5. Cấu trúc của luận văn
1.3. Một số ứng dụng của mã hóa trong thương mại điện tử
Ứng dụng của khoa học mật mã không chỉ đơn thuần là mã hóa và giải mã thông tin mà còn bao gồm nhiều vấn đề khác nhau cần được nghiên cứu và giải quyết: chứng thực nguồn gốc nội dung thông tin (kỹ thuật chữ ký điện tử), chứng nhận tính xác thực về người sở hữu mã khóa (chứng nhận khóa công cộng), các quy trình giúp trao đổi thông tin và thực hiện giao dịch điện tử an toàn trên mạng... Những kết quả nghiên cứu về mật mã cũng đã được đưa vào trong các hệ thống phức tạp hơn, kết hợp với những kỹ thuật khác để đáp ứng yêu cầu đa dạng của
các hệ thống ứng dụng khác nhau trong thực tế, ví dụ như hệ thống bỏ phiếu bầu cử qua mạng, hệ thống đào tạo từ xa, hệ thống quản lý an ninh của các đơn vị với hướng tiếp cận sinh trắc học, hệ thống cung cấp dịch vụ multimedia trên mạng với yêu cầu cung cấp dịch vụ và bảo vệ bản quyền sở hữu trí tuệ đối với thông tin số...
1.3.1. Xác thực người dùng sử dụng giao thức SSL
Với việc sử dụng giải pháp xác thực truyền thống (xác thực bằng mật khẩu) là không an toàn, người ta cần những giải pháp xác thực tốt hơn trong môi trường kinh doanh hiện nay để thiết lập một kết nối an toàn. Bằng cách sử dụng các thuật toán mã hóa trong việc thiết lập kết nối giữa Web browser với một webserver, giao thức xác thực truyền tin SSL (Secure Socket Layer ) được thiết kế đã đáp ứng được nhu cầu về xác thực, mã hóa và toàn vẹn dữ liệu.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
- Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danhsách các CA đáng tin cậy của client.
- Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp.
- Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ
nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật toán băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: Giao thức SSL record là xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) là sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL
Vai trò của các thuật toán mã hóa trong giao thức SSL
Giao thức SSL hỗ trợ rất nhiều các thuật toán mã hoá, được sử dụng để thực hiện các công việc trong quá trình xác thực server và client, truyền tải các giấy chứng nhận và thiết lập các khoá của từng phiên giao dịch (sesion key). Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tuỳ thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty về độ dài khoá mà họ cảm thấy chấp nhận được - điều này liên quan đến mức độ bảo mật của thông tin, ….
Các thuật toán trao đổi khoá như KEA, RSA được sử dụng để 2 bên client và server xác lập khoá đối xứng mà họ sẽ sử dụng trong suốt phiên giao dịch SSL. Và thuật toán được sử dụng phổ biến là RSA.
1.3.2 . Ứng dụng mã hóa trong chữ ký điện tử
Chữ kí điện tử được tạo ra và kiểm tra bằng mật mã, đó là một phương pháp thuộc lĩnh vực toán học, nó chuyển toàn bộ thông tin thành một dạng khó có thể nhận dạng và có thể được giải mã. Chữ kí điện tử sử dụng hai khóa thông dụng, một khóa để tạo ra chữ kí hoặc chuyển thông tin thành dạng khó nhận dạng, một khóa dùng để kiểm tra chữ kí hoặc để chuyển thông tin đã mã hóa về dạng nguyên thủy của nó.
Chữ kí điện tử là cách cơ bản để bảo mật cho một tài liệu điện tử (e-mail, sprea Digital Signatureheet_bảng tính, text file,..) đáng tin cậy. Đáng tin nghĩa là
bạn biết ai đã tạo ra tài liệu và bạn biết nó không bị thay đổi trong bất cứ cách nào từ người tạo ra nó.
Dựa vào thuật toán mã hoá để bảo đảm độ tin cậy. Độ tin cậy là quá trình kiểm tra xác nhận được thông tin đến từ một nguồn tin cậy. Hai quá trình này liên quan chặt chẽ đến chữ kí điện tử.
chữ kí điện tử.làm việc dựa trên hai khoá là khóa công khai và khóa bí mật và thực hiện qua hai giai đoạn là việc hình thành chữ ký trên tài liệu ở phía người gửi và việc xác nhận tài liệu nhận được chính xác và nguyên vẹn hay không ở phía người nhận.
Vấn đề bảo mật ở chữ kí số không giống với các phương pháp mã hoá cổ điển là chỉ dùng một khoá cho cả việc mã hoá ở người gửi và giải mã ở người nhận mà sử dụng hai khoá: khóa bí mật để mã hoá và khóa công khai để giải mã kiểm tra.
*Tầm quan trọng của chữ ký số trong thương mại điện tử
Với chữ ký tay trên văn bản, người nhận rất khó có thể kiểm tra được độ chính xác, tính xác thực của chữ ký. Tình trạng sử dụng chữ ký giả rất dễ xảy ra bởi không cần phải làm đăng ký cho loại chữ ký này (trừ công chức cao cấp). Tuy nhiên, với chữ ký số, người sử dụng phải đăng ký, vừa được đảm bảo độ an toàn, chính xác bằng công nghệ hiện đại, vừa được xác thực bởi các tổ chức chứng thực… Do đó, độ an toàn của chữ ký số cao hơn rất nhiều so với chữ ký tay truyền thống.
Tại Việt Nam, chữ ký điện tử đã được các cơ quan Nhà nước coi trọng. Quốc hội đã ban hành Luật Giao dịch điện tử (có hiệu lực từ tháng 3/2006) và công nhận tính pháp lý của loại chữ ký này. Sau khi ban hành Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số, Bộ Thông tin và Truyền thông đang gấp rút xây dựng mô hình hệ thống chứng thực CA quốc gia nhằm đẩy mạnh việc sử dụng chữ ký số trong xã hội.
Chữ ký điện tử cũng đã được sử dụng chính thức trong các giao dịch của ngành ngân hàng (thanh toán liên ngân hàng), ngành tài chính (thanh toán điện tử liên kho bạc). Một số cơ quan Nhà nước như Bộ Công thương, Sở Bưu chính Viễn thông TP. Hồ Chí Minh, Sở Khoa học và Công nghệ Đồng Nai… cũng bắt đầu sử dụng chữ ký điện tử trong giao dịch nội bộ.