Nghiên cứu một số kỹ thuật an toàn thông tin dùng trong rút tiền điện tử

1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG LÊ THỊ THANH VÂN NGHIÊN CỨU MỘT SỐ KỸ THUẬT AN TOÀN THÔNG TIN DÙNG TRONG RÚT TIỀN ĐIỆN TỬ Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Ngƣời hƣớng dẫn khoa học: PGS.TS TRỊNH NHẬT TIẾN Thái Nguyên - 2015 Số hóa bởi Trung tâm Học liệu – ĐHTN i LỜI CAM ĐOAN Tôi xin cam đoan luận văn này của tự bản thân tôi tìm hiểu, nghiên cứu dƣới sự hƣớng dẫn

pdf66 trang | Chia sẻ: huong20 | Ngày: 13/01/2022 | Lượt xem: 504 | Lượt tải: 0download
Tóm tắt tài liệu Nghiên cứu một số kỹ thuật an toàn thông tin dùng trong rút tiền điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
n của PGS.TS Trịnh Nhật Tiến. Các chƣơng trình thực nghiệm do chính bản thân tôi lập trình, các kết quả là hoàn toàn trung thực. Các tài liệu tham khảo đƣợc trích dẫn và chú thích đầy đủ. TÁC GIẢ LUẬN VĂN Lê Thị Thanh Vân Số hóa bởi Trung tâm Học liệu – ĐHTN ii LỜI CẢM ƠN Tôi xin bày tỏ lời cảm ơn chân thành tới tập thể các thầy cô giáo Viện công nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam, các thầy cô giáo Trƣờng Đại học Công nghệ thông tin và truyền thông - Đại học Thái Nguyên đã dạy dỗ chúng em trong quá trình học tập chƣơng trình cao học tại trƣờng. Đặc biệt em xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Trịnh Nhật Tiến, Trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình chỉ bảo, định hƣớng, hƣớng dẫn em hoàn thiện luận văn cao học này. Cuối cùng, em xin chân thành cảm ơn các bạn bè đồng nghiệp, gia đình và ngƣời thân đã quan tâm, giúp đỡ và chia sẻ với em trong quá trình làm luận văn cũng nhƣ trong quá trình học cao học. Thái Nguyên, ngày 20 tháng 8 năm 2015 HỌC VIÊN Lê Thị Thanh Vân Số hóa bởi Trung tâm Học liệu – ĐHTN iii MỤC LỤC Trang LỜI CAM ĐOAN. i LỜI CẢM ƠN... ii MỤC LỤC iii DANH MỤC HÌNH VẼ... vi DANH MỤC BẢNG BIỂU.. vi MỞ ĐẦU . 1 Chƣơng 1: TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ VÀ AN TOÀN BẢO MẬT THÔNG TIN . 3 1.1. TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ ... 3 1.1. 1. Khái niệm tiền 3 1.1.2. Khái niệm tiền điện tử . 3 1.1.3. Cấu trúc, tính chất của tiền điện tử ... 4 1.1.3.1. Cấu trúc .. 4 1.1.3.2. Tính chất của tiền điện tử ... 5 1.1.4. Mô hình giao dịch bằng tiền điện tử .. 7 1.1.5. Giao dịch bằng tiền điện tử tại Việt Nam .. 9 1.1.5.1. Thẻ phone card ... 9 1.1.5.2. Thẻ Flexicard .. 10 1.1.5.3. Thẻ ATM . 11 1.1.5.4. Yếu tố ảnh hưởng đến tiền điện tử tại Việt Nam . 11 1.2. MÃ HÓA .. 12 1.2.1. Tổng quan về mã hóa dữ liệu . 12 1.2.1.1. Hệ mã hóa ... 12 1.2.1.2. Mã hóa và giải mã .. 13 1.2.2. Phân loại hệ mã hóa .. 13 1.2.3. Một số thuật toán mã hóa khóa công khai . 15 Số hóa bởi Trung tâm Học liệu – ĐHTN iv 1.3. CHỮ KÝ SỐ . 15 1.3.1. Khái niệm chữ ký số 15 1.3.1.1. Giới thiệu 15 1.3.1.2. Sơ đồ chữ ký số .. 16 1.3.2. Một số vấn đề liên quan đến chữ ký số . 17 1.3.2.1. Đại diện tài liệu .. 17 1.3.2.2. Hàm băm . 18 1.3.3. Một số sơ đồ ký số 18 1.3.3.1. Sơ đồ ký số RSA . 18 1.3.3.2. Sơ đồ ký số Schnorr 19 1.3.4. Chữ ký mù 20 1.3.4.1. Giới thiệu về chữ ký mù . 20 1.3.4.2. Một số sơ đồ ký mù 21 1.4. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ . 22 1.4.1. Mạo danh chủ tài khoản . 22 1.4.2. Tiền giả . 23 1.4.3. Tính riêng tƣ của ngƣời tiêu tiền 23 1.4.4. Mất “cắp” tiền điện tử 24 1.4.5. Khai man giá trị đồng tiền . 24 1.4.6. Xâm phạm có sự kết hợp của nhân viên ngân hàng . 24 Chƣơng II: MỘT SỐ KỸ THUẬT ĐẢM BẢO AN TOÀN THÔNG TIN 26 ỨNG DỤNG TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ .. 2.1. KỸ THUẬT “CHỨNG MINH KHÔNG TIẾT LỘ THÔNG TIN” . 27 2.2. KỸ THUẬT CHỮ KÝ MÙ THEO SƠ ĐỒ KÝ SỐ RSA VỚI NHIỀU KHÓA KÝ .. 30 2.2.1. Chữ ký số “mù” theo sơ đồ ký RSA .. 30 2.2.2. Ứng dụng của chữ ký mù RSA trong giai đoạn rút tiền . 32 2.2.2.1. Kiểm tra tính hợp pháp của đồng tiền 33 Số hóa bởi Trung tâm Học liệu – ĐHTN v 2.2.2.2. Đảm bảo tính riêng tư . 33 2.2.2.3. Bảo vệ đồng tiền . 36 2.2.2.4. Phòng tránh khai man giá trị đồng tiền .. 38 2.3. KỸ THUẬT CHIA SẺ BÍ MẬT ... 41 2.3.1. Chia sẻ khóa bí mật K . 43 2.3.2. Khôi phục khóa bí mật K 44 Chƣơng 3: CÀI ĐẶT THỬ NGHIỆM . 45 3.1. ỨNG DỤNG CHỮ KÝ MÙ RSA TRONG GIAI ĐOẠN RÚT TIỀN 46 ĐIỆN TỬ . 3.1.1. Sinh khóa .. 47 3.1.2. Ký “mù” lên đồng tiền . 47 3.1.3. Xóa mù .. 47 3.1.4. Kiểm tra chữ kỹ ... 48 3.2. CHỨNG MINH KHÔNG TIẾT LỘ THÔNG TIN TRONG XÁC 48 THỰC CHỦ TÀI KHOẢN . 3.2.1. Khởi tạo các thông số ban đầu 48 3.2.2. Chủ tài khoản gửi yêu cầu xác minh .. 48 3.2.3. Ngân hàng gửi thử thách . 48 3.2.4. Chủ tài khoản gửi chứng minh ... 48 3.2.5. Ngân hàng kiểm tra tính hợp pháp của chủ tài khoản ..... 49 3.3. CHƢƠNG TRÌNH THỬ NGHIỆM . 49 3.3.1. Chƣơng trình thử nghiệm chữ ký mù RSA .. 49 3.3.2. Chƣơng trình “Chứng minh không tiết lộ thông tin” trong xác thực chủ tài khoản 52 3.3.3. Đánh giá ....... 56 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ĐỀ TÀI 57 TÀI LIỆU THAM KHẢO ... 58 Số hóa bởi Trung tâm Học liệu – ĐHTN vi DANH MỤC HÌNH VẼ Trang Hình 1.1 : Mô hình giao dịch tiền điện tử. 7 Hình 1.2: Sơ đồ mã hóa ... 13 Hình 1.3: Sơ đồ mã hóa khóa đối xứng ... 14 Hình 1.4: Sơ đồ mã hóa khóa bí mật ...... 14 Hình 1.5: Sơ đồ tổng quát về quá trình ký mù ..... 20 Hình 2.1: Khởi tạo tài khoản ngƣời dùng 28 Hình 2.2: Sơ đồ quá trình xác thực tính hợp pháp của chủ tài khoản.. 30 Hình 2.3: Ứng dụng chữ ký mù trong giai đoạn rút tiền điện tử . 32 Hình 2.4: Sơ đồ chia sẻ bí mật khóa ký .. 41 Hình 3.1: Sơ đồ tổng quan giao dịch điện tử .. 45 Hình 3.2: Sơ đồ luồng dữ liệu khi ký mù lên đồng tiền . 46 Hình 3.3: Đồng tiền . 49 Hình 3.4: Thực hiện ký mù lên đồng tiền 50 Hình 3.5: Đồng tiền đã làm mù và chữ ký mù của ngân hàng trên đồng tiền.. 50 Hình 3.6: Thực hiện xóa mù cho đồng tiền . 51 Hình 3.7: Chữ ký trên đồng tiền của ngân hàng .. 51 Hình 3.8a: Kiểm tra chữ ký - chữ ký đúng: tiền thật ... 52 Hình 3.8b: Kiểm tra chữ ký - chữ ký sai: tiền “giả” 52 Hình 3.9: Khởi tạo các thông số ban đầu . 53 Hình 3.10: Chủ tài khoản gửi yêu cầu xác minh.. 53 Hình 3.11: Giá trị y đƣợc gửi lại cho ngân hàng . 54 Hình 3.12: Ngân hàng gửi thử thách .. 54 Hình 3.13: Giá trị thử thách r1, r2 . 55 Hình 3.14: Xác thực đúng chủ tài khoản - tiếp tục giao dịch .. 55 Số hóa bởi Trung tâm Học liệu – ĐHTN vii DANH MỤC BẢNG BIỂU Trang Bảng 2.1: Các bƣớc kiểm tra tính hợp pháp của đồng tiền 31 Bảng 2.2: Các bƣớc ký mù lên đồng tiền sử dụng nhiều khóa ký 39 Bảng 3.1: Những thông số cần có của chủ tài khoản và ngân hàng .. 53 Số hóa bởi Trung tâm Học liệu – ĐHTN 1 MỞ ĐẦU Trong thời đại công nghệ thông tin và Internet phát triển nhƣ hiện nay, giao dịch điện tử đã trở nên phổ biến. Ngƣời ta có thể sử dụng tiền điện tử để thanh toán cho các giao dịch điện tử này. Tiền điện tử là phƣơng tiện của thanh toán điện tử đƣợc bảo mật bằng chữ ký điện tử, và cũng nhƣ tiền giấy nó có chức năng là phƣơng tiện trao đổi và tích lũy giá trị. Nếu nhƣ giá trị của tiền giấy đƣợc đảm bảo bởi chính phủ phát hành thì đối với tiền điện tử, giá trị của nó đƣợc tổ chức phát hành đảm bảo bằng việc cam kết sẽ chuyển đổi tiền điện tử sang tiền giấy theo yêu cầu của ngƣời sở hữu. Quá trình dùng tiền điện tử có sự tham gia của Ngân hàng, ngƣời trả tiền, ngƣời đƣợc trả tiền và chia làm ba giai đoạn: Giai đoạn 1: Ngƣời tiêu tiền rút tiền điện tử từ ngân hàng Giai đoạn 2: Ngƣời tiêu tiền thanh toán tiền điện tử (tiêu tiền) cho bên ngƣời đƣợc trả tiền Giai đoạn 3: Ngƣời đƣợc trả tiền gửi tiền điện tử vào ngân hàng Tiền điện tử mang lại lợi ích không chỉ cho phía ngƣời dùng mà còn cho cả phía ngân hàng cũng nhƣ phía nhà cung cấp. Tiền điện tử làm tăng tốc độ cũng nhƣ hiệu quả của các phiên giao dịch. Tuy nhiên để tiền điện tử thực sự trở thành một phƣơng thức thanh toán hữu hiệu, các nhà công nghệ, các nhà phát triển và các chuyên gia an toàn thông tin còn đứng trƣớc nhiều thách thức nhƣ: yêu cầu rút tiền có thể bị mạo danh, sửa đổi. Khi đó đòi hỏi ngân hàng phải thẩm định xem yêu cầu rút tiền đó có đúng không (đúng tài khoản, đúng số tiền, đúng chủ tài khoản). Và đặc biệt khi “tiêu tiền”, làm thế nào có thể ẩn danh ngƣời tiêu tiền với tiền vì đây là tiền điện tử chứ không phải là tiền giấy. Đặc biệt, làm thế nào ngƣời tiêu tiền không thể tiêu một đồng tiền nhiều lần, hay khai man giá trị của đồng tiền cũng nhƣ trong quá trình chuyển tiền từ ngƣời này sang ngƣời khác thì tiền đƣợc “an toàn”, Từ những nhận định trên và sự gợi ý của giáo viên hƣớng dẫn, tôi quyết định chọn đề tài: “Nghiên cứu một số kỹ thuật an toàn thông tin dùng trong rút tiền điện tử” Số hóa bởi Trung tâm Học liệu – ĐHTN 2 Nội dung chính của luận văn gồm có ba chƣơng Chƣơng 1: Tổng quan về giao dịch bằng tiền điện tử và an toàn bảo mật thông tin Trong chƣơng này luận văn trình bày về tiền điện tử, giao dịch bằng tiền điện tử, nguy cơ mất an toàn thông tin khi ngƣời dùng rút tiền điện tử từ ngân hàng và kiến thức cơ bản về mã hóa, chữ ký số, chia sẻ bí mật. Chƣơng 2: Một số kỹ thuật đảm bảo an toàn thông tin ứng dụng trong giai đoạn rút tiền điện tử Nội dung chƣơng 2 trình bày về một số kỹ thuật để đảm bảo an toàn bảo mật thông tin trong giai đoạn rút tiền điện tử từ tài khoản trong ngân hàng của ngƣời dùng nhƣ: chữ ký mù, mã hóa, chia sẻ bí mật Chƣơng 3: Cài đặt thử nghiệm Toàn chƣơng 3 trình bày phƣơng pháp chữ ký “mù” trong ký xác thực lên đồng tiền và chứng minh không tiết lộ thông tin trong xác thực chủ tài khoản khi rút tiền điện tử từ ngân hàng và xây dựng chƣơng trình thử nghiệm. Chƣơng trình thử nghiệm đƣợc viết bằng ngôn ngữ lập trình C#. Số hóa bởi Trung tâm Học liệu – ĐHTN 3 Chương I: TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ VÀ AN TOÀN BẢO MẬT THÔNG TIN 1.1. TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ. 1.1.1. Khái niệm tiền. Tiền là vật ngang giá chung có tính thanh khoản cao nhất dùng để trao đổi lấy hàng hóa và dịch vụ nhằm thỏa mãn bản thân và mang tính dễ thu nhận (nghĩa là mọi ngƣời đều sẵn sàng chấp nhận sử dụng) và thƣờng đƣợc Nhà nƣớc phát hành, bảo đảm giá trị bởi các tài sản khác nhƣ vàng, kim loại quý, trái phiếu, ngoại tệ... Tiền là một chuẩn mực chung để có thể so sánh giá trị của các hàng hóa và dịch vụ. Thông qua việc chứng thực các giá trị này dƣới dạng của một vật cụ thể (thí dụ nhƣ tiền giấy hay tiền kim loại) hay dƣới dạng văn bản (dữ liệu đƣợc ghi nhớ của một tài khoản) mà hình thành một phƣơng tiện thanh toán đƣợc một cộng đồng công nhận trong một vùng phổ biến nhất định. Một phƣơng tiện thanh toán trên nguyên tắc là dùng để trả nợ. Khi là một phƣơng tiện thanh toán tiền là phƣơng tiện trao đổi chuyển tiếp vì hàng hóa hay dịch vụ không thể trao đổi trực tiếp cho nhau đƣợc. Ngƣời ta cũng có thể nhìn tiền nhƣ là vật môi giới, biến việc trao đổi trực tiếp hàng hóa và dịch vụ, thƣờng là một trao đổi phải mất nhiều công sức tìm kiếm, thành một sự trao đổi có 2 bậc. 1.1.2. Khái niệm tiền điện tử. Tiền điện tử (E-money, E-currency, Internet money, Digital money, Digital cash) là thuật từ vẫn còn chƣa đƣợc định nghĩa đầy đủ. Tuy nhiên có thể hiểu Tiền điện tử là loại tiền trao đổi theo phƣơng pháp “điện tử”, liên quan đến mạng máy tính và những hệ thống chứa giá trị ở dạng số (Digital stored value Systems). Số hóa bởi Trung tâm Học liệu – ĐHTN 4 Tiền điện tử cho phép ngƣời dùng có thể thanh toán khi mua hàng, hay sử dụng các dịch vụ, nhờ truyền đi các “dãy số” từ máy tính (hay thiết bị lƣu trữ nhƣ Smart Card) này tới máy tính khác (Smart Card). Cũng nhƣ dãy số (Serial) trên tiền giấy, dãy số của tiền điện tử là duy nhất. Mỗi "đồng tiền điện tử” đƣợc phát hành bởi một tổ chức (ngân hàng) và biểu diễn một lƣợng tiền thật nào đó. Tiền điện tử có loại ẩn danh, có loại định danh . Tiền ẩn danh không tiết lộ thông tin định danh của ngƣời sử dụng. Tính ẩn danh của tiền điện tử tƣơng tự nhƣ tiền mặt thông thƣờng. Tiền điện tử ẩn danh đƣợc rút từ một tài khoản, có thể đƣợc tiêu xài hay chuyển cho ngƣời khác mà không để lại dấu vết. Tiền điện tử định danh tiết lộ thông tin định danh của ngƣời dùng. Nó tƣơng tự nhƣ thẻ tín dụng, cho phép ngân hàng lƣu dấu vết của tiền khi luân chuyển. Mỗi loại tiền trên lại chia thành 2 dạng: trực tuyến (online) và không trực tuyến (offline). Trực tuyến: nghĩa là cần phải tƣơng tác với phía thứ ba để kiểm soát giao dịch. Không trực tuyến: nghĩa là có thể kiểm soát đƣợc giao dịch, mà không cần liên quan trực tiếp đến phía thứ ba (ngân hàng). 1.1.3. Cấu trúc, tính chất của tiền điện tử. 1.1.3.1. Cấu trúc. Với mỗi hệ thống thanh toán điện tử, tiền điện tử có cấu trúc và định dạng khác nhau nhƣng đều bao gồm các thông tin chính nhƣ sau: * Số sê-ri của đồng tiền: Mỗi đồng tiền điện tử có một số sê-ri duy nhất. Tuy nhiên, khác với tiền mặt, số sê-ri trên tiền điện tử thƣờng là một dãy số đƣợc sinh ngẫu nhiên. Điều này có liên quan tới tính ẩn danh của ngƣời sử dụng. * Giá trị của đồng tiền: Mỗi đồng tiền điện tử sẽ có giá trị tƣơng đƣơng với một lƣợng tiền mặt nào đó. Trong tiền mặt thông thƣờng, mỗi tờ tiền có một giá trị nhất định Số hóa bởi Trung tâm Học liệu – ĐHTN 5 (5.000 đồng, 100.000 đồng, ). Với tiền điện tử, giá trị này có thể là một con số bất kỳ (30.000 đồng, 400.000 đồng,). * Hạn định của đồng tiền: Để đảm bảo tính an toàn của đồng tiền điện tử và tính hiệu quả của hệ thống sử dụng tiền điện tử, các hệ thống này thƣờng giới hạn ngày hết hạn của đồng tiền. * Các thông tin khác: Đây là các thông tin cần thêm nhằm phục vụ cho việc đảm bảo an toàn và tin cậy của đồng tiền điện tử, ngăn chặn việc giả mạo tiền và phát hiện các vi phạm (nếu có). Trong nhiều hệ thống, các thông tin này giúp truy vết định danh ngƣời sử dụng có hành vi gian lận trong thanh toán tiền điện tử. Các thông tin trên tiền điện tử đƣợc ngân hàng ký bằng khóa bí mật của mình. Và ngƣời sử dụng nào cũng có thể kiểm tra tính hợp lệ của đồng tiền bằng cách sử dụng khóa công khai của ngân hàng để kiểm tra. 1.1.3.2. Tính chất của tiền điện tử. a. Tính an toàn (Security) * Đảm bảo đồng tiền điện tử không bị sao chép, không bị sử dụng lại. * Khả năng giả mạo đồng tiền (forgery): Đối với tiền giấy, có giả mạo tiền hay làm giả đồng tiền. Tƣơng tự tiền giấy, khi giao dịch tiền điện tử, thƣờng gặp trong hệ thống thanh toán là sự giả mạo. Có hai loại giả mạo đối với tiền điện tử. + Giả mạo đồng tiền: tạo ra đồng tiền giả giống nhƣ thật, nhƣng không có xác nhận rút tiền của ngân hàng. + Tiêu một đồng tiền nhiều lần: là sử dụng cùng một đồng tiền nhiều lần (thuật ngữ tƣơng đƣơng nhƣ double spending, hay multiple spending, hay repeat spending) Số hóa bởi Trung tâm Học liệu – ĐHTN 6 b. Tính xác thực Do luôn có sự giả mạo, nên ta cần phải xác lập đƣợc các mức khác nhau về cách đánh giá tính xác thực. + Nhận dạng ngƣời dùng: Ngƣời dùng cần phải biết mình đang giao dịch với ai. + Xác thực tính toàn vẹn thông điệp: đảm bảo bản copy của thông điệp hoàn toàn giống bản ban đầu. c. Tính riêng tƣ (Privacy) Chƣa thể định nghĩa một cách rõ ràng tính chất này của Tiền điện tử. Đối với một số ngƣời, tính riêng tƣ có nghĩa là sự bảo vệ chống lại “eavesdropping”. Đối với một số ngƣời khác nhƣ David Chaum, “tính riêng tƣ” có nghĩa là trong quá trình thanh toán, ngƣời trả tiền phải đƣợc ẩn danh, không để lại dấu vết, ngân hàng không nói đƣợc tiền giao dịch là của ai. Tính chất này nhằm bảo vệ ngƣời dùng, khó có thể truy vết, chấp nối mối quan hệ giữa ngƣời dùng với các giao dịch hay chi tiêu mà ngƣời đó thực hiện. Tính chất này cũng có thể thấy rõ trong các giao dịch bằng tiền mặt. Sau khi thanh toán, việc chứng minh ngƣời nào đã sở hữu số tiền đó trƣớc đây là rất khó. d. Tính độc lập (Independence) Tính chất này có nghĩa là sự an toàn của Tiền điện tử không phụ thuộc vào vị trí địa lý. Tiền có thể đƣợc chuyển qua mạng máy tính hoặc lƣu trữ vào các thiết bị nhớ khác nhau. e. Tính chuyển nhƣợng đƣợc (Transferability) Ngƣời dùng Tiền điện tử có thể chuyển giao quyền sở hữu đồng tiền điện tử cho nhau. Tính chuyển nhƣợng đƣợc là một tính chất rất quan trọng cho việc tiêu tiền điện tử, thực sự giống với tiêu tiền mặt thông thƣờng. Tuy vậy, có một số vấn đề nảy sinh mà hệ thống vẫn cần phải giải quyết: - Kích thƣớc dữ liệu tăng lên sau mỗi lần chuyển nhƣợng. Vì vậy, cần giới hạn số lần chuyển nhƣợng tối đa cho phép. Số hóa bởi Trung tâm Học liệu – ĐHTN 7 - Phát hiện giả mạo và tiêu một đồng tiền nhiều lần có thể quá trễ, khi đồng tiền đã đƣợc chuyển nhƣợng nhiều lần. - Ngƣời dùng có thể nhận ra đồng tiền của mình, nếu nó lại xuất hiện trong một lần giao dịch khác. f. Tính phân chia đƣợc (Divisibility) Ngƣời dùng có thể phân chia đồng tiền của mình thành những mảnh có giá trị nhỏ hơn, với điều kiện tổng giá trị các mảnh nhỏ bằng giá trị đồng tiền ban đầu. Tiền điện tử thực chất là một dãy số bị mã hóa, nên không phải hệ thống nào cũng thực hiện đƣợc việc chia dãy số này thành các đồng tiền có giá trị nhỏ hơn. 1.1.4. Mô hình giao dịch bằng tiền điện tử. Trong thời đại công nghệ thông tin và Internet phát triển nhƣ hiện nay, giao dịch điện tử đã trở nên phổ biến. Ngƣời ta có thể sử dụng tiền điện tử để thanh toán cho những giao dịch này. Tiền điện tử cũng nhƣ tiền giấy nó có chức năng là phƣơng tiện trao đổi và tích lũy giá trị. Nếu nhƣ tiền giấy đƣợc đảm bảo và phát hành bởi Nhà nƣớc thì đối với tiền điện tử, giá trị của nó đƣợc tổ chức phát hành đảm bảo bằng việc cam kết sẽ chuyển đổi tiền điện tử sang tiền mặt theo yêu cầu của ngƣời sở hữu. Tiền điện tử đƣợc “tiêu” theo mô hình sau: Ngân hàng Gửi tiền Rút tiền Ngƣời A Thanh toán Ngƣời B Hình 1.1 : Mô hình giao dịch tiền điện tử Số hóa bởi Trung tâm Học liệu – ĐHTN 8 Trong mô hình trên, quá trình dùng tiền điện tử có sự tham gia của Ngân hàng, ngƣời trả tiền, ngƣời đƣợc trả tiền và chia làm ba giai đoạn: Giai đoạn 1: Ngƣời tiêu tiền rút tiền điện tử từ ngân hàng Giai đoạn 2: Ngƣời tiêu tiền thanh toán tiền điện tử (tiêu tiền) cho bên ngƣời đƣợc trả tiền Giai đoạn 3: Ngƣời đƣợc trả tiền gửi tiền điện tử vào ngân hàng. Khác biệt lớn nhất giữa thanh toán điện tử và thanh toán truyền thống là thông qua các phƣơng tiện điện tử, loại bỏ hầu hết việc giao nhận giấy tờ và việc ký truyền thống thay vào đó là các phƣơng thức xác thực mới. Dùng phƣơng pháp mới để xác nhận đúng ngƣời có quyền ra lệnh thanh toán mà không cần tiếp xúc trực tiếp. Lợi ích lớn nhất là sự tiết kiệm chi phí và tạo điều kiện thuận lợi cho các bên giao dịch. Các giao dịch qua kênh điện tử có chi phí vận hành rất thấp. Tốc độ giao dịch điện tử nhanh hơn rất nhiều so với phƣơng pháp giao dịch truyền thống, chỉ bằng một số thao tác trên internet, mobile hay qua hệ thống thẻ trong một vài phút thì giao dịch đã thành công. Với thanh toán điện tử, các bên giao dịch có thể ở khá xa nhau, không bị giới hạn về không gian địa lý. Với ngƣời tiêu dùng, họ có thể ngồi ở nhà đặt hàng, mua sắm, thực hiện các giao dịch thƣơng mại. Đặc biệt, việc không phải đem theo nhiều tiền mặt bên ngƣời sẽ giảm rủi ro về mất cắp, tiền giả, tăng độ an toàn. Đặc biệt sẽ giảm thiểu việc thiếu minh bạch trong các giao dịch. Bên cạnh những lợi ích to lớn nhƣ trên, giao dịch điện tử hay giao dịch bằng tiền điện tử còn phải đối mặt với những vấn đề sau: - Điều kiện cơ sở vật chất ban đầu cũng nhƣ nhận thức của ngƣời dân về vấn đề giao dịch điện tử còn hạn chế. - Lo ngại về sự an toàn trong giao dịch điện tử: lừa đảo, thiếu chính xác, mất cắp, giả mạo, Trong ba giai đoạn giao dịch điện tử, giai đoạn nào cũng ẩn chứa những nguy cơ mất an toàn nhƣ: ngƣời dùng tiêu gian giá trị đồng tiền, tiêu một đồng tiền nhiều Số hóa bởi Trung tâm Học liệu – ĐHTN 9 lần (vì là tiền điện tử nên việc sao chép rất đơn giản); Giả mạo ngƣời dùng để “lấy” tiền từ ngân hàng, nhân viên ngân hàng “thông gian” cùng ngƣời dùng để khai man giá trị đồng tiền, .Với những nguy cơ này, đòi hỏi các bên giao dịch, đặc biệt là các ngân hàng, tổ chức giao dịch phải có các chính sách bảo mật tốt nhất có thể. 1.1.5. Giao dịch bằng tiền điện tử tại Việt Nam. Cùng với sự phát triển chung của thế giới, trong những năm gần đây, số lƣợng thuê bao Internet của Việt Nam tăng nhanh. Số thuê bao Internet đã chiếm trên 30% dân số Việt Nam. Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thƣơng hiệu cũng nhƣ giao dịch lên đến hàng triệu tên miền .vn cũng nhƣ tên miền thƣơng mại. Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trực tuyến vào công việc kinh doanh, giao dịch. Nhiều ngân hàng nhƣ Vietcombank, Vietinbank, BIDV, HSBC, Agribank đã mở thêm dịch vụ “Ngân hàng điện tử” cho phép ngƣời dùng chuyển khoản trực tuyến trong cùng ngân hàng hoặc với ngân hàng khác, thanh toán trực tuyến cƣớc di động trả sau, tiền điện, tiền nƣớc hay thanh toán trực tuyến bằng thẻ đƣợc chấp nhận với các công ty, doanh nghiệp đã đăng ký với ngân hàng đó. 1.1.5.1. Thẻ Phone card Hệ thống tiền điện tử đầu tiên đƣợc triển khai đƣa vào sử dụng ở Việt Nam là thẻ điện thoại công cộng. Xuất hiện từ những năm 90 với tộc độ phát triển mạnh mẽ nó đã đƣợc sử dụng khá rộng rãi trƣớc trào lƣu sử dụng điện thoại di động. Ở các thành phố hoặc các trung tâm một hệ thống các trạm điện thoại công cộng đƣợc VNPT Việt Nam đầu tƣ lắp đặt. Đây cũng chính là hình thức đơn giản nhất của tiền điện tử. Ngƣời sử dụng mua thẻ ở các đại lý, sau đó sử dụng thẻ bằng cách cắm thẻ vào thiết bị đọc thẻ gắn liền với điện thoại, khi hết tiền trong thẻ, ngƣời sử dụng phải mua thẻ mới nếu có nhu cầu sử dụng tiếp. Đây là một trong những hạn chế lớn nhất của thẻ điện thoại dùng chíp nhớ vì nó không có khả năng tái sử dụng (nạp thêm tiền vào thẻ), mặc dù vậy khi ra đời nó nhanh chóng đƣợc xã hội đón nhận. Số hóa bởi Trung tâm Học liệu – ĐHTN 10 Tuy nhiên sau sau một thời gian ngắn thì hệ thống này ở Việt Nam gần nhƣ đã tê liệt do không còn ngƣời sử dụng. Chỉ còn lại một số ít tại các thành phố lớn hoặc ở các trung tâm dịch vụ chủ yếu phục vụ khách nƣớc ngoài. Và ngƣời dân thì chuyển qua sử dụng thiết bị di động vì mức cƣớc và thiết bị đầu cuối cũng nhƣ các sản phẩm gia tăng là vô cùng hấp dẫn. 1.1.5.2. Thẻ Flexicard Ngày 13 tháng 10 năm 2009, PG Bank (Ngân hàng dầu khí) cùng với công ty mẹ của mình là Petrolimex đã phát hành loại hình thẻ mới là Flexicard với nhiều tính năng tiện dụng và hiện đại nhƣ: Prepaid (trả trƣớc) và Debit (ghi nợ) đƣợc sử dụng chủ yếu trong thanh toán, đặc biệt là việc thanh toán xăng dầu của các khách hàng cá nhân. Đây đƣợc đánh giá là một trong những bƣớc đi đầu tiên về việc ứng dụng tiền điện tử vào thực tế tại Việt Nam. FlexiCard trả trước (prepaid): Là phƣơng tiện thanh toán không dùng tiền mặt dành cho Chủ thẻ để thanh toán hàng hoá dịch vụ tại nhà hàng, siêu thị, đặc biệt là thanh toán xăng dầu tại hơn 2.000 cửa hàng xăng dầu của Petrolimex trên toàn quốc. Chủ thẻ hoàn toàn có thể kiểm soát đƣợc kế hoạch chi tiêu bởi vì tính năng trả trƣớc của Flexicard phát hành dựa trên cơ sở số tiền mà chủ thẻ đã mua hay nạp vào thẻ. FlexiCard trả trƣớc gồm hai loại: * FlexiCard trả trƣớc vô danh có thể mua ngay tại cửa hàng xăng dầu, điểm chấp nhận thẻ của PGBank mà không cần đăng ký thông tin, tuy nhiên thẻ vô danh không đƣợc nạp tiền vào thẻ. * FlexiCard trả trƣớc định danh khách hàng không cần mở tài khoản tại ngân hàng nhƣng phải đăng ký thông tin và sẽ đƣợc nạp tiền vào thẻ cũng nhƣ tham gia các chƣơng trình khuyến mại khi thanh toán xăng dầu tại tất cả các cửa hàng xăng dầu của Petrolimex. FlexiCard ghi nợ nội địa (debit): Là phƣơng tiện thanh toán không dùng tiền mặt tiện lợi và an toàn do PGBank phát hành trên cơ sở tài khoản tiền gửi không kỳ hạn của khách hàng mở tại ngân hàng. Flexicard tích hợp công nghệ thẻ kép (thẻ từ và thẻ chíp), Flexicard ghi nợ cho phép chủ thẻ thực hiện rất nhiều tiện ích nhƣ rút Số hóa bởi Trung tâm Học liệu – ĐHTN 11 tiền mặt tại ATM của PGBank và hệ thống ATM trong liên minh Banknetvn trên toàn quốc; Nhận lƣơng, thu nhập qua tài khoản thẻ Flexicard ;Thanh toán hàng hóa dịch vụ tại hàng nghìn đơn vị chấp nhận thẻ tại các nhà hàng, khách sạn, siêu thị, rạp chiếu phim, các điểm vui chơi giải trí; Thanh toán chi phí mua xăng dầu tại hơn 2.000 điểm phân phối xăng dầu của Petrolimex trên toàn quốc; Vấn tin số dƣ tài khoản; Chuyển khoản dễ dàng và đơn giản từ tài khoản thẻ ghi nợ sang tài khoản thẻ ghi nợ; Từ tài khoản thẻ ghi nợ sang tài khoản thẻ trả trƣớc; In sao kê giao dịch 1.1.5.3. Thẻ ATM Hiện nay, ở Việt Nam thẻ ATM là loại thẻ đƣợc ngƣời dân sử dụng nhiều nhất do nhiều ngân hàng phát hành. Có trên 10.000 máy ATM, hơn 36.000 thiết bị chấp nhận thẻ đƣợc lắp đặt và trên 22 triệu thẻ ngân hàng đƣợc phát hànhTuy nhiên trên thực tế, đa số gƣời dân chỉ sử dụng thẻ ATM để rút tiền, còn việc thanh toán điện tử là rất hạn chế. Bên cạnh việc sử dụng thẻ ngân hàng, hiện nay đang đẩy mạnh việc sử dụng các phƣơng tiện thanh toán không dùng tiền mặt hiện đại khác nhƣ Internet Banking, Mobile Banking, ghi nợ trực tiếp từ tài khoảnNhiều cơ quan, nhà máy, công ty. đã tiến hành trả lƣơng cho ngƣời lao động qua thẻ ATM. Trong giai đoạn các thiết bị công nghệ hiện đại phát triển nhƣ hiện nay cùng với dịch vụ của các ngân hàng là tƣơng đƣơng nhau là môi trƣờng thuận lợi cho tiền điện tử phát triển ở Việt Nam hiện nay. Một số doanh nghiệp đã nghiên cứu và đƣa ra thị trƣờng thẻ thanh toán đa mục đích nhƣ để chơi game trực tuyến, sử dụng internet, mua hàng trực tuyến. Tuy nhiên với thói quen sử dụng tiền mặt của ngƣời dân, tính thuận tiện trong thanh toán đối với các giao dịch trực tuyến hàng ngày chƣa tốt nên lợi ích của tiền điện tử mang lại đối với ngƣời dân chƣa đủ lớn. 1.1.5.4. Yếu tố ảnh hưởng đến tiền điện tử tại Việt Nam - Cơ sở hạ tầng chƣa phát triển đồng đều, dẫn đến trƣờng hợp giao dịch điện tử nhƣng thanh toán trực tiếp, do các điểm thanh toán quá ít, dịch vụ đi kèm còn Số hóa bởi Trung tâm Học liệu – ĐHTN 12 nhiều hạn chế. Chƣa nâng cấp kịp thời và thƣờng xuyên cả về an toàn bảo mật cũng nhƣ nghiệp vụ. - Thói quen tiêu tiền mặt của ngƣời dân cũng là một yếu tố làm giảm tốc độ phát triển của tiền điện tử. Bên cạnh đó các tổ chức sử dụng tiền điện tử chƣa phổ biến rộng rãi đến ngƣời dân. - Tính bảo mật, riêng tƣ còn hạn chế do phụ thuộc phần lớn vào hệ thống công nghệ thông tin, do kinh nghiệm quản lý, năng lực triển khai hệ thống tiền điện tử còn nhỏ lẻ, chƣa đồng đều. - Pháp lý đối với vấn đề này chƣa bám sát với thực tế. Việc phòng chống tội phạm công nghệ cao cần sự phối hợp không chỉ của nhiều ngành mà còn của nhiều quốc gia khác nhau. 1.2. MÃ HÓA 1.2.1.Tổng quan về mã hóa dữ liệu Để đảm bảo An toàn thông tin lƣu trữ trong máy tính (giữ gìn thông tin cố định) hay đảm bảo An toàn thông tin trên đƣờng truyền tin (trên mạng máy tính), ngƣời ta phải “che giấu” các thông tin này. “Che” thông tin (dữ liệu) hay “mã hóa” thông tin là thay đổi hình dạng thông tin gốc, và ngƣời khác “khó” nhận ra. “Giấu” thông tin (dữ liệu) là cất giấu thông tin trong bản tin khác, và ngƣời khác cũng “khó” nhận ra. Vậy mã hóa là phƣơng pháp biến đổi thông tin (phim, ảnh, văn bản, ) từ dạng bình thƣờng sang dạng thông tin “khó” có thể hiểu đƣợc, nếu không có phƣơng tiện giải mã. Giải mã là chuyển thông tin đã đƣợc mã hóa về dạng thông tin ban đầu (thông tin gốc), đây là quá trình ngƣợc của mã hóa. 1.2.1.1. Hệ mã hóa Việc mã hóa phải theo quy tắc nhất định, quy tắc đó gọi là Hệ mã hóa. Hệ mã hóa đƣợc định nghĩa là bộ năm thành phần P, C, K, E, D, trong đó: P là tập hữu hạn các ký tự bản rõ Số hóa bởi Trung tâm Học liệu – ĐHTN 13 C là tập hữu hạn các ký tự bản mã K là tập hữu hạn các khóa E là tập các ánh xạ từ P vào C đƣợc gọi là hàm lập mã D là tập các ánh xạ từ C vào P đƣợc gọi là hàm giải mã. Với mỗi khóa lập mã ke  K, có hàm lập mã eke  E, eke: P  C Với mỗi khóa giải mã kd  K, có hàm giải mã dkd  D, dkd: C  P sao cho dkd(eke(x)) = x, x  P Ở đây x đƣợc gọi là bản rõ, eke(x) đƣợc gọi là bản mã. 1.2.1.2. Mã hóa và giải mã Bản rõ x Mã Bản mã e (x) Bản mã e (x) Bản mã e (x) Giải Bản rõ d (e (x)) hóa ke ke ke mã kd ke Ngƣời gửi G, có khóa ke Ngƣời nhận N, có khóa kd Tin tặc có thể lấy “trộm” bản mã eke(x) Hình 1.2 : Sơ đồ mã hóa Ngƣời gửi G muốn gửi bản tin x cho ngƣời nhận N. Để đảm bảo bí mật, G mã hóa bản tin x bằng khóa lập mã ke, thu đƣợc bản mã eke(x) và gửi cho N bản này. Trên đƣờng truyền, bản tin eke(x) có thể bị trộm, nhƣng cũng “khó” hiểu đƣợc bản tin gốc x nếu không có khóa giải mã kd. Khi nhận đƣợc bản mã eke(x) mà G gửi cho, N tiến hành giải mã bằng khóa kd, thu đƣợc bản tin gốc dkd(eke(x)) = x 1.2.2. Phân loại hệ mã hóa Có hai loại mã hóa chính: Mã hóa khóa đối xứng và mã hóa khóa công khai Hệ mã hóa khóa đối xứng: Là hệ mã hóa khóa bí mật vì phải giữ bí mật cả hai khóa. Hệ mã này có đặc điểm nếu biết đƣợc khóa lập mã thì “dễ” tính đƣợc khóa giải mã và ngƣợc lại. Vì vậy phải giữ bí mật cả hai khóa. Số hóa bởi Trung tâm Học liệu – ĐHTN 14 Trƣớc khi dùng hệ mã hóa khóa đối xứng, ngƣời gửi và ngƣời nhận phải thỏa thuận thuật toán mã hóa và khóa chung (khóa lập mã, khóa giải mã). Khóa phải tuyệt đối giữ bí mật. Khóa K Khóa K Bản rõ Mã hóa Bản mã Giải mã Bản rõ Hình 1.3: Sơ đồ mã hóa khóa đối xứng Đặc điểm của hệ mã hóa khóa đối xứng: - Độ an toàn của hệ mã phụ thuộc vào khóa. - Thuật toán mã hóa và giải mã đơn giản nên tốc độ mã hóa, giải mã rất nhanh. Thích hợp cho việc mã hóa những bản tin lớn. - Vấn đề thỏa thuận khóa và quản lý khóa chung là khó khăn và phức tạp. Khóa chung phải đƣợc gửi cho nhau trên kênh an toàn riêng, chi phí lớn. Chính vì vậy việc trao đổi khóa là tốn kém. - Phù hợp với môi trƣờng khóa chung dễ dàng trao đổi, truyền cho nhau khi có sự thay đổi khóa. Hệ mã hoá khóa công khai có khóa lập mã (ke) khác hóa giải mã (kd). Biết đƣợc khóa này cũng “khó” tính đƣợc khóa kia. Vì vậy chỉ cần bí mật khóa giải mã, còn khóa lập mã thì công khai. Khóa mã Khóa giải hóa Ke mã Kd Bản rõ Mã hóa Bản mã Giải mã Bản rõ Hình 1.4: Sơ đồ mã hóa

Các file đính kèm theo tài liệu này:

  • pdfnghien_cuu_mot_so_ky_thuat_an_toan_thong_tin_dung_trong_rut.pdf
Tài liệu liên quan