mật, khả năng sử dụng và khả năng tương tác.

• Phân tích các Mức độ Đảm bảo Mục tiêu: Trước khi phát triển, hãy xác định chính xác mức độ đảm bảo mà ví hoặc dịch vụ của bạn cần đạt được. Nếu các thông tin xác thực sẽ được sử dụng cho các quy trình được quy định như KYC hoặc xác minh có tính quyết định cao, hãy đảm bảo các biện pháp chứng minh danh tính và xác thực đủ mạnh để đáp ứng các yêu cầu pháp lý và tuân thủ cụ thể đó ngay từ đầu.
• Ưu tiên Việc Áp dụng Ví: Chiếc ví an toàn nhất cũng vô dụng nếu không ai có nó. Thiết kế các luồng đăng ký đơn giản, ít ma sát để khuyến khích người dùng cài đặt và cung cấp ví của họ. Xây dựng các dịch vụ giá trị gia tăng trên một hệ sinh thái ví chỉ khả thi nếu có một khối lượng lớn người dùng mục tiêu áp dụng.
• Áp dụng một Kiến trúc Linh hoạt: Thiết kế các nền tảng danh tính và xác thực với một kiến trúc nội bộ có thể ánh xạ tới cả mô hình đảm bảo chi tiết (kiểu NIST) và thống nhất (kiểu eIDAS). Điều này đảm bảo khả năng phục vụ các thị trường toàn cầu mà không yêu cầu các ngăn xếp sản phẩm hoàn toàn riêng biệt.
• Đầu tư vào các Công nghệ Tin cậy Cốt lõi: Phát hiện thực thể sống được chứng nhận và khớp sinh trắc học có độ chính xác cao không còn là các tính năng tùy chọn; chúng là các thành phần cốt lõi cho bất kỳ sản phẩm danh tính đảm bảo cao nào. Đầu tư vào các công nghệ tuân thủ các tiêu chuẩn như ISO/IEC 30107-3 để phát hiện tấn công trình bày là rất quan trọng.
• Thiết kế cho "Thuế Tái đăng ký": Thừa nhận rằng việc đăng ký lại trên một thiết bị mới là một tính năng bảo mật, không phải là một lỗi. Thiết kế các hành trình đăng ký và tái đăng ký rõ ràng, thân thiện với người dùng và có độ bảo mật cao để giảm thiểu ma sát trong khi vẫn duy trì tính toàn vẹn của quy trình liên kết sinh trắc học.
• Bảo mật Toàn bộ Vòng đời: Tập trung không chỉ vào việc đăng ký mà còn vào các cơ chế sao lưu và phục hồi an toàn. Khi Ví EUDI và các mô hình tập trung vào thiết bị khác trở nên phổ biến, các quy trình phục hồi thân thiện với người dùng nhưng an toàn (ví dụ: dựa trên các cụm từ hạt giống hoặc các giao thức do nhà phát hành quản lý) sẽ là một yếu tố khác biệt chính.
• Triển khai Nâng cấp Ví với các Phương án Dự phòng Tương thích: Khi tích hợp xác minh danh tính dựa trên ví (ví dụ: cho KYC), hãy sử dụng các tiêu chuẩn mới nổi như Digital Credentials API khi có sẵn. Tuy nhiên, để đảm bảo khả năng tương thích rộng rãi trên các nền tảng và ví có thể chưa hỗ trợ API, hãy triển khai các cơ chế dự phòng mạnh mẽ như các luồng dựa trên mã QR hoặc liên kết sâu (ví dụ: sử dụng OpenID4VP). Điều này đảm bảo một trải nghiệm người dùng nhất quán và phạm vi tiếp cận rộng hơn.
• Bảo vệ Tài khoản bằng Passkeys: Đối với các ví của bên thứ ba sử dụng tài khoản trực tuyến để quản lý siêu dữ liệu hoặc thông tin xác thực của người dùng, các tài khoản này trở thành một ranh giới bảo mật quan trọng. Chúng phải được bảo vệ bằng các phương pháp xác thực mạnh nhất có thể, chống tấn công giả mạo, chẳng hạn như passkeys (FIDO2). Điều này ngăn chặn các cuộc tấn công chiếm đoạt tài khoản có thể làm tổn hại dữ liệu người dùng hoặc tạo điều kiện cho các hoạt động tái đăng ký gian lận.

• Thực hiện Đánh giá Rủi ro Nghiêm ngặt: Đừng áp dụng một cách tiếp cận một kích cỡ cho tất cả đối với việc đảm bảo. Sử dụng các khuôn khổ đánh giá rủi ro, chẳng hạn như quy trình DIRA ở Hoa Kỳ, để xác định IAL và AAL phù hợp cần thiết cho mỗi dịch vụ hoặc giao dịch cụ thể. Bảo mật quá mức các tương tác rủi ro thấp tạo ra ma sát không cần thiết, trong khi bảo mật không đủ các tương tác rủi ro cao sẽ mời gọi gian lận.
• Bảo vệ Tài khoản bằng Passkeys: Sau khi sử dụng một ví kỹ thuật số để xác minh danh tính đảm bảo cao (nâng cấp), tài khoản người dùng có một trạng thái danh tính đã được xác nhận. Điều quan trọng là phải bảo mật tài khoản giá trị cao này chống lại tấn công giả mạo. Bắt buộc hoặc khuyến khích mạnh mẽ việc sử dụng passkeys cho các lần đăng nhập tiếp theo, vì chúng cung cấp MFA chống tấn công giả mạo và đảm bảo tài khoản đã được xác minh không bị xâm phạm bởi các phương pháp xác thực yếu hơn.
• Chuẩn bị cho một Thế giới Đa Ví: Tương lai không phải là một ví, mà là nhiều ví. Các doanh nghiệp và cơ quan chính phủ phải đầu tư vào công nghệ và cơ sở hạ tầng xác minh có khả năng tương tác và dựa trên tiêu chuẩn. Điều này có nghĩa là hỗ trợ các giao thức như OpenID4VP và ISO 18013-5 để đảm bảo khả năng chấp nhận thông tin xác thực từ một loạt các ví, bao gồm Ví EUDI, ví OS gốc và các giải pháp của bên thứ ba khác.
• Theo dõi các Tiêu chuẩn Liên kết Thiết bị cho các Kịch bản Đảm bảo Cao: Đối với các mô hình rủi ro phụ thuộc vào việc xác định một thiết bị vật lý cụ thể (đặc biệt với các passkey được đồng bộ hóa), hãy theo dõi chặt chẽ sự phát triển của các tiêu chuẩn WebAuthn cho các tín hiệu tin cậy liên kết thiết bị. Mặc dù các đề xuất ban đầu đã bị ngừng, các giải pháp mới đang được phát triển để cho phép các Bên Tin cậy phân biệt giữa một thiết bị đáng tin cậy và một thiết bị mới được đồng bộ hóa, cho phép đánh giá rủi ro chi tiết hơn mà không làm mất đi sự tiện lợi của người dùng.
• Tin vào Mật mã, không phải Màn hình: Đào tạo nhân viên và thiết kế các quy trình để dựa vào xác minh mật mã từ một đầu đọc tuân thủ, không phải vào việc kiểm tra trực quan một thông tin xác thực trên màn hình điện thoại của người dùng. Kiểm tra trực quan rất dễ bị giả mạo và gian lận.

• Thúc đẩy Hợp tác Quốc tế: Tiếp tục hỗ trợ và tham gia vào các cơ quan tiêu chuẩn quốc tế (như ISO và W3C) để giảm sự phân mảnh và thúc đẩy một ngôn ngữ chung cho niềm tin kỹ thuật số. Việc hài hòa hóa các định nghĩa và yêu cầu khi có thể sẽ làm giảm các rào cản thương mại và đổi mới.
• Giải quyết Thách thức Đa thiết bị: Nhận ra những thách thức đáng kể về khả năng sử dụng và bảo mật do quản lý đa thiết bị đặt ra. Khuyến khích sự phát triển của các tiêu chuẩn và khuôn khổ để phục hồi và đồng bộ hóa thông tin xác thực an toàn, lấy người dùng làm trung tâm mà không làm ảnh hưởng đến nguyên tắc "kiểm soát duy nhất".
• Cân bằng Quyền riêng tư và Bảo mật: Khi dữ liệu sinh trắc học trở thành nền tảng của danh tính đảm bảo cao, hãy đảm bảo rằng các khuôn khổ pháp lý và quy định cung cấp các biện pháp bảo vệ quyền riêng tư mạnh mẽ cho thông tin nhạy cảm này, phù hợp với các nguyên tắc như GDPR.

Bằng cách áp dụng các chiến lược này, các bên liên quan không chỉ có thể điều hướng sự phức tạp của môi trường hiện tại mà còn tích cực đóng góp vào việc xây dựng một hệ sinh thái danh tính kỹ thuật số an toàn hơn, có khả năng tương tác và lấy người dùng làm trung tâm cho tương lai.

Tương lai của danh tính kỹ thuật số là một mô hình máy-với-máy, nơi các phần tử phần cứng an toàn trên các thiết bị ký các thử thách mật mã để chứng minh danh tính của người dùng. Sự thay đổi này từ các bí mật do con người ghi nhớ sang niềm tin neo vào phần cứng là nền tảng để loại bỏ toàn bộ các loại tấn công, đặc biệt là tấn công giả mạo.

Corbado chuyên về quá trình chuyển đổi này. Chúng tôi giúp các doanh nghiệp, từ các nhà cung cấp ví đến các bên tin cậy được quy định, đẩy nhanh hành trình của họ đến một tương lai thực sự không cần mật khẩu. Nền tảng của chúng tôi được thiết kế để:

• Thúc đẩy việc Áp dụng Passkey một cách Thông minh: Chỉ cung cấp passkeys là không đủ; trải nghiệm người dùng phải liền mạch để thúc đẩy việc áp dụng. Passkey Intelligence, một thành phần cốt lõi của giải pháp của chúng tôi, là một lớp logic thông minh tối ưu hóa các luồng xác thực. Nó phân tích bối cảnh của người dùng—thiết bị, trình duyệt và lịch sử—để ngăn chặn các ngõ cụt phổ biến như các vòng lặp mã QR khó hiểu hoặc lời nhắc passkeys trên sai thiết bị. Bằng cách hướng dẫn người dùng một cách thông minh đến con đường thành công nhất, nó làm tăng đáng kể tỷ lệ tạo và sử dụng passkey, đảm bảo rằng các tài khoản có giá trị cao, đã được xác minh danh tính được bảo vệ bằng một phương pháp xác thực vừa an toàn vừa không gây phiền toái.
• Tạo điều kiện cho việc Nhận dạng & Phục hồi: Giải pháp của Corbado hỗ trợ các quy trình phục hồi và nhận dạng tài khoản mạnh mẽ thông qua các tích hợp gốc và plugin cho các nhà cung cấp xác minh danh tính (IDV) hiện có.
• Xác minh Chứng chỉ Kỹ thuật số: Hướng tới tương lai, nền tảng của chúng tôi được xây dựng để hỗ trợ tự nhiên việc xác minh các chứng chỉ kỹ thuật số bằng cách sử dụng các tiêu chuẩn mới nổi như Digital Credentials API, cho phép bạn đáp ứng các mức độ đảm bảo cao nhất được yêu cầu trong các môi trường được quy định.

Cho dù bạn là một nhà cung cấp ví đang tìm cách cung cấp xác thực an toàn hay một bên tin cậy cần tin tưởng vào các thông tin xác thực được trình bày cho bạn, Corbado cung cấp cơ sở hạ tầng nền tảng để xây dựng trên các tiêu chuẩn danh tính hiện đại, chống tấn công giả mạo.

Hành trình của chúng ta qua các khuôn khổ danh tính kỹ thuật số của EU, Hoa Kỳ và Úc cho thấy một sự đồng thuận toàn cầu rõ ràng về các nguyên tắc cốt lõi của niềm tin. Tất cả các khuôn khổ lớn của phương Tây đều áp dụng một cách tiếp cận theo cấp, dựa trên rủi ro và đã áp dụng xác minh sinh trắc học—kiểm tra "thực thể sống với tài liệu"—làm tiêu chuẩn vàng cho danh tính đảm bảo cao. Tuy nhiên, các con đường để đạt được niềm tin này lại khác nhau. Mô hình của Hoa Kỳ cung cấp sự linh hoạt chi tiết, trong khi khuôn khổ eIDAS của EU ủng hộ khả năng tương tác thống nhất, và hệ thống của Úc nằm giữa hai triết lý này. Cuối cùng, sự thành công của ví kỹ thuật số phụ thuộc vào một mạng lưới tin cậy giữa người dùng, các bên tin cậy và chính phủ. Các khuôn khổ mà chúng ta đã khám phá là những bản thiết kế cho kỷ nguyên mới này. Thách thức bây giờ là xây dựng trên chúng, tạo ra một hệ sinh thái danh tính không chỉ an toàn và có khả năng tương tác, mà còn thực sự trao quyền cho mỗi cá nhân.