Chương 3. Yêu cầu chung cho các giao dịch thanh toán
3.1. Ẩn danh người dùng và không dấu vết
Ẩn danh người dùng và không d u v t có th được cung c p m t cách riêng bi t. M t d ch ấ ế ể ấ ộ ệ ộ ị vụ bảo m t n danh người dùng “thu n tuý” s b o v ch ng l i s ti t l định danh người dùng. ậ ẩ ầ ẽ ả ệ ố ạ ự ế ộ Đ ềi u này có th đạt được b ng cách người s dụể ằ ử ng dùng m t bi t hi u thay cho tên th t c a anh ộ ệ ệ ậ ủ hay cô ta. Tuy nhiên nếu một giao dịch qua mạng mà có thể truy tìm về host gốc, và nếu host đó chỉ được sử dụng bởi m t m t người dùng duy nh t thì đặc tính n danh hi n nhiêu là không đầy ộ ộ ấ ẩ ể đủ.
Một dịch vụ bảo m t không d u v t thu n tuý s bảậ ấ ế ầ ẽ o v ch ng l i s ti t l vềệ ố ạ ự ế ộ ngu n g c ồ ố xuất phát của thông đ ệi p. Một giải pháp là định đường trên mạng qua một tập hợp các host “ẩn danh”, và do đó thông điệp xu t hi n nh là xu t phát t mộấ ệ ư ấ ừ t trong s các host n danh ó. ố ẩ đ
Chuỗi các host ẩn danh
Cơ chế ẩn danh người dùng và không dấu vết dựa trên một seri các host ẩn danh hay là “bộ trộn” được đề xuất bởi D. Chaum. Cơ chế hoàn toàn độc lập với hệ thống thanh toán này cũng dùng để bảo vệ việc phân tích lưu lượng.
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội 30 Ý tưởng cơ bản được minh ho “Hình 3-1”. Thông đ ệạ ở i p được g i từ A, B và C (tượng ử trưng cho các khách hàng muốn ẩn danh) đến “bộ trộn”, và từ bộ ộ ớ tr n t i X, Y, Z (tượng tr ng ư cho những người bán hay ngân hàng muốn biết thông tin về khách hàng). Thông đ ệi p sẽ được mã hoá với khoá công khai của bộ trộn, EM. Nếu khách hàng A muốn gửi một thông đ ệi p t i ớ người bán Y. A sẽ gửi tới bộ trộn thông đ ệi p với cấu trúc như sau:
A ặặặặặ Mix: EM(Mix, EY(Y, Message)) Sau đó bộ trộn sẽ giải mã và gửi kết quả đến Y:
Mix ặặặặặ Y: EY(Y, Message)
Chỉ có Y mới có thể đọ được thông đ ệc i p này do nó được mã hoá với khoá công khai của Y, EY. Nếu bộ trộn là “tin cậy”, Y sẽ không thể biết nguồn gốc (nơi xuất phát) thông đ ệi p đã gửi cho nó. Đ ềi u trở ngại lớn nhất theo lược đồ này là bộ trộn cần phải được hoàn toàn tin cậy. Một cách để vượt qua được vấn đề ộ trộn không tin cậy bằ b ng cách s d ng m t chu i các b tr n. ử ụ ộ ỗ ộ ộ
Hình 3-1: Bộ trộn Chuam
Nếu A muốn Y gửi trả một thông i p, A có th gửđ ệ ể i kèm m t địa ch tr về ẩộ ỉ ả n danh trong thông đ ệi p gửi tới Y.
Mix, EM(A)
Theo cách này thì thông đ ệi p trả ề v thực sự gửi đến b tr n, ch duy nh t b tr n bi t ai là ộ ộ ỉ ấ ộ ộ ế người sẽ nhận lại thông đ ệi p.
Một đặc tính bổ xung của lược đồ trộn là khả năng b o v ch ng l i vi c phân tích l u ả ệ ố ạ ệ ư lượng. Đ ều này có thể đạt được bằng cách gửi các thông đ ệp giả từ A, B, C tớ ộ ội i i b tr n và t b ừ ộ
X
Y Z
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội 31 trộn tới X, Y, Z. Tất cả các thông đ ệi p, thật hoặc giả đều ng u nhiên và có độẫ dài cố định cũng như được gửi theo một tần suất cố định. Thêm vào đó các thông đ ệi p cần được chia nhỏ ra các khối có độ dài cố định và được mã hoá gử đi i để không ai có thể đọc được.
Vấn đề mộ ộ ột b tr n được tin c y b i t t cả các thành viên có thể được xậ ở ấ ử lý bằng việc sử dụng một ma trận hay là một mạng các bộ ộ tr n (ch không ph i ch s d ng 1 b tr n) nh trong ứ ả ỉ ử ụ ộ ộ ư hình vẽ được chỉ ra ở hình 3-2. Trong trường hợp này, chỉ mộ ộ ột b tr n trong đường i chu i các đ ỗ bộ trộn là “tin cậy” là đủ. Ma trận càng l n thì xác xuất có ít nhất một bộ trộn tin cậy càng cao. ớ
Xét một chuỗi các b tr n, g i Eộ ộ ọ i là khoá công khai của b tr n Mix i, i=1, 2, 3. Công th c ộ ộ ứ đệ qui cấu trúc của một thông đ ệi p nh sau: ư
ERecipient(Next recipient, ENext recipient (…)
Nếu A muốn gửi một thông đ ệp ẩn danh và không dấu vết tới Y, cũng tương tự như trong i ví dụ ớ v i một b trộ ộn, giao thức gửi sẽ tiến hành như sau:
A ặặặặặ Mix1: E1(Mix2, E2(Mix3, E3(Y, Message))) Mix1 ặặặặặ Mix2: E2(Mix3, E3(Y, Message))
Mix2 ặặặặặ Mix3: E3(Y, Message) Mix3 ặặặặặ Message
Hình 3-2: Chuỗi các bộ trộn
“Thông đ ệi p” có thể được mã hoá với khoá công khai của Y, ở đ ây chúng ta loại bỏ đ i cho đơn giản. Nguyên lý cơ bản A có th cung c p địa ch tr vềể ấ ỉ ả thì c ng tương t nhũ ự ư trong trường hợp với một bộ trộn. A có thể lấy ng u nhiên một đường trả vềẫ qua chu i các b tr n (ví d : ỗ ộ ộ ụ Mix2, Mix1) và mã hoá định danh và vị trí c a mình nhi u lần sử dụng khoá công khai của các ủ ề bộ trộn trên đường trả về:
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội 32 Mix2, E2(Mix1, E1(A))
Nơi nhận thông đ ệp (Y) sau đó có thể thông đ ệp tới bộ trộn đầu tiên, và từ đ ểm này cũng i i i làm việc một cách tương t nh khi chuyự ư ển từ A đến Y.
Việc triển khai một mạng lưới các bộ trộn là tốn kém về mặt chi phí và ph c t p trên c hai ứ ạ ả phương diện kỹ thuật và tổ chức. Mô hình thực nghiệm của thư iđ ện tử ẩn danh với địa chỉ trả về đã được tri n khai là BABEL c a Gulcu và Tsudik, và h th ng m ng nhi u l p (onion) sẽ được ể ủ ệ ố ạ ề ớ trình bày kỹ ơ ở h n các chương sau.