Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 52 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
52
Dung lượng
1 MB
Nội dung
CHỮ KÍ ĐIỆN TỬ ĐẠI HỌC KINH TẾ QUỐC DÂN KHOA CƠNG NGHỆ THƠNG TIN K46 CHỮ KÍ ĐIỆN TỬ VÀ ỨNG DỤNG CỦA CHỮ KÍ ĐIỆN TỬ Sinh viên thực : Giáo viên hướng dẫn : 07/2007 Phạm Thị Dung Th.S Lưu Minh Tuấn CHỮ KÍ ĐIỆN TỬ Mục lục : I Thương mại điện tử chữ kí điện tử Thương mại điện tử ? 1.1 Định nghĩa .3 1.2 Lý thuyết kinh tế học 1.3 Các loại thị trường điện tử 1.4 Qui định pháp luật thương mại điện tử .7 Khái niệm chữ kí điện tử chữ kí số .9 2.1 Lịch sử đời chữ kí điện tử : .10 2.2 Khái niệm mơ hình chung chữ kí điện tử 10 Tính chất chữ kí số : 14 3.1 Khả nhận thực .14 3.2 Tính tồn vẹn .14 3.3 Tính khơng thể phủ nhận .14 II Các phương pháp mã hóa sử dụng chữ kí điện tử 15 Mã hóa gì? 15 1.1 Giới thiệu mã hóa 15 1.2 Nói thêm thuật tốn mã hóa khóa public 18 Mã hóa sử dụng RSA 19 2.1 Lịch sử đời 19 2.2 Cách thức hoạt động RSA 19 Mã hóa sử dụng SHA 26 Mã hóa sử dụng DSA 34 III Một số vấn đề khác thương mại điện tử chữ kí điện tử 36 Chức thực hóa cơng khai 36 Giao thức SSL 37 2.1 Giới thiệu SSL 37 2.2 Cơ chế làm việc SSL .38 Ví dụ sử dụng chữ kí điện tử E-mail 43 IV Kết luận : 52 07/2007 CHỮ KÍ ĐIỆN TỬ Thương mại điện tử chữ kí điện tử Thương mại điện tử ? Thương mại điện tử (còn gọi thị trường điện tử, thị trường ảo, E-Commerce hay E-Business) quy trình mua bán ảo thông qua việc truyền liệu máy tính sách phân phối tiếp thị Tại mối quan hệ thương mại hay dịch vụ trực tiếp người cung cấp khách hàng tiến hành thông qua Internet Hiểu theo nghĩa rộng, thương mại điện tử bao gồm tất loại giao dịch thương mại mà đối tác giao dịch sử dụng kỹ thuật thông tin khuôn khổ chào mời, thảo thuận hay cung cấp dịch vụ Thông qua chiến dịch quảng cáo IBM thập niên 1990, khái niệm Electronic Business, thường dùng tài liệu, bắt đầu thông dụng Thuật ngữ ICT (viết tắt từ tiếng Anh information commercial technology) có nghĩa thương mại điện tử, ICT hiểu theo khía cạnh cơng việc chun viên cơng nghệ 1.1 Định nghĩa Khó tìm định nghĩa có ranh giới rõ rệt cho khái niệm Khái niệm thị trường điện tử biết đến lần qua cơng trình Malone, Yates Benjamin lại không định nghĩa cụ thể Các cơng trình nhắc đến tồn thị trường điện tử hệ thống điện tử thông qua sử dụng công nghệ thông tin công nghệ truyền thông Chiến dịch quảng cáo IBM năm 1998 dựa khái niệm "E-Commerce" sử dụng từ khoảng năm 1995, khái niệm mà ngày xem lãnh vực nằm kinh doanh điện tử (E-Business) Các quy trình kinh doanh điện tử nhìn từ phương diện nội doanh nghiệp (quản lý dây chuyền cung ứng – Supply Chain Management, thu mua điện tử- E-Procurement) hay từ phương diện doanh nghiệp (thị trường điện tử, E-Commerce, ) Khái niệm cửa hàng trực tuyến (Onlineshop) dùng để diễn tả việc bán hàng thông qua trang Web Internet thương nhân Hiện định nghĩa thương mại điện tử nhiều tổ chức quốc tế đưa song chưa có định nghĩa thống thương mại điện tử Nhìn cách tổng quát, định nghĩa thương mại điện tử chia thành hai nhóm tuỳ thuộc vào quan điểm: Hiểu theo nghĩa hẹp: Theo nghĩa hẹp, thương mại điện tử đơn bó hẹp thương mại điện tử việc mua bán hàng hóa dịch vụ thông qua phương tiện điện tử, qua Internet mạng liên thông khác Theo Tổ chức Thương mại Thế giới (WTO), "Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng phân phối sản phẩm mua bán toán 07/2007 CHỮ KÍ ĐIỆN TỬ mạng Internet, giao nhận cách hữu hình, sản phẩm giao nhận thơng tin số hố thông qua mạng Internet" Theo Uỷ ban Thương mại điện tử Tổ chức hợp tác kinh tế châu Á-Thái Bình Dương (APEC), "Thương mại điện tử cơng việc kinh doanh tiến hành thông qua truyền thông số liệu công nghệ tin học kỹ thuật số" Hiểu theo nghĩa rộng: Thương mại điện tử hiểu theo nghĩa rộng giao dịch tài thương mại phương tiện điện tử như: trao đổi liệu điện tử, chuyển tiền điện tử hoạt động gửi/rút tiền thẻ tín dụng Theo quan điểm này, có hai định nghĩa khái quát đầy đủ phạm vi hoạt động Thương mại điện tử: Luật mẫu Thương mại điện tử Uỷ ban Liên hợp quốc Luật Thương mại quốc tế (UNCITRAL) định nghĩa: "Thuật ngữ thương mại [commerce] cần diễn giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hệ mang tính chất thương mại dù có hay khơng có hợp đồng Các quan hệ mang tính thương mại [commercial] bao gồm, khơng bao gồm, giao dịch sau đây: giao dịch cung cấp trao đổi hàng hoá dịch vụ; thoả thuận phân phối; đại diện đại lý thương mại, uỷ thác hoa hồng (factoring), cho th dài hạn (leasing); xây dựng cơng trình; tư vấn, kỹ thuật cơng trình (engineering); đầu tư; cấp vốn, ngân hàng; bảo hiểm; thoả thuận khai thác tơ nhượng, liên doanh hình thức hợp tác cơng nghiệp kinh doanh; chun chở hàng hố hay hành khách đường biển, đường không, đường sắt đường bộ" Theo định nghĩa này, thấy phạm vi hoạt động thương mại điện tử rộng, bao quát hầu hết lĩnh vực hoạt động kinh tế, hoạt động mua bán hàng hố dịch vụ phạm vi nhỏ thương mại điện tử Theo Uỷ ban châu Âu: "Thương mại điện tử hiểu việc thực hoạt động kinh doanh qua phương tiện điện tử Nó dựa việc xử lý truyền liệu điện tử dạng text, âm hình ảnh" Thương mại điện tử định nghĩa gồm nhiều hành vi đó: hoạt động mua bán hàng hố; dịch vụ; giao nhận nội dung kỹ thuật số mạng; chuyển tiền điện tử; mua bán cổ phiếu điện tử, vận đơn điện tử; đấu giá thương mại; hợp tác thiết kế; tài nguyên mạng; mua sắm công cộng; tiếp thị trực tiếp với người tiêu dùng dịch vụ sau bán hàng; thương mại hàng hoá (như hàng tiêu dùng, thiết bị y tế chuyên dụng) thương mại dịch vụ (như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); hoạt động truyền thống (như chăm sóc sức khoẻ, giáo dục) hoạt động (như siêu thị ảo) Theo quan điểm thứ hai nêu trên, "thương mại" (commerce) "thương mại điện tử" không bn bán hàng hố dịch vụ (trade) theo hiểu thông thường, mà bao quát phạm vi rộng lớn nhiều, việc áp dụng thương mại điện tử làm thay đổi hình thái hoạt động hầu hết kinh tế Theo ước tính đến nay, 07/2007 CHỮ KÍ ĐIỆN TỬ thương mại điện tử có tới 1.300 lĩnh vực ứng dụng, đó, bn bán hàng hố dịch vụ lĩnh vực ứng dụng Các điểm đặc biệt thương mại điện tử so với kênh phân phối truyền thống tính linh hoạt cao độ mặt cung ứng giảm thiểu lớn phí tổn vận tải với đối tác kinh doanh Các phí tổn khác thí dụ phí tổn điện thoại lại để thu nhập khác hàng hay phí tổn trình bày giới thiệu giảm xuống Mặc dù vậy, dịch vụ vật chất cụ thể, khoảng cách không gian cịn phải khắc phục đòi hỏi khả tiếp vận phù hợp định Ngày người ta hiểu khái niệm thương mại điện tử thông thường tất phương pháp tiến hành kinh doanh quy trình quản trị thơng qua kênh điện tử mà Internet hay kỹ thuật giao thức sử dụng Internet đóng vai trị công nghệ thông tin coi điều kiện tiên Một khía cạnh quan trọng khác khơng cịn phải thay đổi phương tiện truyền thơng, đặc trưng cho việc tiến hành kinh doanh truyền thống Thêm vào tác động người vào quy trình kinh doanh giảm xuống đến mức tối thiểu Trong trường hợp người ta gọi Thẳng đến gia công (Straight Through Processing) Để làm điều địi hỏi phải tích hợp rộng lớn các tính kinh doanh Nếu liên kết hệ thống ứng dụng từ lãnh vực có tính khác hay liên kết vượt qua ranh giới doanh nghiệp cho mục đích lãnh vực ứng dụng truyền thống tích hợp ứng dụng doanh nghiệp.Quản lý nội dung doanh nghiệp (Enterprise Content Management – ECM) xem công nghệ cho kinh doanh điện tử 1.2 Lý thuyết kinh tế học Kinh tế quốc dân Các hiểu biết tính chất đặc biệt kinh doanh điện tử phát sinh từ lý thuyết Kinh tế học tân cổ điển (Neoclassical economics) bị từ bỏ Lý thuyết đặt tiên đề, việc khác, hàng hóa đồng nhất, thị trường minh bạch hồn tồn khơng có ưu đãi, mức trừu tượng hóa cao độ xa rời thực tế Lý thuyết Kinh tế học thể chế Mới tạo khả miêu tả sống kinh tế cách gần thực tế Trong khuôn khổ lý thuyết Kinh tế học thể chế mới, phí tổn giao dịch đóng vai trị quan trọng Internet làm giảm phí tổn giao dịch giai đoạn tìm khởi đầu giao dịch Ngay giai đoạn tiến hành có khả giảm phí tổn chun chở Nói chung phí tổn cho giao dịch thị trường giảm việc điều phối thông qua thị trường có lợi Kinh tế nhà máy Mục đích doanh nghiệp biến đổi đến thương mại điện tử giảm thiểu chi phí doanh nghiệp Các biện pháp nhằm để giảm thiểu chi phí trước tiên bao gồm việc tối ưu hóa quy trình kinh doanh tồn thành lập quy trình dựa tảng cơng nghệ Internet Thơng qua việc tích hợp 07/2007 CHỮ KÍ ĐIỆN TỬ tính doanh nghiệp dọc theo chuỗi giá trị, việc tiến hành kinh doanh có hiệu cao Các lợi cho doanh nghiệp là: Khả giao tiếp với khách hàng Khách hàng hài lịng Nâng cao hình ảnh doanh nghiệp Khai thác kênh bán hàng Có thêm khách hàng Tăng doanh thu Tăng hiệu Phân cách kỹ thuật số Khái niệm "phân cách kỹ thuật số" (tiếng Anh: digital divide) diễn tả việc chia cắt giới làm hai phần: phần mà việc sử dụng phương tiện truyền thông điện tử phát triển phần phát triển Các nhà kinh tế học tin việc sử dụng thương mại điện tử nâng cao tăng trưởng kinh tế kinh tế quốc dân nước phát triển cao tiếp tục tăng khoảng cách bỏ xa nước phát triển 1.3 Các loại thị trường điện tử Tùy thuộc vào đối tác kinh doanh người ta gọi thị trường B2B, B2C, C2B hay C2C Thị trường mở thị trường mà tất người đăng ký tham gia Tại thị trường đóng có số thành viên định mời hay cho phép tham gia Một thị trường ngang tập trung vào quy trình kinh doanh riêng lẻ định, thí dụ cung cấp: nhiều doanh nghiệp từ ngành khác tham gia người mua liên hệ với nhóm nhà cung cấp Ngược lại, thị trường dọc mô nhiều quy trình kinh doanh khác ngành hay nhóm người dùng Sau sóng lạc quan thương mại điện tử năm 1990 qua đi, thời gian mà xuất nhiều thị trường điện tử, người ta cho sau q trình tập trung có số thị trường lớn tiếp tục tồn Thế bên cạnh ngày nhiều thị trường chun mơn nhỏ Ngày tình hình khác hẳn đi: công nghệ để thực thị trường điện tử rẻ nhiều Thêm vào xu hướng kết nối nhiều thơng tin chào hàng khác thơng qua giao diện lập trình ứng dụng để thành lập thị trường chung có mật độ chào hàng cao (thí dụ Khu chợ Amazon) Ngoài thị trường độc lập trước cịn tích hợp ngày nhiều giải pháp phần mềm cho cổng Web toàn diện Phân loại thương mại điện tử Thương mại điện tử phân loại theo tính cách người tham gia Người tiêu dùng o C2C (Consumer-To-Comsumer) Người tiêu dùng với người tiêu dùng o C2B (Consumer-To-Business) Người tiêu dùng với doanh nghiệp 07/2007 CHỮ KÍ ĐIỆN TỬ C2G (Consumer-To-Government) Người tiêu dùng với phủ Doanh nghiệp o B2C (Business-To-Consumer) Doanh nghiệp với người tiêu dùng o B2B (Business-To-Business) Doanh nghiệp với doanh nghiệp o B2G (Business-To-Government) Doanh nghiệp với phủ o B2E (Business-To-Employee) Doanh nghiệp với nhân viên Chính phủ o G2C (Government-To-Consumer) Chính phủ với người tiêu dùng o G2B (Government-To-Business) Chính phủ với doanh nghiệp o G2G (Government-To-Government) Chính phủ với phủ o 1.4 Qui định pháp luật thương mại điện tử Quy định Áo Thương mại điện tử điều chỉnh Áo trước tiên Luật Thương mại điện tử (E-Commerce-Gesetz ECG), Luật bán hàng từ xa (Fernabsatzgesetz), Luật chữ ký (Signaturgesetz), Luật kiểm soát nhập hàng (Zugangskontrollgesetz) Luật tiền điện tử (E-GeldGesetz), mà quy định pháp luật hợp đồng bồi thường Luật Dân Áo (Allgemeine bürgerliche Gesetzbuch - ABGB), không thay đổi quy định đặc biệt trên, có giá trị Quy định Đức Nằm điều 312b sau Luật dân (Bürgerliche Gesetzbuch – BGB) (trước Luật bán hàng từ xa) quy định đặc biệt gọi hợp đồng bán hàng từ xa Ngoài việc khác quy định trách nhiệm thông tin cho người bán quyền bãi bỏ hợp đồng cho người tiêu dùng Cũng quan hệ này, Luật dịch vụ từ xa (Teledienstgesetz) ấn định bên cạnh nguyên tắc nước xuất xứ (điều 4) toàn thông tin mà người điều hành trang web có tính chất hành nghề, doanh nghiệp nhỏ, có nhiệm vụ phải cung cấp (điều 6) điều chỉnh trách nhiệm doanh nghiệp (điều đến điều 11) Ở hợp đồng ký kết trực tuyến thường hay không rõ ràng luật sử dụng Thí dụ hợp đồng mua ký kết điện tử luật nước mà người mua cư ngụ, nước mà người bán đặt trụ sở nước mà máy chủ đặt Luật pháp kinh doanh điện tử cịn gọi "luật cắt ngang" Thế điều không rõ ràng luật pháp hồn tồn khơng có nghĩa lãnh vực kinh doanh điện tử vùng khơng có luật pháp Hơn nữa, quy định Luật dân quốc tế (tiếng Anh: private intenational law) áp dụng Tại nước Đức quy định luật lệ châu Âu thương mại tích hợp Luật dân sự, phần đại cương quy định bảo vệ người tiêu dùng Mặt kỹ thuật thương mại điện tử điều chỉnh Hiệp định quốc gia dịch vụ phương tiện truyền thông tiểu bang Luật dịch vụ từ xa liên bang mà thật nội dung hai luật không khác biệt nhiều 07/2007 CHỮ KÍ ĐIỆN TỬ Quy định Việt Nam Cơ sở pháp lý điều chỉnh hoạt động thương mại điện tử Việt Nam đời muộn so với nhiều nước giới Cuối năm 2005, Việt Nam có "Luật Giao dịch điện tử" năm 2006 đời Nghị định hướng dẫn thi hành luật Tới đầu năm 2007, Chính phủ Việt Nam ban hành Nghị định số 27/2007/NĐ-CP ngày 23/02/2007 "Về giao dịch điện tử hoạt động tài chính", số 26/2007/NĐ-CP ngày 15/02/2007 "Quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số", số 35/2007/NĐ-CP ngày 08/03/2007 "Về giao dịch điện tử hoạt động ngân hàng" Phương diện xuyên biên giới Để đơn giản hóa thương mại điện tử xuyên biên giới để bảo vệ người tiêu dùng tham gia, Chỉ thị thương mại điện tử EU (chỉ thị 2000/31/EG) thỏa thuận sở luật pháp tiêu chuẩn tối thiểu cho cộng đồng châu Âu Để đơn giản hóa giao dịch, Liên minh châu Âu, quan hệ nợ hợp đồng mang lại, có tự chọn lựa luật lệ phái tham gia Hợp đồng người tiêu dùng, điều ngoại lệ, quy định không phép thông qua việc lựa chọn luật lệ mà vô hiệu hóa việc bảo vệ người tiêu dùng xuát phát từ quy định bắt buộc quốc gia mà người tiêu dùng cư ngụ, trước ký kết hợp đồng có chào mời rõ rệt hay quảng cáo quốc gia người tiêu dùng cư ngụ hoạt động Trong lãnh vực B2B thường luật người bán thỏa thuận để đơn giản hóa Việc đưa luật quốc gia người mua vào sử dụng phức tạp người bán phải đối phó với 25 luật lệ khác phần lớn lại viết tiếng nước Thế nguyên tắc quốc gia xuất xứ khơng phải hồn hảo: Người mua thường khơng am hiểu luật lệ nước khác không dễ dàng đại diện cho quyền lợi Ngồi việc hành luật nước thường khác người bán từ số quốc gia định hay có nhiều lợi so với người khác Trên lý thuyết, nước có khả thay đổi luật lệ cách tương ứng để đẩy mạnh kinh tế quốc gia Tuy có mặt bóng tối này, thương mại Internet xuyên quốc gia tất nhiên có nhiều ưu Nhiều hàng bán số nước định Người muốn mua tìm sản phẩm cần dùng Internet với giúp đỡ máy truy tìm đặc biệt so sánh giá người bán nước khác Một phần khơng giá nhóm sản phẩm khác mà thuế giá trị thặng dư cịn khác nhau, tiền gửi hàng cao việc đặt mua nước ngồi mang lại nhiều lợi ích Trong phạm vi EU người mua đóng thuế nên phí tổn tổng cộng minh bạch cho người mua Nói tóm lại, thương mại điện tử xuyên biên giới bị ghìm lại cịn có điều khơng chắn pháp luật có tiềm phát triển lớn Một luật thống 07/2007 CHỮ KÍ ĐIỆN TỬ cho châu Âu quan tâm nhiều đến lợi ích người tiêu dùng lâu dài chắn mang lại thêm nhiều tăng trưởng Việt Nam hoà nhập Internet vào cuối năm 1997, thời gian sau thuật ngữ thương mại điện tử bắt đầu xuất song chưa phát triển Mặc dù lợi ích mà thương mại điện tử mang lại cho kinh tế to lớn song nước ta khoảng thời gian tương đối dài trước ứng dụng rộng rãi thương mại điện tử cho kinh tế quốc dân Khái niệm chữ kí điện tử chữ kí số Một vấn đề thương mại điện tử vấn đề định danh chứng thực Và giải pháp đưa ứng dụng chữ kí điện tử Chữ ký điện tử (tiếng Anh : electronic signature) thông tin kèm theo liệu (văn , hình ảnh, video ) nhằm mục đích xác định người chủ liệu Ngày phát triển internet công nghệ thông tin ngày cao Đã cho phép thực giao dịch điện tử thông qua internet, tính linh hoạt internet tạo hội cho “bên thứ ba” thực hành động bất hợp pháp cụ thể là: Nghe trộm: Thông tin khơng bị thay đổi bí mật khơng cịn Ví dụ: Thơng tin số thẻ tín dụng, thơng tin trao đổi giao dịch… cần bảo mật Giả mạo: Các thông tin truyền bị thay đổi thay trước đến với người nhận ví dụ: Đơn đặt hàng hay lý lịch cá nhân khách hàng… Mạo danh: Thông tin gửi tới cá nhân mạo nhận người nhận hợp pháp theo hai hình thức Hình thức thứ bắt trước, tức cá nhân giả vờ người khác dùng địa mail người khác giả mạo tên miền trang web Hình thức thứ hai xuyên tạc, tức cá nhân hay tổ chức đưa thơng tin không thật họ trang web mạo nhận chuyên kinh doanh trang thiết bị nội thất, thực tế lại trang chuyên ăn cắp mã thẻ tín dụng khơng gửi hàng cho khách Do để đảm bảo an toàn thương mại điện tử giao dich điện tử cần có hình thức bảo mật có hiệu công nghệ phổ biến sử dụng chữ kí điện tử, chữ kí số chứng thực điện tử Chữ ký điện tử sử dụng giao dịch điện tử Xuất phát từ thực tế, chữ ký điện tử cần đảm bảo chức năng: xác định người chủ liệu đó: văn bản, ảnh, video liệu có bị thay đổi hay khơng Hai khái niệm chữ kí số (digital signature) chữ ký điện tử (electronic signature) thường dùng thay cho chúng khơng hồn tồn có nghĩa Chữ ký số tập chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số) 07/2007 CHỮ KÍ ĐIỆN TỬ 2.1 Lịch sử đời chữ kí điện tử: Con người sử dụng hợp đồng dạng điện tử từ 100 năm với việc sử dụng mã Morse điện tín Vào năm 1889, tịa án tối cao bang New Hampshire (Hoa kỳ) phê chuẩn tính hiệu lực chữ ký điện tử Tuy nhiên, với phát triển khoa học kỹ thuật gần chữ ký điện tử vào sống cách rộng rãi Vào thập kỷ 1980, công ty số cá nhân bắt đầu sử dụng máy fax để truyền tài liệu quan trọng Mặc dù chữ ký tài liệu thể giấy trình truyền nhận chúng hồn tồn dựa tín hiệu điện tử Hiện nay, chữ ký điện tử bao hàm cam kết gửi email, nhập số định dạng cá nhân (PIN) vào máy ATM, ký bút điện tử với thiết bị hình cảm ứng quầy tính tiền, chấp nhận điều khoản người dùng (EULA-End User Lisence Agreement) cài đặt phần mềm máy tính, ký hợp đồng điện tử online 2.2 Khái niệm mơ hình chung chữ kí điện tử Chữ ký điện tử đoạn liệu gắn liền với văn gốc để chứng thực tác giả văn giúp người nhận kiểm tra tính tồn vẹn văn gốc Chữ ký điện tử tạo cách áp dụng thuật toán băm chiều văn gốc để tạo ra phân tích văn (message digest) hay cịn gọi fingerprint, sau mã hóa private key tạo chữ ký số đính kèm với văn gốc để gửi nhận, văn tách làm phần, phần văn gốc tính lại fingerprint để so sánh với fingerprint cũ phục hồi từ việc giải mã chữ ký số Như ta xác định thơng điệp bị gửi không bị sửa đổi hay can thiệp q trình gửi Mơ hình chung cho chữ ký điện tử: o 07/2007 10 CHỮ KÍ ĐIỆN TỬ tin bị mã hóa Bạn hiểu nơm na khóa mật khẩu(password) 2.1.4 Các phương pháp mã hóa Có hai phương pháp mã hóa sử dụng phổ biến mã hóa khóa đối xứng mã hóa dùng cặp khóa chung - khóa riêng a Mã hóa khóa đối xứng (symmetric-key) Khóa dùng để mã hóa khóa dùng để giải mã b Mã hóa dùng cặp khóa chung - khóa riêng (public key - private key) Một khe hở mã hóa đối xứng bạn phải chuyển khóa cho người nhận để họ giải mã Việc chuyển khóa khơng mã hóa qua mạng điều mạo hiểm Nhở khóa rơi vào tay người khác họ giải mã thông tin mà bạn chuyển Phương pháp mã hóa khóa chung - khóa riêng đời nhằm giải vấn đề Thay có khóa dùng chung cho mã hóa giải mã, bạn có cặp khóa gồm khóa chung dùng để mã hóa khóa riêng dùng để mã hóa Bạn cho người khác biết khóa chung bạn để họ mã hóa thơng tin gởi đến bạn Chỉ có bạn có khóa riêng để giải mã thông tin Nhở thông tin có rơi vào tay người khác họ khơng thể giải mã có bạn có khóa riêng mà 2.1.5 Độ dài khóa (key-length) Độ dài khóa tính theo bit: 128bit, 1024bit hay 2048bit, Khóa dài khó phá Chằng hạn khóa RSA 1024bit đồng nghĩa với việc chọn 2^1024 khả 2.1.6 Password & passparse Password passparse gần giống Password không hết hạn(expire) Passparse có hiệu lực khoảng thời gian định năm, 10 năm vài ba ngày Sau thời gian đó, bạn phải thay đổi lại mật Nói chung, thứ SSL passparse, khóa, giấy chứng nhận, chữ kí số (sẽ nói sau), có thời hạn sử dụng định Passparse dùng để mở (mã hóa/giải mã) khóa riêng 2.2 Cơ chế làm việc SSL Để dễ hiểu, phần trình bày qua ví dụ cụ thể: Alice trao đổi thơng tin với Bob cơng nghệ khóa chung {something}key có nghĩa something mã hóa giải mã key Alice cần chắn nói chuyện với Bob mà khác Alice tiến hành xác thực(authenticate) Bob.Bob có cặp khóa gồm khóa 07/2007 38 CHỮ KÍ ĐIỆN TỬ chung khóa riêng Bob cho Alice biết trước khóa chung (sẽ nói sau cách nào) Alice tạo thơng điệp ngẫu nhiên(random message) gởi đến Bob: A->B message ngẫu nhiên Bob dùng khóa riêng để mã hóa thơng điệp vừa nhận gởi trả lại cho Alice: B->A {message ngẫu nhiên}khóa-riêng-của-bob Alice nhận message từ Bob, dùng khóa chung Bob để giải mã message sau so sánh message vừa giải mã với random-message gởi Nếu giống nhau, Alice tin nói chuyện với Bob 2.2.1 Bản tóm tắt (digest) Thay phải mã hóa tồn message nhận từ Alice, Bob xây dựng tóm tắt(digest) message hàm băm chiều (hash one-way), sau mã hóa digest khóa riêng gởi cho Alice Alice dùng khóa chung Bob để giải mã digest Bob gởi tới tính digest message gởi đi, sau so sánh hai digest với Nếu trùng nhau, có nghĩa Alice tin nói chuyện với Bob Digest thực chất là số nguyên(integer) Hai thuật toán phổ biến dùng để tạo digest MD5 hash 128bit, SHA hash 160 bit Ai có digest Bob suy luận message nguyên bản(original) digest giá trị hash chiều Hai message khác có digest khác nhau, khả trùng xấp xỉ 2.2.2 Chữ kí điện tử (digital signature) Theo cách Bob kí(sign) message Alice gởi tới, nhở thay đổi message sao? Vì cần thay đổi chút sau: A->B Chào, Có phải Bob khơng? B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Như bạn thấy Bob khơng kí message Alice Thay vào đó, Bob gởi mesage khác(khơng bị mã hóa) digest của message (đã mã hóa khóa riêng Bob) đến cho Alice Bob tin tưởng vào Alice dễ dàng thẩm tra Bob cách dùng khóa chung Bob giải mã digest nhận được, sau tính digest message nhận từ Bob so sánh hai digest với Digest mà Bob gởi tới Alice chữ kí điện tử Nó kí cho message "Alice, Mình Bob đây!" để đảm bảo chắn message khơng bị thay đổi đến Alice Nếu thay đổi Alice biết qua việc thẩm tra digest 07/2007 39 CHỮ KÍ ĐIỆN TỬ 2.2.3 Trao khóa chung Bob trao khóa chung cho Alice cách nào? Bạn xem thử giao thức sau: A->B Xin chào! B->A Chào, Mình Bob Đây khóa chung mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Với cách giả mạo Bob trao khóa chung họ cho Alice, làm cho Alice tưởng lầm nói chuyện với Bob Để giải vấn đề này, Alice Bob dùng giấy chứng nhận điện tử 2.2.4 Giấy chứng nhận điện tử (digital certificate) Giấy chứng nhận điện tử dùng để chứng nhận khóa chung cá nhân Một giấy chứng nhận điện tử thường bao gồm thứ sau: * Tên quan cấp giấy chứng nhận (issuer's name) * Tên thực thể(entity) cấp giấy chứng nhận(cịn gọi đối tượng - subject) khóa chung subject * Tên thời gian(time-stamps) cho biết thời gian có hiệu lực giấy chứng nhận Chỉ có quan có thẩm quyền Certificate Authority (thường gọi tắt CA) đươc phép cấp giấy chứng nhận Giấy chứng nhận kí khóa riêng người cấp CA tổ chức theo dạng "hierarchy" tương tự domainname Dĩ nhiên bạn tạo CA cho riêng cho Chúng ta xem giao thức này: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! 07/2007 40 CHỮ KÍ ĐIỆN TỬ B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Ai dùng giấy chứng nhận Bob để giả mạo Bob bị Alice phát ngay! A->M Xin chào M->A Chào, Mình Bob Đây giấy chứng nhận mình! A->M Hãy đưa chứng đi! M->A ??? Mallet khơng biết khóa riêng Bob nên xây dựng message để Alice tin Bob 2.2.5 Trao đổi khóa bí mật (secret-key) Sau Alice xác thực nói chuyện với Bob, Alice gởi cho Bob message bị mã hóa khóa chung Bob: A->B {khóa bí mật}khóa-chung-của-bob Bằng cách này, có Bob giải mã message lấy khóa bí mật có Bob biết khóa riêng để giải mã Trao đổi khóa bí mật cơng nghệ khóa chung an tồn Khơng ngoại trừ Alice Bob biết khóa bí mật Khóa bí mật cịn biết đến với tên khóa phiên(session key) Kể từ Alice Bob dùng khóa phiên để trao đổi liệu cho Khóa phiên tạo phiên kết nối SSL hồn tồn bí mật(chỉ có Alice Bob biết) nên an tồn Cơng nghệ chun chở khóa phiên khóa chung dùng khóa phiên khóa đối xứng bí mật để trao đổi liệu cho cịn biết đến với tên mã hóa dùng khóa lai ghép(hybrid), tức kết hợp hai phương pháp mã hóa dung khóa đối xứng khóa chung-khóa riêng Đây giao thức mới: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->B Ok Bob, Đây {khóa bí mật}khóa-chung-của-bob B->A {message 1}khóa-bí-mật 07/2007 41 CHỮ KÍ ĐIỆN TỬ B->A {message 2}khóa-bí-mật 2.2.6 Tấn công man-in-the-middle Giao thức chưa phải an toàn tuyệt đối Mallet ngồi Alice Bob chơi trị cơng man-in-the-middle sau: A->M Xin chào! M->B Xin chào! B->M Chào, Mình Bob Đây giấy chứng nhận mình! M->A Chào, Mình Bob Đây giấy chứng nhận mình! A->M Hãy đưa chứng đi! M->B Hãy đưa chứng đi! B->M Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob M->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->M Ok Bob, {khóa bí mật}khóa-chung-của-bob M->B Ok Bob, {khóa bí mật}khóa-chung-của-bob B->M {some message}khóa-bí-mật M->A Xén[{some message}khóa-bí-mật] Mallet chuyển tiếp liệu Alice Bob họ trao đổi khóa bí mật Tại thời điểm Alice nghĩ nói chuyện với Bob nên tin tưởng hoàn toàn vào message Bob gởi tới Thực chất Mallet khóa bí mật hồn tồn xén, thêm sửa đổi liệu gởi từ Bob đến Alice 2.2.7 Mã xác thực thông điệp (MAC) Để ngăn chặn công man-in-the-middle trên, Alice Bob dùng thêm mã xác thực thông điệp (Message Authentication Code) thường gọi tắt MAC Thuật toán tạo MAC đơn giản: MAC = Digest[some message, khóa bí mật] 07/2007 42 CHỮ KÍ ĐIỆN TỬ Mallet khơng biết khóa bí mật nên khơng tài tính giá trị digest message Thậm chí Mallet có cắt xén random message tỉ lệ thành cơng thấp liệu digest vơ lớn Ví dụ, dùng MD5, Alice Bob gởi kèm MAC 128bit message Mallet cần trúng giá trị MAC muốn công man-inthe-middle với khả thành công 1/18.446.744.073.709.551.616 khả thời gian vô ngắn Đây tồn giao thức: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->B Ok Bob, {khóa bí mật}khóa-chung-của-bob {some message, MAC}khóa-bí-mật Kết luận: SSL an tồn khơng thể bị phá hai Hãy tận dụng sức mạnh SSL để bảo mật cho thông tin quan trọng bạn 07/2007 43 CHỮ KÍ ĐIỆN TỬ Ví dụ sử dụng chữ kí điện tử E-mail Chúng ta bắt tay vào ứng dụng cụ thể sau để hiễu rõ cách thức dùng chũ ký điện tử giao dịch thông thường Trong mơ ví dụ này, cần tài khoản e-mail dạng POP3 Tài khoản e-mail POP3 thứ xác lập cho Mike (trong ví dụ Mike dùng để gửi email tài khoản thứ hai xác lập cho Amanda (Amanda dùng để nhận e-mails kiểm tra chữ ký điện tử nhằm xác định mails đến từ Mike ) Cấn kiểm tra kết nối Internet sẵn sàng cho việc gửi nhận e-mails Xin nhắc lại, Mike người gửi (sender) Amanda người nhận mails (receiver) Trong ví dụ này, website cơng ty cổ phần Storks tài khoản emails họ nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) Internet trì Nhà cung cấp dịch vụ Web cung cấp cho công ty Storks thông tin tài khoản email cho Mike Amanda, tài khoản sử dụng ví dụ Tất nhân viên dùng e-mail Storks dùng Outlook Express Microsoft Outlook chương trình Mail client mặc định Cài đặt tài khoản email POP3 Mike sử dụng Outlook Express chương trình mail client mặc định Đăng nhập vào Windows XP Computer (Pro-1) Mở Outlook Express từ menu chọn Tools, chọn Accounts Click vào Mail tab sau chọn Add, chọn tiếp Mail Sau wizard hướng dẫn Mike bước để điền name, email address thông tin tài khoản POP3 thông tin tài khoản mail cung cấp ISAP nhà cung cấp dịch vụ Web (web hosting) 07/2007 44 CHỮ KÍ ĐIỆN TỬ Lưu ý: Bạn cần cài đặt thêm tài khoản POP3 thứ hai dành cho Amanda theo cách thức để kiểm tra chữ ký điện tử tài liệu nhận từ email Mike Thuê chứng số cá nhân (personal certificate) từ nhà cung cấp chứng số công cộng (public CA) Bước kế tiếp, để gửi mail với chũ ký điện tử, Mike cần liên hệ thuê chứng số cá nhân từ nhà cung cấp chứng số tin cậy (trusted public CA), chẳng hạn Verisign hay Thawte Thuê chứng số từ bên cung cấp thứ ba (3rd party) đánh giá tin cậy điều cần thiết bạn muốn chuyển email an tồn đến người nhận khơng tổ chức bạn Vì thơng thường, tổ chức, để đảm bảo an toàn cho giao dịch nội dùng chữ ký điện tử, tổ chức thường sử dụng dịch vụ cung cấp chứng số an tồn riêng (ví dụ cài đặt triển khai dịch vụ cung cấp chứng số Certificate Authority –CA, Windows Server 2003) Tuy nhiên nhà cung cấp chứng số cục không thường sử dụng cho giao dịch điện tử với giao dịch không tổ chức bạn Chính lý này, nên cơng ty Storks định sử dụng chứng số nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike giao dịch email dùng chứng số cá nhân Và Mike đăng ký cho tài khoản Personal Email Certificate hồn tồn miễn phí Truy cập weblink sau tiến hành đăng ký để nhận chứng số cá nhân http://www.thawte.com/secure-email/personal-email-certificates/index.html Lưu ý quan trọng: 07/2007 45 CHỮ KÍ ĐIỆN TỬ Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn Các thông tin cần thiết hệ thống CA Thawte xử lý tiến trình cấp pháp chứng số cho bạn Đảm bảo phải đọc tất thông tin việc cung cấp chứng số Website Thawte biết việc cần thiết phải thực suốt q trình đăng ký Bạn cần cung cấp thơng tin cá nhân trả lời câu hỏi xác nhận cho mình.Sau thực đăng ký, bạn nhận email từ Thawte với hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng số Sau quy trình này, bạn nhận tiếp email khác xác nhận chứng số cá nhân Thawte cấp cho bạn Chỉ cần click vào link Email tiến hành cài đặt chứng số Click Yes OK thông báo Certificate Installation Complete xuất Xác nhận điện tử cho emails Một chứng số cá nhân cho email cài đặt , bạn dùng làm chữ ký số mã hóa email gửi Mở Outlook Express dùng tài khoản email POP3 tạo Chọn Tools, chọn Options chọn Security tab Trên tab này, có tùy chọn encrypt and digitally sign your outgoing messages Click Apply OK 07/2007 46 CHỮ KÍ ĐIỆN TỬ Click vào Create Mail bạn thấy biểu tượng ruy băng đỏ góc bên phải Điều có nghĩa email mà bạn gửi xác nhận với chữ ký số điền vào To: người nhận địa email Amanda (email POP3 thứ bạn tạo) Sau click Send 07/2007 47 CHỮ KÍ ĐIỆN TỬ Chuyển đến tài khoản email POP3 Amanda mở email nhận từ Mike Bạn thấy message mà Amanda nhận tương tự hình bên Click vào Continue để xem thông điệp thực Bạn để ý ruy băng màu đỏ góc phải mail Điều cho Amanda biết Mike tiến hành gửi mail dùng chữ ký số Click vào biểu tượng ruy băng Đỏ để xem chữ ký số từ người gửi (sender) Kiểm tra thấy nội dung mail không bị thay đổi chữ ký số đáng tin cậy Có thể xem thơng tin chứng số cá nhân sender cách click View Certificate Mã hóa Emails 07/2007 48 CHỮ KÍ ĐIỆN TỬ Mã hóa phương pháp bảo mật thực việc chuyển đổi liệu từ dạng thông thường (plain text) thành dạng đọc theo cách thông thường (unreadable text) nhằm đảm bảo cẩn mật (confidentiality), tính tích hợp (integrity) tính chất xác thực (authenticity) liệu Khi bạn mã hóa email, tồn email mã hóa bao gồm phần thơng điệp file đính kèm (attachments) Một chữ ký số đảm bảo tính chất xác thực (đúng người gửi) tính tích hợp (dữ liệu không bị thay đổi) không đảm bảo tính chất bí mật (confidentiality) nội dung mail khơng mã hóa Mở Outlook Express dùng tài khoản mail POP3 thứ tức Amanda’ Chọn Tools, chọn Options Click vào Security tab Đánh dấu vào hộp Encrypt contents and attachments for all outgoing messages Click Apply OK Click vào Create Mail thấy xuất biểu tượng ổ khóa lock góc bên phải Điều có nghĩa email bạn mã hóa gửi Điền vào địa email người nhận tài khoản POP3 Mike click Send 07/2007 49 CHỮ KÍ ĐIỆN TỬ 3.Quay trở lai tài khoản mail POP3 Mike mở email mà Amanda vừa gửi bạn mở email, bạn nhận thông điệp An application is requesting access to a protected item 4.Click OK sau chọn Continue để đọc nội dung email mã hóa Bạn click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết email mã hóa Amanda khơng xác nhận chữ ký số cho message nên Digital Signature tất dịng xác nhận khơng sử dụng n/a (not available) 07/2007 50 CHỮ KÍ ĐIỆN TỬ 07/2007 51 CHỮ KÍ ĐIỆN TỬ IV Kết luận Thương mại điện tử ngày ảnh hưởng rõ nét tới kinh tế Nó thị trường ảo, thị trường mà rút ngắn quan hệ kinh tế, giao dịch thương mại toàn cầu… thơng qua việc truyền liệu máy tính sách phân phối tiếp thị Giao dịch điện tử bao gồm loại giao dịch thương mại mà đối tác giao dịch sử dụng kỹ thuật thông tin khuôn khổ chào mời, phương thức để thay phương thức giao dich cũ để đạt hiệu Tuy nghiên cứu từ lâu để chuyển phương thức thành phổ cập cần thời gian lâu dài để trở nên phổ biến tồn cầu lý kỹ thuật, trình độ nhân cơng kĩ thuật cao, cơng nghệ quốc gia… Trong trình làm gặp nhiều khó khăn em giúp đỡ tận tình thầy Lưu Minh Tuấn qua bảo cặn kẽ việc khai thác vấn đề Em xin chân thành cảm ơn! 07/2007 52