CHƯƠNG 3 : PHềNG TRÁNH RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ
3.2.1.Cỏc giải phỏp mang tớnh kỹ thuật
3.2. Cỏc biện phỏp phũng trỏnh rủi ro trong thương mại điện tử
3.2.1.Cỏc giải phỏp mang tớnh kỹ thuật
3.2.1.1 Bảo mật trong giao dịch
Mó hoỏ là quỏ trỡnh biến đổi cỏc thụng tin, bằng cỏch sử dụng một phương phỏp toỏn học và một khoỏ bớ mật để sinh ra một chuỗi cỏc ký tự khú hiểu. Thực chất là việc che dấu cỏc thụng bỏo, chỉ người gửi và người nhận cú thể đọc nú. Khoa học nghiờn cứu mó hoỏ được gọi là mật mó.
Mó húa thụng tin là quỏ trỡnh chuyển cỏc văn bản hay cỏc tài liệu gốc thành cỏc văn bản dưới dạng mật mó để bất cứ ai, ngồi người gửi và người nhận, đều khụng thể đọc được. Mục đớch của kỹ thuật mó húa là: đảm bảo an tồn cho cỏc thụng tin được lưu giữ, và đảm bảo an tồn cho thụng tin khi truyền phỏt. Mó húa là một kỹ thuật khỏ phổ biến, cú khả năng đảm bảo bốn trong sỏu khớa cạnh an toàn của TMĐT gồm cú:
- Đảm bảo tớnh toàn vẹn của thụng điệp; - Chống phủ định;
- Đảm bảo tớnh xỏc thực;
- Đảm bảo tớnh bớ mật của thụng tin.
Quỏ trỡnh mó húa thụng tin được thực hiện trờn cơ sở sử dụng một khúa (hay cũn gọi là mó). Khúa (mó) chớnh là phương phỏp để chuyển văn bản gốc thành văn bản mó húa.
Trong thời đại ngày nay, hai kỹ thuật cơ bản thường được sử dụng để mó húa thụng tin trờn Internet là mó húa “khúa đơn” hay mó húa “khúa bớ mật” và mó húa “khúa cụng cộng”.
Mó húa khúa bớ mật (private key)
Mó húa khúa bớ mật, cũn gọi là mó húa đối xứng hay mó húa khúa riờng, là sử dụng một khúa cho cả quỏ trỡnh mó húa (được thực hiện bởi người gửi thụng tin) và quỏ trỡnh giải mó (được thực hiện bởi người nhận). Quỏ trỡnh mó húa khúa bớ mật được thực hiện như sau: Một khỏch hàng (Anne) muốn gửi tới người bỏn hàng (Bob) một đơn đặt hàng, nhưng chỉ muốn một mỡnh Bob cú thể đọc được. Anne mó húa đơn đặt hàng (dưới dạng văn bản gốc) của mỡnh bằng một mó khúa rồi gửi đơn đặt hàng đó mó húa đú cho Bob. Tất nhiờn, ngồi Bob và Anne ra, khụng ai cú thể đọc được nội dung thụng điệp lộn xộn đó mó húa.
H. 7 Mụ hỡnh mó hoỏ sử dụng khoỏ bớ mật
Do sử dụng chung một khoỏ, cả người gửi lẫn người nhận thụng bỏo đều phải biết khoỏ. Việc mó hoỏ và giải mó thụng bỏo sử dụng mó hoỏ đối xứng rất nhanh và hiệu quả. Tuy nhiờn, khoỏ dễ bị lộ và quỏ trỡnh phõn phối khoỏ cho cỏc thành viờn rất khú khăn do khụng thớch hợp trong cỏc mụi trường lớn, chẳng hạn như Internet. Vỡ phải cú một khoỏ riờng cho mỗi cặp người sử dụng nờn cần phải cú số lượng lớn sự kết hợp cỏc cặp khoỏ. Để cho 12 người cú thể liờn lạc an tồn với nhau đó cần tới 66 cặp khoỏ riờng. Tổng quỏt, với N mỏy khỏch cỏ nhõn, cần N(N-1)/2 cặp khoỏ.
Mó húa khúa cụng cộng (Public key)
Thuật ngữ mật mó húa khúa bất đối xứng thường được dựng đồng nghĩa với mật mó húa khúa cụng khai mặc dự hai khỏi niệm khụng hoàn toàn tương đương. Cú những thuật toỏn mật mó khúa bất đối xứng khụng cú tớnh chất khúa cụng khai và bớ mật như đề cập ở trờn mà cả hai khúa (cho mó húa và giải mó) đều cần phải giữ bớ mật.
Trong mật mó húa khúa cụng khai, khúa cỏ nhõn phải được giữ bớ mật trong khi khúa cụng khai được phổ biến cụng khai. Trong 2 khúa, một dựng để mó húa và khúa cũn lại dựng để giải mó. Điều quan trọng đối với hệ thống là khụng thể tỡm ra khúa bớ mật nếu chỉ biết khúa cụng khai.
Hệ thống mật mó húa khúa cụng khai cú thể sử dụng với cỏc mục đớch:
Mó húa: giữ bớ mật thụng tin và chỉ cú người cú khúa bớ mật mới
giải mó được.
Tạo chữ ký số: cho phộp kiểm tra một văn bản cú phải đó được
tạo với một khúa bớ mật nào đú hay khụng.
Thỏa thuận khúa: cho phộp thiết lập khúa dựng để trao đổi thụng
tin mật giữa 2 bờn.
Thụng thường, cỏc kỹ thuật mật mó húa khúa cụng khai đũi hỏi khối lượng tớnh toỏn nhiều hơn cỏc kỹ thuật mó húa khúa đối xứng nhưng những lợi điểm mà chỳng mang lại khiến cho chỳng được ỏp dụng trong nhiều ứng dụng.
H. 8 Mụ hỡnh mó hoỏ sử dụng khoỏ cụng khai
Khỏc với khúa bớ mật, mó húa khúa cụng cộng (cũn gọi là mó húa khụng đối xứng) sử dụng hai mó khúa trong quỏ trỡnh mó húa: một mó khúa dựng để mó húa thụng điệp và một khúa khỏc dựng để giải mó. Hai mó khúa này cú quan hệ với nhau về mặt thuật toỏn sao cho dữ liệu được mó húa bằng khúa này sẽ được giải mó bằng khúa kia. Như vậy thực chất, phương phỏp mó húa này dựng một cặp mó khúa cho quỏ trỡnh mó húa: một mó khúa gọi là mó khúa cụng cộng và một là mó khúa riờng. Mó khúa cụng cộng là mó khúa cú thể cụng khai cho nhiều người biết, cũn mó khúa riờng được giữ bớ mật và chỉ mỡnh chủ nhõn của nú được biết. Tất nhiờn, cả hai mó khúa này đều được bảo vệ trỏnh bị đỏnh cắp hoặc thay đổi.
So sỏnh phương phỏp mó húa khúa cụng cộng với phương phỏp mó húa khúa bớ mật, cả hai phương phỏp này đều cú những ưu và nhược điểm riờng. Việc sử dụng phương phỏp nào sẽ do chớnh cỏc bờn quyết định căn cứ vào mức độ cần bảo mật và mụi trường hoạt động giao dịch. Tuy nhiờn, phương phỏp mó húa khúa cụng cộng rất phự hợp khi cú nhiều bờn cựng tham gia vào quỏ trỡnh truyền thụng trờn mạng bởi vỡ trong những trường hợp như vậy, cỏc bờn rất khú cú thể tin tưởng lẫn nhau cũng như khú cú thể chia sẻ cựng một mó khúa bớ mật. Đõy chớnh là cỏc đặc điểm cơ bản của cỏc giao dịch TMĐT trờn Internet.
Một phương phỏp mó khúa cụng cộng khỏc, được sử dụng phổ biến trong cỏc giao dịch trực tuyến đú là chữ ký số.
Chữ ký số (digital signature)
Trong mụi trường số húa, cỏc tài liệu núi chung và cỏc văn bản núi riờng khi gửi đi, trong nhiều trường hợp, gắn liền với trỏch nhiệm của người ban hành và đũi hỏi đảm bảo an toàn ở một mức độ nhất định. Cũng giống như trong giao dịch truyền thống, ở những trường hợp như vậy người ta sẽ sử dụng chữ ký điện tử (Electronic signature) hay chữ ký số húa (Digital signature).
Về mặt cụng nghệ, chữ ký điện tử là một dạng của mó hoỏ khoỏ cụng cộng, được tiến hành trờn cơ sở một kỹ thuật mó hoỏ. Quỏ trỡnh ký và xỏc nhận chữ ký điện tử loại này như sau:
Người gửi muốn chuyển giao chứng từ cho bờn khỏc thỡ sẽ dựng một phần mềm chuẩn hoỏ chứng từ này tạo thành một bản Túm tắt thụng điệp (Message Digest). Người gửi mó hoỏ bản túm tắt thụng điệp bằng khúa bớ mật của mỡnh để tạo thành một chữ ký điện tử và gắn kốm chữ ký điện tử này với chứng từ. Sau đú gửi chứng từ đó kốm với chữ ký điện tử một cỏch an toàn qua mạng cho người nhận. Sau khi nhận được, người nhận sẽ dựng khoỏ cụng khai của người gửi để giải mó chữ ký điện tử thành bản túm tắt thụng điệp. Người nhận cũng dựng cỏch chuẩn hoỏ giống hệt như người gửi để biến đổi chứng từ nhận được thành một bản túm tắt thụng điệp. Người nhận so sỏnh hai bản túm tắt thụng điệp này. Nếu chỳng giống nhau tức là chứng từ đó khụng bị thay đổi trờn đường truyền đi.
Chữ ký điện tử là bằng chứng hợp phỏp dựng để và đủ để khẳng định trỏch nhiệm của người ký văn bản điện tử về nội dung của nú và tớnh nguyờn tắc của văn bản điện sau khi rời khỏi người ký nú.
Phong bỡ số (digital envelope)
Phong bỡ số là một gúi dữ liệu bao gồm một thụng điệp điện tử đó được mó húa cộng thờm thụng tin chứng thực nội dung của thụng điệp đú và người gửi. Đõy là một loại bảo mật sử dụng hai lớp mật mó để bảo vệ thụng điệp. Đầu tiờn, chớnh thụng điệp được mó húa bằng mật mó đối xứng, sau đú chỡa khúa để giải mó thụng điệp lại được mó húa bằng mật mó khúa cụng cộng. Kỹ thuật này đó giải quyết được một trong cỏc vấn đề của mật húa khúa cụng cộng: đú là nú chậm hơn mật húa đối xứng. Bởi vỡ chỉ cú chỡa khúa được bảo vệ với mật húa khúa cụng khai.
Những phong bỡ số đơn giản bảo đảm được tớnh bảo mật của dữ liệu nhưng khụng bảo đảm được tớnh xỏc thực, chống phủ định và tớnh toàn vẹn của dữ liệu. Điều này được giả quyết một cỏch dễ dàng bằng cỏch sử dụng chữ kớ điện tử trước khi gúi dữ liệu bằng phong bỡ số. Vỡ vậy, trờn thực tế, phong bỡ số là phương tiện để mang chữ kớ điện tử.
Cơ quan chứng thực (certificate authority)
Chứng thực số để xỏc nhận rằng người giữ cỏc khoỏ cụng cộng và khoỏ riờng là ai đó đăng ký. Cần cú cơ quan trung gian để làm cụng việc xỏc thực. Chứng thực cú cỏc cấp độ khỏc nhau.
Khụng phải tất cả cỏc mó khoỏ riờng hay cỏc chứng chỉ số hoỏ đều được xõy dựng như nhau. Loại đơn giản nhất của giấy chứng chỉ hoỏ được gọi là chứng nhận Class 1, loại này cú thể dễ dàng nhận khi bất kỳ người mua nào truy nhập vàoWEB site của VeriSign (www.verisign.com ). Tất cả những cỏi mà doanh nghiệp phải làm là cung cấp tờn, địa chỉ và địa chỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoỏ. Về mặt nào đú nú cũng giống như một thẻ đọc của thư viện.
H. 9 Chứng thực điện tử
Đối với nhiều giao dịch TMĐT, cỏc chứng thực điện tử chớnh là cơ sở, là cốt lừi của giao thức an toàn giao dịch điện tử. Việc sử dụng bờn tin cậy thứ ba, cựng với cỏc chứng thực điện tử là cỏch đơn giản và thuận tiện để cỏc bờn cú thể tin cậy lẫn nhau. Tuy vậy, trong một số trường hợp, bản thõn cỏc cơ quan chứng nhận cũng cần cú những cấp cơ quan chứng nhận lớn hơn, cú uy tớn và độ tin cậy cao hơn, chứng thực cho mỡnh. tập hợp hệ thống cỏc cơ quan chứng nhận cỏc cấp và cỏc thủ tục chứng thực điện tử được tất cả cỏc đối tượng tham gia TMĐT chấp nhận hỡnh thành hạ tầng mó khúa cụng cộng. Đõy chớnh là điều kiện hỗ trợ cỏc cỏ nhõn tham gia vào cộng đồng những người sử dụng mó khúa, tạo và quản lý cỏc cặp khúa, phổ biến/thu hồi cỏc mó khúa cụng cộng, một trong những điều kiện cần thiết để tham gia thương mại điện tử.
3.2.1.2. An toàn cỏc kờnh truyền thụng
Trong thương mại điện tử, cỏc giao dịch được thực hiện chủ yếu thụng qua mạng Internet, một mạng truyền thụng mở, vỡ vậy, thụng tin thương mại giữa cỏc bờn rất dễ bị kẻ xấu lấy trộm và sử dụng vào những mục đớch bất chớnh. Giải phỏp cơ bản giải quyết vấn đề này là sử dụng giao thức lớp ổ cắm an toàn (SSL – Secure Sockets Layer). Lớp ổ cắm an toàn là một chương trỡnh an toàn cho việc truyền thụng trờn Web, được hóng Netscape Communication phỏt triển. Chương trỡnh này bảo vệ cỏc kờnh thụng tin trong quỏ trỡnh trao đổi dữ liệu giũa mỏy chủ và cỏc trỡnh duyệt Web thay vỡ phải bảo vệ từng mẩu tin.
Cơ chế bảo mật SSL (Secure Socket Layer)
Về mặt lý thuyết rất nhiều cụng ty cú thể đúng vai trũ như một cơ quan chứng thực thẩm quyền. VeriSign Inc (www.verisign.com), là cụng ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ. Cụng ty này sử dụng bản quyền về cụng nghệ từ RSA Inc. (www.rsa.com). RSA giữ đăng ký sỏng chế về cụng nghệ mó khoỏ riờng/cụng cộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nú được chuyển giao cho VeriSign vào năm 1995 cho dự cỏc cụng ty khỏc cũng giữ quyền sử sử dụng nú. Để bảo mật, doanh nghiệp phải mua một khoỏ riờng từ VeriSign thu phớ 349 USD/ năm cho một website thương mại với một khoỏ bảo mật như vậy và phớ để bảo dưỡng hàng năm là 249 USD, doanh nghiệp cú thể mua thờm khoỏ bảo mật với mức giỏ tương đương.
Sau khi mỏy chủ nhận được một khoỏ mó bảo mật, việc tiếp nhận một đơn đặt hàng trở nờn đơn giản. "éiểm nổi bật của SSL ta cú thể ngay lập tức
tạo một trang HTML với cỏc biểu mẫu để khỏch hàng cung cấp thụng tin về họ trong lỳc giao dịch, và đảm bảo rằng cỏc thụng tin này được bảo mật và mó hoỏ khi được gửi đi trờn Internet" .
Sau khi cỏc thụng tin mà khỏch hàng nhập vào cỏc biểu mẫu trờn trang WEB hiển thị trờn trỡnh duyệt của họ được mó hoỏ với SSL nú được gửi đi trờn Internet một cỏch an toàn. Trong thực tế khi người sử dụng truy nhập vào cỏc trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểu tượng như một chiếc khoỏ ở thanh cụng cụ bờn dưới chương trỡnh.
Cỏc giao dịch sử dụng SSL cú khả năng mó hoỏ thụng tin (như số thẻ tớn dụng của khỏch hàng) và đảm bảo an toàn khi gửi nú từ trỡnh duyệt của người mua tới Website của người bỏn hàng. Tuy nhiờn cỏc giao dịch mua bỏn trờn Web khụng chỉ đơn thuần như vậy. Số thẻ tớn dụng này cần phải được ngõn hàng của người mua kiểm tra để khẳng định tớnh hợp lệ và giỏ trị của thẻ tớn dụng đú, tiếp đú, cỏc giao dịch mua bỏn phải được thực hiện. SSL khụng giải quyết được cỏc vấn đề này.
Cơ chế bảo mật SET
Tiờu chuẩn bảo mật mới nhất trong thương mại điện tử là SET viết tắt của Secure Electronic Transaction-Giao dịch điện tử an toàn, được phỏt triển bởi một tập đoàn cỏc cụng ty thẻ tớn dụng lớn như Visa, MasterCard và American Express, cũng như cỏc nhà băng, cỏc cụng ty bỏn hàng trờn mạng và cỏc cụng ty thương mại khỏc. SET cú liờn quan với SSL do nú cũng sử dụng cỏc khoỏ cụng cộng và khoỏ riờng với khoỏ riờng được giữ bởi một cơ quan chứng nhận thẩm quyền. Khụng giống như SSL, SET đặt cỏc khoỏ riờng trong tay của cả người mua và người bỏn trong một
riờng của họ và cần phải đăng ký cỏc khoỏ này cũng giống như cỏc mỏy chủ phải làm. Dưới đõy là cỏch mà hệ thống này làm việc. Khi một giao dịch SET được xỏc nhận quyền sử dụng, mó khoỏ riờng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bỏn về tớnh xỏc thực của yờu cầu giao dịch từ phớa người mua và cỏc mạng thanh toỏn cụng cộng. Trong thực tế nú giống như là việc ký vào tờ giấy thanh toỏn trong nhà hàng. Chữ ký số chứng minh là ta đó ăn thịt trong mún chớnh và chấp nhận hoỏ đơn. Do người mua khụng thể thoỏt ra khỏi một giao dịch SET, để khiếu nại về việc họ khụng mua hàng nờn cỏc giao dịch SET theo lý thuyết sẽ chạy qua cỏc hệ thống thanh toỏn giống như ta mua hàng ở thiết bị đầu cuối tại cỏc cửa hàng bỏch hoỏ thực.
Để tiến hành cỏc giao dịch, người bỏn hàng cần phải cú một chứng thực điện tử và một phần mềm SET đặc biệt. Người mua cũng cần phải cú chứng thực diện tử và một phần mềm vớ tiền số hoỏ.
3.2.1.3. An toàn mạng
Trong thương mại điện tử, khi chỳng ta liờn kết mạng mỏy tớnh của tổ chức với một mạng riờng hoặc mạng cụng cộng khỏc, cũng đồng nghĩa với việc đặt tài nguyờn trờn hệ thống mạng của chỳng ta trước nguy cơ rủi ro cao. Do vậy, việc đảm bảo an toàn mạng mỏy tớnh của tổ chức là vấn đề quan trọng trong thương mại điện tử. Một trong cỏc cụng cụ cơ bản đảm bảo an toàn mạng mỏy tớnh đú là bức tường lửa (firewall). Bức tường lửa là một phần mềm hoặc phần cứng cho phộp những người sử dụng mạng mỏy tớnh của một tổ chức cú thể truy cập tài nguyờn của cỏc mạng khỏc (vớ dụ, mạng Internet),