Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Mục đích nội dung ĐATN: Tìm giải pháp bảo mật giao dịch tốn ngân hàng, cụ thể tìm hiểu chế bảo mật toán ngân hàng qua thẻ ATM Xây dựng thử nghiệm chế bảo mật phương pháp chữ ký điện tử Các nhiệm vụ cụ thể ĐATN: - Tìm hiểu giao dịch tốn ngân hàng qua thẻ ATM - Tìm hiểu chế bảo mật lỗ hổng an ninh toán qua thẻ ATM - Tìm hiểu chữ ký điện tử ứng dụng vào giao dịch toán ngân hàng - Xây dựng thử nghiệm)cơ chế bảo mật cho giao dịch toán ngân hàng qua thẻ Xác nhận giáo viên hướng dẫn mức độ hoàn thành ĐATN cho phép bảo vệ: Hà Nội, ngày tháng 12 năm 2017 Giáo viên hướng dẫn LỜI CẢM ƠN Quá trình học tập mái trường Đại học công nghiệp Việt – Hung khoảng thời gian có nhiều ý nghĩa hệ sinh viên chúng em Ở đây, chúng em thầy cô cung cấp truyền đạt nhiều kiến thức chuyên môn cần thiết q giá Bên cạnh đó, chúng em rèn luyện tinh thần học tập làm việc cách độc lập đầy tính sáng tạo Tất yếu tố hành trang cần thiết cho chúng em đường bước vào tương lai Đồ án tốt nghiệp hội cho chúng em áp dụng, tổng kết lại kiến thức mà tích lũy suốt q trình học tập Thơng qua q trình làm đồ án, thân em rút kinh nghiệm thực tế quý báu Sau học kỳ tập trung thời gian công sức thực đề tài với nỗ lực thân, em hoàn thành đồ án cách thuận lợi thu kết định Tuy nhiên, bên cạnh kết đạt chắn không tránh khỏi sai lầm, thiếu Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM sót q trình thực đồ án tốt nghiệp Em mong nhận phản hồi từ phía thầy cơ, phê bình góp ý thầy học quý báu cho em Em xin gửi lời cảm ơn chân thành tỏ lòng biết ơn sâu sắc tới giảng viên Mai Thị Huyền, giảng viên môn Công nghệ thông tin, Khoa Công nghệ thông tin, Trường Đại học công nghiệp Việt - Hung Trong suốt thời gian thực luận văn cô Các nhiệm vụ cụ thể ĐATN: thầy cô Khoa công nghệ thông tin dạy dỗ chúng em học , kinh nghiệm quý báu Em xin kính chúc thầy ln ln mạnh khỏe, tiếp tục đạt nhiều thành công nghiệp giáo dục vĩ đại Các nhiệm vụ cụ thể ĐATN: MỤC LỤC PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP .1 LỜI CẢM ƠN .1 MỤC LỤC DANH MỤC CÁC HÌNH VẼ TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VỀ GIAO DỊCH THANH TOÁN NGÂN HÀNG QUA THẺ ATM CHƯƠNG 22 CƠ CHẾ BẢO MẬT VÀ LỖ HỔNG AN NINH KHI GIAO DỊCH QUA THẺ ATM 22 CHƯƠNG 31 CÁC GIẢI PHÁP BẢO MẬT, ƯU NHƯỢC ĐIỂM CỦA TỪNG GIẢI PHÁP 31 + Visionics giới thiệu hệ thống nhận dạng khuôn mặt .39 CHƯƠNG IV 63 XÂY DỰNG GIẢI PHÁP CHỮ KÝ ĐIỆN TỬ ỨNG DỤNG VÀO THẺ ATM .63 I.CHỮ KÝ ĐIỆN TỬ .63 II.DỊCH VỤ TRUYỀN FILE 65 III.PHÂN TÍCH VÀ THIẾT KẾ 71 Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Cách làm việc digital signature 71 Thuật tốn mã hóa RSA 77 III.3 CÁC VẤN ĐỀ ĐẶT RA TRONG THỰC TẾ 80 1.An ninh 80 2.Q trình tạo khóa .81 3.Tốc độ 81 4.Phân phối khóa 82 5.Tấn công 82 IV.XÂY DỰNG GIẢI PHÁP CHỮ KỸ ĐIỆN TỬ ỨNG DỤNG VÀO GIAO DỊCH THANH TOÁN NGÂN HÀNG 83 III.4 XÂY DỰNG CHƯƠNG TRÌNH VÀ MỘT SỐ KẾT QUẢ ĐẠT ĐƯỢC .85 Do hạn chế kiến thức, thời gian công nghệ nên em xây dựng SAT hồn hảo mong muốn Trong có số khó khăn sau: 85 1.Mơi trường thực 86 Chương trình chạy hầu hết hệ điều hành windows Cài đặt ngôn ngữ C# môi trường Visual Studio 2005 86 Kết đạt 86 Hình 26 Giao diện trình truyền file 92 KẾT LUẬN 93 Kết đạt được: .93 Hạn chế: .93 Hướng phát triển: 93 TÀI LIỆU THAM KHẢO 94 Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM DANH MỤC CÁC HÌNH VẼ TĨM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP - Tìm hiểu giao dịch toán ngân hàng qua thẻ ATM Cơ chế bảo mật lỗ hổng an ninh giao dịch qua thẻ ATM Các giải pháp bảo mật, ưu nhược điểm giải pháp Xây dựng giải pháp chữ ký điện tử ứng dụng vào giao dịch ngân hàn qua thẻ ATM Kết luận hướng phát triển Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM ABSTRACT OF THESIS - Study about banking payment transaction by ATM card Security structure and gaps in the security when ATM card transaction Security solutions, the advantage – weaknesses of each individual case To set up digital Signature solution apply for banking payment transaction by ATM card Conclusion and the way of development Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM LỜI GIỚI THIỆU Thế giới bước vào kỷ nguyên bùng nổ thông tin Cùng với phát triển vũ bão phương tiện truyền thông đại chúng, lĩnh vực truyền thơng máy tính phát triển khơng ngừng Khơng thể phủ nhận tiện ích to lớn mà ngành công nghệ thông tin đem lại cho đời sống ứng dụng nhân loại Công nghệ thông tin len lỏi vào ngõ ngách đời sống sinh hoạt người Nhờ phát triển không ngừng lĩnh vực công nghệ thông tin, lĩnh vực tài ngân hàng có bước chuyển mạnh mẽ Một ví dụ điển hình trình giao dịch ngân hàng khách hàng trở nên đơn giản, gọn nhẹ nhiều sau ứng dụng công nghệ thông tin vào công việc quản lý Chỉ với thao tác đơn giản bạn sở hữu thẻ toán ATM bạn “giao dịch” với ngân hàng mà khơng cần phải trực tiếp đến ngân hàng Qua giúp bạn tiết kiệm thời gian ngân hàng tránh tình trạng q tải trường hợp có nhiều người đến ngân hàng để trực tiếp giao dịch Việc giao dịch ngân hàng khách hàng không đơn gửi tiền rút tiền Chỉ với thẻ ATM nạp tiền mang theo người, mua sắm, tốn hóa đơn điện – nước, nhiều tiện ích khác nữa, Lợi ích là: giúp bạn tránh phải mang nhiều tiền mặt, việc tốn trở nên nhanh gọn xác, với khả giao dịch tự động 24/7, thủ tục nhanh chóng, thuận tiện, dịch vụ ATM trở thành phần thiếu người có tài khoản ngân hàng Tuy nhiên bên cạnh tiện lợi nguy an tồn, khả bị đánh cắp thơng tin khơng nhỏ Bạn bị kẻ xấu lợi dụng đánh cắp thông tin làm giả thẻ để rút tiền tài khoản Ngân hàng bị lợi dụng để rút tiền vượt nhiều so với số dư tài khoản thẻ Theo thống kê Việt Nam năm trở lại xảy nhiều vụ người dùng bị thẻ (do bị kẻ xấu lợi dụng làm giả thẻ rút sách tiền tài khoản), số ngân hàng lỗ hổng bảo mật dẫn đến tình trạng tài khoản rút vượt số dư tài khoản lên đến hàng tỷ đồng Chính nhu cầu bảo mật giao dịch toán qua ngân hàng nói chung bảo mật giao dịch tốn ngân hàng qua thẻ ATM nói riêng ngày trở nên cấp bách Từ luật điểm này, phạm vi đồ án tốt nghiệp em tìm hiểu giao dịch tốn ngân hàng qua thẻ ATM Từ đưa giải pháp ứng dụng việc bảo mật toán ngân hàng qua thẻ ATM nhằm hạn chế kẻ xấu lợi dụng lỗ hổng an ninh để thực hành vi phạm pháp Trong giải pháp em đưa ra, em sâu giải pháp “chữ ký điện tử” Trên sở em tiến hành xây dựng chương trình SAT, SAT hiểu từ viết tắt từ cụm từ Security for ATM (Bảo vệ thẻ ATM) Digital Signature for ATM (chữ ký điện tử cho thẻ ATM) Chương trình nhằm xây dựng thêm lớp bảo mật giải pháp xác thực người dùng hai yếu tố: Thẻ ATM (cái mà bạn có) số PIN (cái mà có bạn biết) Sau xác thực người dùng hai yếu tố truyền thống, hệ thống yêu cầu phải Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM xác nhận thêm Passcode Sau nhập xong Passcode, liệu mã hóa gửi sever để kiểm tra Trong trình làm đồ án em cố gắng để đạt kết tốt Tuy nhiên, hạn chế kiến thức thời gian làm đồ án chắn em khơng tránh khỏi thiếu sót Sự đóng góp ý kiến thầy cô bạn bè sở để em khắc phục phát triển đồ án có tính ứng dụng cao nữa, hi vọng ngày triển khai thực tế Em xin chân thành cảm ơn tất ý kiến đóng góp q báu thầy bạn bè Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM CHƯƠNG I TÌM HIỂU VỀ GIAO DỊCH THANH TỐN NGÂN HÀNG QUA THẺ ATM i HỆ THỐNG THANH TOÁN NGÂN HÀNG QUA THẺ ATM Lịch sử thẻ toán điện tử ATM Là từ viết tắt từ cụm từ Automated Teller Machine, nên hiểu máy giao dịch tự động, không đơn máy rút tiền tự động (Teller tiếng Mỹ có nghĩa thủ quỹ.) Ngồi giao dịch rút tiền mặt, máy có chức nhận tiền gửi, tốn khơng dùng tiền mặt, chuyển khoản, kiểm tra số dư tài khoản mà khơng cần có tham gia nhân viên ngân hàng Thẻ ATM coi công cụ văn minh, linh hoạt, hỗ trợ khách hàng điều hành tài khoản cá nhân cách hiệu quả, nhanh chóng, an tồn bảo mật Nó mang lại nhiều tiện ích cho khách hàng Vậy ATM đời nào? Một buổi tối năm 1949, lúc trả tiền bữa ăn đãi khách, luật sư người Mỹ Franck McNamara biết qn mang ví lẫn chi phiếu “Thật xấu hổ chưa thấy!” – Ông ta nhớ lại Năm sau, Franck vận động 14 nhà hàng New York chấp nhận để 200 đồng nghiệp thân hữu trả tiền cách xuất trình thẻ nhỏ Diners Club – Câu lạc ăn tối – đời thành cơng nhanh chóng Một năm sau nữa, 20.000 người cấp thẻ Diners Tổ chức bắt đầu phát triển nước năm 1952 Phương thức American Express bắt chước vào năm 1958, cải tiến với thẻ nhựa có khả tốn du lịch, vòng năm năm đạt triệu khách hàng Tại Pháp, kiểu chi trả đời từ hợp tác năm ngân hàng lớn: Crédit Lyonnais, Société Générale, BNP, CIC, CCF Vào thời gian ấy, chi phiếu phát triển tràn lan chuyện xử lý trở nên tốn Từ manh nha ý tưởng thẻ nhỏ để tốn mà khơng cần chữ ký tờ séc Khởi đầu, năm 1967, có nhóm nhỏ người sử dụng tuyển chọn số 19% chủ trương mục ngân hàng Lúc ấy, khoảng 17.000 khách sạn, nhà hàng cửa hàng sang trọng chấp nhận kiểu chi trả Phần lớn nhà bn Pháp khơng thèm ngó ngàng đến hệ thống chi trả “chấm mút” từ 2-3% hoa hồng cho hóa đơn giao dịch franc! Hết năm 1971 có 550.000 người sử dụng thẻ toán 40.000 sở kinh doanh Pháp Nhưng tiến kỹ thuật cứu nguy cho họ: thẻ từ xuất Người ta xếp hàng dài trước quầy chẳng cần chờ đợi văn phòng mở cửa Năm 1968, Cơng ty Marseillaise de Crédit đưa vào phục vụ vài “cỗ máy rút tiền” Đưa vào máy thẻ có đục lỗ ngân hàng phát hành gõ mã số Máy nhả số tiền cố định 200 franc, dạng tờ 50 F tờ 10 F Chiếc thẻ máy giữ lại, gửi trả cho khách hàng 24 sau Sau đó, thẻ từ cho đời hệ máy tự động rút tiền Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Thời báo chí Pháp tràn ngập quảng cáo theo dạng: Làm có 500 franc vào lúc nửa đêm mà không cần phải cướp ngân hàng? Làm rút tiền trương mục 10 giây không cần bước vào cửa ngân hàng? Việc chế tạo lắp đặt máy rút tiền đắt, từ 100.000-300.000F cho máy Vào năm 1974 nước Pháp có 476 máy, 45.000 Máy rút tiền đại hóa việc chi trả qua thẻ nặng nề Mỗi buổi tối, nhà bn phải gom thu hóa đơn chuyển đến ngân hàng, đồng thời xác minh chi phiếu khơng bảo chứng Năm 1979, nhóm Liên hiệp ngân hàng Pháp gồm: Thẻ Xanh, Crédit Agricole Ngân hàng Bình dân cho đời thẻ tín dụng điện tử việc xử lý hóa đơn dễ dàng Những năm cuối thập niên 1970, Pháp, nạn cướp tiền lương tháng xí nghiệp thúc đẩy việc trả tiền qua thẻ điện tử Năm 1976, số người dùng thẻ tăng gấp đôi, lên đến 1,2 triệu người, siêu thị từ chối trang bị máy rút tiền khơng muốn chi trả huê hồng Tại Pháp có ba hệ thống chi trả độc lập: thẻ xanh Crédit Agricole làm bá chủ vùng nông thôn, thẻ xanh dương thành phố Intercarte Năm 1982, Ngân hàng Bình dân dùng thẻ xanh dương 18 tháng sau, Liên minh ngân hàng cho đời thẻ Carte Bancaire (CB) Năm 1985, loại thẻ ngân hàng máy rút tiền chấp nhận Từ CB phổ biến mạnh, siêu thị từ chối Và từ ba năm qua, thẻ toán qua mặt việc dùng séc Tấm thẻ chữ nhật chinh phục giới 1882 - American Express, công ty bưu tốc hành phát triển thời với nước Mỹ, lao vào thị trường ngân phiếu Hệ thống chi trả từ xa bảo đảm an ninh cho giao dịch Chỉ sau mười năm thử nghiệm, họ phát hành ngân phiếu du lịch 1951 - Franck McNamara nghĩ thẻ cho phép tốn hóa đơn nhà hàng, lập Câu lạc ăn tối 1959 - Jacques de Fouchier, nhà ngân hàng, thành lập Cetelem, tổ chức tín dụng chi tiêu Sau đó, liên minh với Tập đồn tài Galeries Lafayette để phát hành thẻ tín dụng 1967 - Các nhà buôn nằm mạng lưới thẻ xanh dương trang bị người cỗ máy gọi “bàn ủi” để lập hóa đơn bán hàng gồm gốc hai in giấy than 1968 - Sáng kiến lập thẻ xanh dương ngân hàng lớn Pháp khiến đối thủ họ lao theo phiêu lưu Ngân hàng Bình dân gia nhập thị trường với thẻ Intercarte 10 năm sau, Crédit Agricole tung thẻ xanh 1972 - Các công ty dầu hỏa với mạng lưới trạm xăng dầu dày đặc phát hành loại thẻ tín dụng riêng cho khách hàng ruột 1974 - Ngày 1-4, Tập đoàn thẻ xanh dương Pháp ký kết với Bank American để phát hành thẻ tín dụng quốc tế Visa Từ nay, người Pháp trả tiền nước ngồi nhờ thẻ Loại hình du lịch balơ bùng phát Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM 1979 - Ngày 5-2, Ngân hàng Ain đề nghị kiểu chi trả thẻ từ với mật mã khách hàng tự điền vào Đây hình thức toán điện tử 1989 - Các ngân hàng tìm cách tạo an tồn tối đa cho giao dịch Sau bảy năm thử nghiệm, họ chọn việc sử dụng bọ điện tử Nhà nghiên cứu Pháp Roland Moreno hợp tác với Công ty Cii-Honeywell Bull phát minh hệ thống “bất khả xâm phạm” 1996 - Chính phủ Pháp cho phép sử dụng sổ tiết kiệm nhỏ thẻ rút tiền dành cho trẻ em từ 12 tuổi trở xuống giống người lớn, ngoại trừ việc chúng không phép mở 2007 - Trả tiền điện thoại di động chẳng phổ biến Pháp, giống Nhật Bản Thử nghiệm diễn Strasbourg ngân hàng Crédit Mutuel, CIC với nhà sản xuất Sagem Muốn trả tiền cần đưa điện thoại di động vào tầm phủ sóng thiết bị toán cửa hàng Số tiền lên hình khách bấm mã số bàn phím điện thoại Cấu tạo ATM Máy ATM có hai thiết bị đầu vào: - Bộ phận đọc thẻ: Bộ phận nắm bắt thông tin tài khoản lưu giữ dải băng từ mặt sau thẻ ATM, thẻ nợ thẻ tín dụng Máy chủ sử dụng thơng tin truyền gửi giao dịch cho ngân hàng chủ thẻ - Bàn phím: Bàn phím khiến chủ thẻ cho ngân hàng biết loại giao dịch yêu cầu (rút tiền, vấn tin số dư ) với số lượng Về phía mình, ngân hàng u cầu số PIN (mã số riêng) chủ thẻ để kiểm tra Luật Liên bang Hoa Kỳ quy định nhóm số PIN gửi cho máy chủ dạng mật mã Máy ATM có bốn thiết bị đầu ra: - Speaker: Speaker đưa cho chủ thẻ thông tin phản hồi giọng nói phím bấm - Màn hình hiển thị: Màn hình hiển thị đưa lời nhắc cho chủ thẻ theo bước trình giao dịch Các máy ATM thuê đường dây thường sử dụng hình đen trắng hình màu chân không Máy ATM quay số thường sử dụng hình đen trắng hình màu tinh thể lỏng - In hóa đơn: Bộ phận in hóa đơn cung cấp cho chủ thẻ hóa đơn in giấy giao dịch - Bộ phận trả tiền: Phần quan trọng máy ATM chế trả tiền chế an toàn Toàn phần đáy hầu hết máy ATM nhỏ két sắt để đựng tiền Cơ chế trả tiền có mắt điện tử để đếm tờ giấy bạc khỏi máy trả tiền Tổng số tờ giấy bạc tất thông tin liên quan đến giao dịch cụ thể ghi vào sổ Cuốn sổ thông tin in định kỳ in giấy người chủ sở hữu máy ATM lưu giữ vòng hai năm Bất chủ thẻ có tranh chấp giao dịch, yêu cầu in giao dịch, sau tiếp xúc với bên sở hữu máy chủ Nếu nơi không cung cấp in từ sổ, chủ thẻ cần phải thông báo cho ngân hàng định chế phát hành thẻ biết điền vào Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM dạng Tiêu chuẩn PKCS bổ sung tính khác để đảm bảo an tồn cho chữ ký RSA (Probabilistic Signature Scheme for RSA - RSA-PSS) g) Tạo chữ ký vào văn Thuật toán RSA dùng để tạo chữ ký điện tử cho văn Giả sử Alice muốn gửi cho Bob văn có chữ ký Để làm việc này, Alice tạo giá trị băm (hash value) văn cần ký tính giá trị mũ d mod N (giống Alice thực giải mã) Giá trị cuối chữ ký điện tử văn xét Khi Bob nhận văn với chữ ký điện tử, tính giá trị mũ mod n chữ ký đồng thời với việc tính giá trị băm văn Nếu giá trị Bob biết người tạo chữ ký biết khóa bí mật Alice văn khơng bị thay đổi sau ký Cần ý phương pháp chuyển đổi rõ (như RSA-PSS) giữ vai trò quan trọng q trình mã hóa chữ ký điện tử không dùng khóa chung cho đồng thời cho hai mục đích III.3 CÁC VẤN ĐỀ ĐẶT RA TRONG THỰC TẾ An ninh Độ an toàn hệ thống RSA dựa vấn đề toán học: toán phân tích thừa số nguyên tố số nguyên lớn toán RSA Nếu toán khó (khơng tìm thuật tốn hiệu để giải chúng) khơng thể thực việc phá mã toàn RSA Phá mã phần phải ngăn chặn phương pháp chuyển đổi rõ an tồn Bài tốn RSA tốn tính bậc e mơđun n (với n hợp số): tìm số m cho me=c mod n, (e, n) khóa cơng khai c mã Hiện phương pháp triển vọng giải tốn phân tích n thừa số nguyên tố Khi thực điều này, kẻ cơng tìm số mũ bí mật d từ khóa cơng khai giải mã theo quy trình thuật tốn Nếu kẻ cơng tìm số nguyên tố p q cho: n = pq dễ dàng tìm giá trị (p-1)(q-1) qua xác định d từ e Chưa có phương pháp tìm máy tính để giải tốn thời gian đa thức (polynomial-time) Tuy nhiên người ta chưa chứng minh điều ngược lại (sự không tồn thuật tốn) Xem thêm phân tích thừa số nguyên tố vấn đề Tại thời điểm năm 2005, số lớn phân tích thừa số ngun tố có độ dài 663 bít với phương pháp phân tán khóa RSA có độ dài từ 1024 tới 2048 bít Một số chun gia cho khóa 1024 bít sớm bị phá vỡ (cũng có nhiều người phản đối việc này) Với khóa 4096 bít khơng có khả bị phá vỡ tương lai gần Do đó, người ta thường cho RSA đảm bảo an toàn với điều kiện n chọn đủ lớn Nếu n có độ dài 256 bít ngắn hơn, bị phân tích vài với máy tính cá nhân dùng phần mềm có sẵn Nếu n có độ dài 512 bít, bị phân tích vài trăm máy tính thời điểm năm 1999 Một thiết bị lý thuyết có tên TWIRL Shamir Tromer mô tả năm 2003 đặt câu Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM hỏi độ an tồn khóa 1024 bít Vì người ta khuyến cáo sử dụng khóa có độ dài tối thiểu 2048 bít Năm 1993, Peter Shor cơng bố thuật tốn Shor rằng: máy tính lượng tử (trên lý thuyết) giải tốn phân tích thừa số thời gian đa thức Tuy nhiên, máy tính lượng tử chưa thể phát triển tới mức độ nhiều năm Q trình tạo khóa Việc tìm số nguyên tố đủ lớn p q thường thực cách thử xác suất số ngẫu nhiên có độ lớn phù hợp (dùng phép kiểm tra nguyên tố cho phép loại bỏ hầu hết hợp số) p q cần chọn khơng q gần để phòng trường hợp phân tích n phương pháp phân tích Fermat Ngồi ra, p-1 q-1 có thừa số ngun tố nhỏ n dễ dàng bị phân tích p q cần thử để tránh khả Bên cạnh đó, cần tránh sử dụng phương pháp tìm số ngẫu nhiên mà kẻ cơng lợi dụng để biết thêm thông tin việc lựa chọn (cần dùng tạo số ngẫu nhiên tốt) Yêu cầu số lựa chọn cần đồng thời ngẫu nhiên khơng dự đốn Đây yêu cầu khác nhau: số lựa chọn ngẫu nhiên (khơng có kiểu mẫu kết quả) dự đốn dù phần an ninh thuật tốn khơng đảm bảo Một ví dụ bảng số ngẫu nhiên tập đoàn Rand xuất vào năm 1950 thực ngẫu nhiên kẻ cơng có bảng Nếu kẻ cơng đốn nửa chữ số p hay q chúng dễ dàng tìm nửa lại (theo nghiên cứu Donald Coppersmith vào năm 1997) Một điểm cần nhấn mạnh khóa bí mật d phải đủ lớn Năm 1990, Wiener giá trị p nằm khoảng q 2q (khá phổ biến) d < n1/4/3 tìm d từ n e Mặc dù e có giá trị số mũ nhỏ khơng sử dụng tạo nên lỗ hổng (đã đề cập phần chuyển đổi văn rõ) Giá trị thường dùng 65537 xem đủ lớn khơng lớn ảnh hưởng tới việc thực hàm mũ Tốc độ RSA có tốc độ thực chậm đáng kể so với DES thuật toán mã hóa đối xứng khác Trên thực tế, Bob sử dụng thuật tốn mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với văn bản) Phương thức tạo vấn đề an ninh Một ví dụ cần phải tạo khóa đối xứng thật ngẫu nhiên Nếu không, kẻ công (thường ký hiệu Eve) bỏ qua RSA tập trung vào việc đốn khóa đối xứng Tìm hiểu giải rpháp bảo mật cho giao dịch tốn Ngân hàng qua thẻ ATM Phân phối khóa Cũng giống thuật tốn mã hóa khác, cách thức phân phối khóa cơng khai yếu tố định độ an toàn RSA Q trình phân phối khóa cần chống lại cơng đứng (man-in-the-middle attack) Giả sử Eve gửi cho Bob khóa khiến Bob tin khóa (cơng khai) Alice Đồng thời Eve có khả đọc thơng tin trao đổi Bob Alice Khi đó, Eve gửi cho Bob khóa cơng khai (mà Bob nghĩ khóa Alice) Sau đó, Eve đọc tất văn mã hóa Bob gửi, giải mã với khóa bí mật mình, giữ copy đồng thời mã hóa khóa cơng khai Alice gửi cho Alice Về nguyên tắc, Bob Alice không phát can thiệp người thứ ba Các phương pháp chống lại dạng công thường dựa chứng thực điện tử (digital certificate) thành phần hạ tầng khóa cơng cộng (public key infrastructure - PKI) Tấn công 5.1 Tấn công dựa thời gian Vào năm 1995, Paul Kocher mô tả dạng công lên RSA: kẻ công nắm đủ thơng tin phần cứng thực mã hóa xác định thời gian giải mã số mã lựa chọn nhanh chóng tìm khóa d Dạng cơng áp dụng hệ thống chữ ký điện tử sử dụng RSA Năm 2003, Dan Boneh David Brumley chứng minh dạng công thực tế hơn: phân tích thừa số RSA dùng mạng máy tính (Máy chủ web dùng SSL) Tấn công khai thác thông tin rò rỉ việc tối ưu hóa định lý số dư Trung quốc mà nhiều ứng dụng thực Để chống lại công dựa thời gian đảm bảo q trình giải mã ln diễn thời gian không đổi văn mã Tuy nhiên, cách làm giảm hiệu suất tính tốn Thay vào đó, hầu hết ứng dụng RSA sử dụng kỹ thuật gọi che mắt Kỹ thuật dựa tính nhân RSA: thay tính cd mod n, Alice chọn số ngẫu nhiên r tính (rec)d mod n Kết phép tính rm mod n tác động r loại bỏ cách nhân kết với nghịch đảo r Đỗi với văn mã, người ta chọn giá trị r Vì vậy, thời gian giải mã khơng phụ thuộc vào giá trị văn mã 5.2 Tấn cơng lựa chọn thích nghi mã Năm 1981, Daniel Bleichenbacher mơ tả dạng cơng lựa chọn thích nghi mã (adaptive chosen ciphertext attack) thực thực tế văn mã hóa RSA Văn mã hóa dựa tiêu chuẩn PKCS #1 v1, tiêu chuẩn chuyển đổi rõ có khả kiểm tra tính hợp lệ văn sau giải mã Do khiếm khuyết PKCS #1, Bleichenbacher thực công lên RSA dùng cho giao thức SSL (tìm khóa phiên) Do phát này, mơ hình chuyển đổi an tồn chuyển đổi mã hóa bất đối xứng tối ưu (Optimal Asymmetric Encryption Padding) khuyến cáo sử dụng Đồng thời phòng nghiên cứu RSA đưa phiên PKCS #1 có khả chống lại dạng cơng nói Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM IV XÂY DỰNG GIẢI PHÁP CHỮ KỸ ĐIỆN TỬ ỨNG DỤNG VÀO GIAO DỊCH THANH TOÁN NGÂN HÀNG Yêu cầu đặt Theo chế quản lý giao dịch với ngân hàng qua thẻ ATM Nếu muốn rút tiền từ máy ATM, cần phải có đủ hai yếu tố sau: thẻ ATM (ATM card) mã số cá nhân hay gọi PIN Do vậy, muốn rút tiền người khác bắt buộc phải có đủ hai yếu tố thẻ ATM số PIN Nếu chủ sở hữu có bị thẻ người cầm thẻ khơng thể rút tiền hay có đánh cắp số PIN phải có thẻ ATM tiến hành rút tiền Đây giải pháp xác thực người dùng hai yếu tố, ta thấy việc xác thực người dùng mật khơng an tồn Đây khẳng định Bill Gate (chủ tịch Microsoft) hội thảo an ninh mạng hãng RSA tổ chức vào tháng năm 2004 Vậy yêu cầu đặt ra, xây dựng theo lớp bảo mật việc xác thực người dùng hai yếu tố (Thẻ ATM + Mã PIN) Xây dựng giải pháp Giải pháp đưa ta xây dựng chương trình SAT (Security for ATM or Digital Signature for ATM) SAT gồm thành phần: SAT SA SAT Agent Software SAT Server • SAT SA (SAT SecurID Authenticators): Là thiết bị gắn với người sử dụng, cụ thể gắn thẻ ATM Chúng gọi Token (mã thông báo), Các thiết bị tạo số khác khoảng thời gian định • SAT Agent Software: phần mềm cài lên điểm truy cập vào mạng (cụ thể máy ATM đặt điểm giao dịch) SAT Agent Software hoạt động giống người gác cổng, có yêu cầu đăng nhập người sử dụng gửi đến, tiếp nhận chuyển thơng tin đăng nhập tới máy chủ có thành phần SAT Server để thực xác thực • SAT Server: thành phần quản trị giải pháp SAT, sử dụng để kiểm tra yêu cầu xác thực quản trị tập trung sách xác thực tồn hệ thống Mục tiêu xây dựng SAT Server mở rộng theo nhu cầu ngân hàng, có khả xác thực hàng triệu người sử dụng  Cơ chế hoạt động SAT Thành phần SAT SA hay gọi Token gắn thẻ ATM người sử dụng, có khả tạo chuỗi số khác sau khoảng thời gian định (Thông thường phút) Giả sử khách hàng đăng nhập vào hệ thống điểm giao dịch ATM, thao tác đút thẻ vào mã nhập mã PIN người sử dụng yêu cầu nhập thêm dãy số gọi Passcode Việc nhập thêm Passcode để xác Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM thực xem thông tin mã PIN liệu có phải chủ thẻ thực thực giao dịch khơng? Hình 20 Sơ đồ mơ tả hoạt động SAT Passcode gồm có hai thành phần số PIN dẫy số xuất token (Token code) người vào thời điểm đăng nhập Tất thông tin vừa đăng nhập thành phần SAT Agent Software (được cài sẵn máy giao dịch ATM) tiếp nhận thành phần lại gửi thông tin đến SAT Server Server đặt hội sở ngân hàng có số PIN người sử dụng sở liệu Ngồi ra, có chế cho phép tính tốn dẫy số SAT Server ghép số PIN sở liệu dẫy số vừa tính xem có trùng hợp với thơng tin người dùng vừa đăng nhập không? Nếu hai dẫy số giống nhau, người dùng xác thực hợp lệ quyền đăng nhập vào hệ thống tiến hàng giao dịch cách bình thường Trong trường hợp ngược lại, quyền truy cập bị từ chối Cơ chế để SAT Server tính tốn dẫy số để so khớp với dẫy số token người sử dụng tương đối đơn giản Để tạo dẫy số thay đổi sau khoảng thời gian, token có thành phần sau: · Một đồng hồ bên (Tính theo UTC) · Một số Seed có độ dài 64 128 bits · Thuật toán tạo số giả ngẫu nhiên Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Với hai yếu tố thời gian số seed, sau áp dụng thuật toán tạo số giả ngẫu nhiên, token có số xuất hình (token code) sau khoảng thời gian xác định, thuật toán lại tạo số khác ứng với thời gian Thuật tốn ln tạo số thay đổi theo thời gian không lặp lại Do vậy, việc dự đoán trước số xuất số xuất thời điểm tương lai khơng thể (chỉ thực có số seed thuật toán) Khi gán token cho người sử dụng, quản trị mạng phải cập nhật số seed token vào sở liệu SAT Server tương ứng với người dùng Trên SAT Server có chương trình chạy thuật tốn tạo số giả ngẫu nhiên giống với token Khi có yêu cầu đăng nhập người sử dụng, vào tên đăng nhập, vào đồng hồ hệ thống, vào số seed lưu sở liệu, chạy thuật toán tạo số giả ngẫu nhiên, SAT Server có dẫy số giống với dẫy số token người sử dụng thời điểm Dãy số ghép với số PIN người sử dụng sở liệu, SAT Server kiểm tra người sử dụng có hợp lệ hay khơng Một vấn đề đặt ra, đồng hồ token đồng hồ SAT Server khơng giống nhau? Trong thực tế điều luôn xảy Tuy vậy, SAT Server ghi nhận lại sai lệch thời gian token đăng nhập SAT Server chấp nhận Passcode người sử dụng nằm khoảng thời gian sai lệch Ví dụ, SAT Server ghi nhận sai lệch token với phút chấp nhận Passcode người sử dụng mà rơi vào khoảng thời gian trước thời điểm đăng nhập phút, thời điểm sau thời điểm phút Khoảng thời gian sai lệch tối đa cho phép thay đổi SAT Server Q trình truyền thơng tin từ SAT Agent Software đến SAT Server xây dựng dựa tảng cơng nghệ chữ ký điện tử Có nghĩa thông tin từ SAT Agent Software gửi SAT Server mã hóa nhằm bảo mật thơng tin Cơ chế việc mã hóa là, SAT Server tạo cặp khóa cơng khai (Public key) khóa bí mật (Private key), SAT Server gửi cho SAT Agent Software khóa cơng khai SAT Agent Software dùng khóa cơng khai để mã hóa thơng tin mã SAT Agent Software muốn gửi cho SAT Server SAT Server nhận đoạn mã thơng tin dùng khóa bí mật để giải mã đoạn thơng tin III.4 XÂY DỰNG CHƯƠNG TRÌNH VÀ MỘT SỐ KẾT QUẢ ĐẠT ĐƯỢC Do hạn chế kiến thức, thời gian công nghệ nên em khơng thể xây dựng SAT hồn hảo mong muốn Trong có số khó khăn sau: Khơng có đủ cơng nghệ để xây dựng thẻ ATM có gắn kèm SAT SA (hay gọi Token) Khơng có thiết bị để tiến hành việc cài đặt phần mềm hệ thống máy ATM cài đặt Server điều khiển hệ thống ATM Từ khơng thể kiểm tra q trình mã hóa việc truyền thơng tin từ máy ATM gửi Server máy chủ Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Với kiến thức kinh nghiệm có, em tiến hành xây dựng mơ hệ thống SAT với chức mã hóa, giải mã, truyền file Mơi trường thực Chương trình chạy hầu hết hệ điều hành windows Cài đặt ngôn ngữ C# môi trường Visual Studio 2005 Với tính mạnh mẽ NET gồm 5000 class tích hợp 25 ngơn ngữ, NET hỗ trợ sẳn cho thư viện System.Security.Cryptography; để mã hóa thơng tin thuật tốn như: RSA, MD5, SHA1, SHA256, SHA384, SHA512… Ví dụ đoạn code sau dùng để mã hóa thuật tốn MD5 Tập tin sau mã hóa truyền đến máy khác mạng cục giao thức FTP // Mã hóa thuật tốn MD5 byte[] hash; byte[] plainBytes = Encoding.Unicode.GetBytes(document); MD5CryptoServiceProvider md5 = new MD5CryptoServiceProvider(); hash = md5.ComputeHash(plainBytes); md5.Clear(); //Kết thúc mã hóa MD5 Chương trình bao gồm hàm nhằm thực yêu cầu tạo khóa, mã hóa, giải mã, truyền file Ngồi chương trình lưu file mã hóa Kết đạt Chương trình tạo khóa bí mật, tạo khóa cơng khai Thực q trình mã hóa giải mã với nội dụng thơng tin ngắn, có dung lượng nhỏ Q trình truyền file thực bình thường máy mạng lan, ta gửi file lên host theo giao thức FTP Sau kết thực minh họa hình ảnh: Tìm hiểu giải rpháp bảo mật cho giao dịch tốn Ngân hàng qua thẻ ATM Hình 21 Giao diện chương trình Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Hình 22 Menu “Hệ thống” chương trình Tìm hiểu giải rpháp bảo mật cho giao dịch tốn Ngân hàng qua thẻ ATM Hình 23 Menu “Xử lý tài liệu” chương trình Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Nội dung trước mã hóa Hình 24 Giao diện trước mã hóa Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Nội dung mã hóa Hình 25 Giao diện sau mã hóa Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM Hình 26 Giao diện trình truyền file Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM KẾT LUẬN Kết đạt được: Trong trình làm đồ án, em đạt số kết sau: Về mặt lý thuyết:  Hiểu rõ giao dịch tốn ngân hàng qua thẻ ATM  Tìm hiểu mạng riêng ảo VPN  Nắm rõ cách mà hacker mũ đen thường dùng để ăn cắp thẻ ATM  Tìm hiểu chế bảo mật thông tin, bảo mật ngân hàng  Nắm rõ lý thuyết chữ ký điện tử ứng dụng Về mặt thực hành: Xây dựng Chươngg trình SAT, mơ q trình mã hóa, giải mã truyền file Hạn chế: Do thời gian hạn hẹp trình làm đồ án, kiến thức điều kiện sở vật chất nên chương trình thực chức mã hóa, giải mã truyền file máy Chương trình chưa test thử hệ thống server – client Mặt khác, ý tưởng em xây dựng chương trình SAT bao gồm ba thành phần chính: thiết bị gắn thẻ ATM; phần mềm cài hệ thống máy ATM điểm giao dịch; chương trình cài Serve máy chủ hội sở ngân hàng Tuy nhiên điều kiện thời gian, kiến thức, sở vật chất, nên SAT (tên chương trình) mơ phong q trình mã hóa, giải mã, truyền file Do tập trung xử lý vào chức chương trình, em chưa kiểm tra thơng tin giải mã tiếng Việt Nếu tài liệu cần mã hóa tiếng Việt có dấu giải mã chương trình khơng thị nội dung gốc tiếng Việt có dấu Hướng phát triển: Những vấn đề giải đồ án tảng chương trình SAT hồn thiện với đẩy đủ tính để ứng dụng bảo mật giao dịch toán ngân hàng thẻ ATM Nếu điều kiện cho phép, tương lai em hồn thiện chương trình SAT ứng dụng thử nghiệm vào hệ thống giao dịch thẻ ATM Từ giải pháp bảo mật nêu đồ án nhằm bảo mật giao dịch toán ngân hàng qua thẻ ATM Em tiếp tục tìm giải pháp hồn thiện chương trình Tìm hiểu giải rpháp bảo mật cho giao dịch toán Ngân hàng qua thẻ ATM TÀI LIỆU THAM KHẢO C# Network Programming, Richard Blum, NXB Sybex Website: http://vi.wikipedia.org/ - Bách khoa toàn thư mở wikipedia http://www.networksorcery.com/enp/default0901.htm RFC Sourcebook Lập trình Visual C#.net – Phương Lan Richard Blum, “C Sharp Network Programming”, Sybex 2003 MSDN Library for Visual Studio NET 2005 - Active Directory, ADSI and Directory Services http://www.youdzone.com/signature.html Từ nhiều nguồn trang web internet ... phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nối-điểm (site-to-site) • VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều... điểm- nối-điểm Tất nhiên, phải hỗ trợ hai giao diện Tunnel Hình Sơ đồ Site to Site VPN Kỹ thuật Tunneling mạng VPN truy cập từ xa Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm... Crédit Agricole tung thẻ xanh 1972 - Các công ty dầu hỏa với mạng lưới trạm xăng dầu dày đặc phát hành loại thẻ tín dụng riêng cho khách hàng ruột 1974 - Ngày 1-4 , Tập đồn thẻ xanh dương Pháp ký