2. CÁC BIỆN PHÁP ĐỀ PHềNG TRÁNH RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ
2.1Cỏc giải phỏp mang tớnh kỹ thuật
2.1.1 Bảo mật trong giao dịch
Mó húa dữ liệu (data encryption)
Mó hoỏ là quỏ trỡnh biến đổi cỏc thụng tin, bằng cỏch sử dụng một phương phỏp toỏn học và một khoỏ bớ mật để sinh ra một chuỗi cỏc ký tự khú hiểu. Thực chất là việc che dấu cỏc thụng bỏo, chỉ người gửi và người nhận cú thể đọc nú. Khoa học nghiờn cứu mó hoỏ được gọi là mật mó.
Mật mó khụng liờn quan đến ngụy trang ký. Nguỵ trang ký làm cho mắt thường khụng nhỡn thấy văn bản. Mật mó khụng cố gắng che giấu văn bản, nú chuyển đổi văn bản sang dạng chuỗi ký tự, chỳng ta cú thể nhỡn được nhưng khụng hiểu nghĩa của nú. Một chuỗi ký tự khú hiểu được sinh ra bằng cỏch kết hợp cỏc bit, tương ứng với cỏc ký tự trong bảng chữ cỏi hoặc số, tạo thành một thụng bỏo cú vẻ như được lắp rỏp ngẫu nhiờn.
Một chương trỡnh chuyển đổi văn bản rừ sang văn bản mó (sự lắp rỏp ngẫu nhiờn cỏc bit) được gọi là chương trỡnh mó hoỏ. Cỏc thụng bỏo được mó hoỏ trước khi chỳng được gửi lờn mạng hoặc Internet. Khi tới đớch hợp lệ, thụng bỏo được giải mó nhờ chương trỡnh giải mó. Chương trỡnh mó húa và logic sau chỳng, gọi là thuật toỏn mó hoỏ, được coi là yếu tố cực kỳ quan trọng. Biết được tầm quan trọng của một số thuật toỏn, chớnh phủ Mỹ đó ngăn cấm việc cụng bố rộng rói và chi tiết cỏc thuật toỏn mó hoỏ. Một thuộc tớnh hấp dẫn và cần thiết của cỏc thuật toỏn hoặc cỏc chương trỡnh mó hoỏ là một người cú thể biết chi tiết chương trỡnh mó hoỏ nhưng vẫn khụng cú khả năng giải mó thụng bỏo nếu khụng biết khoỏ được sử dụng trong quỏ trỡnh mó hoỏ. Độ dài tối thiểu của một khoỏ là 40 bit, nú cú thể dài hơn, chẳng hạn 128 bit, sẽ đảm bảo an toàn hơn nhiều do khú bị phỏt hiện
Mó húa thụng tin là quỏ trỡnh chuyển cỏc văn bản hay cỏc tài liệu gốc thành cỏc văn bản dưới dạng mật mó để bất cứ ai, ngoài người gửi và người nhận, đều khụng thể đọc được. Mục đớch của kỹ thuật mó húa là: đảm bảo an toàn cho cỏc thụng tin được lưu giữ, và đảm bảo an toàn cho thụng tin khi truyền phỏt. Mó húa là một kỹ thuật khỏ phổ biến, cú khả năng đảm bảo bốn trong sỏu khớa cạnh an toàn của TMĐT gồm cú:
- Đảm bảo tớnh toàn vẹn của thụng điệp; - Chống phủ định;
- Đảm bảo tớnh xỏc thực;
- Đảm bảo tớnh bớ mật của thụng tin.
Quỏ trỡnh mó húa thụng tin được thực hiện trờn cơ sở sử dụng một khúa (hay cũn gọi là mó). Khúa (mó) chớnh là phương phỏp để chuyển văn bản gốc thành văn bản mó húa.
Mó húa thụng tin là một kỹ thuật được sử dụng rất sớm trong cỏc tài liệu viết tay cũng như trong cỏc giao dịch thương mại. Người Ai Cập cổ đại và người Phờ-ni-xi đó từng mó húa cỏc văn bản thương mại của họ bằng phương phỏp thay thế và hoỏn vị. Trong phương phỏp mó húa thay thế, cỏc ký tự được thay thế cú hệ thống bằng cỏc ký tự khỏc. Thớ dụ, nếu chỳng ta sử dụng mó thay thế là “ký tự cộng thờm hai”, nghĩa là thay thế một ký tự bằng một ký tự đứng sau nú hai vị trớ trong bảng chữ cỏi, như vậy từ “echop” ở dạng văn bản gốc sẽ được viết thành “gejgr” dưới dạng mó húa. Trong phương phỏp mó húa hoỏn vị, trật tự cỏc ký tự trong từ được thay đổi theo một cỏch thức nhất định. Thớ dụ, Leonardo De Vinci đó từng ghi lại cỏc thụng bỏo ở cửa hàng của ụng theo một trật tự đảo ngược, nghĩa là chỉ cú thể đọc được nếu nhỡn trong gương, theo đú từ “echop” ở dạng văn bản gốc sẽ được mó húa thành “pohce”. Ngoài ra, cú thể dựng nhiều phương phỏp mó húa đơn giản khỏc như ngắt cú hệ thống cỏc ký tự của một từ hoặc giữ nguyờn một ký tự nhất định (ký tự đầu tiờn trong từ chẳng hạn) và đảo vị trớ hoặc thay đổi cỏc ký tự cũn lại.
Trong thời đại ngày nay, hai kỹ thuật cơ bản thường được sử dụng để mó húa thụng tin trờn Internet là mó húa “khúa đơn” hay mó húa “khúa bớ mật” và mó húa “khúa cụng cộng”.
Mó húa khúa bớ mật (private key)
Mó húa khúa bớ mật, cũn gọi là mó húa đối xứng hay mó húa khúa riờng, là sử dụng một khúa cho cả quỏ trỡnh mó húa (được thực hiện bởi người gửi thụng tin) và quỏ trỡnh giải mó (được thực hiện bởi người nhận). Quỏ trỡnh mó húa khúa bớ mật được thực hiện như sau: Một khỏch hàng (Anne) muốn gửi tới người bỏn hàng (Bob) một đơn đặt hàng, nhưng chỉ muốn một mỡnh Bob cú thể đọc được. Anne mó húa đơn đặt hàng (dưới dạng văn bản gốc) của mỡnh bằng một mó khúa rồi gửi đơn đặt hàng đó mó húa đú cho Bob. Tất nhiờn, ngoài Bob và Anne ra, khụng ai cú thể đọc được nội dung thụng điệp lộn xộn đó mó húa.
H. 8 Mụ hỡnh mó hoỏ sử dụng khoỏ bớ mật
Khi nhận được thụng điệp mó húa, Bob giải mó thụng điệp này bằng khúa giải mó và đọc cỏc thụng tin của đơn đặt hàng. Điều đỏng chỳ ý là trong kỹ thuật mó húa khúa bớ mật, khúa để mó húa thụng
điệp và khúa để giải mó thụng điệp khụng giống như nhau. Người gửi thụng điệp sử dụng một khúa mật mó để mó húa thụng điệp và người nhận thụng điệp cũng sử dụng một khúa như vậy để đọc mật mó hoặc giải mó thụng điệp. Kỹ thuật mó húa khúa bớ mật này đó được IBM phỏt triển, ỏp dụng cho cỏc cơ quan của Chớnh Phủ Mỹ năm 1977 được gọi là Tiờu chuẩn mó húa dữ liệu (DES- data encryption standard).
Kỹ thuật mó húa khúa bớ mật là một phương phỏp mó húa thụng tin hữu dụng trong nhiều trường hợp. Tuy nhiờn, nú cũng cú những hạn chế. Cỏc bờn tham gia trong quỏ trỡnh mó húa cần phải tin tưởng nhau và phải chắc chắn rằng, bản sao của mó húa đang được đối tỏc bảo vệ cẩn mật. Thờm vào đú, nếu người gửi và người nhận thụng điệp ở hai nơi khỏc nhau, họ phải đảm bảo rằng, khi họ gặp mặt hoặc sử dụng một phương tiện thụng tin liờn lạc chung (hệ thống điện thoại, dịch vụ bưu chớnh) để trao mó khúa cho nhau khụng bị người khỏc nghe trộm hay bị lộ mó khúa, bởi vỡ nếu như vậy, những người này sau đú cú thể sử dụng mó khoỏ để đọc lộn cỏc thụng điệp mà cỏc bờn gửi cho nhau. Điều này làm xuất hiện những trở ngại lớn trong việc quản lý (tạo, phõn phối và lưu giữ) cỏc mó khúa. Do sử dụng chung một khoỏ, cả người gửi lẫn người nhận thụng bỏo đều phải biết khoỏ. Việc mó hoỏ và giải mó thụng bỏo sử dụng mó hoỏ đối xứng rất nhanh và hiệu quả. Tuy nhiờn, khoỏ dễ bị lộ và quỏ trỡnh phõn phối khoỏ cho cỏc thành viờn rất khú khăn do khụng thớch hợp trong cỏc mụi trường lớn, chẳng hạn như Internet. Vỡ phải cú một khoỏ riờng cho mỗi cặp người sử dụng nờn cần phải cú số lượng lớn sự kết hợp cỏc cặp khoỏ. Để cho 12 người cú thể liờn lạc an toàn với nhau đó cần tới 66 cặp khoỏ riờng. Tổng quỏt, với N mỏy khỏch cỏ nhõn, cần N(N-1)/2 cặp khoỏ.
Sử dụng phương phỏp mó húa khúa bớ mật, một doanh nghiệp rất khú cú thể thực hiện việc phõn phối an toàn cỏc mó khúa bớ mật với hàng ngàn khỏch hàng trực tuyến của mỡnh trờn những mạng thụng tin rộng lớn. Và, doanh nghiệp sẽ phải bỏ ra những chi phớ khụng nhỏ cho việc tạo một mó khúa riờng và chuyển mó húa đú tới một khỏch hàng bất kỳ trờn Internet khi họ cú nhu cầu giao dịch với doanh nghiệp.
Với những hạn chế trờn, kỹ thuật mó húa khúa bớ mật khú cú thể trở thành phương phỏp mó húa thuận tiện sử dụng trong cỏc giao dịch TMĐT. Để cú thể dễ dàng đảm bảo an toàn cho cỏc giao dịch trờn Internet cần cú những kỹ thuật mó húa khỏc thuận tiện và hiệu quả hơn, và kỹ thuật mó húa khúa cụng cộng ra đời.
Mó húa khúa cụng cộng (Public key)
Thuật ngữ mật mó húa khúa bất đối xứng thường được dựng đồng nghĩa với mật mó húa khúa cụng khai mặc dự hai khỏi niệm khụng hoàn toàn tương đương. Cú những thuật toỏn mật mó khúa bất đối xứng khụng cú tớnh chất khúa cụng khai và bớ mật như đề cập ở trờn mà cả hai khúa (cho mó húa và giải mó) đều cần phải giữ bớ mật.
Trong mật mó húa khúa cụng khai, khúa cỏ nhõn phải được giữ bớ mật trong khi khúa cụng khai được phổ biến cụng khai. Trong 2 khúa, một dựng để mó húa và khúa cũn lại dựng để giải mó. Điều quan trọng đối với hệ thống là khụng thể tỡm ra khúa bớ mật nếu chỉ biết khúa cụng khai.
Hệ thống mật mó húa khúa cụng khai cú thể sử dụng với cỏc mục đớch:
Mó húa: giữ bớ mật thụng tin và chỉ cú người cú khúa bớ mật mới giải mó được.
Tạo chữ ký số: cho phộp kiểm tra một văn bản cú phải đó được tạo với một khúa bớ mật nào đú hay khụng.
Thụng thường, cỏc kỹ thuật mật mó húa khúa cụng khai đũi hỏi khối lượng tớnh toỏn nhiều hơn cỏc kỹ thuật mó húa khúa đối xứng nhưng những lợi điểm mà chỳng mang lại khiến cho chỳng được ỏp dụng trong nhiều ứng dụng.
H. 9 Mụ hỡnh mó hoỏ sử dụng khoỏ cụng khai
Khỏc với khúa bớ mật, mó húa khúa cụng cộng (cũn gọi là mó húa khụng đối xứng) sử dụng hai mó khúa trong quỏ trỡnh mó húa: một mó khúa dựng để mó húa thụng điệp và một khúa khỏc dựng để giải mó. Hai mó khúa này cú quan hệ với nhau về mặt thuật toỏn sao cho dữ liệu được mó húa bằng khúa này sẽ được giải mó bằng khúa kia. Như vậy thực chất, phương phỏp mó húa này dựng một cặp mó khúa cho quỏ trỡnh mó húa: một mó khúa gọi là mó khúa cụng cộng và một là mó khúa riờng. Mó khúa cụng cộng là mó khúa cú thể cụng khai cho nhiều người biết, cũn mó khúa riờng được giữ bớ mật và chỉ mỡnh chủ nhõn của nú được biết. Tất nhiờn, cả hai mó khúa này đều được bảo vệ trỏnh bị đỏnh cắp hoặc thay đổi.
Thuật toỏn mó húa cụng cộng phổ biến nhất đú là thuật toỏn RSA, chữ cỏi đầu tiờn của ba nhà phỏt minh là R.Rivest, A.Shamir và L.Adleman (Viện Cụng nghệ Massachusetts). Theo phương phỏp RSA, mỗi bờn đối tỏc sẽ tạo ra một cặp khúa duy nhất, một mó khúa cụng cộng được sắp xếp, lưu giữ cụng khai ở một thư mục cụng cộng; và một mó khúa riờng, được cất giữ cẩn mật. Cặp mó khúa này sẽ hoạt động cựng nhau, cỏc dữ liệu được “khúa” bằng mó khúa này chỉ cú thể “mở” bằng mó khúa kia. Thớ dụ, một cụ gỏi muốn gửi một thụng điệp thư điện tử cho bạn trai mỡnh, việc đầu tiờn, cụ sẽ tỡm mó khúa cụng cộng của anh ta và sử dụng mó khúa đú để mó húa bức thư của mỡnh. Khi bạn trai của cụ nhận được bức thư, anh ta sẽ dựng mó khúa riờng (do anh ta cất giữ) để chuyển đổi bức thư mó húa và nội dung của bức thư đú sẽ được thực hiện lờn trờn màn hỡnh mỏy tớnh dưới dạng văn bản gốc, hoàn toàn cú thể đọc được. Trong trường hợp này, cụ gỏi cú thể tin tưởng thụng điệp mà mỡnh đó gửi chỉ cú thể được giải mó bằng mó khúa riờng duy nhất của bạn trai cụ. Điều này giỳp đảm bảo tớnh toàn vẹn thụng điệp vỡ cho dự nú bị những kẻ tội phạm chặn lại trờn đường truyền, chỳng cũng khụng thể đọc được nội dung thụng điệp vỡ khụng cú mó khúa riờng do chủ nhõn đớch thực của cặp khúa cất giữ.
Cỏc hệ thống khoỏ cụng khai mang lại một số thuận lợi, so với cỏc giải phỏp mó hoỏ khoỏ riờng.Thứ nhất, việc kết hợp cỏc khoỏ (được yờu cầu cung cấp cho cỏc thụng bỏo bớ mật giữa một số lượng người khổng lồ) là nhỏ. Nếu cú N người muốn chia sẻ thụng tin với người khỏc một cỏch bớ mật thỡ chỉ cần duy nhất N cặp khoỏ cụng khai, ớt hơn rất nhiều so với hệ thống khoỏ riờng tương đương. Thứ hai, việc phõn phối khoỏ khụng phải là một vấn đề. Khoỏ cụng khai của mỗi người cú thể được gửi đi theo đường bớ mật nếu cần thiết và khụng yờu cầu bất kỳ sự kiểm soỏt đặc biệt nào khi phõn phối. Thứ ba, cỏc hệ thống khoỏ cụng khai cú khả năng thực thi chữ ký số. Điều này cú nghĩa là một tài liệu điện tử cú thể được ký và gửi cho người nhận bất kỳ, cựng với chống chối bỏ. Cú nghĩa là, với kỹ thuật khoỏ cụng khai, khú cú thể tồn tại một người nào khỏc ngoài người ký - sinh ra chữ ký điện tử; Thờm vào đú, người ký khụng thể chối bỏ việc ký tài liệu sau khi đó ký. Cỏc hệ thống khoỏ cụng khai cú một số khú khăn. Một trong cỏc khú khăn đú là quỏ trỡnh mó hoỏ và giải mó khỏ chậm so với cỏc hệ thống khoỏ riờng. Khoảng thời gian chờnh lệch này sẽ tăng lờn một cỏch nhanh chúng nếu tiến
hành thương mại trờn Internet. Người ta khụng cú ý định thay thế cỏc hệ thống khoỏ riờng bằng cỏc hệ thống khoỏ cụng khai mà sử dụng kết hợp để bổ sung cho nhau. Cỏc hệ thống khoỏ cụng khai được sử dụng để truyền cỏc khoỏ riờng cho cỏc thành viờn.
So sỏnh phương phỏp mó húa khúa cụng cộng với phương phỏp mó húa khúa bớ mật, cả hai phương phỏp này đều cú những ưu và nhược điểm riờng. Việc sử dụng phương phỏp nào sẽ do chớnh cỏc bờn quyết định căn cứ vào mức độ cần bảo mật và mụi trường hoạt động giao dịch. Tuy nhiờn, phương phỏp mó húa khúa cụng cộng rất phự hợp khi cú nhiều bờn cựng tham gia vào quỏ trỡnh truyền thụng trờn mạng bởi vỡ trong những trường hợp như vậy, cỏc bờn rất khú cú thể tin tưởng lẫn nhau cũng như khú cú thể chia sẻ cựng một mó khúa bớ mật. Đõy chớnh là cỏc đặc điểm cơ bản của cỏc giao dịch TMĐT trờn Internet.
Một phương phỏp mó khúa cụng cộng khỏc, được sử dụng phổ biến trong cỏc giao dịch trực tuyến đú là chữ ký số.
Chữ ký số (digital signature)
Trong mụi trường số húa, cỏc tài liệu núi chung và cỏc văn bản núi riờng khi gửi đi, trong nhiều trường hợp, gắn liền với trỏch nhiệm của người ban hành và đũi hỏi đảm bảo an toàn ở một mức độ nhất định. Cũng giống như trong giao dịch truyền thống, ở những trường hợp như vậy người ta sẽ sử dụng chữ ký điện tử (Electronic signature) hay chữ ký số húa (Digital signature).
Về mối quan hệ giữa văn bản điện tử và chữ ký điện tử, Điều 7, chương II, Đạo luật mẫu về TMĐT (do ủy ban liờn hợp quốc về Luật thương mại quốc tế) quy định: “Trong trường hợp phỏp luật đũi hỏi phải cú chữ ký (điện tử) của một người nào đú, thỡ thụng điệp dữ liệu (văn bản) được coi là đỏp ứng đũi hỏi đú nếu:
a) Cú sử dụng một phương phỏp nào đú để xỏc minh được người ấy và chứng tỏ được sự phờ chuẩn của người ấy đối với thụng tin hàm chứa trong thụng điệp đú; và
b) Phương phỏp ấy là đủ tin cậy theo nghĩa là thớch hợp cho mục đớch mà theo đú thụng điệp dữ liệu ấy đó được tạo ra và truyền đi, tớnh đến tất cả cỏc tỡnh huống, bao gồm cả cỏc thỏa thuận bất kỳ cú liờn quan.
Như vậy, chữ ký điện tử thực hiện chức năng giống như chữ ký viết thụng thường: là điều kiện cần và đủ để quy định tớnh duy nhất của văn bản điện tử cụ thể xỏc định ai là người chịu trỏch nhiệm trong việc tạo ra văn bản đú; và bất kỳ thay đổi nào (về nội dung, hỡnh thức) của văn bản trong quỏ trỡnh lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký.
Về mặt cụng nghệ, chữ ký điện tử là một dạng của mó hoỏ khoỏ cụng cộng, được tiến hành trờn cơ sở một kỹ thuật mó hoỏ. Quỏ trỡnh ký và xỏc nhận chữ ký điện tử loại này như sau: