Chữ ký số trong giao dịch thương mại điện tử

Thương mại điện tử bắt đầu bằng việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, các doanh nghiệp tiến tới ứng dụng công nghệ thông tin vào mọi hoạt

MỤC LỤC

MỤC LỤC i

LỜI CAM KẾT iv

LỜI CẢM ƠN v

DANH MỤC CÁC TỪ VIẾT TẮT vi

DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU vii

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 3

1.1 Khái niệm về thương mại điện tử 3

1.1.1 Thương mại truyền thống 3

1.1.2 Thương mại điện tử 3

1.1.3 Nhu cầu về công nghệ thông tin trong thương mại điện tử 9

1.2 Các đặc trưng của thương mại điện tử 10

1.3 Lợi ích của thương mại điện tử 11

1.3.1.Thu thập được nhiều thông tin 11

1.3.2 Giảm chi phí sản xuất 12

1.3.3 Giảm chi phí bán hàng và tiếp thị và giao dịch 12

1.3.4 Xây dựng quan hệ đối tác 12

1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức 13

1.4 Giao dịch trong thương mại điện tử và những nguy cơ mất an toàn thông tin 14

1.5 Kết luận 15

CHƯƠNG 2: AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 17

2.1 Tổng quan về an toàn và bảo mật thông tin 17

2.1.1 An toàn và bảo mật thông tin 17

2.1.2 Mục tiêu của an toàn bảo mật thông tin 19

2.1.3 An toàn thông tin bằng mật mã 19

2.1.4 Nhu cầu về an toàn và bảo mật thông tin trong thương mại điện tử 26

2.2 Chữ ký số 28

2.2.1 Chữ ký số và chữ ký viết tay 28

2.2.2 Khái niệm chữ ký số 30

2.2.3 Đặc điểm của chữ ký số 31

2.2.4 Vai trò của chữ ký số 32

2.2.5 Lược đồ chữ ký số 33

2.2.6 Phân loại chữ ký số 35

2.3 Một số sơ đồ chữ ký số 36

2.3.1 Sơ đồ chữ ký số RSA 36

2.3.2 Sơ đồ chữ ký Elgama 40

2.3.3 Sơ đồ chữ ký DSA 45

2.4 Hàm băm 49

2.4.1 Sơ lược về hàm băm 49

2.4.2 Lý do sử dụng hàm băm trong chữ ký số 50

2.4.3 Hàm băm SHA-1 51

2.5 Hạ tầng khóa công khai PKI 53

2.5.1 Khái niệm 53

2.5.2 Cấu trúc và vai trò của PKI trong chương trình 54

2.5.3 Chứng chỉ số 55

2.6 Kết luận 58

CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 59

3.1 Đặt vấn đề 59

3.2 Ứng dụng chữ ký số nhằm đảm bảo thông tin trong quá trình giao dịch

giữa các bên 59

3.2.1 Những khía cạnh cần thiết về an toàn thông tin 59

3.2.2 Mô tả giao dịch thử nghiệm 60

3.3 Cài đặt thử nghiệm 61

3.3.1 Yêu cầu phần cứng và phần mềm 61

3.3.2 Mô tả các mô đun và giao diện chính của chương trình Demo 61

3.4 Kết luận 65

KẾT LUẬN 66

Kết quả của luận văn 66

Hướng nghiên cứu tiếp theo 66

TÀI LIỆU THAM KHẢO 67

LỜI CẢM ƠN

Để hoàn thành chương trình cao học và viết luận văn này, em đã nhận được sự giúp đỡ và đóng góp nhiệt tình của các thầy cô trường Đại học Công nghệ thông tin

và Truyền thông, Đại học Thái Nguyên

Trước hết, em xin chân thành cảm ơn các thầy cô trong khoa Đào tạo sau đại học, đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong suốt những năm học qua

Đặc biệt em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đỗ Trung Tuấn - người

đã dành nhiều thời gian, công sức và tận tình hướng dẫn cho em trong suốt quá trình làm luận văn

Xin chân thành cảm ơn gia đình, bạn bè đã nhiệt tình ủng hộ, giúp đỡ, động viên cả về vật chất lẫn tinh thần trong thời gian học tập và nghiên cứu

Trong quá trình thực hiện luận văn, mặc dù đã rất cố gắng nhưng cũng không tránh khỏi những thiếu sót Kính mong nhận được sự cảm thông và tận tình chỉ bảo của các thầy cô và các bạn

RSA Tên thuật toán khóa công khai, theo tên của ba

người sáng lập Ron Rivest, Adi Shamir và Leonard Adleman

Digital Signature Scheme Lược đồ ký số

SHA

DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU

Bảng 1.1: So sánh các bước trong chu trình mua bán giữa TM truyền thống và

TMĐT 6

Hình 1.1 Mô hình giao dịch B2B 7

Hình 1.2 Mô hình giao dịch B2C 8

Hình 2.1 Sơ đồ mã hóa và giải mã 22

Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng 23

Hình 2.3 Sơ đồ hoạt động của mã hóa bất đối xứng 25

Bảng 2.1 So sánh chữ ký viết tay và chữ ký số 30

Hình 2.4 Quy trình tạo chữ ký số 34

Hình 2.5 Quy trình xác thực chữ ký số 35

Hình 2.6 Quá trình sinh chữ ký số 38

Hình 2.7 Quá trình xác nhận chữ ký số 39

Hình 2.8 Sơ đồ ElGalma 41

Hình 2.9 Sơ đồ chữ ký DSA 46

Hình 2.10 Thí dụ về hàm băm 49

Hình 2.11 Chức năng các thành phần trong hệ thống PKI 54

Hình 3.1 Vai trò của xác thực người dùng 60

Hình 3.2 Mô đun tạo cặp khóa RSA cho người dùng 62

Hình 3.3 Mô đun tạo chữ ký số 63

Hình 3.4 Mô đun kiểm tra chữ ký số 64

MỞ ĐẦU

Với sự phát triển nhanh chóng của Internet, cùng với sự phát triển của nền kinh tế theo hướng hiện đại thì việc trao đổi thông tin, giao dịch hay mua bán hàng hóa…theo phương thức trực tiếp ngày càng giảm mà thay vào đó là các dịch vụ qua Internet Dịch vụ thương mại điện tử (TMĐT) (Electronic-Commerce) là một bước phát triển nhảy vọt trong việc ứng dụng Internet vào cuộc sống và kinh doanh Thông qua TMĐT, nhiều loại hình kinh doanh mới được hình thành, trong đó có việc mua bán hàng hóa và dịch vụ trên mạng Với hình thức này sẽ tiết kiệm thời gian cho người tiêu dùng trong việc tiếp cận, lựa chọn hàng hóa theo nhu cầu, sở thích và trong việc thanh toán Đồng thời tăng tính cạnh tranh, mở rộng thị trường, giảm chi phí bán hàng và tiếp thị cho các doanh nghiệp kinh doanh

Thương mại điện tử [14], hay còn gọi là e-commerce, e-comm hay EC, là sự mua bán sản phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng máy tính Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử (EDI), các hệ thống quản lý hàng tồn kho, và các hệ thống tự động thu thập dữ liệu Thương mại điện tử hiện đại thường được thực hiện trên công nghệ World Wide Web, kèm theo các thiết bị công nghệ như: Email, điện thoại di động…

Thương mại điện tử là một phần không thể thiếu được trong môi trường kinh doanh điện tử (e-business), đảm bảo cho vấn đề trao đổi dữ liệu, thanh toán dịch vụ trên mạng Internet

E-commerce có thể được phân chia thành [14]:

E-tailing (bán lẻ trực tuyến) hoặc "cửa hàng ảo" trên trang web với các danh mục trực tuyến, đôi khi được gom thành các "trung tâm mua sắm ảo"

Trao đổi dữ liệu điện tử (EDI), trao đổi dữ liệu giữa Doanh nghiệp với Doanh nghiệp

Email và fax, cách sử dụng chúng như là phương tiện cho việc tiếp cận và thiếp lập mối quan hệ với khách hàng (ví dụ như bản tin - newsletters)

Việc mua và bán giữa Doanh nghiệp với Doanh nghiệp

Bảo mật các giao dịch kinh doanh

Tóm lại, thương mại điện tử chỉ xảy ra trong môi trường kinh doanh mạng Internet và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các công cụ, kỹ thuật và công nghệ điện tử

Nhưng đồng nghĩa với việc bên mua và bên bán không gặp nhau trực tiếp mà chỉ trao đổi thông tin, giao dịch qua Internet và các phương tiện điện tử nên rất dễ xảy

ra tình trạng lừa đảo, giả mạo thông tin, gây mất mát thông tin và tài sản Vì vậy, điều quan trọng trong thương mại điện tử là tính ràng buộc pháp lý nhằm bảo đảm thông tin giữa các bên trong hoạt động kinh doanh, mua bán hàng hóa, dịch vụ Chữ ký số

là một thành tố rất quan trọng trong TMĐT, nhằm đảm bảo độ an toàn thông tin, tính toàn vẹn dữ liệu và chống chối bỏ trách nhiệm trên nội dung đã ký giữa các đối tác thực hiện hoạt động kinh doanh, nghiệp vụ, dịch vụ,… với các ràng buộc pháp lý Thấy được lợi ích khi sử dụng chữ ký số trên các tài liệu khi giao dịch giữa các đối tác trong thương mại điện tử và được sự đồng ý của giáo viên hướng dẫn, tôi đã chọn

đề tài “Chữ ký số trong giao dịch thương mại điện tử” làm nội dung nghiên cứu cho luận văn của mình

Luận văn gồm 3 chương:

Chương 1: Tổng quan về thương mại điện tử

Chương 2: An toàn thông tin và chữ ký số trong giao dịch thương mại điện tử Chương 3: Cài đặt và thử nghiệm chữ ký số trong giao dịch TMĐT

Cuối luận văn là phần kết luận và danh sách các tài liệu tham khảo

CHƯƠNG 1

TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm về thương mại điện tử

1.1.1 Thương mại truyền thống

Thương mại truyền thống (TMTT) là sự trao đổi hàng hóa/dịch vụ của ít nhất hai phía tham gia Bao gồm tất cả các hoạt động của các bên tham gia để hoàn thành các giao dịch mua bán Hệ thống trao đổi hàng hóa/dịch vụ dựa trên nguyên tắc tiền

tệ Là một kênh phân phối hàng hóa từ nhà sản xuất đến người tiêu dùng thông qua các trung gian như nhà phân phối, đại lý và các điểm bán lẻ như cửa hàng tạp hóa, bách hóa, Các hoạt động trong giao dịch mua bán là các hoạt động mà hai bên mua

và bán cam kết thực hiện nhằm thực hiện một giao dịch mua bán (chuyển tiền - đơn đặt hàng - gửi hóa đơn - chuyển hàng đến người mua)

Tuy nhiên mô hình này có nhược điểm là công ty hoàn toàn thụ động trong việc kiểm soát đích đến của hàng hóa và các chương trình khuyến mãi cũng như tính liên tục trong cung ứng và sự thống nhất của giá cả đến tay người tiêu dùng

1.1.2 Thương mại điện tử

1.1.2.1 Khái niệm thương mại điện tử

Thương mại điện tử được biết đến với nhiều tên gọi khác nhau như "thương mại điện tử" (Electronic commerce), "thương mại trực tuyến" (Online trade), "thương mại không giấy tờ" (Paperless commerce) hoặc "kinh doanh điện tử" (E-business) Tuy nhiên, "thương mại điện tử" vẫn là tên gọi phổ biến nhất và được dùng thống nhất trong các văn bản hay công trình nghiên cứu của các tổ chức hay các nhà nghiên cứu Thương mại điện tử bắt đầu bằng việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, các doanh nghiệp tiến tới ứng dụng công nghệ thông tin vào mọi hoạt động của mình, từ bán hàng, marketing, thanh toán đến mua sắm, đào tạo, phối hợp hoạt động với nhà cung cấp, đối tác, khách hàng, khi đó

thương mại điện tử phát triển thành kinh doanh điện tử, và doanh nghiệp ứng dụng thương mại điện tử ở mức cao được gọi là doanh nghiệp điện tử Như vậy, có thể hiểu kinh doanh điện tử là mô hình phát triển của doanh nghiệp khi tham gia thương mại điện tử ở mức độ cao và ứng dụng công nghệ thông tin chuyên sâu trong mọi hoạt động của doanh nghiệp

Cho đến nay, có nhiều định nghĩa khác nhau về thương mại điện tử Các định nghĩa này dựa trên các khía cạnh, các quan điểm khác nhau [1][ 2][4]

Khái niệm TMĐT theo nghĩa hẹp [4]: theo nghĩa hẹp, thương mại điện tử là việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, đặc biệt là máy tính và Internet Cách hiểu này tương tự với một số quan điểm như:

TMĐT là các giao dịch thương mại về hàng hóa và dịch vụ được thực hiện thông qua các phương tiện điện tử (Diễn đàn đối thoại xuyên Đại Tây Dương, 1997)

TMĐT là việc thực hiện các giao dịch kinh doanh có dẫn tới việc chuyển giao giá trị thông qua các mạng viễn thông (EITO, 1997)

TMĐT là việc hoàn thành bất kỳ một giao dịch nào thông qua một mạng máy tính làm trung gian mà bao gồm việc chuyển giao quyền sở hữu hay quyền sử dụng hàng hóa và dịch vụ (Cục thống kê Hoa Kỳ, 2000)

Khái niệm TMĐT theo nghĩa rộng: liên minh Châu Âu (EU): TMĐT bao gồm các giao dịch thương mại thông qua các mạng viễn thông và sử dụng các phương tiện điện tử Nó bao gồm TMĐT gián tiếp (trao đổi hàng hóa hữu hình) và TMĐT trực tiếp (trao đổi hàng hóa vô hình) Thương mại điện tử là việc trao đổi thông tin thương mại thông qua các phương tiện điện tử, không cần phải in ra giấy bất cứ công đoạn nào của toàn bộ quá trình giao dịch

TMĐT theo nghĩa rộng được định nghĩa trong luật mẫu về thương mại điện tử của Ủy ban LHQ về luật thương mại quốc tế: “Thuật ngữ thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất

thương mại dù có hay không có hợp đồng Các quan hệ mang tính chất thương mại bao gồm các giao dịch sau đây: bất cứ giao dịch nào về thương mại về cung cấp hoặc trao đổi hàng hoá hoặc dịch vụ, thoả thuận phân phối, đại diện hoặc đại lý thương mại, uỷ thác hoa hồng, cho thuê dài hạn, xây dựng các công trình, tư vấn, kỹ thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc tô nhượng, liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh, chuyên chở hàng hoá hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ” [4]

Như vậy, có thể thấy rằng phạm vi của thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ chỉ là một trong hàng ngàn lĩnh vực áp dụng của thương mại điện tử Theo nghĩa hẹp TMĐT chỉ gồm các hoạt động thương mại được tiến hành trên mạng máy tính mở như Internet Trên thực tế chính các hoạt động thương mại thông qua mạng Internet

đã làm phát sinh thuật ngữ thương mại điện tử

1.1.2.2 Giao dịch trong thương mại điện tử

Giao dịch thương mại (Commercial transaction) là sự tương tác giữa hai bên hoặc nhiều bên, trong đó hàng hóa, dịch vụ hoặc một đồ vật có giá trị được trao đổi Các khía cạnh liên quan đến các giao dịch thương mại, chẳng hạn như các quy định

về người đại diện và hợp đồng được điều chỉnh bởi pháp luật [10]

Theo luật giao dịch điện tử của nước CHXHCN Việt Nam "Giao dịch điện tử

là giao dịch có sử dụng thông điệp dữ liệu được thực hiện bằng phương tiện điện tử"

Giao dịch trong TMĐT là một hệ thống bao gồm: các giao dịch liên quan đến mua bán hàng hóa và dịch vụ, tạo thu nhập; các giao dịch có khả năng trợ giúp quá trình tạo ra thu nhập: kích thích nhu cầu đối với hàng hóa và dịch vụ, cung ứng dịch

vụ trợ giúp bán hàng, trợ giúp người tiêu dùng, hoặc trợ giúp trao đổi thông tin giữa các doanh nghiệp

Việc tiến hành các hoạt động thương mại trên các mạng điện tử cũng loại bỏ một số giới hạn vật lý nhất định Các hệ thống máy tính trên Internet có thể được lắp

đặt để cung cấp trợ giúp khách hàng 24/7 Các đơn đặt hàng đối với hàng hóa và dịch

vụ của doanh nghiệp cũng có thể được tiếp nhận bất kỳ khi nào, ở đâu

Giao dịch thương mại truyền thống và giao dịch TMĐT có nhiều điểm khác biệt cơ bản Để hiểu rõ sự khác biệt này, xem xét một chu trình mua bán một sản phẩm cụ thể:

Bảng 1.1: So sánh các bước trong chu trình mua bán giữa TM truyền thống và TMĐT STT Các bước trong chu trình

bán hàng

TM truyền thống Thương mại điện

tử

1 Tìm kiếm thông tin sản

2

Yêu cầu mua sản phẩm,

chuyển yêu cầu đã chấp

nhận

Dạng ấn phẩm Thư tín điện tử

4 Kiểm tra tồn kho và khẳng

5 Lập đơn đặt hàng (người

Thư tín điện tử, trang Web

6 Theo dõi đơn đặt hàng Dạng ấn phẩm CSDL trực tuyến

7 Kiểm tra tồn kho Ấn phẩm, fax, điện thoại CSDL trực tuyến,

Web

8

Lịch trình phân phối Dạng ấn phẩm Email, Catalog trực

tuyến

Internet

12 Gửi hóa đơn (người cung

13 Nhận hóa đơn (người mua) Thư tín truyền thống EDI

14 Lịch trình thanh toán Dạng ấn phẩm EDI, CSDL trực

tuyến

15 Gửi thanh toán (người

16 Nhận thanh toán (người

Kết luận:

Giao dịch trong thương mại truyền thống và TMĐT có nhiều bước thực hiện giống nhau, tuy nhiên cách thức thông tin được nhận và chuyển tải lại khác nhau

Về mặt công nghệ, giao dịch trên cơ sở giấy tờ truyền thống và giao dịch dựa trên cơ sở máy vi tính khác nhau về nguyên tắc, thao tác thực hiện và những quy định

về luật pháp

Việc tạo, gửi và nhận các tài liệu trên cơ sở dữ liệu trong máy vi tính rất thuận tiện, nhanh chóng và ít tốn kém, nhưng lại có nhược điểm là các tài liệu dễ dàng bị sao chép và không thể phân biệt được các bản sao với bản gốc như tài liệu trên giấy Chính vì vậy việc đảm bảo an toàn thông tin trong giao dịch TMĐT là rất cần thiết

1.1.2.3 Các loại hình Thương mại điện tử

Có nhiều tiêu chí khác nhau để phân loại các hình thức/mô hình TMĐT, căn

cứ vào phân loại theo đối tượng tham gia thì có bốn chủ thể chính tham gia vào các giao dịch thương mại điện tử: Chính phủ (G), doanh nghiệp (B), khách hàng cá nhân (C), người lao động (E) Việc kết hợp các chủ thể này lại với nhau sẽ được những mô hình TMĐT khác nhau Dưới đây là một số mô hình TMĐT phổ biến nhất hiện nay [4]:

1 B2B (Business - To - Business): Là loại hình giao dịch qua các phương tiện điện tử giữa doanh nghiệp với doanh nghiệp Các giao dịch B2B chủ yếu được thực hiện trên các hệ thống ứng dụng thương mại điện tử như mạng giá trị gia tăng VAN, các sàn giao dịch thương mại điện tử B2B (emarketplaces)

Hình 1.1 Mô hình giao dịch B2B

2 B2C (Business - To - Customer): Thương mại điện tử B2C là chỉ bao gồm các giao dịch thương mại trên Internet giữa doanh nghiệp với khách hàng, mà trong

đó, đối tượng khách hàng của loại hình này là các cá nhân mua hàng Loại hình này

áp dụng cho bất kỳ doanh nghiệp hay tổ chức nào bán các sản phẩm hoặc dịch vụ của

họ cho khách hàng qua Internet, phục vụ cho nhu cầu sử dụng của cá nhân

Hình 1.2 Mô hình giao dịch B2C

3 B2G (Business - To - Government): là loại hình giao dịch giữa doanh nghiệp với cơ quan nhà nước, trong đó cơ quan nhà nước đóng vai trò khách hàng Quá trình trao đổi thông tin giữa doanh nghiệp với cơ quan nhà nước được tiến hành qua các phương tiện điện tử Cơ quan nhà nước cũng có thể thiết lập những website tại đó đăng tải thông tin về nhu cầu mua hàng của các cơ quan nhà nước, tiến hành việc đấu thầu hàng hoá, dịch vụ và lựa chọn nhà cung cấp trên website Điều này một mặt giúp tiết kiệm các chi phí tìm nhà cung cấp, đồng thời giúp tăng cường tính minh bạch trong hoạt động mua sắm công

4 C2C (Customer - To - Customer): là loại hình giao dịch giữa các cá nhân với nhau Sự phát triển của các phương tiện điện tử làm cho nhiều cá nhân có thể tham gia hoạt động thương mại với tư cách là người bán, người cung cấp dịch vụ Một cá nhân có thể tự thiết lập website để kinh doanh những mặt hàng do mình làm

ra hoặc sử dụng một website có sẵn để đấu giá một số món hàng mình có C2C góp phần tạo nên sự đa dạng của thị trường

5 G2C ( Government - To Customer): là loại hình giao dịch giữa cơ quan nhà nước với cá nhân Đây chủ yếu là các giao dịch mang tính hành chính, nhưng có thể

Khách hàng 1

Khách hàng 2,

Cô

ng ty

mang những yếu tố của TMĐT Ví dụ khi người dân đóng tiền thuế qua mạng, trả phí khi đăng ký hồ sơ trực tuyến, v.v…

1.1.3 Nhu cầu về công nghệ thông tin trong thương mại điện tử

Internet cho phép mọi người trên khắp thế giới kết nối với nhau một cách đáng tin cậy và với chi phí không đắt Internet là động lực cho thương mại điện tử khi chúng cho phép doanh nghiệp trưng bầy và bán sản phẩm và dịch vụ của họ trên mạng và đưa những khách hàng tiềm năng, khách hàng tương lai và đối tác kinh doanh tiếp cận tới thông tin về doanh nghiệp này và sản phẩm cũng như dịch vụ của

họ mà dẫn đến việc mua hàng Trước khi Internet được sử dụng cho các mục đích thương mại, các công ty sử dụng các mạng riêng như EDI (trao đổi dữ liệu điện tử) để giao dịch kinh doanh với nhau Đó là hình thái sớm hơn của thương mại điện tử Tuy nhiên, lắp đặt và duy trì một mạng riêng rất tốn kém Với Internet, thương mại điện tử

đã phát triển nhanh chóng bởi vì chi phí thấp hơn và bởi vì Internet dựa trên các tiêu chuẩn mở

Sự phát triển của TMĐT gắn liền và tác động qua lại với sự phát triển của

công nghệ thông tin: thương mại điện tử là việc ứng dụng công nghệ thông tin vào

trong mọi hoạt động thương mại, vì vậy mà sự phát triển của công nghệ thông tin sẽ thúc đẩy thương mại điện tử phát triển nhanh chóng, tuy nhiên sự phát triển của thương mại điện tử cũng thúc đẩy và gợi mở nhiều lĩnh vực của công nghệ thông tin như phần cứng và phần mềm chuyên dụng cho các ứng dụng thương mại điện tử, dịch vụ thanh toán cho thương mại điện tử, cũng như đẩy mạnh sản xuất trong lĩnh vực công nghệ thông tin như máy tính, thiết bị điện tử, thiết bị viễn thông, thiết bị mạng

Giao dịch thương mại điện tử có thể hoàn toàn qua mạng Trong hoạt động thương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm phán, giao dịch và đi đến ký kết hợp đồng Còn trong hoạt động thương mại điện tử nhờ việc sử dụng các phương tiện điện tử có kết nối với mạng viễn thông, chủ yếu là sử dụng mạng Internet, các bên tham gia vào giao dịch không phải gặp gỡ nhau trực tiếp

mà vẫn có thể đàm phán, giao dịch được với nhau dù cho các bên tham gia giao dịch

ở bất cứ nơi nào, quốc gia nào

1.2 Các đặc trưng của thương mại điện tử

So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau [3] [4]:

 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước: trong thương mại truyền

thống, các bên thương gặp gỡ nhau trực tiếp để tiến hành giao dịch Các giao dịch được thực hiện chủ yếu theo nguyên tắc vật lý như chuyển tiền, séc hóa đơn, vận đơn, gửi báo cáo Các phương tiện viễn thông như: fax, telex, chỉ được sử dụng để trao đổi số liệu kinh doanh Tuy nhiên, việc sử dụng các phương tiện điện tử trong thương mại truyền thống chỉ để chuyển tải thông tin một cách trực tiếp giữa hai đối tác của cùng một giao dịch Thương mại điện tử cho phép mọi người cùng tham gia

từ các vùng xa xôi hẻo lánh đến các khu vực đô thị lớn, tạo điều kiện cho tất cả mọi người ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trường giao dịch toàn cầu và không đòi hỏi nhất thiết phải có mối quen biết với nhau

 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu): thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu Thương mại điện tử càng phát triển, thì máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hướng ra thị trường trên khắp thế giới Với thương mại điện tử, một doanh nhân dù mới thành lập đã có thể kinh doanh ở Nhật Bản, Đức và Chilê , mà không hề phải bước ra khỏi nhà, một công việc trước kia phải mất nhiều năm

 Trong hoạt động giao dịch thương mại điện tử đều có sự tham gia của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực: trong thương mại điện tử, ngoài các chủ thể tham gia quan hệ giao dịch giống như giao dịch thương mại truyền thống đã xuất hiện một

bên thứ ba đó là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực… là những người tạo môi trường cho các giao dịch thương mại điện tử Nhà cung cấp dịch vụ mạng và cơ quan chứng thực có nhiệm vụ chuyển đi, lưu giữ các thông tin giữa các bên tham gia giao dịch thương mại điện tử, đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch thương mại điện tử

 Trong thương mại điện tử thì mạng lưới thông tin chính là thị trường:

trong thương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm phán, giao dịch và ký kết hợp đồng Còn trong thương mại điện tử các bên không phải gặp gỡ nhau trực tiếp mà vẫn có thể tiến hành đàm phán, ký kết hợp đồng Các bên có thể truy cập vào hệ thống thông tin của nhau qua mạng Internet, mạng extranet,…để tìm hiểu thông tin và từ đó tiến hành đàm phán ký kết hợp đồng Ví dụ các doanh nghiệp có thể tìm kiếm các đối tác trên khắp toàn cầu chỉ cần vào các trang tìm kiếm như Google, yahoo hay các cổng thương mại điện tử như Ecvn.com, Alibaba.com,…

1.3 Lợi ích của thương mại điện tử

Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động của thương mại điện tử thì TMĐT đã mang lại cho con người và xã hội những lợi ích sau [4]:

1.3.1.Thu thập được nhiều thông tin

TMĐT giúp cho các cá nhân, doanh nghiệp khi tham gia thu nhận và nắm

được thông tin phong phú về thị trường và đối tác Các doanh nghiệp nắm được các

thông tin phong phú về kinh tế thị trường, nhờ đó có thể xây dựng được chiến lược sản xuất và kinh doanh thích hợp với xu thế phát triển của thị trường trong nước, trong khu vực và quốc tế Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa

và nhỏ, hiện nay đang được các nước quan tâm và được coi là một trong những động

lực phát triển kinh tế

1.3.2 Giảm chi phí sản xuất

TMĐT giúp giảm chi phí sản xuất, trong đó đầu tiên kể đến là chi phí văn phòng Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyển giao tài liệu giảm nhiều lần trong đó khâu in ấn gần như bỏ hẳn Theo

số liệu của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 %

Điều quan trọng hơn, với góc độ chiến lược là các nhân viên có năng lực được giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển,

sẽ đưa đến những lợi ích to lớn lâu dài

1.3.3 Giảm chi phí bán hàng và tiếp thị và giao dịch

Thông qua Internet giúp người tiêu dùng và các doanh nghiệp giảm đáng kể thời gian và chí phí giao dịch:

TMĐT giúp giảm thấp chi phí bán hàng và chi phí tiếp thị Bằng phương tiện Internet/Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khổ giới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên web được cập nhật tường xuyên

TMĐT qua Internet/Web giúp người tiêu thụ và các doanh nghiệp giảm đáng kể thời gian và chi phí giao dịch Thời gian giao dịch qua Internet chỉ bằng 7% thời gian giao dịch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10%

đến 20% chi phí thanh toán theo lối thông thường

1.3.4 Xây dựng quan hệ đối tác

Thương mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan

hệ giữa các thành viên tham gia quá trình thương mại thông qua mạng Internet các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục với nhau, có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ

đó sự hợp tác và quản lý đều được tiến hành nhanh chóng một cách liên tục, các

bạn hàng mới, các cơ hội kinh doanh mới được phát hiện nhanh chóng trên

phạm vi toàn thế giới và có nhiều cơ hội để lựa chọn hơn

1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức

Trước hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở cho phát triển kinh tế tri thức Lợi ích này có một ý nghĩa lớn đối với các nước đang phát triển, nếu không nhanh chóng tiếp cận nền kinh tế tri thức thì sau khoảng một thập kỷ nữa nước đang phát triển có thể bị bỏ rơi hoàn toàn Khía cạnh lợi ích này mang tính chiến lược công nghệ và tính chính sách phát triển cần cho các nước công nghiệp hoá

Ưu điểm tuyệt đối của Thương mại Điện tử là cho phép người sử dụng thực hiện các hoạt động kinh doanh ngay lập tức trên quy mô toàn cầu, từ việc quảng cáo công ty, tiếp thị sản phẩm, đàm phán và đặt hàng cho đến các khâu thanh toán, giữ liên hệ với khách hàng và hỗ trợ sau bán hàng Bởi vì:

Thương mại điện tử giúp người bán:

 Tiếp thị hiệu quả sản phẩm và dịch vụ của mình ra khắp thế giới

 Tạo kênh bán hàng trực tiếp tới khách hàng với quy mô rộng, tốc độ nhanh

và chi phí giảm rất nhiều so với các kênh bán hàng truyền thống khác

 Mở ra khả năng xuất khẩu hàng ra nước ngoài

 Đơn giản hóa được các thủ tục hành chính, các công việc giấy tờ, tăng hiệu quả giao dịch thương mại

 Với Website Thương mại điện tử, doanh nghiệp tạo cho mình khả năng kinh doanh liên tục 24/24 giờ, liên tục 07 ngày trong tuần với chi phí rất thấp Không cần nhân viên giám sát khách hàng như tại các siêu thị bình thường, không cần bỏ tiền thuê địa điểm bán hàng, không cần hệ thống kiểm tra, giới thiệu sản phẩm, không cần hệ thống tính tiền, Tất cả đều được Website làm tự động, rất nhanh chóng và với độ chính xác tuyệt đối

 Tại cùng một thời điểm, Website Thương mại điện tử có thể phục vụ hàng triệu lượt người mua hàng ở khắp nơi trên thế giới với các yêu cầu rất khác nhau về thông tin sản phẩm, chủng loại sản phẩm, giá cả, hình ảnh, chất lượng, mẫu mã,

 Thông tin, giá cả sản phẩm được cập nhật, thay đổi một cách tức thời theo

sự biến động của thị trường

 Website Thương mại Điện tử đem lại khả năng kinh doanh mới cho doanh nghiệp: "Kinh doanh ngay cả khi bạn đang ngủ"

Thương mại điện tử giúp người mua:

 Có thêm một hình thức mua hàng thuận tiện, dễ dàng, nhanh chóng

 Có thêm một hình thức thanh toán mới tiện lợi, an toàn

 Mở rộng sự chọn lựa khi mua hàng theo thị hiếu và nhu cầu

 Có cơ hội mua sản phẩm và dịch vụ trực tiếp từ nhà sản xuất hoặc nhà cung cấp chính không qua trung gian

 Người mua thực sự trở thành người chủ với toàn quyền lựa chọn sản phẩm, tìm kiếm bất kỳ thông tin nào về sản phẩm theo nhu cầu, so sánh giá cả, đặt mua hàng với hệ thống tính toán tiền tự động, đầy đủ, rõ ràng, trung thực và chính xác nhất

1.4 Giao dịch trong thương mại điện tử và những nguy cơ mất an toàn thông tin

Theo [9][10] Giữa giao dịch thương mại truyền thống và giao dịch TMĐT có nhiều điểm khác biệt cơ bản trong việc nhận và chuyển tải thông tin giữa các bên tham gia giao dịch Về mặt công nghệ, giao dịch trên cơ sở truyền thống và giao dịch

số hóa khác nhau về nguyên tắc, thao tác thực hiện và những quy định về luật pháp

Từ đó nảy sinh các vấn đề mới trong giao dịch TMĐT

Nếu việc tạo ra, gửi và nhận một tài liệu trên giấy phức tạp, mất nhiều thời gian và chi phí thì việc tạo, gửi và nhận các tài liệu trên các phương tiện điện tử rất

thuận tiện, nhanh chóng và ít tốn kém Tuy vậy, một tài liệu trên giấy khi được ký (bản gốc) mang tính duy nhất và không thể sao chép Ngược lại một tài liệu điện tử không có tính chất này, nó dễ dàng tạo ra các bản sao giống hệt và không thể phân biệt các bản sao này với các bản gốc

Bản chất của TMĐT là hình thức kinh doanh qua mạng Internet Internet ngoài việc đem lại nhiều lợi ích còn là môi trường phát triển TMĐT, thì nó cũng là môi trường rất thuận lợi cho kẻ phá hoại thực hiện các ý đồ xấu của mình như xem trộm thông điệp trên đường truyền, tấn công phá hoại nội dung thông tin, giả mạo thông điệp hay giả mạo người dùng,…

Ngoài ra, khi giao dịch thương mại điện tử thì các tài liệu giữa các bên gửi cho nhau dễ dàng bị kẻ xấu (hacker) đánh cắp, thay thế sửa sai hoặc cố tính phá hỏng thông tin hay nguy cơ mạo danh chối cãi nguồn gốc, những điều này có thể làm mất

đi cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp Vì vậy, trong giao dịch thương mại nói chung và giao dịch thương mại điện tử nói riêng, việc đảm bảo an toàn thông tin trong giao dịch và rất quan trọng và cần thiết Một trong những biện pháp bảo đảm an toàn thông tin trong giao dịch thương mại điện tử

đó là sử dụng chữ ký số Sử dụng chữ ký số nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch Chữ ký số là một công

cụ bảo mật an toàn nhất hiện nay Nó là bằng chứng xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai khác

Không những thế, khi chữ ký số được gắn với một thông điệp điện tử thì đảm bảo rằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng

1.5 Kết luận

Chương trên trình bày một số khái niệm cơ bản về thương mại điện tử, gồm một số kiến thức tổng quát thương mại điện tử Trong đó nêu rõ các yêu cầu cơ bản đối với các giao dịch thương mại điện tử Trong quá trình giao dịch giữa các bên

trong thương mại điện tử có một số nguy cơ làm ảnh hưởng đến quá trình giao dịch giữa bên mua và bán, cần được khắc phục Vấn đề đảm bảo an toàn thông tin trong giao dịch là vấn đề rất được quan tâm trong hoạt động thực tiễn của thương mại điện

tử Điều này dẫn đến việc sử dụng chữ ký số là một trong những giải pháp nhằm đảm bảo an toàn thông tin trong thương mại điện tử

CHƯƠNG 2

AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH

THƯƠNG MẠI ĐIỆN TỬ 2.1 Tổng quan về an toàn và bảo mật thông tin

2.1.1 An toàn và bảo mật thông tin

Từ xưa đến nay thông tin luôn là yếu tố quan trọng trong các hoạt động của đời sống con người Trong thời đại ngày nay, các phương thức truyền đạt thông tin ngày càng đa dạng và phát triển Với sự ra đời của máy tính và mạng máy tính, việc trao đổi thông tin đã trở nên dễ dàng hơn, nhanh chóng hơn, đa dạng hơn Nhưng kèm theo đó là các nguy cơ xâm phạm thông tin cũng ngày càng tăng

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển, ứng dụng

để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

1 Bảo vệ an toàn thông tin bằng các biện pháp hành chính

2 Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

3 Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trường khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xâm nhập nhất đó là môi trường mạng và truyền tin Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán

An toàn thông tin bao gồm các nội dung sau:

 Tính bí mật: tính kín đáo riêng tư của thông tin

 Tính xác thực của thông tin: bao gồm xác thực đối tác (bài toán nhận

danh), xác thực thông tin trao đổi

 Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách

nhiệm về thông tin mà mình đã gửi

 Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận

không thể chối bỏ sau khi đã gửi hoặc nhận thông tin

Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng Xác định càng chính xác các nguy cơ nói trên thì càng quyết định tốt được các giải pháp

để giảm thiểu các thiệt hại

Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi phạm thụ động Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh cắp thông tin) Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu các gói tin Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài

và tần số trao đổi Vì vậy vi phạm thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được trao đổi Vi phạm thụ động thường khó phát hiện nhưng

có thể có những biện pháp ngăn chặn hiệu quả Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều

Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là

an toàn tuyệt đối Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối

2.1.2 Mục tiêu của an toàn bảo mật thông tin

Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm bảo các mục tiêu sau:

 Tính bí mật (Confjdentialy): đảm bảo dữ liệu được truyền đi một cách an

toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có được nội dung của dữ liệu gốc ban đầu Chỉ những người được phép mới có khả năng đọc được nội dung thông tin ban đầu

 Tính xác thực (Authentication): giúp cho người nhận dữ liệu xác định được

chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu Kẻ giả mạo không thể có khả năng để giả dạng một người khác hay nói cách khác không thể mạo danh để gửi dữ liệu Người nhận có khả năng kiểm tra nguồn gốc thông tin mà họ nhận được

 Tính toàn vẹn (Integrity): giúp cho người nhận dữ liệu kiểm tra được rằng

dữ liệu không bị thay đổi trong quá trình truyền đi Kẻ giả mạo không thể

có khả năng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo

 Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận

không thể chối bỏ sau khi đã gửi hoặc nhận thông tin

2.1.3 An toàn thông tin bằng mật mã

2.1.3.1 Giới thiệu hệ mật mã

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin

bí mật Ngành Mật mã (cryptology) thường được quan niệm như sự kết hợp của 2 lĩnh vực con:

 Sinh, chế mã mật (cryptography): nghiên cứu các kỹ thuật toán học nhằm cung cấp các công cụ hay dịch vụ đảm bảo an toàn thông tin, gồm hai quá trình mã hóa và giải mã

 Phá giải mã (cryptanalysis): nghiên cứu các kỹ thuật toán học phục vụ phân tích phá mật mã và/hoặc tạo ra các đoạn mã giả nhằm đánh lừa bên nhận tin

Hai lĩnh vực con này tồn tại như hai mặt đối lập, “đấu tranh để cùng phát triển” của một thể thống nhất là ngành khoa học mật mã (cryptology) Tuy nhiên, do lĩnh vực thứ hai (cryptanalysis) ít được phổ biến quảng đại nên dần dần, cách hiểu chung hiện nay là đánh đồng hai thuật ngữ cryptography và cryptology

Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá trình này được gọi là mã hoá thông tin (encryption), ở trạm nhận phải thực hiện quá trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã được mã hoá) về dạng nhận thức được (dạng gốc), quá trình này được gọi là giải mã (decryption) Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng

2.1.3.2 Vai trò của hệ mật mã

Các hệ mật mã phải thực hiện được các vai trò sau:

 Hệ mật mã phải che dấu được nội dung của văn bản rõ (PlainText) để đảm bảo sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin (Secrety), hay nói cách khác là chống truy nhập không đúng quyền hạn

 Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống đến người nhận hợp pháp là xác thực (Authenticity)

 Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không có hiện tượng giả mạo, mạo danh để gửi thông tin trên mạng

Ưu điểm lớn nhất của bất kỳ hệ mật mã nào đó là có thể đánh giá được độ phức tạp tính toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin của dữ liệu đã được mã hoá Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm

khác nhau, nhưng nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng các

thuật toán mã hoá khác nhau cho từng ứng dụng cụ thể tuỳ theo độ yêu cầu về độ an

toàn

2.1.3.3 Các thành phần của một hệ mật mã

Định nghĩa: Một hệ mật mã là một bộ 5 (P,C,K,E,D) thỏa mãn các điều kiện

sau [5]:

 P: Là một tập hợp hữu hạn các bản rõ, được gọi là không gian bản rõ;

 C: Là tập hữu hạn các bản mã, được gọi là không gian bản mã Mỗi phần

tử của C có thể nhận được bằng cách áp dụng phép mã hoá Ek lên một

phần tử của P, với k  K;

 K: Là tập hữu hạn các khoá hay còn gọi là không gian khoá Đối với mỗi

phần tử k của K được gọi là một khoá Số lượng của không gian khoá phải

đủ lớn để “kẻ địch” không có đủ thời gian để thử mọi khoá có thể (phương

pháp vét cạn)

 Đối với mỗi k  K có một quy tắc mã ek: PC và một quy tắc giải mã

tương ứng dk D Mỗi ek: P C và dk: CP là những hàm mà:

dk(ek(x))=x với mọi bản rõ x P

1 Hệ mật mã đối xứng (Symmtric Key Cryptosystems) (hay còn gọi là mật

mã khóa bí mật): là những hệ mật dùng chung một khoá bí mật cả trong quá trình mã hoá và giải mã Do đó, khi bị mất khóa bí mật thì tính bảo mật của hệ mã bị phá vỡ Ban đầu, bản rõ được người gửi A mã hóa với khóa k Sau đó bản mã được gửi tới người nhận B Khi nhận được bản mã, người gửi B sử dụng khóa k giải mã để thu được bản rõ Do đó, nếu một người khác có được khóa k thì hệ thống mã hóa này sẽ

bị tấn công

Quá trình mã hóa và giải mã bằng cách sử dụng khóa bí mật được minh họa như hình sau :

Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng

Trong sơ đồ Hình 2.2, ta thấy việc thực hiện mã hóa khóa bí mật thông qua ba bước cơ bản sau:

 Trao đổi khóa: hai bên nhận và gửi trao đổi khóa bí mật bằng phương tiện vật lý như ghi lên đĩa, nói trực tiếp, ghi ra giấy,… Việc trao đổi khóa này phải được đảm bảo bí mật

 Mã hóa tại bên gửi: bản rõ được mã hóa sử dụng khóa bí mật tạo ra bản

mã Sau đó bản mã được gửi cho bên nhận

 Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật để khôi phục lại bản rõ ban đầu

Các hệ mật mã khóa đối xứng do vai trò của bên gửi và bên nhận đều như nhau vì đều sở hữu chung một khóa bí mật nên có một số ưu/nhược điểm sau:

 Ưu điểm: đơn giản, tốc độ thực hiện nhanh, tốn ít tài nguyên, đảm bảo độ

an toàn

Khóa bí mật

 Nhược điểm: trong hệ khóa phải được chia sẻ trên kênh an toàn nếu kẻ địch tấn công trên kênh này có thể phát hiện ra khóa vì vậy độ an toàn là chưa cao Vấn đề quản lý khóa (tạo, lưu mật, trao chuyển,…) khó khăn và phức tạp khi sử dụng trong môi trường trao đổi tin giữa rất nhiều người dùng Với số lượng người dùng là n thì số lượng khóa cần tạo lập là n(n-1)/2 Mỗi người dùng phải tạo và lưu n-1 khóa bí mật để làm việc với n-1 người khác trên mạng Như vậy rất khó khăn và không an toàn khi n tăng lớn Trên cơ sở mã đối xứng, ta không thể thiết lập được khái niệm chữ ký điện tử (thể hiện được các chức năng của chữ ký tay trong thực tế) vì vậy

hệ mã hóa đối xứng không đảm nhận được tính xác thực thông tin mà chỉ đảm bảo được tính bảo mật

2 Hệ mật mã bất đối xứng (hay còn gọi là mật mã khóa công khai) [15]: Được phát minh bởi Diffie và Hellman vào những năm 1976, các hệ mật này dùng một cặp khóa đó là khóa công khai (public key) và khóa bí mật (private key) Trong hai khóa

đó, khóa công khai dùng để mã hoá còn khóa bí mật dùng để giải mã Khóa công khai

và khóa bí mật có quan hệ toán học với nhau, dữ liệu được mã hóa bởi khóa công khai thì chỉ có thể được giải mã bằng khóa bí mật tương ứng và ngược lại Khóa công khai được công khai với tất cả mọi người là để mọi người mã hóa những thông tin mà

họ muốn gửi cho người đang giữ khóa bí mật tương ứng; đồng thời là để mọi người

có thể giả mã các dữ liệu được mã hóa bởi khóa bí mật này khi cần Điều quan trọng đối với hệ thống là không thể tìm ra khóa bí mật nếu chỉ biết khóa công khai Đặc trưng nổi bật của hệ mã hóa khóa công khai là cả khóa công khai và bản tin mã hóa đều có thể gửi đi trên một kênh không an toàn

Một số thuật toán mã hóa công khai phổ biến: RSA, Diffie-Hellman Exchange Algorithm (dùng cho việc phân phối và trao đổi khóa)

Key-Quá trình mã hóa và giải mã bằng cách sử dụng hệ mã khóa công khai được minh họa như hình sau :

-Quá trình truyền

dữ liệu

Khóa công khai, chỉ

dùng để mã hóa (có

thể cho mọi người

được giữ bí mật)

Quá trình

mã hóa

Quá trình giải mã

Hình 2.3 Sơ đồ hoạt động của mã hóa bất đối xứng

Trong sơ đồ Hình 2.3, ta thấy việc thực hiện mã hóa khóa công khai thông qua

ba bước cơ bản sau:

 Trao đổi khóa: bên nhận gửi khóa công khai của mình cho bên gửi, việc trao đổi khóa công khai có thể thực hiện trong môi trường mở như internet

 Mã hóa tại bên gửi: bên gửi sử dụng khóa công khai của bên nhận để mã hóa bản rõ thành bản mã Bản mã được gửi cho bên nhận

 Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật của bên nhận để khôi phục lại bản rõ ban đầu

Hệ mã hóa khóa công khai có ưu/nhược điểm sau:

 Ưu điểm: việc trao đổi khóa đơn giản do chỉ cần trao đổi khóa công khai của cặp khóa và khóa riêng luôn được giữ bí mật nên độ an toàn cao

 Nhược điểm: tốc độ chậm so với mã hóa khóa bí mật, đòi hỏi công suất tính toán lớn, độ phức tạp thuật toán cao

Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích [14]:

 Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã được

 Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí mật nào đó hay không

 Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật giữa hai bên

2.1.4 Nhu cầu về an toàn và bảo mật thông tin trong thương mại điện tử

2.1.4.1 An toàn thông tin trong hệ thống thương mại điện tử

Mối đe dọa và hậu quả tiềm ẩn đối với thông tin trong hệ thống mạng phục vụ hoạt động TMĐT là rất lớn, và được đánh giá trên nhiều khía cạnh khác nhau như: kiến trúc hệ thống công nghệ thông tin, từ chính sách bảo mật thông tin, các công cụ quản lý và kiểm tra, quy trình phản ứng v.v

Nguy cơ mất an toàn thông tin tiềm ẩn trong chính sách bảo mật/an toàn thông tin, đó là: sự chấp hành các chuẩn an toàn, tức là sự xác định rõ ràng cái được phép và không được phép trong khi vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ thông tin không rõ ràng; việc chấp hành sử dụng các chuẩn bảo mật thông tin được phân cấp, chuẩn an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn bức tường lửa; chính sách an toàn Internet v.v

Thông tin trong hệ thống TMĐT cũng sẽ dễ bị tổn thất nếu công cụ quản lý và kiểm tra của các tổ chức quản lý điều khiển hệ thống không được thiết lập như: các quy định mang tính hành chính như duy trì kiểm tra tiêu chuẩn bảo mật thường xuyên; các công cụ phát hiện âm mưu xâm nhập nhằm báo trước các ý đồ tiếp cận trái phép và giúp đỡ phục hồi những sự cố vốn không tránh khỏi; các công cụ kiểm tra tính toàn vẹn dữ liệu và thông tin tránh bị cá nhân bất hợp pháp và phương tiện khác thay đổi; công cụ chống virus,v.v;

2.1.4.2 Các yêu cầu đảm bảo an toàn giao dịch cho các chủ thể tham gia TMĐT

Việc phân tích các nguy cơ tiềm ẩn trên cho chúng ta thấy rằng vấn đề bảo mật thông tin của các chủ thể tham gia TMĐT là rất quan trọng trong việc hoạch định các phương án bảo mật thông tin trong hệ thống TMĐT Các chủ thể tham gia TMĐT là người tiêu dùng, các doanh nghiệp (nhà nước và tư nhân) và Chính phủ, nhưng mối quan tâm bảo mật thông tin của các chủ thể tuy có mục đích giống nhau song yêu cầu thì hoàn toàn khác nhau và sự khác nhau về yêu cầu bảo mật thông tin có thể còn có ngay trong cùng một chủ thể do bởi thông tin giao dịch với các chủ thể khác nhau có nguy cơ đe doạ mất an toàn thông tin là khác nhau Do đó, việc bảo mật thông tin cho các chủ thể tham gia TMĐT cần tính đến tính chất và yêu cầu của các chủ thể để xây dựng các phương án bảo mật thông tin tiết kiệm và hiệu quả Không thể có một phương án chung cho mọi đối tượng

Một khía cạnh khác rất quan trọng là cần phải tiên liệu trong quá trình xây dựng phương án bảo mật thông tin trong hệ thống TMĐT, đó là các luồng thông tin

và các dạng thức thông tin giao tiếp trong hệ thống TMĐT để xác định phương thức

tổ chức hệ thống kỹ thuật mật mã phù hợp nhằm bảo mật thông tin có hiệu quả Có 4 loại giao tiếp thông tin trong hệ thống TMĐT: (1) người với người, (2) người với máy tính, (3) máy tính điện tử với người, và (4) máy tính điện tử với máy tính điện

tử Với 5 dạng thức chủ yếu: (1) thư điện tử, (2) thanh toán điện tử, (3) trao đổi EDI, (4) giao gửi số hoá các dung liệu-tức là việc trao đổi, mua bán hàng hoá thực hiện trực tuyến trên mạng bởi nội dung hàng hóa (còn gọi là hàng hóa mềm), (5) bán lẻ hàng hóa hữu hình Với các luồng thông tin và các dạng thức thông tin trao đổi phức tạp trong hệ thống TMĐT, có thể hình dung được những khó khăn trong việc bố trí

kỹ thuật mật mã và quản lý phân phối sử dụng khóa mật mã

Trong giao dịch thương mại điện tử mọi dữ liệu (kể cả chữ ký) đều ở dạng số hóa vì vậy đặt ra yêu cầu nghiêm ngặt về tính bí mật, an toàn, tránh bị thay đổi thông tin (toàn vẹn dữ liệu), xâm nhập dữ liệu, tính xác thực, tính không thể chỗi bỏ, đó là

các rủi ro ngày một lớn không chỉ với cá nhân, doanh nghiệp mà cả với từng quốc gia

vì các hệ thống điện tử có thể bị kẻ xấu xâm nhập Vì vậy đòi hỏi phải có các hệ thống bảo mật, an toàn được thiết kế trên cơ sở kỹ thuật mã hóa hiện đại và một cơ chế an ninh hữu hiệu

2.2 Chữ ký số

2.2.1 Chữ ký số và chữ ký viết tay

Xét về truyền thống, các tài liệu bằng giấy trong giao dịch được xác nhận và chứng thực bằng chữ ký viết tay Đối với các tài liệu điện tử yêu cầu cần phải được xác thực về tác giả của nó, do đó cần phải có những kỹ thuật tương tự như chữ ký tay,

đó là cơ sở hình thành các lược đồ ký số Chữ ký số thực chất là một chuỗi số 0 và 1 được tạo bằng cách sử dụng một thuật toán chữ ký số nhằm mục đích xác nhận tính hợp lệ và xác thực nguồn gốc của các tài liệu điện tử

Chữ ký số là một chuỗi gắn kết một thông điệp với một (hoặc nhiều) thực thể nguồn nào đó Chữ ký số gắn bó mật thiết với thông điệp, điều này khác hẳn với chữ

ký viết tay Khi thông điệp thay đổi thì chữ ký số phải thay đổi, do vậy chữ ký số đảm bảo tính toàn vẹn của thông điệp được ký Chữ ký số không thể làm giả được Chữ ký

số đảm bảo tính xác thực người ký bởi vì không ai trừ người ký có thể ký thông điệp với thuộc tính này người ký không thể nói rằng đã không ký vào thông điệp [16]

Một chữ ký số phụ thuộc vào khóa riêng của người ký và cả nội dung của thông điệp ký Các tranh chấp có thể nảy sinh khi một người ký cố tình chối bỏ chữ

ký số đã tạo ra, hoặc khi có kẻ giả mạo đưa ra chứng cứ gian lận, khi đó một bên thứ

ba tin cậy có thể giải quyết vấn đề một cách công bằng mà không cần biết khóa riêng của người ký

Cần phân biệt rõ ràng giữa chữ ký điện tử và chữ ký số Trên môi trường mạng, bất cứ dạng thông tin nào được sử dụng để nhận biết một người đều được coi

là chữ ký điện tử Ví dụ một hình ảnh hoặc một đoạn âm thanh được chèn vào cuối mail, đó là chữ ký điện tử Có thể hình dung chữ ký điện tử là cách chụp chữ ký, biểu

e-tượng, vân tay được chọn để quét vào văn bản Cách sử dụng chữ ký điện tử này không thể đảm bảo an toàn trong các giao dịch quan trọng qua mạng được

Chữ ký số là một dạng chữ ký điện tử, với độ an toàn cao và được sử dụng rộng rãi Chữ ký số được phát triển và hình thành dựa trên lý thuyết về mật mã và thuật toán mã hóa bất đối xứng, theo đó mỗi người sử dụng chữ ký số cần có một cặp khóa bao gồm khóa bí mật (khóa riêng) và khóa công khai Người chủ chữ ký sử dụng khóa riêng để tạo chữ ký số (trên cơ sở kết hợp với nội dung thông điệp dữ liệu), ghép nó cùng với thông điệp dữ liệu và gửi đi Người nhận dùng khóa công khai xác thực chữ ký số để biết được người ký là ai Cả hai quy trình ký và xác thực chữ ký đều được thực hiện bằng thuật toán

Các cặp khóa trên do những nhà cung cấp dịch vụ CA cấp hoặc xác minh là đủ điều kiện an toàn sau khi đã kiểm tra, xác minh chủ của nó (cá nhân, tổ chức) là có thực Đồng thời, nhà cung cấp dịch vụ cũng giao cho cá nhân, tổ chức đó một chứng thư số - tương đương như chứng minh thư nhân dân hay giấy xác nhận sự tồn tại của

cá nhân, tổ chức trên môi trường mạng Chứng thư đó có chứa khóa công khai của cá nhân, tổ chức và được duy trì tin cậy trên cơ sở dữ liệu của nhà cung cấp dịch vụ chứng thực, do vậy người nhận có thể truy cập vào cơ sở dữ liệu đó để xác minh xem đúng là có người đó hay không

Trong môi trường mạng, mật mã khóa công khai không chỉ dùng vào việc bảo

vệ tính bí mật của thông điệp mà còn là phương tiện để bảo vệ tính xác thực, tính toàn vẹn và tính chống chối từ Chữ ký số là phương pháp ký một bức thông điệp lưu dưới dạng điện tử, có thể truyền trên mạng máy tính Chữ ký số dựa trên mật mã khóa công khai, trong đó khóa riêng được dùng để ký số, khóa công khai được dùng để xác thực

Chữ ký số và chữ ký viết tay được so sánh thông qua bảng 2.1 sau đây:

Bảng 2.1 So sánh chữ ký viết tay và chữ ký số

Ký

Là một thành phần vật lý của tài liệu (nhìn thấy được) trên tài liệu

Không gắn kiểu vật ký vào thông điệp nên thuật toán được dùng phải "không nhìn thấy" theo một cách nào đó trên văn bản

Kiểm tra chữ

ký

- Chữ ký được kiểm tra bằng cách so sánh nó với chữ ký xác thực khác bằng mắt thường

- Chữ ký tay dễ bị giả mạo vì vậy đây không phải là phương pháp an toàn

- Chữ ký số có thể kiểm tra nhờ dùng thuật toán kiểm tra công khai Như vậy, bất kì ai cũng có thể kiểm tra được chữ ký số

- Việc dùng chữ ký số an toàn tránh được giả mạo

Giữa chữ ký số và chữ ký viết tay còn một điểm khác biệt nữa đó là việc dùng lại Bản sao của thông điệp được ký bằng chữ ký số thì đồng nhất với bản gốc, còn bản sao thông điệp được ký bằng chữ ký viết tay lại có thể khác với bản gốc Điều này có nghĩa là cần phải ngăn chặn một bức thông điệp ký số không bị dùng lại Vì vậy, đối với các hoạt động trong môi trường mạng ngày càng phát triển như hiện nay, chữ ký số là một hình thức để bảo đảm tính pháp lý của các cam kết Chữ ký số phải đảm bảo các yêu cầu:

 Người nhận có thể xác thực được người gửi

 Người gửi không thể chối bỏ nội dung của bản tin đã gửi

 Người gửi không thể thay đổi bản tin sau khi đã gửi

2.2.2 Khái niệm chữ ký số

Chữ ký số là một dạng chữ ký điện tử Về căn bản chữ ký số có khái niệm giống như chữ ký thông thường nhưng được xây dựng dựa trên công nghệ mã khóa công khai, nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm khi đã ký Chữ ký số không đòi hỏi phải sử dụng giấy mực

Chữ ký số là một ứng dụng của mật mã công khai Chữ ký số là một hàm của khóa riêng (Secret key) và thông điệp Người gửi dùng khóa bí mật (Private key) của mình để ký vào thông điệp trước khi gửi Người nhận sẽ sử dụng khóa công khai