- Khỏch hàng tiết kiệm thời gian đối với cỏc giao dịch ngõn hàng từ Internet được thực hiện và xử lý một cỏch nhanh chúng và hết sức chớnh xỏc Khỏch hàng khụng cần phải tới tận văn phũng giao
H. Chứng thực điện tử
Đối với nhiều giao dịch TMĐT, cỏc chứng thực điện tử chớnh là cơ sở, là cốt lừi của giao thức an toàn giao dịch điện tử. Việc sử dụng bờn tin cậy thứ ba, cựng với cỏc chứng thực điện tử là cỏch đơn giản và thuận tiện để cỏc bờn cú thể tin cậy lẫn nhau. Tuy vậy, trong một số trường hợp, bản thõn cỏc cơ quan chứng nhận cũng cần cú những cấp cơ quan chứng nhận lớn hơn, cú uy tớn và độ tin cậy cao hơn, chứng thực cho mỡnh. tập hợp hệ thống cỏc cơ quan chứng nhận cỏc cấp và cỏc thủ tục chứng thực điện tử được tất cả cỏc đối tượng tham gia TMĐT chấp nhận hỡnh thành hạ tầng mó khúa cụng cộng. Đõy chớnh là điều kiện hỗ trợ cỏc cỏ nhõn tham gia vào cộng đồng những người sử dụng mó khúa, tạo và quản lý cỏc cặp khúa, phổ biến/thu hồi cỏc mó khúa cụng cộng, một trong những điều kiện cần thiết để tham gia thương mại điện tử.
Ứng dụng PKI (cơ sở hạ tầng khúa cụng cộng)
PKI chớnh là bộ khung của cỏc chớnh sỏch, dịch vụ và phần mềm mó húa, đỏp ứng nhu cầu bảo mật của người sử dụng khi gửi đi những thụng tin quan trọng qua Internet và cỏc mạng khỏc. PKI bản chất là một hệ thống cụng nghệ vừa mang tớnh tiờu chuẩn, vừa mang tớnh ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý cỏc chứng thực điện tử (digital certificate) cũng như cỏc mó khoỏ cụng cộng và cỏ nhõn. Sỏng kiến PKI ra đời năm 1995, khi mà cỏc tổ chức cụng nghiệp và cỏc chớnh phủ xõy dựng cỏc tiờu chuẩn chung dựa trờn phương phỏp mó hoỏ để hỗ trợ một hạ tầng bảo mật trờn mạng Internet. Tại thời điểm đú, mục tiờu được đặt ra là xõy dựng một bộ tiờu chuẩn bảo mật tổng hợp cựng cỏc cụng cụ và lý thuyết cho phộp người sử dụng cũng như cỏc tổ chức (doanh nghiệp hoặc phi lợi nhuận) cú thể tạo lập, lưu trữ và trao đổi cỏc thụng tin một cỏch an toàn trong phạm vi cỏ nhõn và cụng cộng.
Chỡa khúa mật mó cụng cộng (Public Key cryptography) bảo đảm độ tin cậy đối với cỏc thụng tin hoặc thụng điệp quan trọng bằng cỏch sử dụng cỏc thuật toỏn, hay cũn gọi là chỡa khúa, để mó húa dữ liệu và một chỡa khúa để giải mó chỳng. Trong dịch vụ Chỡa khúa mật mó cụng cộng, người sử dụng nhận được phần mềm mó húa đặc biệt và một cặp chỡa khúa, trong đú cú một chỡa là chỡa khúa cụng cộng (Public key) để cú thể sử dụng dịch vụ, chỡa cũn lại là chỡa khúa cỏ nhõn (Private key) mà người sử dụng phải giữ bớ mật.Hai chỡa khúa này cú liờn quan mật thiết đến nhau, sao cho một thụng điệp được mó húa bởi một chỡa khúa mật mó cụng cộng thỡ chỉ giải mó được bởi một chỡa khúa cỏ nhõn tương ứng. Một người sử dụng, vớ dụ là Bob, mó húa một thụng điệp gửi đi bằng chỡa khúa cụng cộng của người nhận là Alice. Khi nhận được thụng điệp này, Alice sẽ giải mó nú bằng chỡa khúa cỏ nhõn của mỡnh. Tất cả cỏc chỡa khúa cụng cộng đều được phỏt hành trong những cuốn niờn giỏm điện tử. Tổ chức cấp giấy chứng nhận là một thành phần chớnh của PKI. Nú là một tổ chức thứ ba đỏng tin cậy chịu trỏch nhiệm phỏt hành giấy chứng nhận kỹ thuật số và quản lý chỳng trong thời hạn cú hiệu lực. Chứng nhận kĩ thuật số là những tập tin điện tử chứa cỏc chỡa khúa mật mó cụng cộng và cỏc thụng tin nhận dạng đặc biệt về người sử dụng. Cỏc giấy chứng nhận này cú “dỏn tem” xỏc nhận và khụng thể làm giả được. Cũng giống như việc phỏt hành hộ chiếu, tổ chức cấp giấy chứng nhận xỏc nhận rằng cỏ nhõn được cấp giấy chứng nhận kĩ thuật số là người đỏp ứng đủ điều kiện. Chữ ký điện tử là một xỏc minh điện tử ngang bằng với một chữ ký truyền thống trờn giấy - tức là cú giỏ trị duy nhất, cú thể kiểm chứng được và chỉ người ký mới cú thể tạo ra nú. Thụng điệp hay tài liệu dự đó được mó húa hay chưa, hễ cú chữ ký điện tử thỡ cũng đảm bảo được rằng thụng tin trong đú khụng bị xõm phạm trong quỏ trỡnh lưu chuyển. Cỏc chớnh phủ, doanh nghiệp, cỏ nhõn hội nhập vào cuộc cỏch mạng số húa đều sẽ dựng Chứng nhận kỹ thuật số. Khi phỏt hành một số lượng lớn giấy chứng nhận như vậy thỡ cần phải đề ra biện phỏp quản lý việc sử dụng. Quản lý giấy chứng nhận là một cụng việc về lõu về dài của Tổ chức cấp giấy chứng nhận PKI. Trờn khắp thế giới, cỏc cụng ty lớn và nhỏ đều đầu tư cho Cơ sở hạ tầng chỡa khúa cụng cộng như là một giải phỏp hữu hiệu cho sỏng tạo tập trung, phõn phối, quản lý, chứng nhận cải tiến và đổi mới. PKI hoạt động như thế nào? Bob và Alice muốn liờn lạc với nhau qua Internet, dựng PKI để chắc chắc rằng thụng tin trao đổi giữa họ được bảo mật. Bob đó cú chứng nhận kĩ thuật số, nhưng Alice thỡ chưa. Để cú nú, cụ phải chứng minh được với Tổ chức cấp giấy chứng nhận cụ thực sự là Alice. Một khi cỏc thụng số nhận dạng của Alice đó được Tổ chức thụng qua, họ sẽ phỏt hành cho cụ một chứng nhận kỹ thuật số. Chứng nhận điện tử này cú giỏ trị thực sự, giống như tấm hộ chiếu vậy, nú đại diện cho Alice. Nú gồm cú những chi tiết nhận dạng Alice, một bản sao chỡa khúa cụng cộng của cụ và thời hạn của giấy chứng nhận cũng như chữ ký kỹ thuật số của Tổ chức chứng nhận. Alice cũng nhận được chỡa khúa cỏ nhõn kốm theo chỡa khúa cụng cộng. Chỡa khúa cỏ nhõn này được lưu ý là phải giữ bớ mật, khụng được chia sẻ với bất cứ ai. Bõy giờ thỡ Alice đó cú chứng nhận kĩ thuật số, Bob cú thể gửi cho cụ những thụng tin quan trọng được số húa. Bob cú thể xỏc nhận với cụ là thụng điệp đú xuất phỏt từ anh ta cũng như được bảo đảm rằng nội dung thụng điệp khụng bị thay đổi và khụng cú ai khỏc ngoài Alice đọc nú. Diễn biến thực tế khụng phải mất nhiều thời gian như những giải thớch trờn, phần mềm tại mỏy trạm của Bob tạo ra một chữ ký điện tử và mó húa thụng điệp cú chứa chữ ký đú. Phần mềm sử dụng chỡa khúa cỏ nhõn của Bob để tạo ra chữ ký điện tử và dựng chỡa khúa cụng cộng của Alice để mó húa thụng điệp. Khi Alice nhận được thụng điệp đó được mó húa cú chữ ký của Bob, phần mềm sẽ dựng chỡa khúa cỏ nhõn của cụ để giải mó thụng điệp. Vỡ chỉ cú duy nhất chỡa khúa cỏ nhõn của Alice mới cú thể giải mó thụng điệp đó được mó húa bằng chỡa khúa cụng cộng của cụ, cho nờn độ tin cậy của thụng tin hoàn toàn được bảo đảm. Sau đú, phần mềm dựng chỡa khúa cụng cộng của Bob xỏc minh chữ ký điện tử, để đảm bảo rằng chớnh Bob đó gửi thụng điệp đi, và thụng tin khụng bị xõm phạm trờn đường di chuyển..
2.1.2. An toàn cỏc kờnh truyền thụng
Trong thương mại điện tử, cỏc giao dịch được thực hiện chủ yếu thụng qua mạng Internet, một mạng truyền thụng mở, vỡ vậy, thụng tin thương mại giữa cỏc bờn rất dễ bị kẻ xấu lấy trộm và sử
dụng vào những mục đớch bất chớnh. Giải phỏp cơ bản giải quyết vấn đề này là sử dụng giao thức lớp ổ cắm an toàn (SSL – Secure Sockets Layer). Lớp ổ cắm an toàn là một chương trỡnh an toàn cho việc truyền thụng trờn Web, được hóng Netscape Communication phỏt triển. Chương trỡnh này bảo vệ cỏc kờnh thụng tin trong quỏ trỡnh trao đổi dữ liệu giũa mỏy chủ và cỏc trỡnh duyệt Web thay vỡ phải bảo vệ từng mẩu tin.
Cơ chế bảo mật SSL (Secure Socket Layer)
Về mặt lý thuyết rất nhiều cụng ty cú thể đúng vai trũ như một cơ quan chứng thực thẩm quyền. VeriSign Inc (www.verisign.com), là cụng ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ. Cụng ty này sử dụng bản quyền về cụng nghệ từ RSA Inc. (www.rsa.com). RSA giữ đăng ký sỏng chế về cụng nghệ mó khoỏ riờng/cụng cộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nú được chuyển giao cho VeriSign vào năm 1995 cho dự cỏc cụng ty khỏc cũng giữ quyền sử sử dụng nú. Để bảo mật, doanh nghiệp phải mua một khoỏ riờng từ VeriSign thu phớ 349 USD/ năm cho một website thương mại với một khoỏ bảo mật như vậy và phớ để bảo dưỡng hàng năm là 249 USD, doanh nghiệp cú thể mua thờm khoỏ bảo mật với mức giỏ tương đương.
Sau khi mỏy chủ nhận được một khoỏ mó bảo mật, việc tiếp nhận một đơn đặt hàng trở nờn đơn giản. "éiểm nổi bật của SSL ta cú thể ngay lập tức tạo một trang HTML với cỏc biểu mẫu để khỏch hàng cung cấp thụng tin về họ trong lỳc giao dịch, và đảm bảo rằng cỏc thụng tin này được bảo mật và mó hoỏ khi được gửi đi trờn Internet" .
Sau khi cỏc thụng tin mà khỏch hàng nhập vào cỏc biểu mẫu trờn trang WEB hiển thị trờn trỡnh duyệt của họ được mó hoỏ với SSL nú được gửi đi trờn Internet một cỏch an toàn. Trong thực tế khi người sử dụng truy nhập vào cỏc trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểu tượng như một chiếc khoỏ ở thanh cụng cụ bờn dưới chương trỡnh.
Cỏc giao dịch sử dụng SSL cú khả năng mó hoỏ thụng tin (như số thẻ tớn dụng của khỏch hàng) và đảm bảo an toàn khi gửi nú từ trỡnh duyệt của người mua tới Website của người bỏn hàng. Tuy nhiờn cỏc giao dịch mua bỏn trờn Web khụng chỉ đơn thuần như vậy. Số thẻ tớn dụng này cần phải được ngõn hàng của người mua kiểm tra để khẳng định tớnh hợp lệ và giỏ trị của thẻ tớn dụng đú, tiếp đú, cỏc giao dịch mua bỏn phải được thực hiện. SSL khụng giải quyết được cỏc vấn đề này.
Cơ chế bảo mật SET
Tiờu chuẩn bảo mật mới nhất trong thương mại điện tử là SET viết tắt của Secure Electronic Transaction-Giao dịch điện tử an toàn, được phỏt triển bởi một tập đoàn cỏc cụng ty thẻ tớn dụng lớn như Visa, MasterCard và American Express, cũng như cỏc nhà băng, cỏc cụng ty bỏn hàng trờn mạng và cỏc cụng ty thương mại khỏc. SET cú liờn quan với SSL do nú cũng sử dụng cỏc khoỏ cụng cộng và khoỏ riờng với khoỏ riờng được giữ bởi một cơ quan chứng nhận thẩm quyền. Khụng giống như SSL, SET đặt cỏc khoỏ riờng trong tay của cả người mua và người bỏn trong một giao dịch. éiều đú cú nghĩa là một người sử dụng thụng thường cần cỏc khoỏ riờng của họ và cần phải đăng ký cỏc khoỏ này cũng giống như cỏc mỏy chủ phải làm. Dưới đõy là cỏch mà hệ thống này làm việc. Khi một giao dịch SET được xỏc nhận quyền sử dụng, mó khoỏ riờng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bỏn về tớnh xỏc thực của yờu cầu giao dịch từ phớa người mua và cỏc mạng thanh toỏn cụng cộng. Trong thực tế nú giống như là việc ký vào tờ giấy thanh toỏn trong nhà hàng. Chữ ký số chứng minh là ta đó ăn thịt trong mún chớnh và chấp nhận hoỏ đơn. Do người mua khụng thể thoỏt ra khỏi một giao dịch SET, để khiếu nại về việc họ khụng mua hàng nờn cỏc giao dịch SET
theo lý thuyết sẽ chạy qua cỏc hệ thống thanh toỏn giống như ta mua hàng ở thiết bị đầu cuối tại cỏc cửa hàng bỏch hoỏ thực.
Để tiến hành cỏc giao dịch, người bỏn hàng cần phải cú một chứng thực điện tử và một phần mềm SET đặc biệt. Người mua cũng cần phải cú chứng thực diện tử và một phần mềm vớ tiền số hoỏ.
2.1.3. An toàn mạng
Trong thương mại điện tử, khi chỳng ta liờn kết mạng mỏy tớnh của tổ chức với một mạng riờng hoặc mạng cụng cộng khỏc, cũng đồng nghĩa với việc đặt tài nguyờn trờn hệ thống mạng của chỳng ta trước nguy cơ rủi ro cao. Do vậy, việc đảm bảo an toàn mạng mỏy tớnh của tổ chức là vấn đề quan trọng trong thương mại điện tử. Một trong cỏc cụng cụ cơ bản đảm bảo an toàn mạng mỏy tớnh đú là bức tường lửa (firewall). Bức tường lửa là một phần mềm hoặc phần cứng cho phộp những người sử dụng mạng mỏy tớnh của một tổ chức cú thể truy cập tài nguyờn của cỏc mạng khỏc (vớ dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khỏc, khụng được phộp, từ bờn ngoài truy cập vào mạng mỏy tớnh của tổ chức. Một bức tường lửa cú những đặc điểm sau:
Tất cả giao thụng từ bờn trong mạng mỏy tớnh của tổ chức và ngược lại đều phải đi qua đú; Chỉ cỏc giao thụng được phộp, theo quy định về an toàn mạng mỏy tớnh của tổ chức, mới được phộp đi qua; Khụng được phộp thõm nhập vào chớnh hệ thống này.
Về cơ bản, bức tường lửa cho phộp những người sử dụng mạng mỏy tớnh (mạng được bức tường lửa bảo vệ) truy cập toàn bộ cỏc dịch vụ của mạng bờn ngoài trong khi cho phộp cú lựa chọn cỏc truy cập từ bờn ngoài vào mạng trờn cơ sở kiểm tra tờn và mật khẩu của người sử dụng, địa chỉ IP hoặc tờn vựng (domain name) … Vớ dụ, một nhà sản xuất chỉ cho phộp những người sử dụng cú tờn vựng thuộc cỏc cụng ty đối tỏc là khỏch hàng lõu năm, truy cập vào website của họ để mua hàng. Như vậy, cụng việc của bức tường lửa là thiết lập một rào chắn giữa mạng mỏy tớnh của tổ chức và bờn ngoài (những người truy cập từ xa và cỏc mạng mỏy tớnh bờn ngoài). Nú bảo vệ mạng mỏy tớnh của tổ chức trỏnh khỏi những tổn thương do những tin tặc, những người tũ mũ từ bờn ngoài tấn cụng. Tất cả mọi thụng điệp được gửi đến và gửi đi đều được kiểm tra đối chiếu với những quy định về an toàn do tổ chức xỏc lập. Nếu thụng điệp đảm bảo được cỏc yờu cầu về an toàn, chỳng sẽ được tiếp tục phõn phối, nếu khụng sẽ bị chặn đứng lại.
2.1.4 Bảo vệ cỏc hệ thống của khỏch hàng và mỏy phục vụ
Việc đảm bảo an toàn cho cỏc hệ thống của khỏch hàng và mỏy phục vụ là vấn đề quan trọng trong TMĐT. Cú hai biện phỏp cơ bản để bảo vệ cỏc hệ thống này trước sự tấn cụng từ bờn ngoài, đú là sử dụng cỏc chức năng tự bảo vệ của cỏc hệ điều hành và sử dụng cỏc phần mềm chống virus.
Cỏc mỏy khỏch (thụng thường là cỏc PC) phải được bảo vệ nhằm chống lại cỏc đe doạ xuất phỏt từ phần mềm hoặc dữ liệu được tải xuống mỏy khỏch từ Internet.
Như chỳng ta đó biết, active content bao gồm nhiều chương trỡnh được nhỳng vào cỏc trang Web, tạo nờn sự sống động cho cỏc trang Web. Tuy nhiờn, một active content giả cú vẻ vụ hại nhưng lại gõy ra cỏc thiệt hại khi chỳng chạy trờn mỏy khỏch. Cỏc chương trỡnh được viết bằng Java, JavaScript mang lại sự sống động cho cỏc trang Web. Một số cỏc cụng cụ active content phổ biến khỏc là cỏc ActiveX control. Bờn cạnh cỏc mối đe doạ xuất phỏt từ cỏc chương trỡnh bờn trong cỏc trang Web, thỡ cỏc trỡnh đồ hoạ, cỏc trỡnh duyệt gài sẵn (trỡnh duyệt plug-ins) và cỏc phần đớnh kốm thư điện tử cũng là cỏc mối đe doạ cú thể gõy hại cho cỏc mỏy khỏch khi cỏc chương trỡnh ẩn này được thực hiện.
Nhiều active content gõy hại cú thể lan truyền thụng qua cỏc cookie. Cỏc đoạn văn bản nhỏ này được lưu giữ trờn mỏy tớnh của khỏch hàng và cú chứa cỏc thụng tin nhạy cảm khụng được mó hoỏ. Điều này cú nghĩa là bất kỳ ai cũng cú thể đọc và làm sỏng tỏ một cookie, thu được thụng tin cú trong đú. Thụng tin này liờn quan đến thẻ tớn dụng, mật khẩu và thụng tin đăng nhập. Do cookie giống như cỏc thẻ đăng nhập vào cỏc Website, chỳng khụng gõy hại trực tiếp cho cỏc mỏy khỏch nhưng nú vẫn là nguyờn nhõn gõy ra cỏc thiệt hại do chứa nhiều thụng tin khụng mó hoỏ.