Các hệ thống thanh toán và tiền điện tử
Trang 1III Các hệ thống thanh toán và tiền điện tử
1 Thanh toán thơng mại điện tử
Trong [1], đã lợc qua các qui trình cơ bản của thơng mại, và thấy rằng trong mọi qui trình đó đều có những hoạt động cần đợc đảm bảo an toàn thông tin Trong đó thì thanh toán là một khâu có một vị trí đặc biệt Khi thực hiện thơng mại điện tử ta phải tổ chức đợc các hệ thanh toán điện tử, tức hệ thống thanh toán mà toàn bộ giao tác thoả thuận giá cả, trả tiền, nhận tiền, giao hàng (nếu hàng hoá là thông tin) hoặc chứng thực giao hàng đều đợc thực hiện trên mạng Vấn đề chủ yếu ở đây là tạo ra đồng tiền điện tử, làm thế nào để kẻ mua ngời bán đều chấp nhận và sử dụng đợc tiện lợi nh tiền mặt thông thờng Tiền có chức năng là một phơng tiện mang giá trị, có khả năng trao đổi và cất giữ Chuyển sang môi trờng số hoá (digital) - hay điện tử - tiền điện tử là “một thông báo thanh toán mang một chữ kí điện tử có chức năng trao đổi hoặc cất giữ một giá trị” [4].
Tiền điện tử trong một hệ thanh toán có sự tham gia của ba bên [5,6,7]: một ngân hàng B, các khách hàng (ta kí hiệu đại diện U) và các cửa hàng (ta kí hiệu đại diện R) Giả sử các khách hàng U và cửa hàng R đều có mở tài khoản và kí gửi tiền thật tại ngân hàng B Quá trình thanh toán khi U mua hàng và giả tiền cho R qua ngân hàng B đợc diễn ra trên mạng (Internet) nh sau:
Ngân hàng phát hành các đồng tiền điện tử theo các mệnh giá khác nhau, đó chính là các thông báo đợc kí bởi khoá bí mật của ngân hàng - với mỗi mệnh giá dùng một khoá riêng (theo cách thực hiện của First Digital Bank [4]) Việc đầu tiên của quá trình là U rút tiền từ ngân hàng Giả sử U muốn rút một đồng tiền theo một mệnh giá nào đó U sinh ra một số xê ri một cách ngẫu nhiên (để khó có khả năng hai số xê ri trùng nhau, có thể lấy đó là một số có 100 chữ số), kí bằng khoá bí mật của mình rồi gửi đến ngân hàng Ngân hàng, dùng khoá công khai của U, tìm đợc số xê ri, rồi kí vào số xê ri đó bằng khoá bí mật tơng ứng với mệnh giá của đồng tiền và gửi lại U, đồng thời rút bớt từ tài khoản của U số tiền tơng ứng Nh vậy, U đã có đợc “đồng tiền” với số xê ri và mệnh giá đợc ngân hàng cấp.
Để trả tiền cho R, U chuyển “đồng tiền” đó đến R, R dùng khoá công khai của B để xác nhận đó là đồng tiền phát hành bởi B; chấp nhận đồng tiền và gửi lại ngân hàng B (thông báo nhận này đợc kí bởi khoá bí mật của R) B thử lại chữ kí của mình, và kiểm tra trong cơ sở dữ liệu của mình xem đồng tiền với số xê ri đó đã tiêu cha, nếu cha thì chấp nhận việc thanh toán, ghi thêm tiền vào tài khoản của R và báo với R biết, đồng thời huỷ số xê ri đó Sau khi thủ tục đó hoàn thành, R tiến hành giao hàng cho U và quá trình kết thúc.
(Tiếp theo kỳ trớc)
GS TS Phan Đình Diệu
Trang 2Một hệ thanh toán nh vậy là an toàn Với chữ kí điện tử của các bên, ta thấy cửa hàng không thể phủ định việc trả tiền của U, ngân hàng không thể phủ định việc mình đã phát hành đồng tiền hoặc đã nhận sự kí gửi từ R, và khách hàng, cũng không thể chối bỏ việc mình rút tiền từ ngân hàng và không thể tiêu tiền hai lần!
2 Tính ẩn danh (anonymity) của tiền điện tử và chữ kí mù
Hệ thanh toán nh mô tả ở trên có một số nhợc điểm mà trong những năm gần đây nhiều nhà khoa học đang cố tìm cách khôi phục Hai đặc điểm đợc xem là quan trọng nhất của một hệ thanh toán là tính an toàn của ngân hàng và tính ẩn danh của đồng tiền.
Tính an toàn của ngân hàng đợc thể hiện ở chỗ mỗi đồng tiền đợc ngân hàng phát hành không thể đợc tiêu quá một lần, trong khi rất dễ sao chép một “đồng tiền” thành bao nhiêu bản tuỳ thích Tính an toàn này, trong sơ đồ nói trên, đợc đảm bảo bởi việc ngân hàng kiểm tra trong cơ sở dữ liệu (các đồng tiền đã phát hành) của mình xem một đồng tiền mà R định kí gửi đã bị tiêu cha Để thực hiện điều này, đòi hỏi các cơ sở dữ liệu lớn, chi phí kiểm tra tốn kém Hiện nay, đang có xu hớng tìm các giải pháp không cần kiểm tra cơ sở dữ liệu, mà ngay trong kết cấu đồng tiền phải có đủ thông tin để nếu U tiêu tiền hai lần thì bị phát hiện Và nếu thực hiện theo hớng này, thì ngay cả khi có cơ sở dữ liệu lớn, việc kiểm tra độ an toàn nhiều cấp càng hiệu quả hơn.
Tính ẩn danh là một yêu cầu tế nhị Tiền mặt thông thờng có tính ẩn danh, nghĩa là việc chi tiêu nó không để lại dấu vết để có thể theo dõi quá trình chuyển vận của đồng tiền và việc mua bán của ngời tiêu tiền Vấn đề tính ẩn danh có thể và cần đ-ợc tôn trọng tuyệt đối hay không là một vấn đề đang thảo luận [8], tuy nhiên về mặt kĩ thuật, đây là một vấn đề thú vị đang đợc nghiên cứu rộng rãi D Chaum, ngời chủ trì hệ thống Digicash hiện nay, chính là ngời ngay từ đầu những năm 80 đã phát minh ra phơng pháp chữ kí mù (blind signature [9]) để tạo ra các đồng tiền ẩn danh, và Chaum xem tính ẩn danh là một đặc điểm chủ yếu cho bất kì một hệ thanh toán điện tử nào ý cơ bản của chữ kí mù là nh sau:
Giả sử trong hệ thống dùng phơng pháp mã khoá công khai RSA Để che đậy mọi dấu vết của đồng tiền (đối với ngân hàng) thì cách tốt nhất là không để ngân hàng biết số xê ri của đồng tiền khi kí xác nhận lên đồng tiền đó Đối với ngân hàng, điều quan trọng khi phát hành đồng tiền điện tử là thông tin về khách hàng và mệnh giá đồng tiền, do đó có thể chấp nhận kí phát hành một đồng tiền mà số xê ri bị che dấu Việc đó đợc thực hiện ở khâu rút tiền từ ngân hàng nh sau: Giả sử
(n, e) là khoá công khai và d là khoá bí mật của ngân hàng Giả sử khách hàng U
muốn rút một đồng tiền và chọn số xê ri là m U sẽ làm mù số xê ri đó bằng cách nhân m với một số re mod n, trong đó r là một số ngẫu nhiên mà U chọn và giữ
kín Nh vậy U sẽ gửi đến ngân hàng số xê ri đã bị làm mù m’ = m.re mod n Ngân
hàng kí trên số m’ với chữ kí sig(m’) = m’d mod n Nhận đợc sig(m’) từ ngân
hàng, U sẽ xoá mù chữ kí bằng cách chia sig(m’) cho r, và đợc chữ kí của ngân
Ngời ta cũng đã phát triển nhiều loại đồng tiền điện tử ẩn danh khác, nh trong sơ đồ Brands [4], tính ẩn danh đợc thực hiện dựa trên sơ đồ chữ kí Schnorr.
Mặc dầu đã có nhiều nghiên cứu và thử nghiệm, nhng theo [4] cho đến nay thực sự cha có một hệ tiền điện tử nào đợc sử dụng mà hoàn toàn có tính ẩn danh cả Việc nghiên cứu để có giải pháp tốt cho các đồng tiền điện tử và các hệ thanh toán
Trang 3điện tử vẫn còn đợc tiếp tục Và nó có đợc chấp nhận hay không còn phụ thuộc vào nhiều yếu tố, nhất là ngân hàng, tiền điện tử chỉ là "số hoá" của tiền thật mà Ngân hàng đang quản lý, chịu trách nhiệm trung gian thanh toán giữa U và R.
Nh nhiều chuyên gia nhận xét, thơng mại điện tử là kết quả của sự phối hợp của kinh tế và lí thuyết mật mã Nhận xét đó nói lên tầm quan trọng và những đóng góp rất cơ bản của lí thuyết mật mã vào sự hình thành và phát triển của tiền điện tử, thanh toán điện tử, nó đòi hỏi nhiều yếu tố, nhng việc đào tạo một lực lợng có hiểu biết sâu sắc và vận dụng thành thạo lí thuyết mật mã hiện đại là hết sức cần thiết và cấp bách, khi chúng ta muốn mở rộng thị trờng thơng mại điện tử trong n-ớc và sớm Hội nhập vào thị trờng cộng đồng quốc tế
Tài liệu dẫn
[1] Phan Đ.D An toàn thông tin và thơng mại điện tử Tạp chí tin học Ngân hàng số 4/99.[2] D Stinson Cryptography Theory and Practice CRC Press, 1995
[3] B Schneier Applied Cryptography John Wiley&Son, 1996
[4] J Grabbe Introduction to digital cash http://www.aci.net/kalliste/.
[5] D Chaum Achieving electronic privacy Scientific American, Aug 1992, 96-101 [6] A Chan, Y Frankel, Y Tsiounis Easycome - easy go divisible cash Euro CRYPT 98[7] M Peirce, D O’Mahony Scaleable, secure cash payment for WWW resources with the Pay Me protocol set 4[8] D Hans Truly anonymous digital cash can never work Web’s home pageth International WWW Conference, Dec 1995.
[9] D Chaum Blind signatures for untraceable payments Advances in Cryptology, CRYPTO’82, 199-203 .