Từ RSA đến ECDSA: Bước chuyển tất yếu để bảo vệ an toàn hệ thống giao dịch điện tử

Trong nhiều năm qua, RSA là thuật toán nền tảng cho chứng thư số tại Việt Nam. Tuy nhiên, với sự phát triển mạnh mẽ của năng lực tính toán và nguy cơ từ máy tính lượng tử, RSA-2048 dần trở nên không đủ mạnh để bảo vệ dữ liệu lâu dài. Trong khi đó, ECDSA (Elliptic Curve Digital Signature Algorithm) mang lại nhiều lợi thế: độ an toàn cao với khóa ngắn hơn, tốc độ xử lý nhanh hơn, tiết kiệm tài nguyên hệ thống và phù hợp với giao dịch điện tử khối lượng lớn.

Thông tư 15/2025/TT-BKHCN do Bộ Khoa học và Công nghệ ban hành ngày 15/8/2025 đã quy định rõ yêu cầu kỹ thuật đối với phần mềm ký số và kiểm tra chữ ký số, trong đó ECDSA là thuật toán bắt buộc phải được hỗ trợ. Đồng thời, Quy chuẩn kỹ thuật quốc gia QCVN 5:2016/BQP về chữ ký số trong lĩnh vực ngân hàng, được NHNN công nhận và áp dụng từ năm 2025, đã chính thức đưa ECDSA trở thành tiêu chuẩn kỹ thuật bắt buộc trong hệ thống ngân hàng. Đây là bước đi pháp lý quan trọng, buộc các ngân hàng thương mại và tổ chức tài chính phải chuẩn bị cho quá trình chuyển đổi.

Các công việc cần làm để tuân thủ Thông tư 15

Để đáp ứng yêu cầu pháp lý và đảm bảo an toàn giao dịch, các tổ chức cần triển khai đồng bộ nhiều biện pháp.

Về kỹ thuật, hệ thống khóa công khai (PKI) phải được nâng cấp để phát hành và xác minh chứng thư số ECDSA. Phần mềm ký số và kiểm tra chữ ký số cần được cập nhật để nhận diện và xử lý chứng thư số mới. Các thiết bị phần cứng bảo mật như HSM, token hay smartcard phải hỗ trợ ECDSA.

Về pháp lý và quy trình, các tổ chức cần xây dựng quy trình cấp phát, thu hồi và lưu trữ chứng thư số ECDSA, đồng thời ban hành quy định nội bộ về việc sử dụng ECDSA trong giao dịch điện tử. Nhân sự cần được đào tạo theo phân tầng: nhân viên vận hành nắm quy trình sử dụng, kỹ sư hệ thống hiểu cách cấu hình và bảo trì, còn chuyên gia PKI nghiên cứu chuẩn quốc tế và chuẩn bị cho hậu lượng tử.

Mô hình lai ghép RSA/ECDSA và yêu cầu ngắt RSA

Trong giai đoạn chuyển đổi, mô hình lai ghép (hybrid) là giải pháp khả thi. Một chứng thư số có thể chứa đồng thời hai cặp khóa: RSA và ECDSA. Điều này giúp duy trì khả năng tương thích ngược với hệ thống cũ, đồng thời từng bước chuyển sang chuẩn mới.

Tuy nhiên, để đảm bảo an toàn lâu dài, hệ thống phải có tính năng ngắt việc sử dụng RSA khi cần. Điều này có nghĩa là: (i) Hệ thống quản lý chứng thư số phải cho phép cấu hình chính sách ưu tiên ECDSA; (ii) Khi có yêu cầu pháp lý hoặc khi phát hiện nguy cơ an toàn với RSA, hệ thống phải tự động vô hiệu hóa việc ký và xác minh bằng RSA, chỉ cho phép sử dụng ECDSA; (iii) Các ứng dụng nghiệp vụ (internet banking, core banking, thanh toán điện tử) phải được thiết kế để chuyển đổi linh hoạt, không phụ thuộc cố định vào RSA.

Như vậy, mô hình lai ghép không chỉ là giải pháp tạm thời để duy trì khả năng giao tiếp với đối tác chưa chuyển đổi, mà còn phải được thiết kế với cơ chế “ngắt RSA” nhằm đảm bảo hệ thống có thể nhanh chóng loại bỏ thuật toán cũ khi cần.

Lợi ích khi tuân thủ

Việc chuyển sang ECDSA mang lại nhiều lợi ích: tăng cường bảo mật trước nguy cơ lượng tử, nâng cao hiệu năng hệ thống, đáp ứng đầy đủ yêu cầu pháp lý, và chuẩn bị cho bước chuyển tiếp sang mật mã hậu lượng tử. Đây là bước đi chiến lược để củng cố niềm tin của khách hàng và đối tác vào hệ thống giao dịch điện tử của Việt Nam.