Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó.

Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ ký điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video, ... dữ liệu đó có bị thay đổi hay không.

Hai khái niệm chữ ký số (digital signature) và chữ ký điện tử (electronic signature) thường được dùng thay thế cho nhau mặc dù chúng không hoàn toàn có cùng nghĩa. Chữ ký số chỉ là một tập con của chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số)

Kiểm tra pháp lý đối với chữ ký điện tử

Khi một chữ ký điện tử trên hợp đồng hay văn bản bị nghi ngờ thì chữ ký đó phải vượt qua một số kiểm tra trước khi có thể xử tại tòa án. Các điều kiện này có thể thay đổi tùy theo quy định của pháp luật, thậm chí trong một số trường hợp văn bản không có chữ ký (telex, fax...).

Tại Hoa Kỳ, các bước yêu cầu cho chữ ký điện tử bao gồm:

• Cung cấp thông tin cho người yêu cầu về tính pháp lý của chữ ký điện tử; các yêu cầu về phần cứng, phần mềm; các lựa chọn ký và chi phí (nếu có);
• Xác thực các bên để nhận diện rủi ro kinh doanh và yêu cầu;
• Đưa toàn bộ văn bản ra xem xét (các bên có thể phải điền số liệu);
• Yêu cầu các bên xác nhận sự tự nguyện ký vào văn bản;
• Đảm bảo các văn bản được xem xét không bị thay đổi từ khi ký;
• Cung cấp cho các bên các văn bản gốc pháp lý để lưu giữ.

Vấn đề quan trọng cần được xem xét là sự giả mạo (giả mạo chữ ký và giả mạo sự chấp nhận). Tòa án phải giả định rằng sự giả mạo là không thể thực hiện. Tuy nhiên, đối với chữ ký điện tử thì việc làm giả là không quá khó khăn.

Thông thường, các doanh nghiệp thường phải dựa trên các phương tiện khác để kiểm tra chữ ký điện tử chẳng hạn như gọi điện trực tiếp cho người ký trước khi giao dịch, dựa trên các quan hệ truyền thống hay không dựa hoàn toàn vào các văn bản dưới dạng điện tử. Đây là các thông lệ trong kinh doanh nên được áp dụng trong bất kỳ môi trường nào vì sự giả mạo cũng là một vấn đề thường xảy ra trong môi trường kinh doanh truyền thống. Chữ ký điện tử cũng như chữ ký truyền thống đều không đủ khả năng ngăn chặn hoàn toàn việc làm giả.

Các ví dụ về chữ ký điện tử nêu ở trên chưa phải là chữ ký số bởi vì chúng thiếu các đảm bảo mật mã học về nhận dạng người tạo ra và thiếu các kiểm tra tính toàn vẹn của dữ liệu. Các chữ ký này có tính chất pháp lý trên được gắn với văn bản trong một số trường hợp cụ thể.

Chữ ký mật mã

Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).

Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra - checksum...). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi.

Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.

Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.