Chương 2. CÁC CÔNG NGHỆ DÙNG TRONG XÂY DỰNG PKI
2.2.11. Ưu điểm và hạn chế của SSL
Tính năng mạnh nhất của SSL / TLS là chúng xác định mối quan hệ với các tầng giao thức khác nhƣ thế nào trong hệ thống kiến trúc mạng OSI. Tại mức cao nhất là phần mềm ứng dụng hoặc các trình duyệt. Chạy phía dưới các ứng dụng này là giao thức tầng ứng dụng bao gồm Telnet, FTP, HTTP…
Bên dưới nữa là giao thức SSL và các thuật toán mã hoá được sử dụng để kết nối.
Bên dưới SSL là tầng giao vận. Hầu hết các trường hợp đó là TCP/IP. Tuy nhiên, giao thức SSL là duy nhất, không phụ thuộc vào giao thức mạng. Bởi vì SSL không phụ thuộc vào các tầng giao thức, cho nên SSL trở thành một nền tảng độc lập hay là một thực thể mạng độc lập.
Một sức mạnh khác của SSL là ngăn chặn cách thức tấn công từ điển. Cách thức này sử dụng từ điển để phá khoá trong hệ mã hoá. SSL khắc phục đƣợc điều này bởi cho phép không gian khoá là rất lớn đối với hệ mã hoá đƣợc sử dụng. SSL cung cấp hai mức độ tin cậy: 40 bit và 128 bit tuỳ thuộc khả năng của browser. SSL 128 bit và SSL 40 bit ý nói độ dài của khoá phiên dùng để mã hoá dữ liệu sau khi đã định danh và đƣợc thiết lập bằng giải thuật khoá công khai (RSA hoặc Diffie-Hellman). Độ dài của khoá phiên càng lớn thì độ bảo mật càng cao. Hiện nay SSL 128 bit có độ tin cậy lớn nhất. Theo RSA phải mất hàng tỉ năm mới có thể giải mã đƣợc bằng các kỹ thuật hiện nay.
Cách thức tấn công “từ điển” có thể bị ngăn chặn bởi sử dụng phương pháp số Nonce (Nonce number). Số này đƣợc sinh ngẫu nhiên, đƣợc server sử dụng, Nonce number là một số không thể bị phá khoá.
Giao thức SSL còn bảo vệ chính nó với đối tác thứ 3. Đó là các client xâm nhập bất hợp pháp dữ liệu trên đường truyền. Client xâm nhập này có thể giả mạo client hoặc server, SSL ngăn chặn sự giả mạo này bằng cách sử dụng khoá riêng của server và sử dụng chứng chỉ số. Phương thức bắt tay trong TLS cũng tương tự. Tuy nhiên, TLS tăng cường sự bảo mật bằng cách cho phép truyền phiên bản giao thức, số hiệu phiên làm việc, hệ mã hoá và cách thức nén đƣợc sử dụng. TLS bổ xung thêm hai thuật toán băm không có trong SSL.
2.2.11.2. Hạn chế của SSL
Giao thức SSL, cũng giống nhƣ bất kỳ công nghệ nào, cũng có những hạn chế.
Vì SSL cung cấp các dịch vụ bảo mật, cần quan tâm đặc biệt tới các giới hạn của nó.
Giới hạn của SSL thường là trong ba trường hợp:
Do những ràng buộc cơ bản của bản thân giao thức SSL. Đây là hệ quả của việc thiết kế SSL và ứng dụng chịu tác động của nó.
Do giao thức SSL cũng thừa kế một vài điểm yếu từ các công cụ mà nó sử dụng, cụ thể là các thuật toán ký và mã hoá. Nếu các thuật toán này có điểm yếu, SSL thường không thể khắc phục chúng.
Do môi trường, trong đó SSL được triển khai, có những thiếu sót và giới hạn.
Mặc dù trong thiết kế đã xét đến mối quan hệ với rất nhiều ứng dụng khác nhau, SSL rõ ràng đƣợc tập trung vào việc bảo mật các giao dịch Web. SSL yêu cầu một giao thức vận chuyển tin cậy nhƣ TCP. Đó là yêu cầu hoàn toàn hợp lý trong các giao dịch Web, vì bản thân HTTP cũng yêu cầu TCP. Tuy nhiên, điều này cũng có nghĩa là SSL không thể thực thi mà sử dụng giao thức vận chuyển không kết nối nhƣ UDP. Vì vậy, SSL có thể hoạt động hiệu quả với phần lớn các ứng dụng thông thường. Và thực tế hiện nay, SSL đang đƣợc sử dụng cho nhiều các ứng dụng bảo mật, bao gồm truyền file, đọc tin mạng, điều khiển truy cập từ xa...
Một đặc điểm khác khiến SSL bị lỗi khi hỗ trợ dịch vụ bảo mật đặc biệt nhƣ là Non-repudiation (không chối bỏ). Dịch vụ này ngăn ngừa bên tạo dữ liệu và bên ký dữ liệu từ chối hay phủ nhận điều mình đã thực hiện. SSL không cung cấp các dịch vụ non-repudiation, do đó sẽ không phù hợp với các ứng dụng yêu cầu dịch vụ này.
Điểm yếu của mã hoá SSL còn do phiên làm việc tồn tại quá lâu trong quá trình bắt tay, khoá phiên đƣợc khởi tạo giữa client và server đƣợc dùng trong suốt quá trình
kết nối. Khi khoá này còn tồn tại, mỗi khi thông điệp đƣợc gửi, tồn tại một lỗ hổng bảo mật trong kết nối cho phép xâm nhập. Giao thức TLS khắc phục đƣợc lỗi này bằng cách thay đổi khoá cho mỗi phiên làm việc.
Các giao tiếp thực giữa client và server cũng là mục tiêu tấn công vì chúng lưu trữ các thông điệp giữa hai điểm đầu cuối. Thông điệp trong SSL đƣợc mã hoá, tuy nhiên tại mỗi điểm đầu cuối thông điệp đƣợc giải mã, SSL chƣa có cơ chế duy trì sự mã hoá trong bộ nhớ đệm của hệ thống tương ứng.
Vấn đề khác của SSL là khả năng áp dụng đối với người sử dụng trên toàn cầu.
Mặc dù một vài client trên các nước khác có hỗ trợ kiến trúc SSL, nhưng vẫn còn hạn chế về ranh giới của sự mã hoá. Ranh giới này do chính phủ Mỹ đƣa ra, nó giới hạn số lƣợng bit đƣợc sử dụng trong các hệ mã hoá. SSL có hỗ trợ mã hoá 128 bit trong các phiên giao dịch toàn cầu, nhƣng thực tế chỉ sử dụng hệ mã hoá 40 bit. Các hạn chế về bảo mật này càng cho phép kẻ tấn công có nhiều cơ hội hơn khi tìm cách bẻ khoá hệ thống.
Một vài ý kiến lại cho rằng hạn chế lớn nhất của SSL không chỉ ở giao thức bắt tay, mà tồn tại trong tầng bản ghi của giao thức. Trong quá trình bắt tay, việc chứng thực giữa client và server thực hiện rất nghiêm ngặt, do dùng chứng chỉ số và khoá.
Tuy nhiên, trong tầng bản ghi, quá trình xác thực không đƣợc thực hiện trong suốt giai đoạn kết nối còn lại. Do không có sự xác thực giữa client và server, dẫn đến kẻ tấn công có thể mạo danh client hoặc server trong quá trình kết nối.
Nhiều ý kiến cho rằng SSL chỉ giới hạn cho các ứng dụng thương mại điện tử, điều này là không đúng. Vì các tổ chức tài chính có thể sử dụng SSL để truyền số PIN, các công ty bảo hiểm sử dụng SSL để truyền dữ liệu khách hàng, các công ty hoạt động theo mô hình B2B (Bussiness-to-Bussiness) sử dụng SSL xây dựng các phiên giao dịch giữa các công ty, SSL có thể đƣợc sử dụng trong một tổ chức để truyền dữ liệu trên mạng cục bộ.
Do hạn chế về công nghệ, vẫn còn một số server không thể dùng mã hoá SSL.
Mặc dù ý tưởng mã hoá là quan trọng, tuy nhiên có sự hạn chế trong sức mạnh của server trong quá trình kiểm tra chữ ký số và thực hiện ký số. Do không đáp ứng đƣợc yêu cầu xử lý, nhiều web server gặp khó khăn trong thực hiện kết nối SSL. Điều này khó có thể chấp nhận được đối với người sử dụng và khách hàng.
Các chứng chỉ server tự ký có thể cung cấp bảo mật, nhƣng không xác thực. Một chứng chỉ tự ký không được chứng nhận bởi máy người dùng và không qua các bước thêm vào sự tin cậy cho chứng chỉ server bằng tay. Theo mặc định, các máy tính Windows tin tưởng các chứng chỉ server chỉ khi từ các CA chỉ định như là VeriSign.
Về phía client, thiết lập mặc định cho các browser phổ biến nhƣ Internet Explorer và Nescape không kiểm tra sự thu hồi chứng chỉ và vẫn chấp nhận các phiên SSL 2.0. Thêm vào đó, các thiết lập mặc định thường cho phép các trang mã hoá SSL được lưu trong browser cache mà không cần mã hoá.
Chương 3: ỨNG DỤNG PKI TRONG THƯƠNG MẠI ĐIỆN TỬ
3.1. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 3.1.1. Khái niệm thương mại điện tử
Từ khi các ứng dụng của Internet đƣợc khai thác nhằm phục vụ cho mục đích thương mại, nhiều thuật ngữ khác nhau đã xuất hiện để chỉ các hoạt động kinh doanh điện tử trên Internet như: “thương mại điện tử” (electronic commerce hay e- commerce); "thương mại trực tuyến" (online trade); "thương mại điều khiển học"
(cyber trade); "thương mại không giấy tờ" (paperless commerce hoặc paperless trade);
“thương mại Internet” (Internet commerce) hay “thương mại số hoá” (digital commerce). Trong luận văn này, chúng ta sẽ sử dụng thống nhất một thuật ngữ
“thương mại điện tử” (electronic commerce), thuật ngữ đƣợc dùng phổ biến trong tài liệu của các tổ chức trong và ngoài nước cũng như trong các tài liệu nghiên cứu khác.
Ban đầu, khi thuật ngữ “thương mại điện tử” xuất hiện đã có nhiều định nghĩa khác nhau theo các góc độ nghiên cứu khác nhau. Hai tác giả R.Kalakota và A. Winston đã đƣa ra các góc độ khác nhau để định nghĩa TMĐT:
Góc độ Mô tả
Công nghệ thông tin
TMĐT là việc cung cấp, phân phối thông tin, các sản phẩm/dịch vụ, các phương tiện thanh toán qua đường dây điện thoại, các mạng truyền thông hoặc qua các PTĐT khác.
Kinh doanh
TMĐT là việc ứng dụng công nghệ (chủ yếu là công nghệ thông tin) để tự động hoá các giao dịch kinh doanh và các kênh thông tin kinh
doanh.
Dịch vụ TMĐT là công cụ để các doanh nghiệp, người tiêu dùng, các nhà quản lý cắt giảm các chi phí dịch vụ, đồng thời nâng cao chất lƣợng hàng hoá, dịch vụ và tăng tốc độ cung cấp dịch vụ cho khách hàng.
Trực tuyến TMĐT cung cấp khả năng tiến hành các hoạt động mua, bán hàng hoá, trao đổi thông tin trực tiếp trên Internet cùng nhiều dịch vụ trực tuyến khác.
Hiện nay, có nhiều định nghĩa về TMĐT. Tôi xin giới thiệu một số định nghĩa TMĐT khá nổi tiếng.
Theo Emmanuel Lallana, Rudy Quimbo, Zorayda Ruth Andam, ePrimer: Giới thiệu về TMĐT (Philippines: DAI-AGILE, 2000), đƣa ra định nghĩa đầy đủ hơn:
“TMĐT là việc sử dụng các phương tiện truyền thông điện tử và công nghệ xử lý thông tin số trong giao dịch kinh doanh nhằm tạo ra, chuyển tải và định nghĩa lại mối quan hệ để tạo ra các giá trị giữa các tổ chức và giữa các tổ chức và các nhân”.
Ủy ban Châu Âu đƣa ra định nghĩa về TMĐT: “TMĐT được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử. Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng văn bản, âm thanh và hình ảnh”.
Luật mẫu về TMĐT của Ủy ban Liên Hợp quốc về Luật Thương mại Quốc tế (UNCITRAL) đƣa ra định nghĩa: “Thuật ngữ Thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng”. Các quan hệ mang tính thương mại bao gồm các giao dịch sau đây: Bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ thuật công trình;
đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô nhượng; liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh; chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ.
Luật mẫu không định nghĩa TMĐT trực tiếp nhƣng theo cách hiểu trên thì phạm vi của TMĐT rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hóa và dịch vụ chỉ là một trong hàng ngàn lĩnh vực áp dụng của TMĐT. Hoạt động và các giao dịch thương mại được thực hiện thông qua các phương tiện thông tin liên lạc đã tồn tại hàng chục năm nay và đạt tới doanh số hàng tỷ USD mỗi ngày. Về bản chất, TMĐT không khác TMTT nhưng được dựa trên chủ yếu các phương tiện điện tử.
Theo tài liệu của Anita Rosen, Hỏi và đáp về TMĐT (USA: American
Management Association, 2000), “TMĐT bao hàm một loạt hoạt động kinh doanh trên mạng cho các sản phẩm và dịch vụ” hoặc Thomas L. Mesenbourg, Kinh doanh điện tử: Định nghĩa, khái niệm và kế hoạch thực hiện, đưa ra định nghĩa “TMĐT thường đồng nghĩa với việc mua và bán qua Internet, hoặc tiến hành bất cứ giao dịch nào liên quan đến việc chuyển đổi quyền sở hữu hoặc quyền sử dụng hàng hoá hoặc dịch vụ
qua mạng lưới máy tính”. Định nghĩa này chỉ bó hẹp cho những giao dịch qua mạng lưới máy tính hoặc mạng internet.
Tổ chức hợp tác phát triển kinh tế của Liên Hợp quốc (OECD) đƣa ra định nghĩa TMĐT: “TMĐT được định nghĩa sơ bộ là các giao dịch thương mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet”.
Tổ chức Thương mại thế giới WTO định nghĩa: “TMĐT bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận cũng như những thông tin số hóa thông qua mạng Internet”.
Từ các định nghĩa trên có thể thấy, thuật ngữ “thương mại điện tử” được hiểu theo nghĩa rộng và nghĩa hẹp. Nghĩa rộng và hẹp ở đây phụ thuộc vào cách tiếp cận rộng và hẹp của hai thuật ngữ "thương mại" và "điện tử".
Phương tiện điện tử (PTĐT)
Nghĩa rộng Nghĩa hẹp
Thương mại
Nghĩa rộng
1- TMĐT là toàn bộ các giao dịch mang tính thương mại được tiến hành bằng các PTĐT
3- TMĐT là toàn bộ các giao dịch mang tính thương mại được tiến hành bằng các PTĐT mà chủ yếu là các mạng truyền thông, mạng máy tính và Internet
Nghĩa hẹp
2- TMĐT là các giao dịch mua bán đƣợc tiến hành bằng các PTĐT
4- TMĐT là các giao dịch mua bán đƣợc tiến hành bằng các PTĐT mà chủ yếu là các mạng truyền thông, mạng máy tính và Internet
Bảng 2: TMĐT theo nghĩa rộng và nghĩa hẹp
Tổng hợp các định nghĩa trên và sau khi so sánh khái niệm TMĐT theo nghĩa rộng và hẹp, tôi xin giới thiệu định nghĩa chính thức để sử dụng trong luận văn này của Efraim Turban1 (và một số tác giả khác) theo đó “TMĐT là quy trình mua, bán, chuyển giao hoặc trao đổi sản phẩm, dịch vụ, và/hoặc thông tin thông qua mạng máy tính, bao gồm Internet”
1 Tác giả cuốn Electronic Commerce A Managerial Perspective 2006, Pearson
Theo định nghĩa này, TMĐT chỉ mới tồn tại gần đây (1995) khi mạng máy tính và Internet đƣợc ứng dụng và khai thác trong kinh doanh ở nhiều doanh nghiệp. Thuật ngữ “Thương mại Internet” là khái niệm có nội hàm hẹp hơn thuật ngữ “TMĐT”.
Hoạt động TMĐT đƣợc thực hiện trên mạng máy tính, Internet gồm bốn nhóm hoạt đông chính: hoạt động mua, hoạt động bán, hoạt động chuyển giao và hoạt động trao đổi của các nhóm đối tƣợng hàng hóa là sản phẩm, dịch vụ và/hoặc thông tin.
3.1.2. Các mô hình thương mại điện tử
Cách phân loại chung nhất của TMĐT là theo bản chất của giao dịch hoặc mối quan hệ giữa các bên tham gia. Người ta phân biệt các loại hình TMĐT chung như sau:
TMĐT giữa các doanh nghiệp (B2B): Tất cả những bên tham gia trong TMĐT giữa các doanh nghiệp hoặc là các doanh nghiệp, hoặc là các tổ chức. Ví dụ, các giao dịch giữa công ty Dell và Marks & Spencer và các nhà cung ứng của họ. Ngày nay, hơn 85% khối lƣợng TMĐT trên thế giới là B2B2
Thương mại giữa doanh nghiệp và người tiêu dùng (B2C): TMĐT B2C bao gồm các giao dịch bán lẻ hàng hóa và dịch vụ của các doanh nghiệp đến người mua hàng nhân. Loại TMĐT này người ta còn gọi là bán lẻ điện tử
Doanh nghiệp-doanh nghiệp-người tiêu dùng (B2B2C): Một doanh nghiệp cung cấp một số sản phẩm hoặc dịch vụ cho một khách hàng là một doanh nghiệp khác.
Doanh nghiệp khách hàng đó sẽ cung cấp những hàng hóa hoặc dịch vụ đó cho khách hàng của họ, cũng có thể là nhân viên của họ mà không có bổ sung giá trị. Một ví dụ cho hình thức này là một công ty sẽ trả cho AOL để tất cả các nhân viên của công ty có thể truy cập đƣợc vào Internet thay vì mỗi công nhân phải tự trả cho AOL. Một ví dụ khác, các hãng hàng không và du lịch -chuyên cung cấp các dịch vụ du lịch nhƣ vé máy bay, phòng nghỉ khách sạn- sẽ bán cho các đối tác kinh doanh nhƣ các đại lý du lịch, để rồi sau đó, các đại lý này sẽ bán các dịch vụ đó cho khách hàng. Một ví dụ cuối cùng, công ty Godiva bán sô cô la cho các doanh nghiệp khách hàng. Các doanh nghiệp này sẽ biến những thanh sô cô la đó thành những món quà cho nhân viên của mình hoặc cho các doanh nghiệp khác. Nhƣ vậy, thuật ngữ B2B còn bao hàm cả B2B2C.
2 Cunningham 2001