Chương CÔNG NGHỆ BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ ThS. Nguyễn Trần Hưng Khoa Thƣơng mại điện tử 3
Chương
CÔNG NGHỆ BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ
ThS. Nguyễn Trần Hưng
Khoa Thƣơng mại điện tử
3
Nội dung chính
1. Các vấn đề đặt ra đối với bảo mật trongthanh toán điện tử
2. Các biện pháp bảo mật trong thanh toánđiện tử
3. Chữ ký điện tử (chữ ký số)
2011/ThS. Nguyễn Trần
Hưng/Khoa TMĐT
3
1. Các vấn đề đặt ra đối với bảo mật trongTTĐT
A. Nhìn từ góc độ người tiêu dùng
Mã số tài khoản
Số PIN, CVV2
Pass word, exp
B. Nhìn từ góc độ doanh nghiệp (website)
Bảo vệ website trước những cuộc tấncông từ bên ngoài
Bảo vệ người tiêu dùng khi thamgia giao dịch
Một số hình thức tấn công phổ biến của hacker
+, Tấn công “deface” (thay đổi giaodiện)
+, Tấn công từ chối dịch vụ (DoS -Denial of Service)
+, Tấn công từ chối dịch vụ phân tán(DDoS – Distributed DoS)
Tấn công “deface”Web site của Ban Quản lý dự án DSMEE
- Cục Điều tiết điện lực – Bộ Công Thương
bị hacker tấn công
Chợ điện tử
Chợ điện tử ngày
29/9/2006
Gửi yêu cầu http://www...
Tấn công từ chối dịch vụ DoS (Denial of Service)
Tấn công từ chối dịch vụ phân tán DDoS(Distributed Denial of Service)
Hệ thống mục tiêu
Tin tặc
Đồng loạt tấn công
Gửi tài liệu và nhận các thông báo
Cá nhân Doanh nghiệp CQ nhà nƣớc Trƣờng học Viện nghiên cứu Nhà cung cấp DV
Tấn công từ chối dịch vụ phân tán DDoS(Distributed Denial of Service)
Server
Website: mắt nâu
học trò
Giao diện của
HVAonline.net vào
ngày 1/12/2005
2. Các biện pháp bảo mật trong TTĐT
a. Kiểm soát truy cập và xác thực
Kiểm soát truy cập và xác thực là cơ chế xácđịnh xem ai là người có quyền sử dụng tài
nguyên hệ thống và loại tài nguyên nào có thể sử dụng được.
Các hình thức xác thực
Sử dụng mật khẩu
Nhận dạng sinh trắc học
Token
+ Token chủ động
+ Token bị động
b. Mã hóa
Mã hóa là việc sắp xếp hỗn độn các ký tự thànhmột tập gần như không ai có thể đọc được nếu
không có khóa giải mã để sắp xếp lại.
Mã hóa đối xứng ( Mã hóa khóa bí mật)
Mã hóa bất đối xứng ( Mã hóa khóa côngkhai)
Mã hóa khóa đối xứng (Mã hóa khóa bí mật)
Là việc sử dụng cùng một khóa để mã hóa và giải mã thông điệp. Các thuật ngữ tương đương là:
mã hóa đơn khóa (single key), mã hóa một khóa
(one key) và mã hóa khóa cá nhân (private key).
This is the message
wklv lv wkh phvvdjh
3
key
Ưu điểm và hạn chế của mã hóa khóa đối xứng
Ƣu điểm
Thủ tục mã hóa đơn giản.
Khối lượng tính toán nhỏ.
Tốc độ mã hóa cũng như giải mã nhanh.
Nhƣợc điểm
Dễ bị phá (bị tấn công) do dùng chung mộtkhóa.
Thường phải được bảo an trong khi phân phốivà khi dùng.
Không dùng cho mục đích xác thực(authentication) hay chống phủ nhận được (nonrepudiation) được.
Quy trình mã hóa khóa đối xứng
Mã hóa khóa bất đối xứng (Mã hóa khóa công khai)
Là hình thức mã hóa sử dụng hai khóa có quan hệtoán học với nhau, bao gồm: khóa công khai
(public key) và khóa cá nhân (private key). Trong đó khóa công khai dùng để mã hóa các thông điệp,
còn khóa cá nhân được dùng để giải mã.
Khóa công khai
của ngƣời nhận
Khóa cá nhân của
ngƣời nhận
Bob sở hữu một cặp khóa
Bob's Public key
Bob's Private key
Bob's Co-workers
Bob's Public key
Bất kỳ một ngƣời
nào đều có thể lấy
đƣợc Public key
của BobPat Doug Susan
Susan có thể lấy Public key của Bob để mã hóa thôngđiệp gửi cho Bob và Bob sử dụng Private key của
mình để giải mã.
"Hey Bob, how about lunch at
Taco Bell. I hear they have free
refills!"
HNFmsEm6Un BejhhyCGKOKJUxhiygSBCEiC0QYIh/Hn3xgiK
BcyLK1UcYiY lxx2lCFHDC/A
HNFmsEm6Un BejhhyCGKOKJUxhiygSBCEiC0QYIh/Hn3xgiK
BcyLK1UcYiY lxx2lCFHDC/A
"Hey Bob, how about lunch at
Taco Bell. I hear they have free
refills!"
Ưu điểm và nhược điểm của mã hóa khóa công khai
Ƣu điểm
Độ an toàn và tin cậy cao.
Không cần phải phân phối khóa giải mã (khóacá nhân) của mình như trong mã hóa đối xứng.
Gửi thông tin mật trên đường truyền không antoàn mà không cần thỏa thuận khóa từ trước.
Tạo và cho phép nhận dạng chữ ký số và do đóđược dùng để xác thực (authentication) haychống phủ nhận (non repudiation).
Nhƣợc điểm
Khối lượng tính toán lớn, tốc độ mã hóa cũngnhư giải mã chậm.
Cơ sở hạ tầng khóa công khai (PKI)
Cơ quan quản lý đăng ký (RA – RegistrationAuthority).
Cơ quan cung cấp dịch vụ chứng thực (CA –Certificate Authority).
Chứng chỉ số (Digital Certificate).
Cơ sở hạ tầng khóa công khai
CA
RABob Alice
Cơ quan quản lý đăng ký RA (Registration Authority)
Là một cơ quan thẩm tra trên một mạng máy tính,xác minh các yêu cầu của người dùng trước khi
một chứng chỉ số được cấp phát tới người yêu cầu.
Cơ quan cung cấp dịch vụ chứng thực CA (Certificate Authority)
Là một cơ quan chuyên cung cấp và xác thực cácchứng chỉ số.
CHỨNG CHỈ SÔ
ĐÃ ĐƯỢC CQCT KÝ SỐ
Chứng chỉ số (Chứng thư điện tử)
KÝ SỐ
Chữ ký của CQCT
NGƢỜI GỬI
cặp khóa của người gửiCHỨNG THƯ SỐ
- Thông tin về NG
-KHÓA C.KHAI
-Số
- Hạn sử dụng…
RÚT GỌN
Nội dung rút gọn
CƠ QUAN C.THỰC
cặp khóa của CQ CT
B1. CQCT tạo cặp
khóa cho thuê bao
CHỨNG THƯ SỐ
- Thông tin về NG
-KHÓA C. KHAI
- Số
- Hạn sử dụng…
B2. CQCT tạo nội
dung chứng thƣ số
B3. Rút gọn
chứng thƣ số
KÝ SỐ
Chữ ký của CQCT
B4. CQCT ký số vào
Chứng thƣ số
Thông tin cá nhân của người được cấp.
Khóa công khai của người được cấp (dữ liệuđể kiểm tra chữ ký điện tử của người đượccấp chứng chỉ số.).
Thời hạn hiệu lực của chứng chỉ số
Thông tin về cơ quan chứng thực - CA.
Chứng chỉ số (Chứng thư điện tử)
Là thông điệp dữ liệu do tổ chức CA phát hành để xác thực các bên tham gia giao dịch.
Chữ ký số của cơ quan chứng thựcCA
Số hiệu của chứng chỉ số.
3. Chữ ký điện tử
Chữ ký điện tử là chữ ký được tạo lập dưới dạngtừ, số, ký hiệu, âm thanh hoặc các hình thức khácbằng các phương tiện điện tử, gắn liền hoặc kết
hợp một cách logic với thông điệp dữ liệu.
Luật giao dịch
điện tử điều 21
Chữ ký số
Điều 1, khoản 4, Nghị định 26/2006/NĐ-CP
Chữ ký số làmột dạng
chữ ký điệntử được tạora bằng sự
biến đổi mộtthông điệpdữ liệu sửdụng hệ
thống mậtmã khôngđối xứng
Việc biến đổi được tạo rabằng đúng khóa bí mật
tương ứng với khóa côngkhai trong cùng cặp khóa
Quy trình tạo chữ ký số
Hợpđồnggốc
Hợp đồng rútgọn
Chữ ký số
Hợp đồng gốc & chữ ký số
Phong bì số
Phong bì sốHợpđồnggốc
Chữ ký số
Hợp đồng rútgọnHợp đồng rút
gọn
So sánh
Băm
Băm
2
4
3
4
4
5
6
8
9 9
1
7
InternetInternet
Ngƣời gửi
Ngƣời nhận
Quy trình tạo chữ ký điện tử (chữ ký số)
B1: Tạo một thông điệp gốc.
B2: Sử dụng hàm băm (thuật toán Hash) đểchuyển từ thông điệp gốc sang thông điệp số.
B3: Người gửi sử dụng khóa riêng để mã hóathông điệp số. Thông điệp số sau khi được mãhóa gọi là chữ ký điện tử.
B4: Người gửi mã hóa cả thông điệp gốc và chữký số sử dụng khóa công khai của người nhận.Thông điệp gốc và chữ ký số sau khi được mã hóagọi là phong bì số.
B5: Người gửi send phong bì số hóa cho ngườinhận.
B6: Khi nhận được phong bì số hóa, người nhận sửdụng khóa riêng của mình để giải mã phong bì sốvà nhận được thông điệp gốc và chữ ký số củangười gửi.
B7: Người nhận sử dụng khóa công khai của ngườigửi để nhận dạng chữ ký số của người gửi (làthông điệp đã được mã hóa bằng hàm Hash).
B8: Người nhận sử dụng thuật toán băm đểchuyển thông điệp gốc thành thông điệp số như ởbước 2 mà người gửi đã làm.
B9: Người nhận so sánh thông điệp số vừa tạo raở bước 8 với thông điệp số nhận được ở bước 6(nhận được sau khi giải mã phong bì số).
Hạ tầng cho chữ ký điện tử
Hàm băm (Hash)
Hạ tầng khóa công khai (PKI)
Hàm băm (Hash)
Người thực hiện:
ThS. Nguyễn Trần Hưng
Q & A