SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện. Tương tự như SSL, một giao thức khác có tên là PCT - Private Communication
Technology được đề xướng bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính chạy trên hệ điều hành Windows NT. Ngoài ra, một chuẩn của IETF (Internet Engineering Task Force) có tên là TLS (Transport Layer Security) dựa trên SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.
Các thuật toán mã hóa và xác thực của SSL được sử dụng bao gồm:
- DES-chuẩn mã hóa dữ liệu (ra đời năm 1977), phát minh và sử dụng của chính phủ Mỹ.
- DSA- thuật toán chữ ký điện tử, chuẩn xác thực điện tử, phát minh và sử dụng của chính phủ Mỹ.
- KEA- thuật toán trao đổi khóa, phát minh và sử dụng của chính phủ Mỹ - MD5- thuật toán tạo giá trị “băm” (message digest), phát minh bởi Rivest - RC2, RC4- mã hóa Rivest, phát triển bởi công ty RSA Data Security
- RSA- thuật toán khóa công khai, cho mã hóa và xác thực, phát triển bởi Rivest, Shamir, Adleman.
- RSA key exchange- thuật toán trao đổi khóa cho SSL dựa trên thuật toán RSA - SHA-1 – thuật toán hàm băm an toàn, phát triển và sử dụng bởi chính phủ Mỹ - SKIPJACK- thuật toán khóa đối xứng phân loại được thực hiện trong phần
cứng Fortezza, sử dụng bởi chính phủ Mỹ. - Triple-DES- mã hóa DES ba lần
SSL và ứng dụng thương mại điện tử
Nếu website không sử dụng SSL, mọi dữ liệu sẽ được truyền đi nguyên bản. Khi đó, nguy cơ dữ liệu bị xâm nhập trong quá trình trao đổi dữ liệu giữa người gửi và người nhận sẽ rất cao. Một hậu quả trước mắt là khách hàng sẽ không tin tưởng, và dẫn đến không sử dụng dịch vụ của website đó. Hậu quả lớn hơn nữa là kẻ gian sẽ tận dụng cơ hội này để lấy hết thông tin khách hàng, thông tin kinh doanh của website và xa hơn, kẻ gian có thể ăn cắp thông tin trên thẻ tín dụng của khách để sử dụng bất hợp pháp.
3.2.1.2 Đảm bảo an toàn bằng giao thức SSL tại vatgia.com
Khảo sát tại website vatgia.com, hiện nay website chưa có sử dụng giao thức SSL trong việc bảo mật an toàn cho giao dịch điện tử của website. Nhằm nâng cao an
toàn bảo mật website, em chọn giải pháp nâng cao an toàn giao dịch điện tử tại vatgia.com bằng sử dụng giao thức SSL phiên bản 3.0 do VeriSign® cung cấp. VeriSign® là thương hiệu uy tín nhất trên toàn thế giới hiện nay trong lĩnh vực cung cấp chứng chỉ số. Website có gắn biểu tượng “VeriSign Secured Seal” sẽ gia tăng mức độ tin cậy từ phía khách hàng lên rất nhiều lần.
Hình 3.1: Biểu tượng của VeriSign trên website sử dụng
SSL 3.0 hoạt động như sau:
- Kết nối từ client đến server được thực hiện bằng giao thức HTTPS (HTTP+SSL)
- Server ký khóa công khai (public key) bằng khóa bí mật (private key) của mình và gửi cho client
- Client dùng khóa công khai của server để xác nhận đúng server đang liên lạc - Ở chiều ngược lại, server sẽ xác nhận lại client
- Client kiểm tra xem có Cơ quan chứng thực (CA) nào đã ký vào khóa. Nếu không client sẽ hỏi người dùng xem có nên tin tưởng server không
- Client sinh ra một khóa bất đối xứng (asymmetric key) cho phiên giao dịch, khóa này được mã hóa bằng khóa công khai của máy chủ và gửi ngược lại. Khó này cũng sẽ được dùng để mã hóa tất cả các thông tin sau này