Tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử: ... Ebook Bảo mật và an toàn thông tin trong thương mại điện tử
84 trang |
Chia sẻ: huyen82 | Lượt xem: 1948 | Lượt tải: 2
Tóm tắt tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC THÁI NGUYÊN
KHOA CÔNG NGHỆ THÔNG TIN
-----------------------------------
VŨ ANH TUẤN
BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG
THƯƠNG MẠI ĐIỆN TỬ
LUẬN VĂN THẠC SĨ KHOA HỌC
CÔNG NGHỆ THÔNG TIN
Chuyên ngành : Khoa học máy tính
Mã số : 60 . 48 . 01
Người hướng dẫn khoa học:
PGS.TS NGUYỄN GIA HIỂU
THÁI NGUYÊN – 2008
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 2
Môc lôc
Néi dung Trang
Lêi nãi ®Çu................................................................................................
2
I. Nội dung nghiên cứu của đề tài ......................................................... 3
1. Mục tiêu và nhiệm vụ nghiên cứu của đề tài..................................... 3
2. ý nghĩa khoa học của đề tài................................................................. 3
3. Phƣơng pháp nghiên cứu.................................................................... 3
4. Phạm vi nghiên cứu............................................................................. 3
5. Các kết quả nghiên cứu dự kiến cần đạt đƣợc.................................. 4
II. Bố cục của luận văn............................................................................ 5
Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA
TMĐT
6
1. Khái niệm về TMĐT........................................................................... 6
2. Lợi ích của thƣơng mại điện
tử...........................................................
6
3. Các đặc trƣng cơ bản của TMĐT....................................................... 8
4. Các loại thị trƣờng điện tử.................................................................. 9
5. Các hệ thống thanh toán trong TMĐT.............................................. 10
6. Công nghệ thanh toán điện tử............................................................ 11
7. Quy trình thanh toán điện tử............................................................. 12
Ch•¬ng II : hÖ mËt m·, m· kho¸ ®èi xøng, m· kho¸ c«ng
khai, ch÷ ký sè
14
I. tæng quan vÒ c¸c hÖ mËt m·.................................................................. 14
1. Mật mã học cổ điển.............................................................................. 14
2. Mật mã học hiện đại............................................................................ 15
3. Thuật ngữ............................................................................................ 16
4. Tiêu chuẩn mật mã............................................................................. 17
ii. c¸c ph•¬ng ph¸p m· ho¸ 19
1. Mã hoá đối xứng (mã hoá khoá bí mật)............................................ 19
2. Mã hóa không đối xứng (Mã hóa khóa công khai)........................... 29
iii. CHỮ KÝ Sè 36
1. Chữ kí số.............................................................................................. 36
2. Phân loại các sơ đồ chữ kí số.............................................................. 37
3. Một số sơ đồ chữ ký cơ bản.................................................................
3.1. Sơ đồ chữ ký RSA.............................................................................
3.2. Sơ đồ chữ ký DSA (Digital Signature Standard).............................
40
40
42
4. Các sơ đồ chữ kí số khả thi................................................................. 46
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 3
Néi dung Trang
5. Các cách tấn công chữ kí điện tử........................................................
47
Ch•¬ng III : b¶o mËt vµ an toµn th«ng tin trong tm®t 49
i. vÊn ®Ò an toµn th«ng tin.......................................................................... 49
II. chøng chØ sè vµ c¬ chÕ m· ho¸..................................................... 51
1. Giới thiệu về chứng chỉ số................................................................... 51
2. Xác thực định danh............................................................................. 52
3. Chứng chỉ khóa công khai................................................................... 54
4. Mô hình CA.......................................................................................... 57
5. Một số giao thức bảo mật ứng dụng trong TMĐT........................... 57
CHƢƠNG IV: cµi ®Æt b¶o mËt vµ an toµn th«ng tin trªn
website mua b¸n c¸c linh kiÖn m¸y tÝnh trªn m¹ng internet
74
I. C¸c chøc n¨ng c¬ b¶n vµ ho¹t ®éng cña hÖ thèng website 74
1. Tổ chức dữ liệu.................................................................................... 74
2. Quản trị thông tin............................................................................... 75
3. Mã hóa RSA và áp dụng trong hệ thống........................................... 75
4. Thực hiện mua hàng........................................................................... 75
5.Cách thức thực hiện mã hóa và giải mã.............................................. 76
II. cµi ®Æt c¸c chøc n¨ng b¶o mËt vµ an toµn th«ng tin trªn
web site mua b¸n linh kiÖn m¸y tÝnh
77
1. Thủ tục đăng kí thành viên ................................................................ 77
2. Khách hàng lựa chọn và mua hàng trên website............................. 79
kÕt luËn................................................................................................. 82
Tµi liÖu tham kh¶o............................................................................. 83
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 4
lêi nãi ®Çu
Với sự phát triển mang tính toàn cầu của mạng Internet và TMĐT, con
ngƣời có thể mua bán hàng hoá và dịch vụ thông qua mạng máy tính toàn cầu
một cách dễ dàng trong mọi lĩnh vực thƣơng mại rộng lớn . Tuy nhiên đối
với các giao dịch mang tính nhạy cảm này cần phải có những cơ chế đảm bảo
bảo mật và an toàn vì vậy vấn đề bảo mật và an toàn thông tin trong thƣơng
mại điện tử là một vấn đề hết sức quan trọng. Đề tài sẽ đề cập đến các kỹ
thuật chính của lĩnh vực Bảo mật và an toàn thông tin trong thƣơng mại điện
tử.
Hiện nay vấn đề Bảo mật và an toàn thông tin trong TMĐT đã và đang
đƣợc áp dụng phổ biến và rộng rãi ở Việt Nam và trên phạm vi toàn cầu. Vì
thế vấn đề Bảo mật và an toàn đang đƣợc nhiều ngƣời tập trung nghiên cứu
và tìm mọi giải pháp để đảm bảo Bảo mật và an toàn cho các hệ thống thông
tin trên mạng. Tuy nhiên cũng cần phải hiểu rằng không có một hệ thống
thông tin nào đƣợc bảo mật 100% bất kỳ một hệ thống thông tin nào cũng có
những lỗ hổng về bảo mật và an toàn mà chƣa đƣợc phát hiện ra
Vấn đề bảo mật và an toàn thông tin trong TMĐT phải đảm bảo bốn yêu
cầu sau đây:
- Đảm bảo tin cậy : Các nội dung thông tin không bị theo dõi hoặc sao
chép bởi những thực thể không đƣợc uỷ thác.
- Đảm bảo toàn vẹn : Các nội dung thông tin không bị thay đổi bởi những
thực thể không đƣợc uỷ thác
- Sự chứng minh xác thực : Không ai có thể tự trá hình nhƣ là bên hợp
pháp trong quá trình trao đổi thông tin
- Không thể thoái thác trách nhiệm : Ngƣời gửi tin không thể thoái thác về
những sự việc và những nội dung thông tin thực tế đã gửi đi
Xuất phát từ những khả năng ứng dụng trong thực tế và những ứng dụng đã
có từ các kết quả của nghiên cứu trƣớc đây về lĩnh vực Bảo mật và an toàn
trong TMĐT. Đề tài sẽ đi sâu nghiên cứu các kỹ thuật và các phƣơng pháp
Bảo mật và an toàn thông tin trong thƣơng mại điện tử
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 5
I. Nội dung nghiên cứu của đề tài
1. Mục tiêu và nhiệm vụ nghiên cứu của đề tài
- Đề tài nghiên cứu các kỹ thuật và phƣơng pháp để thực hiện nhiệm vụ
Bảo mật và an toàn trong thƣơng mại điện tử, quá trình thực hiện và các
kiến thức khoa học và thuật toán liên quan nhƣ: Xác thực, Bảo mật, Bảo
toàn dữ liệu, Mật mã, Chữ ký số...
- Áp dụng các kết quả đã nghiên cứu để triển khai hệ thống Bảo mật và an
toàn trong TMĐT
2. ý nghĩa khoa học của đề tài
Áp dụng các kết quả đã nghiên cứu để xây dựng các kỹ thuật Bảo mật và
an toàn trong thƣơng mại điện tử với một số tính năng cơ bản nhƣ: Hệ
thống chứng thực, Các cơ chế phân bố khoá tự động, Mã hoá các thông
tin cần thiết, kỹ thuật ngăn ngừa các rui ro trong TMĐT.
Vấn đề Bảo mật và an toàn trên mạng là một trong những vấn đề nóng hổi
trong hoạt động thực tiễn của TMĐT, giải quyết tốt vấn đề bảo mật và an
toàn trong TMĐT sẽ mang lại ý nghĩa hết sức to lớn nhƣ: Làm cho khách
hàng tin tƣởng khi thực hiện các giao dịch trên mạng, và các nhà cung cấp
dịch vụ giao dịch trực tuyến cũng nhƣ các ISP đảm bảo đƣợc những thông
tin của khách hàng giao dịch trên mạng đƣợc an toàn.
3. Phương pháp nghiên cứu
Thu thập, phân tích các tài liệu và những thông tin liên quan đến đề tài.
Tìm hiểu các giao dịch trong thƣơng mại điện tử của một số Website
trong và ngoài nƣớc, thu thập các thông tin về bảo mật các giao dịch
thƣơng mại điện tử đã có.
Kết hợp các nghiên cứu đã có trƣớc đây của các tác giả trong nƣớc cùng
với sự chỉ bảo, góp ý của thầy hƣớng dẫn để hoàn thành nội dung nghiên
cứu
4. Phạm vi nghiên cứu
Các vấn đề về bảo mật chứng thực trong thƣơng mại điện tử Hàm băm,
các thuật toán mã hoá đối xứng DES và và bất đối xứng nhƣ mã khoá
công khai RSA, sử dụng chữ ký số DSA và RSA, các giao thức bảo mật
trên mạng nhƣ: SSL, TLS, SET...
Các kỹ thuật sử dụng và các phƣơng pháp kết hợp các hệ mật mã trong
bảo mật.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 6
Do có những hạn chế nhất định về cơ sở vật chất và điều kiện tiếp cận
thực tế với lĩnh vực an toàn và bảo mật trong thƣơng mại điện tử nên việc
cài đặt các ứng dụng chủ yếu mang tính thử nghiệm.
5. Các kết quả nghiên cứu dự kiến cần đạt được
Các vấn đề về bảo mật chứng thực trong thƣơng mại điện tử, sử dụng chữ
ký số, Các kỹ thuật sử dụng và các phƣơng pháp kết hợp các hệ mật mã
trong bảo mật.
Cài đặt thử nghiệm vấn đề về bảo mật và an toàn trong thƣơng mại điện tử
đã nghiên cứu.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 7
II, Bố cục của luận văn
Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA
TMĐT
1. Khái niệm về TMĐT
2. Lợi ích của thƣơng mại điện tử
3. Các đặc trƣng cơ bản của TMĐT
4. Các loại thị trƣờng điện tử.
5. Các hệ thống thanh toán trong TMĐT
6. Công nghệ thanh toán điện tử
7. Quy trình thanh toán điện tử
Chƣơng II : HỆ MẬT MÃ, MÃ KHOÁ ĐỐI XỨNG, MÃ KHOÁ CÔNG
KHAI, CHỮ KÝ Sè
I, Tổng quan về các hệ mật mã
1. Mã hoá khoá đối xứng: Thuật toán và quá trình tạo khoá
2. Mã hoá khoá công khai: Hoạt động, tạo khoá, mã hoá, giải mã,
chuyển đổi văn bản rõ
II, Chữ ký số
1. Khái niệm chữ ký số
2. Phân loại chữ ký số
3. Một số sơ đồ chữ ký số cơ bản
4. Đánh giá tính an toàn của các sơ đồ chữ ký số
Chƣơng III : BẢO MẬT VÀ AN TOÀN TRONG TMĐT
1. An toàn thông tin
2. Cơ chế mã hoá
3. Chứng thực số hoá
4. Một số giao thức bảo mật ứng dụng trong TMĐT
- Các vấn đề bảo mật ứng dụng WEB
- Cơ chế bảo mật SSL và TSL
- Cơ chế bảo mật SET
Chƣơng IV: CÀI ĐẶT VÀ PHÁT TRIỂN CÁC ỨNG DỤNG
- Cài đặt ứng dụng bảo mật và an toàn thông tin, chøng thùc sè ho¸, ch÷ ký
sè trên WEBSITE mua b¸n m¸y tÝnh trªn m¹ng INTERNET
Kết luận
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 8
ch•¬ng i : c¸c kh¸i niÖm vÒ TM§T vµ c¸c ®Æc tr•ng
cña TM§T
1. Khái niệm về TMĐT
Thƣơng mại điện tử là hình thức mua bán hàng hoá và dịch vụ thông qua
mạng máy rính toàn cầu. TMĐT theo nghĩa rộng đƣợc định nghĩa trong luật mẫu
về thƣơng mại điện tử của Uỷ ban LHQ về luật thƣơng mại quốc tế:
“Thuật ngữ thương mại cần được diễn giải theo nghĩa rộng để bao quát
các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay
không có hợp đồng. Các quan hệ mang tính chất thương mại bao gồm các giao
dịch sau đây: Bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao
đổi hàng hoá hoặc dịch vụ, thoả thuận phân phối, đại diện hoặc đại lý thương
mại, uỷ thác hoa hồng, cho thuê dài hạn, xây dựng các công trình, tư vấn, kỹ
thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác
hoặc tô nhượng, liên doanh các hình thức khác về hợp tác công nghiệp hoặc
kinh doanh, chuyên chở hàng hoá hay hành khách bằng đường biển, đường
không, đường sắt hoặc đường bộ”
Nhƣ vậy, có thể thấy rằng phạm vi của Thƣơng mại điện tử rất rộng, bao
quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ
chỉ là một trong hàng ngàn lĩnh vực áp dụng của Thƣơng mại điện tử. Theo
nghĩa hẹp TMĐT chỉ gồm các hoạt động thƣơng mại đƣợc tiến hành trên mạng
máy tính mở nhƣ Internet. Trên thực tế chính các hoạt động thƣơng mại thông
qua mạng Internet đã làm phát sinh thuật ngữ Thƣơng mại điện tử.
Thƣơng mại điện tử gồm các hoạt động mua bán hàng hoá và dịch vụ qua
phƣơng tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền
điện tử, mua bán cổ phiếu điện tử, vận đơn đơn điện tử, đấu giá thƣơng mại, hợp
tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới ngƣời
tiêu dùng và các dịch vụ sau bán hàng. Thƣơng mại điện tử đƣợc thực hiện đối
với cả thƣơng mại hàng hoá (ví dụ nhƣ hàng tiêu dùng, các thiết bị y tế chuyên
dụng) và thƣơng mại dịch vụ (ví dụ nhƣ dịch vụ cung cấp thông tin, dịch vụ
pháp lý, tài chính). Các hoạt động truyền thống nhƣ chăm sóc sức khoẻ, giáo
dục và các hoạt động mới (nhƣ siêu thị ảo). Thƣơng mại điện tử đang trở thành
một cuộc cách mạng làm thay đổi cách thức mua săm của con ngƣời.
2. Lợi ích của TMĐT
Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động của
thƣơng mại điện tử thì TMĐT đã mang lại cho con ngƣời và xã hội các lợi ích
sau:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 9
2.1. Thu thập được nhiều thông tin
TMĐT giúp cho mỗi cá nhân khi tham gia thu đƣợc nhiều thông tin về thị
trƣờng, đối tác, giảm chi phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất,
tạo dựng và củng cố quan hệ bạn hàng. Các doanh nghiệp nắm đƣợc các thông
tin phong phú về kinh tế thị trƣờng, nhờ đó có thể xây dựng đƣợc chiến lƣợc sản
xuất và kinh doanh thích hợp với xu thế phát triển của thị trƣờng trong nƣớc,
trong khu vực và quốc tế. Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp
vừa và nhỏ, hiện nay đang đƣợc nhiều nƣớc quan tâm coi là một trong những
động lực phát triển kinh tế.
2.2. Giảm chi phí sản xuất
TMĐT giúp giảm chi phí sản xuất, trƣớc hết là chi phí văn phòng. Các văn
phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyển
giao tài liệu giảm nhiều lần trong đó khâu in ấn gần nhƣ bỏ hẳn. Theo số liệu
của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 %.
Điều quan trọng hơn, với góc độ chiến lƣợc là các nhân viên có năng lực đƣợc
giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát
triển, sẽ đƣa đến những lợi ích to lớn lâu dài.
2.3. Giảm chi phí bán hàng, tiếp thị và giao dịch
TMĐT giúp giảm thấp chi phí bán hàng và chi phí tiếp thị. Bằng phƣơng
tiện Internet / Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách
hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ
có khuôn khổ giới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên
web đƣợc cập nhật thƣờng xuyên.
TMĐT qua Internet / Web giúp ngƣời tiêu thụ và các doanh nghiệp giảm
đáng kể thời gian và chi phí giao dịch. Thời gian giao dịch qua Internet chỉ bằng
7% thời gian giao dịch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao
dịch qua bƣu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ
bằng 10% đến 20% chi phí thanh toán theo lối thông thƣờng.
2.4. Xây dựng quan hệ đối tác
Thƣơng mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan
hệ giữa các thành viên tham gia quá trình thƣơng mại thông qua mạng Internet
các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục
với nhau, có cảm giác nhƣ không có khoảng cách về địa lý và thời gian nữa, nhờ
đó sự hợp tác và quản lý đều đƣợc tiến hành nhanh chóng một cách liên tục, các
bạn hàng mới, các cơ hội kinh doanh mới đƣợc phát hiện nhanh chóng trên
phạm vi toàn thế giới và có nhiều cơ hội để lựa chọn hơn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 10
2.5. Tạo điều kiện sớm tiếp cận kinh tế tri thức
Trƣớc hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở
cho phát triển kinh tế tri thức. Lợi ích này có một ý nghĩa lớn đối với các nƣớc
đang phát triển, nếu không nhanh chóng tiếp cận nền kinh tế tri thức thì sau
khoảng một thập kỷ nữa nƣớc đang phát triển có thể bị bỏ rơi hoàn toàn. Khía
cạnh lợi ích này mang tính chiến lƣợc công nghệ và tính chính sách phát triển
cần cho các nƣớc công nghiệp hoá.
3. Các đặc trƣng cơ bản của TMĐT
So với các hoạt động thƣơng mại truyền thống, TMĐT có một số các đặc
trƣng cơ bản sau:
3.1. Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc
trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước.
Trong thƣơng mại truyền thống các bên thƣờng gặp gỡ nhau trực tiếp để
tiến hành giao dịch. Các giao dịch đƣợc thực hiện chủ yếu theo nguyên tắc vật lý
nhƣ chuyển tiền, séc, hoá đơn, vận đơn, gửi báo cáo. Các phƣơng tiện viễn
thông nhƣ: Fax, telex,... chỉ đƣợc sử dụng để chao đổi số liệu kinh doanh. Tuy
nhiên việc sử dụng các phƣơng tiện điện tử trong thƣơng mại truyền thống chỉ
để chuyển tải thông tin một cách trực tiếp giữa 2 đối tác của cùng một giao dịch.
Thƣơng mại điện tử cho phép tất cả mọi ngƣời cùng tham gia từ các vùng
xa xôi hẻo lánh đến các khu vực đô thị rộng lớn, tạo điều kiện cho tất cả mọi
ngƣời ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trƣờng giao
dịch toàn cầu và không đòi hỏi nhất thiết phải có mối quen biết với nhau.
3.2. Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của
khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong
một thị trường không có biên giới (thị trường thống nhất toàn cầu). Thương
mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu.
Thƣơng mại điện tử càng phát triển thì máy tính cá nhân trở thành cửa sổ
cho doanh nghiệp hƣớng ra thị trƣờng trên khắp thế giới. Với TMĐT một doanh
nhân dù mới thành lập đã có thể kinh doang ở Nhật Bản, Đức và Chi lê..., mà
không hề phải bƣớc ra khỏi nhà, một công việc trƣớc kia phải mất nhiều năm.
3.3. Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ
thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ
mạng, các cơ quan chứng thực.
Trong TMĐT ngoài các chủ thể tham gia quan hệ giao dịch giống nhƣ giao dịch
thƣơng mại truyền thống đã xuất hiện một bên thứ 3 đó là nhà cung cấp dịch vụ
mạng, các cơ quan chứng thực... là những ngƣời tạo môi trƣờng cho các giao
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 11
dịch thƣơng mại điện tử. Nhà cung cấp dịch vụ mạng và cơ quan chứng thực có
nhiệm vụ chuyển đi, lƣu giữ các thông tin giữa các bên tham gia giao dịch
TMĐT, đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch
TMĐT.
3.4. Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương
tiện để trao đổi dữ liệu, còn đối với TMĐT thì mạng lưới thông tin chính là thị
trường
Thông qua TMĐT nhiều loại hình kinh doanh mới đƣợc hình thành. Ví
dụ: Các dịch vụ gia tăng giá trị trên mạng máy tính hình thành nên các nhà trung
gian ảo làm các dịch vụ môi giới cho giới kinh doanh và tiêu dùng, các siêu thị
ảo đƣợc hình thành để cung cấp hàng hoá và dịch vụ trên mạng máy tính. Các
chủ cửa hàng thông thƣờng ngày nay cũng đang đua nhau đƣa thông tin lên Web
để tiến tới khai thác mảng thị trƣờng rộng lớn trên Web bằng cách mở cửa hàng
ảo.
4. Các loại thị trƣờng điện tử
Tuỳ thuộc vào đối tác kinh doanh mà ngƣời ta gọi đó là thị trƣờng B2B,
B2C, C2B hay C2C. Thị trƣờng mở là những thị trƣờng mà tất cả mọi ngƣời có
thể đăng ký và tham gia. Tại một thị trƣờng đóng chỉ có một số thành viên nhất
định đƣợc mời hay cho phép tham gia. Một thị trƣờng ngang tập trung vào một
quy trình kinh doanh riêng lẻ nhất định, ví dụ nhƣ lĩnh vực cung cấp: nhiều
doanh nghiệp có thể từ các nghành khác nhau tham gia nhƣ là ngƣời mua và liên
hệ với một nhóm nhà cung cấp. Ngƣợc lại thị trƣờng dọc mô phỏng nhiều quy
trình kinh doanh khác nhau của một nghành duy nhất hay một nhóm ngƣời dùng
duy nhất.
Sau khi làn sóng lạc quan về TMĐT của những năm 1990 qua đi, thời
gian mà đã xuất hiện nhiều thị trƣờng điện tử, ngƣời ta cho rằng sau một quá
trình tập trung chỉ có một số ít thị trƣờng lớn là sẽ tiếp tục tồn tại. Thế nhƣng
bên cạnh đó là ngày càng nhiều những thị trƣờng chuyên môn nhỏ.
Ngày nay tình hình đã khác hăn đi, công nghệ để thực hiện một thị trƣờng
điện tử đã rẻ đi rất nhiều. Thêm vào đó là xu hƣớng kết nối nhiều thông tin chào
hàng khác nhau thông qua các giao diện lập trình ứng dụng để thành lập một thị
trƣờng chung có mật độ chào hàng cao. Ngoài ra các thị trƣờng độc lập trƣớc
đây còn đƣợc tích hợp ngày càng nhiều bằng các giải pháp phần mềm cho một
cổng Web toàn diện.
Thƣơng mại điện tử đƣợc phân loại theo tƣ cách của ngƣời tham gia giao
dịch nhƣ sau:
• Ngƣời tiêu dùng:
C2C (Consumer – To – Consumer): Ngƣời tiêu dùng với ngƣời tiêu dùng
C2B (Consummer – To – Business): Ngƣời tiêu dùng với doanh nghiệp
C2G (Consumer – To – Government): Ngƣời tiêu dùng với chính phủ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 12
• Doanh nghiệp:
B2C (Bussiness – To – Consumer): Doanh nghiệp với ngƣời tiêu dùng
B2B (Bussiness – To – Business ): Doanh nghiệp với doanh nghiệp
B2G (Bussiness – To – Government): Doanh nghiệp với chính phủ
B2E (Bussiness – To – Employee): Doanh nghiệp với nhân viên
• Chính phủ
G2C (Government – To – Consumer): Chính phủ với ngƣời tiêu dùng
G2B (Government – To – Business): Chính phủ với doanh nghiệp
G2G (Government – To – Government): Chính phủ với chính phủ
5. Các hệ thống thanh toán trong TMĐT
Thanh toán điện tử là một khâu quan trọng trong TMĐT. Hiểu một cách
khái quát thì thanh toán điện tử là một quá trình thanh toán tiền giữa ngƣời mua
và ngƣời bán. Điểm cốt lõi của vấn đề này là việc ứng dụng các công nghệ thanh
toán tài chính (ví dụ nhƣ mã hoá số thẻ tin dụng, séc điện tử, hoặc tiền điện tử)
giữa ngân hàng, nhà trung gian và các bên tham gia hoạt động thƣơng mại. Các
ngân hàng và tổ chức tín dụng hiện nay sử dụng các phƣơng pháp này nhằm
mục đích nâng cao hiệu quả hoạt động trong bối cảnh phát triển của nền kinh tế
số, với một số lợi ích nhƣ giảm chi phí xử lý, chi phí công nghệ và tăng cƣờng
thƣơng mại trực tuyến.
Thanh toán điện tử là việc trả tiền thông qua các thông điệp điện tử thay
vì trao tay trực tiếp. Việc trả lƣơng bằng cách chuyển tiền vào tài khoản ngân
hàng, trả tiền mua hàng bằng thẻ tín dụng, bằng thẻ mua hàng... thực chất cũng
là những ví dụ đơn giản của thanh toán điện tử.
Hình thức thanh toán điện tử có một số hệ thống thanh toán cơ bản sau:
Thanh toán bằng thẻ tín dụng: Thực tế cho thấy, khách hàng trên mạng không
thể trả tiền hoặc séc để thanh toán. Điều cần thiết là Website bán hàng cần phải
tạo ra đƣợc các hình thức thanh toán trên mạng. Hệ thống thanh toán phổ biến
hiện nay trên mạng là thanh toán bằng thẻ tín dụng. Một số thẻ tín dụng phổ biến
hiện nay là Visa, MasterCard, American Express, JBC. Để tiến hành giao dịch
thẻ tín dụng từ Website bán hàng cần thiết phải liên kết tới một dịch vụ tiến
hành thanh toán thẻ tín dụng trên mạng nhƣ CyberCard hay PaymentNet,... Dịch
vụ thanh toán này cung cấp phần mềm định vị trên máy chủ dịch vụ an toàn tới
dịc vụ thực hiện thanh toán. Dịch vụ thực hiện thanh toán xác nhận thông qua
thẻ tín dụng để có thể hoàn tất giao dịch với khách hàng. Sau đó chuyển đến bộ
phận xác nhận. Dịch vụ thanh toán bằng thẻ tín dụng đảm bảo rằng tiền đƣợc
thực hiện ở tài khoản ngân hàng. Để tiến hành sử dụng dịch vụ thanh toán bằng
thẻ tín dụng trên Website cần đăng ký một tài khoản giao dịch Internet với ngân
hàng (acquier). Hiện tại không phải ngân hàng nào cũng cung cấp dịch vụ tài
khoản giao dịch trên Internet. Tài khoản giao dịch Internet đƣợc thiết kế cho
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 13
phép nhà kinh doanh thực hiện giao dịch thanh toán qua thẻ tín dụng trên
Internet thông qua dịch vụ thẻ tín dụng trên mạng.
Thanh toán vi điện tử (Electronic Cash MicroPayment): Đƣợc sử dụng cho
những giao dịch quá nhỏ đối với yêu cầu thanh toán qua thẻ tín dụng (dƣới 10
USD). Micropayment vi thanh toán đƣợc duy trì qua biên nhận điện tử, khách
hàng mở tài khoản với máy cung cấp biên nhận điện tử tự động. Máy cung cấp
biên nhận điện tử tự động. Máy cung cấp biên nhận điện tử tự động sẽ cấp cho
khách hàng tiền kỹ thuật số (digital money), do đó khách hàng có thể mua trực
tiếp từ Website. Trƣớc khi khách hàng thanh toán tiền kỹ thuật số đến ngƣời
bán, nó xác nhận cả ngƣời mua và máy bán hàng tự động để đảm bảo rằng tiền
đi đến đúng nơi cung cấp tiền điện tử Cyberrcash.
Chi phiếu điện tử (Electronic Check) : Đây là một dịch vụ cho phép khách hàng
trực tiếp chuyển tiền điện tử từ ngân hàng đến ngƣời bán hàng. Chi phiếu điện tử
đƣợc sử dụng thanh toán hoá đơn định kỳ. Các công ty nhƣ điện, nƣớc, ga, điện
thoại... đƣa ra hình thức thanh toán này để cải thiện tỉ lệ thu, giảm chi phí và dễ
dàng hơn cho khách hàng trong việc quản lý hoá đơn. Từ triển vọng của khách
hàng khi một khách hàng đăng kí với nhà cung cấp thì khách hàng sẽ nhận đƣợc
thông tin thanh toán (số tài khoản, ngân hàng...). Khách hàng với tên đăng kí sử
dụng và mật khẩu họ có thể truy nhập vào Website của công ty phát hành chi
phiếu để kiểm tra số dƣ của họ. Khách hàng cũng có thể nhận những hoá đơn
điện tử và gửi thƣ điện tử thông báo đã nhận đƣợc hoá đơn điện tử từ công ty
cung cấp gửi đến. Khi khách hàng truy cập hoá đơn của mình trên Internet sau
khi xem xét tất cả các hoá đơn khách hàng có thể chọn để thanh toán từ tiền của
mình trong tài khoản tại ngân hàng. Quá trình thanh toán đƣợc thực hiện thông
qua dịch vụ nhƣ dịch vụ thanh toán chi phiếu điện tử trên Cybercash’s Paynow
(thanh toán nhanh) của Cybercash.
Thƣ điện tử (Email): Có thể dùng để cho phép đối tác kinh doanh nhận
thanh toán từ tài khoản khách hàng hoặc để lập tài khoản với nhà cung cấp.
Với những lợi ích nêu trên, tăng cƣờng khả năng thanh toán điện tử sẽ là
một giải pháp cắt giảm đáng kể các chi phí hoạt động. Theo tính toán của các
ngân hàng thì việc giao dịch bằng tiền và séc rất tốn kém, do đó họ tìm kiếm các
giải pháp khác với chi phí thấp hơn. Hiện nay ở Mỹ thì các giao dịch bằng tiền
mặt chiếm khoảng 54% và bằng séc là 29% các giao dịch điện tử chiếm khoảng
17%. Dự báo con số này sẽ tăng lên trong thời gian tới.
6. Công nghệ thanh toán điện tử
Các công nghệ thanh toán điện tử bắt đầu phát triển với dịch vụ chuyển
tiền bằng điện tử ví dụ nhƣ dịch vụ chuyển tiền của Western Union giúp một cá
nhân có thể chuyển tiền cho ngƣời nào đó ở địa điểm khác thông qua lệnh
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 14
chuyển tiền của họ từ một quầy cung cấp dịch vụ của Western Union. Tiền chỉ
có thể chuyển giao cho khách hàng sau khi đáp ứng đƣợc các yêu cầu nhận điện.
Trong trƣờng hợp này, không có sự tham gia của bất kỳ ngân hàng nào cả,
Western chỉ đơn thuần là một công ty điện tín. Sự an toàn phụ thuộc vào khả
năng tài chính của hãng, và sự an toàn của dịch vụ này đƣợc kiểm soát qua các
thông điệp gửi đi trong từng giao dịch riêng lẻ. Các thông tin này không đƣợc
công bố rộng rãi mà chỉ khách hàng và ngƣời nhận đƣợc biết khoản tiền đƣợc
chuyển. Chữ ký đƣợc sử dụng nhƣ một công cụ xác nhận nhằm mục đích cho
biết quá trình chuyển giao đã hoàn thành khi khách hàng nhận đƣợc tiền.
Các sáng kiến trong thanh toán điện tử hiện nay đều nhằm mục đích tạo ra
một cách thức đơn giản, thuận lợi cho khách hàng trong giao dịch thanh toán và
mang tính tức thời. Trong một giao dịch điện tử, các khâu kiểm tra hối đoái, tiến
hành thủ tục thanh toán sẽ diễn ra ngay lập tức khi khách hàng gửi lệnh yêu cầu
chuyển tiền để thanh toán cho một giao dịch mua bán trên mạng.
Hệ thống thanh toán điện tử dành cho khách hàng phát triển rất nhanh chóng.
7. Quy trình thanh toán điện tử
Một quy trình thanh toán điện tử bao gồm có 6 công đoạn cơ bản sau:
1. Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tin
thanh toán và địa chỉ liên hệ vào đơn đặt hàng (Order Form) của Website bán
hàng. Doanh nghiệp nhận đƣợc yêu cầu mua hàng hoá hay dịch vụ của khách
hàng và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nhƣ mặt hàng đã
chọn, địa chỉ giao nhận và số phiếu đặt hàng…
2. Khách hàng kiểm tra lại các thông tin và click chọn “đặt hàng”, để gởi
thông tin trả về cho Doanh nghiệp.
3. Doanh nghiệp nhận và lƣu trũ thông tin đặt hàng đồng thời chuyển tiếp
thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ…) đã đƣợc mã hoá
đến máy chủ (Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp dịch vụ xử
lý thẻ trên mạng Internet. Với quá trình mã hoá các thông tin thanh toán của
khách hàng đƣợc bảo mật an toàn nhằm chống gian lận trong các giao dịch
(ngay cả doanh nghiệp sẽ không biết đƣợc thông tin về thẻ tín dụng của khách
hàng).
4. Khi Trung tâm xử lý thẻ tín dụng nhận đƣợc thông tin thanh toán, sẽ giải
mã thông tin và xử lý giao dịch đằng sau tƣờng lửa (Fire Wall) và tách rời mạng
Internet (off the Internet), nhằm mục đích bảo mật tuyệt đối cho các giao dịch
thƣơng mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến
Ngân hàng của Doanh nghiệp (Acquirer) theo một đƣờng dây thuê bao riêng
(một đƣờng truyền số liệu riêng biệt).
5. Ngân hàng của Doanh nghiệp gởi thông điện điện tử yêu cầu thanh toán
(authorization request) đến ngân hàng hoặc Công ty cung cấp thẻ tín dụng của
khách hàng (Issuer). Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc từ chối
thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 15
6. Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những
thông tin phản hồi trên đến doanh nghiệp và tuỳ theo đó doanh nghiệp thông báo
cho khách hàng đƣợc rõ là đơn đặt hàng sẽ đƣợ._.c thực hiện hay không.
ch•¬ng II : hÖ mËt m·, m· kho¸ ®èi xøng m· kho¸
c«ng khai, ch÷ ký sè
i. tæng quan vÒ c¸c hÖ mËt m·
Mật mã học là một linh vực liên quan vói các kỹ thuật ngôn ngữ và toán
học để đảm bảo an toàn thông tin, cụ thể là thông tin liên lạc. Về phƣơng diện
lịch sử, mật mã học gắn liền với quá trình mã hóa; điều này có nghĩa là nó gắn
với các cách thức để chuyển đổi thông tin từ dạng này sang dạng khác nhƣng ở
đây là từ dạng thông thƣòng có thể nhận thức đƣợc thành dạng không thể nhận
thức đƣợc, làm cho thông tin trở thành dạng không thể đọc đƣợc nếu nhƣ không
có các kiến thức bí mật. Quá trình mã hoá đƣợc sử dụng chủ yếu để đảm bảo
tính bí mật của các thông tin quan trọng , chẳng hạn trong công tác tình báo,
quân sự hay ngoại giao cũng nhƣ các bí mật về kinh tế, thƣơng mại. Trong
những năm gần đây, lĩnh vực hoạt động củ mật mã hoá đã dƣợc mở rộng; mật
mã hoá hiện đại cung cấp cơ chế nhiều hoạt đông hơn là chỉ duy nhất việc giữ bí
mật và có một loạt các ứng dụng nhƣ : chứng thực khoá công khai, chữ ký số,
bầu cử điện tử hay tiền điện tử. Ngoài ra những ngƣời không có nhu cầu thiết
yếu đặc biệt về tính bí mật cũng sử dụng các công nghệ mật mã hoá, thông
thƣờng đƣợc thiết kế và tạo lập sẵn trong các cơ sở hạ tầng của công nghệ tính
toán và liên lạc viễn thông.
Mật mã học là một nghành có lịch sử từ hàng nghìn năm nay. Trong phần
lớn thời gian phát triển của mình ( ngoại trừ vài thập kỉ trở lại đây ), lịch sử mật
mã học chính là lịch sử của những phƣơng pháp mật mã học cổ điển – các
phƣơng pháp mật mã hoá với bút và giấy, đôi khi có hỗ trợ từ những dụng cụ cơ
khí đơn giản. Vào đầu thế kỉ 20, sự xuất hiện của các cơ cấu cơ khí và điện cơ,
chẳng hạn nhƣ máy Enigma, đã cung cấp những những cơ chế phức tạp và hiệu
quả hơn cho việc mật mã hoá. Sự ra đời và phát triển mạnh mẽ của ngành điên
tử và máy tính trong thập niên gần đây đã tạo điều kiện để mạt mã học phát triển
nhảy vọt lên một tầm cao mới.
1. Mật mã học cổ điển
Những bằng chứng sớm nhất về sử dụng mật mã học là các chữ tƣơng hình
không tiêu chuẩn tìm thấy trên các bức tƣờng Ai Cập cổ đại (cách đây khoảng
4500). Những kí hiệu tỏ ra không phải để phục vụ mục đích truyền thông tin bí
mật mà có vẻ nhƣ là nhằm mục đích gợi nên những điều thần bí, trí tò mò hoặc
thậm trí để tạo sự thích thú cho ngƣời xem. Ngoài ra còn rất nhiều ví dụ khác về
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 16
những ứng dụng của mật mã học hoặc là những điều tƣơng tự. Muộn hơn, các
học giả về tiếng Hebrew có sử dụng một phƣng pháp mã hoá thay thế bảng chữ
cái đơn giản chẳng hạn nhƣ mật mã hoá Atbash ( khoảng năm 500 đến năm
600). Mật mã học từ lâu đã đƣợc sử dụng trong các tác phẩm tôn giáo để che
giấu thông tin với chính quyền hoặc nền văn hoá thống trị. Ví dụ tiêu chuẩn nhất
là “số chỉ kẻ thù của chúa” (Tiếng Anh number of the beast) xuất hiện trong
kinh Tân Ƣớc của cơ đốc giáo. ở đây số 666 có thể là cách mã hoá để chỉ đến đế
chế La Mã hoặc là đến hoàng đế nero của đế chế này. Việc không đề cập trực
tiếp sẽ đỡ gây rắc rối khi chính sách bị chính quyền chú ý. Đối với cơ độc giáo
chính thống thi việc che dấu này kết thúc khi constantine cải đạo và chấp nhận
đạo cơ đốc là chính thống của đế chế.
Hình 1: Scytale, một thiết bị mật mã hóa cổ đại
Ngƣời Hy Lạp cổ đại cũng đƣợc biết đến là sử dụng các kỹ thuật mật mã (chẳng
hạn nhƣ mật mã scytale ). Cũng có những bằng chứng tỏ ngƣời La Mã nắm đƣợc
các kĩ thuật mật mã (mật mã caesar và các biện thể). Thậm trí đã có những đề
cập đến một cuốn sách nói về mật mã trong quân đội La Mã, tuy nhiên cuốn
sách này đã thất truyền.
2. Mật mã học hiện đại
Nhiều ngƣời cho rằng kỷ nguyên của mật mã học hiện đại đƣợc bắt đầu
với Claude Shannon, ngƣời đƣợc coi là cha đẻ của mật mã toán học. Năm 1949
ông dã công bố bài lý thuyết về truyền trhống trong các hệ thống bảo mật
(Communication Theory of secrecy system ) trên tập san bell system technical
journal _ tập san kỹ thuật của hệ thống bell_ và một thời gian ngắn sau đó, trong
cuốn mathematical theory of communication _ lý thuyết toán học trong truyền
thông _ cùng với tác giả warren weaver. Những công trình này, cùng với nhũng
công trình nghiên cứu khác của ông về lí thuyết về tin học và truyền thông (
information and communication theory), đã thiết lập một nền tảng lí thuyết cơ
bản cho mật mã học và thám mã học. Với ảnh hƣởng đó, mật mã học hầu nhƣ bị
thâu tóm bởi các cơ quan truyền thông mật của chính phủ, chẳng hạn nhƣ NSA,
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 17
và biến mất khỏi tầm hiểu biết của công chúng. Rất ít các công trình đƣợc tiếp
tục công bố, cho đến thời kì giữa thập niên 1970, khi mọi sự đƣợc thay đổi.
3. Thuật ngữ
Việc nghiên cứu tìm các phƣơng thức để phá vỡ việc sử dụng mật mã
đƣợc gọi là phân tích mật mã, hay phá mã. Mật mã hoá và phân tích mật mã đôi
khi đƣợc nhóm lại cùng nhau dƣới tên gọi chung mật mã học, nó bao bọc toàn
bộ các chủ đề liên quan đến mật mã. Trong thực tế, thuật ngữ mật mã hoá thông
thƣờng đƣợc sử dụng để nói đến ngành này một cách tổng thể.
Trong một số ngôn ngữ nhƣ tiếng anh nó là cryptography, có nguồn gốc
từ tiếng Hy Lạp kryptos tức là "ẩn" và graphein, "viết ra". Việc sử dụng từ
"cryptography" lần đầu tiên có lẽ diễn ra trong bài diễn thuyết của Sir Thomas
Browne năm 1658 có tên gọi The garden of cyrus: "The strange cryptography of
gaffarel in his starrie booke of heaven".
Mật mã hoá là quá trình chuyển đổi các thông tin thông thƣờng (văn bản
thƣờng hay văn bản rõ ) thành dạng không đọc trực tiếp đƣợc, là văn bản mã.
Giải mật mã, là quá trình ngƣợc lại, phục hồi lại văn bản thƣơng từ văn bản mã.
Mật mã là thuật toán để mật mã hoá và giải mật mã. Hoạt động chính xác của
mật mã thông thƣờng đựoc kiểm soát bởi khoá _ một đoạn thông tin bí mật nào
đó cho phép tuỳ biến cách thức tạo ra văn bản mã. Các giao thức mật mã chỉ rõ
các chi tiết về việc mật mã (và các nền tảng mật mã hoá khác) đƣợc sử dụng nhƣ
thế nào để thu đƣợc các nhiệm vụ cụ thể. Một bộ các giao thức, thuật toán, cách
thức quản lý khoá và các hành động quy định trứơc bởi ngƣời sử dụng thi hành
cùng nhau nhƣ một hệ thống tạo ra hệ thống mật mã.
Trong cách nói thông thƣờng, "mã" bí mật thông thƣờng đƣợc sử dụng
đồng nghĩa với "mật mã". Trong mật mã học, thuật ngữ này có ý nghĩa kỹ thuật
đặc biệt: Các mã là các phƣơng pháp lịch sử tham gia vào việc thay thế các đơn
vị văn bản lớn hơn, thông thƣờng là các từ hay câu (ví dụ, "qua tao" thay thế cho
"tan cong luc rang dong"). Ngƣợc lại, mật mã hoá cổ điển thong thƣờng thay thế
hoạc sắp xếp lại các chữ riêng biệt (hoặc một nhóm nhỏ các chữ cái) ví dụ, "tan
cong luc rang dong" trở thành "ubo dpoh mvd sboh epoh" bằng cách thay thế.
Thám mã: Mục tiêu của thám mã (phá mã ) là tìm những điểm yếu hoặc
không an toàn trong phƣơng thứ mật mã hoá. Thám mã có thể đƣợc thực hiện
bởi những kẻ tấn công ác ý, nhằm làm hỏng hệ thống; hoặc bởi những ngƣời
thiết kế ra hệ thống (hoặc những ngƣời khác ) với ý định đánh giá độ an toàn của
hệ thống.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 18
Có rất nhiều loại hình tấn công thám mã, và chung có thể đƣợc phân loại
theo nhiều cách khác nhau. Một trong những đặc điểm liên quan là những ngƣời
tấn công có thể biết và làm những gì để hiểu đƣợc thông tin bí mật. Ví dụ,
những ngƣời thám mã chỉ truy cập đƣợc văn bản mã hoá không ? hoặc thậm chí:
Anh ta có chọn lựa các văn bản ngẫu nhiên để mã hoá ? Các kịch bản này tƣơng
ứng với tấn công văn bản mã, tấn công biết bản rõ và tấn công chọn lựa bản rõ.
Trong công việc thám mã thuần tuý sử dụng các điểm yếu trong các thuật
toán mật mã hoá, những cuộc tấn công khác lại dựa trên sự thi hành, đƣợc biết
đến nhƣ là các tấn công side _channel. Nếu ngƣời thám mã biết lƣợng thời gian
mà thuật toán cần để mã hoá một lƣợng bản rõ nào đó, anh ta có thể sử dụng
phƣơng thức tấn công thời gian để mã hoá mà nếu không thì chúng chịu đƣợc
phép thám mã. Ngƣời tấn công cũng có thể nghiên cứu các mẫu và độ dài của
thông điệp để rút ra các thông tin hữu ích cho việc phá mã; điều này đƣợc biết
đến nhƣ là thám mã lƣu thông.
Nếu nhƣ hệ thống mật mã sử dụng khoá xuất phát từ mật khẩu, chúng có
nguy sơ bị tấn công kiểu duyệt toàn bộ (brute force ), vì kích thƣớc không đủ lớn
cũng nhƣ thiếu tính ngẫu nhiên của mật khẩu. Đây là điểm yếu chung trong hệ
thông mật mã. Đối với các ứng dụng mạng, giao thức thoả thuận khoá chứng
thực mật khẩu có thể giảm đi một số các giới hạn của mật khẩu. Đối với các ứng
dụng độc lập, hoặc là biện pháp an toàn để lƣu trữ các dữ liệu chứa mật khẩu
và/hoặc các cụm từ kiểm soat truy cập thông thƣờng đƣợc gợi ý nên sử dụng.
Thám mã tuyến tính và Thám mã vi phân là các phƣơng pháp chung cho
mật mã hoá khoa đối xứng. Khi mật mã hoá dựa vào các vấn đề toán tin nhƣ độ
khó NP, giống nhƣ trong trƣờng hợp của thuật toán khoá đối xứng, các thuật
toán nhƣ phân tích ra thừa số nguyên tố trở thành công cụ tiềm năng cho thám
mã.
4. Tiêu chuẩn mật mã
Thời kỳ giữa thập niên kỷ 1970 đƣợc chứng kiến hai tiến bộ cong chính
lớn ( công khai ). Đầu tiên là sự công đề xuất tiêu chuẩn mật mã hoá dữ liệu
(data encryption standard) trong "công báo liên bang " ( federal register ) ở nƣớc
Mỹ vào ngày 17 tháng 3 năm 1975. Với đề cử của cục tiêu chuẩn quốc gia
(national bureau of standards _NBS ), (hiện là NIST ), bản đề xuất DES đƣợc
công ty IBM ( international business machines ) đệ trình trở thành một trong
những cố gắng trong việc xây dựng các công cụ tiện ích cho thƣơng mại,nhƣ
cho các nhà băng và cho các tổ chức tài chính lớn. Sau nhƣng chỉ đạo và thay
đổi của NSA, vào năm 1977, nó đã đƣợc chấp thuận và đƣợc phát hành dƣới cái
tên bản công bố về tiêu chuẩn xử lý thông tin của liên bang (federal information
processing standard publication _FIPS) (phiên bản hiện nay là FIPS 46_3). DES
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 19
là phƣơng thức mật mã công khai đầu tiên đƣợc một cơ quan quốc gia nhƣ NSA
"tôn sùng". Sự phát hành bản đặc tả của nó bởi NBS đã khuyến khích sự quan
tâm chú ý của công chúng cũng nhƣ của các tổ chức nghiên cứu về mật mã học.
Năm 2001, DES đã chính thức đƣợc thay thế bởi AES ( viết tắt của advanced
encryption standard _ tiêu chuẩn mã hoá tiên tiến) khi NIST công bố phiên bản
FIPF 197. Sau một cuộc thi tổ chức công khai, NIST đã chọn Rijndael, do hai
nhà mật mã ngƣời Bỉ đệ trình, và nó trở thành AES và một số biến thể của nó
nhƣ tam phần DES (Triple Des), vẫn còn đƣợc sử dụng, do trƣớc đây nó đƣợc
gắn liền với nhiều tiêu chuẩn quốc gia và các tổ chức. với chiều dài khoá chỉ là
56 bit, nó đã đƣợc chứng minh là không đủ sức chống lại những tấn công kiểu
vét cạn (brute force attack- tấn công dùng bạo lực). Một trong những kiểu tấn
công loại này đƣợc thực hiện bởi nhóm “ nhân quyền cyber” (cyber civil- rights
group) tên là tổ chức tiền tuyến điện tử (electronic frontier foundation) vào năm
1997, và đã phá mã thành công trong 56 tiếng đồng hồ- câu truyện này đƣợc
nhắc đến trong cuốn cracking DES( phá vỡ DES), đƣợc suất bản bởi “ O’reilly
and Associates”. Do kết quả này mà hiện nay việc sử dụng phƣơng pháp mật mã
hoá DES nguyên dạng, có thể đƣợc khẳng định một cách không nghi ngờ, là một
việc làm mạo hiểm, không an toàn và những thông điệp ở dƣới sự bảo vệ của
những hệ thống mã hoá trƣớc đây dùng DES, cũng nhƣ tất cả các thông điệp
đƣợc truyền gửi từ năm 1976 trở đi sử dụng DES, đều ở tronh tình trạng rất đáng
lo ngại. Bất chấp chất lƣợng vốn có của nó, một số sự kiện sảy ra trong năm
1976, đặc biệt là sự kiện công khai nhất của Whitfield Diffie, chỉ ra rằngchiều
dài khoá mà DES sử dụng (56-bit) là một khoá quá nhỏ). Đã có một số nghi ngờ
xuất hiện nói rằng mọt số các tổ chức của chính phủ, ngay tại thời điểm bấy giờ,
cũng đã có đủ công suất máy tính để phá mã các thông diệp dùng DES; rõ ràng
là những cơ quan khác cũng đã có khả năng làm việc nay rồi.
Mật mã hoá đƣợc sử dụng để đảm bảo an toàn cho thông tin liên lạc.Các
thuộc tính đƣợc yêu cầu là:
Tính bí mật: chỉ có ngƣời nhận đã xác thực có thể lấy ra đƣợc nội dung của
thông tin chứa đựng trong dạng đã mật mã hoá của nó. Nói khác đi, nó không
thẻ cho phép thu lƣợm đƣợc bất kì thông tin đáng kể nào về nội dung của
thông điệp.
Nguyên vẹn: ngƣời nhân cần có khả năng xác định đƣợc thông tin có bị thay
đổi trong quá trình truyền hay không.
Tính xác thực: ngƣời nhận cần có khả năng xác định ngƣời gửi và kiểm tra
xem ngƣời gửi có thực sự gửi tin đi hay không.
Không bị từ chối: ngƣời gửi không bị (không thể) từ chối việc đã gửi thông
tin đi.
Chống lặp lại: không cho phép bên thứ ba copy lại văn bản và gửi nhiều lần
đến ngƣời nhận mà ngƣời gửi không hề hay biết.
Mật mã học có thể cung cấp cơ chế để giúp đỡ thực hiện điều này.Tuy nhiên,
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 20
một số mục tiêu không phải bao giờ cũng là cần thiết, trong nghĩa cảnh của thực
tế hay mong muốn. Ví dụ, ngƣời gửi thông tin có thể mong muốn giữ mình là
nặc danh; trong trƣờng hợp này sự không từ chối thực hiện rõ ràng là không
thích hợp.
ii. c¸c ph•¬ng ph¸p m· ho¸
1. Mã hoá đối xứng (mã hoá khoá bí mật)
1.1. Định nghĩa
Thuật toán đối xứng hay là thuật toán mà tại đó khoá mã hoá có thể tính toán
ra đƣợc từ khoá giải mã.Trong rất nhiều trƣờng hợp, khoá mã hoá và khoá giải
mã là giống nhau. Thuật toán này còn có nhiều tên gọi khác nhƣ thuật toán khoá
bí mật, thuật toán khoá đơn giản, thuật toán một khoá. Thuật toán này yêu cầu
ngƣời gửi và ngƣời nhận phải thoả thuận một khoá trƣớc khi thông báo đƣợc gửi
đi, và khoá này phải đƣợc cất giữ bí mật. Độ an toàn của thuật toán này phụ
thuộc vào khoá, nếu để lộ ra khoá này nghĩa là bất kì ngƣời nào cũng có thể mã
hoá và giải mã thông báo trong hệ thống mã hoá. Sự mã hoá và giải mã của thuật
toán đối xứng biểu thị bởi:
EK (K) = C và DK (C ) = P
H×nh2: M· ho¸ víi kho¸ m· vµ gi¶i m· gièng nhau
1.2. Các vấn đề đối với phƣơng pháp mã hóa đối xứng
Phƣơng mã hóa đối xứng đòi hỏi ngƣời mã hóa và ngƣời giải mã phải
cùng chung một khóa. Khi đó khóa phải đƣợc giữ bí mật tuyệt đối, do vậy ta dễ
dàng xác định một khóa nếu biết khóa kia.
Hệ mã hóa đối xứng không an toàn nếu khóa bị lộ với xác suất cao. Trong
hệ này, khóa phải đƣợc gửi đi trên kênh an toàn.
Vấn đề quản lý và phân phối khóa là khó khăn và phức tạp khi sử dụng hệ
mã hóa đối xứng. Ngƣời gửi và nhận phải luôn thống nhất với nhau về khóa.
Việc thay đổi khóa là rất khó và dễ bị lộ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 21
Khuynh hƣớng cung cấp khoá dài mà nó phải đƣợc thay đổi thƣờng xuyên
cho mọi ngƣời trong khi vẫn duy trì cả tính an toàn lẫn hiệu quả chi phí sẽ cản
trở rất nhiều tới hệ mật mã này.
1.3 chuẩn mã hoá dữ liệu DES.
a, Giới thiệu
Ngày 15.5.1973. uỷ ban tiêu chuẩn quốc gia Mỹ đẫ công bố một khuyến
nghị cho các hệ trong Hồ sơ quản lý liên bang. Điều này cuối cùng đã dẫn đến
sự phát triển của chuẩn mã dữ liệu (ĐES) và nó đã trở thành một hệ mật đƣợc sử
dụng rộng rãi nhất trên thế giới. DES đƣợc IBM phát triển và đƣợc xem nhƣ là
một cái biên của hệ mật LUCIPHER. Lần đầu tiên DES đƣợc công bố trong Hồ
sơ liên bang vào ngày 17.3.1975. Sau nhiều cuộc tranh luận công khai, DES đẫ
đƣợc chấp nhận làm chuẩn cho các ứng dụng không đƣợc coi là mật vào
5.1.197. Kể từ đó cứ 5 năm một lần,DES lại đƣợc uỷ ban tiêu chuẩn quốc gia
xem xét lại.
DES là thuật toán mã hoá khối (block algorithm), nó mã hoá một khối dữ
liệu 64 bit bằng một khoá 56 bit. Một khối bản rõ 64 bit đƣa vào thực hiện, sau
khi mã hoá dữ liệu ra là một khối bản mã 64 bit. Cả mã hoá và giải mã đều sử
dụng cùng một thuật toán và khoá.
Nền tảng để xây dựng khối của DES là sự kết hợp đơn giản của các kỹ thuật
thay thế và hoán vị bản rõ dựa trên khoá, đó là các vòng lặp. DES sử dụng 16
vòng lặp áp dụng cùng một kiểu kết hợp các kỹ thuật trên khối bản rõ.
Thuật toán chỉ sử dụng các phép toán số học và lôgic thông thƣờng trên các
số 64 bit, vì vậy nó rễ ràng thự hiện vào những năm 1970 trong điều kiện về
công nghệ lúc bấy giờ. Ban đầu, sự thực hiên các phần mềm kiểu này rất thô sơ,
nhƣng hiện tại việc đó đã tốt hơn, và với đặc tính lặp đi lặp lại của thuật toán đã
tạo nên ý tƣởng sử dụng chip với mục đích này đặc biệt này.
b. Mô tả
Mô tả đầy đủ của DES đƣợc nêu trong công bố số 64 về các chuẩn xử lý
thông tin liên bang (Mỹ) vào 15.1.1977. DES mã hoá một sâu bit x của rõ độ dài
64 bằng một khoá 56 bit. Bản mã nhận đƣợc cũng là một xâu bit có độ dài 64.
Trƣớc hết ta mô tả ở mức cao của hệ thống.
Thuật toán tiến hành theo 3 giai đoạn:
1. Với bản rõ trƣớc x, một sâu bit x0 sẽ đƣợc xây dựng bằng cách hoán vị các
bit của x theo phép hoán vị cố định ban đầuIP.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 22
Ta viêt:x0 = IP (X)= L0R0, trong đó L0 gồm 32 bit đầu và R0 là 32 bit cuối.
2. sau đó tính toán 16 lần lặp theo một hàm xác định.
Ta sẽ tính L1R1,1 i 16 theo qui tắc sau:
L1=Ri-1
R1 = Li-1
f(Ri-1,Ki)
Trong đó
kí hiệu phép hoặc loại trừ của hai xâu bit ( cộng theo modun 2). F là
một hàm ta xẽ mô tả ở sau, còn K1,K2,...,K16 là các sâu bit độ dài 48 đƣợc tính
nhƣ hàm của khoá Ki là một phép chọn hoán vị bít trong K). K1,K2,...,K16 sẽ tạo
thành bảng khoá. Một vòng của phép mã hoá đƣợc mô tả trên hình 2.
3. áp dụng phép hoán vị IP-1(R16L16). Chú ý thứ tự đã đƣợc đảo của R16 va L16 .
Hình 3 : Một vòng của DES
Hàm f có hai biến vào : biến thứ nhất A là xâu bit độ dài 32, biến thứ hai j là
một xâu bit độ dài 48. đầu ra của f là một xâu bit độ dài 32.
Các bước thực hiện:
Biến thứ nhất A đƣợc mở rộng thành một xâu bit độ dài 48 theo một hàm mở
rộng cố định E. E9A) gồm 32 bit của A (đƣợc hoán vị theo cách cố định ) với 16
bit xuất hiên hai lần.
L i-1 Li-1
f
i
-
1
i
-
1
+
Ri Li-1
K i
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 23
Tính E(A)
j và viết kết quả thành một chuỗi 8 xâu 6 bit = B1B2B3B4B5B6B7B8
Bƣớc tiếp theo dùng 8 bảng S1,S2,…,S8 ( đƣợc gọi tắt là cái hộp S). Với mỗi Si
là một bảng 4×6 cố định có các hàng là các số nguyên từ 0 đến 15. Với xâu bit
có độ dài 6 (Kí hiệu B1 = b1b2b3b4b5b6), ta tính Si(Bi) nhƣ sau: Hai bit b1b2 xác
định biểu diễn
nhị phân của hàng r của Si ( 0 r 3) và 4 bit (b2b3b4b5) xác định biểu diễn nhị
phân của cột c của Si (0 c 15) . Khi đó Si (Bi) sẽ xác định phần tử Si(r,c);
phần tử này viết dƣới dạng nhị phân là một xaau bit có độ dài 4. (Bởi vậy , mỗi
Si có thể đƣợc coi là một hàm mã mà đầu vào là một xâu bit có độ dài 2 và một
xâu bit có độ dài 4, còn đầu ra là một xâu bit có độ dài4). Bằng cách tƣơng tự
tính các Ci = Si (Bi) , 1 i 8 .
Xâu bit C = C1C2…C8 có độ dài 32 đƣợc hoán vị theo phép hoán vị cố định P.
Xâu kết quả là P(C) đƣợc xác định là f(A,J).
Hàm f đƣợc mô tả trong hình 1.3. Chủ yếu nó gồm một phép thế (sử dụng hộp
S), tiếp sau đó là phép hoán vị P .
Hình 4: .Hàm f của DES
Cuối cùng ta cần mô tả việc tính toán bảng khoá từ khoá K. Trên thực tế , K là
một xâu bit độ dài 64 , tring đó 56 bit là khoá và 5 bit để kiểm tra tính chẵn lẻ
nhằm phat hiện sai. Các bit ở các vị trí 8, 16, ….,64 đƣợc xác định sao cho mỗi
byte chứa một số lẻ các số 1 . Bởi vậy một sai sót đơn lẻ có thể phát hiện đƣợc
trong mỗi nhóm 8 bit.
Các bit kiểm trabị bỏ qua trong quá trình tính toán bảng khoá.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 24
1. Với một khoá K 64 bit cho trƣớc , ta loại bỏ các bit kiểm tra tính chẵn lẻ và
hoán vị cá bit còn lại của K theo phép hoán vị cố định PC-1 (K) = C0D0.
2. Với i thay đổi từ 1 đến 16:
Ci = LSi(Ci-1)
Di = LSi (Di-1)
Và Ki = PC-2 (CiDi). LSi thể hiện sự dịch sang trái 1 hoặc 2 bit , phụ thuộc vào
giá trị của i:dịch 1vị trs nếu i = 1,2,9 hoặc 16 và dịch 2 vị trí trong các trƣờng
hợp còn lại . PC-2 là một hoán vị cố định khác.
Việc tính bảng khoá đƣợc mô tả trên hình 1.4
Hình 5: Tính bảng khoá DES
c. Giải mã DES
Sau khi thay đổi , hoán vị ,, và dịch vòng , bạn có thể nghĩ rằng thuật toán
giải mã hoàn toàn khác và phức tạp , khó hiểu nhƣ thuật toán mã hoá . Trái lại ,
DES sử dụng cùng thuật toán làm việc cho cả mã hoá và giải mã.
Với DES , có thể sử dụng cùng chức năng để giải mã hoá một khối. Chỉ có sự
khác nhau đó là các khoá phải đƣợc sử dụng theo thứ tự ngƣợc lại . Nghĩa là ,
nếu các khoá mã hoá cho mỗi vòng là k1,k2,k3,….,k15,k16 thì các khoá giải là
k16,k15,….,k3,k2,k1. Thuật tóan ding để sinh khoá đƣợc sử dụng cho mỗi vòng
theo kiểu vòng quanh . Khoá đƣợc dịch phải , và số những vị trí đƣợc đƣợc tính
tứ cuối của bảng lên, thay vì từ trên xuống .
d. Tranh luận về DES
Khi DES đƣợc đề xuất nhƣ một chuẩn mật mã , đã có rất nhiều ý kiến phê
phán . Một lý do phản đối DES có liên quan đến các hộp S . Mọi tính toán liên
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 25
quan đến DES ngoại trừ các hộp S đều tuyến tính , tức việc tính phép hoặc loại
trừ của hai đầu ra cũng giống nhƣ phép hoặc loại trừ của hai đầu vào rồi tính
toán đầu ra . Các hộp S- chứa đựng thành phần phi tuyến của của hệ mật là yếu
tố quan trọng nhất đối với độ mật của hệ thống. Tuy nhiên tiêu chuẩn xây dựng
các hộp S không đƣợc biết đầy đủ. Một số ngƣời đã gợi ý là các hộp S phải chứa
các “cửa sập” đƣợc dấu kín, cho phép Cụ An ninh quốc gia Mỹ (NSA) giải mãs
đƣợc các thông báo nhƣng vẫn giữ đƣơc mức độ an toàn của DES. Dĩ nhiên ta
không thể bác bỏ đƣợc khẳng định này, tuy nhiên không có một chứng cớ nào
đƣợc đƣa ras để chứng tỏ rằng trong thực tế có các cửa sập nhƣ vậy.
Năm 1976 NSA đã khẳng định rằng, tính chất sau của hộp S là tiêu chuẩn thiết
kế:
Mỗi hàng trong mỗi họp S là một hoán vị của các số nguyên 0, 1, …15.
Không một hộp S nào là một hàm Affine hoặc tuyến tính các đầu vào của nó.
Việc thay đổi một bit vào của S phải tạo nên sự thay đổi ít nhất là hai bit ra.
Đối với hộp S bất kỳ với đầu vào x bất kì S (s) và S(x 001100) phải khác
nhau tối thiểu là hai bit (trong đó x là xâu bit độ dai 6).
Hai tính chất khác nhau sau đây của các hộp S có thể coi là đƣợc rút ra từ tiêu
chuẩn thiết kế của NSA.
Với hộp S bất kì, đầu vào x bất kì với e, f {0,1}:
S(x) S(x 11 ef00).
Với hộp S bất kì, nếu cố định một bit vào và xem xét giá trị của một bit đầu ra
cố định thì các mẫu vào để bit ra này bằng 0 sẽ xấp xỉ bằng số mẫu ra để bit đó
bằng 1. (Chú ý rằng, nếu cố định giá trị bit vào thứ nhất hoặc bit vào thứ 6 thì có
16 mẫu vào làm một bit ra cụ thể bằng 0 và có 16 mẫu vào làm cho bit này bằng
1. Với các bit vào từ bít thứ hai đến bit thứ 5 thì điều này không còn dúng nữa.
Tuy nhiên phân bố kết quả vẫn gần với phân bố đều. Chính xác hơn, với một
hộp S bất kì, nếu ra cố định giá trị của một bit vào bất kì thì số mẫy vào làm cho
một bit ra cố định nào đó có giá trị 0 hoặc luôn nằm trong khoảng 13 đến 19).
Ngƣời ta không biếts rõ là liệu còn một chuẩn thiết kế bào đầy đủ hơn đƣợc
dùng trong việc xây dựng hộp S hay không.
Sự phản đối xác đáng nhất về DES chính là kích thƣcớ của không gian khoá :
2
56
là quá nhỏ để đảm bảo an toàn thực sự. Nhiều thiết bị chuyên dụng đã đƣợc
đề xuất nhằm phục vụ cho việc tấn công với bản rõ đã biết. Phép tấn công này
chủ yếu thực hiện tìm khoá theo phƣơng pháp vét cạn. Tức cới bản rõ x64 bít và
bản mã y tƣơng ứng, mỗi khoá đều có thể đƣợc kiểm tra cho tới khi tìm đƣợc
một khoá K thoả mãns ek (x) = y. Cần chú ý là có thể nhiều hơn một khoá K nhƣ
vậy.
Ngay từ năm 1977, Diffie và Hellman đã gợi ý rằng có thể xây dựng một
chíp VLSI (mạch tích hợp mật độ lớn) có khả năng kiểm tra đƣợc 106 khoá/giây.
Một máy có thể tìm toàn bộ không gian khoá cỡ 106 trong khoảng 1 ngày. Họ
ƣớc tính chi phí để tạo một máy nhƣ vậy khoảng 2.107$.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 26
Trong cuộc hội thảo tại hội nghị CRYPTO’93, Michael Wiener đã đƣa ra
một thiết kế rất cụ thể về máy tìm khoá. Máy này xây dựng trên một chíp tìm
khoá, có khả năng thực hiện đồng thời 16 phép mã và tốc độ tới 5.107 khoá/giây.
Với công nghệ hiện nay, chi phí chế tạo khoảng 10,5$/ chip. Giá của một khung
máy chứa 5760 chíp vào khoảng 100.000$ và nhƣ vậy nó có khả năng tìm ra
một khoá của DES trong khoảng 1,5v ngày. Một thiết bị dùng 10 khung máy
nhƣ vậy có giá chừng 106$ sẽ giảm thời gian tìm kiếm khoá trung bình xuống
còn 3,5 giờ.
e. Ứng dụng của DES
Mặc dù việc mô tả DES khá dài song ngƣời ta có thể thực hiện DES rất hữu
hiệu bằng cả phần cứng lẫn phần mềm. Các phép toán duy nhất cần đƣợc thực
hiện là phép hoặc loại trừ xâu bit. Hàm mở rộng E, các hộp S, các hoán vị IP và
P và việc tính toán các giá trị K1…., K16 đều có thể thực hiện đƣợc cùng lúc
bằng tra bảng (trong phần mềm) hoặc bằng cách nối cứng chúng thành một
mạch.
Các ứng dụng phần cứng hiện thời có thể đạt đƣợc tốc độ mã hoá cực nhanh.
Năm 1991 đã có 45s ứng dụng phần cứng và chƣơng trình cơ sở của DES đƣợc
uỷ ban tiêu chuẩn quốc gia Mỹ (NBS) chấp thuận.
Một ứng dụng quan trọngs của DES là trong giao dịch ngân hàng Mỹ -
(ABA) DES đƣợc dùng để mã hoá các số định danh cá nhân (PIN) và việc
chuyển khoản bằng mảy thủ quỹ tự động (ATM). DES cũng đƣợc hệ thông chi
trả giữa các nhà băng của ngân hàng hối đoái (CHIPS) dùng để xác thực các
giao dịch. DES còn đƣợc sử dụng rộng rãi trong các tổ chức chính phủ. Chẳng
hạn nhƣ bộ năng lƣợng, Bộ tƣ pháp và Hệ thống dự trữ liên bang.
1.4. Hệ mã hóa AES
Trong mật mã học, AES ( viết tắt của từ tiếng Anh: Advanced Encryption
Standard, hay tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối đƣợc
chính phủ Hoa Kỳ áp dụng làm tiêu chuẩn mã hóa. Giống nhƣ tiêu chuẩn tiền
nhiện DES, AES đƣợc kỳ vọng áp dụng trên phạm vi thế giới và đã đƣợc nghiên
cứu rất kỹ lƣỡng. AES đƣợc chấp thuận làm tiêu chuẩn liên bang bởi viện tiêu
chuẩn và công nghệ quốc gia Hoa Kỳ (NIST ) sau một quá trình tiêu chuẩn hóa
kéo dài 5 năm.
Thuật toán đƣợc thiết kế bởi hai nhà mật mã học ngƣời Bỉ: Joan Daemen
và Vincent Rijmen (lấy tên chung là “Rijnadael” khi tham gia cuộc tthiết kế
AES).
Thông tin chung
Tác giả Vincent Rijmen và Joan Daemen
Năm công bố 1998
Phát triển từ Square (mã hóa)
Các thuật toán dựa trên Crypton (mã hóa), Anubis (mã
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 27
hóa),GRAND CRU
Chi tiết thuật toán
Khối dữ liệu 128 bit
Độ dài khóa 128,192 hoặc 256 bit
Cấu trúc Mạng thay thế- hoán vị
Số chu trình 10,12 hoặc 14 (tùy theo độ dài khóa)
Thuật toán đƣợc dựa vào bảng thiết kế Square có trƣớc của Daemen và
Rijmen; còn Square lại đƣợc thiết kế dựa trên Shark.
Khác với DES sử dụng mạng Feistel, Rijndael sử dụng mạng thay thế- hoán
vị, AES có thể dễ dàng thực hiện vớ tố độ cao bằng phần mềm hoặc phần cứng
và không đòi hỏi nhiều bộ nhớ. Do AES là một tiêu chuẩn mã hóa mới, nó đang
đƣợc sử dụng rộng rãi trong nhièu ứng dụng.
Mô tả thuật toán
Trong bƣớc addRoundKey, mỗi byte đƣợc thiết kế với một byte trong khóa
con của chu trình sử dụng phép toán XOR ().
Trong bƣớc Subyte, mỗi byte đƣợc thay thế bằng một byte theo bang tra, S; bij=
S(aij )
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 28
Trong bƣớc ShiftRows, các byte trong mõi hàng đƣợc dịch vòng trái. Số vị trí
dịch chuyển tùy thuộc từng bảng.
Trong bƣớc MixColumns, mỗi cột đƣợc nhân với hệ số cố định c(x)
Mặc dù 2 tên AES và Rijndael vẫn thƣờng đƣợc thay thế cho nhau nhƣng
trên thực tế thì 2 thuật toán không hoàn toàn giống nhau. AES chỉ làm việc với
khối dữ liệu 128 bít và khóa có độ dài 128, 192 hoặc 256 bít trong khi Rijndael
có thể làm việc với khối dữ liệu và khóa có độ dài bất kì là bội số của 32 bít nằm
trong khoảng từ 128 tới 256 bít.
Các khóa con sử dụng trong các chu trình đƣợc tạo ra bởi quá trình tạo
khóa con Rijndael.
Hầu hết các phép toán trong thuật toán AES đều đựơc thực hiện trong một
trƣờng hữu hạn.
AES làm việc với từng khối dữ liệu 4×4 byte (tiếng Anh: state, khối trong
Rijndael có thể thêm một cột). Quá trình mã hóa bao gồm 4 bƣớc:
1. AddRoundKey __mỗi byte của khối đƣợc kết hợp với khóa con, các
khóa con này đƣợc tạo ra từ quá trình tạo khóa con Rijndael.
2. SubBytes __đây là phép thế (phi tuyến) trong đó mỗi byte sẽ đƣợc thế
bằng một byte khác theo bảng tra (Rijndael-box).
3. ShiftRows __đổi chỗ, các hàng trong khối đƣợc dịch vòng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 29
4. MixColumns __quá trình trộn làm việc theo các cột trong khối theo một
phép biến đổi tuyến tính.
Tại chu trình cuối thì bƣớc MixColumns đƣợc thay thế bằng bƣớc
AddRoundKey.
Bƣớc AddRoundKey
Tại bƣớc này, khóa con đƣợc kết hợp với các khối. Khóa con trong mỗi chu
trình đƣợc tạo ra từ khóa chính với quá trình tạo khóa con Rijndael; mỗi khóa
con có đọ dài giống nhƣ các khối. Quá trình kết hợp đƣợc thực hiện bằng cách
XOR từng bít của khóa con với khối dữ liệu.
Bƣớc SubBytes
Các bƣớc đƣợc thế thông qua bảng tra S-box. Đây chính là quá trình phi
tuyến của thuật toán. Hộp S-box này đƣợc tạo ra từ một phép nghịch đảo trong
trƣờng hữu hạn GF (28) có tính chất phi tuyến. Để chống lại các tấn công dựa
trên các đặc tính đại số, hộp S-box này đƣợc tạo nên bằng cách kết hợp phép
nghịch đảo với một phép biến đổi khả nghịch. Hộp S-box này cũng đƣợc chọn
để tránh các điểm cố định (fixed point).
Bƣớc ShiftRows
Các hàng đƣợc dịch vòng một số vị trí nhất định. Đối với AES, hàng đầu
đƣợc giữ nguyên. Mỗi byte của hàng thứ 2 đƣợc dịch trái một vị trí. Tƣơng tự
các hàng thứ 3 và 4 đƣợc dịch 2 và 3 vị trí. Do vậy, mỗi cột khối đầu ra của
bƣớc này sẽ bao gồm các byte ở đủ 4 cột khối đầu vào. Đối với Rijndael với độ
dài khối khác nhau thì số vị trí dịch chuyển cũng khác nhau.
Bƣớc MixColumns
Mỗi cột đƣợc kết hợp lại theo một phé._. thực, mã hoá và xác thực thông báo đƣợc xác
định bởi bộ mã đƣợc chọn bởi server và đƣợc làm lộ ra trong thông báo
SERVERHELLO. Các bộ mật mã vốn đã đựoc xác định trong giao thức SSL về
cơ bản giống nhƣ bộ mật mã đã xác định cho TLS
Ngoài thông báo SERVERHELLO, server cũng phải gởi các thông báo
khác đến client. Ví dụ, nếu server đƣợc sử dụng sự xác thực dựa vào chứng
nhân, server gởi chứng nhận site cả nó đến client trong một thông báo
CERTIFICATE tƣơng ứng. Chứng nhận phải thích hợp cho thuật toán trao đôI
kháo cua bộ mật mã đƣợc chọn và thƣờng là một chứng nhận X 509v3. cùng
loại thông báo server đƣợc sử dụng sau đó cho sự đáp ứng của client đối với
thông báo CERTIDICATERequest của server . Trong trƣờng hợp các chứng
nhận X 509v3, một chứng nhận có thể thực sự tham chiếu đén toàn bộ mỗi chuỗi
các chứng nhận, đƣợc sắp xếp theo thứ tự với chứng nhận ca đối tƣợng gởi trƣớc
tiên theo sau là bất kỳ chứng nhận CA tiến hành theo tnhf tự hƣớng đến một CA
gốc (vốn đƣợc chấ nhận bởi clientv).
Tiếp theo, server có thể gửi thông báo SERVERKEYEXCHANGE đến client nế
nó không có chứng nhận, vốn có đƣợc sử dụng chỉ để xác định các chữ ký kĩ
thuật số hoặc sử dụng thuật toán trao đổi khoá dựa vào token FORITEZZA
(KEA). Rõ ràng thông báo này không đƣợc yêu cầu nếu chứng nhân site gồm
một khoá chung RSA vốn có thể đƣợc sử dụng trong việc mã hoá.Ngoài ra một
server không nặc danh có thể tuỳ ý yêu cầu một chứng nhận cá nhân để xác nhận
client. Do đó, nó gửi một thông báo CERTIFFICATATERequest đến client.
Thông báo này chứa một danh sách các loại chứng nhận đuợc yêu cầu,
đƣợc phân loại theo thứ tự ƣu tiên của server cũng nhƣ một danh sách các tên
đyựơc phân biệt cho các CA có thể chấp nhận. Ở cuối bƣớc 2, server gửi một
thông báo SERVERHELLODone đến client để chỉ định sự kết thúc
SERVERRHLLO và các thông báo kèm.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 70
Sau khi nhận SERVERHELLO và các thông tin đi kèm, client xác nhận
rằng chứng nhận site server (nếu đƣợc cung cấp) là hợp lệ và kiểm tra nhằm bảo
đảm các thông số bảo mạt đƣợc cung cấp trong thông báo SERVERHELLO có
thể đƣợc chấp nhận. Nếu server yêu cầu sự xác thực client, client gửi một thông
báo CERTIFICATE vốn chúa một chứn nhận cá nhân cho khoá chung của ngƣời
dùng đến server ở bƣớc 3.
Tiếp theo, client gửi một thông báo CLIENTKEYEXCHANGE có dạng phụ
thuộc vào thuật toán cho mỗi khoá chọn bởi server.
Nếu RSA đƣợc sử dụng cho việc xác thực server và trao đổi khoá, client
tạo một khoá mật tiềnchính 48 byte, mã hoá nó bằng mã chung đƣợc tìm thấy
trong chứng nhận site hoặc khoá RSA tạm thời từ thông báo
SERVERKEYEXCHSNGE và gửi kết quả troqr về trong thông báo
CLIENTKEYEXCHANGE. lần lƣợt server sử dụng khoá đơn để giả mã khoá
mật chính.
Nếu các token FORTEZZA đƣợc sử dụng để trao đổi khoá, client dẫn
xuất một khoá mã hoá token (TEK) bằng cách sử dụng KEA. Cách tìm KEA của
client sử dụng khoá chung từ chứng nhận server cùng với một số tham số riêng
trong token của client. Client gửi các tham số chung cần thiết cho server để cũng
tạo TEK, sử dụng các tham số riêng của nó. Nó tạo một khoá mật chính, bao bọc
nó bằng cách sử dụng TEK và gửi kết quả cùng với một số vector khởi tạo đến
server nhƣ là một phần của thông báo CLIENTKEYEXCHANGE. Lần lƣợt
server có thể giải mã khoá mật chính một cách thích hợp. Thuật toán trao đổi
khoá này không đƣợc sử dụng rộng rãi.
Nêu s sự xác thực client đƣợc yêu cầu, client cũng gửi một thông báo
CERTIFICATEVERIFY đến server. Thông báo này đƣợc sử dụng đẻ cung cấp
sự xác thực rõ ràng định danh cua ngƣời dựa vào chứng nhận các nhân. Nó chỉ
đƣợc gửi theo sau một chứng chỉ client vốn có khả năng tạo chữ kí (tất cả các
chứng nhận ngoại trừ các chứng nhận chứa các tham số Diffehallman cố định).
Sau cùng, client hoàn tất bƣớc 3 bằng cách guỉ 1 thông báo
CHAGECIPHERSPEC và một thông báo FINIHED tƣơng ứng tới server. Thông
báo FINIHED luôn đƣợc guỉƣ ngay lập tức sau thông báo
CHANGERCIPERSPEC để xác nhận rằng các tiến trình trao đổi khoá và xác
thực đã thành công. Thực tế thông báo FINISHED là thong báo đầu tiên vốn
đƣợc bảo vệ bằng các thuật toán mới đuợc thƣơng lƣợng và các khoá session.
Nó chỉ có thể đƣợc tạo và đƣợc xác nhận nếu nhƣng khoá này đƣợc cài đặt một
cách phù hợp ở cả hai phía. Không đòi hỏi sự báo nhận thông báo FINISHED;
các phía có thể bắt đầu gửi dữ liệu đƣợc mã hoá ngay lập tức sau khi đã gởi
thông báo FINISHED. Việc thực thi SSL Handshake Protocol hàn tất bằng việc
cũng yêu câỳu server gơI một thông báo SERVERKEYEXCHANGE và một
thông váo FINISHED tƣơng ứng đến client ở bƣớc 4.
Sau khi thiết lập SSL hoàn tất, một nối kết an toàn đƣợc thiết lập giữa các
client và server . nối kết này bây giờ có thể đƣợc sử dụng để gởi dữ liệu ứng
dụng vốn đƣợc bao bọc bởi SSL Record Protocol. Chính xác hơn, dữ liệu ứng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 71
dụng có thể đƣợc phân đoạn, đƣợc nén, hoặc đợc mã hoá và đƣợc xác thực theo
SSL Record Protocol cũng nhƣ thông tin trạng tháI session và nối kết vốn bây
giờ đƣợc thiết lập (tuỳ thuộc việc thực thi SSL Handshake Protocolt)
SSL Handshake Protocol có thể đƣợc rút ngắn nếu client và server quyết
định tiếp tục lại một session SSL đƣợc thiết lập trƣớc đó (và vẫn đƣợc lƣ trữv)
hoặc lặp lại một session SSL hiện có. Trong trƣờng hợp này, chỉ ba dòng thông
báo và tông cộng sáu thông báo đƣợc yêu cầu, Các dòng thông báo tƣơng ƣng có
thể tóm tắt nhƣ sau:
1: C -> S: CLIENTHELLO
2: S-> C: SERVERHELLO
CHANECIPHERSPEC
FINISHES
3: S-> CHANECIPHERSPEC INISHES
ở bƣớc một, client gởi một thông báo CLIENTHELLO đến server vốn có
mặc định danh session cần đƣợc tiếp tục lại. Lần lƣợt các server kiểm tra cache
session của nó để tìm một mục tƣơng hợp. Nếu một mục tƣơng hợp đƣợc tìm
thấy, server muốn tiếp tục lại nối kết bên dƣới trạng tháI session đã xác định, nó
trả về một thông báo SERVERHELLO với cùng một định danh session ở bƣớc
2. Vào thời điểm này, cả client lẫn server phảogởi các thông báo
CHANECIPHERSPEC và FINISHES đến nhau ở bƣớc 2 và 3. Một khi việc tái
thiết lập session hoàn tất, client và server có thể bắt đầu dữ liệu ứng dụng.
5.3. Bảo mật giao dịch điện tử ( Secure Electronic Transaction – SET)
SET là một phƣơng pháp bảo mật đƣợc xây dựng nhằm bảo đảm an toàn
các giao dịch trên internet bằng thể tín dụng. Phiên bản hiện tại, SET v1, đƣợc
chọn làm tiêu chuân bảo mật cho các thẻ tín dụng nhƣ Matercard và Visa vào
tháng 1 năm 1996. Rất nhiều công ty đã tập chung phát triển và xây dựng tong
đó có IBM, Microsoft, Netscape, RSA, Tesia và Versign. Từ năm 1998 các sản
phẩm đầu tiên sử dụng SET đã đƣợc triển khai.
Bản thân SET không phải là một hệ thống thanh toán, mà thực chất nó là
tập hợp các giao thức bảo mật và định dạng cho phép ngƣời dùng sử dụng các
thiết bị làm việc với thẻ tín dụng trên hệ thống mạng nhƣ internet theo nguyên
tắc bảo mật. Về cơ bản, SET cung cấp ba dịch vụ:
Cung cấp một kênh truyền thông an toàn tuyệt đối với tất cả các thành
viền trong quá trình giao dịch.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 72
Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an toàn.
Giữ gìn sự riêng tƣ bởi các thông tin chỉ cung cấp cho các thành viên
trong giao dịch diễn ra vào thời điểm hay địa điểm cần thiết.
5.3.1.Tổng quan về SET
Các yêu cầu: Trƣớc tiên ta xem xét các yêu cầu trong thƣơng mại mà
SET cần có cũng nhƣ các thành phần khác tham gia trong các giao dịch sử dụng
SET, các yêu cầu thƣơng mại đảm bảo an toàn cho các chi trả với thẻ tín dụng
trên Internet cũng nhƣ các mạng khác bao gồm:
Cung cấp sự tin cậy cho các thông tin chi trả và thanh toán: Điều này
cần thiết để đảm bảo ngƣời dùng thể giữ gìn an toàn các thông tin của mình
cũng nhƣ các thông tin đến đƣợc với ngƣời nhận đƣợc mong đợi. Sự tin cậy này
cũng sẽ giảm bớt các rủi ro đôI với các gian lận trong giao dịch với đối tác cũng
nhƣ các thành viên thứ ba không mong muốn. SET sử dụng mã hoá các cung
cấp tin cậy này.
Đảm bảo tính toán toàn vẹn đối với mọi dữ liệu đƣợc truyền đ: Nghĩa là
đảm bảo không có nội dung nào bị thay đổi trong suốt quá trình giao dịch sử
dụng SET. Chữ ký số đƣợc sử dụng để cung cấp các toàn vẹn này.
Cung cấp chứng thực đối với ngƣời sử dụng thẻ là ngƣời sử dụng tài
khoản thẻ tín dụng hợp pháp: Một cơ chế liên kết ngƣời dùng thể tới số tài
khoản xác định nhằm giảm thiểu các gian lận đối với một quá trình mua bán chi
trả. Chữ ký số và cơ chế chứng nhận đƣợc sử dụng để xác nhận ngƣời dùng thẻ
là ngƣời sở hữu tài khoản hợp lệ.
Cung cấp các chứng thực cho phép các nhà knh doanh có thế chấp nhận
các giao dịch sử dụng thể tín dụng thông qua mối quan hệ với một tổ chức tài
chính: Đây là sự bổ sung cho các yêu cầu có trƣớc. Ngƣời sử dụng thể cần nhận
biết đƣợc đâu là các nhà kinh doanh có đủ tƣ cách đảm bảo an toàn cho các giao
dịch. Một lần nữa, chữ ký số và các cơ chế chứng nhận đƣợc sử dụng.
Đảm bảo việc sử dụng một cách tốt nhất các kỹ thuật xây dựng hệ
thống và độ an toàn thực tế để bảo vệ tất cả các thành viên hợp pháp trong toàn
bộ quá trình giao dịch: SET là một sự kiểm nghiệm tốt dựa trên các thuật toán và
các giao thức mã hoá an toàn cao.
Xây dựng một giao thức mà không phụ thuộc vào các cơ chế bảo mật
giao dịch cũng nhƣ các cơ chế ngăn chặn khác đã dùng: SET có thể thực thi an
toàn trên stack của TCP /IP “thô”. Tuy nhiên, SET không gây trở ngại khi sử
dụng các cơ chế bảo mật khác chẳng hạn nhƣ IPSec và SSL /TLS.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 73
Tạo điều kiện và khuyến khích khả năng giữa phần mềm và các nhà
cung cấp dịch vụ mạnh: Các giao thức và định dạng SET độc lập với hạ tầng
thiết bị phần cứng, hệ điều hành và phần mềm Wed.
Các đặc trƣng cơ bản của SET: Sau khi để cập tới yêu cầu cần có ta thấy
SET bao gồm các đặc trƣng cơ bản sau:
Thông tin cậy: Thông tin tài khoản và các thông tin cho việc
chi trả đƣợc bảo vệ khi nó đƣợc truyền đI trong mạng. Một điều thú vị và quan
trọng nhất ở đặc trƣng này của SET là nó ngăn không cho nhà kinh doanh bết
đƣợc số thẻ tín dụng của ngƣời sử dụng, mà điều này chỉ đƣợc cung cấp cho các
ngân hàng phát hành. Quy ƣớc mã hoá này đƣợc DES dùng để cung cấp các tin
cậy.
Toàn vẹn dữ liệu: Thông tin chi trả từ ngƣời sử dụng thể tới các nhà
kinh doanh bao gồm các thông tin thanh toán, dữ liệu cá nhân và các liệu cho
việc chi trả. SET đảm bảo việc các nội dung của thông điệp không bị biến đổi
trong khi gửi đi. Chữ ký số RSA, sử dụng mã băm SHA -1, sẽ đảm bảo tính
toàn vẹn các thông điệp này. Các thông điệp này cũng có thể đƣợc đảm bảo bởi
HMAC sử dụng SHA -1.
Chứng thực các nhà kinh doanh: SET cho phép ngƣời sử dụng thẻ
xác nhận một nhà kinh doanh có quan hệ với một tôt choc tài chính có khả năng
chấp nhận các thẻ chi trả. Trong trƣờng hợp này SET có sử dụng chứng nhận số
X.509v3 và chữ ký số RAS.
Chú ý rằng SET không giống nhƣ IPSec và SSL /TLS, nó chỉ cung cấp một chọn
lựa ứng với mỗi thuật toán mã hoá. Đây là một sự khôn ngoan bởi SET là một
ứng dụng đơn độc lập với mộ tập hợp các yêu cầu riêng, mà ở đó có IPSec và
SSL /TLS đóng vai trò hỗ trợ ở một phạm vi nào đó của các ứng dụng.
5.3.2.Các thành phần tham gia sử dụng SET.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 74
Ngƣời dùng thẻ (cardholder): trong môi trƣờng điện tử, khách hàng hay
một nhóm khách hàng có ảnh hƣởng tới các nhà kinh doanh từ những
chiếc máy tính cá nhân thông qua internet. Một ngƣời sử dụng thẻ là
ngƣời có quyền nắm giữ thẻ thanh toán đƣợc cung cấp bởi những nhà phát
hành.
Nhà kinh doanh(Merchant): Một nhà kinh doanh có thể là một cá nhân
hay một tổ chức có các dịch vụ bán hàng cho ngƣời dùng thẻ. Các dịch vụ
này đƣợc tiến hành thông qua các website hoặc thƣ điện tử. Một nhà kinh
doanh chấp nhận đƣợc các thẻ thanh toán thì buộc phải có quan hệ với
một nhà trung gian(Acquirer).
Nhà phát hành(issuer): Đây là một tổ chức tài chính, chẳng hạn nhƣ ngân
hàng, cung cấp tài khoản ngƣời dùng cùng với thẻ thanh toán. Các tài
khoản đƣợc sử dụng thông qua các imail cá nhân. Về cơ bản, các nhà phát
hành chịu trách nhiệm chi trả các khoản tiền chƣa trả của ngƣời dùng thẻ.
Nhà trung gian – Ngân hàng của doanh nghiệp (Acquirer): Đây là tổ chức
tài chính thực hiện việc thiết lập một tài khoản đối với nhà kinh doanh và
chứng thực các quá trình chi trả bằng thẻ. Các nhà kinh doanh thƣờng
chấp nhận nhiều hơn một loại thẻ nhƣng lại không muốn quan tâm đến
nhiều tổ chức cũng nhƣ nhiều cá nhân cung cấp thẻ nào. Trng khi đó nhà
trung gian sẽ cung cấp việc chứng thực nhà kinh doanh bằng cách đƣa ra
cho họ một thẻ tài khoản tiện lợi và giới hạn quyền đối với các loại thẻ
này. Nhà trung gian cũng cung cấp các luân chuyển điện tử cho việc chi
trả đối với các tài khoản của các nhà kinh doanh. Sau cùng, nhà kinh
doanh sẽ đƣợc hoàn lại số tiền mà các nhà phát hành có đƣợc từ quỹ luân
chuyển điện tử trên mạng chi trả.
Cổng chi trả (payment gateway): Đây là một chức năng thực hiện bởi Nhà
trung gian hoặc đƣơc xây dựng một thành viên thứ ba nhằm xử lí các
thông tin chi trả của nhà kinh doanh. Nhà trung gian trao đổi các thông
điệp SET với cổng chi trả thông qua internet, trong khi đó cổng chi trả
hƣớng vào hay kết nối mạng tới hệ thống sử lí tài chính của nhà trung
gian.
Quyền chứng nhận (Certification Authority- CA): Đây là một thực thể
đƣợc tin cậy để cung cấp các chức nhận khoá công khai X.509V3 cho
ngƣời sử dụng thẻ, các nhà kinh doanh và các công chi trả. Thành công
của SET sẽ phụ thuộc vào sự tồn tại của một hạ tầng CA có giá trị.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 75
Dƣới đây là mô tả lƣợc đồ bao gồm cho các sự kiện đƣơc diễn ra trong một giao
dịch thƣơng mại điện tử:
1. Khách hàng mở một tài khoản: khách hàng có đƣợc ở thẻ tín dụng nhƣ
MasteerCard hay Visa với một ngân hàng có khả năng hỗ trợ chi trả điện
tử và STE.
2. Khách hàng nhận một chứng nhận: Sau khi nhận dạng hoàn tất, khách
hàng nhận đƣợc một chứng nhận số X.509V3, Đƣợc kí bởi ngân
hàng.chứng nhận này xác minh công khai RSA của khách hàng và hạn sử
dụng của nó. Nó sẽ thiết lập một quan hệ, đƣợc bảo đảm bởi ngân hang,
chiếc cặp khoả của khách hàng và thẻ tín dụng của anh ta.
3. Nhà kinh doanh có riêng các chứng nhận của họ: Một nhà kinh doanh
muốn chấp nhận nhiều loại thẻ thì buộc phải sở hữu hai chứng nhận đối
với hai khoá công khai riêng của họ: Một cho kí nhận thông điêp và một
cho trao đổi khoá. Nhà kinh doanh cùng cần có một bả sao chứng nhận
khoá công khai của cổng chi trả.
4. Khách hàng đặt một thanh toán: Đây là một quá trình bao gồm việc lựa
chọn mặt hàng trên webside của nhà kinh doanh và xác định giá cả.
Khách hàng gửi tới nhà kinh doanh một danh sách các mặt hàng muốn
mua, họ nhận đƣợc một mẫu thanh toán bao gồm danh sách mặt hàng, giá
cả, tổng tiền và số hoá đơn.
5. Nhà kinh doanh được xác nhận: Thêm vào mỗi thanh toán, nhà kinh
doanh gửi một bản sao chứng nhận nó, vì vậy khách hàng có thể tin tƣởng
rằng anh ta có quan hệ với một nhà kinh doanh hợp pháp.
6. Việc thanh toán và chi trả được gửi đi: Khách hàng gửi tới nhà kinh
doanh các thông tin thanh toán và chi trả cùng với chứng nhận khách
hàng: Thông tin thanh toán bao gồm các mặt hàng đã đặt trong mẫu hoá
đơn; thông tin chi trả chứa nội dung chi tiết của thẻ tín dụng. Nó đã đƣợc
mã hoá do vậy nhà kinh doanh không thể biết đƣợc; chứng nhận khách
hàng cho phép nhà kinh doanh xác nhận khách hàng.
7. Nhà kinh doanh yêu cầu chứng thực các chi trả: nhà kinh doanh chuyển
các thông tin tới cổng chi trả, yêu cầu xác thực thông tin thẻ tín dụng của
khách hàng có phù hợp với việc mua các sản phẩm đã đặt hay không.
8. Nhà kinh doanh xác nhận thanh toán: nhà kinh doanh gửi xác nhận
thanh toán tới khách hàng.
9. Nhà kinh doanh cung cấp các mặt hàng dịch vụ: nhà kinh doanh chuyển
hàng hoặc cung cấp dịch vụ tới khách hàng.
10. Nhà kinh doanh yêu cầu chi trả: yêu cầu này đƣợc gửi tới cổng chi trả
(Quả lý tất cả quá trình chi trả).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 76
CHƢƠNG IV
cµi ®Æt b¶o mËt vµ an toµn th«ng tin trªn website
mua b¸n c¸c linh kiÖn m¸y tÝnh trªn m¹ng internet
I. C¸c chøc n¨ng c¬ b¶n vµ ho¹t ®éng cña hÖ thèng website
Nhƣ đã trình bày trong chƣơng 1, chƣơng 2 và chƣơng 3 của luận văn khi
nghiên cứu về các hệ mật mã khoá đới xứng và khoá công khai căn bản cũng
nhƣ việc nghiên cứu các giao thức và cơ chế bảo mật thƣơng mại điện tử sử
dụng SSL/TLS, SET, tác giả đã quyết định lựa chọn hệ mật mã cơ bản nhất là
DES và giải thuật chữ ký số DSA cho phần cài đặt ứng dụng của mình.
Trong luận văn này, em không đi sâu vào việc trình bày về quá trình phân
tích hệ thống cho việc xây dựng website bán hàng trực tuyến mà chỉ trình bày ý
nghĩa của các phần hệ thống đã đƣợc xây dựng bao gồm các chức năng thông
thƣờng cũng nhƣ các chức năng bảo mật đƣợc cài đặt. Các mô tả quá trình
chứng thực, bảo mật lớp cơ sở dữ liệu cũng nhƣ quá trình tƣơng tác giữa các đối
tƣợng trong quá trình chứng thực khách hàng đƣợc mô tả trong sơ đồ sau:
1. Tổ chức dữ liệu
- Website bao gồm có các trang:
Trang chủ
Trang thông tin nhóm hàng: ví dụ Máy tính sách tay, thiết bị văn phòng…
Trang thông tin chi tiết sản phẩm: hiển thị các thông tin chi tiết về một sản
phẩm, qua đó khách hàng thực hiện các thao tác khác nhƣ: chọn mua hàng
Trang thông tin đơn hàng: sau khi khách hàng lựa chọn một hoặc nhiều
sản phẩm cần mua, gồm các thông tin nhƣ: mã sản phẩm, tên sản phẩm,
số lƣợng cần mua… sẽ lập thành một đơn hàng. Trên trang đơn hàng này,
khách hàng thực hiện các chức năng khác nhƣ :
o Tiếp tục mua hàng: tiếp tục chọn thêm các sản phẩm khác muốn
mua
Đặt hàng Chứng thực
khách hàng
Khách hàng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 77
o Chấp nhận mua hàng: gửi thông tin về đơn hàng lên hệ thống, xác
nhận nhu cầu mua hàng
o Hủy đơn hàng: xóa bỏ tất cả các sản phẩm đã lựa chọn, từ đó chọn
lại các sản phẩm mới
o Cập nhật đơn hàng: lựa chọn lại số lƣợng mỗi sản phẩm trong đơn
hàng, từ đó hệ thống tính lại giá tiền cho tổng cộng các sản phẩm
đã chọn
2. Quản trị thông tin
- Ngƣời quản trị hệ thống cập nhật các thông tin về sản phẩm lên website,
từ đó khác hàng có thể lựa chọn xem, mua
- Mỗi sản phẩm gồm các thông tin quan trọng là: Mã sản phẩm, giá bán.
Các thông tin khác chỉ có ý nghĩa cung cấp hiểu biết cho khách hàng
3. Mã hóa RSA và áp dụng trong hệ thống
Đăng ký thành viên
Mỗi ngƣời truy cập vào hệ thống, muốn thực hiện việc mua hàng, đăng ký
mua hàng đều phải đăng ký trở thành thành viên của website. Quá trình
này chính là việc cấp cho khách hàng một “tên đăng nhập”, “mật khẩu
đăng nhập” và “cặp khóa công khai – khóa bí mật theo thuật toán RSA”.
Với đầy đủ các thông tin này, khách hàng có thể thực hiện đƣợc giao dịch
mua hàng trên website
Chi tiết các bƣớc đăng ký thành viên gồm các bƣớc nhƣ sau:
o Đăng ký thành viên: cung cấp các thông tin nhƣ: tên đăng nhập, địa
chỉ hòm thƣ, mật khẩu…
o Hệ thống kiểm tra tính duy nhất của Tên đăng nhập & địa chỉ thƣ.
Nếu đã đƣợc sử dụng trong hệ thống, khách hàng phải lựa chọn một
tên khác
o Nếu quá trình cung cấp thông tin hoàn tất và không gặp lỗi nào, hệ
thống thực hiện “tạo” cặp khóa bí mật – công khai theo thuật toán
RSA, sau đó gửi khóa bí mật dƣới dạng file đính kèm về địa chỉ thƣ
mà khách hàng đã cung cấp. Khóa công khai đƣợc lƣu trữ trong
CSDL
o Cặp khóa bí mật – công khai này bảo đảm tính duy nhất, không
trùng lặp giữa tất cả các thành viên của hệ thống
o Khách hàng sau khi kiểm tra địa chỉ thƣ, nhận đƣợc đầy đủ các
thông tin cần phải thực hiện thao tác “xác nhận” trƣớc khi thực hiện
đƣợc bất kỳ giao dịch nào. Thao tác này là cần thiết, để tránh
trƣờng hợp mạo danh, sử dụng email của ngƣời khác một cách
không hợp lệ.
o Sau khi thao tác này hoàn thành, khách hàng đƣợc quyền thực hiện
các giao dịch của mình, theo những chức năng mà hệ thống đã cung
cấp.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 78
4. Thực hiện mua hàng
Khách hàng thực hiện việc mua hàng, cũng hoàn toàn giống các bƣớc
chọn hàng trong siêu thị, nhƣng khác là trên một hệ thống điện tử, siêu thị
trực tuyến
Thao tác 1: Xem hàng và chọn hàng. Khách hàng lƣớt web, xem hệ thống
cung cấp những mặt hàng nào, chủng loại nào, nếu tìm đƣợc hàng phù hợp
thì thực hiện thao tác chọn mua hàng. Sau thao tác này, mặt hàng đƣợc chọn
sẽ nằm trong một “đơn hàng”, và khách hàng có thể thay đổi lại đơn hàng
theo các thao tác nhƣ: không chọn sản phẩm nào đó, thay đổi số lƣợng cần
mua của mỗi sản phẩm, hủy toàn bộ đơn hàng
Thao tác 2: Chấp nhận mua hàng. Sau khi chọn xong các sản phẩm, khách
hàng thực hiện thao tác “Chấp nhận mua hàng”. Chức năng này thực hiện cập
nhập dữ liệu về hàng hóa của khách hàng vào hệ thống các đơn hàng chờ
đƣợc xử lý. Nếu khách hàng chƣa thực hiện đăng nhập, hệ thống không xác
định đƣợc định danh ngƣời dùng đang truy cập là ai, từ đó website sẽ chuyển
hƣớng đến trang đăng nhập. Trong trang này, khách hàng cần cung cấp các
thông tin gồm: Tên đăng nhập và Mật khẩu, nếu các thông tin này đúng hoặc
đã đăng nhập thành công trƣớc đó, hệ thống sẽ tự động chuyển đến trang xử
lý đặt mua hàng và thông báo cho khách hàng. Sau thao tác này, khách hàng
nhận đƣợc email thông báo tình trạng đơn hàng, và đƣờng dẫn duy nhất để
thực hiện kích hoạt đơn hàng.
Thao tác 3: Kích hoạt đơn hàng. Khi đơn hàng chƣa đƣợc kích hoạt, dữ liệu
về các sản phẩm, hàng hóa đặt mua đã đƣợc mã hóa theo thuật toán RSA, sử
dụng khóa chung để mã hóa các thông tin đơn hàng, bảo đảm thông tin đƣợc
bảo mật và không bị tiết lộ nếu không có khóa bí mật hợp lệ để giải mã.
Khách hàng thực hiện kích hoạt theo đƣờng dẫn đã cung cấp trong email, tiếp
đó hệ thống sẽ yêu cầu cung cấp khóa bí mật bằng cách khách hàng browse
để chọn file chứa khóa bí mật, file này đã đƣợc hệ thống cung cấp khi thực
hiện đăng ký. Hệ thống sẽ sử dụng khóa bí mật này (chỉ lƣu trong bộ nhớ
RAM máy tính) để giải mã các thông tin mã hóa ở trên, để tìm ra số sản
phẩm đã mua, số lƣợng tƣơng ứng với mỗi sản phẩm, để từ đó, tính giá trị
đơn hàng và chuyển dữ liệu cho module xử lý khấu trừ tiền trong tài khoản.
Nếu một ngƣời nào đó nhận đƣợc đƣờng dẫn này và cũng thực hiện kích hoạt
đơn hàng, nhƣng không có khóa bí mật hợp lệ, thì sẽ không thể thực hiện
đƣợc việc giải mã và mua hàng.
5, Các thức thực hiện mã hóa và giải mã
5.1 Mã hóa đơn hàng
Các sản phẩm trong một đơn hàng đƣợc đặc trƣng bởi: Mã sản phẩm, số
lƣợng cần mua. Các thông tin khác nhƣ: giá bán, tên hàng… đều đƣợc lƣu
trữ trong CSDL của website, không cần thiết phải đƣa vào xâu ký tự cần
mã hóa.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 79
Từ đó plain text cần mã hóa gồm: PT = {Mã-hàng-hóa}/{Số-lƣợng-cần-
mua}[^]. Từ đó, khi khách hàng chọn mua 5 sản phẩm thì xâu ký tự cần
thực hiện mã hóa sẽ là: PT = sp01/3^sp12/9^sp32/1^sp45/8^sp983/2, diễn
giải ra sẽ là: mua Sản phẩm có mã là sp01 số lƣợng 3 chiếc (cái), sản
phẩm có mã sp12 số lƣợng 9, sản phẩm có mã là sp32 số lƣợng 1, sản
phẩm có mã sp45 số lƣợng 8, sản phẩm có mã 983 số lƣợng 2. Hàm thực
hiện mã hóa sẽ mã hóa PT thành ET (encoded text), sử dụng khóa công
khai của ngƣời đã đặt mua hàng. Xâu ET này sẽ không thể có ý nghĩa nếu
không đƣợc giải mã, việc giải mã đòi hỏi phải có khóa riêng của khách
hàng
5.2 Giải mã đơn hàng
Xâu ký tự đã mã hóa ET đƣợc hàm giải mã thực hiện decode (giải mã) sau
khi khách hàng cung cấp một khóa riêng hợp lệ. Nếu quá trình giải mã
thành công, hệ thống sẽ nhận đƣợc xâu PT nhƣ trƣớc khi thực hiện mã
hóa, từ đó chứng tỏ ngƣời kích hoạt đơn hàng là hợp lệ, và tiến hành
thanh toán, trừ tiền trong tài khoản bình thƣờng
Ví dụ khi thực hiện mã hóa/giải mã
Khóa bí mật và công khai
Thành viên của hệ thống là anhtuan, sau khi đăng ký sẽ đƣợc hệ thống cung
cấp các khóa công khai, khóa bí mật nhƣ sau:
PrivateKey:
YTozOntpOjA7czozMjoiEwUyThq8gAfqCKXW2F/gjMYjOPo6J34rmP6b8
vY+TMoiO2k6MTtzOjMyOiIBv4wLNs8ExGUG+mvRNP2p+2cjRKAH0Dt
mFTE0lebYQyI7aToyO3M6NzoicHJpdmF0ZSI7fQ==
PublicKey:
YTozOntpOjA7czozMjoiEwUyThq8gAfqCKXW2F/gjMYjOPo6J34rmP6b8
vY+TMoiO2k6MTtzOjM6IgEAASI7aToyO3M6NjoicHVibGljIjt9
Nhìn vào hai khóa này, chắc chắn mỗi chúng ta đều không biết ý nghĩa của
nó, nhƣng nó đƣợc sinh ra khi ta sử dụng mã hóa theo thuật toán RSA
II. cµi ®Æt c¸c chøc n¨ng b¶o mËt vµ an toµn th«ng tin trªn web
site mua b¸n linh kiÖn m¸y tÝnh
1. Thủ tục đăng kí thành viên
Thủ tục này đƣợc xây dựng cùng với chức năng đăng ký thành viên, sau khi
khách hàng điều đầy đủ các thông tin cá nhân cần thiết nhƣ email, mật khẩu, tên
đầy đủ, địa chỉ…và form này đƣợc đệ trình, khi đó Server sẽ tiến hành việc cập
nhật các thông tin này vào cơ sở dữ liệu, trƣớc khi cập nhật, mật khẩu khách
hàng sẽ đƣợc mã hoá bằng phƣơng pháp mã hoá DES (hoặc có thể là Triple –
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 80
DES, AES hay bất kỳ hệ mật mã khoá đối xứng nào khác để đảm bảo rằng mật
khẩu của khách hàng đƣợc giữ kín).
Nếu khách hàng đăng kí thành công thì hệ thống website sẽ gửi cho khách hàng
một thông báo vào địa chỉ email mà khách hàng đã đăng kí kèm theo một khoá
riêng private key dƣới dạng một file văn bản tex khách hàng phải lƣu giữ khoá
riêng này nhƣ chữ kí số của riêng mình thông báo nhƣ sau:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 81
2. Khách hàng lựa chọn mua hàng trên website
Sau khi đã đăng kí là thành viên của website khách hàng mới có quyền chọn
hàng và mua hàng trên trang giới thiệu các mặt hàng của website.
Khách hàng lƣớt web, xem hệ thống cung cấp những mặt hàng nào, chủng loại
nào, nếu tìm đƣợc hàng phù hợp thì thực hiện thao tác chọn mua hàng. Sau thao
tác này, mặt hàng đƣợc chọn sẽ nằm trong một “đơn hàng”, và khách hàng có
thể thay đổi lại đơn hàng theo các thao tác nhƣ: không chọn sản phẩm nào đó,
thay đổi số lƣợng cần mua của mỗi sản phẩm, hủy toàn bộ đơn hàng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 82
Sau khi chọn xong các sản phẩm, khách hàng thực hiện thao tác “Chấp nhận
mua hàng”. Chức năng này thực hiện cập nhập dữ liệu về hàng hóa của khách
hàng vào hệ thống các đơn hàng chờ đƣợc xử lý. Hệ thống website sẽ gửi cho
khách hàng một thông báo về hoá đơn các mặt hàng mà khách hàng vừa chọn
kèm theo các thông tin về giá cả và địa chỉ nhận hàng nhƣ sau:
Khách hàng thực hiện kích hoạt theo đƣờng dẫn đã cung cấp trong email, tiếp đó
hệ thống sẽ yêu cầu cung cấp khóa bí mật bằng cách khách hàng browse để chọn
file chứa khóa bí mật, file private key này đã đƣợc hệ thống cung cấp khi thực
hiện đăng ký. Hệ thống website sẽ xác thực khách hàng bằng khoá private key
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 83
và gửi lại cho khách hàng một thông báo có chứa đầy đủ hoá đơn mua hàng của
khách hàng và tổng số tiền mà khách hàng phải trả từ tài khoản của mình.
Kết thúc quá trình giao dịch mua bán máy tính thông qua dịch vụ INTERNET
và tài khoản của cá nhân tại các ngân hàng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 84
kÕt luËn
Với sự phát triển mang tính toàn cầu của mạng Internet và TMĐT, con
ngƣời có thể giao tiếp dễ dàng trong một cộng đồng rộng lớn. Tuy nhiên đối với
các giao dịch mang tính nhạy cảm, cần phải có cơ chế đảm bảo an toàn trong
phiên giao dịch đó. Cần thiết hơn cả đó là mỗi bên cần xác định chính xác ngƣời
mình đang giao tiếp có đúng là đối tác mong đợi hay không. Trong luận văn
này, em đã đề cập đến hai kỹ thuật chính trong an toàn thông tin đó là mã hoá và
ký số cùng với những vấn đề liên quan đến bảo mật ứng dụng Web. Hai kỹ thuật
này cũng đƣợc áp dụng phần nào trong việc xác thực đối tác trong mỗi phiên
giao dịch.
Về kỹ thuật mã hoá, có hai phƣơng pháp: Mã hoá đối xứng và mã hoá khoá
khoá công khai. Mã hoá đảm bảo an toàn về thông tin giao tiếp nhƣng không đảm
bảo liệu thông tin có bị giả mạo hoặc có bị mạo danh hay không. Vấn đề chủ yếu
nằm ở việc quản lý khoá mã hoá và giải mã ở cả hai phƣơng pháp mã hoá.
Đối với phƣơng pháp ký số, dựa vào chữ ký cùng cặp khoá riêng và công
khai, chúng ta có thể xác định chính xác đối tác trong giao dịch. Em cũng đã tìm
hiểu hai loại chữ ký: Chữ ký kèm thông điệp và chữ ký sinh thông điệp cùng hai
sơ đồ ký đƣợc chấp nhận và sử dụng rộng rãi: RSA, DSS.
Có một vấn đề đặt ra đối với chữ ký số, liệu chúng ta có đảm bảo chính xác
chữ ký hoặc khoá khoá công khai là thuộc đối tác hay không. Có rất nhiều cách
tấn công vào chữ ký số, trong đó phổ biến là phƣơng pháp mạo danh chữ ký.
Giải pháp khắc phục đƣa ra là sử dụng chứng chỉ số cho khoá khoá công khai
nhằm đảm xác thực tính đúng đắn của đối tác trong giao dịch. Tuy nhiên, do
điều kiện về mặt thời gian còn hạn chế, em không thể nghiên cứu kỹ lƣỡng về
chứng chỉ số cho khoá công khai mà tập trung vào việc tìm hiểu một số các giao
thức bảo mật ứng dụng web, cụ thể là cài đặt một số quy trình giao dịch sử dụng
tới các phƣơng pháp mã hoá thông tin cũng nhƣ ký số. Em cũng đã cố gắng hết
sức để phát triển ứng dụng theo mô hình thƣơng mại điện tử sử dụng SET,
nhƣng do thực tế ở Việt Nam hiện nay không tồn tại một cách đầy đủ các thành
phần tham gia SET, vì vậy ứng dụng sẽ gặp khó khăn khi triển khai trong thực
tiễn.
Trong thời gian tới, em sẽ tiếp tục phát triển đề tài với phƣơng hƣớng cụ
thể nhƣ sau:
Tiếp tục tìm hiểu hơn và thực nghiệm với một số phƣơng pháp mã hoá
khoá đối xứng nhƣ Triple – DES, RC4, IDEA; các phƣơng pháp mã hoá khoá
công khai nhƣ Elgamal, Rabin, Knapsack, Eliptic Curve.
Cải tiến và nâng cao hiệu quả của các module đã cài đặt trên webssite cũng
nhƣ các kỹ thuật cài đặt khác.
._.
Các file đính kèm theo tài liệu này:
- LA9033.pdf