HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÙI MẠNH HƯNG ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG INTERNET BANKING CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ: 60.48.15 8 Người hướng dẫn khoa học: TS PHẠM THẾ QUẾ TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2010 2 MỞ ĐẦU Với mô hình giao dịch hiện tại, nếu khách hàng của ngân hàng muốn cập nhật các thông tin về tài khoản, chuyển tiền cho người thân, thanh toán mua hàng qua mạng, thanh toán vé máy bay, gửi tiết kiệm,… thì khách hàng phải tới trực tiếp ngân hàng gây ra sự bất tiện về thời gian và chi phí đi lại. Chính vì vậy khách hàng có nhu cầu thực hiện được tất cả các giao dịch trên ở bất cứ nơi đâu, bất cứ khi nào thông qua mạng Internet. Tuy nhiên, nguy cơ bị ăn cắp thông tin qua mạng thông qua các thủ đoạn tinh vi cũng ngày càng gia tăng. Các giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP là giao tiếp cho phép gửi từ máy tính này tới máy tính khác thông qua hàng loạt các mạng và thiết bị trung gian tạo cơ hội cho các kẻ đánh cắp thông tin công nghệ cao có thể thực hiện các hành động phi pháp như nghe trộm, giả mạo, đánh cắp thông tin. Do vậy cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch Internet banking. Chữ ký điện tử đã và đang là một công cụ chứng thực hiệu quả nhất cho giao dịch qua Internet. Với chữ ký điện tử, người dùng có thể yên tâm thực hiện các giao dịch vì chữ ký điện tử giúp đảm bảo xác thực danh tính người gửi, mã hóa thông tin một cách hiệu quả, chống giả mạo, là bằng chứng giúp chống chối cãi nguồn gốc lệnh mà mình đã thực hiện giao dịch. Hơn nữa, không chỉ vì số tiền rất rẻ phải trả cho dịch vụ mà còn vì tiết kiệm thời gian đi lại và hoàn tất các thủ tục giấy tờ. Internet banking đã mở ra cho chúng ta một hệ thống thanh 3 toán rộng khắp toàn thế giới, tiến tới một thế giới thanh toán không dùng tiền mặt, nhanh gọn, an toàn và chính xác. 4 MỤC LỤC MỞ ĐẦU Chương 1 – TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ 3 1.1 Phương pháp mã hóa dữ liệu 3 1.1.1 Khái niệm mã hóa thông tin 3 1.1.2 Mã hóa khóa bí mật 3 1.1.3 Mã hóa khóa công khai 4 1.1.4 Hàm băm 4 1.2 Tổng quan về chữ ký điện tử 5 1.2.1 Khái niệm chữ ký điện tử 5 1.2.2 Cơ sở hạ tầng khóa công khai (PKI) 5 1.2.3 Các thành phần của cơ sở hạ tầng khóa công khai 5 1.3 Các bước tạo chữ ký điện tử 6 1.4 Các bước kiểm tra chữ ký điện tử 6 Chương 2 – HẠN CHẾ TRONG DỊCH VỤ NGÂN HÀNG VÀ GIẢI PHÁP INTERNET BANKING 7 2.1 Giới thiệu ngân hàng thương mại 7 2.2 Chức năng của ngân hàng thương mại 7 2.3 Dịch vụ ngân hàng thương mại và các hạn chế trong thủ tục thực hiện 8 2.4 Phát triển dịch vụ Internet banking để nâng cao hiệu quả hoạt động 9 Chương 3 – ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG INTERNET BANKING 11 3.1 Các rủi ro khi sử dụng Internet banking 11 3.2 Ứng dụng chữ ký điện tử để hạn chế rủi ro trong giao dịch Internet banking 11 3.3 Triển khai chữ ký điện tử trong Internet banking 12 3.3.1 Mô hình triển khai chữ ký điện tử trong Internet banking 12 3.3.2 Các chức năng trong dịch vụ Internet banking 13 3.4 Đánh giá hiệu quả và lợi ích sau khi triển khai 52 3.5 Một số kiến nghị để giảm thiểu rủi ro khi sử dụng Internet banking 55 KẾT LUẬN TÀI LIỆU THAM KHẢO 5 Chương 1 TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ 1.1 PHƯƠNG PHÁP MÃ HÓA DỮ LIỆU 1.1.1 Khái niệm mã hóa thông tin Mã hóa sử dụng thuật toán và khóa để biến đổi dữ liệu từ bản rõ sang bản mã. Chỉ có những ai có thông tin giải mã thì mới giải mã được và đọc được dữ liệu. Thuật toán mã hóa đề cập tới nghành khoa học nghiên cứu về mã hoá và giải mã thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mã (cipher text) và ngược lại. Hình 1.1 Hệ thống mã hóa thông tin Hệ thống mã hoá phải đảm bảo các tính chất sau: Tính bí mật, tính xác thực, tính toàn vẹn, tính không thể chối bỏ. 1.1.2 Mã hóa khóa bí mật Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography) sử dụng chung một khóa để mã hóa và giải mã dữ liệu. Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai 6 bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã. Các thuật toán loại này có ưu điểm là tốc độ mã hóa và giải mã rất nhanh nhưng bộc lộ hạn chế khi mã khóa bí mật phải được chia sẻ giữa bên gửi với bên nhận. Vì vậy phương pháp mã hóa khóa bí mật chỉ nên dùng cho mục đích mã hóa dữ liệu của cá nhân hay tổ chức đơn lẻ. 1.1.3 Mã hóa khóa công khai Phương pháp mã hóa khóa công khai (public key cryptography) đã giải quyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóa khóa công khai (public key) và khóa bí mật (private key). Public key được gửi công khai trên mạng, trong khi đó private key được giữ kín. Public key và private key có vai trò trái ngược nhau, một khóa dùng để mã hóa và khóa kia sẽ dùng để giải mã. Các thuật toán loại này cho phép trao đổi khóa một cách dễ dàng và tiện lợi. Tuy nhiên, tốc độ mã hóa chậm nên thường chỉ được sử dụng mã hóa dữ liệu nhỏ. 1.1.4 Hàm băm Hàm băm là giải thuật nhằm sinh ra các giá trị băm tương ứng với mỗi khối dữ liệu. Mục đích của một hàm băm là tạo ra một "dấu vân tay" của một tập tin, thông điệp, hoặc dữ liệu. Hàm băm có thể được ứng dụng để tạo chữ kí điện tử, chống và phát hiện xâm nhập hay dùng để bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng. 7 1.2 TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ 1.2.1 Khái niệm chữ ký điện tử Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. 1.2.2 Cơ sở hạ tầng khóa công khai (PKI) Một PKI (public key infrastructure) cho phép người sử dụng của một mạng công cộng không bảo mật, chẳng hạn như Internet, có thể trao đổi dữ liệu và tiền một cách an toàn. Nền tảng khoá công khai cung cấp một chứng chỉ số, dùng để xác minh một cá nhân hoặc tổ chức, và các dịch vụ danh mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số. Mặc dù các thành phần cơ bản của PKI đã phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng khác biệt. Một tiêu chuẩn chung về PKI trên Internet cũng đang trong quá trình xây dựng. 1.2.3 Các thành phần của cơ sở hạ tầng khóa công khai Cơ sở hạ tầng khóa công khai đề cập tới việc tạo, cung cấp, phân phối, kiểm soát, quản lý khóa công khai và cung cấp những hỗ trợ cần thiết để hỗ trợ cho việc cung cấp ứng dụng bảo mật, xác thực giao dịch mạng cũng như tính toàn vẹn và chống chối bỏ nguồn gốc. Một cơ sở hạ tầng khoá công khai bao gồm: Cơ quan cung cấp chứng thực số (CA), cơ quan quản 8 lý đăng ký (RA), cơ quan quản lý đăng ký địa phương (LRA), kho lưu trữ chứng chỉ (CD), danh sách thu hồi chứng chỉ (CRL) 1.3 CÁC BƯỚC TẠO CHỮ KÝ ĐIỆN TỬ Bước 1: Dùng giải thuật băm (MD5 hoặc SHA) để băm thông điệp cần truyền đi. Kết quả ta được một tiêu hóa tin (message digest). Bước 2: Sử dụng khóa bí mật (private key) của người gửi để mã hóa tiêu hóa tin thu được ở bước 1. Thông thường ở bước này ta dùng giải thuật RSA. Kết quả thu được gọi là chữ ký điện tử của thông điệp ban đầu. Bước 3: Gộp chữ ký điện tử vào thông điệp ban đầu. Công việc này gọi là “ký nhận” vào thông điệp. Sau khi đã ký nhận vào thông điệp, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng thông điệp này xuất phát từ người gửi chứ không phải là ai khác. 1.4 CÁC BƯỚC KIỂM TRA CHỮ KÝ ĐIỆN TỬ Bước 1: Dùng mã hóa khóa công khai của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký của văn bản được mã. Bước 2: Dùng giải thuật băm (MD5 hoặc SHA) băm thông điệp đính kèm. Bước 3: So sánh kết quả thu được ở bước 1 và 2. Nếu trùng nhau, ta kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này là của người gửi. 9 Chương 2 HẠN CHẾ TRONG DỊCH VỤ NGÂN HÀNG THƯƠNG MẠI VÀ GIẢI PHÁP INTERNET BANKING 2.1 GIỚI THIỆU NGÂN HÀNG THƯƠNG MẠI Ngân hàng thương mại là loại hình ngân hàng xuất hiện đầu tiên và phổ biến nhất hiện nay. Đây là tổ chức nhận tiền gửi, đóng vài trò là trung gian tài chính huy động tiền nhàn rỗi thông qua các dịch vụ nhận tiền gửi rồi cung cấp cho những chủ thể cần vốn chủ yếu dưới hình thức các khoản vay trực tiếp. Tính đến nay, hệ thống ngân hàng nước ta có 6 ngân hàng thương mại nhà nước, 39 ngân hàng thương mại cổ phần, 40 chi nhánh ngân hàng nước ngoài, 5 ngân hàng liên doanh, 5 ngân hàng 100% vốn nước ngoài, 17 công ty tài chính và 13 công ty cho thuê tài chính, 926 tổ chức tín dụng nhân dân và 53 văn phòng đại diện của các ngân hàng nước ngoài. Hệ thống ngân hàng đã huy động và cung cấp một lượng vốn khá lớn cho nền kinh tế, ước tính hàng năm chiếm khoảng 16-18% GDP, gần 50% vốn đầu tư toàn xã hội. 2.2 CHỨC NĂNG CỦA NGÂN HÀNG THƯƠNG MẠI Chức năng trung gian tín dụng: Chức năng trung gian tín dụng được xem là chức năng quan trọng nhất của ngân hàng thương mại. Khi thực hiện chức năng trung gian tín dụng, ngân hàng thương mại đóng vai trò là cầu nối giữa người thừa vốn và người có nhu cầu về vốn. 10 Chức năng tạo tiền: Chức năng tạo tiền không giới hạn trong hành động in thêm tiền và phát hành tiền mới của Ngân hàng Nhà nước. Bản thân các ngân hàng thương mại trong quá trình thực hiện các chức năng của mình vẫn có khả năng tạo ra tiền tín dụng (hay tiền ghi sổ) thể hiện trên tài khoản tiền gửi thanh toán của khách hàng tại ngân hàng thương mại. Chức năng trung gian thanh toán: Ở đây ngân hàng thương mại đóng vai trò là thủ quỹ cho các doanh nghiệp và cá nhân, thực hiện các thanh toán theo yêu cầu của khách hàng như trích tiền từ tài khoản tiền gửi của họ để thanh toán tiền hàng hóa, dịch vụ hoặc nhập vào tài khoản tiền gửi của khách hàng tiền thu bán hàng và các khác thu khác theo lệnh của họ. 2.3 DỊCH VỤ NGÂN HÀNG THƯƠNG MẠI VÀ CÁC HẠN CHẾ TRONG THỦ TỤC THỰC HIỆN Dịch vụ chuyển tiền: Ngân hàng cung cấp dịch vụ chuyển tiền chia thành hai loại: Chuyển tiền trong cùng hệ thống ngân hàng và chuyển tiền liên ngân hàng. Thủ tục thực hiện dịch vụ này có một số hạn chế như: Khách hàng phải đến quầy giao dịch, mất thời gian điền thông tin vào form giấy đề nghị chuyển tiền, ký xác nhận, nhân viên ngân hàng thực hiện chuyển tiền cho khách hàng. Dịch vụ thẻ: Khách hàng có thể tương tác với ngân hàng thông qua các máy ATM, hiện tại các ngân hàng đã liên kết hệ thống thẻ với nhau nên khách hàng có thể rút tiền tại máy ATM của ngân hàng phát hành hoặc tại ATM của ngân hàng khác cùng liên minh thẻ. Thủ tục thực hiện dịch vụ này có một số [...]... trường Internet Khả năng ứng dụng của chữ ký điện tử rất lớn, do có tác dụng tương tự như chữ ký tay, nhưng dùng cho môi trường điện 13 tử vì chữ ký điện tử giúp: Mã hóa thông tin, chống giả mạo, xác thực, chống chối cãi nguồn gốc 3.3 TRIỂN KHAI CHỮ KÝ ĐIỆN TỬ TRONG INTERNET BANKING 3.3.1 Mô hình triển khai chữ ký điện tử trong Internet banking Hình 3.1 Mô hình triển khai chữ ký điện tử trong Internet banking. .. 3.2 ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ ĐỂ HẠN CHẾ RỦI RO TRONG GIAO DỊCH INTERNET BANKING Ứng dụng chữ ký điện tử trong Internet banking giúp giải quyết tốt hơn các giải pháp xác thực và bảo mật Chữ ký điện tử giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, qua đó hạn chế rủi ro và giúp cho các tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong. .. bất kỳ nơi đâu 11 và bất cứ lúc nào Dịch vụ ngân hàng điện tử bao gồm: Internet banking, SMS banking, Phone banking, Mobile banking Trong các dịch vụ của ngân hàng điện tử nổi bật và tiện dụng nhất chính là dịch vụ Internet banking Với đặc điểm là dễ sử dụng và tiết kiệm thời gian cho cuộc sống bận rộn, lượng khách hàng tiềm năng sử dụng Internet banking đang ngày càng tăng và là đích ngắm của nhiều... tác và tiến tới xây dựng mô hình ngân hàng điện tử thực sự , tận dụng được sức mạnh thực sự của mạng toàn cầu và cá nhân hoá dịch vụ ngân hàng cho từng đối tượng khách hàng 12 Chương 3 ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG DỊCH VỤ INTERNET BANKING 3.1 CÁC RỦI RO KHI SỬ DỤNG INTERNET BANKING Một trong những vấn đề quan tâm hàng đầu của tất cả mọi người tham gia thế giới Internet đó là tính an toàn và tính xác... thương mại điện tử Tranh thủ học hỏi những kinh nghiệm xây dựng và thực thi chính sách pháp luật liên quan đến thanh toán điện tử nói chung và giao dịch internet banking nói riêng 18 KẾT LUẬN Chữ ký điện tử giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet. .. từ phía người sử dụng là rất quan trọng, góp phần đáng kể vào việc làm giảm rủi ro trong giao dịch thông qua Internet Sử dụng các biện pháp kỹ thuật: Để phát huy hiệu quả, khai thác hết tiềm năng và thế mạnh của Internet Banking cần bảo vệ an toàn cho hệ thống này Giải pháp bảo mật sử dụng 17 chữ ký điện tử đã giải quyết đồng thời được 4 vấn đề quan trọng trong các giao dịch điện tử Hoàn thiện hành... khăn trong việc đưa ra các chính sách tài khoá nhằm đảm bảo một thị trường tài chính ổn định Internet banking với sự phổ biến sử dụng tài khoản cá nhân và tiền điện tử sẽ góp phần không nhỏ trong việc tháo gỡ khó khăn này Chính tiền điện tử và giao dịch tài khoản làm cải thiện khả năng thanh toán trong thị trường tài chính 3.5 MỘT SỐ KHUYẾN NGHỊ ĐỂ GIẢM THIỂU RỦI RO KHI SỬ DỤNG DỊCH VỤ INTERNET BANKING. .. thời có tính ứng dụng cao trong thực tế Sau khi hoàn thành luận văn tôi sẽ tìm hiểu sâu rộng hơn về mã hóa và tiếp tục đưa ra các ứng dụng về mã hóa để cải tiến các hoạt động cần bảo mật trong các ngân hàng thương mại Ngoài ra, tôi cũng tiếp tục nghiên cứu để ứng dụng chữ ký điện tử trong nhiều lĩnh vực khác 19 TÀI LIỆU THAM KHẢO [1] Quốc Hội Việt Nam, Luật giao dịch điện tử, Số 51/2005/QH11, 2005... dụng 6 điện thoại tín dụng Đăng ký thông Đăng ký kích hoạt thanh toán mua tin trực tuyến hàng qua Internet, đăng ký thông tin vay vốn 3.4 ĐÁNH GIÁ HIỆU QUẢ VÀ LỢI ÍCH SAU KHI TRIỂN KHAI DỊCH VỤ INTERNET BANKING Lợi ích cho khách hàng: Có thể nói hầu hết tất cả những gì tiến bộ hơn mà dịch vụ Internet banking mang lại chính là lợi ích cho khách hàng Bảng 3.1 So sánh dịch vụ thông thường và dịch vụ Internet. .. giao dịch điện tử đã cơ bản thiết lập với hàng loạt các luật, pháp lệnh, chính sách, các văn bản pháp lý được ban hành trong các năm trước đây Đặc biệt là sự thông qua Luật thương mại (sửa đổi) vào tháng 5/2005, luật giao dịch điện tử có hiệu lực từ 01/03/2006, Nghị định số 57/2006/NĐ-CP (ban hành ngày 09/06/2006) về thương mại điện tử, quy định về chứng thực điện tử Như vậy thanh toán điện tử có một . khai chữ ký điện tử trong Internet banking 12 3.3.1 Mô hình triển khai chữ ký điện tử trong Internet banking 12 3.3.2 Các chức năng trong dịch vụ Internet. mạng. 7 1.2 TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ 1.2.1 Khái niệm chữ ký điện tử Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các