Hệ mật khóa ông khai và an ninh giao dịh điện tử, an toàn thư tín điện tử

14 Trang 4 CHƢƠNG 2: MÃ HÓA CÔNG KHAI VÀ QUY TRÌNH NG D NG CÁC ỨỤTHUẬT TỐN MÃ HĨA CÔNG KHAI TRONG GIAO DỊCH ĐIỆN TỬ .... Mã hóa cơng khai và các thuật tốn trong mã hóa công khai .... 

B GIÁO DỘ ỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI H C BÁCH KHOA HÀ N I Ọ Ộ

-

B CH VI T QUÝ Ạ Ệ

LUẬN VĂN THẠC SĨ KỸ THU T Ậ

CÔNG NGH THÔNG TIN VÀ TRUY N THÔNG Ệ Ề

Hà N i ộ – Năm 2018

Tai ngay!!! Ban co the xoa dong chu nay!!! 17057205209361000000

B GIÁO DỘ ỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI H C BÁCH KHOA HÀ N I Ọ Ộ

-

B CH VI T QUÝ Ạ Ệ

Chuyên ngành: CÔNG NGHỆ THÔNG TIN

LUẬN VĂN THẠC SĨ KỸ THU T Ậ

CÔNG NGH THÔNG TIN VÀ TRUY N THÔNG Ệ Ề

NGƯỜI HƯỚNG D N KHOA H C : Ẫ Ọ PGS.TS NGHUY N LINH GIANGỄ

Hà N i ộ – Năm 2018

MỤC LỤC

LỜI CÁM ƠN 1

LỜI CAM ĐOAN 2

DANH M C BỤ ẢNG VÀ HÌNH V 3 Ẽ LỜI NÓI ĐẦU 5

CHƯƠNG 1: VẤ N Đ Ề Ả B O M T AN TOÀN THÔNG TIN TRONG GIAO Ậ DỊ CH ĐI Ệ N TỬ VÀ THƯ TÍN ĐIỆN TỬ 8

1.1 T ng quan v giao d ổ ề ịch điệ ử và thư tín điệ ử n t n t 8

1.1.1 Khái niệ m 8

1.1.2 L ợi ích củ iao dịch điệ ử và thư tín điệ ử a g n t n t [5][6] 10

1.1.3 Các đặc trưng củ a giao d ị ch đi ệ n t ử, thư tín điệ ử n t 12

1.1.4 Các lo ạ i thị trường điệ ử n t [5] 13

1.1.5 Các h ệ thố ng thanh toán trong giao d ịch điệ ử n t 14

1.2 V ấn đề ả b o m t an toàn thông tin trong các giao d ậ ị ch đi ệ n t ử và thư tín điệ ử n t 16 1.3 T ng quan v m t mã, khóa công khai, ch ký s 18 ổ ề ậ ữ ố 1.3.1 T ng quan v m t mã ổ ề ậ [1] 18

1.3.2 Khóa công khai [1] 25

1.3.3 Chữ ký s ố[7] 28

CHƯƠNG 2: MÃ HÓA CÔNG KHAI VÀ QUY TRÌNH NG D NG CÁC Ứ Ụ

THUẬT TOÁN MÃ HÓA CÔNG KHAI TRONG GIAO DỊCH ĐIỆ N TỬ 33

2.1 Mã hóa công khai và các thuậ t toán trong mã hóa công khai 33

2.1.1 Mã hóa công khai[1] 33

2.1.2 Các thu t toán trong mã hóa công khai ậ [1] 38

2.2 Quy trình áp d ng mã hóa công khai trong giao d ụ ị ch đi ệ n t 60 ử CHƯƠNG 3: ỨNG D NG MÃ HÓA CÔNG KHAI TRONG B O M T GIAO Ụ Ả Ậ D CH THANH TOÁN TRÊN WEBSITE XEM NH NGH THU TỊ Ả Ệ Ậ 62

3.1 Mô tả ệ thố h ng ng d ứ ụng đượ c sử ụ d ng 62

3.2 Qui trình mã hóa, giả i mã th trong h ẻ ệ thố ng 68

3.3 So sánh v ề thờ i gian mã hóa, gi i mã c a 3 thu ả ủ ật toán Rsa, Elgamal, Merkle_Hellman trong giao dịch 73

CHƯƠNG 4: KẾT LU N Ậ – ĐỊNH HƯỚNG NGHIÊN C U VÀ NG D NG 74 Ứ Ứ Ụ 4.1 K ế t luậ n 74 4.2 Định hướ ng nghiên c u và ng d ng 74 ứ ứ ụ

TÀI LIỆU THAM KH O 76Ả

1

LỜI CÁM ƠN

Trong quá trình h c tọ ập cũng như nghiên cứu để hoàn thành đề tài luận văn thạc sĩ, bên cạnh s n l c c a b n thân còn có s hư ng d n nhi t tình c a Quý ự ỗ ự ủ ả ự ớ ẫ ệ ủThầy, Cô, cũng như sự độ ng viên, h tr cỗ ợ ủa gia đình và đồng nghi p trong su t ệ ốthời gian h c t p nghiên c u và th c hi n luọ ậ ứ ự ệ ận văn thạc sĩ

Tôi xin chân thành g i l i cử ờ ảm ơn đến các Quý Th y, Cô cầ ủa Trường Đại

h c Bách Khoa Hà Nọ ội đã trang bị kiến th c, tứ ạo môi trường điều ki n thu n lệ ậ ợi nhất cho tôi trong su t quá trình h c t p và th c hi n luố ọ ậ ự ệ ận văn này

V i lòng kính tr ng và biớ ọ ết ơn, tôi xin được bày t l i cỏ ờ ảm ơn sâu sắc đến PGS.TS Nguy n Linh Giang, gi ng viên Vi n Công ngh thông tin và Truyễ ả ệ ệ ền thông - Trường Đạ ọi h c Bách Khoa Hà Nội đã trực tiếp hướng d n t n tình cho ẫ ậtôi trong su t quá trình th c hi n nghiên c u này ố ự ệ ứ

Cuối cùng tôi xin chân thành cảm ơn đến gia đình, các đồng nghi p, b n bè ệ ạtrong t p th l p Công ngh ậ ể ớ ệ thông tin 2016A đã hỗ trợ cho tôi r t nhi u trong ấ ềquá trình h c tọ ập, nghiên c u và th c hiứ ự ện đề tài luận văn thạc sĩ

Xin trân trọng cám ơn!

2

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu khoa học độ ậc l p c a riêng ủtôi Các s u s dố liệ ử ụng phân tích trong lu n án có ngu n gậ ồ ốc rõ ràng, đã công bốtheo quy định Các k t qu nghiên c u th nghi m trong lu n án là do tôi t tìm ế ả ứ ử ệ ậ ựhiểu, phân tích m t cách trung th c khách quan, phù h p v i công viộ ự ợ ớ ệc tôi đang làm Các k t qu ế ả này chưa từng được công b trong b t kố ấ ỳ nghiên c u nào khác ứ

Tác gi ảluận văn

ạB ch Vi t Quý ệ

4 Hình 2.2: Sơ đồ mã hóa công khai trong giao dịch điên tử 60

7 Hình 3.3: Qu n lý thông tin tài kho n ả ả 64

8 Hình 3.4 3.6: Thanh toán và gia h n tài kho n – ạ ả 64,65

10 Hình 3.8: Giao di n web t o khóa công khai ệ ạ 66

12 Hình 3.10: Qui trình mã hóa, gi i mã trong h ả ệthống 68

13 Hình 3.11: H ệthống chuy n thông tin th ể ẻ đi mã hóa 70

14 Hình 3.12: Mã hóa theo thu t toán Rsa ậ 70

4

15 Hình 3.13: Mã hóa theo thu t toán eLgamel ậ 71

16 Hình 3.14: Mã hóa theo thu t toán Merkle HellMan ậ 71

18 Hình 3.16: B ng so sánh th i gian gi i mã gi a Rsa, ả ờ ả ữ

5

LỜI NÓI ĐẦU

1 Tính c p thi t cấ ế ủa đề tài

V i s phát tri n mang tính toàn c u c a Internet và giao dớ ự ể ầ ủ ịch điệ ử thư n t , tín điệ ử con ngườn t i có th mua bán d ch v và hàng hóa thông qua m ng máy ể ị ụ ạtính toàn c u m t cách d dàng trong mầ ộ ễ ọi lĩnh vực thương mạ ội r ng l n Tuy ớnhiên, i v i các giao dđố ớ ịch điệ ử, thư tín điệ ửn t n t mang tính nh y c m cạ ả ần phải

có những cơ chế đả m b o và an toàn Vì v y, vả ậ ấn đề ả b o mật và an toàn thông tin trong giao dịch điệ ử, thư tín điệ ửn t n t là m t vộ ấn đề ế ứ h t s c quan trọng Đềtài s cẽ đề ập đến các vấn đề ử ụ s d ng mã hóa công khai trong b o m t và an toàn ả ậthông tin giao dịch điệ ử, thư tín điệ ửn t n t

Hiện nay vấn đề ả b o m t và an toàn thông tin trong giao dậ ịch điệ ử, thư n ttín điện t ử đã và đang được áp d ng ph bi n và r ng rãi Vi t nam và trên ụ ổ ế ộ ở ệphạm vi toàn c u Vì v y, vầ ậ ấn đề ả b o mật và an toàn đang được nhiều người tập trung nghiên c u và tìm m i giứ ọ ải pháp để đả m b o B o mả ả ật và an toàn cho các

h ệ thống thông tin trên m ng Tuy nhiên, ạ cũng cần ph i hi u r ng không có mả ể ằ ột

h ệ thống thông tin nào được b o m t 100%, b t k m t h ả ậ ấ ỳ ộ ệ thống thông tin nào cũng có những l h ng v b o mỗ ổ ề ả ật và an toàn mà chưa được phát hi n ra ệ

Vấn đề ả b o m t và an toàn thông tin trong giao dậ ịch điệ ử, thư tín điệ ửn t n t phải đảm b o b n yêu cả ố ầu sau đây:

 Đảm b o tin c y: Các n i dung thông tin không b theo dõi ho c sao ả ậ ộ ị ặ

chép b i nh ng th c th không ở ữ ự ể được ủy thác

 Đảm b o toàn v n: Các n i dung thông tin không b ả ẹ ộ ị thay đổi b i ở

nhữ ng th c th ự ể không được ủ y thác

6

 S ựchứ ng minh xác th c: Không ai có th t ự ể ự trá hình như là bên hợp

pháp trong quá trình trao đổi thông tin

 Không th thoái thác trách nhi m: Nể ệ gười g i tin không th ử ể thoái thác v ềnhữ ng s c và nh ng n i dung thông tin th c t ựviệ ữ ộ ự ế đã gửi đi.Xuất phát t nh ng kh ừ ữ ả năng ứng d ng trong th c t và nh ng ứụ ự ế ữ ng dụng đã

có t các k t qu c a nghiên cừ ế ả ủ ứu trước đây về lĩnh vực b o m t và an toàn trong ả ậgiao dịch điệ ử, thư tín điệ ử Đền t n t tài s ẽ đi sâu và nghiên cứu các k ỹthuật mã hóa công khai nh m b o m t và an toàn thông tin trong giao dằ ả ậ ịch điệ ử, thư tín n tđiệ ửn t

2 M c tiêu và nhi m v nghiên c u cụ ệ ụ ứ ủa đề tài

Đề tài nghiên c u các k thuứ ỹ ật và phương pháp mã hóa công khai để ự th c hiện nhi m v b o m t và an toàn thông tin trong giao dệ ụ ả ậ ịch điện t ử và thư tín điện t , quá trình th c hi n và các ki n th c khoa h c và thu t toán liên quan ử ự ệ ế ứ ọ ậnhư: Xác thực, B o m t, B o toàn d u, Mả ậ ả ữ liệ ật mã…

Áp d ng k t qu nghiên cụ ế ả ứu để tri n khai h ể ệ thống b o m t và an toàn trong ả ậgiao dịch điệ ửn t

3 Ý nghĩa khoa học của đề tài

Áp d ng các k t qu ụ ế ả đã nghiên cứu để xây d ng các k ự ỹthuậ ảt b o m t và an ậtoàn trong thương mại điệ ử ớn t v i m t s ộ ố tính năng cơ bản như sau: hệ ố th ng mã hóa và gi i mã trong giao dả ịch điệ ử, thư tín điệ ửn t n t

Vấn đề ả b o m t và an toàn trên m ng là m t vậ ạ ộ ấn đề nóng h i trong hoổ ạt

động th c ti n c a giao dự ễ ủ ịch điện t , gi i quy t t t vử ả ế ố ấn đề ả b o m t và an toàn ậtrong giao dịch điệ ử ẽn t s mang lại ý nghĩa hế ứt s c to lơn như: Làm cho khách hàng tin tưởng khi th c hi n các giao d ch trên m ng, các nhà cung c p d ch v ự ệ ị ạ ấ ị ụ

7

giao d ch tr c tuyị ự ến cũng như các ISP đảm b o nh ng thông tin c a khách hàng ả ữ ủgiao d ch trên mị ạng được an toàn

4 Phương pháp nghiên cứu

Thu th p, phân tích các tài li u và nhậ ệ ững thông tin liên quan đế đề tài

Tìm hi u các giao d ch trong giao dể ị ịch điệ ử, thư tín điệ ửn t n t trên website trong và ngoài nước, thu th p các thông tin v b o m t các giao dậ ề ả ậ ịch điệ ử, thư n ttín điệ ử đã có.n t

K t h p nghiên cế ợ ứu đã có trước đây của các tác gi ả trong nước cùng v i s ớ ựchỉ ả b o, góp ý của thầy hướng dẫn để hoàn thành n i dung nghiên cộ ứu

 Khái ni m giao dệ ịch điện tử[5]

Khi nói v khái ni m giao dề ệ ịch điệ ửn t , nhiều người nh m l n v i khái niầ ẫ ớ ệm

c a ủ Kinh doanh điện t Tuy nhiên, giao dử ịch điện t ử đôi khi được xem là tập con c a ủ kinh doanh điệ ửn t Giao dịch điệ ửn t chú trọng đến vi c mua bán trệ ực tuyến (tập trung bên ngoài), trong khi đó kinh doanh điện t là vi c s ử ệ ử

dụng Internet và các công ngh c tuy n t o ra quá trình hoệ trự ế ạ ạt động kinh doanh hiệu qu dù có hay không có l i nhu n, vì vả ợ ậ ậy tăng lợi ích v i khách hàng (t p ớ ậtrung bên trong)

M t s khái ni m giao dộ ố ệ ịch điện t ử được định nghĩa ởb i các t ổ chức uy tín thế giớ như sau: i

Theo T ổ chức Thương mại th ế giới (WTO "giao d), ịch điện t bao gử ồm việc s n xu t, qu ng cáo, bán hàng và phân ph i s n phả ấ ả ố ả ẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nh n m t cách h u hình, c ậ ộ ữ ả các

s n ph m giao nhả ẩ ận cũng như những thông tin s hoá thông qua m ng Internet" ố ạTheo Ủy ban Thương mại điện t c a T ử ủ ổ chức H p tác kinh t châu Á - ợ ếThái Bình Dương (APEC) định nghĩa: iao d"G ịch điệ ử liên quan đến t n các giao

dịch thương mại trao đổi hàng hóa và d ch v ị ụ giữa các nhóm (cá nhân) mang tính điệ ửn t ch y u thông qua các h th ng có n n t ng d a trên Internet." Các ủ ế ệ ố ề ả ự

v n chuy n hàng hay d ch v ậ ể ị ụ cuối cùng có th ể thực hi n tr c tuyệ ự ến hoặc bằng phương pháp thủ công."

Tóm l i, giao dạ ịch điện t ử chỉ ảy ra trong môi trườ x ng kinh doanh

mạng Internet và các phương tiện điện t gi a các nhóm (cá nhân) v i nhau ử ữ ớthông qua các công c , k thu t và công ngh ụ ỹ ậ ệ điệ ửn t Ngoài ra, theo nghiên cứu

t i i h c Texas, các h c gi cho rạ đạ ọ ọ ả ằng thương mại điệ ửn t và kinh doanh điện

t u b bao hàm b i n n kinh t Internet ử đề ị ở ề ế

 Khai niệm thƣ tín điệ ửn t [6]

Thư điện tử (email hay e-mail) là một phương thức trao đổi tin nhắn giữa những người sử dụng các thiết bị điện tử Thư điện tử lần đầu tiên được đưa vào

sử dụng hạn chế trong thập niên 60 và đến giữa những năm 1970 có dạng như ngày nay gọi là email Thư điện tử hoạt động qua các mạng máy tính mà hiện nay chủ yếu là Internet Một số hệ thống thư điện tử ban đầu yêu cầu người gửi

và nhận đều trực tuyến tại cùng thời điểm, giống với nhắn tin tức thời Hệ thống thư điện tử ngày nay được dựa trên một mô hình lưu và chuyển tiếp Các máy chủ thư điện tử chấp nhận, chuyển tiếp, phân phối và lưu tin nhắn Người dùng cũng như máy tính của họ không bắt buộc đang trực tuyến cùng lúc; họ cần kết

mở rộng thư điện tử Internet đa mục đích có chứa văn bản dưới nhiều bộ ký tự

và nội dung đa phương tiện đính kèm Thư điện tử quốc tế với những địa chỉ thư điện tử sử dụng UTF-8, đã được chuẩn hóa nhưng tính đến năm 2017 nó vẫn chưa được áp dụng rộng rãi

Lịch sử các dịch vụ thư điện tử Internet hiện đại truy tính

từ ARPANET thời kỳ đầu với những tiêu chuẩn về việc mã hóa các tin nhắn thư điện tử được công bố ngay từ năm 1973 (RFC 561) Một bức thư điện tử được gửi vào đầu những năm 1970 trông rất giống với thư điện tử cơ bản được gửi đi ngày nay Thư điện tử có vai trò quan trọng trong việc tạo ra Internet, và việc chuyển đổi từ ARPANET sang Internet vào đầu những năm 1980 đã tạo ra cốt lõi cho các dịch vụ hiện tại

1.1.2 Lợi ích của giao dịch điện tử và thƣ tín điện tử[5][6]

 Thu thập đƣợc nhiều thông tin

Giao dịch điện tử, thư tín điện tử giúp cho mỗi cá nhân khi tham gia thu được nhiều thông tin về thị trường, đối tác, giảm chi phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất, tạo dựng và củng cố quan hệ bán hàng Các doanh nghiệp nắm được các thông tin phong phú về kinh tế thị trường, nhờ đó có thể xây dựng được chiến lược sản xuất và kinh doanh thích hợp với xu thế phát triển của thị trường trong nước, trong khu vực và quốc tế Điều này đặc biệt ý nghĩa

11

với các doanh nghiệp vừa và nhỏ, hiện nay đang được nhiều nước quan tâm coi

là một trong động lực phát triển kinh tế

 Giảm chi phí s n xu t ả ấ

Giao dịch điện tử, thư tín điện tử cũng giúp giảm chi phí sản xuất, trước hết

là chi phí văn phòng Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyển giao tài liệu giảm nhiều lần trong đó khâu in ấn gần như bỏ hẳn Theo số liệu của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30% Điều quan trọng hơn, với góc độ chiến lược là các nhân viên có năng lực được giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển, sẽ đưa đến những lợi ích to lớn lâu dài

 Giảm chi phí bán hàng, ti p th và giao d ế ị ịch

Giao dịch điện tử, thư tín điện tử giúp giảm thấp chi phí bán hàng và chi phí tiếp thị Bằng phương tiện Internet/Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khổ giới hạn và luôn luôn lỗi thơi, trong khi đó catalogue điện tử trên web được cập nhật thường xuyên

Giao dịch điện tử, thư tín điện tử qua Internet/Web giúp người tiêu thụ và các doanh nghiệp giảm đáng kể thời gian và chi phí giao dịch Thời gian giao dịch qua internet chỉ bằng 7% thời gian giao dịch qua FAX, và bằng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10% đến 20% chi phí thanh toán theo nối thông thường

12

 Xây d ng quan h ự ệ đối tác

Giao dịch điệ ử, thư tín điệ ử ạo điền t n t t u ki n cho vi c thi t l p và c ng c ệ ệ ế ậ ủ ố

m i quan h ố ệgiữa các thành viên tham gia quá trình thương mại thông qua m ng ạInternet, các thành viên tham gia có th giao ti p tr c ti p (liên l c tr c tuy n) và ể ế ự ế ạ ự ếliên t c v i nhau, có cụ ớ ảm giác như không có khoảng cách v a lý và th i gian ề đị ờ

n a, nh ữ ờ đó sự ợ h p tác và quản lý đều được ti n hành nhanh chóng m t cách ế ộliên t c, các b n hàng mụ ạ ới, các cơ hội kinh doanh mới được phát hi n nhanh ệchóng trên ph m vi toàn th ạ ế giới và có nhiều cơ hội để ự l a ch n ọ

 Tạo điều ki n s m ti p c n kinh t tri thệ ớ ế ậ ế ức

Trước h t giao dế ịch điện tử, thư tín điện t s kích thích s phát tri n c a ử ẽ ự ể ủngành CNTT tạo cơ sở cho phát tri n kinh t tri th c L i ích này có mể ế ứ ợ ột ý nghĩa

lớn đố ới các nước đang phát triểi v n, n u không nhanh chóng ti p c n n n kinh ế ế ậ ề

t tri th c thì sau kho ng mế ứ ả ột th p k nậ ỷ ữa nước đang phát triển có th b b ể ị ỏ rơi hoàn toàn Khía c nh l i ích này mang tính chiạ ợ ến lược công ngh và tính chính ệsách phát tri n cể ần cho các nước công nghi p hóa ệ

1.1.3 Các đặc trƣng của giao dịch điện tử, thƣ tín điện tử[5][6]

Các bên ti n hành giao dế ịch điệ ử, thư tín điệ ửn t n t không ti p xúc tr c tiế ự ếp với nhau và không đòi hỏi ph i bi t nhau t ả ế ừ trước

Các giao dịch, thư tín truyền thống được th c hi n v i s t n t i c a khái ự ệ ớ ự ồ ạ ủniệm biên gi i qu c gia, còn giao dớ ố ịch điện tử, thư tín điện t đư c th c hi n ử ợ ự ệtrong m t th ộ ị trường không có biên gi i (th ớ ị trường th ng nh t toàn c u) Giao ố ấ ầ

dịch điện tử, thư tín điện t ử trực tiếp tác động đến môi trường c nh tranh toàn ạ

c ầu

13

Trong ho t ng giao dạ độ ịch điệ ử đền t u có s tham gia c a ít nh t ba ch ự ủ ấ ủthể, trong đó có một bên không th thiể ếu được là người cung c p các d ch v m ng, ấ ị ụ ạcác cơ quan chứng th c ự

Đối v i giao dớ ịch, thư tín truyền th ng thì mạng lướố i thông tin ch là ỉphương tiện trao i d liđổ ữ ệu, còn đối v i giao dớ ịch điện tử, thư tín điện t thì ử

mạng lưới thông tin chính là th ị trường

1.1.4 Các loại thị trường điện tử[5]

Giao dịch điện t ử ngày nay liên quan đến t t c mấ ả ọi th t t hàng n i ứ ừ đặ ộdung "k thu t sỹ ậ ố" cho đến tiêu dùng c tuy n t c thtrự ế ứ ời, để đặt hàng và d ch v ị ụthông thường, các d ch v ị ụ "meta" đề ạo điều t u ki n thu n l i cho các d ng khác ệ ậ ợ ạcủa thương mại điệ ửn t

Ở cấp độ ổ t ch c, các tứ ập đoàn ớ l n và các t ổ chức tài chính s ử

dụng Internet để trao đổ ữi d u tài chính liệ nhằm tạo điều ki n thu n l i cho ệ ậ ợ kinh doanh trong nước và quố ếc t Tính toàn v n d u và tính an ninh là các vẹ ữliệ ấn đề

r t nóng gây bấ ức xúc trong thương mại đi n t ệ ử

Hiện nay có nhi u tranh cãi v các hình thề ề ức tham gia cũng như cách phân chia các hình thức này trong thương mại điệ ửn t Nếu phân chia theo đối tượng tham gia thì có 3 đối tượng chính bao g m: Chính ph (G - Government), Doanh ồ ủnghi p (B - Business) và Khách hàng (C - Customer hay Consumer) N u kệ ế ết

hợp đôi một 3 đối tượng này s có 9 hình thẽ ức theo đối tượng tham gia: B2C, B2B, B2G, G2B, G2G, G2C, C2G, C2B, C2C Trong đó, các dạng hình th c ứchính c a giao dủ ịch điệ ửn t bao g m: ồ

 Doanh nghi p v i Doanh nghi p (B2B) ệ ớ ệ

 Doanh nghi p v i Khách hàng (ệ ớ B2C )

 Ngoài ra, giao dịch điệ ử còn đượn t c phân chia theo các hình thức:

 online- -offline ( to O2O )

1.1.5 Các hệ thống thanh toán trong giao dịch điện tử

Thanh toán điện t là m t khâu quan tr ng trong giao dử ộ ọ ịch điện t Hi u ử ể

một cách khái quát thì thanh toán điệ ửn t là m t quá trình thanh toán ti n giộ ề ữa người mua và người bán Điểm c t lõi c a vố ủ ấn đề là vi c ng d ng các công ệ ứ ụngh thanh toán tài chính (Ví d mã hóa s ệ ụ ốthẻ tín d ng, th ụ ẻ điện tho i, ho c tiạ ặ ền điệ ửn t ) gi a ngân hàng, nhà trung gian và các bên tham gia hoữ ạt động thương

m i Các ngân hàng và t ạ ổ chức tín d ng hi n nay s dụ ệ ử ụng phương pháp này nhằm mục đích nâng cao hiệu qu hoả ạt động trong b i c nh phát tri n c a n n ố ả ể ủ ềkinh t s , v i m t s lế ố ớ ộ ố ợi ích như giảm chi phí x lý, chi phí công ngh ử ệ và tăng cường thương mại tr c tuy nự ế [8]

Thanh toán điệ ửn t là vi c tr tiệ ả ền thông qua các thông điệp điệ ửn t thay vì trao tay tr c ti p Vi c tr ự ế ệ ả lương bằng cách chuy n ti n vào tài kho n ngân hàng, ể ề ả

tr tiả ền mua hàng b ng th tín d ng, b ng th ằ ẻ ụ ằ ẻ mua hàng … thực chất cũng là những ví d ụ đơn giản của thanh toán điệ ửn t

15

Hình thức thanh toán điệ ử n t có m t s h ộ ố ệ thống thanh toán cơ bản sau:

Thanh toán b ng th : ằ ẻ Là hình thức thanh toán đặc trưng nhất c a giao ủ

dịch thương mại tr c tuy n trên internet Thanh toán b ng th tín dự ế ằ ẻ ụng, thanh toán b ng th ằ ẻ cào điện tho i Vạ ới cách thanh toán này giúp cho người mua hàng trực tuy n có th d dàng th c hi n các giao d ch v i nhà cung c p ở ọi nơi ế ể ễ ự ệ ị ớ ấ m

m i lúc mọ ột cách nhanh chóng nh ất

Thanh toán b ng thi t b ằ ế ị di độ ng thông minh:

Đây là một hình th c khá ph bi n và có tiứ ổ ế ềm năng phát triển m nh trong ạtương lai với đại đa số người dân bây gi ờ ai cũng đá quá quen thuộc và s d ng ử ụthành th o smartphone V i d ch v ạ ớ ị ụ này khi đi mua sắm, khách hàng không cần phải mang theo ti n mề ặt mà thay vào đó là thanh toán trực tuyến thông qua điện thoại di động thông minh v i d ch v Mobile Banking ớ ị ụ

V i nh ng lớ ữ ợi ích trên, tăng cường kh ả năng thanh toán điện t s là mử ẽ ột giải pháp c t giắ ảm đáng kể các chi phí hoạt động Theo tính toán c a các ngân ủhàng thì vi c giao d ch b ng ti n và sec r t tệ ị ằ ề ấ ốn kém, do đó họ tìm ki m các giế ải pháp khác v i chi phí thớ ấp hơn Hiện nay t i Vi t Nam các giao d ch b ng tiạ ệ ị ằ ền

m t v n chi m kho ng 90% trong các hoặ ẫ ế ả ạt động thường ngày, và đây sẽ cơ hội

h n cho các d ch v tài chính không ti n m t cho các công ty ớ ị ụ ề ặ

: V i hình th c thanh toán này, khách hàng Thanh toán bằng ví điện tử ớ ứ

phả ở ữu ví điệ ử ủi s h n t c a Mobivi, Payoo, VnMart, t ừ đó có thể thanh toán tr c ựtuyến trên m t s ộ ố website đã chấp nhận ví điệ ửn t này

n kho n ngân

Và m t s hình th c khác ộ ố ứ như thành toán qua chuyể ả

hàng…

16

1.2 Vấn đề bảo mật an toàn thông tin trong các giao dịch điện tử và thƣ

tín điện tử

Ngày nay, v i s phát tri n m nh m c a công ngh thông tin viớ ự ể ạ ẽ ủ ệ ệc ứng

d ng công ngh m ng máy tính tr nên vô cùng ph c p và c n thi t Công ngh ụ ệ ạ ở ổ ậ ầ ế ệmạng máy tính đã mang lạ ợi l i ích to l n S xu t hi n c a m ng Internet cho ớ ự ấ ệ ủ ạphép mọi người có th truy c p, chia s và khai thác thông tin m t cách d dàng ể ậ ẻ ộ ễ

và hi u qu S phát tri n m nh m c a Internet xét v m t b n ch t chính là ệ ả ự ể ạ ẽ ủ ề ặ ả ấviệc đáp ứng l i s ạ ự gia tăng không ngừng c a nhu củ ầu gia tăng giao dịch tr c ựtuyến trên h th ng m ng toàn c u Các giao d ch tr c tuy n trên Internet phát ệ ố ạ ầ ị ự ếtri n t ể ừ những hình thức sơ khai như trao đổi thông tin (email, messeage, v.v…),

quảng bá (web – publishing) đến các giao d ch ph c t p th ệị ứ ạ ể hi n qua các h ệthống chính ph đi n tủ ệ ử, thương mại điệ ửn t ngày càng phát tri n m nh m trên ể ạ ẽkhắp th gi i ế ớ

Tuy nhiên l i n y sinh các vạ ả ấn đề an toàn thông tin, Internet có nh ng k ữ ỹthu t cho mậ ọi người truy nh p, khai thác, chia s ậ ẻ thông tin Nhưng nó cũng là nguy cơ chính dẫn đến vi n thông tin c a b n b ệ ủ ạ ị hư hỏng ho c phá h y hoàn ặ ủtoàn S ở dĩ có lý do đó là vì v ệi c truy n thông tin qua m ng Internet hi n nay ề ạ ệchủ ế ử ụ y u s d ng giao thức TCP/IP TCP/IP cho phép các thông tin được g i t ử ừ

m t máy tính này t i mộ ớ ột máy tính khác mà đi qua một lo t các máy tính trung ạgian ho c m ng riêng biặ ạ ệt trước khi nó tới được đích Chính vì điểm này, giao

thức TCP/IP đã tạo cơ hội cho ―bên thứ ba‖ có thể ựth c hiện các hành động gây

m t mát an toàn thông tin trong các giao d ch ấ ị

Theo s u c a CERT (Computer Emegency Response team ố liệ ủ – ―Đội phản

ứng nhanh an ninh mạng máy tính‖), số ợ lư ng tấn công trên Internet được thông báo cho t ổ chức này tăng từ 22000 v ụ năm 2000 lên đến 82000 năm 2002, và

17

con s này cao g p 20 l n nố ấ ầ ạn nhân năm 1998[9]… Những cu c t n công này ộ ấnhằm vào t t c các máy tính có m t trên Internet, các máy tính c a t t c các ấ ả ặ ủ ấ ảcông ty lớn như AT&T, IBM, các trường đạ ọc, các cơ quan nhà nưới h c, các t ổchức nhân sự, các nhà băng lớn,… Mộ ố ụ ất s v t n công có quy mô kh ng l (có ổ ồ

t i 100.000 máy tính b tớ ị ấn công) Hơn nữa, nh ng con s này ch là ph n nữ ố ỉ ầ ổi

c a tủ ảng băng Một ph n l n nh ng v tầ ớ ữ ụ ấn công không được thông báo, vì nhiều

lí do, trong đó có thể ể đế k n n i lo b m t uy tín, hoỗ ị ấ ặc đơn giản những người quản tr h th ng không h hay bi t nh ng cu c t n công nh m vào h th ng c a ị ệ ố ề ế ữ ộ ấ ằ ệ ố ủ

h ọ

Không ch s ỉ ố lượng tấn công được tăng lên nhanh chóng, mà các phướng pháp tấn công cũng liên tục được hoàn thiện Điều đó một ph n do các nhân viên ầquản tr h thị ệ ống được k t n i vế ố ới Internet ngày càng đề cao cảnh giác Cũng theo CERT, nh ng cu c t n công th i k 1988 -1989 ch yữ ộ ấ ờ ỳ ủ ếu đoán tên ngườ ửi s

d ng m t kh u (UserID password) ho c s d ng m t s l i cụ – ậ ẩ – ặ ử ụ ộ ố ỗ ủa các chương trình h ệ điều hành (security hole) làm vô hi u hóa h ệ ệthống b o v tuy nhiên các ả ệcuộ ấc t n công vào thời điểm gần đây bào gồm các thao tác như giả mạo địa ch ỉ

IP, theo dõi thông tin truy n qua m ng, chi m các phiên làm vi c t xa (telnet ề ạ ế ệ ừhoặc rlogin) M t s vộ ố ấn đề an toàn đố ới v i nhi u mạề ng hi n nay: ệ

 Nghe tr m (Eaves dropping): Thông tin không h b ộ ề ị thay đổi, nhưng

s bí m t c a nó thì không còn Ví d , mự ậ ủ ụ ột ai đó có thểbiết đượ ố c s thẻ tín d ng, hay các thông tin c n b o m t c a bụ ầ ả ậ ủ ạn

 Giả ạ m o (Tampering): Các thông tin trong khi truy n trên m ng b ề ạ ịthay đổi hay b ị thay đổi trước khi đến người nh n Ví d , mậ ụ ột ai đó

có th sể ửa đổ ội n i dung c a mủ ột đơn đặt hàng hoặc thay đổi lý l cị h

c a mủ ột cá nhân trước khi thông đó đi đến đích

18

 M o danh (Impersonation): M t cá nhân có th d a vào thông tin ạ ộ ể ự

của người khác để trao đổ ới v i một đối tượng Có hai hình th c mứ ạo danh sau:

 Bắt trước (Spoofing): m t cá nhân có th ộ ể giả ờ như một người v khác Ví dụ, dùng địa ch email c a mỉ ủ ột người khác ho c gi mặ ả ạo tên mi n c a m t trang Web ề ủ ộ

 Xuyên t c (Misrepresentation): m t cá nhân hay m t t ạ ộ ộ ổ chứ c có th ể

giả ờ như một đối tượng, hay đưa ra nhữ v ng thông tin v mình mà ềkhông đúng như vậy Ví d , có m t trang chuyên v thi t b n i th t ụ ộ ề ế ị ộ ấ

mà có s d ng th tín dử ụ ẻ ụng, nhưng thự ếc t là một trang chuyên đánh

c p th tín d ng ắ ẻ ụ

 Chố i cãi ngu n g c: M i cá nhân có th chồ ố ỗ ể ối là đã không gửi tài liệ u khi x y ra tranh ch p Ví d khi gả ấ ụ ửi email thông thường, người nhậ ẽ n s không th ểkhẳng định ngườ ử i g i là chính xác

Để ừa đả v m b o tính b o m t c a thông tin thì chúng ta c n có các gi i ả ả ậ ủ ầ ảpháp phù h p Hi n t i có r t nhi u gi i pháp cho vợ ệ ạ ấ ề ả ấn đề an toàn thông tin trên

m ng mạ ột trong nhưng giải pháp được s d ng r ng rãi trong b o mử ụ ộ ả ật thông tin giao d ch là s dị ử ụng mã hóa công khai

1.3. Tổng quan về mật mã, khóa công khai , chữ ký số

1.3.1 Tổng quan về mật mã[1]

1.3.1.1 Khái ni m ệ

Người ta g i m t mã h c là m t khoa h c nghiên c u ngh thu t nh m che ọ ậ ọ ộ ọ ứ ệ ậ ằgiấu thông tin, b ng cách mã hóa (encryption) t c là biến đổi ―thông tin gốc‖ ằ ứdạng tường minh (plaintext) thành ―thông tin mã hóa‖ dạng n tàng (cipher text) ẩ

19

b ng cách s d ng m t khóa mã (thuằ ử ụ ộ ật toán mã hóa) nào đó Chỉ có những người

giữ chìa khóa (key) bí m t m i có th ải mã (decryption) thông tin dạng ẩn ậ ớ ể gitàng tr l i thành d ng thông tin có dở ạ ạ ạng tường minh

Hình 1.1: Sơ đồ mã hóa và gi i mã ả

Thông tin ẩn tàng đôi khi vẫn b khám phá mà không c n bi t khóa bí mị ầ ế ật: việc đó gọi là b khóa Ngành h c nghiên c u vi c b khóa (attack/crack/hack) ẻ ọ ứ ệ ẻnày còn gọi là cryptannalysis Như đã nói ở ví d ụ trên, trong các phướng án t n ấcông thám mã ta g i t n công b o lọ ấ ạ ực – bruce force attack (exhausive key search): là phương án tấn công b ng cách th t t c nh ng kh ằ ử ấ ả ữ ả năng chìa khóa có thể có Đây là phương pháp tấn công thô sơ nhất và cũng khoa khăn nhất Theo

lý thuy t t t c các thu t toán hiế ấ ả ậ ện đại đều có th b ể ị đánh bạ ở ấi b i t n công bạo

lực nhưng trong thực ti n vi c này ch có th ễ ệ ỉ ể thực hiện được trong kho ng thả ời gian r t dài nên trong th c t là không kh thi Vì th có th coi m t thu t toán là ấ ự ế ả ế ể ộ ậ

an toàn nếu như không còn cách nào khác để ấ t n công nó ngoài s d ng bruce ử ụforce attack Để ch ng l i t n công này, chìa khóa bí mố ạ ấ ật được thay đổi m t cách ộthường xuyên hơn

20

Trong lý thuy t mế ật mã, người ta nghiên cứu đồng th i các thu t toán lờ ậ ập

mã và vấn đề thám mã được dùng để đánh giá mức độ an toàn và kh ả năng bảo

m t thông tin c a mậ ủ ỗi thu t toán mã hóa ậ

Quá trình mã hóa được s d ng ch yử ụ ủ ếu để đả m b o tính bí m t c a các ả ậ ủthông tin quan tr ng, ch ng h n trong công tác tình báo, quân s hay ngo i giao ọ ẳ ạ ự ạcũng như các bí mậ ềt v kinh tế, thương mại Trong những năm gần đây lĩnh vực hoạt động c a m t mã hủ ậ ọc đã được m r ng; m t mã hóa hiở ộ ậ ện đại cung cấp cơ chế nhi u hoề ạt động hơn là chỉ duy nh t vi c gi bí m t và có m t lo t các ng ấ ệ ữ ậ ộ ạ ứ

dụng như: chứng th c khóa công khai, mã hóa thự ẻ, mã hóa văn bản,ch ký sữ ố,

b u c ầ ử điện t hay tiử ền điện t Ngoài ra nhử ững người không có nhu c u thiầ ết

yếu đặc bi t v tính bí mệ ề ật cũng sử ụ d ng công ngh ệ mã hóa, thông thường được thi t k và t o l p sế ế ạ ậ ẵn trong các cơ sở ạ ầ h t ng c a công ngh tính toán và liên lủ ệ ạc viễn thông

M t mã h c là mậ ọ ột ngành có l ch s t ị ử ừ hàng nghìn năm nay Trong phầ ớn l n thời gian phát tri n c a mình (ngo i tr vài th p k lể ủ ạ ừ ậ ỷ trở ại đây), lịch s mử ật mã

h c chính là l ch s cọ ị ử ủa các phương pháp mật mã h c c ọ ổ điển – các phương pháp

mã hóa v i bút và giớ ấy, đôi khi có hỗ t trợ ừ những d ng c ụ ụ cơ khí đơn giản Vào

đầu th k 20, s xu t hi n cế ỷ ự ấ ệ ủa các cơ cấu cơ khí và điện cơ, chẳng hạn như máy Enigna, đã cung cấp những cơ chế ph c t p và hi u qu ứ ạ ệ ả hơn cho việc m t mã ậhóa S ự ra đời và phát tri n m nh mể ạ ẽ ủa ngành điệ ử c n t và máy tính trong th p ậniên gần đây đã tạo ra điều kiện để ậm t mã h c phát tri n nh y v t lên m t tọ ể ả ọ ộ ầm cao mới

21

1.3.1.2 Phân lo i các thuạ ật toán mã hóa

Ngày nay người ta phân ra hai nhóm thu t toán mã hóa chính là: Các thuậ ật toán mã hóa c ổ điển và các thu t toán hiậ ện đại

 M t mã h c c n ậ ọ ổ điể

Những b ng ch ng s m nh t v vi c s d ng m t mã h c là các ch tư ng ằ ứ ớ ấ ề ệ ử ụ ậ ọ ữ ợhình không tiêu chu n tìm th y trên các bẩ ấ ức tường Ai C p c i (kho ng 2000 ậ ổ đạ ảnăm trước công nguyên) Nh ng ký hi u này t ra không phữ ệ ỏ ải để ph c v m c ụ ụ ụđích truyền thông tin bí m t mà có v ậ ẻ như là nhằm mục đích gợi nên những điều thần bí, trí tò mò ho c thặ ậm trí để ạ t o s ự thích thú cho người xem Ngoài ra còn

r t nhi u ví d khác v ấ ề ụ ề những ng d ng c a m t mã h c ho c là nhứ ụ ủ ậ ọ ặ ững điều tương tự Muộn hơn, các học gi v ti ng Hebrew có s d ng mả ề ế ử ụ ột phương pháp

mã hóa thay th b ng ch ế ằ ữ cái đơn giản ch ng hẳ ạn như mật mã hóa Atbash (kho ng t ả ừ năm 500 đến năm 600), mà chìa khóa mã hóa và gi i mã là m t s ả ộ ựthay th trong b ng ch cái Gi s dùng chìa khóa mã hóa là b ng hoán v : ế ả ữ ả ử ả ị

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Z Y X W V U T S R Q P O N M L K J I H G F E D C B A

Vào khoảng năm 400 trước công nguyên, người Sparte s d ng m t dử ụ ộ ụng

c g i là g y mụ ọ ậ ật mã Các đối tác viết thư lên một hàng ngang c a m nh gi y dài ủ ả ấcuốn quanh một cây gậy có đường kính và độ dài quy ước v i nhau r i tháo ra và ớ ồđiền vào ô tr ng nh ng ký t b t kố ữ ự ấ ỳ Đối tác nhận thư phải có m t cây g y gi ng ộ ậ ố

hệt, cùng đường kính và độ dài, l i qu n m nh gi y vào g y và giạ ấ ả ấ ậ ải mã được

N u không hi u quy lu t và không có cây gế ể ậ ậy như thế thì không th ể nào đọc hiểu những ký t nự ối đuôi nhau một cách ―vô nghĩa‖ trên mảnh gi y v th i Trung ấ ề ờ

22

Cổ, hoàng đế La Mã n i ng Julius Caesar t o m t công c l p mã rổ tiế ạ ộ ụ ậ ất đơn giản cho thu t toán gậ ọi là ―mã vòng‖ tương tự như thuật toán Atbash của người Hebrew nhưng đây không phải là m t s thay th b t k mà là m t s thay th ộ ự ế ấ ỳ ộ ự ếtheo hoán v vòng quanh Thị ậm chí đã có những đề ập đế c n m t cu n sách nói ộ ố

v mề ật mã trong quân đội La Mã, tuy nhiên cuốn sách này đã thất truy n ề

hầu như bị thâu tóm bởi các cơ quan truyền thông m t c a chính ph , ch ng hậ ủ ủ ẳ ạn như NSA, và bi n m t kh i t m hi u bi t c a công chúng R t ít các công trình ế ấ ỏ ầ ể ế ủ ấ

được ti p t c công bế ụ ố, cho đến th i k gi a th p niên 1970, khi m i s ợc ờ ỳ ữ ậ ọ ự đưthay đổi

1.3.1.3 Tiêu chu n m t mã ẩ ậ

Thờ ỳi k gi a th p niên k ữ ậ ỷ 1970 được ch ng ki n hai ti n b chính l n ứ ế ế ộ ớ(công khai) Đầu tiên là s công b xu t Tiêu chu n m t mã hóa d li u (Data ự ố đề ấ ẩ ậ ữ ệEncryption Standard) trong "Công báo Liên bang" (Federal Register) ở nước M ỹ

23

vào ngày 17 tháng 3 năm 1975 Với đề ử ủ c c a C c Tiêu chu n Qu c gia ụ ẩ ố(National Bureau of Standards - NBS) (hi n là NIST), bệ ản đề xuấ DES được t công ty IBM (International Business Machines) đệ trình tr thành một trong ởnhững c g ng trong vi c xây d ng các công c ti n ích cho ố ắ ệ ự ụ ệ thương mại, như cho các nhà băng và cho các tổ ch c tài chính l n Sau nh ng ch ứ ớ ữ ỉ đạo và thay đổi

của NSA, vào năm 1977, nó đã được ch p thuấ ận và được phát hành dưới cái tên

B n Công b v Tiêu chu n X lý Thông tin c a Liên bang (Federal Information ả ố ề ẩ ử ủProcessing Standard Publication - FIPS) (phiên b n hi n nay là FIPS 46-3) DES ả ệ

là phương thức mật mã công khai đầu tiên được một cơ quan quốc gia như NSA

"tôn sùng" S phát hành bự ản đặ ả ủc t c a nó bởi NBS đã khuyến khích s quan ựtâm chú ý của công chúng cũng như của các t ch c nghiên c u v mậổ ứ ứ ề t mã h c ọNăm 2001, DES đã chính thức được thay th b i ế ở AES (viết t t ắ

c a Advanced Encryption Standard - Tiêu chu n mã hóa tiên ti n) khi NIST ủ ẩ ếcông b phiên b n FIPS 197 Sau m t cu c thi t ố ả ộ ộ ổ chức công khai, NIST đã chọn Rijndael, do hai nhà m t mã ngư i B trình, và nó tr thành AES Hi n ậ ờ ỉ đệ ở ệnay DES và mộ ố ết s bi n th cể ủa nó (như Tam ph n DES (Triple DES); xin xem ầthêm trong phiên b n FIPS 46-3), vả ẫn còn được s dử ụng, do trước đây nó đã được g n li n v i nhi u tiêu chu n c a qu c gia và c a các t ch c V i chi u ắ ề ớ ề ẩ ủ ố ủ ổ ứ ớ ềdài khoá ch là 56-ỉ bit, nó đã được chứng minh là không đủ ứ s c ch ng lố ại

nh ngữ t n công ki u vét c n (brute force attack - t n công dùng b o l c) Mấ ể ạ ấ ạ ự ột trong nh ng cu c t n công kiữ ộ ấ ểu này được thực hi n b i nhóm "nhân quyệ ở ền cyber" (cyber civil-rights group) tên là T ổ chức ti n tuyề ến điện t (Electronic ửFrontier Foundation) vào năm 1997, và đã phá mã thành công trong 56 tiếng

đồng hồ—câu chuyện này được nhắc đến trong cu n acking DES (Phá vố Cr ỡDES), được xu t b n b i "O'Reilly and Associates" Do k t qu này mà hi n nay ấ ả ở ế ả ệ

24

việ ử ụng phương pháp mậc s d t mã hóa DES nguyên d ng, có th ạ ể được khẳng

định m t cách không nghi ng , là m t vi c làm m o hi m, không an toàn, và ộ ờ ộ ệ ạ ể

những thông điệ ởp dư i s b o v c a nh ng h thớ ự ả ệ ủ ữ ệ ống mã hóa trước đây dùng DES, cũng như tấ ả các thông điệp đượt c c truy n g i t ề ử ừ năm1976 trở đi sử ụ d ng DES, đề ởu trong tình tr ng rạ ất đáng lo ngại B t ch p chấ ấ ất lượng v n có c a nó, ố ủ

m t s s ộ ố ự kiện xảy ra trong năm 1976, đặc bi t là s ệ ự kiện công khai nhất

c a Whitfield Diffie, ch ra r ng chi u dài khóa mà DES s d ng (56-bit) là mủ ỉ ằ ề ử ụ ột khóa quá nhỏ Đã có mộ ốt s nghi ng ờ xuất hi n nói r ng m t s các t ệ ằ ộ ố ổ chứ ủa c cchính ph , ngay t i thủ ạ ời điểm h i b y giồ ấ ờ, cũng đã có đủ công suất máy tính đểphá mã các thông điệp dùng DES; rõ ràng là những cơ quan khác cũng đã có khảnăng để ự th c hi n vi c này r ệ ệ ồi

Mật mã hóa được s dử ụng để đả m b o an toàn cho thông tin liên l c Các ả ạthuộc tính được yêu c u là: ầ

 Tính bí m t: Ch ậ ỉ có người nhận đã xác thực có th lể ấy ra được nội dung c a thông tin chủ ứa đựng trong dạng đã mật mã hóa c a nó ủNói khác đi, nó không th ể cho phép thu lượm được b t k thông tin ấ ỳđáng kể nào v nề ội dung thông điệp

 Nguyên vẹn: người nh n có kh ậ ả năng xác định được thông tin có b ịthay đổi trong quá trình truy n hay không ề

 Tính xác thực: Người nh n c n có kh ậ ầ ả năng xác định người ử g i và kiểm tra xem ngườ ử i g i có th c s gự ự ửi tin đi hay không

 Không b t ị ừ chối: Ngườ ử i g i không b (không th ) t ị ể ừ chố i việc đã

gửi thông tin đi

 Chố ng l p l i: Không cho phép bên th ba copy lặ ạ ứ ại văn bản và gửi nhi u lề ần đến người nhận mà ngườ ửi g i không h hay biề ết

25

M t mã h c có th cung cậ ọ ể ấp cơ chế để giúp đỡ thực hiện điều này Tuy nhiên m t s m c tiêu không bao gi ộ ố ụ ờ cũng là cần thiết, trng nghĩa cảnh c a thủ ực

t hay mong mu n Ví dế ố ụ, người g i thông tin có th mong mu n gi mình là ử ể ố ữ

nặc danh; trong trường h p này s không t ợ ự ừ chối th c hi n rõ ràng là không ự ệthích hợp

1.3.2 Khóa công khai[1]

Tiến tri n th ể ứ hai, vào năm 1976, có l ẽ còn đột phá hơn nữa, vì ti n tri n ế ểnày đã thay đổi n n tề ảng cơ bản trong cách làm vi c c a các h ệ ủ ệ thống m t mã ậhóa Đó chính là công bố ủ c a bài vi t ế phương hướng m i trong m t mã ớ ậ

h c (New Directions in Cryptography) c a Whitfield Diffie Martin Hellmanọ ủ và Bài vi t gi i thi u mế ớ ệ ột phương pháp hoàn toàn mới v cách th c phân phề ứ ối các khóa mật mã Đây là một bước ti n khá xa trong vi c gi i quy t m t vế ệ ả ế ộ ấn đề

cơ bản trong m t mã h c, vậ ọ ấn đề phân phối khóa, và nó được g i là ọ trao đổi khóa Diffie-Hellman (Diffie-Hellman key exchange) Bài vi t còn kích thích s phát ế ựtri n gể ần như tức th i c a m t l p các thu t toán m t mã hóa m i, các ờ ủ ộ ớ ậ ậ ớ thuật toán chìa khóa bất đối xứng (asymmetric key algorithms)

Trước th i k này, h u h t các thu t toán m t mã hóa hiờ ỳ ầ ế ậ ậ ện đại đều là

nh ngữ thuật toán khóa đối xứng (symmetric key algorithms), trong đó cả người

gửi và người nh n ph i dùng chung m t khóa, t c khóa dùng trong thu t toán ậ ả ộ ứ ậ

m t mã, và c ậ ả hai người đều ph i gi bí m t v khóa này T t c ả ữ ậ ề ấ ả các máy điện cơ dùng trong thế chi n II, k c mã Caesar và mã Atbash, và v b n ch t mà nói, ế ể ả ề ả ấ

k c h u h t các h ể ả ầ ế ệ thống mã được dùng trong su t quá trình l ch s nố ị ử ữa đều thu c v ộ ề loại này Đương nhiên, khóa của m t mã chính là sách mã (codebook), ộ

và là cái cũng phải được phân ph i và gi gìn m t cách bí mố ữ ộ ật tương tự

26

Do nhu c u an ninh, khóa cho m i m t h ầ ỗ ộ ệ thống như vậy nh t thi t phấ ế ải được trao đổi gi a các bên giao thông liên l c b ng mữ ạ ằ ột phương thức an toàn nào đấy, trước khi h s d ng h th ng (thu t ng ọ ử ụ ệ ố ậ ữ thường được dùng là 'thông qua

m t kênh an toàn'), ví d ộ ụ như bằng vi c s d ng mệ ử ụ ột người đưa thư đáng tin cậy

v i m t c p tài liớ ộ ặ ệu được khóa vào c tay b ng m t c p khóa tay, ho c bổ ằ ộ ặ ặ ằng cuộc g p g mặ ỡ ặt đối m t, hay b ng m t con chim b ặ ằ ộ ồ câu đưa thư trung thành

Vấn đề này chưa bao giờ được xem là d ễ thực hi n, và nó nhanh chóng tr nên ệ ở

m t vi c gộ ệ ần như không thể quản lý được khi s ố lượng người tham gia tăng lên, hay khi người ta không còn các kênh an toàn để trao đổi khóa n a, ho c lúc h ữ ặ ọphải liên tục thay đổi các chìa khóa - m t thói quen nên th c hi n trong khi làm ộ ự ệviệ ớc v i m t mã C th là m i m t c p truyềậ ụ ể ỗ ộ ặ n thông c n ph i có m t khóa riêng ầ ả ộ

nếu, theo như thiế ế ủt k c a h ệ thống m t mã, không mậ ột người th ba nào, k c ứ ể ảkhi ngườ ấi y là một người dùng, được phép giải mã các thông đ ệi p M t h ộ ệthống thu c loộ ại này được g i là m t h th ng dùng chìa khóa m t, ho c m t h ọ ộ ệ ố ậ ặ ộ ệthống m t mã hóa dùng khóa i x ng H ậ đố ứ ệ thống trao đổi khóa Diffie-Hellman (cùng nh ng phiên bữ ản được nâng c p k p hay các bi n th c a nó) tấ ế tiế ế ể ủ ạo điều kiện cho các hoạt động này trong các h th ng tr nên d ệ ố ở ễ dàng hơn rất nhi u, ề

đồng thời cũng an toàn hơn, hơn tấ ảt c nh ng gì có th ữ ể làm trước đây

Ngượ ại, đốc l i v i m t mã hóa dùng khóa bớ ậ ất đối x ngứ , người ta ph i có ả

m t c p khóa có quan h toán h c dùng trong thu t toán, mộ ặ ệ ọ để ậ ột dùng để mã hóa

và một dùng đểgiải mã M t s ộ ốnhững thu t toán này, song không ph i t t c , có ậ ả ấ ảthêm đặc tính là m t trong các khóa có th đư c công b công khai trong khi cái ộ ể ợ ốkia không th nào (ít nh t b ng nhể ấ ằ ững phương pháp hiện có) được suy ra t khóa ừ'công khai' Trong các h ệ thống này, khóa còn l i phạ ải được gi bí m t và nó ữ ậthường được g i b ng mọ ằ ột cái tên, hơi có vẻ ộ l n x n, là khóa 'cá nhân' (private ộ

27

key) hay khóa bí m t M t thu t toán thu c loậ ộ ậ ộ ại này được g i là m t h ọ ộ ệ thống 'khóa công khai' hay h ệ thống khóa bất đố ứng Đố ới x i v i nh ng h ữ ệ thống dùng các thu t toán này, mậ ỗi người nh n ch c n có m t c p chìa khóa mà thôi (bậ ỉ ầ ộ ặ ất chấ ố ngườ ửi là bao nhiêu đi chăng nữp s i g a) Trong 2 khóa, một khóa luôn được giữ bí m t và mậ ột được công b công khai nên không c n ph i dùnố ầ ả g đến m t ộkênh an toàn để trao đổi khóa Ch cỉ ần đảm b o khóa bí mậả t không b l thì an ị ộninh c a h ủ ệ thống vẫn được đảm b o và có th s d ng c p khóa trong m t thả ể ử ụ ặ ộ ời gian dài Đặc tính đáng ngạc nhiên này c a các thu t toán t o kh ủ ậ ạ ả năng, cũng như tính khả thi, cho phép vi c tri n khai các h th ng m t mã có chệ ể ệ ố ậ ất lượng cao

m t cách rộ ộng rãi, và ai cũng có thể ử ụng chúng đượ s d c

Các thu t toán m t mã khóa bậ ậ ất đố ứi x ng d a trên m t l p các bài toán gự ộ ớ ọi

là hàm m t chi u (one-ộ ề way functions) Các hàm này có đặc tính là r t d dàng ấ ễthực hi n theo chiệ ều xuôi nhưng lạ ấi r t khó (v khề ối lượng tính toán) để th c ựhiện theo chiều ngượ ạc l i M t ví d ộ ụ kinh điển cho l p bài toán này là hàm nhân ớhai s nguyên t r t l n Ta có th tính tích s c a 2 s nguyên t này m t cách ố ố ấ ớ ể ố ủ ố ố ộkhá d ễ dàng nhưng nếu ch cho bi t tích s thì rỉ ế ố ất khó để tìm ra 2 th a s ừ ố ban

đầu Do những đặc tính c a hàm m t chi u, h u h t các khóa có th l i là ủ ộ ề ầ ế ể ạ

nh ngữ khóa y u và ch còn l i m t ph n nh có th ế ỉ ạ ộ ầ ỏ ể dùng để làm khóa Vì thế, các thu t toán khóa bậ ất đố ứng đòi hỏi đội x dài khóa lớn hơn rất nhi u so v i các ề ớthuật toán khóa đối xứng để đạt được độ an toàn tương đương Ngoài ra, việc thực hi n thu t toán khóa bệ ậ ất đối xứng đòi hỏi khối lượng tính toán lớn hơn nhi u l n so v i thuề ầ ớ ật toán khóa đối x ng Bên cứ ạnh đó, đối v i các h ớ ệ thống khóa đối x ng, vi c t o ra m t khóa ngứ ệ ạ ộ ẫu nhiên để làm khóa phiên ch dùng ỉtrong m t phiên giao d ch là khá d dàng Vì th , trong thộ ị ễ ế ực ế người ta thường t dùng k t h p: h ế ợ ệ thống m t mã khóa bậ ất đối xứng được dùng để trao đổi khóa

một cách độ ậ ạc l p t i một cơ quan tình báo của Anh, trước thời điểm công b cố ủa Diffie and Hellman vào năm 1976 ở S ch huy giao thông liên l c c a chính ỉ ạ ủphủ (Government Communications Headquarters - GCHQ) - Cơ quan tình báo Anh Quốc - có xu t b n m t s tài li u qu quy t r ng chính h ấ ả ộ ố ệ ả ế ằ ọ đã xây dựng mật

mã học dùng khóa công khai, trước khi bài vi t cế ủa Diffie và Hellman được công

b Nhi u tài li u m t do GCHQ vi t trong quá trình nhố ề ệ ậ ế ững năm 1960 1970và ,

là nh ng bài cuữ ối cùng cũng dẫn đến m t s k ộ ố ế hoạch đạ ộ phận tương tự như i b phương pháp mật mã hóa RSAvà phương pháp trao đổi chìa khóa Diffie-Hellman vào năm1973 và 1974 M t s tài li u này hiộ ố ệ ện được phát hành, và những nhà sáng ch (James H Ellis, Clifford Cocks, và Malcolm Williamson) ếcũng đã cho công bố (mộ ốt s ) công trình c a h ủ ọ

đầu) và ki m tra vể ới hàm băm của văn bản nhận được N u 2 giá tr (chu i) này ế ị ỗkhớp nhau thì bên nh n có th tin tư ng rậ ể ở ằng văn bản xuất phát thì người gi ữkhóa bí m t T t nhiên là chúng ta không th m bậ ấ ể đả ảo 100% là văn bản không b ịgiả mạo vì h th ng v n có th b phá v ệ ố ẫ ể ị ỡ

 Tính toàn v n ẹ

C ả hai bên tham giá vào quá trình thông tin đều có th ể tin tưởng là văn bản không b sị ửa đổi trong khi truyền vì nếu văn bản b ị thay đổi thì hàm băm cũng sẽthay đổi và l p t c b phát hi n Quá trình mã hóa s n n i dung cậ ứ ị ệ ẽ ẩ ộ ủa gói tin đối

v i bên th ớ ứ 3 nhưng không ngăn cản được việc thay đổ ội n i dung c a nó M t ví ủ ộ

d ụ cho trường hợp này là tấn công đồng hình: M t k lộ ẻ ừa đảo gửi 1.000.000đ vào tài kho n c a a, ch n gói tin (a,b) mà chi nhánh g i v trung tâm r i g i gói ả ủ ặ ử ề ồ ửtin (a,b3) thay th l p t c tr thành triể để ậ ứ ở ệu phú Nhưng đó là vấn đề ả b o m t cậ ủa ngân hàng không liên quan đến tính toàn v n cẹ ủa thông tin người g i t i ngân ử ớhàng, bới thông tin đã được băm và mã hóa để ửi đến đúng đích củ g a nó

30

 Tính không ph ủ nhận

Trong giao d ch, m t bên có th t ị ộ ể ừ chối nh n mậ ột văn bản nào đó là do mình gửi Để ngăn ngừa kh ả năng này, bên nhận có th yêu c u bên g i phể ầ ử ải kèm ch ký s vữ ố ới văn bản Khi có tranh ch p, bên nh n s dùng ch ấ ậ ẽ ữ ký này như

m t ch ng c bên th ba gi i quyộ ứ ứ để ứ ả ết Tuy nhiên khóa bí m t v n có th b l và ậ ẫ ể ị ộtính không th ểphủ nhận cũng không thể đạt được hoàn toàn

1.3.3.3. Thực hi n ch ký s khóa công khai ệ ữ ố

Chữ ký s khóa công khai d a trên n n t ng m t mã hóa khóa công khai, ố ự ề ả ậ

mỗi ngườ ử ụi s d ng m t c p khóa: m t công khai và m t bí m t Khóa công khai ộ ặ ộ ộ ậđược công b r ng rãi còn khóa bí m t phố ộ ậ ải được gi kín và không th ữ ể tìm được khóa bí m t nậ ếu ch ỉbiết khóa công khai

Toàn b quá trình g m ba thu t toán: ộ ồ ậ

 Thu t toán t o khóa ậ ạ

 Thu t toán t o ch ký s ậ ạ ữ ố

 Thu t toán ki m tra ch ký s ậ ể ữ ố

31

Hình 1.2: Sơ đồ ạ t o và ki m tra ch ký sể ữ ố[7]

Xét ví d sau: ụ

Bob mu n g i thông tin cho Alice và mu n Alice biố ử ố ết thông tin đó thực s ự

do chính Bob g i Bob g i cho Alice b n tin kèm v i ch ký s Ch ký này ử ử ả ớ ữ ố ữđượ ạc t o ra v i khóa bí m t c a Bob Khi nhớ ậ ủ ận được b n tin, Alice ki m tra s ả ể ựthống nh t gi a b n tin và ch ký b ng thu t toán ki m tra s d ng khóa công ấ ữ ả ữ ằ ậ ể ử ụ

c ng c a Bob B n ch t c a thu t toán t o ch ộ ủ ả ấ ủ ậ ạ ữ ký đảm b o n u ch ả ế ỉ cho trước bản tin, r t khó (gấ ần như không thể ạo ra đượ) t c ch ký c a Bob n u không bi t khóa ữ ủ ế ế

bí m t c a Bob N u phép th cho k t qu ậ ủ ế ử ế ả đúng thì Alice có thể tin tưởng rằng

b n tin th c s do Bob g ả ự ự ửi

32

Thông thường, Bob không m t mã hóa toàn b b n tin v i khóa bí m t mà ậ ộ ả ớ ậchỉ ự th c hi n v i giá tr ệ ớ ị băm của bản tin đó Điều này khi n vi c ký tr ế ệ ở nên đơn giản hơn và chữ ký ngắn hơn Tuy nhiên nó cũng làm nảy sinh vấn đề khi hai

b n tin khác nhau l i cho ra cùng m t giá tr ả ạ ộ ị băm Đây là điều có th x y ra mể ả ặc

dù xác su t r t thấ ấ ấp

33

CHƯƠNG 2: MÃ HÓA CÔNG KHAI VÀ QUY TRÌNH ỨNG DỤNG CÁC THUẬT TOÁN MÃ HÓA CÔNG KHAI TRONG GIAO DỊCH ĐIỆN TỬ

2.1 Mã hóa công khai và các thuật toán trong mã hóa công khai

2.1.1 Mã hóa công khai[1]

Mã hóa công khai là m t dộ ạng mã hóa cho phép ngườ ử ụng trao đổi s d i các thông tin m t mà không c n phậ ầ ải trao đổi các khóa bí mật trước đó Điều này được th c hi n b ng cách s d ng m t c p khóa có quan h toán h c v i nhau là ự ệ ằ ử ụ ộ ặ ệ ọ ớkhóa công khai (Public key) và khóa riêng (Private key) hay khóa bí m t (sccret ậkey)

2.1.1.1 Khái ni m chung ệ

Thu t ng mã hóa bậ ữ ất đố ứng thường được dùng đồng nghĩa với x i mã hóa công khai m c dù hai khái niặ ệm không hoàn toàn tương đương Có những thuật toán mã bất đố ứi x ng không có tính ch t công khai và bí mấ ật như đề ậ c p ở trên

mà c hai khóa (cho vi c mã hóa và giả ệ ải mã) đều c n ph i gi bí m ầ ả ữ ật

Trong mã hóa công khai, khóa riêng c n phầ ải được gi bí m t trong khi ữ ậkhóa công khai được ph bi n công khai Trong 2 khóa, mổ ế ột dùng để mã hóa và khóa còn lại dùng để ả gi i mã

Điều quan trọng đố ớ ệ ối v i h th ng là không th (ho c r t khó) tìm ra khóa bí ể ặ ấ

m t n u ch ậ ế ỉbiết khóa công khai

H ệthống mật mã khóa công khai có th s d ng v i các mể ử ụ ớ ục đích:

 Mã hóa: Gi bí m t thông tin và ch ữ ậ ỉ có người có khóa bí m t mậ ới giải mã được

34

 T o ch ký s : Cho phép ki m tra m t s ạ ữ ố ể ộ ố văn bản xem nó có phải

đượ ạc t o v i mộớ t khóa bí mật nào đó hay không

 Thỏ a thu n khóa: Cho phép thi t lậ ế ập khóa để trao đổi thông tin m t ậ

giữa hai bên

Thông thường, các k thu t mỹ ậ ật mã hóa khóa công khai đòi hỏi khối lượng tính toán nhiều hơn các kỹ thuật mã hóa đố ứng nhưng do những ưu điểi x m nổi bật nên chúng đượ ử ục s d ng nhi u ề

Thu t toán mã hóa bậ ất đối x ng s d ng hai khóa: khóa công khai (hay ứ ử ụkhóa công c ng) và khóa bí m t (hay khóa riêng) M i khóa là nh ng s c ộ ậ ỗ ữ ố ố định

s d ng trong quá trính mã hóa và giử ụ ải mã Khóa công khai được công b rố ộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa và khóa công khai ch có th ỉ ể được gi i mã b ng khóa bí mả ằ ật tương ứng Nói cách khác, mọi người biết khóa công khai đều có th ể mã hóa nhưng chỉ có người biết khóa riêng (bí m t) m i có th ậ ớ ểgiải mã được

Ta có th mô ph ng tr c quan m t h ể ỏ ự ộ ệ thống mã hóa khóa công khai như sau: Bình mu n g i cho An m t thông tin m t mà Bình mu n ch cho duy nhố ử ộ ậ ố ỉ ất

An có th ể đọc được Để làm được điều này, An g i cho Bình m t chi c h p kín ử ộ ế ộ

có ổ khóa đã mở ẵ s n và gi l i chìa khóa Bình nh n chi c hữ ạ ậ ế ộp, cho vào đó một

lá thư viết bình thường và b m khóa l i (loấ ạ ại khóa thông thường ch b m là ỉ ấkhóa, sau khi s p ch t là khóa l i ngay c ậ ố ạ ả Bình cũng không mở được, không đọc

l i hay sạ ửa thông tin trong thư được nữa) Sau đó bình gửi chi c h p cho An qua ế ộđường bưu điện thông thường ho c nh ặ ờ người nào đó mang hộ Nhân viên bưu điện hay người đưa hộ dù muốn cũng không thể ở ộp xem thư Chỉ m h khi chiếc

hộp đến tay An, An có chìa khóa riêng m i m ớ ở được hộp và đọc được thông tin

35

trong thư Trong ví dụ này, chi c h p vế ộ ới ổ khóa m An gở ửi cho Bình đóng vai trò khóa công khai, chi c chìa khóa riêng c a An chính là khóa bí m ế ủ ật

2.1.1.2. Sơ đồ ạ t o và chuy n giao khóa công khai ể

Các h ệ thống mã hóa khóa công khai thông thường được th c hi n v i 3 ự ệ ớbước cơ bản Bước th nhứ ất là công đoạn sinh khóa, m t c p khóa public key và ộ ặprivate key có quan h v m t toán hệ ề ặ ọc đượ ạc t o ra d a vào các bào toán c a lự ử ật

1 chiều Bước hai là bước mã hóa s d ng khóa công khai (public key), khóa ử ụnày có th ể được chuyển giao trên môi trường m Quá trình giở ải mã là bước cu i ốcùng s d ng khóa riêng bí m t (private key) ử ụ ậ

 Dùng khóa công khai để mã hóa, dùng khóa bí mật đểgiải mã

 B nhận được khóa công khai E B có thông điệp g c P, dùng E mã ốhóa E(P) = C, C là thông điệp mã hóa g i cho A ử

 A nhận được C, dùng D giải mã D(C) = P: đượ ại thông điệc l p g c ố

36

Hình 2.1: Chuy n giao khóa công khai ể

Chỉ riêng có A (có D) m i gi i mã ớ ả được

Ai có E đều mã hóa được

D dùng để ải E, Nhưng nế gi u ch bi t E thì hỉ ế ầu như chắc ch n là không th ắ ểtìm được D

2.1.1.3 H tạ ầng cơ sở khóa công khai[1]

Trong mật mã h c, h tọ ạ ầng cơ sở khóa công khai PKI (Public Key Infrastructure) là một cơ chếhoạt động để cho bên th ứ 3 (thường là cơ quan cấp chứng th c s ) cung c p và xác thự ố ấ ực định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cũng cho phép gán cho mỗi ngườ ử ụi s d ng trong

h ệ thống m t c p khóa công khai/khóa bí mộ ặ ật Các quá trình này thường được thực hi n b i m t ph n mệ ở ộ ầ ềm ph i h p khác tố ợ ại các địa điểm của người dùng