Những mục tiờu của an ninh thanh toỏn đối với 1 cụng ty kinh doanh trực tuyến

Một phần của tài liệu câu hỏi ôn tập môn thanh toán trong thương mại điện tử (Trang 38 - 44)

- Cỏc dịch vụ:

2. Những mục tiờu của an ninh thanh toỏn đối với 1 cụng ty kinh doanh trực tuyến

1.Cỏc yếu tố cơ bản trong lược đồ bảo mật thanh toỏn điện tử: cú 4 yờu cầu về bảo mật trong thanh toỏn điện tử.

- Xỏc thực (Authentication): một phương phỏp kiểm tra nhõn thõn của người mua trước khi việc thanh toỏn được chứng thực.

- Mó hoỏ (Encryption): một quỏ trỡnh làm cho cỏc thụng điệp khụng thể giải đoỏn được ngoại trừ bởi những người cú một khoỏ giải mó được cho phộp sử dụng.Mục tiờu của nú là nhằm bảo vệ cỏc thụng tin nhạy cảm. Trong 1 hệ thống mó hoỏ, 1 thụng điệp được mó hoỏ bằng cỏch dung 1 khoỏ . Văn bản đó được mó hoỏ sau đú được chuyển tới người nhận , ở đú nú được giải mó bằng cỏch sử dụng 1 khoỏ để tạo ra thụng điệp gốc.

- Tớnh toàn vẹn (Integrity): bảo đảm rằng thụng tin sẽ khụng bị vụ tỡnh hay ỏc ý thay đổi hay phỏ hỏng trong quỏ trỡnh truyền đi.

- Tớnh khụng thoỏi thỏc (Nonrepudiation): bảo vệ chống lại sự từ chối của khỏch hàng đối với những đơn hàng đó đặt và sự từ chối của người bỏn hàng đối với những khoản thanh toỏn đó được trả.

2. Những mục tiờu của an ninh thanh toỏn đối với 1 cụng ty kinh doanh trựctuyến tuyến

- Xỏc nhận người giữ thẻ, người bỏn và người chấp nhận thẻ . - Đảm bảo sự bớ mật của cỏc số liệu thanh toỏn

- Đảm bảo tớnh chõn thực của cỏc dữ liệu thanh toỏn

Cõu 32: Ptich lợi thế và bất lợi thế của vc sử dụng mó khúa bớ mật (khúa đối xứng) và việc sử dụng mó khúa cụng cộng (khúa bất đối xứng)? Anh chị cú ý kiến gỡ về việc kết hợp hai kỹ thuật mó húa núi trờn trong cung cấp một dịch vụ ttoan an toàn?

1.Phõn tớch lợi thế và bất lợi thế của việc sử dụng mó khoỏ bớ mật ( khoỏ đối xứng) và việc sử dụng mó khoỏ cụng cộng ( khoỏ bất đối xứng)?

a.Mó khoỏ bớ mật : -Lợi thế :

+ Mụ hỡnh khỏ đơn giản do cựng 1 khoỏ được sử dụng bởi người gửi (cho việc mó hoỏ) và người nhận ( cho việc giải mó)

+ Dễ dàng tạo ra thuật toỏn mó hoỏ đối xứng cho cỏ nhõn +Dễ cài đặt và hoạt động hiệu quả.

+Hoạt động nhanh và hiệu quả do tốc độ mó hoỏ và giải mó cao .

+Thuật toỏn được chấp nhận rộng rói nhất cho việc mó hoỏ khoỏ bớ mật là Chuẩn Mó hoỏ Dữ liệu (Data Encryption Standard - DES) (Schneier 1996). DES được đỏnh giỏ là đủ an toàn bởi vỡ việc phỏ mó phải mất nhiều năm với chi phớ hàng triệu đụ la. -Bất lợi thế:

+Dựng chung khoỏ nờn nhiều nguy cơ bị mất an toàn do khụng kiểm tra được gian lận ở 1 trong 2 bờn

+Khoỏ dựng chung rất dễ bị hoỏ giải (bị bẻ khoỏ) do cũng phải truyền trờn kờnh truyền tin đến bờn nhận.

+Việc gửi thụng tin cựng khoỏ cho số lượng lớn là khú khăn b.Mó khoỏ cụng cộng

-Lợi thế:

+Đơn giản trong việc lưu chuyển khoỏ. Chỉ cần đăng kớ 1 khoỏ cụng khai , sau đú gửi cho tất cả mọi người ,mọi người sẽ lấy khoỏ này về để trao đổi thụng tin với người đăng kớ . Bởi vậy khụng cần kờnh bớ mật để truyền khoỏ

+Mỗi người chỉ cần 1 cặp khoỏ cụng khai - khoỏ bớ mật là cú thể trao đổi thụng tin với tất cả mọi người

+Là tiền đề cho sự ra đời của chữ kớ điện tử và cỏc phương phỏp chứng thực điện tử. - Bất lợi thế:

+ Tốc độ xử lớ chậm do chủ yếu dựng phộp nhõn , do vậy khụng thớch hợp trong những trường hợp mó hoỏ thụng thường nờn chỉ dựng trao đổi khoỏ bớ mật đầu phiờn truyền tin

+Tớnh xỏc thực của khoỏ cụng khai : khoỏ cụng khai cú thể bị giả mạo do bất cứ ai cũng cú thể tạo ra 1 khoỏ và cụng bố đú là của 1 người khỏc . Do vậy khi việc giả mạo chua bị phỏt hiện thỡ đều cú thể đọc được nội dung cỏc thụng bỏo gửi cho người kia . Bởi vậy cần cú cơ chế đảm bảo những người đăng kớ khoỏ là đỏng tin

2.Anh(chị) cú ý kiến gỡ về việc kiết hợp 2 kĩ thuật mó hoỏ núi trờn trong cung cấp 1 dịch vụ thanh toỏn an toàn .

Giao thức SSL sử dụng kết hợp 2 loại mó hoỏ đối xứng và cụng khai. Sử dụng mó hoỏ đối xứng nhanh hơn rất nhiều so với mó hoỏ cụng khai khi truyền dữ liệu, nhưng mó hoỏ cụng khai lại là giải phỏp tốt nhất trong qỳa trỡnh xỏc thực. hiện nay SSL được sử dụng chớnh cho cỏc giao dịch trờn Web.

Xỏc thực server: Cho phộp người sử dụng xỏc thực được server muốn kết nối. Lỳc này, phớa browser sử dụng cỏc kỹ thuật mó hoỏ cụng khai để chắc chắn rằng việc cấp giấy chứng nhận và public ID của server là cú giỏ trị và được cấp phỏt bởi một CA trong danh sỏch cỏc CA đỏng tin cậy của client. Điều này rất quan trọng đối với người dựng. Vớ dụ như khi gửi mó số credit card qua mạng thỡ người dựng thực sự muốn kiểm tra liệu server sẽ nhận thụng tin này cú đỳng là server mà họ định gửi đến khụng.

Xỏc thực Client: Cho phộp phớa server xỏc thực được người sử dụng muốn kết nối. Phớa server cũng sử dụng cỏc kỹ thuật mó hoỏ cụng khai để kiểm tra xem việc cấp giấy chứng nhận và public ID của server cú giỏ trị hay khụng và được cấp phỏt bởi một CA trong danh sỏch cỏc CA đỏng tin cậy của server khụng. Điều này rất quan trọng đối với cỏc nhà cung cấp. Vớ dụ như khi một ngõn hàng định gửi cỏc thụng tin tài chớnh mang tớnh bảo mật tới khỏch hàng thỡ họ rất muốn kiểm tra định danh của người nhận.

Mó hoỏ kết nối: Tất cả cỏc thụng tin trao đổi giữa client và server được mó hoỏ trờn đường truyền nhằm nõng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bờn khi cú cỏc giao dịch mang tớnh riờng tư. Ngoài ra, tất cả cỏc dữ liệu được gửi

đi trờn một kết nối SSL đó được mó hoỏ cũn được bảo vệ nhờ cơ chế tự động phỏt hiện cỏc xỏo trộn, thay đổi trong dữ liệu. ( đú là cỏc thuật toỏn băm )

Cõu 33: Pb mó khúa bớ mật và mó khúa cụng cộng? Giải thớch quỏ trỡnh tạo, sử dụng và ý nghĩa của chữ ký số?

1.Phõn biệt mó khoỏ bớ mật và mó khoỏ cụng khai

- Mó khoỏ bớ mật:

+ mó khoỏ bớ mật cũn gọi là mó hoỏ đối xứng, hay mó hoỏ khoỏ riờng.

+ Sử dụng cựng 1 khoỏ bởi người gửi(cho việc mó hoỏ) và người nhận( cho việc giải mó).

+ Thuật toỏn đuợc chấp nhận rộng rói nhất cho việc mó hoỏ khoỏ bớ mật là chuẩn mó hoỏ dữ liệu (DES).Một số chuyờn gia mó hoỏ tin rằng thuật toỏn DES cú thể phỏ mó được . Tuy nhiờn DES được đỏnh giỏ là đủ an toàn bởi việc phỏ mó phải mất nhiều năm với chi phớ hàng triệu đụ la.Giao thức SET chấp nhận thuật toỏn DES với chỡa khoỏ 64 bớt của nú .

+ người gửi và người nhận thụng điệp phải chia sẻ 1 bớ mật , gọi là chỡa khoỏ. -Mó khoỏ cụng khai:

+ Cũn gọi là mó hoỏ khụng đối xứng, dựng 2 khoỏ khỏc nhau , một khoỏ cụng khai (để mó húa thụng điệp) và một khoỏ riờng (để giải mó thụng điệp)

+ Mỗi người sử dụng cú 2 khoỏ: 1 khoỏ cụng cộng và 1 khoỏ riờng .Khoỏ cụng khai thỡ tất cả người sử dụng được phộp biết song khoỏ riờng thỡ chỉ cú 1 người biết -người sở hữu nú. Chỡa khoỏ riờng được cài đặt ở mỏy tớnh của người chủ sở hữu và khụng được gửi cho bất cứ ai. Để gửi 1 thụng điệp an toàn cú sử dụng mó hoỏ khoỏ cụng khai , người gửi mó hoỏ thụng điệp với chỡa khoỏ cụng khai của người nhận.Việc này yờu cầu khoỏ cụng khai của ngưũi nhận được giao tự trước.

+ Thuật toỏn phổ biến nhất với mó hoỏ khoỏ cụng khai là thuật toỏn RSA với nhiều kớch cỡ khỏc nhau, chẳng hạn 1024 bớt.thuật toỏn này khụng bao giũ bị phỏ bởi bọn tin tặc do đú nú được coi là phương phỏp mó hoỏ an toàn nhất được biết cho đến nay .

+ thụng điệp được mó hoỏ chỉ cú thể được giải mó với chỡa khoỏ riờng của người nhận .

2.Giải thớch quỏ trỡnh tạo , sử dụng và ý nghĩa của chữ kớ số.

- í nghĩa :Chữ kớ số dựng để xỏc thực người gửi và khụng từ chối thi hành nghĩa vụ bằng việc ỏp dụng mó hoỏ khoỏ cụng khai ngược lại . Để tạo 1 chữ kớ số một người gửi sẽ mó húa 1 thụng điệp với chỡa khoỏ riờng của anh ta . Trong trường hợp này bất cứ người nhận nào cú chỡa khoỏ cụng khai của anh ta đều cú thể đọc nú song người nhận muốn tin chắc rằng người gửi thực sự là tỏc giả của thụng điệp .1 ch ữ kớ số thưũng gắn kốm với thụng điệp được gửi cũng giống như chữ kớ viết tay. Tớnh chõn thực và việc xỏc nhận được đảm bảo bằng vi ệc sử dụng chữ kớ số .

-Quỏ trỡnh tạo, sử dụng chữ kớ số : Sử dụng kĩ thuật số hoỏ thụng điệp

Khi kết hợp với kĩ thuật số hoỏ thụng điệp , việc mó hoỏ sử dụng khoỏ riờng cho phộp người sử dụng kớ thụng điệp . Một số hoỏ thụng điệp là một giỏ trị được tạo ra cho 1 thụng điệp mang tớnh duy nhất cho thụng điệp đú . 1 số hoỏ thụng điệp được tạo ra bằng cỏch đưa thụng điệp qua 1 chức năng mó hoỏ 1 cửa , tức là nơi khụng thể quay lại . Khi số của thụng điệp được mó hoỏ dựng khoỏ riờng của người gửi và được ghộp thờm vào thụng điệp gốc , kết quả được gọi là chữ kớ số hoỏ của thụng điệp. Người nhận chữ kớ số hoỏ cú thể chắc chắn rằng thụng điệp được thực sự đến từ người gửi .

Cõu 34: trỡnh bày kn, sự cần thiết của chứng thực trong KD trực tuyến núi chung và ttoan đtử núi riờng? Liờn hệ với VN hnay?

1.Trỡnh bày khỏi niệm, sự cần thiết trong kinh doanh trực tuyến núi chung và thanh toỏn điện tử núi riờng?

a.Khỏi niệm :

Một chứng thực thường ngụ ý núi đến một chứng thực về nhõn thõn được phỏt hành bởi một cơ quan chứng thực bờn thứ ba (third-party certificate authority - (CA) đỏng tin cậy. Một chứng thực bao gồm cỏc bản ghi như số sờri, tờn người chủ sở hữu, cỏc chỡa khoỏ cụng khai của người chủ sở hữu (một cho việc trao đổi khoỏ bớ mật như là người nhận và một cho chữ ký số như là ngườI gửi), một thuật toỏn sử dụng những khoỏ này, loại hỡnh chứng thực (người chủ sở hữu thẻ, người kinh doanh, hay một cổng nối thanh toỏn), tờn của CA, và chữ ký số của CA.Vi ệc ch ứng th ực đ ư ợc c ủng c ố th ờm b ằng vi ệc s ử d ụng c ỏc gi ấy ch ứng nh ận

b.S

ự cần thiết của chứng thực:

Trước khi 2 bờn sử dụng mó húa khoỏ cụng cộng để tiến hành kinh doanh , mỗi bờn muốn được đảm bảo rằng bờn kia là xỏc thực . trước khi A nhận được thụng điệp với

chữ kớ số hoỏ của B, anh ta muốn được đảm bảo rằng khoỏ cụng cộng thuộc về B chứ khụng phải thuộc 1 ai đú cải trang là B tr ờn 1 mạng mở . Một cỏch để đảm bảo chắc rằng khoỏ cụng cộng thuộc về B là phải nhận được nú trờn 1 kờnh được đảm bảo trực tiếp từ B. Tuy nhiờn trong hầu hết cỏc trường hợp giải phỏp này là khụng thực tế . Một giải phỏp thay thế cho việc truyền tải về khoỏ là sử dụng 1 bờn thứ 3 được uỷ thỏc để xỏc nhận rằng khoỏ cụng cộng thuộc về B. Bờn thứ 3 như vậy gọi là cơ quan chứng nhận ( CA)

CA cú thể yờu cầu B xuất trỡnh CMND cho 1 cụng chứng viờn trước khi phỏt hành chứng nhận . Sau khi B đó cung cấp 1 bằng chứng về nhận dạng , cơ quan cấp chứng nhận sẽ tạo ra 1 thụng điệp chứa đựng tờn của B và khoỏ cụng cộng của anh ta . Thụng điệp này được gọi là 1 giấy chứng nhận , được kớ số hoỏ bởi cơ quan chứng nhận . Nú chứa đựng cỏc thụng tin nhận dạng người chủ cũng như bản copy của 1 trong cỏc khoỏ cụng cộng của người chủ . Để đạt được lợi ớch tốt nhất khoỏ cụng cộng của cơ quan chứng nhận nờn được nhiều người biết càng tốt .

Cơ quan chứng thực là một tổ chức, cụng cộng .tư nhõn, tổ chức này cố gắng đỏp ứng nhu cầu về cỏc dịch vụ bờn thứ ba đỏng tin cậy trong TMĐT. Một CA hoàn thành tốt việc này bằng việc phỏt hành cỏc chứng thực số xỏc nhận cho một số dữ kiện nào đú về đối tượng của chứng thực. VeriSign là một CA tiờn phong (VeriSign 1999). Dịch vụ Bưu điện Postal Service) của Mỹ được dự đoỏn đúng một vai trũ chủ yếu như một CA. Một CA cú thể được chứng thực bởi nột CA đỏng tin cậy khỏc, tạo nờn một hệ thống cấp bậc từ thấp đến cao cỏc CA. Trong điều kiện sử dụng thẻ tớn dụng, cơ quan chứng thực chủ sở hữu thẻ (CCA) phỏt hành chứng thực cho người sở hữu thẻ, cơ quan chứng thực người kinh doanh (MCA), phỏt hành chứng thực cho người kinh doanh quản lý cỏc cửa hàng ảo, và cơ quan chứng thực cổng nốI thanh toỏn (PCA) phỏt hành chứng thực cho cỏc nhà cung cấp dịch vụ cổng nối thanh toỏn. Cỏc CA trờn cần cỏc chứng thực cho chớnh họ từ một CA được xỏc định trong phạm vi quốc gia, cơ quan được gọi là cơ quan chứng thực địa chớnh trị (GCA). Để trao đổi cỏc chứng thực trờn phạm vi quốc tế, một cơ quan chứng thực nhón hiệu (BCA) như là VeriSign cần chứng thực cho GCA. Cuối cựng, một cơ quan chứng thực nguồn gốc đơn (RCA) cần chứng thực cho BCA.

2.Liờn hệ tỡnh hỡnh thực tế ở Việt nam hiện nay :

Trước nhu cầu sử dụng chứng thực điện tử ngày càng tăng cao, thời gian qua đó cú một số đơn vị cung cấp và thử nghiệm dịch vụ chứng thực điện tử như cụng ty VASC, cụng ty VDC, một số ngõn hang thương mại…. Ngoài ra cũn một số đơn vị cũng thử nghiệm xõy dựng cỏc CA nội bộ nghĩa là tự cấp chứng chỉ cho mỡnh. Nhu cầu sử dụng dịch vụ chứng thực ở nước ta cựng với thời gian ngày càng lớn. Tuy nhiờn, đõy là một dịch vụ mới, nờn phần lớn cộng đồng khụng biết đến chứng thực

điện tử và đội ngũ kỹ thuật hiểu biết đầy đủ về chứng thực điện tử vẫn cũn ớt. Bờn cạnh đú, do thiếu hiểu biết về chứng thực điện tử, nờn vấn đề để lộ hoặc làm mất khoỏ bớ mật. Điều này cú thể gõy ra những rắc rối và hậu quả khú mà lường hết được.

Cõu 35: Cơ quan chứng thực là gỡ? Mụ tả cỏc cấp cơ quan chứng thực thường gặp trong điều kiện sử dụng thẻ tớn dụng? liờn hệ với thực tế thanh toỏn của một nhón hiệu thẻ thanh toỏn tại VIệt Nam.

Một phần của tài liệu câu hỏi ôn tập môn thanh toán trong thương mại điện tử (Trang 38 - 44)

Tải bản đầy đủ (DOC)

(59 trang)
w