Nội dung của chương này trình bày khái niệm, nhu cầu và nguyên lý hoạt độn
2.1 Giới thiệu
2.1.1 Nhucầu thực tế
Ngày nay, với sự phát triển các phương tiện thông tin liên lạc hiện đại đặc biệt là mạngInternetđãgiúpviệctraođổithôngtingiữangườivàngườihầunhưkhôngcòn bị giới hạn bởi không gian và thời gian nữa. Tuy nhiên, do hạ tầng truyền thông hiện nay vẫn chưa thật sự hoàn thiện nên đã tạo cơ hội cho một số kẻ xấu lợi dụng những lỗhổng trên mạng đểtìm cáchđánh cắp, phá hủyhoặc thayđổi thông tintrên mạng vìmục đíchnào đó.Chính vìlý do đó, ngành anninh trênmạng rađời và đã đưara nhiều giải pháp với nhiều mức độ và phạm vi áp dụng khác nhau để bảo vệ người dùngtrênmạng.
Hình 2.1 dưới đây cho thấy mức độ bảo mật cao nhất được thực hiện ở tầng ứng dụng sử dụng trong giao thức thương mại điện tử. Thương mại điện tử đang là xu hướng phát triển tất yếu của một xã hội thông tin hiện đại và cao hơn nữa là mô hình “Chính phủ điện tử” mà nhiều nước đang dần tiến đến. Chính vì vậy, việc tìm ra các giải pháp an toàn cho bảo mật thông tin trong việc trao đổi thông tin càng trở nên cần thiết. Thương mại điện tử hay Chính phủ điện tử thực ra là việc thay đổi toàn bộ các côngviệctrêngiấytờ,hợpđồng,côngvăn,…trêngiấytrướcđâybằngcáccôngviệc thực hiện trên văn bản điện tử và trao đổi qua mạng máy tính.
Applications Email Higher-level Net s 12 E-commerce protocol S/MIME PGP SSL,TLS,SSH Kerberos
IPSec Hardwarelink encryption Applications Email Higher-level Netprotocols TCP/IP Datalink Physical Internet
Hình2.1.KiếntrúcbảomậttrongTCP/IP
Tuynhiên,cáctàiliệuđiệntửnàykhôngđượcxácthựctrongquátrìnhtraođổithông tin nên khi bị sao chép hay sửa đổi ta cũng không thể phát hiện được dẫn đến những hậuquảnghiêm trọng(nhấtlà trongcác lĩnhvựckinhdoanh, thương mại, phápluật, chính phủ, …). Nguyên nhân chủ yếu là do các ký tự số hóa trong tài liệu điện tử không phải là duy nhất, vì vậy nó dễ dàng bị sao chép và sửa đổi mà không thể phát hiệnđược.Mặt khác,các biệnphápbảo mậthiện naynhưdùngmật khẩuđềukhông đảm bảo vì có thể bị nghe trộm hoặc bị dò ra nhanh chóng do người sử dụng thường chọn mật khẩu ngắn, dễ nhớ, dùng chung và ít khi thay đổi mật khẩu.
Trong cáccôngviệc truyềnthốngsửdụng vănbảngiấynhưlĩnh vựckinh doanh,để đảm bảo pháp nhân cho một quyết định hay công văn, người ta thường sử dụng các chữkýtayhaycondấuvàocuốivănbảnđó. Hànhđộngnàycómộtsốmụcđíchnhư
tạodấuhiệu (xác thực người ký),sựchứngnhậnvàthừanhận (bằng chứng về những gìngườikýđãlàm, đãxem, đãthừanhậnđốivớimộttàiliệuvàothờiđiểmký), tính an toàn (rõ ràng, sự quyết định dứt khoát trong giao dịch) và là một nghi thức (cho biết người ký đã tạo trách nhiệm ràng buộc về mặt pháp lý, bắt buộc người ký phải cânnhắctrướctàiliệuđượcký).
13
Tương tự, để đáp ứng được các cuộc kiểm tra về mặt pháp lý và công nghệ, chữ ký trên các tài liệu điện tử được tạo ra để người nhận có thể xác thực đến một đối tác
đáng tin cậy thứ ba (như tòa án, quan tòa, trọng tài, …) để đảm bảo nội dung của tài liệu là nguyên gốc của người gởi đồng thời bảo đảm rằng người gửi không thể phủ nhận đã ký trên tài liệu này. Chữ ký điện tử nói chung và chữký số nói riêng đã ra đời để giải quyết vấn đề đó.
2.1.2 Kháiniệm
Vàonăm1889,tòaántốicaobang NewHampshire(Hoakỳ)đã phêchuẩntínhhiệu lựccủachữkýđiệntử.Tuynhiên,chỉvớinhữngpháttriểncủakhoahọckỹthuậtgần đây thì chữ ký điện tử mới đi vào cuộc sống một cách rộng rãi.
Theo luật Giao dịch Điện tử Thống nhất UETA của NCCUSL năm 1999 [68], chữ ký điện tử được định nghĩa như sau:
“Chữ ký điện tử là thông tin (âm thanh, ký hiệu, tiến trình điện tử, …) đi kèm
theodữliệu(vănbản,hìnhảnh,video,...)nhằmmụcđíchxácđịnhngười chủcủa
dữliệuđó”.
hoặc theo điều21 trong luật Giaodịch điện tử củaQuốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam [3] định nghĩa:
“Chữkýđiện tửđượctạolập dướidạngtừ,chữ, số,kýhiệu, âmthanhhoặccác
hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lôgíc
vớithông điệpdữliệu, có khảnăng xácnhận người kýthông điệpdữ liệuvà xác
nhậnsựchấpthuậncủangườiđóđốivớinộidungthôngđiệpdữliệuđượcký”.
Như vậy, theo các định nghĩa này, chữ ký điện tử chỉ đến bất kỳ phương pháp nào (không nhất thiết là mật mã) để xác định người chủ của văn bản điện tử. Hiện nay, chữ ký điện tử có thể bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân(PersonalIdentificationNumber–PIN)vàocácmáyATM, kýbằngbútđiệntử với thiết bị màn hình cảm ứng tại các quầy tính tiền, chấp nhận các điều khoản người dùng(EndUserLicenceAgreement–EULA)khicàiđặtphầnmềmmáytính,kýcác hợp đồng điện tử trực tuyến, ...
14
Chữkýsố(DigitalSignature)chỉlàtậpconcủachữkýđiệntử.Chữkýsốlàchữký
điệntửdựatrênkỹthuậtmãhóavới khóacôngkhai, trongđó,mỗingười cómộtcặp khóa (một khóa bí mật và một khóa công khai). Khóa bí mật không bao giờ được
công bố, trong khi đó, khóa công khai được tự do sử dụng. Để trao đổi thông điệp bí mật, người gửi sử dụng khóa công khai của người nhận để mã hóa thông điệp gửi, sau đó, người nhận sẽ sử dụng khóa bí mật tương ứng của mình để giải mã thông điệp. Chữ ký số lại hoạt động theo hướng ngược lại. Người gửi sẽ sử dụng khóa bí mật của mình để mã hóa thông điệp gửi, sau đó người nhận sẽ sử dụng khóa công khai của ngườigửiđểgiảimãthôngđiệp.Nhưvậy, chỉcókhóacôngkhaitươngứngvớikhóa bí mật đã dùng mới giải mã được thông điệp, điều đó đã đảm bảo cho thông điệp gửi không bị giả mạo, không bị thay đổi trong quá trình gửi.