TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN Tel (84-236) 3736949, Fax (84-236) 3842771 Website: http://dut.udn.vn/khoacntt, E-mail: cntt@dut.udn.vn BÁO CÁO MƠN HỌC MẬT MÃ HỌC ĐỀ TÀI: Tìm hiểu chế hoạt động giao thức SET Giảng viên hướng dẫn: Sinh viên thực hiện: Lớp: MSSV: PGS.TS Nguyễn Tấn Khôi Trần Quốc Lâm 15T3 102150175 Đà Nẵng - 2019 MỤC LỤC Giới thiệu Tổng quan giao thức SET 2.1 Vấn đề với SSL 2.2 Tổng quan giao thức SET 2.2.1 Mục đích thực thể 2.2.2 SET hoạt dộng 2.2.3 Tổng quan giao thức SET Cryptography 3.1 Tổng quan 3.2 Sử dụng khóa đối xứng 3.3 Sử dụng khóa bất đối xứng – Chữ ký số (các thơng tin tóm lược) 3.4 RSA-OAEP 3.5 Chữ ký kép Hoạt động SET 4.1 Các bước xử lý 4.2 Khởi tạo toán 4.3 Gửi thông điệp yêu cầu mua 4.4 Xác minh thông điệp yêu cầu mua 10 Đảm bảo chứng 11 5.1 Chứng bên tham gia 11 5.1.1 Chứng khách hàng 11 5.1.2 Chứng người bán hàng 11 5.1.3 Chứng cổng toán 11 5.1.4 Các chứng Acquirer 12 5.1.5 Các chứng Issuer 12 5.2 Thực đăng ký 12 5.2.1 Đăng ký bên tham gia 12 5.2.2 Hai vấn đề giao thức đăng ký 13 Bảo mật SET 13 6.1 Các yêu cầu bảo mật SET 14 TÀI LIỆU THAM KHẢO 15 Giới thiệu “ TMĐT cần diễn giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hệ mang tính chất thương mại dù có hay khơng có hợp đồng Các quan hệ mang tính thương mại bao gồm hoạt động sau đây: giao dịch thương mại cung cấp trao đổi hàng hóa dịch vụ; thỏa thuận phân phối; đại diện đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng cơng trình; tư vẫn; kỹ thuật cơng trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác tơ nhượng; liên doanh hình thức khác hợp tác công nghiệp kinh doanh; chuyên chở hàng hóa hay khách hàng đường biển, đường không, đường sắt đường bộ” TMĐT gồm hoạt động mua bán hàng hóa dịch vụ qua phương tiện điện tử, giao nhận nội dung kỹ thuật số mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới người tiêu dùng dịch vụ sau bán hàng, TMĐT yêu cầu: Cung cấp bảo mật thơng tin – Nó hồn thành việc sử dụng mã hóa thơng báo Đảm bảo tồn vẹn q trình truyền liệu – Nó hồn thành việc sử dụng chữ ký số Xác nhận cardholder chứng tỏ người sử dụng thẻ tốn hợp pháp Nó hồn thành việc sử dụng chữ ký số chứng cardholder Xác nhận buôn bán để chấp nhận giao dịch qua thẻ toán đảm bảo mối quan hệ với tài thu – Nó đựợc hồn thành việc sử dụng chữ ký số chứng thương mại Bảo vệ tất người tham gia hợp pháp giao dịch sử dụng cách an tồn Làm đơn giản tính vận hành với nhà cung cấp phần mềm mạng – Nó hồn thành việc sử dụng giao thức cụ thể khuôn dạng thông báo Tổng quan giao thức SET Các hệ thống tốn an tồn hay trích phát triển thương mại điện tử Có yếu tố bảo mật cần thiết cho toán điện tử an tồn (xác thực, mã hóa, tồn vẹn chống chối bỏ) Các q trình mã hóa hệ thống toán điện tử chấp nhận sử dụng giao thức giống SSL SET 2.1 Vấn đề với SSL Giao thức SSL, phát triển cách rộng rãi Internet ngày này, giúp đỡ để tạo chuẩn khả bảo mật cho website thương mại Đa phần người tiêu dùng sử dụng trình duyệt web có SSL, phần mềm server bán hàng Hàm trăm triệu USD dùng để mua bán khách hàng sử dụng số thẻ tín dụng họ website bán hàng có sử dụng cơng nghệ bảo mật SSL Trong trường hợp này, SSL cung cấp kênh bảo mật người tiêu dùng người bán hàng cho việc trao đổi thơng tin tốn Điều có nghĩa liệu gửi kênh mã hóa Hay nói cách khác, SSL tạo kết nối tin cậy, có rủi ro lớn như: - Người chủ thẻ bảo vệ trước kẻ nghe trộm không bảo vệ trước người bán hàng Một vài người bán hàng ko đáng tin cậy, số họ hacker, người lập website thời trang hãng XYZ hay giả mạo website hãng XYZ để thu thập thơng tin thẻ tín dụng khách hàng - Người bán hàng không bảo vệ trước người mua hàng không tin cậy, người sử dụng thẻ tín dụng khơng giá trị sử dụng người bị ngân hàng trả lại tiền mà không cần lý Cho dù SET giải pháp hồn hảo cho tốn điện tử an toàn, phiên tương đối đơn giản SSL sử dụng rộng rãi Đó giao thức SET phức tạp chứng thực không phân phối rộng rãi với cách thức ổn định Về mặt lý thuyết, giao thức SSL (Netscape 1996) sử dụng chứng thực song không bao gồm khái niệm cổng nối toán Những người kinh doanh cần nhận thông tin việc đặt hàng lẫn thông tin thẻ tín dụng q trình cầm giữ khởi phát người kinh doanh.Giao thức SET, trái lại, giấu thơng tin thẻ tín dụng khách hàng người kinh doanh giấu thông tin đơn hàng ngân hàng để bảo vệ riêng tư Thiết kế gọi chữ ký kép (dual signature) Cho đến SET trở nên thông dụng, phiên đơn giản SSL lựa chọn đắn 2.2 Tổng quan giao thức SET Đây giao thức sử dụng thuận tiện giao dịch thẻ tín dụng, SET có vài chức mà không SSL hỗ trợ 2.2.1 Mục đích thực thể Mục đích: Mục đích giao thức SET thiết lập giao dịch tốn có: - hỗ trợ tin cậy thơng tin - Đảm bảo tính tồn vẹn cho u cầu toán dịch vụ liên quan đến liệu - Có chế xác thực người bán hàng người mua hàng với Các thực thể chính: Có thực thể giao thức SET: - Cardholder (người mua hàng, chủ thẻ): Một người tiêu dùng hay công ty mua hàng, người sử dụng thẻ tín dụng để trả tiền cho người bán (người kinh doanh) - Merchant (người bán hàng): Một thực thể chấp nhận thẻ tín dụng cung cấp hàng hoá hay dịch vụ để đổi lấy việc trả tiền - Merchant’s Bank (cổng toán hay ngân hàng người bán hàng): Một quan tài (thường ngân hàng) lập tài khoản cho người kinh doanh có chứng từ phiếu bán hàng uỷ quyền - Issuer (ngân hàng người chủ thẻ): Một quan tài (thường ngân hàng) lập tài khoản cho người chủ sở hữu thẻ phát hành thẻ tín dụng Hình 1: Những người tham gia giao thức SET & tương tác họ 2.2.2 SET hoạt dộng Đầu tiên, hai bên chủ thẻ người bán hàng cần phải đăng ký với CA (trung tâm xác thực) trước họ mua hay bán hàng Internet Sau đăng ký thành cơng, chủ thẻ người bán hàng bắt đầu giao dịch với theo bước giao thức SET, bao gồm: Người mua hàng duyệt website định hàng mà muốn mua Người mua hàng gửi yêu cầu mua hàng thơng tin tốn, bao gồm phần thông báo: a Thông tin mặt hàng cần mua – phần dành cho người bán hàng b Thông tin thẻ tín dụng – phần dành cho ngân hàng Người bán hàng chuyển thông tin thẻ tín dụng (phần b) tới ngân hàng phía cửa hàng Ngân hàng thương mại (phía cửa hàng) kiểm tra tính xác thực tốn với ngân hàng thương mại (phía chủ thẻ) Ngân hàng thương mại (phía chủ thẻ) kiểm chứng thơng tin tốn từ cổng toán Ngân hàng thương mại gửi lại thông tin xác thực cho người bán hàng Người bán chấp nhận yêu cầu mua bán gửi hàng cho phía khách hàng Người bán hàng nhận giao dịch toán từ ngân hàng họ Ngân hàng (phía chủ thẻ) gửi thơng tin hóa đơn tới khách hàng 2.2.3 Tổng quan giao thức SET (Secure Electronic Transaction) giao thức bảo mật toàn diện, sử dụng mật mã để cung cấp tính bảo mật cho thơng tin, đảm bảo tính tồn vẹn toán, cho phép xác thực thực thể với Để xác thực, người mua hàng người bán háng yêu cầu cần phải có chứng số cấp tổ chức đảm bảo Nó dựa vào mật mã chứng số để đảm bảo tính bí mật an tồn cho thơng báo Gói liệu mã hóa khóa sinh ngẫu nhiên sử dụng khóa cơng khai người nhận để mã hóa gửi đến cho người nhận với dạng thơng báo mã hóa Người nhận giải mã “digital envelope” khóa riêng dùng khóa đối xứng để giải mã thu thông báo ban đầu Các chứng số, gọi giấy ủy nhiệm điện tử ID, tài liệu chứng thực số sử dụng khóa cơng khai có ràng buộc với cá nhân thực thể Cả khách hàng người bán hàng cần phải đăng ký chứng xác thực (CA) trước họ thực hiên giao dịch tốn Theo cách đó, khách hàng có giấy ủy nhiệm điện tử để chứng minh tin cậy Người bán hàng đăng ký nhận chứng số Các chứng số khơng chứa thơng tin nhạy cảm số thẻ tín dụng Cuối cùng, khách hàng muốn thực giao dịch, người bán hàng trao đổi chứng số vói Nếu hai bên chấp nhận họ thực việc giao dịch Các chứng số phải cấp lại sau vài năm, tránh bị giả mạo SET Cryptography 3.1 Tổng quan Secure Electronic Transactions (SET) dựa vào kỹ thuật mật mã – hóa hóa giải mã thơng báo Có hai phương pháp mã hóa dùng ngày nay: mật mã khóa bí mật mật mã khóa cơng khai Mật mã khóa bí mật khơng mang tính thực tế sử dụng để việc trao đổi thông báo với số lượng lớn mà trước người nhận mạng công cộng Với người bán hàng quản lý giao dịch bảo đảm với hàng triệu đơn hàng, khách hàng cần khóa khác ấn định người mua hàng truyền vài kênh an toàn Tuy nhiên, việc sử dụng mật mã khóa cơng khai, giống người bán hàng tạo cặp khóa riêng/cơng khai cơng bố khóa cơng khai, cho phép khách hàng gửi thơng báo bảo mật tới người bán hàng Đó lý SET sử dụng hai phương pháp để thực việc mã hóa Mật mã khóa bí mật sử dụng SET thuật toán phổ biến Data Encryption Standard (DES), dùng công ty tài để mã hóa PINs (các số định danh người dùng) Và mật mã khóa cơng khai dùng SET RSA 3.2 Sử dụng khóa đối xứng Trong SET, gói liệu mã hóa cách dùng khóa đối xứng ngẫu nhiên (DES 56 bit) Khóa mã hóa với khóa cơng khai (RSA) thông báo người nhận Kết thu gọi “digital envelope” thơng báo Điều kết hợp tốc độ mã hóa DES với ưu điểm quản lý khóa mã hóa khóa cơng khai RSA Sau mã hóa, phần envelope thân thơng báo mã hóa gửi cho người nhận Sau nhận gói liệu mã hóa, người nhận giải mã “digital envelope”bằng cách dùng khóa riêng người nhận để thu khóa đối xứng ngẫu nhiên sau dó dùng khóa đối xứng để giải mã thông báo ban đầu Việc sử dụng mã hóa DES dễ dàng crack cách dùng phần mềm đại Năm 1993, máy crack DES thiết kế Michael Wiener, với triệu USD, khóa DES có độ dài 56 bit bị crack với thời gian trung bình 3,5 Với tỷ USD, cỗ máy song song crack khóa DES với độ dài 56 bit giây Có thể thấy rằng, điều liên quan lớn đến việc mã hóa DES giao dịch SET 3.3 Sử dụng khóa bất đối xứng – Chữ ký số (các thông tin tóm lược) Trong SET, mật mã khóa cơng khai dùng để mã hóa khóa DES dùng để xác thực (chữ ký số) không dành cho phần giao dịch Với SET, module RSA có độ dài 1024 bit Để tạo chữ ký số, SET dùng khóa cơng khai riêng khác biệt Mỗi lần SET thực xử lý hai cặp khóa bất đối xứng: cặp khóa trao đổi, dùng để mã hóa giả mã khóa phiên, cặp “signature” để tạo xác minh chữ ký số (160 bit) Thuật toán cho phép nhận thay đổi thông báo thay đổi dù bit Khả hai thơng báo có thơng báo giản lược 1/1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000, có nghĩa khơng thể tính tốn để tạo hai thơng báo khác mà có thơng báo giản lược Mật mã khóa cơng khai: Trong cách tiếp cận này, người tham gia tạo hai khóa Một “khóa cơng khai” cơng bố cho người biết khóa dùng để mã hóa liệu Hai khóa có liên quan đến mặt tốn học liệu mã hóa với khóa giải mã nhờ vào sử dụng khóa khác Người dùng phân phối khóa cơng khai Bởi mối quan hệ tốn học giưa hai khóa, người dùng người khác nhận khóa cơng khai chắn kiệu mã hóa khóa cơng khai gửi cho người dùng giải mã người dùng sử dụng khóa riêng Một ví dụ mật mã khóa cơng khai giải thuật RSA Ký số: Một chữ ký số cung cấp cách để liên kêt thơng báo với người gửi Nó giúp đỡ việc bảo đảm tính xác thực tồn vẹn thông báo Khi kết hợp với tài liêu thơng báo, sử dụng khóa riêng cho phép người dùng hiệu thông báo Một tài liệu thông báo giá trị phát sinh cho thơng báo đặc biệt Việc chuyển thơng báo thông qua hàm mật mã chiều phát sinh tài liệu thông báo Tài liệu thông báo mã hóa sử dụng khóa riêng người gửi nối vào tới thông báo nguyên kết ký số thông báo Người nhận ký số chắn thơng báo thật đến từ người gửi thay đổi chí ký tự tài liệu thông báo khơng có thẩm quyền Chứng số: Trước hai thực thể bắt đầu mật mã khóa cơng khai, phải chắn thực thể khác xác nhận, làm sử dụng đối tác thứ ba tin cậy để xác nhận thực thể – khóa thuộc người dự định Đối tác thứ ba trường hợp gọi ủy quyền chứng (CA) Ban đầu người tham gia xác nhận phải chứng minh nhận biết với CA Mỗi lần gnười tham gia chứng minh nhận biết anh ấy, CA tạo thông báo chứa tên người tham gia khóa cơng khai CA số hiệu thơng báo biết chứng Tóm lược tích cực mật mã (mã hóa/giải mã) Giả sử giao dịch giữ hai người A B Người A đưa liệu gửi với mã hóa tới B * Sự mã hóa(bên A): Bước I: ‘A’ chạy thông báo thông qua hàm mật mã chiều để phát sinh tài liệu thơng báo Đó giá trị tài liệu thông báo Tài liệu thông báo A mã hóa với khóa chữ ký riêng để sản sinh chữ ký số Bước II: A tạo khóa đối xứng ngẫu nhiên Thơng báo, ký số chép A sử dụng để tạo khóa đối xứng ngẫu nhiên Bước III: A mã hóa khóa đối xứng sử dụng làm khóa cơng khai cho B Mã hóa khóa coi phong bì số, với mã hóa thông báo gửi cho B Vào lúc cuối q trình mã hóa A gửi thành phần thơng báo tới B: Mã hóa thơng báo đối xứng, chữ ký chứng phong bì số * Giải mã (bên B): Bước I: Từ việc nhận thông báo từ A, B giải mã phong bì số cách sử dụng khóa riêng cho việc khơi phục khóa đối xứng ngẫu nhiên Bước II: Sử dụng khóa đối xứng ngẫu nghiên dược khôi phục, B giải mã để khôi phục thông báo, ký số chứng chạy thông báo thông qua hàm mật mã chiều để sinh tài liệu thông báo cho thông báo để so sánh sau Bước III: Ký số A giải mã nhờ sử dụng khóa cơng khai rồn từ chứng Như vậy, B khơi phục tài liệu thơng báo nguyên B so sánh tài liệu thông báo với tài liệu thông báo bước II Nếu chúng giống nhau, có nghĩa thơng báo tính tồn vẹn, hợp lệ chứng minh Hơn nữa, thông qua việc sử dụng ký số chứng chỉ, B biêt thơng báo hay sai 3.4 RSA-OAEP RSA-OAEP (RSA Encryption Scheme – Optimal Asymmetric Encryption Padding) đưa Bel-lare Rogaway năm 1994, cải tiến SET Mã hóa khóa cơng khai RSA-OAEP kết hợp phương pháp mã hóa OAEP với mã hóa RSA nguyên thủy RSA-OAEP sử dụng rõ làm đầu vào, chuyển chúng thành thơng báo mã hóa OAEP áp dụng RSAEP (RSA encryption primitive) kết (dạng số ngun) sử dụng khóa cơng khai RSA RSA-OAEP dùng hai khả bảo mật thiết kể cho việc mã hóa thơng báo ngắn – khóa bí mật điển hình mật mã đối xứng hay thuật toán MAC OAEP ràng buộc yếu tố bảo mật mã hóa RSA với tính tốn RSA Phiên OAEP dùng SET phiên với nhiều ưu điểm so với phiên ban đầu OAEP mẻ chuẩn IEEE P1363 3.5 Chữ ký kép Một ứng dụng chữ kỹ số giới thiệu SET, khái niệm chữ ký kép Chữ ký kép dùng hai thông báo cần kết hợp bí mật có thơng báo phép đọc Trong SET, chữ ký kép dùng để kết hợp thông báo yêu cầu gửi cho người bán hàng với dẫn toán chứa thơng tin tài khoản gửi cho ngân hàng phía người bán hàng Khi người bán hàng gửi yêu cầu xác thức tới ngân hàng, bao gồm thơng tin toán gửi cho ngân hàng chủ thẻ tín dụng thơng báo giản lược thơng tin đặt hàng Ngân hàng sử dụng thông báo giản lược từ người bán hàng tính tốn thơng báo giản lược thị toán để kiểm tra chữ ký kép Hình 2: Chữ kí kép Hoạt động SET Giao thức SET sử dụng mật mã để cung cấp tính bảo mật cho thơng tin, đảm bảo tính tồn vẹn cho thơng tin toán cho phép xác thực thực thể Để xác thực, người mua hàng người bán háng yêu cầu cần phải có chứng số cấp tổ chức đảm bảo Nó sử dụng chữ ký kép, cho phép người bán hàng biết thông tin thẻ tín dụng khách hàng, đồng thời phía ngân hàng thông tin đơn mua hàng nhằm bảo vệ tính riêng tư cho khách hàng 4.1 Các bước xử lý Người bán hàng gửi hóa đơn ID giao dịch (XID) Người bán hàng gửi chứng chứng ngân hàng (được mã hóa khóa riêng CA) Khách hàng giải mã chứng để thu khóa cơng khai Khách hàng gửi đặt hàng (OI) thông tin tốn (PI) mã hóa khóa phiên khác chữ ký kép Người bán hàng gửi yêu cầu tốn tới ngân hàng mã hóa khóa phiên người bán hàng ngân hàng, PI, thông báo giản lược OI chứng người bán hàng Ngân hàng xác thực XID xác PI Ngân hàng gửi thơng tin xác thực tới ngân hàng phía khách hàng 8 Ngân hàng gửi thông tin chấp thuận yêu cầu tới người bán hàng Người bán hàng gửi báo nhận tới khách hàng 4.2 Khởi tạo toán Mục địch việc khởi tạo toán cho phép khách hàng nhận chứng từ người bán hàng Yêu cầu khởi tạo - PinitReq- bao gồm trường thông tin Trường bảo mật phần thông tin yêu cầu liệt kê sau: PinitReq: {RRPID, Language, LID_C, [LID_M], Chall_C, BrandID, BIN, [Thumbs]} Các trường phần khởi tạo tốn Trường - Thơng tin RRPID - Cặp ID Request/Response Language - Ngôn ngữ khách hàng sử dụng LID_C - ID riêng dành cho khách hàng [LID_M] - ID riêng dành cho người bán hàng Chall_C - Customer’s challenge salt to Merchant’s signature freshness BrandID - Loại thẻ (VISA, Master, …) BIN - Số ID ngân hàng Thumbs - Bản phác thảo ngắn (hashes) chứng khách hàng biết 4.3 Gửi thông điệp yêu cầu mua Người nắm giữ thẻ tạo khóa mã hóa đối xứng sử dụng lần KS Hình 3: Yêu cầu mua 4.4 Xác minh thơng điệp u cầu mua Hình 4: Xác minh u cầu mua 10 Đảm bảo chứng Trước hai bên sử dụng mật mã khóa cơng khai để áp dụng giao dịch thương mại, bên muốn chắn bên xác thực Một cách để đảm bảo nhận khóa cơng khai kênh truyền an toàn Tuy nhiên, phần lớn tình giải pháp khơng mang tính thực tiễn Một lựa chọn để truyền bí mật khóa sử dụng bên thứ tin cậy để xác thực khóa cơng khai có liên quan đến Alice Chẳng hạn Certificate Authority (CA) Vì bên tham gia giao thức SET có hai cặp khóa, họ có hai chứng Cả hai chứng tạo ký thời gian Certificate Authority 5.1 Chứng bên tham gia 5.1.1 Chứng khách hàng Các chứng khách hàng có chức chứng nhận điện tử cho thẻ tốn Bởi chúng ký điện tử trung tâm tài chính, chứng bị thay đổi bên thứ ba tạo trung tâm tài Chứng dành cho khách hàng khơng chứa số tài khoản ngày hết hạn Thay vào thơng tin tài khoản giá trị bí mật có chủ thẻ biết mã hóa thuật toán hash chiều Nếu biết số tài khoản, ngày hết hạn giá trị bí mật, chứng tỏ liên kết với chứng chỉ, biết thông tin biết chứng Với giao thức SET, chủ thẻ cung cấp thông tin tài khoản mã số bí mật cho cổng toán, nơi mà liên kết xác nhận Một chứng chỉ phát hành cho chủ thẻ trung tâm tài phát hành chủ thẻ xác nhận Khi yêu cầu chứng chỉ, chủ thẻ cho biết mục đích giao dịch thương mại điện tử Chứng chuyển đến người bán hàng dựa vào yêu cầu thông tin yêu cầu tốn mã hóa Khi chấp nhận chứng khách hàng, người bán hàng yên tâm số tài khoản giá trị trung tâm tài phát hành thẻ đại lý 5.1.2 Chứng người bán hàng Các chứng người bán hàng có chức chứng nhận điện tử cho thông tin toán xuất cửa sở lưu trữ - thân decal đại diện cho người bán hàng mà có mối liên hệ với trung tâm tài cho phép chấp nhận thẻ tốn hàng hóa Do chúng ký điện tử trung tâm tài chính, chứng khơng thể thay đổi bên thứ ba tạo trung tâm tài Các chứng xác nhận trung tâm tài đảm bảo có người bán hàng cho phép với Acquirer Người bán hàng phải có nhật cặp chứng để tham gia mơi trường SET, người có nhiều cặp chứng Một người bán hàng có cặp chứng cho thẻ toán mà chấp nhận 5.1.3 Chứng cổng toán Các chứng dành cho cổng toán dành cho Acquirer quy trình hệ thống xử lý việc xác thực bắt giữ gói tin Khóa mã hóa cổng 11 tốn, mà người chủ thẻ thu từ chứng chỉ, dùng để bảo vệ thông tin tài khỏan người chủ thẻ Các chứng dành cho cổng toán phát cho Acquirer toán đơn hàng 5.1.4 Các chứng Acquirer Một Acquirer phải có chứng để sử dụng Certificate Authority mà chấp nhận xử lý yêu cầu chứng từ người bán hàng mạng riêng mạng công khai Các Acquirer lựa chọn để nhận thẻ tốn hóa đơn xử lý u cầu chứng nhân danh họ không yêu cầu chứng họ khơng thực xử lý thơng báo SET Các Acquire nhận chứng họ từ thẻ toán đơn hàng 5.1.5 Các chứng Issuer Một Issuer phải có chứng để phép sử dụng Certificate Authority mà chấp nhận xử lý yêu cầu cung cấp chứng từ người chủ thẻ mạng riêng mạng công cộng Issuer lựa chọn để nhận thẻ toán đơn hàng xử lý yêu cầu cung cấp chứng nhân danh họ không cần u cầu chứng họ khơng thực việc xử lý thông báo SET Các Issuer nhận chứng họ từ thẻ toán đơn hàng 5.2 Thực đăng ký 5.2.1 Đăng ký bên tham gia Cả hai bên, người chủ thẻ người bán hàng phải đăng ký với CA trước họ thực giao dịch Và trình xử lý phải đủ bảo mật, q trình chứa thơng tin nhạy cảm Q trình bao gồm thơng báo hai bên: chủ thẻ Issuer (CA): Chủ thẻ bắt đầu gửi yêu cầu đến CA Sau CA nhận thông báo từ người chủ thẻ, CA trả lời lại Thông báo bao gồm chứng khóa trao đổi cơng khai CA ký root CA, chứng chữ ký CA thơng báo u cầu ban đầu mã hóa khóa riêng CA Chủ thẻ yêu cầu form đăng ký thông báo Chủ thẻ tạo ngẫu nhiên khóa đối xứng K1, mà dùng để mã hóa yêu cầu gửi vời “digital envelop” chứa khóa K1 số thẻ tín dụng CA xác định ngân hàng phát hành chủ thẻ số thẻ tín dụng trả lại form đăng ký thích hợp, ký CA với chứng chữ ký CA Chủ thẻ tạo cặp khóa cơng khai/riêng, hai khóa đối xứng K2, K3 số ngẫu nhiên S1 Chủ thẻ tạo thông báo với thơng tin điền form đăng ký, khóa cơng khai, K2, chữ ký số chủ thẻ Thơng báo mã hóa K3 gửi với “digital envelop” bao gồm K3 số thẻ tín dụng CA xác thực thơng tin, sau tạo digital ID CA tạo giá trị bí mật sử dụng số ngẫu nhiên S2 tổng hợp CA S1 giá trị bí mật này, 12 số tài khoản ngày hết hạn dùng làm đầu vào cho hàm băm để tạo số bí mạt CA ký chứng bao gồm số bí mật chữ ký khóa cơng khai chủ thẻ Sau đó, CA gửi chứng mã hóa khóa K2 với chứng chữ ký Q trình đăng ký gồm bước Đầu tiên hai thông báo nhận khóa cơng khai CA Khi chủ thẻ có khóa trao đổi cơng khai CA, u cầu form đăng ký thơng báo Chứng nằm phần cuối thông báo Việc đăng ký người bán hàng đơn giản người chủ thẻ, bao gồm thông báo Hai thông báo giống người chủ thẻ, ngoại trừ form đăng ký gửi thông báo thứ hai Người bán hàng phải tạo hai cặp khóa cơng khai/riêng – cho chữ ký số, lại cho khóa trao đổi, thay cặp khóa người chủ thẻ 5.2.2 Hai vấn đề giao thức đăng ký Giao thức đăng ký phải chứng minh tính bí mật Nhưng có hai vấn đề ảnh hưởng tới tính bảo mật Thứ người chủ thẻ khơng cần buộc u cầu tạo cặp chữ ký khóa mới, mà đăng ký cặp khóa cũ Vấn đề cặp khóa cũ bị tổn thương Và vấn đề khác phương pháp tạo giá trị bí mật bên bên mà phép toán OR số (S1, S2) chọn hai bên Khi phép toán OR đảo ngược, hành động phạm pháp với CA đưa cho người chủ thẻ giá trị bí mật Hai lỗi fix Lỗi bảo mật sửa trình thực chủ thẻ Lỗi thứ hai fix cách thay phép tốn OR hàm băm chiều Bảo mật SET  Thuật tốn mã hóa SET - Mã hóa đối xứng + DES (Data Encryption Standard): khóa có độ dài 56bit, bảo vệ liệu tài + CDMF (Commercial Data Masking Facility): khóa có độ dài 40bit, bảo vệ thông báo yêu cầu tới chủ thẻ - Hàm băm: SHA-1 - Mã xác thực thông báo: HMAC (dựa SHA-1  Công nghệ bảo mật SET - Các “Digital envelop”, giá trị nonce, salt chữ ký kép - Hai cặp khóa cơng khai/riêng cho bên - Thơng báo giản lược có độ dài 160bit 13 - XIDs Các chứng (5 loại): chủ thẻ, người bán hàng, Acquirer, Issuer, cổng toán Các module mã hóa phần cứng Tính lũy đẳng (thơng báo nhận nhiều lần xử lý cái) f(f(x))=f(x) 6.1 Các yêu cầu bảo mật SET SET không bảo mật server khơng bảo mật - Dành riêng máy cho Merchant Server phần mềm PO Sử dụng firewall để lập khỏi mạng Internet Intranet Không cho phép sử dụng FTP hay Telnet cổng khác - Gỡ bỏ tất phần mềm không cần thiết khỏi Merchant Server Chỉ có cổng định nghĩa SET nên mở cho việc thực từ bên firewall Phần mềm Merchant Server nên giao tiếp với phần mềm POS thông qua API - Cần bảo vệ liệu toán chống truy cập/thay đổi 14 TÀI LIỆU THAM KHẢO [1] Tài liệu giao thức SET tại: https://exelana.com/set/spec100/set_bk2.pdf [2] Slide _ch18 Giao thuc xac thuc An toan TMDT SET 15 ... Transactions (SET) dựa vào kỹ thuật mật mã – hóa hóa giải mã thơng báo Có hai phương pháp mã hóa dùng ngày nay: mật mã khóa bí mật mật mã khóa cơng khai Mật mã khóa bí mật khơng mang tính thực tế sử... vào mật mã chứng số để đảm bảo tính bí mật an tồn cho thơng báo Gói liệu mã hóa khóa sinh ngẫu nhiên sử dụng khóa cơng khai người nhận để mã hóa gửi đến cho người nhận với dạng thông báo mã hóa... qua hàm mật mã chiều phát sinh tài liệu thông báo Tài liệu thông báo mã hóa sử dụng khóa riêng người gửi nối vào tới thông báo nguyên kết ký số thơng báo Người nhận ký số chắn thông báo thật