Hỡnh2. 8: Sơ đồ mụ tả cỏc cụng đoạn sau khi người B nhận được thụng điệp.
Hàm băm đó trợ giỳp cho cỏc sơ đồ ký số nhằm giảm dung lƣợng của dữ liệu cần thiết để truyền qua mạng (lỳc này chỉ cũn bao gồm dung lƣợng của bức thụng điệp gốc và 256 bit (sử dụng MD) hay 320 bit (sử dụng SHA) của bức ký số đƣợc ký trờn bản đại diện của thụng điệp gốc), tƣơng đƣơng với việc giảm thời gian truyền tin qua mạng.
Hàm băm thƣờng kết hợp với chữ ký số để tạo ra một loại chữ ký điện tử vừa an toàn hơn (khụng thể cắt/dỏn) vừa cú thể dựng để kiểm tra tớnh toàn vẹn của thụng điệp [2].
Hàm băm đƣợc ứng dụng rất nhiều trong vấn đề an toàn thụng tin trờn đƣờng truyền. Cỏc ứng dụng cú sử dụng hàm băm khụng chỉ đảm bảo về mặt an toàn thụng tin, mà cũn tạo đƣợc lũng tin của ngƣời dựng vỡ họ cú thể dễ dàng phỏt hiện đƣợc thụng tin của mỡnh cú cũn toàn vẹn hay khụng, họ biết rằng thụng tin của mỡnh chắc chắn đƣợc bớ mật với phớa cỏc nhà cung cấp.
Một số hàm băm thường gặp
- MD5 (Message Digest): 128 bit, nhanh, đƣợc sử dụng rộng rói.
2.5. CễNG CỤ XÁC THỰC THễNG ĐIỆP MAC
Trong một số trƣờng hợp, cỏc bờn tham gia muốn thụng bỏo một thụng tin nào đú nhƣng khụng cần phải giữ bớ mật với nhiều ngƣời (vớ dụ thụng tin về hàng húa...), nếu sử dụng mó húa thỡ rất mất thời gian. Tuy nhiờn họ vẫn muốn chứng minh đú là thụng tin do đỳng ngƣời đú đƣa ra mà khụng phải là ngƣời khỏc, khi đú maó xỏc thực thụng bỏo (MAC - Message Authentication Code) đƣợc sử dụng.
MAC là một khối dữ liệu cú kớch thƣớc nhỏ, cố định, đƣợc tạo ra từ thụng bỏo và khúa bớ mật với một giải thuật cho trƣớc: MAC = CK(M).
Đƣợc đớnh kốm vào thụng bỏo.
Chỳ ý: Từ mó xỏc thực, khụng xỏc định ngƣợc lại đƣợc thụng bỏo (Tớnh một chiều).
Mó xỏc thực thụng bỏo thực chất là kết hợp giữa cỏc tớnh chất của mó húa và hàm băm.
Cú kớch thƣớc nhỏ, đặc trƣng cho thụng bỏo (Tớnh chất của hàm băm).
Tạo ra bằng khúa bớ mật (Tớnh chất của mó húa).
Phƣơng phỏp xỏc thực bằng MAC
Bờn nhận thực hiện cựng giải thuật của bờn gửi trờn thụng bỏo và khúa bớ mật và so sỏnh giỏ trị thu đƣợc với MAC trong thụng bỏo
Hỡnh 2.9 : Tạo mó xỏc thực
Ưu điểm
- MAC chỉ hỗ trợ xỏc thực, khụng hỗ trợ bảo mật cú lợi trong nhiều trƣờng hợp (cỏc thụng bỏo cụng cộng, ...)
Nhược điểm
- Xỏc thực thụng bỏo khụng cú tỏc dụng khi bờn gửi và bờn nhận muốn gõy hại cho nhau
+ Bờn nhận giả mạo thụng bỏo của bờn gửi + Bờn gửi từ chối thụng bỏo đó gửi cho bờn nhận
- Nếu muốn bảo mật thụng bỏo, thỡ 2 bờn phải thỏa thuận thờm khúa thứ 2 và thực hiện mó húa nội dung thụng điệp bằng khúa thứ 2 này. Vỡ thế, 2 bờn cần thỏa thuận khúa với nhau 2 lần Mất nhiều thời gian và ảnh hƣởng tới hoạt động của cỏc bờn tham gia.
Việc ứng dụng những phƣơng phỏp đó trỡnh bày ở trờn vào cỏc giao thức sử dụng trong thỏa thuận hợp đồng nhằm bảo đảm tớnh an toàn và toàn vẹn thụng tin sẽ đƣợc xem xột cụ thể trong chƣơng 3 của luận văn.
Chương 3. MỘT SỐ GIAO THỨC ĐẢM BẢO AN TOÀN THễNG TIN TRONG HỢP ĐỒNG ĐIỆN TỬ
3.1. Kí HỢP ĐỒNG VÀ CÁC GIAO THỨC SỬ DỤNG
3.1.1. Ký kết hợp đồng điện tử
Nhƣ đó trỡnh bày, hợp đồng điện tử cũng là hợp đồng. Vỡ vậy, khi ký kết hợp đồng điện tử, cỏc bờn vừa phải nắm đƣợc nguyờn tắc ký kết hợp đồng núi chung vừa phải tuõn thủ nguyờn tắc đƣợc quy định dành riờng cho hợp đồng điện tử. Nguyờn tắc ký kết hợp đồng điện tử núi chung đƣợc quy định trong Bộ luật Dõn sự năm 2005, Điều 389 đƣa ra hai nguyờn tắc là nguyờn tắc tự do ký kết hợp đồng nhƣng khụng đƣợc trỏi với phỏp luật, đạo đức xó hội và nguyờn tắc tự nguyện, bỡnh đẳng, thiện chớ, hợp tỏc, trung thực và ngay thẳng.
Đõy là hai nguyờn tắc quan trọng, cơ bản chi phối việc ký kết mọi loại hợp đồng, dự là hợp đồng truyền thống hay hợp đồng điện tử; dự là hợp đồng mua bỏn hàng húa hay hợp đồng cung ứng dịch vụ; dự là hợp đồng dõn sự hay hợp đồng thƣơng mại; dự là hợp đồng trong nƣớc hay hợp đồng cú yếu tố quốc tế. Bờn cạnh đú, cũng cần lƣu ý rằng, khi ký kết hợp đồng thƣơng mại, cỏc bờn ký kết cũn phải tuõn thủ sỏu nguyờn tắc cơ bản đƣợc quy định trong luật Thƣơng mại năm 2005 (từ điều 10 đến điều 15).
Đú là nguyờn tắc bỡnh đẳng trƣớc phỏp luật của thƣơng nhõn trong hoạt động thƣơng mại; Nguyờn tắc ỏp dụng thúi quen trong hoạt động thƣơng mại đƣợc thiết lập giữa cỏc bờn; Nguyờn tắc bảo vệ lợi ớch chớnh đỏng của ngƣời tiờu dựng và nguyờn tắc thừa nhận giỏ trị phỏp lý của thụng điệp dữ liệu trong hoạt động thƣơng mại.
Hai nguyờn tắc do Bộ luật Dõn sự năm 2005 quy định ở trờn chi phối việc ký kết hợp đồng điện tử trong lĩnh vực dõn sự. Sỏu nguyờn tắc do luật Thƣơng mại 2005 quy định tiếp tục chi phối việc ký kết hợp đồng điện tử trong lĩnh vực thƣơng mại (từ điều 10 đến điều 15). Đặc biệt là điều 15 nờu rừ nguyờn tắc thừa nhận giỏ trị phỏp lý của thụng điệp dữ liệu trong hoạt động thƣơng mại. Theo đú, trong hoạt động thƣơng mại, cỏc thụng điệp dữ liệu đỏp ứng cỏc điều kiện, tiờu chuẩn kỹ thuật theo quy định của phỏp luật thỡ đƣợc thừa nhận cú giỏ trị phỏp lý tƣơng đƣơng văn bản. Vỡ vậy, khi ký kết hợp đồng điện tử, cỏc bờn giao kết hợp đồng cần phải nắm vững tất cả cỏc nguyờn tắc ở trờn nhằm đảm bảo tớnh hiệu lực về mặt phỏp lý của hợp đồng điện tử.
Ngoài ra, khi ký kết hợp đồng điện tử, cỏc bờn, chủ thể của hợp đồng điện tử phải tuõn thủ 7 nguyờn tắc đƣợc quy định tại điều 5 và điều 35 của luật Giao dịch điện tử năm 2005. Bảy nguyờn tắc đú là:
- Khụng một loại cụng nghệ nào đƣợc xem là duy nhất trong giao dịch điện tử; - Bảo đảm sự bỡnh đẳng và an toàn trong giao dịch điện tử;
- Bảo vệ quyền và lợi ớch hợp phỏp của cơ quan, tổ chức, cỏ nhõn, lợi ớch của Nhà nƣớc, lợi ớch cụng cộng;
- Khi ký kết và thực hiện hợp đồng điện tử, cỏc bờn phải tuõn thủ cỏc quy định của Luật Giao dịch điện tử và phỏp luật về hợp đồng;
- Khi ký kết và thực hiện hợp đồng điện tử, cỏc bờn cú quyền thỏa thuận về yờu cầu kỹ thuật, chứng thực, cỏc điều kiện đảm bảo tớnh toàn vẹn, bảo mật cú liờn quan đến hợp đồng điện tử đú.
Những điều trỡnh bày ở trờn cho thấy tớnh đặc thự và sự phức tạp của việc ký kết hợp đồng điện tử. Rừ ràng, nếu cỏc chủ thể ký kết hợp đồng điện tử khụng cú sự am hiểu về kỹ thuật cụng nghệ thỡ sẽ rất khú hiểu hết ý nghĩa của 7 nguyờn tắc trờn [3].
3.1.2. Thỏch thức liờn quan đến ký điện tử
Trong một thế giới vật lý, hợp đồng đƣợc ký kết phải cú sự đối mặt giữa cỏc bờn tham gia. Tất cả cỏc bờn cú thể chắc chắn về danh tớnh của cỏc bờn kia và bờn ngoài sẽ khụng thể biết đƣợc nội dung của hợp đồng. Họ cũng cú thể ký hợp đồng đồng thời với quan sỏt của một số bờn tin cậy. Tất cả điều này khụng đƣợc cung cấp mặc định trong khi ký hợp đồng điện tử. Rừ ràng, những khú khăn sẽ phỏt sinh do khoảng cỏch địa lý giữa cỏc bờn và bản chất khụng đỏng tin cậy của cỏc mạng mở.
Tỡnh huống khi bờn A khụng cú cỏch nào xỏc định xem, khi bờn B trả lời lại là quỏ trỡnh ký kết khụng thành cụng, thỡ điều này cú gõy nguy hại hay khụng. Và khi A biết nhƣ thế nhƣng khụng cú nghĩa là sẽ thuyết phục đƣợc một bờn thứ ba khỏch quan tin vào hành động gõy nguy hại của B, đõy đƣợc coi là vấn đề trong ký kết hợp đồng. Quỏ trỡnh ký kết cú thể diễn ra với một số điều kiện khụng cụng bằng, khi một bờn cú thể cú lợi thế hơn bờn khỏc. Để khắc phục vấn đề này, cỏc giao thức ký đƣợc yờu cầu phải cú “sự cụng bằng”, tức là vào cuối của việc thực hiện giao thức hoặc cả hai bờn cú chữ ký hợp lệ của nhau trờn một hợp đồng hoặc khụng ai trong số họ cú chữ ký của bờn cũn lại. “Tớnh cụng bằng” nờn giữ ngay cả khi một trong cỏc bờn hành vi xấu.
Một thỏch thức khỏc trong ký điện tử là việc cung cấp “tớnh nguyờn tử” (Atomicity). “Tớnh nguyờn tử” thể hiện rằng tất cả cỏc hoạt động trong kế hoạch sẽ diễn ra, hoặc khụng cú bất kỳ hoạt động nào đƣợc diễn ra. Trong trƣờng hợp ký hợp đồng, cú nghĩa là, hoặc tất cả cỏc giao dịch liờn quan đến giao thức ký kết sẽ xảy ra theo quy định, hoặc toàn bộ quỏ trỡnh ký kết sẽ bị bói bỏ. “Tớnh nguyờn tử” đảm bảo rằng nếu cỏc giao thức tạm dừng thực hiện vỡ một lý do nào đú, thỡ sẽ khụng cú bờn nào khi kết thỳc bị ảnh hƣởng.
Xem xột tỡnh hỡnh khi cỏc điều khoản của hợp đồng đó đƣợc đàm phỏn và tất cả mọi ngƣời dƣờng nhƣ bằng lũng với cỏc điều khoản, điều duy nhất cũn lại là bắt đầu ký kết. Ai sẽ là ngƣời ký trƣớc? Nếu cú một tớn hiệu kớch hoạt bờn ngoài gửi đến tất cả mọi ngƣời và sẽ cựng ký một lỳc, hoặc dựa trờn xổ số, sử dụng nhón thời gian ...? Trong bất kỳ trƣờng hợp nào, khụng thể đảm bảo rằng tất cả mọi ngƣời sẽ ký tờn và khụng lạm dụng sự trung thực của ngƣời khỏc. Tớnh cụng bằng cú thể đối phú với vấn đề này đến một mức độ nhất định, nhƣng khụng phải tất cả cỏc giao thức ký cụng bằng đều giải quyết đƣợc vấn đề trờn.
Một thỏch thức cú liờn quan với việc ký kết điện tử là việc ký kết đƣợc mong đợi sẽ là một quỏ trỡnh nhanh chúng. Ngay cả khi một giao thức ký kết hoàn toàn an toàn tồn tại, nú đƣợc dự kiến sẽ thực hiện tƣơng đối nhanh chúng và hiệu quả khi triển khai thực hiện trong mụi trƣờng mạng.
3.1.3. Đặc tớnh của giao thức ký hợp đồng
Những đặc tớnh của giao thức ký kết hợp đồng cú để đối phú với những thỏch thức đó đề cập? Đặc điểm của chỳng là gỡ?
Những thuộc tớnh này sẽ đƣợc nghiờn cứu và trỡnh bày dƣới đõy.
3.1.3.1. Bờn thứ ba tin cậy (Trusted Third Party - TTP)
Khi cỏc bờn tham gia tin tƣởng nhau tuyệt đối, thỡ cú sự tham gia của bờn thứ ba là khụng cần thiết. Tuy nhiờn, nếu cỏc bờn tham gia cú sự lừa dối, gian lận thỡ sự xuất hiện của TTP là cần thiết.
Sự tham gia của TTP cú thể là nội tuyến (trung gian trong mỗi giao dịch), trực tuyến (can thiệp vào mỗi phiờn trong tất cả giao dịch), ẩn (khụng can thiệp trừ khi cú vấn đề xảy ra, cỏc giao thức với TTP ẩn cũn đƣợc gọi là “lạc quan”), trung lập (sự hỗ trợ mà TTP mang lại là khụng điều kiện và khụng cú hiểu biết về cỏc thụng tin trao đổi), và minh bạch (đú là khụng thể thay đổi vào thời điểm cuối của giao thức dự TTP cú can thiệp hay khụng). Ngoài ra, cũn cú giao thức TTP khụng tin cậy. Cỏc giao thức này cú TTP, nhƣng khụng cần phải tin tƣởng vào nú quỏ nhiều.
Những nhược điểm chớnh của việc cú sựu tham gia của TTP là:
- Chi phớ: TTP phải online mọi thời điểm, chi phớ cao
- Tắc nghẽn: mọi giao dịch qua “một cửa”
- Nguy cơ: TTP bị trục trặc thỡ giao dịch phải chấm Ngoài ra, việc tỡm kiếm TTP cú thể là một vấn đề.
Vớ dụ: Cỏc bƣớc ký hợp đồng trong giao thức cú TTP
A và B cựng thoả thuận và ký hợp đồng C, chuyển cho nhau chữ ký sigB(C,M) và sigA(C,M) với M là thụng điệp ngẫu nhiờn.
1/. A chọn một thụng điệp ngẫu nhiờn M, tớnh Z=ETTP(A,B,M), gửi cho B sigA(C,Z). 2/. B gửi cho A sigB(C,Z) và sigB(Z)
3/. Nếu cả sigB(C,Z) và sigB(Z) đƣợc xỏc minh, A gửi M cho B.
4/. Nếu B nhận đƣợc M chớnh là M trong ETTP(A,B,M) thỡ dừng. Ngƣợc lại, gửi Z, sigB(C,Z) và sigB(Z) cho TTP.
5/. sigB(C,Z) và sigB(Z) xỏc minh, TTP giải mó Z , nếu kết quả là A,B,M thỡ TTP gửi M cho B và sigB(C,Z) và sigB(Z) cho A.
3.1.3.2. Tớnh cụng bằng
Cụng bằng cú nghĩa rằng cỏc bờn kết thỳc giao thức trong một trạng thỏi cụng bằng: hoặc là cả hai cú đƣợc sự chống chối cói tƣơng ứng từ bờn kia và nhận đƣợc thụng điệp, hoặc khụng ai trong số họ nhận đƣợc bất cứ điều gỡ cú giỏ trị. Cụng bằng cú thể là yếu, xỏc suất, thựcsự hoặc mạnh.
Cụng bằng yếu (W - Weak fairness) đảm bảo rằng nếu một bờn khụng cú đƣợc bằng chứng, trong khi bờn kia thỡ cú, thỡ bờn thứ nhất sẽ nhận đƣợc một bằng chứng của sự kiện này.
Cụng bằng xỏc suất (P - Probabilistic fairness) liờn quan đến cỏc giao thức khụng cú TTP. Điều này đảm bảo sự cụng bằng với một số xỏc suất p.
Cụng bằng mạnh (S - Strong fairness) cú nghĩa là ở cuối giao thức, hoặc ngƣời gửi cú đƣợc sự cụng nhận chống chối cói với thụng điệp m, và ngƣời nhận cũng đó cụng nhận bằng chứng nguồn gốc cựng với cỏc thụng điệp m, hoặc khụng khụng ai trong số họ cú bất kỳ thụng tin cú giỏ trị nào.
Cụng bằng thực sự (T - True fairness) giống nhƣ cụng bằng mạnh cộng với chứng cứ chống chối cói trong khi thực hiện thành cụng giao thức độc lập với giao thức khỏc đƣợc thực hiện. TTP minh bạch cung cấp sự cụng bằng thực sự.
3.1.3.3. Chống chối cói
Một giao thức ký kết đƣợc lựa chọn để cung cấp cả hai khụng chối cói nguồn gốc (NRO) và khụng chối cói khi nhận (NRR) chứng cứ.
NRO ngụ ý rằng một giao thức tạo ra khụng chối cói bằng chứng nguồn gốc, đến ngƣời nhận, mà cú thể đƣợc trỡnh bày tại tũa ỏn, những tin tƣởng cú thể quyết định xem ngƣời gửi cú phải là tỏc giả của tin nhắn hay khụng. NRR cú nghĩa là một giao thức tạo ra chống chối cói bằng chứng nhận, đến ngƣời gửi, mà cú thể đƣợc trỡnh bày tại tũa, những ngƣời tin cậy cú thể quyết định liệu ngƣời nhận đó nhận đƣợc tin nhắn hay khụng .
Chống chối cói khụng đảm bảo rằng hợp đồng khụng thể bị phỏ vỡ sau khi hoàn thành giao thức ký kết.
3.1.3.4. Tớnh đầy đủ
Tớnh đầy đủ cựng với chống chối cói khụng đảm bảo tớnh nguyờn tử. Đầy đủ hàm ý rằng, giao thức sử dụng sẽ chống lại nỗ lực của đối thủ để hủy bỏ một hợp đồng nào đú mà khụng cú sự đồng ý của một trong hai bờn.
3.1.3.5. Tớnh bảo mật
Bảo mật cú nghĩa là giao thức ký kết khụng tiết lộ ra thụng tin là đó ký trờn cỏi gỡ. Điều quan trọng là nội dung của thỏa thuận khụng bị chặn bởi một bờn khụng liờn quan. Do đú, mó húa thụng điệp nờn đƣợc cung cấp bởi giao thức.
3.1.3.6. Kờnh truyền thụng
Cỏc giao thức thƣờng giả định để làm việc trờn một loại hỡnh cụ thể của một kờnh truyền thụng. Chỳng ta xem xột ba loại kờnh truyền thụng: Kờnh khụng tin cậy (U) (khụng cú giả định an ninh hoặc hiệu suất cần phải đƣợc thực hiện, vớ dụ nhƣ Internet), kờnh đàn hồi (R) (cung cấp dữ liệu chớnh xỏc sau hữu hạn thời gian), và kờnh đỏng tin cậy (O) (cung cấp dữ liệu chớnh xỏc sau khi biết thời gian tổng).
3.1.3.7. Tớnh kịp thời
Kịp thời đảm bảo rằng cỏc giao thức sẽ đƣợc hoàn thành sau khi một khoảng hữu hạn thời gian, tức là nú sẽ khụng chờ cho bao giờ hết. Theo định nghĩa, giao thức cung cấp tớnh kịp thời "nếu và chỉ nếu tất cả cỏc bờn trung thực luụn cú khả năng tiếp cận, sau một khoảng hữu hạn thời gian, một điểm trong giao thức nơi họ cú thể ngăn chặn cỏc giao thức khỏc trong khi vẫn giữ sự cụng bằng"