Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử LỜI MỞ ĐẦU Ngày với phát triển vượt bậc khoa học, công nghệ thông tin ứng dụng rộng rãi hầu hết lĩnh vực xã hội Bắt đầu từ quân sự, đưa vào hoạt động đời sống quần chúng, từ vui chơi giải trí, đến giao dịch kinh tế… Khoa học đại đưa Công nghệ thông tin vào đời sống, từ máy tính cá nhân đến mạng truyền tin toàn giới Tuy nhiên, hầu hết vật tượng mang tính mặt nó, có ưu việt bên cạnh có mặt tiêu cực Với hệ thống mạng máy tính tồn cầu nay, thất thơng tin cạnh tranh đối thủ hay phá hoại hacker làm ảnh hưởng khơng nhỏ tới lợi ích cá nhân người dùng cộng đồng tập thể sử dụng Để đảm bảo tài khoản cá nhân khơng bị thất hay coppy người ta có nhiều giải pháp để hạn chế hay chống lại hacker máy tính Chữ ký điện tử giải pháp Thấy rằng, chữ ký điện tử tiện ích khơng thể bỏ qua giới tin học, đặc biệt giao dịch liên quan đến bảo đảm an tồn thơng tin, đặc biệt Giao dịch thương mại điệnt tử Vì vậy, em chọn đề tài “Ứng dụng chữ ký điện tử giao dịch thương mại điện tử ” để nghiên cứu Đề tài gồm: Chương 1: Tổng quan giao dịch điện tử bảo mật thương mại điện tử Chương 2: Xây dựng cơng cụ mã khố cơng khai RSA Chương 3: Xây dựng chữ ký điện tử Kết luận Tài liệu tham khảo SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử CHƯƠNG 1: TỔNG QUAN VỀ GIAO DỊCH ĐIỆN TỬ VÀ BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ 1.1 THƯƠNG MẠI ĐIỆN TỬ LÀ GÌ? Thương mại điện tử tiếng Anh Electronic Commerce hay thường viết tắt eCommerce Khi nói đến thương mại điện tử người ta nghĩ đến việc sử dụng Internet trợ giúp cho công việc kinh doanh Trên thực tế, thương mại điện tử có vai trị quan trọng nhiều Trước hết, thuật ngữ thương mại điện tử sử dụng có số người thực việc bán qua mạng Internet cách trả tiền loại tiền mã hoá Vậy thương mai điện tử thực qua Internet hay hệ thống máy tính nối mạng? Đúng vậy, giao dịch Internet gọi thương mại điện tử Thương mại điện tử hình thức thương mại (quảng cáo, tiếp thị, mua bán, trao đổi hàng hoá, toán, bảo lãnh…) thông qua phương tiện thông tin mạng máy tính điện tử, chủ yếu sử dụng mạng Internet Intranet 1.2 PHƯƠNG DIỆN KỸ THUẬT CỦA THƯƠNG MẠI ĐIỆN TỬ Mục tiêu cuối mua bán người mua nhận hàng người bán nhận tiền trả cho số hàng Thanh tốn khâu quan trọng thương mại thương mại điện tử thông qua hệ thống toán điện tử chuyển tiền điện tử mà chất phương tiện tự động chuyển tiền từ tài khoản sang tài khoản khác( xuất hình thức chuyển tiền mặt thơng qua “túi tiền điện tử”: electronic purse) SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Thanh toán điện tử sử dụng rộng rãi máy rút tiền tự động (ATM: Automatic Teller Machine), thẻ tín dụng (credit card) loại thẻ mua hang (purchasing card), thẻ thơng minh (smart card : loại thẻ có gắn chip điện tử mà thực chất máy tính điện tử nhỏ)v.v… Internet Web Năm 1995, Inter net thức cơng nhận mạng tồn cầu, máy tính có địa Internet kết nối tới ISP (Internet Service Provider) vào Internet giao tiếp tới nhiều máy tính kết nối Internet khác khắp toàn cầu sở giao thức chuẩn quốc tế TCP/IP Công nghệ Internet thực trở thành công cụ đắc lực áp dụng giao thức chuẩn quốc tế HTTP (HyperText Transfer Protocol: Giao thức chuẩn truyền siêu văn bản) với trang siêu văn tạo nhiều dịch vụ khác mà dịch vụ sử dụng rộng rãi dịch vụ World Wide Web – WWW Bằng dịch vụ Web, người sử dụng đọc thông tin truyền từ nơi tới nơi khác sở giao thức truyền tệp FTP (File Transfer Protocol), giao thức chuẩn thư tín POP (Post Office Protocol), giao thức chuẩn truyền thơng điệp đơn giản SMTP (Simple Message Transfer Protocol), giao thức chuẩn truyền tin qua mạng NNTP (Net News Transfer Protocol) Các trình duyệt Web phổ biến Netscape Navigator, Microsoft Internet Exploer… Internet tạo bước phát triển ngành truyền thông, chuyển từ giới mạng, dịch vụ sang giới mạng đa dịch vụ trở thành công cụ quan trọng thương mại điện tử SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử 1.2.1 Thư tín điện tử Các đối tác ( người tiêu thụ, doanh nghiệp, quan Chính phủ) sử dụng hịm thư điện tử để gửi thu cho cách “ trực tuyến” thơng qua mạng, gọi thư tín điện tử(electronic mail, gọi tắt email) Đây loại thông tin dạng “phi cấu trúc” (unstructured form), nghĩa thông tin phải tuân thủ cấu trúc thoả thuận (khác với “trao đổi liệu điện tử”) 1.2.2 Thanh toán điện tử Thanh toán điện tử (electronic payment) việc tốn tiền thơng qua thơng điệp điện tử (electronic message) thay cho việc giao tay tiền mặt; việc trả lương cách chuyển trực tiếp tiền tài khoản, trả tiền mua hàng thẻ mua hàng, thẻ tín dụng v.v… quen thuộc từ lâu thực chất dạng toán điện tử Ngày nay, với phát triển thương mại điện tử, toán điện tử mở rộng sang lĩnh vực mới; đáng đề cập : 1.2.2.1 Trao đổi liệu tài (Financial Electronic Data Interchange, gọi tăt FEDI) Chuyên phục vụ cho việc toán điện tử công ty giao dịch với điện tử 1.2.2.2 Tiền mặt Internet (Internet Cash) Là tiền mặt mua từ nơi phát hành (ngân hàng hay tổ chức tín dụng), sau chuyển đổi tự sang đồng tiền khác thông qua Internet, áp dụng phạm vi nước quốc gia; tất thực kỹ thuật số hố – digital cash, cơng nghệ đặc thù chun phục vụ mục đích có tên gọi “ mã hố cơng khai/bí mật” ( Public/Private Key Cryptography) Tiền mặt Internet người mua hàng mua tiền nội tệ, dùng Internet để chuyển cho người bán hang SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Thanh toán tiền mặt Internet đà phát triển có nhiều ưu điểm bật: Có thể dùng cho tốn hàng có giá trị lớn nhỏ Khơng địi hỏi phải có quy chế thoả thuận từ trước, tiến hành hai người hai cơng ty bất kỳ, tốn vơ danh; Tiền mặt nhận đảm bảo tiền thật, tránh nguy tiền giả 1.2.2.3 Túi tiền điện tử (Electronic Purse) Là nơi để tiền mặt Internet mà chủ yếu thẻ khơn minh (smart card, cịn gọi thẻ giữ tiền : store value card), tiền trả cho đọc thẻ đó; kỹ thuật túi tiền điện tử giông ký thuật áp dụng cho “ tiền mặt Internet” kỹ thuật “mã hố cơng khai/bí mật” 1.2.2.4 Thẻ thơng minh (Smart Card) Cũng giống thẻ tín dụng, mặt sau thay dải từ chíp máy tính điện tử có nhớ nhỏ để lưu trữ tiền số hố, tiền “chi trả” người sử dụng thơng điệp (ví dụ xác nhận toán hoá đơn) xác thực Thông tin xác thực khác 1.2.2.5 Giao dịch ngân hàng số hóa (Digital Baking) Hệ thống toán điện tử ngân hàng đại hệ thống, gồm nhiều tiểu hệ thống như: toán ngân hàng với khách hàng, toán ngân hàng với đại lý toán, toán nội ngân hàng, tốn hệ thơng ngân hàng với hệ thống ngân hàng khác 1.3 GIAO DỊCH TRONG THƯƠNG MẠI ĐIỆNTỬ 1.3.1 Khái niệm giao dịch Thương mại điện tử (Electronic Commerce Transaction) Thương mại hiểu theo Đạo luật mẫu thương mại Liên hiệp quốc bao gồm bốn kiểu : Người với người: Qua điện thoại, máy Fax thư điện tử (Email) SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Người với máy tính điện tử: Trực tiếp qua mẫu biểu điện tử(electronic form), qua WWW Máy tính điện tử với máy tính điện tử: qua trao đổi liệu điện tử, thẻ khôn minh, liệu mã hóa mã vạch Máy tính điện tử với người: Qua thư tín máy tính tự động sản ra, máy Fax, thư điện tử 1.3.2 Các bên tham gia giao dịch điện tử Giao dịch thương mại điện tử (Electronic commerce transaction) diễn bên ba nhóm tham gia chủ yếu:(1) doanh nghiệp;(2) phủ; (3) người tiêu dùng Các giao dịch tiến hành cấp độ sau: Giữa doanh nghiệp với người tiêu dùng: Giữa doanh nghiệp với Giữa doanh nghiệp với quan phủ Giữa người tiêu thụ với quan phủ Giữa phủ với Hai nhóm lớn nhóm “giữa doanh nghiệp người tiêu thụ” “giữa doanh nghiệp với nhau” 1.3.3 Các bước giao dịch điện tử Khi tiến hành giao dịch kinh doanh mạng chấp nhận tốn thẻ tín dụng, người dùng phải trải qua bước sau: Người bán cung cấp đơn đặt hàng địa website bảo mật SSL (Secure Socket Layer) Khách hàng chọn mặt hàng họ cần điền vào thẻ tín dụng thông tin liên lạc, thông tin sản phẩm Một hình lên với đầy đủ thơng tin, cho phép khách xác nhận đơn đặt hàng xem tất liệu nhập vào SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Máy chủ website đưa thông tin đến dịch vụ kiểm tra tốn thẻ tín dụng để đối chiếu địa khách hàng đơn đặt hàng có khớp với điạ người giữ thẻ hay không xem hạn mức tín dụng thẻ Nếu tất thông tin thẻ không bị lỗi, q trình tốn thực vài giây Nếu phần mềm shopping cart cho phép, biên lai kiểm tra xác thực việc mua hàng gửi email gửi đến cho khách hàng Sau người bán xử lý đơn đặt hàng hàng gửi Trung tâm tốn thẻ gửi thơng báo dịch vụ kiểm tra thẻ tín dụng hàng vừa gửi Người bán không thu tiền trực tiếp từ người mua chi phí mua hàng tính vào tài khoản người giữ thẻ hàng chuyển Dịch vụ kiểm tra thẻ tín dụng gửi u cầu tốn tới ngân hàng phát hành thẻ Ngân hàng phát hành thẻ chấp nhận chuyển tiền tới ngân hàng người bán Thông thường vũng 48 đến 72 giờ, tiền tự động chuyển vào tài khoản ngân hàng người bán từ tài khoản ngân hàng người mua 1.4 BẢO MẬT TRONG GIAO DỊCH ĐIỆN TỬ 1.4.1 Khái niệm bảo mật 1.4.1.1 Bảo mật ? Bảo mật phận khoa học máy tính, bảo vệ liệu hệ thống máy tính để người không phép đột nhập, xem trộm, chép hay sử dụng 1.4.1.2 Các thuật ngữ thường dùng Người gửi (Sender): người muốn gửi thông điệp tới hay số người khác SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Người nhận (Receiver): người nhận thông điệp người khác gửi tới Sự mã hoá (Encryption): trình nguỵ trang thơng điệp theo cách làm ẩn nội dung Sự giải mã (Decryption): q trình khơi phục lại rõ từ mã Bản rõ(Plaintext hay Cleartext): thông điệp chưa mã hoá hay giải mã Bản mã (Ciphertext): thơng điệp mã hố Mật mã (Crytography): nghệ thuật khoa học việc bảo vệ an tồn cho thơng điệp Phân tích mã (Cryptanalysis): nghệ thuật khoa học việc bẻ mã, nhìn qua nguỵ trang 1.4.2 Nhiệm vụ bảo mật 1.4.2.1 Bảo mật vệ gì? 1.4.2.1.1 Bảo vệ liệu Hệ thống máy tính cần bảo vệ yêu cầu sau: Tính bảo mật: Các thơng tin kinh tế, trị, qn sự, cơng nghệ cần giữ bí mật Tính tồn vẹn: Do thơng tin hệ thống máy tính dùng chung nên đơi bị thay đổi mát Tính kịp thời: Thơng tin cần cung cấp cách kịp thời cần thiết 1.4.2.1.2 Bảo vệ tài nguyên Trên thực tế kẻ công xâm nhập vào hệ thống khống chế sử dụng hệ thống để đánh cắp thông tin, mật đồng thời sử dụng tài nguyên vào mục đích đen tối khác SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử 1.4.2.1.3 Bảo vệ uy tín Trong nhiều trường hợp tổ chức hay cơng ty biết bị cơng khơng dám thơng báo sợ bị uy tín Vì cơng biết phần tảng băng chìm mà thơi 1.4.2.1.4 Chống gian lận Việc gian lận văn điện tử dễ dàng nhiều so với văn giấy tờ Do bảo mật đóng vai trị đặc biệt quan trọng mà thương mại điện tử ngày sử dụng rộng rãi 1.4.2.2 Bảo mật chống lại ? 1.4.2.2.1 Chống lại kẻ công Các kiểu công * Tấn công trực tiếp: Thường thực giai đoạn đầu để chiếm đoạt quyền truy cập bên Việc công thực đơn giản thử cặp username-password để may mắn có cặp cho phép truy nhập vào hệ thống * Nghe trộm: Việc nghe trộm mạng cho phép kẻ cơng có thơng tin q giá quyền truy cập, hay thơng tin bí mật Kiểu cơng thực sở việc công trực tiếp thành cơng, cho phép chạy chương trình đưa vỉ giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận tồn thơng tin lưu truyền mạng * Giả mạo địa chỉ: Kẻ công gửi gói tin IP tới mạng bên với địa IP giả (thường địa mạng hay máy coi an toàn mạng bên trong) kèm với đường dẫn mà gói IP phải gửi tới * Vơ hiệu hố chức hệ thống: SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai Chuyên Đề Tốt Nghiệp Ứng Dụng Chữ Ký Điện Tử Kiểu công làm tê liệt hệ thống, làm khơng thực chức thiết kế * Lỗi người quản trị hệ thống: Đây kiểu cơng kẻ cơng tạo kẽ hở cho phép chúng xâm nhập vào mạng * Tấn công vào yếu tố người: Kẻ cơng liên hệ với người quản trị hệ thống, giả làm người dùng yêu cầu thay đổi mật khẩu, thay đổi quyền truy cập, thay đổi cấu hình để dễ dàng việc công Đây kiểu công mà khơng có thiết bị ngăn chặn hồn tồn, giảm thiểu thiệt hại cách giáo dục nâng cao cảnh giác người sử dụng hệ thống Phân loại kẻ công * Joyriders(): Là kẻ nhàn rỗi muốn tìm kiếm trị giải trí Họ đột nhập vào hệ thống người dùng nghĩ người dùng có liệu thú vị thích thú sử dụng hệ thống người dùng, mà họ khơng có việc tốt để làm Joyriders lôi đặc biệt vào site tiếng hay máy khác thường Đây người tị mị khơng cố tình làm hại người dùng, nhiên họ thường làm hỏng hệ thống người dùng thiếu hiểu biết cố xoá dấu vết * Vandal(Kẻ phá hoại): Là kẻ cố tình gây thiệt hại họ thấy thích thú phá huỷ thứ Vandal vấn đề lớn việc giữ gìn an ninh liệu, thường xuất cách bí ẩn ngấm ngầm phá hoại hệ thống SVTH: Nguyễn Thị Bích Nguyệt GVHD: Th.S Nguyễn Quỳnh Mai