Phân loại

Một phần của tài liệu GIÁO TRÌNH THƯƠNG MẠI ĐIỆN TỬ ̉ potx (Trang 105 - 144)

Chứng nhận điện tử có thể được phát hành theo một trong bốn loại, mỗi loại bao gồm lượng thông tin nhận dạng khác nhau về người nắm giữ khóa và vì vậy nó chỉ rõ mức độ chính xác trong việc xác nhận đối với người nắm giữ.

- Loại 1, đơn giản nhất vì nó bao gồm các thông tin kiểm tra tối thiểu như tên, địa chỉ và địa chỉ email. Sau khi được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá.

- Loại 2, bao gồm các thông tin về bằng lái xe, sổ bảo hiểm xã hội và ngày sinh.

- Loại 3, bao gồm các thông tin của loại 2 và séc tín dụng.

- Chứng nhận loại 4 bao gồm các thông tin về chức vụ của cá nhân trong tổ chức, đồng thời việc xác nhận không nhất thiết chấm dứt chỉ với các thông tin này.

Loại càng cao, mức độ xác nhận càng lớn. Người dùng phải thanh toán chi phí để nhận được một chứng nhận số từ các cơ quan xác nhận chính phủ hoặc thương mại; chi phí này tăng theo loại chứng nhận, phần vì cần có chi phí cho những nỗ lực quản lý và kiểm tra các đặc điểm nhận dạng người dùng. Do các chứng nhận loại cao bao gồm các kiểm tra nhận dạng phức tạp nên các chứng nhận loại cao có tác dụng khẳng định chính xác hơn.

Các cơ quan chứng nhận cũng chịu trách nhiệm duy trì một danh sách các chứng nhận thu hồi để người dùng trên cơ sở đó biết được chứng nhận nào không có giá trị nữa (CRL - Certificate Revocation List). CRL không chứa các chứng nhận quá hạn sử dụng vì mỗi chứng nhận đều tự hủy khi hết thời hạn sử dụng.

- Các công ty có thể trở thành một cơ quan chứng nhận và sau đó phát hành chứng nhận cho người dùng hoặc các công ty khác.

• Các cơ quan chứng nhận thương mại và các cơ quan chính phủ, các công ty cũng có thể trở thành cơ quan chứng nhận bằng cách mua một server từ một hãng mà nó đã được chứng thực bởi một cơ quan chứng nhận (làm đại lý). Cơ chế chứng nhận mở này đặc biệt có lợi đối với các công ty muốn phát hành các chứng nhận điện tử cho các công nhân của họ để thực hiện công việc kinh doanh trong hoặc ngoài công ty.

• Càng nhiều hệ thống sử dụng chứng nhận điện tử để điều khiển truy cập máy tính, các server chứng nhận được duy trì bởi các công ty càng trở nên quan trọng.

1.7 CÁC HỆ THỐNG AN TOÀN INTERNET

1.7.1 Các phương pháp an toàn được thực thi trên Internet.

Chúng ta cũng biết, Internet nổi tiếng với các chuẩn mở. Chính các chuẩn mở này cùng với sự trao đổi thông tin rộng rãi và dễ dàng (mở) trên Internet khiến chúng ta có thể nghĩ rằng Internet và an toàn là hai phạm trù loại trừ lẫn nhau. Thực tế không như vậy. Trong quá khứ, Internet có thể đã thực thi kém an toàn hơn các VAN, các mạng cộng tác, còn giờ đây các nổ lực cung cấp nhiều cơ chế an toàn cho truyền thông Internet đã và đang vượt lên trước với sự tập trung toàn diện.

Các thuật toánkhóa chung:

- DES: Chuẩn bị mã hoá dữ liệu là một mật mã khối được tạo bởi IBM, được chính phủ Mỹ chứng nhận lưu hành năm 1977. DES dùng một khóa 56 bít và có tác dụng trên một khối 64 bít. Tương đối nhanh, được dùng để mã hoá một lượng lớn dữ liệu cùng một lúc.

- Triple DES: Dựa trên DES. Mã hóa một khối dữ liệu 3 lần với ba khóa khác nhau. Đang được dùng thay thế dần DES vì khả năng dễ dàng và nhanh chóng phá DES đang ngày một gia tăng.

- RC2 và RC4: Do Rom Rivest (RSA Data Security Inc) thiết kế. Mật mã kích thước khóa biến thiên đối với phần lớn các hệ mật mã. Nhanh hơn DES một chút, hai thuật toán có thể tạo ra sự an toàn cao hơn bởi việc chọn kích thước khóa dài hơn. RC2 là một mật mã khối và có thể được dùng thay DES. RE4 là một mật mã đang được dùng nhiều, nó nhanh gấp 10 lần DES.

- IDEA (International Data Encryption Algorithm): Xuất hiện năm 1991, hiệu quả khi tính toán bằng các phần mềm. Độ bảo mật cao vì dùng khóa 128 bít.

- RSA: Viết tắt gồm 3 ký tự dấu của 3 tên người thiết kế ra nó là Rivest, Shamir và Adelman. Đây là một thuật toán hỗ trợ độ dài khóa thay đổi cũng như kích thước của khối văn bản được mã hoá thay đổi. Khối văn bản rõ phải nhỏ hơn độ dài khóa. Độ dài khóa dùng chung là 512 bít.

- Diffie - Hellman: Hệ thống mã hoá cổ điển nhất đang được dùng. Không hỗ trợ cả mã hoá lẫn chữ ký điện tử. Hệ thống được thiết kế cho phép hai người đồng ý một khóa dùng chung, mặc dù chỉ để trao đổi thư tín công khai.

- DSA: Thuật toán chữ ký điện tử, được triển khai bởi NIST dựa trên thuật toán được gọi là thuật toán EI Gamal. Lược đồ chữ ký dùng chính loại khóa như Diffie-Hellman, có thể tạo ra chữ ký nhanh hơn RSA. Được thúc đẩy bởi NIST với DSS (Digital Signature Standard), mặc dù nó chưa hoàn toàn được chấp nhận.

1.7.2 Các giao thức và chuẩn an toàn.

Trên thực tế, có lẽ Internet đã đạt tới một sự tăng trưởng vượt bậc cùng với sự an toàn, với nhiều chuẩn bao gồm trong nhiều tầng mạng, từ an toàn tầng liên kết số liệu đến an toàn tầng ứng dụng. Ngay cả khi nghĩ rằng Internet là một phương tiện không an toàn do bản chất phân quyền quản lý của nó, một điều quan trọng cần lưu ý rằng dữ liệu được gộp trong giao dịch với việc dùng các giao thức này sẽ được an toàn.

Bảng 6-5: Một số chuẩn an toàn đối với Internet

Chuẩn Chức năng Ứng dụng

S-HTTP

(Secure-HTTP)

Bảo đảm an toàn giao dịch Web

Các trình duyệt, các Web server, các ứng dụng Internet SSL (Secure

Socket Layer)

Bảo đảm an toàn các gói dữ liệu tại tầng mạng

Các trình duyệt, các Web server, các ứng dụng Internet S/MIME

(Secure MIME)

Bảo đảm an toàn email qua các môi trường mạng phức tạp

Các gói email với mật mã RSA và chữ ký điện tử S/WAN (Secure

Wide-Area Nets)

Mã hóa điểm - điểm giữa các bức tường lửa và các bộ chọn đường Mạng dùng riêng ảo SET (Secure Electronic Translation)

Bảo đảm an toàn giao dịch thẻ tín dụng

Thẻ thông minh, các server giao dịch, TMĐT

1.7.3 Phân loại chuẩn theo mục đích bảo đảm an toàn

Các chuẩn được trình bày ở đây được chia thành hai loại:

- Chuẩn bảo đảm an toàn kết nối;

- Chuẩn bảo đảm an toàn ứng dụng.

Hình 6-5: Ba cách sử dụng chuẩn an toàn trên mạng

Các chuẩn như SSL và S/WAM được thiết kế để bảo đảm truyền thông an toàn trên Internet, mặc dù SSL chủ yếu được dùng với các ứng dụng Web. Trong khi đó các chuẩn S-HTTP và S/MIME chủ yếu được dùng để hỗ trợ đặc tính xác thực và bí mật cho các ứng dụng (S-HTTP đối với ứng dụng Web, S- MIME đối với e-mail và các ứng dụng cho phép gửi e-mail). SET chủ yếu hỗ trợ giao dịch TMĐT.

An toàn cho các ứng dụng: S-HTTP và SSL

- An toàn cho các ứng dụng mạng xoay quanh hai giao thức S-HTTP và SSL, nó hỗ trợ tính xác thực cho các server và các trình duyệt cũng như độ tin cậy và tính toàn vẹn dữ liệu cho truyền thông giữa Web server và trình duyệt, S- HTTP được thiết kế đặc biệt chuyên hỗ trợ cho giao thức truyền siêu văn bản (HTTP), để xác nhận và bảo đảm an toàn cho tài liệu. Với HTTP cũng tương tự nhưng nó bảo đảm an toàn cho các kênh truyền thông do được thiết kế để họat động thấp hơn trong chồng giao thức mạng, cụ thể là giữa tầng ứng dụng và các tầng vận tải TCP/IP, tầng mạng.

- SSL cũng có thể được sử dụng cho các giao dịch khác trên Web nhưng nó không được thiết kế để xử lý các quyết định an toàn dựa trên sự xác nhận tại tầng ứng dụng. Điều này muốn nói rằng chúng ta nên dùng các phương pháp khác nhau để điều khiển truy nhập các tệp khác nhau.

An toàn cho e-mail: PEM, S/MIME và PGP

- Nhiều giao thức an toàn đã được đề xuất cho thư tín điện tử trên Internet, nhưng chỉ có một hoặc hai giao thức được sử dụng rộng rãi. PEM (Privacy – enhancel Mail) là một chuẩn Internet đảm bảo an toàn cho e-mail sử dụng hoặc khóa không đối xứng hoặc khóa đối xứng. PEM đang dần dần ít được sử dụng

TCP AH ESP H T T P F T P S M T P Cách 1 SSL H T T P F T P S M T P TCP IP Cách 2 S H T P H T T P F T P S M T P SET PGP TCP IP S H T P Cách 3 Tầng ứng dụng Tầng phiên Tầng vận tải Tầng mạng

do nó không được thiết kế để xử lý các thư điện tử mới, đa phương tiện được hỗ trợ bởi MIME và nó yêu cầu một trật tự chặt chẽ của các cơ quan xác nhận đối với việc phát hành khóa. S/MIME là một chuẩn mới được đưa ra sử dụng gần đây, nó dùng nhiều thuật toán mã hóa được cấp bằng sáng chế và quyền sở hữu bởi công ty an toàn dữ liệu RSA, S/MIME phụ thuộc vào chứng nhận điện tử, và vì vậy nó cũng phụ thuộc vào một vài loại cơ quan xác nhận, có thể là cơ quan hợp tác hoặc cơ quan chuyên trách để đảm bảo tính xác thực.

- Một ứng dụng phổ biến được triển khai để bảo đảm an toàn cho thư tín và các tệp là PGP (Pretty Good Privacy). Có lẽ đây là một ứng dụng an toàn được sử dụng rộng rãi nhất cho e-mail và dùng nhiều chuẩn mã hóa. Các ứng dụng mã hóa và giải mã PGP có thể được mã hóa trước khi sử dụng một chương e-mail; một vài chương trình e-mail, ví dụ Edora Pro (của Qualcomm) hoặc OnNET (FPT PGP được thiết kế dựa trên ý tưởng của Web tin cậy, trong đó cho phép người dùng dùng chung khóa của họ mà không yêu cầu một trật tự của các cơ quan xác nhận.

An toàn mạng: các bức tường lửa (firewall)

- Việc kết nối mình mạng nội bộ vào Internet cũng có nghĩa là đặt dữ liệu và hệ thống máy tính của mạng đó vào trong một tình trạng nhiều rủi ro hơn. Thiếu bức tường lửa, cả tính bí mật và sự toàn vẹn của dữ liệu đều có thể bị xâm nhập bất hợp pháp. Hay nói cách khác, bức tường lửa là phương tiện để bảo vệ dữ liệu và chính hệ thống máy tính.

- Crypto API và CDSA

+ Hiện tại có hai nỗ lực chính để đơn giản hóa các tác vụ của nhà phát triển phần mềm nhằm tích hợp các phương pháp mã hoá vào trong các ứng dụng trên PC: Crypto API của Microsoft và CDSA (Common Data Security Architecture) của Intel.

• Microsoft đã triển khai công cụ an toàn dữ liệu Internet của mình để dùng với Microsoft Windows 95 và Microsoft và Windows NT. Một trong những thành phần ý nghĩa của công cụ này là CryptoAIP, nó là một giao diệp lập trình ứng dụng (API) ở mức hệ điều hành. CryptoAPI cung cấp cho các nhà phát triển Windows một phương tiện được gọi là các chức năng mã hoá, ví dụ các thuật toán mã hoá, dựa trên một giao diện chuẩn hóa. Do đó là một module nên CryptoAIP cho phép nhà phát triển thay thế một thuật toán mã hoá bằng một thuật toán khác, tùy theo nhu cầu của họ, CryptoAIP cũng bao gồm các khả năng xử lý và quản lý các chứng nhận điện tử.

nó được thiết kế phức tạp ngay từ đầu, hơi khác đối với Windows. Một số các công ty đang thực thi CDSA trong các sản phẩm của họ bao gồm Netscape, Datakey, VASCO Data Security và Verisign.

- Các bức tường lửa đề phòng sự tấn công vào các giao thức và các ứng dụng, đồng thời rất hiệu quả trong việc chống lại sự gian dối. Bức tường lửa điều khiển sự truy cập dựa vào chính nội dung của các gói dữ liệu được truyền giữa hai mạng nội bộ hoặc giữa hai thiết bị trên mạng.

- Các bức tường lửa quy định một điểm kiểm soát đơn giản đối với an toàn mạng, đây là một ưu điểm của nó. Tất nhiên, điều đó cũng kèm theo mặt trái của vấn đề là bức tường lửa dễ bị vô hiệu hóa và chính vì vậy nên nó tập trung sự chú ý đặc biệt của các tặc tin.

- Các bức tường lửa không hỗ trợ tính bí mật và tính xác thực cũng như không bảo vệ mạng trước sự tấn công của vi rút, chính vì vậy bức tường lửa không được xem là một giải pháp toàn diện đối với an toàn mạng. Tuy nhiên, các giao thức mới đang được phát triển để xử lý tính xác thực và độ tin cậy của các gói dữ liệu trên mạng.

- Mặc dù các bức tường lửa có thể hỗ trợ bảo vệ dữ liệu và các hệ thống, các mạng cộng tác thường phụ thuộc vào kết nối giữa các văn phòng nằm rải rác trong một thành phố, một bang, một quốc gia hoặc trên toàn thế giới. Hoạt động bên dưới bảo vệ các mạng dựa trên giao thức IP, chính là cái tạo nên Internet tại mức mạng, cho phép các doanh nghiệp tạo ra các mạng ảo – VPN dùng riêng của họ bằng cách dùng Internet thay cho việc dùng các đường truyền thuê bao rất tốn kém.

- Giao thức S/WAN đối với việc xác nhận và mã hoá các gói dữ liệu sẽ giúp bảo đảm sự tương thích giữa các bộ chọn đường và các bức tường lửa.

Một nhóm các nhà sản xuất bức tường lửa và bộ chọn đường đã thỏa thuận thành lập chuẩn W/WAN (Secure Wide Area Network). Họ dùng nó để thực thi và kiểm tra các giao thức (được đưa ra bởi IETF - Internet Engiceering Task Force) nhằm đảm bảo an toàn cho các gói số liệu IP. Các giao thức này bao gồm các phương thức xác nhận và mã hoá gói số liệu, cùng một phương thức trao đổi và quản lý các khóa cần cho các tiến trình xác nhận và mã hoá. Các giao thức này sẽ giúp đảm bảo khả năng thao tác đồng bộ giữa các bộ chọn đường và các bức tường lửa, khiến nó trở nên tiện lợi hơn đối với các văn phòng hợp tác nằm tách biệt về mặt địa lý cũng như các thành viên trong công ty ảo trong việc truyền thông an toàn trên Internet.

Trên mạng máy tính Internet hiện nay hàng ngày có rất nhiều vấn đề tội phạm tin học đã và đang xảy ra. Có một số loại tội phạm chính sau như là Gian lận trên mạng; Tấn công Cyber; Hackers; Crackers. Tuỳ theo mức độ kỹ thuật sử dụng và tác hại, những tội phạm này tấn công vào mạng theo các hình thức: Tấn công kỹ thuật; Tấn công không kỹ thuật; Tấn công làm từ chối phục vụ; Phân tán cuộc tấn công làm từ chối phục vụ; Virus; Sâu Worm .

Có rất nhiều giải pháp công nghệ và không công nghệ để đảm bảo an toàn bảo mật trên mạng. một trong những giải pháp quan trọng ứng dụng trong TMĐT là sử dụng kỹ thuật mã hoá và các giao thức bảo mật.

Bảo mật dựa trên hai thành phần chính: thuật toán mã hoá và khoá. Thuật toán mã hoá là một hàm toán học cho phép tích hợp một văn bản đọc được hoặc các thông tin có thể hiểu được, gọi là văn bản rõ, với một xâu chữ số, được gọi là khoá, thành một văn bản mã hoá không hiểu được.

Thuật toán mã hoá có đặc điểm là khó thiết kế, tuy nhiên có thể được dùng cho nhiều khoá khác nhau. Số bit trong khoá xác định tổng số tổ hợp khóa có thể

Một phần của tài liệu GIÁO TRÌNH THƯƠNG MẠI ĐIỆN TỬ ̉ potx (Trang 105 - 144)

Tải bản đầy đủ (DOC)

(144 trang)
w