CHỮ kí điện tử và ỨNG DỤNG của CHỮ kí điện tử

53 440 0
CHỮ kí điện tử và ỨNG DỤNG của CHỮ kí điện tử

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

CHỮ KÍ ĐIỆN TỬ ĐẠI HỌC KINH TẾ QUỐC DÂN KHOA CÔNG NGHỆ THÔNG TIN K46 CHỮ KÍ ĐIỆN TỬ VÀ ỨNG DỤNG CỦA CHỮ KÍ ĐIỆN TỬ Sinh viên thực : Giáo viên hướng dẫn : 07/2007 Phạm Thị Dung Th.S Lưu Minh Tuấn CHỮ KÍ ĐIỆN TỬ Mục lục : I Thương mại điện tử chữ kí điện tử .4 Thương mại điện tử ? Thương mại điện tử ? 1.1 Định nghĩa .4 1.2 Lý thuyết kinh tế học 1.3 Các loại thị trường điện tử .7 1.4 Qui định pháp luật thương mại điện tử .8 Khái niệm chữ kí điện tử chữ kí số 10 Khái niệm chữ kí điện tử chữ kí số 10 2.1 Lịch sử đời chữ kí điện tử: 10 2.2 Khái niệm mô hình chung chữ kí điện tử 11 Tính chất chữ kí số: .13 Tính chất chữ kí số: .13 3.1 Khả nhận thực .13 3.2 Tính toàn vẹn .14 3.3 Tính phủ nhận .14 II Các phương pháp mã hóa sử dụng chữ kí điện tử .14 Mã hóa gì? 15 Mã hóa gì? 15 1.1 Giới thiệu mã hóa 15 1.2 Nói thêm thuật toán mã hóa khóa public 18 Mã hóa sử dụng RSA 18 Mã hóa sử dụng RSA 18 2.1 Lịch sử đời .19 2.2 Cách thức hoạt động RSA .19 Mã hóa sử dụng SHA 26 Mã hóa sử dụng SHA 26 Mã hóa sử dụng DSA 35 Mã hóa sử dụng DSA 35 III Một số vấn đề khác thương mại điện tử chữ kí điện tử 37 Chức thực hóa công khai 37 Chức thực hóa công khai 37 Giao thức SSL 38 Giao thức SSL 38 2.1 Giới thiệu SSL 38 2.2 Cơ chế làm việc SSL 39 IV Kết luận .53 07/2007 CHỮ KÍ ĐIỆN TỬ 07/2007 CHỮ KÍ ĐIỆN TỬ I Thương mại điện tử chữ kí điện tử Thương mại điện tử ? Thương mại điện tử (còn gọi thị trường điện tử, thị trường ảo, E-Commerce hay E-Business) quy trình mua bán ảo thông qua việc truyền liệu máy tính sách phân phối tiếp thị Tại mối quan hệ thương mại hay dịch vụ trực tiếp người cung cấp khách hàng tiến hành thông qua Internet Hiểu theo nghĩa rộng, thương mại điện tử bao gồm tất loại giao dịch thương mại mà đối tác giao dịch sử dụng kỹ thuật thông tin khuôn khổ chào mời, thảo thuận hay cung cấp dịch vụ Thông qua chiến dịch quảng cáo IBM thập niên 1990, khái niệm Electronic Business, thường dùng tài liệu, bắt đầu thông dụng Thuật ngữ ICT (viết tắt từ tiếng Anh information commercial technology) có nghĩa thương mại điện tử, ICT hiểu theo khía cạnh công việc chuyên viên công nghệ 1.1 Định nghĩa Khó tìm định nghĩa có ranh giới rõ rệt cho khái niệm Khái niệm thị trường điện tử biết đến lần qua công trình Malone, Yates Benjamin lại không định nghĩa cụ thể Các công trình nhắc đến tồn thị trường điện tử hệ thống điện tử thông qua sử dụng công nghệ thông tin công nghệ truyền thông Chiến dịch quảng cáo IBM năm 1998 dựa khái niệm "E-Commerce" sử dụng từ khoảng năm 1995, khái niệm mà ngày xem lãnh vực nằm kinh doanh điện tử (E-Business) Các quy trình kinh doanh điện tử nhìn từ phương diện nội doanh nghiệp (quản lý dây chuyền cung ứng – Supply Chain Management, thu mua điện tử- E-Procurement) hay từ phương diện doanh nghiệp (thị trường điện tử, E-Commerce, ) Khái niệm cửa hàng trực tuyến (Onlineshop) dùng để diễn tả việc bán hàng thông qua trang Web Internet thương nhân Hiện định nghĩa thương mại điện tử nhiều tổ chức quốc tế đưa song chưa có định nghĩa thống thương mại điện tử Nhìn cách tổng quát, định nghĩa thương mại điện tử chia thành hai nhóm tuỳ thuộc vào quan điểm: Hiểu theo nghĩa hẹp: Theo nghĩa hẹp, thương mại điện tử đơn bó hẹp thương mại điện tử việc mua bán hàng hóa dịch vụ thông qua phương tiện điện tử, qua Internet mạng liên thông khác Theo Tổ chức Thương mại Thế giới (WTO), "Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng phân phối sản phẩm mua bán toán mạng Internet, giao nhận cách hữu hình, sản phẩm giao nhận 07/2007 CHỮ KÍ ĐIỆN TỬ thông tin số hoá thông qua mạng Internet" Theo Uỷ ban Thương mại điện tử Tổ chức hợp tác kinh tế châu Á-Thái Bình Dương (APEC), "Thương mại điện tử công việc kinh doanh tiến hành thông qua truyền thông số liệu công nghệ tin học kỹ thuật số" Hiểu theo nghĩa rộng: Thương mại điện tử hiểu theo nghĩa rộng giao dịch tài thương mại phương tiện điện tử như: trao đổi liệu điện tử, chuyển tiền điện tử hoạt động gửi/rút tiền thẻ tín dụng Theo quan điểm này, có hai định nghĩa khái quát đầy đủ phạm vi hoạt động Thương mại điện tử: Luật mẫu Thương mại điện tử Uỷ ban Liên hợp quốc Luật Thương mại quốc tế (UNCITRAL) định nghĩa: "Thuật ngữ thương mại [commerce] cần diễn giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hệ mang tính chất thương mại dù có hay hợp đồng Các quan hệ mang tính thương mại [commercial] bao gồm, không bao gồm, giao dịch sau đây: giao dịch cung cấp trao đổi hàng hoá dịch vụ; thoả thuận phân phối; đại diện đại lý thương mại, uỷ thác hoa hồng (factoring), cho thuê dài hạn (leasing); xây dựng công trình; tư vấn, kỹ thuật công trình (engineering); đầu tư; cấp vốn, ngân hàng; bảo hiểm; thoả thuận khai thác tô nhượng, liên doanh hình thức hợp tác công nghiệp kinh doanh; chuyên chở hàng hoá hay hành khách đường biển, đường không, đường sắt đường bộ" Theo định nghĩa này, thấy phạm vi hoạt động thương mại điện tử rộng, bao quát hầu hết lĩnh vực hoạt động kinh tế, hoạt động mua bán hàng hoá dịch vụ phạm vi nhỏ thương mại điện tử Theo Uỷ ban châu Âu: "Thương mại điện tử hiểu việc thực hoạt động kinh doanh qua phương tiện điện tử Nó dựa việc xử lý truyền liệu điện tử dạng text, âm hình ảnh" Thương mại điện tử định nghĩa gồm nhiều hành vi đó: hoạt động mua bán hàng hoá; dịch vụ; giao nhận nội dung kỹ thuật số mạng; chuyển tiền điện tử; mua bán cổ phiếu điện tử, vận đơn điện tử; đấu giá thương mại; hợp tác thiết kế; tài nguyên mạng; mua sắm công cộng; tiếp thị trực tiếp với người tiêu dùng dịch vụ sau bán hàng; thương mại hàng hoá (như hàng tiêu dùng, thiết bị y tế chuyên dụng) thương mại dịch vụ (như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); hoạt động truyền thống (như chăm sóc sức khoẻ, giáo dục) hoạt động (như siêu thị ảo) Theo quan điểm thứ hai nêu trên, "thương mại" (commerce) "thương mại điện tử" không buôn bán hàng hoá dịch vụ (trade) theo hiểu thông thường, mà bao quát phạm vi rộng lớn nhiều, việc áp dụng thương mại điện tử làm thay đổi hình thái hoạt động hầu hết kinh tế Theo ước tính đến nay, thương mại điện tử có tới 1.300 lĩnh vực ứng dụng, đó, buôn bán hàng hoá dịch vụ lĩnh vực ứng dụng 07/2007 CHỮ KÍ ĐIỆN TỬ Các điểm đặc biệt thương mại điện tử so với kênh phân phối truyền thống tính linh hoạt cao độ mặt cung ứng giảm thiểu lớn phí tổn vận tải với đối tác kinh doanh Các phí tổn khác thí dụ phí tổn điện thoại lại để thu nhập khác hàng hay phí tổn trình bày giới thiệu giảm xuống Mặc dù vậy, dịch vụ vật chất cụ thể, khoảng cách không gian phải khắc phục đòi hỏi khả tiếp vận phù hợp định Ngày người ta hiểu khái niệm thương mại điện tử thông thường tất phương pháp tiến hành kinh doanh quy trình quản trị thông qua kênh điện tử mà Internet hay kỹ thuật giao thức sử dụng Internet đóng vai trò công nghệ thông tin coi điều kiện tiên Một khía cạnh quan trọng khác thay đổi phương tiện truyền thông, đặc trưng cho việc tiến hành kinh doanh truyền thống Thêm vào tác động người vào quy trình kinh doanh giảm xuống đến mức tối thiểu Trong trường hợp người ta gọi Thẳng đến gia công (Straight Through Processing) Để làm điều đòi hỏi phải tích hợp rộng lớn các tính kinh doanh Nếu liên kết hệ thống ứng dụng từ lãnh vực có tính khác hay liên kết vượt qua ranh giới doanh nghiệp cho mục đích lãnh vực ứng dụng truyền thống tích hợp ứng dụng doanh nghiệp.Quản lý nội dung doanh nghiệp (Enterprise Content Management – ECM) xem công nghệ cho kinh doanh điện tử 1.2 Lý thuyết kinh tế học Kinh tế quốc dân Các hiểu biết tính chất đặc biệt kinh doanh điện tử phát sinh từ lý thuyết Kinh tế học tân cổ điển (Neoclassical economics) bị từ bỏ Lý thuyết đặt tiên đề, việc khác, hàng hóa đồng nhất, thị trường minh bạch hoàn toàn ưu đãi, mức trừu tượng hóa cao độ xa rời thực tế Lý thuyết Kinh tế học thể chế Mới tạo khả miêu tả sống kinh tế cách gần thực tế Trong khuôn khổ lý thuyết Kinh tế học thể chế mới, phí tổn giao dịch đóng vai trò quan trọng Internet làm giảm phí tổn giao dịch giai đoạn tìm khởi đầu giao dịch Ngay giai đoạn tiến hành có khả giảm phí tổn chuyên chở Nói chung phí tổn cho giao dịch thị trường giảm việc điều phối thông qua thị trường có lợi Kinh tế nhà máy Mục đích doanh nghiệp biến đổi đến thương mại điện tử giảm thiểu chi phí doanh nghiệp Các biện pháp nhằm để giảm thiểu chi phí trước tiên bao gồm việc tối ưu hóa quy trình kinh doanh tồn thành lập quy trình dựa tảng công nghệ Internet Thông qua việc tích hợp tính doanh nghiệp dọc theo chuỗi giá trị, việc tiến hành kinh doanh có hiệu cao Các lợi cho doanh nghiệp là: 07/2007 CHỮ KÍ ĐIỆN TỬ • • • • • • • Khả giao tiếp với khách hàng Khách hàng hài lòng Nâng cao hình ảnh doanh nghiệp Khai thác kênh bán hàng Có thêm khách hàng Tăng doanh thu Tăng hiệu Phân cách kỹ thuật số Khái niệm "phân cách kỹ thuật số" (tiếng Anh: digital divide) diễn tả việc chia cắt giới làm hai phần: phần mà việc sử dụng phương tiện truyền thông điện tử phát triển phần phát triển Các nhà kinh tế học tin việc sử dụng thương mại điện tử nâng cao tăng trưởng kinh tế kinh tế quốc dân nước phát triển cao tiếp tục tăng khoảng cách bỏ xa nước phát triển 1.3 Các loại thị trường điện tử Tùy thuộc vào đối tác kinh doanh người ta gọi thị trường B2B, B2C, C2B hay C2C Thị trường mở thị trường mà tất người đăng ký tham gia Tại thị trường đóng có số thành viên định mời hay cho phép tham gia Một thị trường ngang tập trung vào quy trình kinh doanh riêng lẻ định, thí dụ cung cấp: nhiều doanh nghiệp từ ngành khác tham gia người mua liên hệ với nhóm nhà cung cấp Ngược lại, thị trường dọc mô nhiều quy trình kinh doanh khác ngành hay nhóm người dùng Sau sóng lạc quan thương mại điện tử năm 1990 qua đi, thời gian mà xuất nhiều thị trường điện tử, người ta cho sau trình tập trung có số thị trường lớn tiếp tục tồn Thế bên cạnh ngày nhiều thị trường chuyên môn nhỏ Ngày tình hình khác hẳn đi: công nghệ để thực thị trường điện tử rẻ nhiều Thêm vào xu hướng kết nối nhiều thông tin chào hàng khác thông qua giao diện lập trình ứng dụng để thành lập thị trường chung có mật độ chào hàng cao (thí dụ Khu chợ Amazon) Ngoài thị trường độc lập trước tích hợp ngày nhiều giải pháp phần mềm cho cổng Web toàn diện Phân loại thương mại điện tử Thương mại điện tử phân loại theo tính cách người tham gia • • Người tiêu dùng o C2C (Consumer-To-Comsumer) Người tiêu dùng với người tiêu dùng o C2B (Consumer-To-Business) Người tiêu dùng với doanh nghiệp o C2G (Consumer-To-Government) Người tiêu dùng với phủ Doanh nghiệp o B2C (Business-To-Consumer) Doanh nghiệp với người tiêu dùng 07/2007 CHỮ KÍ ĐIỆN TỬ B2B (Business-To-Business) Doanh nghiệp với doanh nghiệp B2G (Business-To-Government) Doanh nghiệp với phủ B2E (Business-To-Employee) Doanh nghiệp với nhân viên Chính phủ o G2C (Government-To-Consumer) Chính phủ với người tiêu dùng o G2B (Government-To-Business) Chính phủ với doanh nghiệp o G2G (Government-To-Government) Chính phủ với phủ o o o • 1.4 Qui định pháp luật thương mại điện tử Quy định Áo Thương mại điện tử điều chỉnh Áo trước tiên Luật Thương mại điện tử (E-Commerce-Gesetz ECG), Luật bán hàng từ xa (Fernabsatzgesetz), Luật chữ ký (Signaturgesetz), Luật kiểm soát nhập hàng (Zugangskontrollgesetz) Luật tiền điện tử (E-GeldGesetz), mà quy định pháp luật hợp đồng bồi thường Luật Dân Áo (Allgemeine bürgerliche Gesetzbuch - ABGB), không thay đổi quy định đặc biệt trên, có giá trị Quy định Đức Nằm điều 312b sau Luật dân (Bürgerliche Gesetzbuch – BGB) (trước Luật bán hàng từ xa) quy định đặc biệt gọi hợp đồng bán hàng từ xa Ngoài việc khác quy định trách nhiệm thông tin cho người bán quyền bãi bỏ hợp đồng cho người tiêu dùng Cũng quan hệ này, Luật dịch vụ từ xa (Teledienstgesetz) ấn định bên cạnh nguyên tắc nước xuất xứ (điều 4) toàn thông tin mà người điều hành trang web có tính chất hành nghề, doanh nghiệp nhỏ, có nhiệm vụ phải cung cấp (điều 6) điều chỉnh trách nhiệm doanh nghiệp (điều đến điều 11) Ở hợp đồng ký kết trực tuyến thường hay không rõ ràng luật sử dụng Thí dụ hợp đồng mua ký kết điện tử luật nước mà người mua cư ngụ, nước mà người bán đặt trụ sở nước mà máy chủ đặt Luật pháp kinh doanh điện tử gọi "luật cắt ngang" Thế điều không rõ ràng luật pháp hoàn toàn nghĩa lãnh vực kinh doanh điện tử vùng luật pháp Hơn nữa, quy định Luật dân quốc tế (tiếng Anh: private intenational law) áp dụng Tại nước Đức quy định luật lệ châu Âu thương mại tích hợp Luật dân sự, phần đại cương quy định bảo vệ người tiêu dùng Mặt kỹ thuật thương mại điện tử điều chỉnh Hiệp định quốc gia dịch vụ phương tiện truyền thông tiểu bang Luật dịch vụ từ xa liên bang mà thật nội dung hai luật không khác biệt nhiều Quy định Việt Nam 07/2007 CHỮ KÍ ĐIỆN TỬ Cơ sở pháp lý điều chỉnh hoạt động thương mại điện tử Việt Nam đời muộn so với nhiều nước giới Cuối năm 2005, Việt Nam có "Luật Giao dịch điện tử" năm 2006 đời Nghị định hướng dẫn thi hành luật Tới đầu năm 2007, Chính phủ Việt Nam ban hành Nghị định số 27/2007/NĐ-CP ngày 23/02/2007 "Về giao dịch điện tử hoạt động tài chính", số 26/2007/NĐ-CP ngày 15/02/2007 "Quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số", số 35/2007/NĐ-CP ngày 08/03/2007 "Về giao dịch điện tử hoạt động ngân hàng" Phương diện xuyên biên giới Để đơn giản hóa thương mại điện tử xuyên biên giới để bảo vệ người tiêu dùng tham gia, Chỉ thị thương mại điện tử EU (chỉ thị 2000/31/EG) thỏa thuận sở luật pháp tiêu chuẩn tối thiểu cho cộng đồng châu Âu Để đơn giản hóa giao dịch, Liên minh châu Âu, quan hệ nợ hợp đồng mang lại, có tự chọn lựa luật lệ phái tham gia Hợp đồng người tiêu dùng, điều ngoại lệ, quy định không phép thông qua việc lựa chọn luật lệ mà vô hiệu hóa việc bảo vệ người tiêu dùng xuát phát từ quy định bắt buộc quốc gia mà người tiêu dùng cư ngụ, trước ký kết hợp đồng có chào mời rõ rệt hay quảng cáo quốc gia người tiêu dùng cư ngụ hoạt động Trong lãnh vực B2B thường luật người bán thỏa thuận để đơn giản hóa Việc đưa luật quốc gia người mua vào sử dụng phức tạp người bán phải đối phó với 25 luật lệ khác phần lớn lại viết tiếng nước Thế nguyên tắc quốc gia xuất xứ hoàn hảo: Người mua thường không am hiểu luật lệ nước khác không dễ dàng đại diện cho quyền lợi Ngoài việc hành luật nước thường khác người bán từ số quốc gia định hay có nhiều lợi so với người khác Trên lý thuyết, nước có khả thay đổi luật lệ cách tương ứng để đẩy mạnh kinh tế quốc gia Tuy có mặt bóng tối này, thương mại Internet xuyên quốc gia tất nhiên có nhiều ưu Nhiều hàng bán số nước định Người muốn mua tìm sản phẩm cần dùng Internet với giúp đỡ máy truy tìm đặc biệt so sánh giá người bán nước khác Một phần giá nhóm sản phẩm khác mà thuế giá trị thặng dư khác nhau, tiền gửi hàng cao việc đặt mua nước mang lại nhiều lợi ích Trong phạm vi EU người mua đóng thuế nên phí tổn tổng cộng minh bạch cho người mua Nói tóm lại, thương mại điện tử xuyên biên giới bị ghìm lại có điều không chắn pháp luật có tiềm phát triển lớn Một luật thống cho châu Âu quan tâm nhiều đến lợi ích người tiêu dùng lâu dài chắn mang lại thêm nhiều tăng trưởng 07/2007 CHỮ KÍ ĐIỆN TỬ Việt Nam hoà nhập Internet vào cuối năm 1997, thời gian sau thuật ngữ thương mại điện tử bắt đầu xuất song chưa phát triển Mặc dù lợi ích mà thương mại điện tử mang lại cho kinh tế to lớn song nước ta khoảng thời gian tương đối dài trước ứng dụng rộng rãi thương mại điện tử cho kinh tế quốc dân Khái niệm chữ kí điện tử chữ kí số Một vấn đề thương mại điện tử vấn đề định danh chứng thực Và giải pháp đưa ứng dụng chữ kí điện tử Chữ ký điện tử (tiếng Anh : electronic signature) thông tin kèm theo liệu (văn , hình ảnh, video ) nhằm mục đích xác định người chủ liệu Ngày phát triển internet công nghệ thông tin ngày cao Đã cho phép thực giao dịch điện tử thông qua internet, tính linh hoạt internet tạo hội cho “bên thứ ba” thực hành động bất hợp pháp cụ thể là: Nghe trộm: Thông tin không bị thay đổi bí mật không Ví dụ: Thông tin số thẻ tín dụng, thông tin trao đổi giao dịch… cần bảo mật Giả mạo: Các thông tin truyền bị thay đổi thay trước đến với người nhận ví dụ: Đơn đặt hàng hay lý lịch cá nhân khách hàng… Mạo danh: Thông tin gửi tới cá nhân mạo nhận người nhận hợp pháp theo hai hình thức Hình thức thứ bắt trước, tức cá nhân giả vờ người khác dùng địa mail người khác giả mạo tên miền trang web Hình thức thứ hai xuyên tạc, tức cá nhân hay tổ chức đưa thông tin không thật họ trang web mạo nhận chuyên kinh doanh trang thiết bị nội thất, thực tế lại trang chuyên ăn cắp mã thẻ tín dụng không gửi hàng cho khách Do để đảm bảo an toàn thương mại điện tử giao dich điện tử cần có hình thức bảo mật có hiệu công nghệ phổ biến sử dụng chữ kí điện tử, chữ kí số chứng thực điện tử Chữ ký điện tử sử dụng giao dịch điện tử Xuất phát từ thực tế, chữ ký điện tử cần đảm bảo chức năng: xác định người chủ liệu đó: văn bản, ảnh, video liệu có bị thay đổi hay không Hai khái niệm chữ kí số (digital signature) chữ ký điện tử (electronic signature) thường dùng thay cho chúng không hoàn toàn có nghĩa Chữ ký số tập chữ ký điện tử (chữ ký điện tử bao hàm chữ ký số) 2.1 Lịch sử đời chữ kí điện tử: Con người sử dụng hợp đồng dạng điện tử từ 100 năm với việc 07/2007 10 CHỮ KÍ ĐIỆN TỬ tin bị mã hóa Bạn hiểu nôm na khóa mật khẩu(password) 2.1.4 Các phương pháp mã hóa Có hai phương pháp mã hóa sử dụng phổ biến mã hóa khóa đối xứng mã hóa dùng cặp khóa chung - khóa riêng a Mã hóa khóa đối xứng (symmetric-key) Khóa dùng để mã hóa khóa dùng để giải mã b Mã hóa dùng cặp khóa chung - khóa riêng (public key - private key) Một khe hở mã hóa đối xứng bạn phải chuyển khóa cho người nhận để họ giải mã Việc chuyển khóa không mã hóa qua mạng điều mạo hiểm Nhở khóa rơi vào tay người khác họ giải mã thông tin mà bạn chuyển Phương pháp mã hóa khóa chung - khóa riêng đời nhằm giải vấn đề Thay có khóa dùng chung cho mã hóa giải mã, bạn có cặp khóa gồm khóa chung dùng để mã hóa khóa riêng dùng để mã hóa Bạn cho người khác biết khóa chung bạn để họ mã hóa thông tin gởi đến bạn Chỉ có bạn có khóa riêng để giải mã thông tin Nhở thông tin có rơi vào tay người khác họ giải mã có bạn có khóa riêng mà 2.1.5 Độ dài khóa (key-length) Độ dài khóa tính theo bit: 128bit, 1024bit hay 2048bit, Khóa dài khó phá Chằng hạn khóa RSA 1024bit đồng nghĩa với việc chọn 2^1024 khả 2.1.6 Password & passparse Password passparse gần giống Password không hết hạn(expire) Passparse có hiệu lực khoảng thời gian định năm, 10 năm vài ba ngày Sau thời gian đó, bạn phải thay đổi lại mật Nói chung, thứ SSL passparse, khóa, giấy chứng nhận, chữ kí số (sẽ nói sau), có thời hạn sử dụng định Passparse dùng để mở (mã hóa/giải mã) khóa riêng 2.2 Cơ chế làm việc SSL Để dễ hiểu, phần trình bày qua ví dụ cụ thể: Alice trao đổi thông tin với Bob công nghệ khóa chung {something}key có nghĩa something mã hóa giải mã key Alice cần chắn nói chuyện với Bob mà khác Alice tiến hành xác thực(authenticate) Bob.Bob có cặp khóa gồm khóa 07/2007 39 CHỮ KÍ ĐIỆN TỬ chung khóa riêng Bob cho Alice biết trước khóa chung (sẽ nói sau cách nào) Alice tạo thông điệp ngẫu nhiên(random message) gởi đến Bob: A->B message ngẫu nhiên Bob dùng khóa riêng để mã hóa thông điệp vừa nhận gởi trả lại cho Alice: B->A {message ngẫu nhiên}khóa-riêng-của-bob Alice nhận message từ Bob, dùng khóa chung Bob để giải mã message sau so sánh message vừa giải mã với random-message gởi Nếu giống nhau, Alice tin nói chuyện với Bob 2.2.1 Bản tóm tắt (digest) Thay phải mã hóa toàn message nhận từ Alice, Bob xây dựng tóm tắt(digest) message hàm băm chiều (hash one-way), sau mã hóa digest khóa riêng gởi cho Alice Alice dùng khóa chung Bob để giải mã digest Bob gởi tới tính digest message gởi đi, sau so sánh hai digest với Nếu trùng nhau, có nghĩa Alice tin nói chuyện với Bob Digest thực chất là số nguyên(integer) Hai thuật toán phổ biến dùng để tạo digest MD5 hash 128bit, SHA hash 160 bit Ai có digest Bob suy luận message nguyên bản(original) digest giá trị hash chiều Hai message khác có digest khác nhau, khả trùng xấp xỉ 2.2.2 Chữ kí điện tử (digital signature) Theo cách Bob kí(sign) message Alice gởi tới, nhở thay đổi message sao? Vì cần thay đổi chút sau: A->B Chào, Có phải Bob không? B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Như bạn thấy Bob không kí message Alice Thay vào đó, Bob gởi mesage khác(không bị mã hóa) digest của message (đã mã hóa khóa riêng Bob) đến cho Alice Bob tin tưởng vào Alice dễ dàng thẩm tra Bob cách dùng khóa chung Bob giải mã digest nhận được, sau tính digest message nhận từ Bob so sánh hai digest với Digest mà Bob gởi tới Alice chữ kí điện tử Nó kí cho message "Alice, Mình Bob đây!" để đảm bảo chắn message không bị thay đổi đến Alice Nếu thay đổi Alice biết qua việc thẩm tra digest 07/2007 40 CHỮ KÍ ĐIỆN TỬ 2.2.3 Trao khóa chung Bob trao khóa chung cho Alice cách nào? Bạn xem thử giao thức sau: A->B Xin chào! B->A Chào, Mình Bob Đây khóa chung mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Với cách giả mạo Bob trao khóa chung họ cho Alice, làm cho Alice tưởng lầm nói chuyện với Bob Để giải vấn đề này, Alice Bob dùng giấy chứng nhận điện tử 2.2.4 Giấy chứng nhận điện tử (digital certificate) Giấy chứng nhận điện tử dùng để chứng nhận khóa chung cá nhân Một giấy chứng nhận điện tử thường bao gồm thứ sau: * Tên quan cấp giấy chứng nhận (issuer's name) * Tên thực thể(entity) cấp giấy chứng nhận(còn gọi đối tượng - subject) khóa chung subject * Tên thời gian(time-stamps) cho biết thời gian có hiệu lực giấy chứng nhận Chỉ có quan có thẩm quyền Certificate Authority (thường gọi tắt CA) đươc phép cấp giấy chứng nhận Giấy chứng nhận kí khóa riêng người cấp CA tổ chức theo dạng "hierarchy" tương tự domainname Dĩ nhiên bạn tạo CA cho riêng cho Chúng ta xem giao thức này: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! 07/2007 41 CHỮ KÍ ĐIỆN TỬ B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob Ai dùng giấy chứng nhận Bob để giả mạo Bob bị Alice phát ngay! A->M Xin chào M->A Chào, Mình Bob Đây giấy chứng nhận mình! A->M Hãy đưa chứng đi! M->A ??? Mallet khóa riêng Bob nên xây dựng message để Alice tin Bob 2.2.5 Trao đổi khóa bí mật (secret-key) Sau Alice xác thực nói chuyện với Bob, Alice gởi cho Bob message bị mã hóa khóa chung Bob: A->B {khóa bí mật}khóa-chung-của-bob Bằng cách này, có Bob giải mã message lấy khóa bí mật có Bob biết khóa riêng để giải mã Trao đổi khóa bí mật công nghệ khóa chung an toàn Không ngoại trừ Alice Bob biết khóa bí mật Khóa bí mật biết đến với tên khóa phiên(session key) Kể từ Alice Bob dùng khóa phiên để trao đổi liệu cho Khóa phiên tạo phiên kết nối SSL hoàn toàn bí mật(chỉ có Alice Bob biết) nên an toàn Công nghệ chuyên chở khóa phiên khóa chung dùng khóa phiên khóa đối xứng bí mật để trao đổi liệu cho biết đến với tên mã hóa dùng khóa lai ghép(hybrid), tức kết hợp hai phương pháp mã hóa dung khóa đối xứng khóa chung-khóa riêng Đây giao thức mới: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->B Ok Bob, Đây {khóa bí mật}khóa-chung-của-bob B->A {message 1}khóa-bí-mật B->A {message 2}khóa-bí-mật 07/2007 42 CHỮ KÍ ĐIỆN TỬ 2.2.6 Tấn công man-in-the-middle Giao thức chưa phải an toàn tuyệt đối Mallet ngồi Alice Bob chơi trò công man-in-the-middle sau: A->M Xin chào! M->B Xin chào! B->M Chào, Mình Bob Đây giấy chứng nhận mình! M->A Chào, Mình Bob Đây giấy chứng nhận mình! A->M Hãy đưa chứng đi! M->B Hãy đưa chứng đi! B->M Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob M->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->M Ok Bob, {khóa bí mật}khóa-chung-của-bob M->B Ok Bob, {khóa bí mật}khóa-chung-của-bob B->M {some message}khóa-bí-mật M->A Xén[{some message}khóa-bí-mật] Mallet chuyển tiếp liệu Alice Bob họ trao đổi khóa bí mật Tại thời điểm Alice nghĩ nói chuyện với Bob nên tin tưởng hoàn toàn vào message Bob gởi tới Thực chất Mallet khóa bí mật hoàn toàn xén, thêm sửa đổi liệu gởi từ Bob đến Alice 2.2.7 Mã xác thực thông điệp (MAC) Để ngăn chặn công man-in-the-middle trên, Alice Bob dùng thêm mã xác thực thông điệp (Message Authentication Code) thường gọi tắt MAC Thuật toán tạo MAC đơn giản: MAC = Digest[some message, khóa bí mật] Mallet khóa bí mật nên không tài tính giá trị digest message 07/2007 43 CHỮ KÍ ĐIỆN TỬ Thậm chí Mallet có cắt xén random message tỉ lệ thành công thấp liệu digest vô lớn Ví dụ, dùng MD5, Alice Bob gởi kèm MAC 128bit message Mallet cần trúng giá trị MAC muốn công man-inthe-middle với khả thành công 1/18.446.744.073.709.551.616 khả thời gian vô ngắn Đây toàn giao thức: A->B Xin chào! B->A Chào, Mình Bob Đây giấy chứng nhận mình! A->B Hãy đưa chứng đi! B->A Alice, Mình Bob đây! {digest[Alice, Mình Bob đây!]}khóa-riêng-của-bob A->B Ok Bob, {khóa bí mật}khóa-chung-của-bob {some message, MAC}khóa-bí-mật Kết luận: SSL an toàn bị phá hai Hãy tận dụng sức mạnh SSL để bảo mật cho thông tin quan trọng bạn 07/2007 44 CHỮ KÍ ĐIỆN TỬ Ví dụ sử dụng chữ kí điện tử E-mail Chúng ta bắt tay vào ứng dụng cụ thể sau để hiễu rõ cách thức dùng chũ ký điện tử giao dịch thông thường Trong mô ví dụ này, cần tài khoản e-mail dạng POP3 Tài khoản e-mail POP3 thứ xác lập cho Mike (trong ví dụ Mike dùng để gửi email tài khoản thứ hai xác lập cho Amanda (Amanda dùng để nhận e-mails kiểm tra chữ ký điện tử nhằm xác định mails đến từ Mike ) Cấn kiểm tra kết nối Internet sẵn sàng cho việc gửi nhận e-mails Xin nhắc lại, Mike người gửi (sender) Amanda người nhận mails (receiver) Trong ví dụ này, website công ty cổ phần Storks tài khoản emails họ nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) Internet trì Nhà cung cấp dịch vụ Web cung cấp cho công ty Storks thông tin tài khoản email cho Mike Amanda, tài khoản sử dụng ví dụ Tất nhân viên dùng e-mail Storks dùng Outlook Express Microsoft Outlook chương trình Mail client mặc định Cài đặt tài khoản email POP3 Mike sử dụng Outlook Express chương trình mail client mặc định Đăng nhập vào Windows XP Computer (Pro-1) Mở Outlook Express từ menu chọn Tools, chọn Accounts Click vào Mail tab sau chọn Add, chọn tiếp Mail Sau wizard hướng dẫn Mike bước để điền name, email address thông tin tài khoản POP3 thông tin tài khoản mail cung cấp ISAP nhà cung cấp dịch vụ Web (web hosting) 07/2007 45 CHỮ KÍ ĐIỆN TỬ Lưu ý: Bạn cần cài đặt thêm tài khoản POP3 thứ hai dành cho Amanda theo cách thức để kiểm tra chữ ký điện tử tài liệu nhận từ email Mike Thuê chứng số cá nhân (personal certificate) từ nhà cung cấp chứng số công cộng (public CA) Bước kế tiếp, để gửi mail với chũ ký điện tử, Mike cần liên hệ thuê chứng số cá nhân từ nhà cung cấp chứng số tin cậy (trusted public CA), chẳng hạn Verisign hay Thawte Thuê chứng số từ bên cung cấp thứ ba (3rd party) đánh giá tin cậy điều cần thiết bạn muốn chuyển email an toàn đến người nhận không tổ chức bạn Vì thông thường, tổ chức, để đảm bảo an toàn cho giao dịch nội dùng chữ ký điện tử, tổ chức thường sử dụng dịch vụ cung cấp chứng số an toàn riêng (ví dụ cài đặt triển khai dịch vụ cung cấp chứng số Certificate Authority –CA, Windows Server 2003) Tuy nhiên nhà cung cấp chứng số cục không thường sử dụng cho giao dịch điện tử với giao dịch không tổ chức bạn Chính lý này, nên công ty Storks định sử dụng chứng số nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike giao dịch email dùng chứng số cá nhân Và Mike đăng ký cho tài khoản Personal Email Certificate hoàn toàn miễn phí Truy cập weblink sau tiến hành đăng ký để nhận chứng số cá nhân http://www.thawte.com/secure-email/personal-email- 07/2007 certificates/index.html 46 CHỮ KÍ ĐIỆN TỬ Lưu ý quan trọng: Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn Các thông tin cần thiết hệ thống CA Thawte xử lý tiến trình cấp pháp chứng số cho bạn Đảm bảo phải đọc tất thông tin việc cung cấp chứng số Website Thawte biết việc cần thiết phải thực suốt trình đăng ký Bạn cần cung cấp thông tin cá nhân trả lời câu hỏi xác nhận cho mình.Sau thực đăng ký, bạn nhận email từ Thawte với hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng số Sau quy trình này, bạn nhận tiếp email khác xác nhận chứng số cá nhân Thawte cấp cho bạn Chỉ cần click vào link Email tiến hành cài đặt chứng số Click Yes OK thông báo Certificate Installation Complete xuất Xác nhận điện tử cho emails Một chứng số cá nhân cho email cài đặt , bạn dùng làm chữ ký số mã hóa email gửi Mở Outlook Express dùng tài khoản email POP3 tạo Chọn Tools, chọn Options chọn Security tab Trên tab này, có tùy chọn encrypt and digitally sign your outgoing messages Click Apply OK 07/2007 47 CHỮ KÍ ĐIỆN TỬ 07/2007 48 CHỮ KÍ ĐIỆN TỬ Click vào Create Mail bạn thấy biểu tượng ruy băng đỏ góc bên phải Điều có nghĩa email mà bạn gửi xác nhận với chữ ký số điền vào To: người nhận địa email Amanda (email POP3 thứ bạn tạo) Sau click Send Chuyển đến tài khoản email POP3 Amanda mở email nhận từ Mike Bạn thấy message mà Amanda nhận tương tự hình bên Click vào Continue để xem thông điệp thực 07/2007 49 CHỮ KÍ ĐIỆN TỬ Bạn để ý ruy băng màu đỏ góc phải mail Điều cho Amanda biết Mike tiến hành gửi mail dùng chữ ký số Click vào biểu tượng ruy băng Đỏ để xem chữ ký số từ người gửi (sender) Kiểm tra thấy nội dung mail không bị thay đổi chữ ký số đáng tin cậy Có thể xem thông tin chứng số cá nhân sender cách click View Certificate Mã hóa Emails Mã hóa phương pháp bảo mật thực việc chuyển đổi liệu từ dạng thông thường (plain text) thành dạng đọc theo cách thông thường (unreadable text) nhằm đảm bảo cẩn mật (confidentiality), tính tích hợp (integrity) tính chất xác thực (authenticity) liệu Khi bạn mã hóa email, toàn email 07/2007 50 CHỮ KÍ ĐIỆN TỬ mã hóa bao gồm phần thông điệp file đính kèm (attachments) Một chữ ký số đảm bảo tính chất xác thực (đúng người gửi) tính tích hợp (dữ liệu không bị thay đổi) không đảm bảo tính chất bí mật (confidentiality) nội dung mail không mã hóa Mở Outlook Express dùng tài khoản mail POP3 thứ tức Amanda’ Chọn Tools, chọn Options Click vào Security tab Đánh dấu vào hộp Encrypt contents and attachments for all outgoing messages Click Apply OK Click vào Create Mail thấy xuất biểu tượng ổ khóa lock góc bên phải Điều có nghĩa email bạn mã hóa gửi Điền vào địa email người nhận tài khoản POP3 Mike click Send 3.Quay trở lai tài khoản mail POP3 Mike mở email mà Amanda vừa gửi bạn mở email, bạn nhận thông điệp An application is requesting access to a protected item 07/2007 51 CHỮ KÍ ĐIỆN TỬ 4.Click OK sau chọn Continue để đọc nội dung email mã hóa Bạn click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết email mã hóa Amanda không xác nhận chữ ký số cho message nên Digital Signature tất dòng xác nhận không sử dụng n/a (not available) 07/2007 52 CHỮ KÍ ĐIỆN TỬ IV Kết luận Thương mại điện tử ngày ảnh hưởng rõ nét tới kinh tế Nó thị trường ảo, thị trường mà rút ngắn quan hệ kinh tế, giao dịch thương mại toàn cầu… thông qua việc truyền liệu máy tính sách phân phối tiếp thị Giao dịch điện tử bao gồm loại giao dịch thương mại mà đối tác giao dịch sử dụng kỹ thuật thông tin khuôn khổ chào mời, phương thức để thay phương thức giao dich cũ để đạt hiệu Tuy nghiên cứu từ lâu để chuyển phương thức thành phổ cập cần thời gian lâu dài để trở nên phổ biến toàn cầu lý kỹ thuật, trình độ nhân công kĩ thuật cao, công nghệ quốc gia… Trong trình làm gặp nhiều khó khăn em giúp đỡ tận tình thầy Lưu Minh Tuấn qua bảo cặn kẽ việc khai thác vấn đề Em xin chân thành cảm ơn! 07/2007 53

Ngày đăng: 31/07/2016, 14:14

Từ khóa liên quan

Mục lục

  • I. Thương mại điện tử và chữ kí điện tử

  • II. Các phương pháp mã hóa sử dụng trong chữ kí điện tử

  • III. Một số vấn đề khác trong thương mại điện tử và chữ kí điện tử

  • IV. Kết luận

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan