Xâm phạm có sự kết hợp của nhân viên ngân hàng

Chương 1: TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ VÀ

1.4. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ

1.4.6. Xâm phạm có sự kết hợp của nhân viên ngân hàng

Trong giai đoạn rút tiền điện tử, người dùng vẫn có thể khai man giá trị đồng tiền mặc dù ngân hàng có biện pháp ngăn chặn nếu người dùng đó thông gian với một nhân viên ngân hàng để thu lợi bất chính như sau:

Người A cần rút 10 triệu đồng, thực hiện làm “mù” đồng tiền và gửi đến ngân hàng. Sau đó A khai với ngân hàng là 5 triệu đồng. Do A đã bí mật thỏa thuận với một nhân viên ngân hàng có thẩm quyền nên nhân viên ngân hàng này thực hiện ký lên đồng tiền cho A với khóa tương ứng giá trị 10 triệu đồng. Khi đó tài khoản của A chỉ bị trừ đi 5 triệu đồng trong khi đó A thu được đồng tiền giá trị 10 triệu đồng.

Vậy là A và nhân viên ngân hàng kia đã thu lợi bất chính 5 triệu đồng.

Chương 2.

MỘT SỐ KỸ THUẬT ĐẢM BẢO AN TOÀN THÔNG TIN ỨNG DỤNG TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ

Trong giao dịch thương mại truyền thống, người đi mua hàng có thể gặp nhiều rủi ro như bị kẻ xấu trộm tiền, không nhận được hàng mặc dù đã trả tiền, mất nhiều thời gian, … Với người bán hàng, họ có thể bị kẻ gian lấy trộm hàng hóa, không nhận được tiền thanh toán hay nhận phải tiền giả,…

Với tất cả các hành vi tội phạm diễn ra trong môi trường thương mại truyền thống đều có thể sảy ra trong môi trường thương mại điện tử dưới nhiều hình thức tinh vi và phức tạp hơn. Trong khi đó vấn để đảm bảo an toàn cho thương mại điện tử là một quá trình phức tạp liên quan đến nhiều công nghệ mới, nhiều thủ tục, các chính sách tổ chức. Đặc biệt là đảm bảo an toàn cho “tiền điện tử” trong các giao dịch.

Tiền điện tử mang lại lợi ích không chỉ cho phía người dùng mà còn cho cả phía ngân hàng cũng như phía nhà cung cấp. Tuy nhiên, để tiền điện tử thực sự trở thành một phương thức thanh toán hữu hiệu, các nhà công nghệ, các nhà phát triển và các chuyên gia an toàn thông tin còn đứng trước nhiều thách thức.

Thương mại điện tử của Việt Nam nói riêng và thế giới nói chung đang trong giai đoạn bùng nổ với rất nhiều công nghệ được tích hợp để gia tăng các phương thức thanh toán, đa dạng hóa các kênh xử lý thông tin. Mặt trái của vấn đề là vẫn còn đó những rủi ro tiềm ẩn gây mất an toàn thông tin, có thể phát sinh và đe dọa ngành ngân hàng về nhiều khía cạnh như: thiệt hại tài chính do giao dịch giả mạo, gián đoạn giao dịch.

Hiện nay có nhiều vấn đề cần phải giải quyết với một hệ thống tiền điện tử, nhất là vấn đề an toàn thông tin. Vấn đề này đặt ra nhiều bài toán khác nhau trong các khâu khác nhau của một giao dịch điện tử. Trên thế giới, mỗi hệ thống tiền điện tử đều có những công nghệ và giải pháp tương ứng để giải quyết các bài toán này, nhưng về bản chất là tương tự nhau. Trong khuôn khổ luận văn này, tôi chỉ xin đưa

ra phân tích một số nguy cơ cơ bản làm mất an toàn thông tin trong giai đoạn rút tiền từ ngân hàng và giải pháp kèm theo gồm: xác thực tính hợp lệ của chủ tài khoản, kiểm tra tính hợp pháp của đồng tiền, phòng tránh khai man giá trị đồng tiền, bảo vệ đồng tiền trên đường truỳen, đảm bảo tính riêng tư của người tiêu tiền và phòng tránh việc một nhân viên ngân hàng thông gian với chủ tài khoản để thu lợi bất chính.

2.1. KỸ THUẬT “CHỨNG MINH KHÔNG TIẾT LỘ THÔNG TIN”

* Khái niệm “Chứng minh không tiết lộ thông tin” và Giao thức 

Giả sử hai người A và B tham gia trò chơi tú với 52 quân bài. A đưa ra 2 quân bài úp sấp và nói đó là quân “át” và quân “2”. A yêu cầu B chọn quân “át”.

Trước khi chọn quân bài “át”, B muốn kiểm tra chắc chắn 2 quân bài đó đích thực là quân “át” và quân “2”. B yêu cầu A chứng minh điều này. Nếu A lật 2 quân bài đó lên để coi như một cách chứng minh thì trò chơi kết thúc vì B đã nhìn thấy chúng, anh ta chọn ngay được quân bài “át”.

Có một cách khác để A chứng minh được đó là quân bài “át” và quân “2”

mà không phải lật 2 quân bài đó lên, tức là không làm lộ thông tin về 2 con bài trên tay A. Rất đơn giản anh ta đưa 50 quân bài còn lại cho B. Nếu B kiểm tra thấy thiếu một quân “át” và một quân “2”, thì có thể coi 2 quân bài A đưa ra là đúng như anh ta nói.

Qua ví dụ trên có thể tạm hiểu “Chứng minh không tiết lộ thông tin” không có nghĩa là “không để lộ thông tin” mà nghĩa là “để lộ thông tin ở mức ít nhất” về sự vật sự việc cần chứng minh. Với những “thông tin để lộ”, người xác minh không có nhiều hiểu biết (knowledge) về sự vật sự việc, họ chỉ thu được chút ít thông tin (coi như “zero knowledge”) về đặc điểm tính chất của nó.

Giao thức  là giao thức “Hỏi - Đáp” 3 bước để A chứng minh cho B một vấn đề nào đó.

- A gửi cho B một giá trị ngẫu nhiên.

- B gửi lại A một giá trị ngẫu nhiên như là giá trị dùng để kiểm thử.

- A gửi đáp lại B một giá trị.

Kết quả B thừa nhận hoặc bác bỏ vấn đề A chứng minh.

“Chứng minh không tiết lộ thông tin” được phát minh bởi Goldwasser, Micali và Rackoff năm 1981 (viết tắt là GMR).

* Lược đồ chứng minh không tiết lộ thông tin được xây dựng dựa trên chữ ký số Schnorr và bài toán đại diện trong nhóm cấp nguyên tố.

Với Gq là nhóm con cấp q của Zp*, trong đó p, q là số nguyên tố thoả mãn q là ước của p-1;

Ngân hàng khởi tạo 5 thành phần: (g, h, g1, g2, d).

Trong đó (g, h)  Gq (g là phần tử sinh trong Gq): khoá công khai của ngân hàng được dùng trong sơ đồ ký ở giao thức rút tiền, x là khoá bí mật của ngân hàng, x  Zq: xlogg h (h gx)

(g1, g2): bộ phần tử sinh của Gq; - Khởi tạo tài khoản:

A chọn ngẫu nhiên u1, u2  Zq, tính 11 22

u u

I g g , chuyển I đến ngân hàng, giữ bí mật u1, u2.

Ngân hàng lưu: I, định danh của A và số tài khoản.

Hình 2.1: Khởi tạo tài khoản người dùng - Chứng minh đại diện tài khoản:

Khi A rút tiền, cần xưng danh với ngân hàng và phải chứng minh rằng tài khoản mà ngân hàng đang quản lý với định danh và số tài khoản tương ứng là của mình như sau:

Phương pháp chứng minh ở đây là “chứng minh không tiết lộ thông tin"

Ngân hàng I

Định danh Số tài khoản u1, u2  Zq

1 2

1 2

u u

I g g

I

A phải chứng minh cho Ngân hàng rằng: A biết u1 và u2 (vì A là chủ sở hữu tài khoản), nhưng không tiết lộ giá trị u1, u2 cho ngân hàng. (Vì u1, u2: bí mật của A)

Quá trình xác thực được tiến hành như sau:

- A chọn ngẫu nhiên w , w1 2Zq, tính 1 2

w w

1 2

yg g và gửi y đến ngân hàng.

- Ngân hàng thử thách để kiểm tra có đúng A có đúng chủ sở hữu tài khoản không, bằng cách chọn ngẫu nhiên CrZq và gửi Cr đến A.

- A tính r1w1C ur 1mod ,q r2 w2C ur 2modq, (r1, r2) đến ngân hàng.

- Ngân hàng chấp nhận xác thực là đúng khi và chỉ khi:

1 2

1 2

Cr r r

yI g g trong đó I g g1u1 2u2

Bởi vì, nếu A thực sự là chủ sở hữu tài khoản, thì phải biết u1, u2 (là 2 giá trị khởi tạo tài khoản lúc ban đầu A giữ bí mật) và nếu biết được chúng thì:

1 2 1 2 1 1 2 2 1 2

w w w w

1 2 ( 1 2 ) 1 2 1 2

r r r r

C u u C u C u C r r

yI g g g g g  g  g g

- Giao thức xác thực sở hữu hợp pháp tài khoản:

Input: Người dùng: u1, u2. Ngân hàng: g1, g2.

Output: - Xác thực thành công, tiếp tục thực hiện giao dịch.

- Hoặc: Xác thực thất bại, dừng giao dịch.

Begin

If (Người dùng đăng nhập tài khoản thành công) then Begin

- Chọn ngẫu nhiên w1, w2  Zq. Tính yg1w1g2w2 ; - Gửi (y, Ngân hàng);

- Ngân hàng chọn Cr  Zq; - Gửi (Cr,Chủ tài khoản);

- Chủ tài khoản tính: r1w1C ur 1mod ,q r2w2C ur 2modq - Gửi (r1, r2, Ngân hàng);

- Ngân hàng kiểm tra tài khoản: