Chữ ký điện tử (tiếng Anh: electronic signature hay e-signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó[1][2][3]. Chữ ký điện tử có giá trị pháp lý tương đương như chữ ký viết tay, miễn là nó tuân theo các yêu cầu của quy chế cụ thể mà nó được tạo ra (ví dụ, eIDAS ở Liên minh châu Âu, NIST-DSS ở Hoa Kỳ hoặc ZertES ở Thụy Sĩ)[4][5].
Chữ ký điện tử là một khái niệm pháp lý khác biệt với chữ ký số (digital signature), một cơ chế mã hóa thường được sử dụng để triển khai chữ ký điện tử. Trong khi chữ ký điện tử có thể đơn giản chỉ là tên được nhập vào tài liệu điện tử, chữ ký số ngày càng được sử dụng trong giao dịch điện tử và trong các tài liệu đăng ký để triển khai chữ ký điện tử một cách an toàn về mặt mã hóa. Các cơ quan tiêu chuẩn như NIST hay ETSI cung cấp các tiêu chuẩn để triển khai chúng (ví dụ: NIST-DSS, XAdES hoặc PAdES)[4][6]. Khái niệm này không phải là mới, với các quốc gia áp dụng thông luật đã công nhận chữ ký điện báo từ giữa thế kỷ 19 và chữ ký fax từ những năm 1980.
Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang New Hampshire (Hoa Kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi[7].
Vào thập niên 1980, các công ty và một số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và nhận chúng hoàn toàn dựa trên tín hiệu điện tử.
Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy tính tiền[8], chấp nhận các điều khoản người dùng (EULA) khi cài đặt phần mềm máy tính, ký các hợp đồng điện tử online[9]...
Nhiều luật được ban hành trên thế giới công nhận giá trị pháp lý của chữ ký điện tử nhằm thúc đẩy các giao dịch điện tử xuyên quốc gia.
Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax...).
Tại Hoa Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:
Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.
Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.
Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý trên được gắn với văn bản trong một số trường hợp cụ thể.
Một số trang web (đặc biệt là các trang khiêu dâm) và các điều khoản sử dụng phần mềm tuyên bố một số hành động gắn với chữ ký điện tử. Chẳng hạn, một trang web có thể tuyên bố rằng với việc truy cập vào trang web, bạn đã chấp nhận một số quy định. Một ví dụ khác là khi cài đặt phần mềm, trước khi cài sẽ xuất hiện một màn hình thông báo rằng với việc tiếp tục cài đặt thì bạn chấp nhận một số điều về bản quyền. Các điều khoản này có thể không được thông báo trước khi bán và không phải lúc nào cũng được hiển thị đầy đủ khi bạn cài đặt. Các điều kiện về bản quyền này thường bao gồm các điều cấm người sử dụng công bố các thông tin về sản phẩm nếu không được sự cho phép của nhà sản xuất, các điều hạn chế người sử dụng nghiên cứu sản phẩm (reverse engineering) kể cả cho mục đích hợp pháp như để tạo ra các tệp theo định dạng của phần mềm. Trong một số trường hợp, các điều khoản này có thể trái với quy định của pháp luật. Một số người cho rằng các điều trên là hợp lý để bảo vệ các bí mật công nghệ. Tuy nhiên một khi sản phẩm đã được bán rộng rãi thì lý do này cũng không thực sự thuyết phục.
Tính pháp lý của các điều khoản đề cập ở trên không rõ ràng. Tại Hoa Kỳ, chỉ có 2 tiểu bang chấp thuận bản sửa đổi của Luật thương mại thống nhất (Uniform Commercial Code) cho phép những hạn chế về bản quyền và thông báo sau bán hàng. Tại Anh, điều 9 của Quy chế thương mại điện tử năm 2002 (Electronic-Commerce (EC Directive) Regulations 2002 - SI 2002/2003) cho phép người mua có khả năng xác định trước các bước kỹ thuật khác nhau để kết thúc hợp đồng.
Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).
Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra - checksum...). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi.
Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.
Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.
<ref>
sai; không có nội dung trong thẻ ref có tên Cryptomathic_WHATISADIGITALSIGNATURE
<ref>
sai; không có nội dung trong thẻ ref có tên eIDAS_Reference