II. Hạ tầng cơ sở cho phát triển TMĐT
2. 1.Cơ sở pháp lý
2.4. Cơ sở bảo mật thông tin:
Bảo mật được hiểu là các vấn đề an toàn dữ liệu và chống sự truy cập trái phép vào dữ liệu.TMĐT là môi trường kinh doanh ảo, cho nên vấn đề an ninh, bảo mật lại càng có tầm quan trọng hơn. Môi trường mạng tiềm ẩn nhiều nguy cơ mất an ninh như: bị lấy cắp số liệu, thay đổi số liệu, truy cập bất hợp pháp, tạo ra chứng từ điện tử giả... Do vậy để đảm bảo an ninh và an toàn mạng , TMĐT phải dùng công nghệ mã hóa với độ dài từ khóa ngày càng lớn. Công nghệ mã hóa dùng trong TMĐT được sử dụng trong ba loại dịch vụ:
Xác nhận điện tử (authentication) như xác nhận nguồn gốc chứng từ, trong đó bao gồm cả định dạng điện tử (identification)- xác nhận bản thân người tham gia vào giao dịch.
Đảm bảo không thoái thác (non-repudition) để ngăn ngừa việc người tham gia giao dịch từ chối đã đọc hay nhận các dữ liệu điện tử.
Đảm bảo tính riêng tư của các giao dịch thương mại, ngăn cấm người khác đọc trộm.
Lược đồ bảo mật gồm mã hoá, chữ ký điện tử, tóm tắt thông tin, và sử dụng các chứng thực và cơ quan chứng thực (CA).
Có 2 loại mã hóa: mã hoá khoá công khai (Public Key Cryptography) và mã hoá khoá bí mật (Secret Key Cryptography)
Mã hoá khoá bí mật còn gọi là mã hoá đối xứng, hay mã hoá khoá riêng, cùng một khoá được sử dụng bởi một người gửi (cho việc mã hoá) và một người nhận (cho việc giải mã). Thuật toán được chấp nhận rộng rãi nhất cho việc mã hoá khoá bí mật là Chuẩn Mã hoá Dữ liệu (Data Encryption Standard - DES) (Schneier 1996). Một số chuyên gia mã hoá tin rằng thuật toán DES có thể phá mã được. Tuy nhiên, DES được đánh giá là đủ an toàn bởi vì việc phá mã phải mất nhiều năm với chi phí hàng triệu đô la. Giao thức SET (Secure Electronic Transaction- Giao dịch điện tử an toàn) chấp nhận thuật toán DES với chìa khoá 64 bit của nó. Cần lưu ý rằng vấn đề với một khoá đơn là ở chỗ khoá cần được chuyển đến phía tương ứng.
Sơ đồ mã hóa khóa bí mật trong TMĐT:
Mã hoá khoá công khai (Public Key Cryptography)
Mã hoá khoá công khai, còn gọi là mã hoá không đối xứng, sử dụng hai khoá khác nhau: một khoá công khai và một khoá riêng. Khoá công khai thì tất cả người sử dụng được phép đều biết, song khoá riêng thì chỉ có một người được biết - người sở hữu nó. Chìa khoá riêng được cài đặt ở máy tính của người chủ sở hữu và không được gửi cho bất cứ ai. Để gửi một thông điệp an toàn có sử dụng mã hoá khoá công khai, người gửi mã hoá thông điệp với chìa khoá công khai
Bức điện gốc Bức điện được
mã hóa Mạng Internet Bức điện đã được mã hóa Bức điện gốc Khóa người nhận Khóa người gửi
trước. Thông điệp được mã hoá bằng cách này chỉ có thể được giải mã với chìa khoá riêng của người nhận. Thuật toán phổ biến nhất với mã hoá khoá công khai là thuật toán RSA (Rivest, Shamir và Adelman) với nhiều kích cỡ khoá khác nhau, như 1,024 bit. Thuật toán này không bao giờ bị phá bởi bọn tin tặc, do đó nó được coi là phương pháp mã hoá an toàn nhất được biết cho đến nay. Mã hoá khoá công khai, RSA, thường được sử dụng để truyền khoá bí mật của thuật toán DES bởi vì thuật toán DES hiệu quả và nhanh hơn trong việc thực hiện mã hóa và giải mã.
Độ dài (đo bằng đơn vị thông tin) của khoá mã càng lớn thì khả năng bảo mật của thông tin để được mã hoá càng cao nhưng cũng vì thế mà nó cũng tỷ lệ thuận với thời gian cần phải bỏ ra để mã hoá và giải mã. Hiện nay, độ dài của mã khoá điện tử thường được thiết kế có độ dài từ 95 - 265 byte.
Sơ đồ mã hóa khóa công khai:
Chữ ký số (Digital Signature) Khóa chung Bức điện gốc ( người gửi) Bức điện đã được mã hóa Mạng Internet Bức điện đã được mã hóa Bức điện gốc (người nhận) Khóa riêng ( người nhận)
Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp dụng mã hoá khoá công khai ngược lại. Để tạo một chữ ký số, một người gửi mã hoá một thông điệp với chìa khoá riêng của mình. Trong trường hợp này, bất cứ người nhận nào có chìa khoá công khai của người đó đều có thể đọc nó, song người nhận có thể tin chắc rằng người gửi thực sự là tác giả của thông điệp. Một chữ ký số thường được gắn kèm với thông điệp được gửi, cũng giống như chữ ký viết tay.
Tóm tắt thông điệp (Message Digest)
Để tạo một chữ ký số, thông điệp cơ sở cần phải được chuẩn hoá với một độ dài 160bits được ấn định trước, bất kể độ dài của thông điệp gốc là bao nhiêu. Quá trình chuẩn hoá này có thể đạt được bằng việc biến đổi thông điệp gốc. Thông điệp đã bị biến đổi này được gọi là một bản tóm tắt thông điệp.
Các chứng thực (Certificates)
Một chứng thực thường ngụ ý nói đến một chứng thực về nhân thân được phát hành bởi một cơ quan chứng thực bên thứ ba (third-party certificate authority - (CA) đáng tin cậy. Một chứng thực bao gồm các bản ghi như số sêri, tên người chủ sở hữu, các chìa khoá công khai của người chủ sở hữu (một cho việc trao đổi khoá bí mật như là người nhận và một cho chữ ký số như là người gửi), một thuật toán sử dụng những khoá này, loại hình chứng thực (người chủ sở hữu thẻ, người kinh doanh, hay một cổng nối thanh toán), tên của CA, và chữ ký số của CA
Cơ quan chứng thực (Certificate Authority) (CA)
Một cơ quan chứng thực là một tổ chức, công cộng hay tư nhân, tổ chức này cố gắng đáp ứng nhu cầu về các dịch vụ bên thứ ba đáng tin cậy trong TMĐT. Một CA hoàn thành tốt việc này bằng việc phát hành các chứng thực số xác nhận cho một số dữ kiện nào đó về đối tượng của chứng thực. CA bên thứ ba là một bằng chứng của bên thứ ba về sự xác thực và không từ chối thi hành nghĩa vụ của cả người gửi và người nhận. Chứng thực điện tử dựa trên cơ sở hạ tầng khoá công khai (Public Key Infrastructure) với nền tảng là mật mã khoá công khai và chữ ký số. Dịch vụ chứng thực điện tử đã và đang phát triển thành dịch vụ toàn
eTrust... Đã có một số Công ty và tổ chức của Việt Nam thử nghiệm và cung cấp dịch vụ chứng thực điện tử như Công ty phần mềm và truyền thông (VASC), Công ty điện toán và truyền số liệu (VDC), Trung tâm tin học - Bộ Khoa học và Công nghệ, Ban Cơ yếu Chính phủ.
Vấn đề an toàn cho giao dịch thông qua mạng được khẳng định về mặt kỹ thuật nếu được tuân thủ nghiêm ngặt các quy trình, quy định về bảo mật. Hơn nữa, không thể hy vọng đưa ra những hệ thống thương mại an toàn trừ khi có một chính sách bảo mật bằng văn bản. Chính sách này phải giải thích rõ ràng loại tài sản nào là được bảo vệ, cần gì để bảo vệ những tài sản đó, phân tích khả năng của những đe doạ và các quy tắc bắt buộc để bảo vệ những tài sản đó. Nếu không có chính sách này, rất khó để thực hiện bất kỳ sự bảo mật nào.
Chính sách bảo mật nên bảo vệ sự bí mật, tính nguyên vẹn, sự có giá trị của hệ thống và xác minh những người sử dụng. Tiến sĩ Eugene Spafford, giáo sư về công nghệ máy tính của trường đại học Purdue và chuyên gia bảo mật máy tính, đưa ra một số sự hiểu biết sâu sắc về tầm quan trọng của TMĐT được tiến hành một cách bảo mật. Ông ta đã nói rằng “ Bảo vệ thông tin là mối quan tâm chính khi nó liên quan đến an ninh quốc gia, thương mại và thậm chí là cả cuộc sống riêng tư của chúng ta. Nó cũng là một hoạt động kinh doanh có tiềm năng phát triển to lớn.” Rõ ràng, bảo mật cao là quan trọng đối với sự phát triển sau này của TMĐT.