Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET.
1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL)
Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet. Trong khi Nestcape thiết kế SSL, Microsoft và các hãng khác cũng nhanh chóng tham gia, và hiện nay hầu như mọi trang web đều hỗ trợ việc truyền dữ liệu sử dụng giao thức SSL.
Về cơ bản, giao thức SSL hoạt động ngay dưới các giao thức ứng dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và nằm trên giao thức mạng TCP/IP. Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở trên, với thuật toán RAS dùng để mã hóa. SSL cho phép:
- Client và server nhận dạng lẫn nhau.
- Sử dụng chứng thực số để chứng thực tính toàn vẹn. - Mã hóa toàn bộ thông tin để đảm bảo tính bí mật.
Để làm được điều này cần có một máy chủ bảo mật, đó là lý do tại sao bạn thường nhận được thông báo kiểu này:
Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa trong URL thay vì HTTP như bình thường.
Quá trình bạn bắt đầu một phiên làm việc với một máy chủ web dưới sự bảo mật của SSL được gọi là “quá trình bắt tay”. Một quá trình bắt tay bao gồm:
- Trình duyệt và server quyết định cấp độ và cách thức mã hóa dùng cho phiên làm việc.
- Trình duyệt và server tạo và chia sẻ chìa khóa dùng để mã hóa.
- Trình duyệt yêu cầu và nhận chứng thực số từ server (không bắt buộc). - Server yêu cầu và nhận chứng thực số từ trình duyệt (không bắt buộc). Sau khi quá trình bắt tay kết thúc, bạn hoàn thành giao dịch. Chỉ cần phiên làm việc chưa kết thúc thì mọi dữ liệu truyền đi giữa trình duyệt và server đều được mã hóa. Khi phiên làm việc hoàn thành, trình chủ bảo mật sẽ chuyển bạn về trình chủ không bảo mật.
SSL an toàn đến đâu?
Hầu hết chúng ta không quan tâm tới việc SSL hoạt động như thế nào, chúng ta chỉ muốn biết nó có thực sự hoạt động hay không. Nếu nó giữ thông tin thẻ tín dụng của bạn an toàn thì không có gì phải phàn nàn. Trong quý I năm 1998, không có giao dịch thực hiện bằng SSL thành công – tạo nên một thỏa thuận thực sự trong thực tế.
Tất nhiên, mã hóa sử dụng trong SSL có thể bị phá vỡ nhưng rất tốn kém. Trong hầu hết các ứng dụng, SSL vẫn được coi là giải pháp hàng đẩu để bảo vệ thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn nữa, SSL có thể được phát triển, đặc biệt nếu Nestcape và Microsoft được chính phủ Mỹ cho phép sử dụng những phương pháp mã hóa mạnh hơn.
2. Giao thức giao dịch an toàn (Secure Electronic Transaction)
Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng được 4 yêu cầu về bảo mật cho TMĐT giống như SSL: sự xác thực, mã hóa, tính chân thực và không thoái thác.
Vậy SET có gì khác biệt so với SSL? Khi bạn bắt đầu một phiên làm việc với một website thương mại thông qua SSL, điều đó chẳng khác gì bạn đưa thẻ tín dụng của mình cho người bán hàng . Anh ta nói giá, bạn đồng ý, và bạn đợi cho người bán yêu cầu xác định giá trị thẻ với ngân hàng. Nếu thẻ được xác
nhận, một phiếu bán hàng được in ra. Bạn ký vào phiếu bán hàng, người bán giữ một bản copy cho hồ sơ của bạn.
Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá trình giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của mình trong một giao dịch với SET, site thương mại sẽ không bao giờ thấy được số thẻ của bạn. Thay vào đó, thông tin được gửi đến cơ quan tài chính thông qua cổng thanh toán, người sẽ xác thực thẻ của bạn và thực hiện thanh toán với site thương mại điện tử. Đổi lại, công việc đó đòi hỏi một chi phí nhất định.
Giao thức SET yêu cầu khách hàng phải tải một phần mềm đặc biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet) để lưu giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ IC (Intergrated circuit card) của họ. Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng liên vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên vận hành của ví số của người chủ sở hữu thẻ với phần mềm của bất cứ người kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa, MasterCard, JCB – ngân hàng phát hành thẻ của Nhật – và American Express) đã thành lập một công ty được gọi là SETCO (Secure Electronic Transaction LLC 1999). Công ty này thực hiện các thử nghiệm liên vận hành và phát hành một nhãn hiệu SET như một xác nhận về tính liên vận hành. IBM, Netscape, Microsoft, Verisign, Tandem và MetaLand cung cấp các ví số có khả năng liên vận hành như vậy.
3. So sánh SSL và SET
Khác với giao thức SSL có 3 thực thể là người chủ sở hữu thẻ, người kinh doanh và cơ quan chứng thực (CA), SET có thêm một thực thể là cổng thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền của các ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng.
Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín dụng của bạn là công khai với người bán, cả người bán và ngân hàng của bạn đều biết bạn là ai và mua những gì. Điều này xâm phạm quyền riêng tư. Đối với SET thì không, người bán không bao giờ nhìn thấy số thẻ của bạn, bạn chỉ phải cung cấp thông tin về thẻ của mình cho cơ quan đã biết quá rõ về nó. Người bán không biết bạn là ai, còn ngân hàng của bạn không biết bạn mua những gì.
Tuy nhiên trên thực tế, SET không được ứng dụng rộng rãi như người ta mong đợi do tính phức tạp, thời gian phản hồi chậm và sự cần thiết phải cài đặt ví số ở máy tính của khách hàng. Nhiều ngân hàng ảo và cửa hàng điện từ duy trì giao thức SSL, một số sử dụng cả hai giao thức như WalMart Online. Hiện chỉ có 1% kế hoạch kinh doanh điện tử di chuyển sang SET.
MasterCard cho biết ví số có thể được phân phối như là phần mềm gắn thêm vào phiên bản Windows tiếp theo. Tuy nhiên, Visa quyết định không chờ đợi. Visa đồng ý cung cấp một cổng nối xử lý thẻ tín dụng được gắn vào giao thức mã hóa SSL cơ bản.