i
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
NGUYỄN THỊ KIM HUỆ
CHỮ KÝ SỐ
TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Thái Nguyên - 2015
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
ii
MỤC LỤC
MỤC LỤC ........................................................................................................................ i
LỜI CAM KẾT ............................................................................................................... v
LỜI CẢM ƠN ............................................................................................................... vi
DANH MỤC CÁC TỪ VIẾT TẮT ........................................................................... vii
DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU .............................................................. viii
MỞ ĐẦU .......................................................................................................................... 1
CHƢƠNG 1: TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ ................................... 3
1.1. Khái niệm về thương mại điện tử ............................................................. 3
1.1.1. Thương mại truyền thống ......................................................................... 3
1.1.2. Thương mại điện tử ................................................................................... 3
1.1.3. Nhu cầu về công nghệ thông tin trong thương mại điện tử ................... 9
1.2. Các đặc trưng của thương mại điện tử .................................................. 10
1.3. Lợi ích của thương mại điện tử .............................................................. 11
1.3.1.Thu thập được nhiều thông tin ................................................................ 11
1.3.2. Giảm chi phí sản xuất.............................................................................. 12
1.3.3. Giảm chi phí bán hàng và tiếp thị và giao dịch .................................... 12
1.3.4. Xây dựng quan hệ đối tác ....................................................................... 12
1.3.5. Tạo điều kiện sớm tiếp cận kinh tế tri thức ........................................... 13
1.4. Giao dịch trong thương mại điện tử và những nguy cơ mất an
toàn thông tin ............................................................................................... 14
1.5. Kết luận ................................................................................................... 15
CHƢƠNG 2: AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH
THƢƠNG MẠI ĐIỆN TỬ .......................................................................................... 17
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
iii
2.1. Tổng quan về an toàn và bảo mật thông tin .......................................... 17
2.1.1. An toàn và bảo mật thông tin ................................................................. 17
2.1.2. Mục tiêu của an toàn bảo mật thông tin ................................................ 19
2.1.3. An toàn thông tin bằng mật mã .............................................................. 19
2.1.4. Nhu cầu về an toàn và bảo mật thông tin trong thương mại điện tử .. 26
2.2. Chữ ký số ................................................................................................. 28
2.2.1. Chữ ký số và chữ ký viết tay .................................................................. 28
2.2.2. Khái niệm chữ ký số ............................................................................... 30
2.2.3. Đặc điểm của chữ ký số .......................................................................... 31
2.2.4. Vai trò của chữ ký số .............................................................................. 32
2.2.5. Lược đồ chữ ký số ................................................................................... 33
2.2.6. Phân loại chữ ký số ................................................................................. 35
2.3. Một số sơ đồ chữ ký số ........................................................................... 36
2.3.1. Sơ đồ chữ ký số RSA .............................................................................. 36
2.3.2. Sơ đồ chữ ký Elgama .............................................................................. 40
2.3.3. Sơ đồ chữ ký DSA .................................................................................. 45
2.4. Hàm băm ................................................................................................. 49
2.4.1. Sơ lược về hàm băm................................................................................ 49
2.4.2. Lý do sử dụng hàm băm trong chữ ký số .............................................. 50
2.4.3. Hàm băm SHA-1 ..................................................................................... 51
2.5. Hạ tầng khóa công khai PKI .................................................................. 53
2.5.1. Khái niệm ................................................................................................. 53
2.5.2. Cấu trúc và vai trò của PKI trong chương trình ................................... 54
2.5.3. Chứng chỉ số ............................................................................................ 55
2.6. Kết luận ................................................................................................... 58
CHƢƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO
DỊCH THƢƠNG MẠI ĐIỆN TỬ............................................................................... 59
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
iv
3.1. Đặt vấn đề ............................................................................................... 59
3.2. Ứng dụng chữ ký số nhằm đảm bảo thông tin trong quá trình giao dịch
giữa các bên ................................................................................................... 59
3.2.1. Những khía cạnh cần thiết về an toàn thông tin ................................... 59
3.2.2. Mô tả giao dịch thử nghiệm ................................................................... 60
3.3. Cài đặt thử nghiệm ................................................................................. 61
3.3.1. Yêu cầu phần cứng và phần mềm .......................................................... 61
3.3.2. Mô tả các mô đun và giao diện chính của chương trình Demo ......... 61
3.4. Kết luận ................................................................................................... 65
KẾT LUẬN ................................................................................................................... 66
Kết quả của luận văn ..................................................................................... 66
Hướng nghiên cứu tiếp theo .......................................................................... 66
TÀI LIỆU THAM KHẢO ........................................................................................... 67
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
v
LỜI CAM KẾT
Tài liệu được sử dụng trong luận văn được thu thập từ các nguồn kiến thức
hợp pháp, có trích dẫn nguồn tài liệu tham khảo. Chương trình s ử dụng mã nguồn mở, có xuất xứ.
Dưới sự giúp đỡ nhiệt tình và chỉ bảo chi tiết của giáo viên hướng dẫn, tôi đã
hoàn thành luận văn của mình. Tôi xin cam kết luận văn này là của bản thân tôi làm
và nghiên cứu, không hề trùng hay sao chép của bất kỳ ai.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
vi
LỜI CẢM ƠN
Để hoàn thành chương trình cao học và viết luận văn này, em đã nhận được sự
giúp đỡ và đóng góp nhiệt tình của các thầy cô trường Đại học Công nghệ thông tin
và Truyền thông, Đại học Thái Nguyên.
Trước hết, em xin chân thành cảm ơn các thầy cô trong khoa Đào tạo sau đại
học, đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong suốt những
năm học qua.
Đặc biệt em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đỗ Trung Tuấn - người
đã dành nhiều thời gian, công sức và tận tình hướng dẫn cho em trong suốt quá trình
làm luận văn.
Xin chân thành cảm ơn gia đình, bạn bè đã nhiệt tình ủng hộ, giúp đỡ, động
viên cả về vật chất lẫn tinh thần trong thời gian học tập và nghiên cứu.
Trong quá trình thực hiện luận văn, mặc dù đã rất cố gắng nhưng cũng không
tránh khỏi những thiếu sót. Kính mong nhận được sự cảm thông và tận tình chỉ bảo
của các thầy cô và các bạn.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
vii
DANH MỤC CÁC TỪ VIẾT TẮT
American National Standards Institute ANSI
Business to business B2B
Business to customers B2C
Khách, Máy khách Client
Client/ server Khách / chủ
Công nghệ Thông tin CNTT
Cơ sở dữ liệu CSDL
Database DB
Data Communication DC
Integrated Development Environment IDE
International Organization for Standardization ISO
Liên hiệp quốc LHQ
Máy chủ, phía máy chủ Server
Structured Query Language SQL
Thương mại điện tử TMĐT
eXtensible Markup Language XML
Digital Signature Standard DSS
Xác thực, certificate authoring CA
RSA
, theo tên của ba Tên thuâ ̣t toán khóa công khai người sáng lập. Ron Rivest, Adi Shamir và Leonard Adleman Public Key Infrastructure PKI
Digital Signature Scheme Lược đồ ký số
Digital Signature Algorithm DSA
SHA Security Hash Algorithm, thuâ ̣t toán băm an toàn SHA
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
viii
DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU
Bảng 1.1: So sánh các bước trong chu trình mua bán giữa TM truyền thống và
TMĐT ................................................................................................................... 6
Hình 1.1. Mô hình giao dịch B2B ...................................................................... 7
Hình 1.2. Mô hình giao dịch B2C . ..................................................................... 8
Hình 2.1. Sơ đồ mã hóa và giải mã ................................................................... 22
Hình 2.2. Sơ đồ hoạt động mã hóa đối xứng .................................................... 23
Hình 2.3. Sơ đồ hoạt động của mã hóa bất đối xứng ........................................ 25
Bảng 2.1. So sánh chữ ký viết tay và chữ ký số ............................................... 30
Hình 2.4. Quy trình tạo chữ ký số ..................................................................... 34
Hình 2.5. Quy trình xác thực chữ ký số ............................................................ 35
Hình 2.6. Quá trình sinh chữ ký số .................................................................... 38
Hình 2.7. Quá trình xác nhận chữ ký số ............................................................ 39
Hình 2.8. Sơ đồ ElGalma ................................................................................... 41
Hình 2.9. Sơ đồ chữ ký DSA ............................................................................. 46
Hình 2.10. Thí dụ về hàm băm .......................................................................... 49
Hình 2.11. Chức năng các thành phần trong hệ thống PKI .............................. 54
Hình 3.1. Vai trò của xác thực người dùng ....................................................... 60
Hình 3.2. Mô đun tạo cặp khóa RSA cho người dùng ..................................... 62
Hình 3.3. Mô đun tạo chữ ký số ........................................................................ 63
Hình 3.4. Mô đun kiểm tra chữ ký số................................................................ 64
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
1
MỞ ĐẦU
Với sự phát triển nhanh chóng của Internet, cùng với sự phát triển của nền
kinh tế theo hướng hiện đại thì việc trao đổi thông tin, giao dịch hay mua bán hàng
hóa…theo phương thức trực tiếp ngày càng giảm mà thay vào đó là các dịch vụ qua
Internet. Dịch vụ thương mại điện tử (TMĐT) (Electronic-Commerce) là một bước
phát triển nhảy vọt trong việc ứng dụng Internet vào cuộc sống và kinh doanh. Thông
qua TMĐT, nhiều loại hình kinh doanh mới được hình thành, trong đó có việc mua
bán hàng hóa và dịch vụ trên mạng. Với hình thức này sẽ tiết kiệm thời gian cho
người tiêu dùng trong việc tiếp cận, lựa chọn hàng hóa theo nhu cầu, sở thích và trong
việc thanh toán. Đồng thời tăng tính cạnh tranh, mở rộng thị trường, giảm chi phí bán
hàng và tiếp thị cho các doanh nghiệp kinh doanh.
Thương mại điện tử [14], hay còn gọi là e-commerce, e-comm hay EC, là sự
mua bán sản phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng
máy tính. Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử,
quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến,
trao đổi dữ liệu điện tử (EDI), các hệ thống quản lý hàng tồn kho, và các hệ thống tự
động thu thập dữ liệu. Thương mại điện tử hiện đại thường được thực hiện trên công
nghệ World Wide Web, kèm theo các thiết bị công nghệ như: Email, điện thoại di
động….
Thương mại điện tử là một phần không thể thiếu được trong môi trường kinh
doanh điện tử (e-business), đảm bảo cho vấn đề trao đổi dữ liệu, thanh toán dịch vụ
trên mạng Internet.
E-commerce có thể được phân chia thành [14]:
E-tailing (bán lẻ trực tuyến) hoặc "cửa hàng ảo" trên trang web với các danh
mục trực tuyến, đôi khi được gom thành các "trung tâm mua sắm ảo".
Trao đổi dữ liệu điện tử (EDI), trao đổi dữ liệu giữa Doanh nghiệp với Doanh
nghiệp.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
2
Email và fax, cách sử dụng chúng như là phương tiện cho việc tiếp cận và
thiếp lập mối quan hệ với khách hàng (ví dụ như bản tin - newsletters)
Việc mua và bán giữa Doanh nghiệp với Doanh nghiệp.
Bảo mật các giao dịch kinh doanh.
Tóm lại, thương mại điện tử chỉ xảy ra trong môi trường kinh doanh mạng
Internet và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các
công cụ, kỹ thuật và công nghệ điện tử.
Nhưng đồng nghĩa với việc bên mua và bên bán không gặp nhau trực tiếp mà
chỉ trao đổi thông tin, giao dịch qua Internet và các phương tiện điện tử nên rất dễ xảy
ra tình trạng lừa đảo, giả mạo thông tin, gây mất mát thông tin và tài sản. Vì vậy, điều
quan trọng trong thương mại điện tử là tính ràng buộc pháp lý nhằm bảo đảm thông
tin giữa các bên trong hoạt động kinh doanh, mua bán hàng hóa, dịch vụ. Chữ ký số
là một thành tố rất quan trọng trong TMĐT, nhằm đảm bảo độ an toàn thông tin, tính
toàn vẹn dữ liệu và chống chối bỏ trách nhiệm trên nội dung đã ký giữa các đối tác
thực hiện hoạt động kinh doanh, nghiệp vụ, dịch vụ,… với các ràng buộc pháp lý.
Thấy được lợi ích khi sử dụng chữ ký số trên các tài liệu khi giao dịch giữa các đối
tác trong thương mại điện tử và được sự đồng ý của giáo viên hướng dẫn, tôi đã chọn
đề tài “Chữ ký số trong giao dịch thương mại điện tử” làm nội dung nghiên cứu cho
luận văn của mình.
Luận văn gồm 3 chương:
Chương 1: Tổng quan về thương mại điện tử
Chương 2: An toàn thông tin và chữ ký số trong giao dịch thương mại điện tử
Chương 3: Cài đặt và thử nghiệm chữ ký số trong giao dịch TMĐT
Cuối luận văn là phần kết luận và danh sách các tài liệu tham khảo.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
3
CHƢƠNG 1.
TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ
1.1. Khái niệm về thƣơng mại điện tử
1.1.1. Thƣơng mại truyền thống
Thương mại truyền thống (TMTT) là sự trao đổi hàng hóa/dịch vụ của ít nhất
hai phía tham gia. Bao gồm tất cả các hoạt động của các bên tham gia để hoàn thành
các giao dịch mua bán. Hệ thống trao đổi hàng hóa/dịch vụ dựa trên nguyên tắc tiền
tệ. Là một kênh phân phối hàng hóa từ nhà sản xuất đến người tiêu dùng thông qua
các trung gian như nhà phân phối, đại lý và các điểm bán lẻ như cửa hàng tạp hóa,
bách hóa,...Các hoạt động trong giao dịch mua bán là các hoạt động mà hai bên mua
và bán cam kết thực hiện nhằm thực hiện một giao dịch mua bán (chuyển tiền - đơn
đặt hàng - gửi hóa đơn - chuyển hàng đến người mua).
Tuy nhiên mô hình này có nhược điểm là công ty hoàn toàn thụ động trong
việc kiểm soát đích đến của hàng hóa và các chương trình khuyến mãi cũng như tính
liên tục trong cung ứng và sự thống nhất của giá cả đến tay người tiêu dùng.
1.1.2. Thƣơng mại điện tử
1.1.2.1. Khái niệm thương mại điện tử
Thương mại điện tử được biết đến với nhiều tên gọi khác nhau như "thương
mại điện tử" (Electronic commerce), "thương mại trực tuyến" (Online trade), "thương
mại không giấy tờ" (Paperless commerce) hoặc "kinh doanh điện tử" (E-business).
Tuy nhiên, "thương mại điện tử" vẫn là tên gọi phổ biến nhất và được dùng thống
nhất trong các văn bản hay công trình nghiên cứu của các tổ chức hay các nhà nghiên
cứu. Thương mại điện tử bắt đầu bằng việc mua bán hàng hóa và dịch vụ thông qua
các phương tiện điện tử và mạng viễn thông, các doanh nghiệp tiến tới ứng dụng công
nghệ thông tin vào mọi hoạt động của mình, từ bán hàng, marketing, thanh toán đến
mua sắm, đào tạo, phối hợp hoạt động với nhà cung cấp, đối tác, khách hàng,...khi đó
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
4
thương mại điện tử phát triển thành kinh doanh điện tử, và doanh nghiệp ứng dụng
thương mại điện tử ở mức cao được gọi là doanh nghiệp điện tử. Như vậy, có thể hiểu
kinh doanh điện tử là mô hình phát triển của doanh nghiệp khi tham gia thương mại
điện tử ở mức độ cao và ứng dụng công nghệ thông tin chuyên sâu trong mọi hoạt
động của doanh nghiệp.
Cho đến nay, có nhiều định nghĩa khác nhau về thương mại điện tử. Các định
nghĩa này dựa trên các khía cạnh, các quan điểm khác nhau [1][ 2][4].
Khái niệm TMĐT theo nghĩa hẹp [4]: theo nghĩa hẹp, thương mại điện tử là
việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn
thông, đặc biệt là máy tính và Internet. Cách hiểu này tương tự với một số quan điểm
như:
TMĐT là các giao dịch thương mại về hàng hóa và dịch vụ được thực hiện
thông qua các phương tiện điện tử (Diễn đàn đối thoại xuyên Đại Tây Dương, 1997).
TMĐT là việc thực hiện các giao dịch kinh doanh có dẫn tới việc chuyển giao
giá trị thông qua các mạng viễn thông (EITO, 1997).
TMĐT là việc hoàn thành bất kỳ một giao dịch nào thông qua một mạng máy
tính làm trung gian mà bao gồm việc chuyển giao quyền sở hữu hay quyền sử dụng
hàng hóa và dịch vụ (Cục thống kê Hoa Kỳ, 2000).
Khái niệm TMĐT theo nghĩa rộng: liên minh Châu Âu (EU): TMĐT bao gồm
các giao dịch thương mại thông qua các mạng viễn thông và sử dụng các phương tiện
điện tử. Nó bao gồm TMĐT gián tiếp (trao đổi hàng hóa hữu hình) và TMĐT trực
tiếp (trao đổi hàng hóa vô hình). Thương mại điện tử là việc trao đổi thông tin thương
mại thông qua các phương tiện điện tử, không cần phải in ra giấy bất cứ công đoạn
nào của toàn bộ quá trình giao dịch.
TMĐT theo nghĩa rộng được định nghĩa trong luật mẫu về thương mại điện tử
của Ủy ban LHQ về luật thương mại quốc tế: “Thuật ngữ thương mại cần được diễn
giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
5
thương mại dù có hay không có hợp đồng. Các quan hệ mang tính chất thương mại
bao gồm các giao dịch sau đây: bất cứ giao dịch nào về thương mại về cung cấp hoặc
trao đổi hàng hoá hoặc dịch vụ, thoả thuận phân phối, đại diện hoặc đại lý thương
mại, uỷ thác hoa hồng, cho thuê dài hạn, xây dựng các công trình, tư vấn, kỹ thuật
công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc tô
nhượng, liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh,
chuyên chở hàng hoá hay hành khách bằng đường biển, đường không, đường sắt hoặc
đường bộ” [4].
Như vậy, có thể thấy rằng phạm vi của thương mại điện tử rất rộng, bao quát
hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ chỉ là một
trong hàng ngàn lĩnh vực áp dụng của thương mại điện tử. Theo nghĩa hẹp
TMĐT chỉ gồm các hoạt động thương mại được tiến hành trên mạng máy tính mở
như Internet. Trên thực tế chính các hoạt động thương mại thông qua mạng Internet
đã làm phát sinh thuật ngữ thương mại điện tử.
1.1.2.2. Giao dịch trong thương mại điện tử
Giao dịch thương mại (Commercial transaction) là sự tương tác giữa hai bên
hoặc nhiều bên, trong đó hàng hóa, dịch vụ hoặc một đồ vật có giá trị được trao đổi.
Các khía cạnh liên quan đến các giao dịch thương mại, chẳng hạn như các quy định
về người đại diện và hợp đồng được điều chỉnh bởi pháp luật [10].
Theo luật giao dịch điện tử của nước CHXHCN Việt Nam "Giao dịch điện tử
là giao dịch có sử dụng thông điệp dữ liệu được thực hiện bằng phương tiện điện tử".
Giao dịch trong TMĐT là một hệ thống bao gồm: các giao dịch liên quan đến
mua bán hàng hóa và dịch vụ, tạo thu nhập; các giao dịch có khả năng trợ giúp quá
trình tạo ra thu nhập: kích thích nhu cầu đối với hàng hóa và dịch vụ, cung ứng dịch
vụ trợ giúp bán hàng, trợ giúp người tiêu dùng, hoặc trợ giúp trao đổi thông tin giữa
các doanh nghiệp.
Việc tiến hành các hoạt động thương mại trên các mạng điện tử cũng loại bỏ
một số giới hạn vật lý nhất định. Các hệ thống máy tính trên Internet có thể được lắp
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
6
đặt để cung cấp trợ giúp khách hàng 24/7. Các đơn đặt hàng đối với hàng hóa và dịch
vụ của doanh nghiệp cũng có thể được tiếp nhận bất kỳ khi nào, ở đâu.
Giao dịch thương mại truyền thống và giao dịch TMĐT có nhiều điểm khác
biệt cơ bản. Để hiểu rõ sự khác biệt này, xem xét một chu trình mua bán một sản
phẩm cụ thể:
Bảng 1.1: So sánh các bƣớc trong chu trình mua bán giữa TM truyền thống và TMĐT
STT Các bƣớc trong chu trình TM truyền thống Thƣơng mại điện tử bán hàng
1 Tạp chí, từ rơi, catalog Trang Web
2 Dạng ấn phẩm Thư tín điện tử Tìm kiếm thông tin sản phẩm Yêu cầu mua sản phẩm, chuyển yêu cầu đã chấp nhận
3 Kiểm tra Catalog, giá cả Catalog Catolog trực tuyến
4 Fax, điện thoại Catolog trực tuyến
tử, tín điện 5 Dạng ấn phẩm
6 Kiểm tra tồn kho và khẳng định giá cả Lập đơn đặt hàng (người mua) Theo dõi đơn đặt hàng Dạng ấn phẩm
7 Kiểm tra tồn kho Ấn phẩm, fax, điện thoại
8 Lịch trình phân phối Dạng ấn phẩm
9 Lập hóa đơn Dạng ấn phẩm
10 Phân phối sản phẩm Nhà vận chuyển
Thư trang Web CSDL trực tuyến CSDL trực tuyến, Web Email, Catalog trực tuyến CSDL trực tuyến Nhà vận chuyển, Internet Thư tín điện tử 11 Xác nhận biên lai Dạng ấn phẩm
12 Thư tín truyền thống Thư tín điện tử Gửi hóa đơn (người cung ứng)
13 Nhận hóa đơn (người mua) Thư tín truyền thống
14 Lịch trình thanh toán Dạng ấn phẩm EDI EDI, CSDL trực tuyến
15 Thư tín truyền thống EDI
16 Thư tín truyền thống EDI Gửi thanh toán (người mua) Nhận thanh toán (người cung ứng)
Kết luận:
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
7
Giao dịch trong thương mại truyền thống và TMĐT có nhiều bước thực hiện
giống nhau, tuy nhiên cách thức thông tin được nhận và chuyển tải lại khác nhau.
Về mặt công nghệ, giao dịch trên cơ sở giấy tờ truyền thống và giao dịch dựa
trên cơ sở máy vi tính khác nhau về nguyên tắc, thao tác thực hiện và những quy định
về luật pháp.
Việc tạo, gửi và nhận các tài liệu trên cơ sở dữ liệu trong máy vi tính rất thuận
tiện, nhanh chóng và ít tốn kém, nhưng lại có nhược điểm là các tài liệu dễ dàng bị
sao chép và không thể phân biệt được các bản sao với bản gốc như tài liệu trên giấy.
Chính vì vậy việc đảm bảo an toàn thông tin trong giao dịch TMĐT là rất cần thiết.
1.1.2.3. Các loại hình Thương mại điện tử
Có nhiều tiêu chí khác nhau để phân loại các hình thức/mô hình TMĐT, căn
cứ vào phân loại theo đối tượng tham gia thì có bốn chủ thể chính tham gia vào các
giao dịch thương mại điện tử: Chính phủ (G), doanh nghiệp (B), khách hàng cá nhân
(C), người lao động (E). Việc kết hợp các chủ thể này lại với nhau sẽ được những mô
hình TMĐT khác nhau. Dưới đây là một số mô hình TMĐT phổ biến nhất hiện nay
[4]:
1. B2B (Business - To - Business): Là loại hình giao dịch qua các phương tiện
điện tử giữa doanh nghiệp với doanh nghiệp. Các giao dịch B2B chủ yếu được thực
hiện trên các hệ thống ứng dụng thương mại điện tử như mạng giá trị gia tăng VAN,
các sàn giao dịch thương mại điện tử B2B (emarketplaces)
Hình 1.1. Mô hình giao dịch B2B .
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
8
2. B2C (Business - To - Customer): Thương mại điện tử B2C là chỉ bao gồm
các giao dịch thương mại trên Internet giữa doanh nghiệp với khách hàng, mà trong
đó, đối tượng khách hàng của loại hình này là các cá nhân mua hàng. Loại hình này
áp dụng cho bất kỳ doanh nghiệp hay tổ chức nào bán các sản phẩm hoặc dịch vụ của
họ cho khách hàng qua Internet, phục vụ cho nhu cầu sử dụng của cá nhân.
Khách
hàng 1
Khách Cô
hàng 2,.. ng ty
Hình 1.2. Mô hình giao dịch B2C .
3. B2G (Business - To - Government): là loại hình giao dịch giữa doanh
nghiệp với cơ quan nhà nước, trong đó cơ quan nhà nước đóng vai trò khách hàng.
Quá trình trao đổi thông tin giữa doanh nghiệp với cơ quan nhà nước được tiến hành
qua các phương tiện điện tử. Cơ quan nhà nước cũng có thể thiết lập những website
tại đó đăng tải thông tin về nhu cầu mua hàng của các cơ quan nhà nước, tiến hành
việc đấu thầu hàng hoá, dịch vụ và lựa chọn nhà cung cấp trên website. Điều này một
mặt giúp tiết kiệm các chi phí tìm nhà cung cấp, đồng thời giúp tăng cường tính minh
bạch trong hoạt động mua sắm công.
4. C2C (Customer - To - Customer): là loại hình giao dịch giữa các cá nhân
với nhau. Sự phát triển của các phương tiện điện tử làm cho nhiều cá nhân có thể
tham gia hoạt động thương mại với tư cách là người bán, người cung cấp dịch vụ.
Một cá nhân có thể tự thiết lập website để kinh doanh những mặt hàng do mình làm
ra hoặc sử dụng một website có sẵn để đấu giá một số món hàng mình có. C2C góp
phần tạo nên sự đa dạng của thị trường.
5. G2C ( Government - To Customer): là loại hình giao dịch giữa cơ quan nhà
nước với cá nhân. Đây chủ yếu là các giao dịch mang tính hành chính, nhưng có thể
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
9
mang những yếu tố của TMĐT. Ví dụ khi người dân đóng tiền thuế qua mạng, trả phí
khi đăng ký hồ sơ trực tuyến, v.v…
1.1.3. Nhu cầu về công nghệ thông tin trong thƣơng mại điện tử
Internet cho phép mọi người trên khắp thế giới kết nối với nhau một cách đáng
tin cậy và với chi phí không đắt. Internet là động lực cho thương mại điện tử khi
chúng cho phép doanh nghiệp trưng bầy và bán sản phẩm và dịch vụ của họ trên
mạng và đưa những khách hàng tiềm năng, khách hàng tương lai và đối tác kinh
doanh tiếp cận tới thông tin về doanh nghiệp này và sản phẩm cũng như dịch vụ của
họ mà dẫn đến việc mua hàng. Trước khi Internet được sử dụng cho các mục đích
thương mại, các công ty sử dụng các mạng riêng như EDI (trao đổi dữ liệu điện tử) để
giao dịch kinh doanh với nhau. Đó là hình thái sớm hơn của thương mại điện tử. Tuy
nhiên, lắp đặt và duy trì một mạng riêng rất tốn kém. Với Internet, thương mại điện tử
đã phát triển nhanh chóng bởi vì chi phí thấp hơn và bởi vì Internet dựa trên các tiêu
chuẩn mở.
Sự phát triển của TMĐT gắn liền và tác động qua lại với sự phát triển của
công nghệ thông tin: thương mại điện tử là việc ứng dụng công nghệ thông tin vào
trong mọi hoạt động thương mại, vì vậy mà sự phát triển của công nghệ thông tin sẽ
thúc đẩy thương mại điện tử phát triển nhanh chóng, tuy nhiên sự phát triển của
thương mại điện tử cũng thúc đẩy và gợi mở nhiều lĩnh vực của công nghệ thông tin
như phần cứng và phần mềm chuyên dụng cho các ứng dụng thương mại điện tử,
dịch vụ thanh toán cho thương mại điện tử, cũng như đẩy mạnh sản xuất trong lĩnh
vực công nghệ thông tin như máy tính, thiết bị điện tử, thiết bị viễn thông, thiết bị
mạng.
Giao dịch thương mại điện tử có thể hoàn toàn qua mạng. Trong hoạt động
thương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm phán,
giao dịch và đi đến ký kết hợp đồng. Còn trong hoạt động thương mại điện tử nhờ
việc sử dụng các phương tiện điện tử có kết nối với mạng viễn thông, chủ yếu là sử
dụng mạng Internet, các bên tham gia vào giao dịch không phải gặp gỡ nhau trực tiếp
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
10
mà vẫn có thể đàm phán, giao dịch được với nhau dù cho các bên tham gia giao dịch
ở bất cứ nơi nào, quốc gia nào.
1.2. Các đặc trƣng của thƣơng mại điện tử
So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số
điểm khác biệt cơ bản sau [3] [4]:
Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc
trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước: trong thương mại truyền
thống, các bên thương gặp gỡ nhau trực tiếp để tiến hành giao dịch. Các giao dịch
được thực hiện chủ yếu theo nguyên tắc vật lý như chuyển tiền, séc hóa đơn, vận
đơn, gửi báo cáo. Các phương tiện viễn thông như: fax, telex,.. chỉ được sử dụng để
trao đổi số liệu kinh doanh. Tuy nhiên, việc sử dụng các phương tiện điện tử trong
thương mại truyền thống chỉ để chuyển tải thông tin một cách trực tiếp giữa hai đối
tác của cùng một giao dịch. Thương mại điện tử cho phép mọi người cùng tham gia
từ các vùng xa xôi hẻo lánh đến các khu vực đô thị lớn, tạo điều kiện cho tất cả mọi
người ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trường giao dịch
toàn cầu và không đòi hỏi nhất thiết phải có mối quen biết với nhau.
Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại
của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một
thị trường không có biên giới (thị trường thống nhất toàn cầu): thương mại điện tử
trực tiếp tác động tới môi trường cạnh tranh toàn cầu. Thương mại điện tử càng phát
triển, thì máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hướng ra thị trường
trên khắp thế giới. Với thương mại điện tử, một doanh nhân dù mới thành lập đã có
thể kinh doanh ở Nhật Bản, Đức và Chilê..., mà không hề phải bước ra khỏi nhà,
một công việc trước kia phải mất nhiều năm.
Trong hoạt động giao dịch thương mại điện tử đều có sự tham gia của ít
nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ
mạng, các cơ quan chứng thực: trong thương mại điện tử, ngoài các chủ thể tham gia
quan hệ giao dịch giống như giao dịch thương mại truyền thống đã xuất hiện một
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
11
bên thứ ba đó là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực… là những
người tạo môi trường cho các giao dịch thương mại điện tử. Nhà cung cấp dịch vụ
mạng và cơ quan chứng thực có nhiệm vụ chuyển đi, lưu giữ các thông tin giữa các
bên tham gia giao dịch thương mại điện tử, đồng thời họ cũng xác nhận độ tin cậy
của các thông tin trong giao dịch thương mại điện tử.
Trong thương mại điện tử thì mạng lưới thông tin chính là thị trường:
trong thương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm
phán, giao dịch và ký kết hợp đồng. Còn trong thương mại điện tử các bên không
phải gặp gỡ nhau trực tiếp mà vẫn có thể tiến hành đàm phán, ký kết hợp đồng. Các
bên có thể truy cập vào hệ thống thông tin của nhau qua mạng Internet, mạng
extranet,…để tìm hiểu thông tin và từ đó tiến hành đàm phán ký kết hợp đồng. Ví dụ
các doanh nghiệp có thể tìm kiếm các đối tác trên khắp toàn cầu chỉ cần vào các
trang tìm kiếm như Google, yahoo hay các cổng thương mại điện tử như Ecvn.com,
Alibaba.com,…
1.3. Lợi ích của thƣơng mại điện tử
Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động của
thương mại điện tử thì TMĐT đã mang lại cho con người và xã hội những lợi ích
sau [4]:
1.3.1.Thu thập đƣợc nhiều thông tin
TMĐT giúp cho các cá nhân, doanh nghiệp khi tham gia thu nhận và nắm
được thông tin phong phú về thị trường và đối tác. Các doanh nghiệp nắm được các
thông tin phong phú về kinh tế thị trường, nhờ đó có thể xây dựng được chiến lược
sản xuất và kinh doanh thích hợp với xu thế phát triển của thị trường trong nước,
trong khu vực và quốc tế. Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa
và nhỏ, hiện nay đang được các nước quan tâm và được coi là một trong những động
lực phát triển kinh tế.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
12
1.3.2. Giảm chi phí sản xuất
TMĐT giúp giảm chi phí sản xuất, trong đó đầu tiên kể đến là chi phí văn
phòng. Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm
kiếm chuyển giao tài liệu giảm nhiều lần trong đó khâu in ấn gần như bỏ hẳn. Theo
số liệu của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 %.
Điều quan trọng hơn, với góc độ chiến lược là các nhân viên có năng lực được
giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển,
sẽ đưa đến những lợi ích to lớn lâu dài.
1.3.3. Giảm chi phí bán hàng và tiếp thị và giao dịch
Thông qua Internet giúp người tiêu dùng và các doanh nghiệp giảm đáng kể
thời gian và chí phí giao dịch:
TMĐT giúp giảm thấp chi phí bán hàng và chi phí tiếp thị. Bằng phương
tiện Internet/Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng,
catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn
khổ giới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên web được cập
nhật tường xuyên.
TMĐT qua Internet/Web giúp người tiêu thụ và các doanh nghiệp giảm
đáng kể thời gian và chi phí giao dịch. Thời gian giao dịch qua Internet chỉ bằng 7%
thời gian giao dịch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao dịch qua
bưu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10%
đến 20% chi phí thanh toán theo lối thông thường.
1.3.4. Xây dựng quan hệ đối tác
Thương mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan
hệ giữa các thành viên tham gia quá trình thương mại thông qua mạng Internet
các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục
với nhau, có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ
đó sự hợp tác và quản lý đều được tiến hành nhanh chóng một cách liên tục, các
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
13
bạn hàng mới, các cơ hội kinh doanh mới được phát hiện nhanh chóng trên
phạm vi toàn thế giới và có nhiều cơ hội để lựa chọn hơn.
1.3.5. Tạo điều kiện sớm tiếp cận kinh tế tri thức
Trước hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở cho
phát triển kinh tế tri thức. Lợi ích này có một ý nghĩa lớn đối với các nước đang phát
triển, nếu không nhanh chóng tiếp cận nền kinh tế tri thức thì sau khoảng một thập kỷ
nữa nước đang phát triển có thể bị bỏ rơi hoàn toàn. Khía cạnh lợi ích này mang tính
chiến lược công nghệ và tính chính sách phát triển cần cho các nước công nghiệp hoá.
Ưu điểm tuyệt đối của Thương mại Điện tử là cho phép người sử dụng thực
hiện các hoạt động kinh doanh ngay lập tức trên quy mô toàn cầu, từ việc quảng cáo
công ty, tiếp thị sản phẩm, đàm phán và đặt hàng cho đến các khâu thanh toán, giữ
liên hệ với khách hàng và hỗ trợ sau bán hàng. Bởi vì:
Thương mại điện tử giúp người bán:
Tiếp thị hiệu quả sản phẩm và dịch vụ của mình ra khắp thế giới
Tạo kênh bán hàng trực tiếp tới khách hàng với quy mô rộng, tốc độ nhanh
và chi phí giảm rất nhiều so với các kênh bán hàng truyền thống khác
Mở ra khả năng xuất khẩu hàng ra nước ngoài
Đơn giản hóa được các thủ tục hành chính, các công việc giấy tờ, tăng hiệu
quả giao dịch thương mại
Với Website Thương mại điện tử, doanh nghiệp tạo cho mình khả năng
kinh doanh liên tục 24/24 giờ, liên tục 07 ngày trong tuần với chi phí rất
thấp. Không cần nhân viên giám sát khách hàng như tại các siêu thị bình
thường, không cần bỏ tiền thuê địa điểm bán hàng, không cần hệ thống
kiểm tra, giới thiệu sản phẩm, không cần hệ thống tính tiền,... Tất cả đều
được Website làm tự động, rất nhanh chóng và với độ chính xác tuyệt đối.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
14
Tại cùng một thời điểm, Website Thương mại điện tử có thể phục vụ hàng
triệu lượt người mua hàng ở khắp nơi trên thế giới với các yêu cầu rất khác
nhau về thông tin sản phẩm, chủng loại sản phẩm, giá cả, hình ảnh, chất
lượng, mẫu mã,...
Thông tin, giá cả sản phẩm được cập nhật, thay đổi một cách tức thời theo
sự biến động của thị trường.
Website Thương mại Điện tử đem lại khả năng kinh doanh mới cho doanh
nghiệp: "Kinh doanh ngay cả khi bạn đang ngủ".
Thương mại điện tử giúp người mua:
Có thêm một hình thức mua hàng thuận tiện, dễ dàng, nhanh chóng
Có thêm một hình thức thanh toán mới tiện lợi, an toàn
Mở rộng sự chọn lựa khi mua hàng theo thị hiếu và nhu cầu
Có cơ hội mua sản phẩm và dịch vụ trực tiếp từ nhà sản xuất hoặc nhà
cung cấp chính không qua trung gian
Người mua thực sự trở thành người chủ với toàn quyền lựa chọn sản phẩm,
tìm kiếm bất kỳ thông tin nào về sản phẩm theo nhu cầu, so sánh giá cả,
đặt mua hàng với hệ thống tính toán tiền tự động, đầy đủ, rõ ràng, trung
thực và chính xác nhất.
1.4. Giao dịch trong thƣơng mại điện tử và những nguy cơ mất an toàn thông tin
Theo [9][10] Giữa giao dịch thương mại truyền thống và giao dịch TMĐT có
nhiều điểm khác biệt cơ bản trong việc nhận và chuyển tải thông tin giữa các bên
tham gia giao dịch. Về mặt công nghệ, giao dịch trên cơ sở truyền thống và giao dịch
số hóa khác nhau về nguyên tắc, thao tác thực hiện và những quy định về luật pháp.
Từ đó nảy sinh các vấn đề mới trong giao dịch TMĐT.
Nếu việc tạo ra, gửi và nhận một tài liệu trên giấy phức tạp, mất nhiều thời
gian và chi phí thì việc tạo, gửi và nhận các tài liệu trên các phương tiện điện tử rất
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
15
thuận tiện, nhanh chóng và ít tốn kém. Tuy vậy, một tài liệu trên giấy khi được ký
(bản gốc) mang tính duy nhất và không thể sao chép. Ngược lại một tài liệu điện tử
không có tính chất này, nó dễ dàng tạo ra các bản sao giống hệt và không thể phân
biệt các bản sao này với các bản gốc.
Bản chất của TMĐT là hình thức kinh doanh qua mạng Internet. Internet ngoài
việc đem lại nhiều lợi ích còn là môi trường phát triển TMĐT, thì nó cũng là môi
trường rất thuận lợi cho kẻ phá hoại thực hiện các ý đồ xấu của mình như xem trộm
thông điệp trên đường truyền, tấn công phá hoại nội dung thông tin, giả mạo thông
điệp hay giả mạo người dùng,…
Ngoài ra, khi giao dịch thương mại điện tử thì các tài liệu giữa các bên gửi cho
nhau dễ dàng bị kẻ xấu (hacker) đánh cắp, thay thế sửa sai hoặc cố tính phá hỏng
thông tin hay nguy cơ mạo danh chối cãi nguồn gốc,... những điều này có thể làm mất
đi cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp. Vì
vậy, trong giao dịch thương mại nói chung và giao dịch thương mại điện tử nói riêng,
việc đảm bảo an toàn thông tin trong giao dịch và rất quan trọng và cần thiết. Một
trong những biện pháp bảo đảm an toàn thông tin trong giao dịch thương mại điện tử
đó là sử dụng chữ ký số. Sử dụng chữ ký số nhằm đảm bảo tính toàn vẹn, duy nhất và
không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ ký số là một công
cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng xác thực người gửi chính là tác
giả của thông điệp mà không phải là một ai khác.
Không những thế, khi chữ ký số được gắn với một thông điệp điện tử thì đảm
bảo rằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người
nào ngoài người ký ban đầu. Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một
cách dễ dàng.
1.5. Kết luận
Chương trên trình bày một số khái niệm cơ bản về thương mại điện tử, gồm
một số kiến thức tổng quát thương mại điện tử. Trong đó nêu rõ các yêu cầu cơ bản
đối với các giao dịch thương mại điện tử. Trong quá trình giao dịch giữa các bên
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
16
trong thương mại điện tử có một số nguy cơ làm ảnh hưởng đến quá trình giao dịch
giữa bên mua và bán, cần được khắc phục. Vấn đề đảm bảo an toàn thông tin trong
giao dịch là vấn đề rất được quan tâm trong hoạt động thực tiễn của thương mại điện
tử. Điều này dẫn đến việc sử dụng chữ ký số là một trong những giải pháp nhằm đảm
bảo an toàn thông tin trong thương mại điện tử.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
17
CHƢƠNG 2.
AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ
2.1. Tổng quan về an toàn và bảo mật thông tin
2.1.1. An toàn và bảo mật thông tin
Từ xưa đến nay thông tin luôn là yếu tố quan trọng trong các hoạt động của
đời sống con người. Trong thời đại ngày nay, các phương thức truyền đạt thông tin
ngày càng đa dạng và phát triển. Với sự ra đời của máy tính và mạng máy tính, việc
trao đổi thông tin đã trở nên dễ dàng hơn, nhanh chóng hơn, đa dạng hơn. Nhưng kèm
theo đó là các nguy cơ xâm phạm thông tin cũng ngày càng tăng.
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển, ứng dụng
để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện
pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là
một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều
phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp
bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
1. Bảo vệ an toàn thông tin bằng các biện pháp hành chính.
2. Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).
3. Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường
khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xâm nhập
nhất đó là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất
hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán.
An toàn thông tin bao gồm các nội dung sau:
Tính bí mật: tính kín đáo riêng tư của thông tin
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
18
Tính xác thực của thông tin: bao gồm xác thực đối tác (bài toán nhận
danh), xác thực thông tin trao đổi.
Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách
nhiệm về thông tin mà mình đã gửi.
Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận
không thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy
tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả
năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông
tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng. Xác
định càng chính xác các nguy cơ nói trên thì càng quyết định tốt được các giải pháp
để giảm thiểu các thiệt hại.
Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi
phạm thụ động. Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được
thông tin (đánh cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể
nhưng có thể dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức
chứa trong phần đầu các gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài
và tần số trao đổi. Vì vậy vi phạm thụ động không làm sai lệch hoặc hủy hoại nội
dung thông tin dữ liệu được trao đổi. Vi phạm thụ động thường khó phát hiện nhưng
có thể có những biện pháp ngăn chặn hiệu quả. Vi phạm chủ động là dạng vi phạm có
thể làm thay đổi nội dung, xóa bỏ, làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại gói tin
tại thời điểm đó hoặc sau đó một thời gian. Vi phạm chủ động có thể thêm vào một số
thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi. Vi phạm chủ động dễ
phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều.
Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là
an toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể
đảm bảo là an toàn tuyệt đối.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
19
2.1.2. Mục tiêu của an toàn bảo mật thông tin
Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm
bảo các mục tiêu sau:
Tính bí mật (Confjdentialy): đảm bảo dữ liệu được truyền đi một cách an
toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có được
nội dung của dữ liệu gốc ban đầu. Chỉ những người được phép mới có khả
năng đọc được nội dung thông tin ban đầu.
Tính xác thực (Authentication): giúp cho người nhận dữ liệu xác định được
chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu. Kẻ giả mạo không
thể có khả năng để giả dạng một người khác hay nói cách khác không thể
mạo danh để gửi dữ liệu. Người nhận có khả năng kiểm tra nguồn gốc
thông tin mà họ nhận được.
Tính toàn vẹn (Integrity): giúp cho người nhận dữ liệu kiểm tra được rằng
dữ liệu không bị thay đổi trong quá trình truyền đi. Kẻ giả mạo không thể
có khả năng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo.
Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận
không thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
2.1.3. An toàn thông tin bằng mật mã
2.1.3.1. Giới thiệu hệ mật mã
Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin
bí mật. Ngành Mật mã (cryptology) thường được quan niệm như sự kết hợp của 2
lĩnh vực con:
Sinh, chế mã mật (cryptography): nghiên cứu các kỹ thuật toán học nhằm
cung cấp các công cụ hay dịch vụ đảm bảo an toàn thông tin, gồm hai quá
trình mã hóa và giải mã.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
20
Phá giải mã (cryptanalysis): nghiên cứu các kỹ thuật toán học phục vụ
phân tích phá mật mã và/hoặc tạo ra các đoạn mã giả nhằm đánh lừa bên
nhận tin.
Hai lĩnh vực con này tồn tại như hai mặt đối lập, “đấu tranh để cùng phát
triển” của một thể thống nhất là ngành khoa học mật mã (cryptology). Tuy nhiên, do
lĩnh vực thứ hai (cryptanalysis) ít được phổ biến quảng đại nên dần dần, cách hiểu
chung hiện nay là đánh đồng hai thuật ngữ cryptography và cryptology.
Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng
nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá
trình này được gọi là mã hoá thông tin (encryption), ở trạm nhận phải thực hiện quá
trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã
được mã hoá) về dạng nhận thức được (dạng gốc), quá trình này được gọi là giải mã
(decryption). Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi
trong môi trường mạng.
2.1.3.2. Vai trò của hệ mật mã
Các hệ mật mã phải thực hiện được các vai trò sau:
Hệ mật mã phải che dấu được nội dung của văn bản rõ (PlainText) để đảm
bảo sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập
thông tin (Secrety), hay nói cách khác là chống truy nhập không đúng
quyền hạn.
Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ
thống đến người nhận hợp pháp là xác thực (Authenticity).
Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không có hiện tượng giả mạo,
mạo danh để gửi thông tin trên mạng.
Ưu điểm lớn nhất của bất kỳ hệ mật mã nào đó là có thể đánh giá được độ
phức tạp tính toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin
của dữ liệu đã được mã hoá. Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
21
khác nhau, nhưng nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng các
thuật toán mã hoá khác nhau cho từng ứng dụng cụ thể tuỳ theo độ yêu cầu về độ an
toàn.
2.1.3.3. Các thành phần của một hệ mật mã
Định nghĩa: Một hệ mật mã là một bộ 5 (P,C,K,E,D) thỏa mãn các điều kiện
sau [5]:
P: Là một tập hợp hữu hạn các bản rõ, được gọi là không gian bản rõ;
C: Là tập hữu hạn các bản mã, được gọi là không gian bản mã. Mỗi phần
tử của C có thể nhận được bằng cách áp dụng phép mã hoá Ek lên một
phần tử của P, với k K;
K: Là tập hữu hạn các khoá hay còn gọi là không gian khoá. Đối với mỗi
phần tử k của K được gọi là một khoá. Số lượng của không gian khoá phải
đủ lớn để “kẻ địch” không có đủ thời gian để thử mọi khoá có thể (phương
pháp vét cạn).
Đối với mỗi k K có một quy tắc mã ek: PC và một quy tắc giải mã
tương ứng dk D. Mỗi ek: P C và dk: CP là những hàm mà:
dk(ek(x))=x với mọi bản rõ x P.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
22
Hình 2.1. Sơ đồ mã hóa và giải mã
2.1.3.4. Phân loại hệ mật mã
Có nhiều cách để phân loại hệ mật mã. Dựa vào cách truyền khóa có thể phân
các hệ mật mã thành hai loại:
1. Hệ mật mã đối xứng (Symmtric Key Cryptosystems) (hay còn gọi là mật
mã khóa bí mật): là những hệ mật dùng chung một khoá bí mật cả trong quá trình mã
hoá và giải mã. Do đó, khi bị mất khóa bí mật thì tính bảo mật của hệ mã bị phá vỡ.
Ban đầu, bản rõ được người gửi A mã hóa với khóa k. Sau đó bản mã được gửi tới
người nhận B. Khi nhận được bản mã, người gửi B sử dụng khóa k giải mã để thu
được bản rõ. Do đó, nếu một người khác có được khóa k thì hệ thống mã hóa này sẽ
bị tấn công.
Quá trình mã hóa và giải mã bằng cách sử dụng khóa bí mật được minh họa
như hình sau :
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
23
Khóa bí
mật
Hình 2.2. Sơ đồ hoạt động mã hóa đối xứng
Trong sơ đồ Hình 2.2, ta thấy việc thực hiện mã hóa khóa bí mật thông qua ba
bước cơ bản sau:
Trao đổi khóa: hai bên nhận và gửi trao đổi khóa bí mật bằng phương tiện
vật lý như ghi lên đĩa, nói trực tiếp, ghi ra giấy,… Việc trao đổi khóa này
phải được đảm bảo bí mật.
Mã hóa tại bên gửi: bản rõ được mã hóa sử dụng khóa bí mật tạo ra bản
mã. Sau đó bản mã được gửi cho bên nhận
Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật để khôi
phục lại bản rõ ban đầu.
Các hệ mật mã khóa đối xứng do vai trò của bên gửi và bên nhận đều như
nhau vì đều sở hữu chung một khóa bí mật nên có một số ưu/nhược điểm sau:
Ưu điểm: đơn giản, tốc độ thực hiện nhanh, tốn ít tài nguyên, đảm bảo độ
an toàn
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
24
Nhược điểm: trong hệ khóa phải được chia sẻ trên kênh an toàn nếu kẻ
địch tấn công trên kênh này có thể phát hiện ra khóa vì vậy độ an toàn là
chưa cao. Vấn đề quản lý khóa (tạo, lưu mật, trao chuyển,…) khó khăn và
phức tạp khi sử dụng trong môi trường trao đổi tin giữa rất nhiều người
dùng. Với số lượng người dùng là n thì số lượng khóa cần tạo lập là n(n-
1)/2. Mỗi người dùng phải tạo và lưu n-1 khóa bí mật để làm việc với n-1
người khác trên mạng. Như vậy rất khó khăn và không an toàn khi n tăng
lớn. Trên cơ sở mã đối xứng, ta không thể thiết lập được khái niệm chữ ký
điện tử (thể hiện được các chức năng của chữ ký tay trong thực tế) vì vậy
hệ mã hóa đối xứng không đảm nhận được tính xác thực thông tin mà chỉ
đảm bảo được tính bảo mật.
2. Hệ mật mã bất đối xứng (hay còn gọi là mật mã khóa công khai) [15]: Được
phát minh bởi Diffie và Hellman vào những năm 1976, các hệ mật này dùng một cặp
khóa đó là khóa công khai (public key) và khóa bí mật (private key). Trong hai khóa
đó, khóa công khai dùng để mã hoá còn khóa bí mật dùng để giải mã. Khóa công khai
và khóa bí mật có quan hệ toán học với nhau, dữ liệu được mã hóa bởi khóa công
khai thì chỉ có thể được giải mã bằng khóa bí mật tương ứng và ngược lại. Khóa công
khai được công khai với tất cả mọi người là để mọi người mã hóa những thông tin mà
họ muốn gửi cho người đang giữ khóa bí mật tương ứng; đồng thời là để mọi người
có thể giả mã các dữ liệu được mã hóa bởi khóa bí mật này khi cần. Điều quan trọng
đối với hệ thống là không thể tìm ra khóa bí mật nếu chỉ biết khóa công khai. Đặc
trưng nổi bật của hệ mã hóa khóa công khai là cả khóa công khai và bản tin mã hóa
đều có thể gửi đi trên một kênh không an toàn.
Một số thuật toán mã hóa công khai phổ biến: RSA, Diffie-Hellman Key-
Exchange Algorithm (dùng cho việc phân phối và trao đổi khóa).
Quá trình mã hóa và giải mã bằng cách sử dụng hệ mã khóa công khai được
minh họa như hình sau :
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
25
Hình 2.3. Sơ đồ hoạt động của mã hóa bất đối xứng
Trong sơ đồ Hình 2.3, ta thấy việc thực hiện mã hóa khóa công khai thông qua
ba bước cơ bản sau:
Trao đổi khóa: bên nhận gửi khóa công khai của mình cho bên gửi, việc
trao đổi khóa công khai có thể thực hiện trong môi trường mở như internet.
Mã hóa tại bên gửi: bên gửi sử dụng khóa công khai của bên nhận để mã
hóa bản rõ thành bản mã. Bản mã được gửi cho bên nhận.
Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật của bên
nhận để khôi phục lại bản rõ ban đầu.
Hệ mã hóa khóa công khai có ưu/nhược điểm sau:
Ưu điểm: việc trao đổi khóa đơn giản do chỉ cần trao đổi khóa công khai
của cặp khóa và khóa riêng luôn được giữ bí mật nên độ an toàn cao.
Nhược điểm: tốc độ chậm so với mã hóa khóa bí mật, đòi hỏi công suất
tính toán lớn, độ phức tạp thuật toán cao.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
26
Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích [14]:
Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã
được.
Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một
khóa bí mật nào đó hay không
Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật
giữa hai bên.
2.1.4. Nhu cầu về an toàn và bảo mật thông tin trong thƣơng mại điện tử
2.1.4.1. An toàn thông tin trong hệ thống thương mại điện tử
Mối đe dọa và hậu quả tiềm ẩn đối với thông tin trong hệ thống mạng phục vụ
hoạt động TMĐT là rất lớn, và được đánh giá trên nhiều khía cạnh khác nhau như:
kiến trúc hệ thống công nghệ thông tin, từ chính sách bảo mật thông tin, các công cụ
quản lý và kiểm tra, quy trình phản ứng. v.v.
Nguy cơ mất an toàn thông tin tiềm ẩn trong chính sách bảo mật/an toàn thông
tin, đó là: sự chấp hành các chuẩn an toàn, tức là sự xác định rõ ràng cái được phép và
không được phép trong khi vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ
thông tin không rõ ràng; việc chấp hành sử dụng các chuẩn bảo mật thông tin được
phân cấp, chuẩn an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn bức tường lửa;
chính sách an toàn Internet. v.v.
Thông tin trong hệ thống TMĐT cũng sẽ dễ bị tổn thất nếu công cụ quản lý và
kiểm tra của các tổ chức quản lý điều khiển hệ thống không được thiết lập như: các
quy định mang tính hành chính như duy trì kiểm tra tiêu chuẩn bảo mật thường
xuyên; các công cụ phát hiện âm mưu xâm nhập nhằm báo trước các ý đồ tiếp cận
trái phép và giúp đỡ phục hồi những sự cố vốn không tránh khỏi; các công cụ kiểm
tra tính toàn vẹn dữ liệu và thông tin tránh bị cá nhân bất hợp pháp và phương tiện
khác thay đổi; công cụ chống virus,v.v;
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
27
2.1.4.2. Các yêu cầu đảm bảo an toàn giao dịch cho các chủ thể tham gia
TMĐT
Việc phân tích các nguy cơ tiềm ẩn trên cho chúng ta thấy rằng vấn đề bảo mật
thông tin của các chủ thể tham gia TMĐT là rất quan trọng trong việc hoạch định các
phương án bảo mật thông tin trong hệ thống TMĐT. Các chủ thể tham gia TMĐT là
người tiêu dùng, các doanh nghiệp (nhà nước và tư nhân) và Chính phủ, nhưng mối
quan tâm bảo mật thông tin của các chủ thể tuy có mục đích giống nhau song yêu cầu
thì hoàn toàn khác nhau và sự khác nhau về yêu cầu bảo mật thông tin có thể còn có
ngay trong cùng một chủ thể do bởi thông tin giao dịch với các chủ thể khác nhau có
nguy cơ đe doạ mất an toàn thông tin là khác nhau. Do đó, việc bảo mật thông tin cho
các chủ thể tham gia TMĐT cần tính đến tính chất và yêu cầu của các chủ thể để xây
dựng các phương án bảo mật thông tin tiết kiệm và hiệu quả. Không thể có một
phương án chung cho mọi đối tượng.
Một khía cạnh khác rất quan trọng là cần phải tiên liệu trong quá trình xây
dựng phương án bảo mật thông tin trong hệ thống TMĐT, đó là các luồng thông tin
và các dạng thức thông tin giao tiếp trong hệ thống TMĐT để xác định phương thức
tổ chức hệ thống kỹ thuật mật mã phù hợp nhằm bảo mật thông tin có hiệu quả. Có 4
loại giao tiếp thông tin trong hệ thống TMĐT: (1) người với người, (2) người với
máy tính, (3) máy tính điện tử với người, và (4) máy tính điện tử với máy tính điện
tử. Với 5 dạng thức chủ yếu: (1) thư điện tử, (2) thanh toán điện tử, (3) trao đổi EDI,
(4) giao gửi số hoá các dung liệu-tức là việc trao đổi, mua bán hàng hoá thực hiện
trực tuyến trên mạng bởi nội dung hàng hóa (còn gọi là hàng hóa mềm), (5) bán lẻ
hàng hóa hữu hình. Với các luồng thông tin và các dạng thức thông tin trao đổi phức
tạp trong hệ thống TMĐT, có thể hình dung được những khó khăn trong việc bố trí
kỹ thuật mật mã và quản lý phân phối sử dụng khóa mật mã.
Trong giao dịch thương mại điện tử mọi dữ liệu (kể cả chữ ký) đều ở dạng số
hóa vì vậy đặt ra yêu cầu nghiêm ngặt về tính bí mật, an toàn, tránh bị thay đổi thông
tin (toàn vẹn dữ liệu), xâm nhập dữ liệu, tính xác thực, tính không thể chỗi bỏ,...đó là
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
28
các rủi ro ngày một lớn không chỉ với cá nhân, doanh nghiệp mà cả với từng quốc gia
vì các hệ thống điện tử có thể bị kẻ xấu xâm nhập. Vì vậy đòi hỏi phải có các hệ
thống bảo mật, an toàn được thiết kế trên cơ sở kỹ thuật mã hóa hiện đại và một cơ
chế an ninh hữu hiệu.
2.2. Chữ ký số
2.2.1. Chữ ký số và chữ ký viết tay
Xét về truyền thống, các tài liệu bằng giấy trong giao dịch được xác nhận và
chứng thực bằng chữ ký viết tay. Đối với các tài liệu điện tử yêu cầu cần phải được
xác thực về tác giả của nó, do đó cần phải có những kỹ thuật tương tự như chữ ký tay,
đó là cơ sở hình thành các lược đồ ký số. Chữ ký số thực chất là một chuỗi số 0 và 1
được tạo bằng cách sử dụng một thuật toán chữ ký số nhằm mục đích xác nhận tính
hợp lệ và xác thực nguồn gốc của các tài liệu điện tử.
Chữ ký số là một chuỗi gắn kết một thông điệp với một (hoặc nhiều) thực thể
nguồn nào đó. Chữ ký số gắn bó mật thiết với thông điệp, điều này khác hẳn với chữ
ký viết tay. Khi thông điệp thay đổi thì chữ ký số phải thay đổi, do vậy chữ ký số đảm
bảo tính toàn vẹn của thông điệp được ký. Chữ ký số không thể làm giả được. Chữ ký
số đảm bảo tính xác thực người ký bởi vì không ai trừ người ký có thể ký thông điệp
với thuộc tính này người ký không thể nói rằng đã không ký vào thông điệp [16].
Một chữ ký số phụ thuộc vào khóa riêng của người ký và cả nội dung của
thông điệp ký. Các tranh chấp có thể nảy sinh khi một người ký cố tình chối bỏ chữ
ký số đã tạo ra, hoặc khi có kẻ giả mạo đưa ra chứng cứ gian lận, khi đó một bên thứ
ba tin cậy có thể giải quyết vấn đề một cách công bằng mà không cần biết khóa riêng
của người ký.
Cần phân biệt rõ ràng giữa chữ ký điện tử và chữ ký số. Trên môi trường
mạng, bất cứ dạng thông tin nào được sử dụng để nhận biết một người đều được coi
là chữ ký điện tử. Ví dụ một hình ảnh hoặc một đoạn âm thanh được chèn vào cuối e-
mail, đó là chữ ký điện tử. Có thể hình dung chữ ký điện tử là cách chụp chữ ký, biểu
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
29
tượng, vân tay được chọn để quét vào văn bản. Cách sử dụng chữ ký điện tử này
không thể đảm bảo an toàn trong các giao dịch quan trọng qua mạng được.
Chữ ký số là một dạng chữ ký điện tử, với độ an toàn cao và được sử dụng
rộng rãi. Chữ ký số được phát triển và hình thành dựa trên lý thuyết về mật mã và
thuật toán mã hóa bất đối xứng, theo đó mỗi người sử dụng chữ ký số cần có một cặp
khóa bao gồm khóa bí mật (khóa riêng) và khóa công khai. Người chủ chữ ký sử
dụng khóa riêng để tạo chữ ký số (trên cơ sở kết hợp với nội dung thông điệp dữ
liệu), ghép nó cùng với thông điệp dữ liệu và gửi đi. Người nhận dùng khóa công
khai xác thực chữ ký số để biết được người ký là ai. Cả hai quy trình ký và xác thực
chữ ký đều được thực hiện bằng thuật toán.
Các cặp khóa trên do những nhà cung cấp dịch vụ CA cấp hoặc xác minh là đủ
điều kiện an toàn sau khi đã kiểm tra, xác minh chủ của nó (cá nhân, tổ chức) là có
thực. Đồng thời, nhà cung cấp dịch vụ cũng giao cho cá nhân, tổ chức đó một chứng
thư số - tương đương như chứng minh thư nhân dân hay giấy xác nhận sự tồn tại của
cá nhân, tổ chức trên môi trường mạng. Chứng thư đó có chứa khóa công khai của cá
nhân, tổ chức và được duy trì tin cậy trên cơ sở dữ liệu của nhà cung cấp dịch vụ
chứng thực, do vậy người nhận có thể truy cập vào cơ sở dữ liệu đó để xác minh xem
đúng là có người đó hay không.
Trong môi trường mạng, mật mã khóa công khai không chỉ dùng vào việc bảo
vệ tính bí mật của thông điệp mà còn là phương tiện để bảo vệ tính xác thực, tính toàn
vẹn và tính chống chối từ. Chữ ký số là phương pháp ký một bức thông điệp lưu dưới
dạng điện tử, có thể truyền trên mạng máy tính. Chữ ký số dựa trên mật mã khóa
công khai, trong đó khóa riêng được dùng để ký số, khóa công khai được dùng để xác
thực.
Chữ ký số và chữ ký viết tay được so sánh thông qua bảng 2.1 sau đây:
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
30
Bảng 2.1. So sánh chữ ký viết tay và chữ ký số
Quá trình
Ký Chữ ký viết tay Là một thành phần vật lý của tài liệu (nhìn thấy được) trên tài liệu.
Kiểm tra chữ ký
Chữ ký số Không gắn kiểu vật ký vào thông điệp nên thuật toán được dùng phải "không nhìn thấy" theo một cách nào đó trên văn bản. - Chữ ký số có thể kiểm tra nhờ dùng thuật toán kiểm tra công khai. Như vậy, bất kì ai cũng có thể kiểm tra được chữ ký số. - Việc dùng chữ ký số an toàn tránh được giả mạo. - Chữ ký được kiểm tra bằng cách so sánh nó với chữ ký thực khác bằng mắt xác thường. - Chữ ký tay dễ bị giả mạo vì vậy đây không phải là phương pháp an toàn.
Giữa chữ ký số và chữ ký viết tay còn một điểm khác biệt nữa đó là việc dùng
lại. Bản sao của thông điệp được ký bằng chữ ký số thì đồng nhất với bản gốc, còn
bản sao thông điệp được ký bằng chữ ký viết tay lại có thể khác với bản gốc. Điều
này có nghĩa là cần phải ngăn chặn một bức thông điệp ký số không bị dùng lại. Vì
vậy, đối với các hoạt động trong môi trường mạng ngày càng phát triển như hiện nay,
chữ ký số là một hình thức để bảo đảm tính pháp lý của các cam kết. Chữ ký số phải
đảm bảo các yêu cầu:
Người nhận có thể xác thực được người gửi.
Người gửi không thể chối bỏ nội dung của bản tin đã gửi
Người gửi không thể thay đổi bản tin sau khi đã gửi.
2.2.2. Khái niệm chữ ký số
Chữ ký số là một dạng chữ ký điện tử. Về căn bản chữ ký số có khái niệm
giống như chữ ký thông thường nhưng được xây dựng dựa trên công nghệ mã khóa
công khai, nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm
khi đã ký. Chữ ký số không đòi hỏi phải sử dụng giấy mực.
Chữ ký số là một ứng dụng của mật mã công khai Chữ ký số là một hàm của
khóa riêng (Secret key) và thông điệp. Người gửi dùng khóa bí mật (Private key) của
mình để ký vào thông điệp trước khi gửi. Người nhận sẽ sử dụng khóa công khai
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
31
(Public key) của người gửi để thẩm tra thông điệp. Nó không chỉ kiểm tra, thẩm định
thông tin về người gửi mà nó còn có thể kiểm tra cả nội dung của thông điệp. Như
vậy, sẽ biết được rằng thông điệp đó không bị giả mạo và nó không bị sửa đổi hay
can thiệp vào nội dung trong quá trình truyền [7].
Kỹ thuật chữ ký số gồm: thuật toán tạo khóa, thuật toán ký tên và thuật toán
xác nhận và kiểm tra chữ ký. Theo kỹ thuật này thì chỉ có người tạo ra thông điệp
mới có thể ký tên và tất cả mọi người đều có thể kiểm chứng chữ ký. Mô hình chữ ký
số cũng giống như mô hình mã hóa công khai. Do vậy, thuật toán RSA có thể được
áp dụng để xây dựng chữ ký số. Hiện nay, có 3 thuật toán chữ ký số thông dụng là (i)
chữ ký RSA; (ii) chữ ký Elgamall; và (iii) chữ ký DSS.
2.2.3. Đặc điểm của chữ ký số
2.2.3.1. Tính toàn vẹn
Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bản
không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ
thay đổi và lập tức bị phát hiện. Quá trình mã hóa sẽ ẩn nội dung của gói tin đối với
bên thứ 3 nhưng không ngăn cản được việc thay đổi nội dung của nó [12][16]
2.2.3.2. Tính chống chối bỏ nguồn gốc
Các hệ thống mật mã hóa khóa công khai cho phép mật mã hóa văn bản với
khóa bí mật mà chỉ có người chủ của khóa biết. Để sử dụng chữ ký số thì văn bản cần
phải được mã hóa bằng hàm băm (văn bản được "băm" ra thành các chuỗi, các chuỗi
này thường có độ dài cố định và ngắn hơn văn bản) sau đó dùng khóa bí mật của
người chủ khóa để mã hóa, khi đó ta được chữ ký số. Khi cần kiểm tra, bên nhận giải
mã (với khóa công khai) để lấy lại chuỗi gốc (được sinh ra qua hàm băm ban đầu) và
kiểm tra với hàm băm của văn bản nhận được. Nếu 2 giá trị (chuỗi) này khớp nhau thì
bên nhận có thể tin tưởng rằng văn bản xuất phát từ người sở hữu khóa bí mật. Tất
nhiên là chúng ta không thể đảm bảo 100% là văn bản không bị giả mạo vì hệ thống
vẫn có thể bị phá vỡ [12][16].
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
32
Vấn đề xác thực hay nhận thực đặc biệt quan trọng đối với các trong thương
mại điện tử, giao dịch tài chính. Chẳng hạn một chi nhánh ngân hàng gửi một gói tin
về trung tâm dưới dạng (a,b), trong đó là số tài khoản và b là số tiền chuyển vào tài
khoản đó. Một kẻ lừa đảo có thể gửi một số tiền nào đó để lấy nội dung gói tin và
truyền lại gói tin thu được nhiều lần để thu lợi (tấn công truyền lại gói tin).
2.2.3.3. Tính không thể phủ nhận
Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình
gửi. Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ
ký số với văn bản. Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng
cứ để bên thứ ba giải quyết. Tuy nhiên, khóa bí mật vẫn có thể bị lộ và tính không thể
phủ nhận cũng không thể đạt được hoàn toàn [12][16].
2.2.4. Vai trò của chữ ký số
Trong nền kinh tế hiện đại, xu hướng ứng dụng công nghệ thông tin được gắn
liền với việc phát triển kinh doanh của các doanh nghiệp và được coi là yếu tố quan
trọng giúp doanh nghiệp giữ vững, mở rộng thị trường, tăng tính cạnh tranh, và thực
hiện các thỏa thuận thương mại với các nước trong khu vực cũng như trên thế giới.
Quá trình giao dịch của các doanh nghiệp đòi hỏi một lượng thông tin trao đổi rất lớn
qua mạng, song song với yêu cầu độ an toàn và tính xác thực cao. Chỉ có chữ ký
số mới đảm bảo được sự an toàn này; và nó cũng được coi là phương tiện hữu hiệu để
các doanh nghiệp tăng cường sức cạnh tranh thông qua thương mại điện tử.
Việc ứng dụng chữ ký số sẽ đem lại cho doanh nghiệp, tổ chức rất nhiều lợi
ích như: tiết kiệm chi phí giấy tờ, thời gian luân chuyển trong hoạt động quản lý công
văn, giấy tờ, thư điện tử.
Bên cạnh đó, chữ ký số giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng
chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các doanh nghiệp yên tâm
với các giao dịch điện tử của mình trong môi trường Internet
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
33
2.2.5. Lƣợc đồ chữ ký số
Lược đồ chữ ký số là phương pháp cho phép ký một thông để tạo ra chữ ký số
tương ứng và kiểm tra tính hợp lệ của thông điệp đó. Lược đồ chữ ký số gồm các thủ
tục:
1. Thủ tục sinh chữ ký số (Digital signature generation algorithm): là phương
pháp tạo ra một chữ ký số
2. Thủ tục kiểm tra chữ ký số (Digital signature verification algorithm): là
phương pháp để kiểm tra một chữ ký số.
2.2.5.1. Định nghĩa
Một sơ đồ chữ ký số là một bộ 5 (P, A, K, S, V) thỏa mãn các điều kiện sau
[6]:
P là một tập hợp các bản rõ có thể
A là tập hữu hạn các chữ ký có thể
K là tập hữu hạn các khóa có thể, mỗi khóa gồm có hai phần k = (k',
k''), k' là khóa bí mật dành cho việc ký, k'' là khóa công khai dành cho việc
kiểm tra chữ ký.
S là tập các thuật toán ký
V là tập các thuật toán xác minh.
Với mỗi , tồn tại một thuật toán kí và một thuật toán xác
minh là những hàm , Mỗi Sigk'(x): và Verk''(x):
sao cho mỗi thông điệp và mỗi chữ ký thỏa mãn verk''(x,y)=true nếu
y=sigk'(x) và verk''(x,y) = false nếu y ≠ sigk'(x). Với mỗi , hàm sigk' và verk'' là
các hàm thời gian đa thức, verk'' là hàm công khai còn sigk' là hàm bí mật.
Khi một người dùng muốn ký lên một thông điệp x thì người đó dùng thuật
toán an toàn để tạo ra chữ ký y = sig(x) nhận được và gửi cho người nhận. Người
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
34
nhận nhận được chữ ký sig(x) thì dùng thuật toán xác minh ver(x,y) để xác định tính
đúng đắn của chữ ký số (trả về true hoặc false)
Ngoài ra, một lược đồ chữ ký số phải không thể giả mạo được. Có nghĩa là
không thể tính được chữ ký số của một thông điệp nếu chỉ biết khóa công khai mà
không biết khóa bí mật tương ứng.
2.2.5.2. Tạo và xác thực chữ ký số
Hình 2.4. Quy trình tạo chữ ký số
Một hình thức ký số rất đơn giản đó là mã hóa thông tin đại diện thông điệp sử
dụng khóa riêng của người gửi. Lúc này cả thông điệp và chữ ký có thể được gửi cho
người nhận. Thông điệp được giải mã và có thể đọc được bởi bất kỳ ai sử dụng khóa
công khai của người gửi. Nhưng chữ ký phải đảm bảo tính xác thực của người gửi, ở
phía người nhận, một hàm ngược với hàm ký được áp dụng cho chữ ký số để khôi
phục lại đại diện thông điệp ban đầu. Đại diện thông điệp nhận được được đưa vào
cùng hàm băm như bên gửi và tạo ra thông điệp gốc ban đầu. Một đại diện thông điệp
khác sẽ được tạo ra từ thông điệp gốc để so sánh với thông điệp vừa được khôi phục
từ chữ ký số. Nếu chúng giống nhau thì có thể đảm bảo rằng thông điệp đã được gửi
bởi đúng người gửi và thông điệp đó không hề bị thay đổi trong quá trình truyền.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
35
Hình 2.5. Quy trình xác thực chữ ký số
2.2.6. Phân loại chữ ký số
Dựa vào thuật toán kiểm tra, chữ ký số được phân làm hai loại:
1. Chữ ký số khôi phục lại thông điệp: là loại chữ ký số không yêu cầu thông
điệp gốc là đầu vào của thuật toán kiểm tra. Tiêu biểu cho lớp chữ ký số
này là RSA, Rabin, Nyberg - Rueppel.
2. Chữ ký số đính kèm theo thông điệp: lược đồ chữ ký số loại này yêu cầu
bản gốc của thông điệp là đầu vào của thuật toán kiểm tra. Tiêu biểu cho
lớp chữ ký số này là Elgamal, DSA (chuẩn DSS của Mỹ), GOST (chuẩn
chữ ký số của Nga).
Nếu dựa theo mô hình kiểm tra, chữ ký số có thể phân thành hai loại:
1. Chữ ký số trực tiếp: là loại chữ ký số chỉ gồm các bên trao đổi thông tin
với nhau, người gửi và người nhận. Đây là hình thức đơn giản nhất của chữ
ký số, nó dựa trên giả thuyết người nhận biết trước khóa công khai của
người gửi.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
36
2. Chữ ký số có phân xử: trong lược đồ chữ ký số loại này có thêm một bên
thứ ba tin cậy được gọi là trọng tài. Mọi thông điệp được ký từ người ký A
tới người nhận B, đầu tiên đi đến trọng tài T, người có trách nhiệm tiến
hành một số các kiểm tra để xác minh nguồn gốc và nội dung của thông
điệp. Thông điệp sau đó gắn nhãn thời gian và gửi cho B với ám chỉ rằng
thông điệp đã được xác thực bởi trọng tài T. Sự có mặt của trọng tài T giải
quyết vấn đề mà lược đồ chữ ký số trực tiếp phải đối mặt đó là việc A có
thể từ chối việc đã gửi thông điệp trước đó. Trọng tài T đóng một vai trò
quan trọng và nhạy cảm trong lược đồ này và tất cả các bên tham gia phải
tin tưởng rằng kỹ thuật phân xử làm việc một cách chính xác và công tâm.
Có nhiều biến thể của lược đồ chữ ký số có phân xử, có một số lược đồ cho
phép trọng tài được thấy thông điệp trong khi các lược đồ chữ ký số khác
thì không. Nói chung, một lược đồ chữ ký số có phân xử có nhiều ưu điểm
so với lược đồ chữ ký số trực tiếp như sự tin cậy trong trao đổi thông tin
của các bên tham gia được đảm bảo bởi một trọng tài được tin tưởng và
trong phân xử các tranh chấp sau này nếu nó có xảy ra.
Nếu dựa theo số lượng người ký trên mỗi thông điệp, chữ ký số có thể phân
hai loại:
1. Chữ ký số đơn: Giao thức chữ ký số đơn chỉ cho phép một người ký vào
một tài liệu
2. Chữ ký số tập thể: Chữ ký số tập thể là giao thức chữ ký số cho phép nhiều
người ký vào cùng một (hoặc một số văn bản).
2.3. Một số sơ đồ chữ ký số
2.3.1. Sơ đồ chữ ký số RSA
Đặc điểm của sơ đồ chữ ký này là mức độ tính toán phụ thuộc hoàn toàn vào
độ lớn của giải thuật giải quyết các bài toán nhân số nguyên – bài toán luỹ thừa.
Sơ đồ chữ ký bao gồm cả hai loại kèm thông điệp và khôi phục thông điệp. Sơ
đồ chữ ký RSA được phát minh bởi 3 nhà nghiên cứu Rivest, Shamir và Adleman,
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
37
đây là sơ đồ có ứng dụng thực tế rộng rãi nhất dựa trên công nghệ sử dụng khoá
chung. Các phương pháp tấn công RSA đầu tiên (multicative property) và các vấn đề
khác liên quan tới chữ ký RSA, do Davia, Jonge và Chaum đưa ra.
2.3.1.1. Thuật toán sinh khoá
Thực thể A tạo khoá công khai RSA và khoá riêng tương ứng theo phương
thức sau [5][16] :
Sinh ra hai số nguyên tố lớn ngẫu nhiên p và q cùng kích thước bit;
Tính n = p.q và (n)= (p-1).(q-1);
Chọn một số tự nhiên ngẫu nhiên e thoả mãn điều kiện sau: 1< e < (n) và
gcd(e, (n)) = 1 hay e Z*P.
Sử dụng giải thuật mở rộng Euclidean để tính toán số tự nhiên duy nhất d
sao cho 1 < d < (n) và e.d 1 (mod (n))
Khoá công khai của A là K’ = (n, e), khoá riêng của A là K” = (n, d)
2.3.1.2. Thuật toán sinh chữ ký
Thực thể A ký trên thông điệp m dựa vào khóa bí mật của mình đã có.
Sinh chữ ký: Thực thể A làm theo các bước sau [16] :
Tính m' = H(m), là một số nguyên trong khoảng 0, n-1
Tính y = m'd mod n
Chữ ký của A cho m là y
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
38
Hình 2.6. Quá trình sinh chữ ký số
2.3.1.3. Thuật toán xác nhận chữ ký
Thực thể B có thể xác nhận được chữ ký của A bằng khóa công khai của A và
khôi phục lại thông điệp từ chữ ký. Việc xác nhận chữ ký của thực thể B làm theo các
bước sau [16]:
Nhận khoá công khai của A là (n, e)
Tính m' = ye mod n
Kiểm tra m' MR nếu không sẽ không chấp nhận chữ ký
Lấy lại thông điệp m từ m = H-1(m')
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
39
Hình 2.7. Quá trình xác nhận chữ ký số
2.3.1.4. Tóm tắt lược đồ ký theo RSA
Cho n = p.q với p và q là các số nguyên tố lớn. Cho P = A =Zn và định nghĩa P
= (n,p,q,e,d)n = p.q, p và q nguyên tố lớn, e.d 1 (mod (n)) Các giá trị n, e là
công khai, d là bí mật.
mod n và Verk(m,y) = true m ye(mod n) với m,y
Định nghĩa Sigk(m) = md
Zn. Nếu độ dài thông điệp m lớn, ta sử dụng hàm băm.
Ví dụ: Ví dụ sau đây sử dụng sơ đồ ký RSA, với thông điệp lớn
Sinh khoá: Thực thể A chọn số nguyên tố p =7927 và q =6997. Tính n =
p.q =55465219 và (n)=7926.6996 =55450296. A chọn e =5 và giải e.d
=5.d 1 (mod 55450296) được d = 44360237.
Sinh chữ ký: Để ký thông điệp m =31229978, A tính m’1 =H(m) =31229978. Chữ ký y = m1’dmod n=312299784430237mod 55465219 =
30729435.
Xác nhận chữ ký: B tính m2’= ye mod n = 307294355 mod 55465219
=31229978. B chấp nhận chữ ký vì m2’= m1 ’.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
40
2.3.1.5. Độ an toàn của sơ đồ chữ ký số RSA
Độ an toàn của chữ ký số RSA phụ thuộc vào bài toán tách n thành hai số
nguyên tố p và q. Vì nếu biết được p và q thì sẽ biết được bí mật ϕ(n) sau đó dựa vào
công thức e.d ≡ 1 (mod ϕ(n)), với e là khóa công khai đã biết thì có thể tính được
khóa bí mật d [16].
Nếu sơ đồ ký số thực hiện đơn giản thì tội phạm dễ dàng lừa. Ví dụ như họ có
thể chọn ngẫu nhiên và tính toán độ lớn: . Rõ ràng quá trình
thẩm tra (m,y) là hoàn toàn đúng. Ngoài ra do tính chất nhân của hàm RSA, tức là
nếu có hai bức điện m1 và m2 tương ứng với nó là 2 chữ ký y1 và y2 thì dễ dàng hình
. thành chữ ký thứ ba y1y2 với bức điện thứ ba m1m2:
Để chống lại sự giả mạo chữ ký theo phương pháp trên thì một phương pháp
đơn giản là thêm thông tin phụ vào bức điện M, có nghĩa là m=M||I, ở đây I là dấu
hiệu nhận dạng ví dụ như I= ”tên tác giả”.
Ngoài ra kết hợp với việc ký lên giá trị hàm hash của bức điện, tức là ký lên
giá trị: m=hash(M).
Vì những tính chất của hàm hash sẽ chống lại khả năng giả mạo trên trừ xác
suất rất nhỏ, vì nếu khó có thể tìm được bức điện mà giá trị băm của nó trùng với giá
trị hàm hash đã cho.
2.3.2. Sơ đồ chữ ký Elgama
Sơ đồ chữ ký Elgamal được giới thiệu năm 1985. Sơ đồ này thiết kế dành
riêng cho chữ ký số khác với sơ đồ RSA dành chung cho cả hệ thống mã công khai
và chữ ký số. Trong mật mã, hệ thống mã ElGamal là thuâ ̣t toán khóa b ất đối xứng,
dùng cho khoa công khai, dựa trên trao đổi khóa Diffie-Hellman.
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
41
Hình 2.8. Sơ đồ ElGalma
2.3.2.1. Thuật toán sinh khóa
Chọn số nguyên tố p đủ lớn để bài toán logarith rời rạc trên Zp là khó giải, và
chọn là phần tử nguyên thủy, chọn là số nguyên làm khóa mật và
. tính khóa công cộng yA=
2.3.2.2. Thuật toán sinh chữ ký
Để ký lên bức điện m , tạo ra số ngẫu nhiên thỏa mãn và
UCLN(k,p-1)=1 và hình thành nên chữ ký là cặp (r,s), ở đây r= k mod p; s= k-1 (m-
xAr) mod (p-1).
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
42
2.3.2.3. Thẩm tra chữ ký
Để thẩm tra chữ ký (r,s), xem kết quả của hàm kiểm tra Verify ( ,yA,p)
(m,(r,s)) = true, nếu như r < p và . Ngườ i ta xem sự đúng đắn của
phương trình thẩm tra chữ ký: .
Ngườ i ta thấy hình thành chữ ký với khóa mật xA và cả số nguyên ngẫu nhiên
k. Việc thẩm tra chữ ký chỉ bằng thông tin công khai.
2.3.2.4. Ví dụ
Sinh khóa: Giả sử chọn p=467, ,xA=127. Tính khóa công khai yA.
= 2127 mod 467=132
Sinh chữ ký: Nếu muốn ký lên bức điện m=100, thì chọn số ngẫu nhiên k, ví dụ chọn k=213 (UCLN(213,467)=1) và tính 213-1mod 466=431. Khi đó: r=2213 mod 467=29; s=431(100-127.29) mod 466=51.
Xác nhận chữ ký: Thẩm tra được chữ ký này bằng cách:
Vậy chữ ký là hợp lệ.
2.3.2.5. Độ an toàn của sơ đồ chữ ký số Elgamal
Đánh giá độ an toàn của sơ đồ chữ ký Elgamal qua một số cảnh báo sau:
Cảnh báo 1: Đầu tiên để kiểm tra chữ ký thì cần phải kiểm tra bất đẳng
thức r < p. Nếu như r > p thì có khả năng bị tấn công, cách này đề xuất bởi
Bleichenbacher. Giả sử (r,s) là chữ ký của bức điện m. Tội phạm có thể giã mạo chữ
ký với một bức điện bất kỳ m’ bằng cách hình thành như sau:
1.
2. .
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
43
Tính r’, thỏa mãn điều kiện và . Điều này có
thể làm được nhờ áp dụng định lý phần dư Trung Hoa.
Chúng ta thấy bức điện m’ với chữ ký (r’,s’) thỏa mãn điều kiện:
Tấn công kiểu như thế này là không thể nếu như r < p, bởi vì trong trường hợp
này giá trị r’ được tính toán theo bước 3 ứng dụng định lý phần dư Trung Hoa theo
modulo p(p-1).
Cảnh báo 2: Cảnh báo này cũng hình thành bởi Bleichenbacher. Người
gửi cần phải lựa chọn phần tử ngẫu nhiên từ nhóm . Nếu như tham số này
không được lựa chọn (điều này là có thể, khi hệ thống người sử dụng có một tham
số mở và p), thì cần phải kiểm tra một số lần rằng là số ngẫu nhiên (điều này có
thể áp dụng hàm tạo số giả ngẫu nhiên).
Giả sử rằng các tham số mở và p được lựa chọn bởi tội phạm. Tham số p
hình thành trên cơ sở phương pháp chuẩn: Giả sử p-1=bq, với q là số nguyên tố đủ
lớn, nhưng b có thể có thừa số nguyên tố nhỏ, và tính toán logarithm trong nhóm bậc
b không khó). Tội phạm hình thành tham số theo cách sau: , với
và c < b.
Chúng ta biết rằng việc tính toán logarith rời rạc của khóa mở yA là bài toán
khó. Thế nhưng tính toán logarith của độ lớn theo cơ số không tạo nên một sự
khó khoăn nào. Logarith rời rạc này bằng , có nghĩa thỏa mãn đồng dư
thức sau:
Khi tính được giá trị z thì tội phạm có thể giả mạo chữ ký của người gửi bằng
các lệnh sau đây:
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
44
Chúng ta xem việc thẩm tra chữ ký:
Rõ ràng chúng ta thấy cặp (r,s) là chữ ký của bức điện m, nhưng việc tạo thành
chữ ký này không có sự tham gia của khóa mật xA (mà có sự tham gia của số xA (mod
b)).
Chú ý rằng trong quá trình hình thành chữ ký giả mạo thì số q là ước số của r.
Dẫn đên cách tấn công của Bleichenbacher có thể ngăn chặn nếu như trong lúc kiểm
tra Bob kiểm tra điều kiện q không là ước số của r (giả sử rằng quá trình lựa chon p
thì q là tham số mở).
Cảnh báo 3: Trong cảnh báo này thì liên quan đến chiều dài của tham
số k. Tạo ra chữ ký theo sơ đồ Elgamal là thuật toán ngâu nhiên bởi vì tham số k
được hình thành ngẫu nhiên. Người gửi không bao giờ dùng khóa để ký các bức
điện khác nhau là có thời gian sống ngắn. Nếu như tham số k sử dụng trở lại đối với
, chữ ký của hai bức điện m1 và m2, mà hai bức điện thỏa mãn
thì từ phương trình tính s của sơ đồ chữ ký chúng ta có:
.
Bởi vì tồn tại, và từ bất đẳng thức dẫn đến:
, có nghĩa bị lộ. Nhưng quan trọng nhất là
khóa mật xA có thể tính toán từ công thức hình thành s, và suy ra xA theo công thức:
.
Điều này cho chúng ta thấy chỉ được sử dụng tham số k một lần duy nhất.
Ngăn chặn tấn công giả mạo Existential forgery. Đây là cách tấn công dựa vào
bức điện không bao gồm thông tin phụ để nhận dạng. Chúng ta tìm hiểu một số cách
hình thành bức điện và chữ ký giả mạo.
(i) Cách thứ nhất: Giả sử u và v là các số nguyên bất kỳ, nhỏ hơn p-1 và thỏa
mãn điều kiện UCLN(v, p-1)=1. Chúng ta hoàn thành một số lệnh sau:
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
45
Chúng ta xem (m,(r,s)) sẽ là chữ ký đúng như người gửi thực hiện, bằng cách
kiểm tra phương trình sau:
(ii) Cách thứ hai: Tội phạm bắt đầu bằng bức điện được người gửi ký trước
đây. Giả sử (r,s) là chữ ký hợp lệ trên m. Khi đó tội phạm có khả năng ký lên nhiều
bức điện khác nhau. Giả sử các số i, j, h là các số nguyên, thỏa mãn
và UCLN(hr-j, p-1) =1. Ta thực hiện các tính toán sau:
.
.
.
Và chúng ta dễ dàng kiểm tra được rằng: . Vì thế ( ) là chữ ký
hợp lệ của chữ ký m’. Để ngăn ngừa tấn công theo kiểu giả mạo trên thì giống như
trong sơ đồ RSA chúng ta cũng thêm thông tin phụ vào bức điện và ký lên giá trị hàm
hash của bức điện đó.
2.3.3. Sơ đồ chữ ký DSA
2.3.3.1. Giới thiệu
Sơ đồ chữ ký DSS dựa trên giải thuật ký điện tử DSA. Chữ ký dạng DSS là
một dạng chữ ký kèm thông điệp, điều đó có nghĩa là chữ ký phải được gửi kèm với
thông điệp mà bản thân chữ ký không chứa, hoặc không sinh ra thông điệp. Thường
thì các chữ ký dạng này đều đòi hỏi có một hàm băm trên thông điệp (do nội dung
thông điệp có độ dài không xác định). Hàm băm này được sử dụng trong quá trình
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
46
sinh chữ ký để xây dựng một dạng nén của dữ liệu. Dữ liệu này gọi là đại diện văn
bản. Phần đại diện văn bản này là đầu vào của giải thuật sinh chữ ký. Người xác nhận
chữ ký cũng sử dụng hàm băm này để xây dựng phương pháp xác nhận chữ ký. Đối
với sơ đồ chữ ký DSS hàm băm là SHA, được miêu tả trong FIPS 186, hàm băm này
tạo ra một giá trị số nguyên 160 bit đặc trưng cho một thông điệp, điều này làm hạn
chế một trong các giá trị tham số của DSS phải là 160 bit. Ngoài ra, chuẩn này yêu
cầu việc sinh chữ ký phải sử dụng một khóa riêng cho mỗi người ký, ngược lại để xác
nhận chữ ký, người xác nhận phải có một khóa công khai tương ứng với khóa riêng
của người gửi.
Hình 2.9. Sơ đồ chữ ký DSA
2.3.3.2. Giải thuật sinh khóa DSA
Mỗi thực thể tạo một khóa công khai và một khóa mật tương ứng theo cách
sau:
1. Chọn một số nguyên tố q sao cho 2159 < q < 2160
2. Chọn một số nguyên tố p sao cho 2511+64t < p < 2512+64t ở đó t [0,8]
Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
47
3. Chọn số như sau:
Chọn g là một số nguyên bất kỳ nhỏ hơn p, =g(p-1)/q mod p, khác 1
4. Chọn số nguyên a sao cho: 1
5. Tính
6. Khóa riêng của thực thể là a, khóa công khai là bộ (p,q, )
2.3.3.3. Thuật toán sinh chữ ký
Khi cần sinh chữ ký cho một thông điệp x thực thể phải làm những việc như
sau:
1. Chọn một số nguyên mật k, 0 < k 2. Tính 3. Tính k -1 mod q 4. Tính 5. Chữ ký của thực thể cho x là cặp 2.3.3.4. Thuật toán xác nhận chữ ký Các bước cần thực hiện : Loại bỏ chữ ký nếu hoặc 0< r Tính w = (s)-1 mod q Tính u1 = (SHA-1(m)*w) mod q Tính u2 = (r*w) mod q Tính v = ((gu1*yu2) mod p) mod q Chữ ký là có hiệu lực nếu v = r Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 2.3.3.5. Độ an toàn Độ an toàn của chữ kí phụ thuộc vào độ bí mật của khoá riêng. Người sử dụng phải được bảo vệ trước về khoá riêng của mình. Nếu khoá riêng đảm bảo an toàn tuyệt đối thì chữ kí cũng có mức độ an toàn hầu như tuyệt đối. Mặt khác, với khoá riêng là công khai, chữ ký DSA là an toàn khi từ khoá công khai không thể tìm được khoá riêng. Thật vậy, ta có: Cho p là một số nguyên tố rất lớn, phương trình toán học sau là không
thể giải được: y = ax mod p (1) với y, a = g(p-1)/q và khác 1. Để xem xét điều này trước hết ta nhận xét phương trình (1) có nghiệm x duy nhất thuộc khoảng [1,
1 mod p và y = ax2 mod
q]. Thật vậy, giả sử có hai nghiệm x1 và x2, từ (1) ta có: y = ax p. Không mất tính tổng quát ta giả sử x1 < x2 từ đây ta suy ra: 1 chia hết cho p (không thoả mãn do p nguyên tố). ax Tồn tại k nhỏ hơn p sao cho ak 1 (mod p). Với giá trị a có dạng a = g(p-1)/q thì điều này không thể xảy ra khi g < p. Trong nhiều trường hợp, thông điệp có thể mã và giải mã chỉ một lần nên nó phù hợp cho việc dùng với hệ mật bất kì (an toàn tại thời điểm được mã). Song trên thực tế, nhiều khi một bức điện được làm một tài liệu đối chứng, chẳng hạn như bản hợp đồng hay một chúc thư và vì thế cần xác minh chữ kí sau nhiều năm kể từ khi bức điện được kí. Bởi vậy, điều quan trọng là có phương án dự phòng liên quan đến sự an toàn của sơ đồ chữ kí khi đối mặt với hệ thống mã. Vì sơ đồ Elgamal không an toàn hơn bài toán logarithm rời rạc nên cần dùng modulo p lớn hơn chẳng hạn 512 bit trở lên. Tuy nhiên độ dài chữ kí theo sơ đồ Elgamal là gấp đôi số bit của p mà với nhiều ứng dụng dùng thẻ thông minh thì cần chữ kí ngắn hơn nên giải pháp sửa đổi là: một mặt dùng p với độ dài biểu diễn từ 512 đến 1024 bit, mặt khác trong chữ kí (?,dδ), các số?, d có độ dài biểu biễn ngắn, chẳng hạn là Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 160 bit – Khi đó độ dài chữ kí là 320 bit. Điều này thực hiện bằng cách dùng nhóm con Cyclic Zq* của Zp* thay cho chính bản thân Zp*, do đó mọi tính toán vẫn được thực hiện trong Zp* nhưng dữ liệu và thành phần chữ kí lại thuộc Zq*. Hiện nay sơ đồ chữ ký RSA là sơ đồ chữ ký số thông dụng và được sử dụng phổ biến hiện nay vì tính an toàn cao và là cơ sở xây dựng cho nhiều loại chữ ký khác. Trong phạm vi luận văn này tác giả đi sâu nghiên cứu về chữ ký số RSA. 2.4. Hàm băm 2.4.1. Sơ lƣợc về hàm băm Hàm băm là các thuật toán không sử dụng khóa để mã hóa, nó có nhiệm vụ băm thông điệp được đưa vào theo một thuật toán h một chiều nào đó, rồi đưa ra một văn bản băm gọi là văn bản đại diện có kích thước cố định. Do đó người nhận không biết được nội dung hay độ dài ban đầu của thông điệp đã được băm bằng hàm băm [20]. Giá trị ban đầu của hàm băm là duy nhất và không thể suy ngược lại được nội dung thông điệp từ giá trị băm này. Đầu vào Giá trị băm Một hàm băm được xem là bảo mật và an toàn phải đảm bảo các tính chất sau: Có thể áp dụng với thông báo đầu vào có độ dài bất kỳ. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Tạo ra giá trị băm y = h(x) có độ dài cố định, h(x) dễ dàng tính được với bất kỳ x nào Tính một chiều: Với mọi đầu ra y cho trước không thể tìm được x' sao cho h(x') bằng giá trị y cho trước. 2.4.2. Lý do sử dụng hàm băm trong chữ ký số Các sơ đồ ký số thường chỉ được sử dụng để ký các bức thông điệp có kích thước nhỏ và sau khi ký, bản ký số có kích thước lớn hơn bản thông điệp gốc (gấp đôi). Trên thực tế, ta cần phải ký các văn bản có kích thước lớn lên đến hàng MB, sau đó ta phải gửi kèm cả chữ ký số lẫn đoạn thông điệp gốc để xác nhận, điều này làm cho dung lượng thông tin truyền qua mạng trở nên rất lớn. Một cách để giải quyết vấn đề trên là băm thông điệp thành nhiều đoạn 160 bit, sau đó ký lên các đoạn đó độc lập nhau. Nhưng sử dụng biện pháp này lại gặp phải một số vấn đề khác của chữ ký số đó là: Không giải quyết được vấn đề kích thước truyền lớn Các chữ ký "an toàn" thì tốc độ chậm vì chúng dùng nhiều phép tính số học Sau khi ký, nội dung của thông điệp có thể bị xáo trộn các đoạn với nhau, hoặc một số đoạn có thể bị mất mát, không đảm bảo tính toàn vẹn của thông điệp. Chính vì vậy, giải pháp cho vấn đề vướng mắc trên là dùng hàm băm để trợ giúp cho việc ký số với những tính chất sau: Hàm băm tạo ra một đoạn chuỗi băm có độ dài duy nhất, giúp giảm kích thước cần tính toán giảm cả thời gian thực hiện và dung lượng truyền. Tăng tính bảo mật cho chương trình, mỗi đoạn văn bản chỉ có thể tạo ra một chuỗi băm duy nhất không trùng lặp. Tránh sự trùng lặp thông điệp khi ký trên các đoạn văn bản khác nhau. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Ngoài ra, các phương pháp ký hiện đại được nâng cao từ RSA tùy theo phương pháp băm được sử dụng để thêm vào các ký tự đặc biệt hoặc các chuỗi ngẫu nhiên vào chuỗi mã hóa khi ký để tăng thêm tính bảo mật. Hiện nay, một số kỹ thuật băm được sử dụng phổ biến như: SHA-1, SHA-256, SHA-384, SHA-512; MD-4, MD-5… Tuy nhiên nội dung luận văn sẽ tập trung nghiên cứu và cài đặt thuật toán băm SHA-1 [20]. 2.4.3. Hàm băm SHA-1 SHA-1 là thuật toán "băm" một chiều dùng trong rất nhiều hệ thống như SHH, SSL, PGP, IPSec, VPNs,…Được cơ quan an ninh quốc gia Mỹ phát minh năm 1995 và trở thành chuẩn bảo mật cơ sở phổ biến nhất trên Internet và là thuật toán chữ ký điện tử duy nhất được Cơ quan Chuẩn Chữ ký số của chính phủ Mỹ phê chuẩn. Giải thuật gồm 5 bước thao tác trên các khối 512 bits Đầu vào: thông điệp với độ dài tối đa 264 bits Đầu ra: giá trị băm có độ dài 160bits Bước 1: Nhồi thêm dữ liệu: thông điệp được nhồi thêm các bits sao cho độ dài l 448 mod 512 hay l=n*512 + 448 (n, l nguyên). Thông điệp luôn luôn được nhồi thêm dữ liệu Số bits nhồi thêm nằm trong khoảng từ 1 đến 512 Phần dữ liệu nhồi thêm bao gồm một bit 1 và theo sau là các bit 0. Bước 2: Thêm vào độ dài: độ dài của khối dữ liệu ban đầu được biểu diễn dưới dạng nhị phân 64 bits và được thêm vào cuối chuỗi nhị phân kết quả của Bước 1. Độ dài được biểu diễn dưới dạng nhị phân 64 bits không dấu. Kết quả có được từ hai bước đầu là một khối dữ liệu có độ dài là bội số của 512. Khối dữ liệu được biểu diễn: Bằng một dãy L khối (block) 512 bits Y0, Y1,....YL-1 Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Bằng một dãy N từ (word) 32 bits M0, M1,...,MN-1. Vậy N=Lx16 = 32x16=512 Bước 3: Khởi tạo bộ đệm MD: một bộ đệm 160 bits được dùng lưu trữ các giá trị băm trung gian và kết quả. Bộ đệm được biểu diễn bằng 5 thanh ghi 32 bits với các giá trị khởi tạo ở dạng big-iendian (byte có trọng số lớn nhất trong từ nằm ở địa chỉ thấp nhất). A = 01 23 45 67 B = 89 AB CD EF C = FE DC BA 98 D = 76 54 32 10 E = C3 D2 E1 F0 Các giá trị này tương đương với các từ 32 bits sau: A = 01 23 45 67 B = 89 AB CD EF C = FE DC BA 98 D = 76 54 32 10 E = C3 D2 E1 F0 Bước 4: Xử lý các khối dữ liệu 512 bits : trọng tâm của giải thuật bao gồm 4 vòng lặp thực hiện tất cả 80 bước. 4 vòng lặp có cấu trúc như nhau chỉ khác nhau ở các hàm logic f1, f2, f3, f4. Mỗi vòng có đầu vào gồm khối 512 bits hiện thời và một bộ đệm 160 bit ABCDE. Các thao tác sẽ cập nhật giá trị bộ đệm. Mỗi bước sử dụng một hằng số Kt (0 t 79) Kt = 5A827999 (0 t 19) Kt = 6ED9EBA1 (20 t 39) Kt = 8F1BBCDC (40 t 59) Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Kt = CA62C1D6 (60 t 79) Đầu ra của 4 vòng (bước 80) được cộng với đầu ra của bước CVq để tạo ra CVq+1. Bước 5: Xuất kết quả. Sau khi thao tác trên toàn bộ L blocks. Kết quả của khối thứ L là bảng băm 160 bits. 2.5. Hạ tầng khóa công khai PKI 2.5.1. Khái niệm Hạ tầng cơ sở khóa công khai PKI là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại các trung tâm và các phần mềm phối hợp khác đặt tại địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai [18]. Mục đích chính của PKI là cung cấp các cặp khóa và các dịch vụ liên quan sử dụng chúng. Khái niệm hạ tầng khóa công khai thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số CA cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hóa công khai trong trao đổi thông tin. PKI là một tập hợp các thiết bị phần cứng, phần mềm, con người và các thủ tục cần thiết phát hành/thu hồi thẻ, lưu trữ, phân phối, thu hồi các khóa và chứng chỉ số dựa trên mật mã khóa công khai. Các thành phần này kết hợp với nhau để thiết lập một phương thức trao đổi thông tin trong môi trường mạng đảm bảo tính xác thực định danh đối tác ở mức an toàn cao nhất. Nhiệm vụ chính của PKI là sử dụng chiến lược mã hóa khóa công cộng (public key encryption) để tạo, quản lý và thu hồi các thẻ chứng thực. Cụ thể: Tạo và xác định tính hợp lệ của chữ ký số Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Đáp ứng sự đăng ký thẻ của người sử dụng mới Xác thực người sử dụng và phân phối thẻ chứng thực đến họ Thu hồi các thẻ chứng thực hết hạn Tạo các private key và public key cho các PKI client [19]. 2.5.2. Cấu trúc và vai trò của PKI trong chƣơng trình Hệ thống PKI bao gồm các thành phần chính sau [19]: PKI Client Certification Authority (CA) – Cơ quan ban hành chứng thực Registration Authority (RA) – Nhà quản lý đăng ký 2.5.2.1. Cơ quan ban hành chứng thực CA Cơ quan chứng thực CA: là một cơ quan tin cậy để xác thực các nhận dạng của các thực thể liên quan trong các giao dịch điện tử. Nhiệm vụ chính của CA là tiếp nhận các yêu cầu của người dùng từ RA, tạo và lưu trữ các cặp khóa bí mật/công khai, tạo chứng chỉ số và cấp cho người dùng [9]. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 2.5.2.2. Nhà quản lý đăng ký RA Là cơ quan trung gian giữa người đăng ký và CA, làm nhiệm vụ tiếp nhận và xác minh các thủ tục đăng ký các chứng chỉ số của người sử dụng. Ngoài ra RA còn hỗ trợ CA trong quá trình quản lý chứng chỉ số của người dùng. 2.5.2.3. PKI client PKI client là các thực thể yêu cầu cấp chứng chỉ số gửi tới cho RA. Các thực thể này có thể là những người dùng cá nhân cần sử dụng chứng chỉ số cho các giao dịch điện tử như: các giao dịch trong thương mại điện tử, chuyển khoản,…hoặc các cá nhân, tổ chức, doanh nghiệp cần sử dụng chứng chỉ số cho các hoạt động của tổ chức: kê khai thuế qua mạng…. 2.5.2.4. Các thành phần khác Ngoài ba thành phần chính ở trên, để một hệ thống PKI có thể hoạt động hiệu quả thì còn có rất nhiều các thành phần hỗ trợ khác như: các văn bản quy định hướng dẫn đăng ký chứng chỉ số được mỗi CA công bố, văn bản chi tiết về quyền lợi của người dùng khi sử dụng chứng chỉ số được cấp bởi một CA, các hệ thống hỗ trợ người dùng sử dụng kiểm tra trạng thái của các chứng chỉ số một CA ban hành. Một trong những khó khăn của hệ thống khóa bất đối xứng là làm sao đảm bảo được khóa công khai mà người nhận dùng để chứng thực chính xác là khóa công khai nhận được từ đối tác. Đó chính là lý do ra đời của PKI, PKI đóng vai trò như một bên trung gian để kiểm tra cũng như cung cấp các thông tin về người sở hữu khóa cho người cần chứng thực khi cần thiết. Trong luận văn này tác giả chỉ xây dựng và tìm hiểu PKI ở mức sơ khai với một chức năng cơ bản: tạo khóa, cấp phát, chứng thực, kiểm tra khi người dùng ở client. 2.5.3. Chứng chỉ số 2.5.3.1. Giới thiệu về chứng chỉ số Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty,… trên Internet. Nó giống như bằng lái xe, hộ chiếu, Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn chứng minh thư hay những giấy tờ xác minh cá nhân. Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của đăng ký là chính xác, được gọi là Nhà cung cấp chứng thực số (CA - Certificate Authority). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp. Trong chứng chỉ số có ba thành phần chính: Dữ liệu cá nhân của người được cấp; Khóa công khai của người được cấp; Chữ ký số của CA cấp chứng chỉ [11] Trong đó: Dữ liệu cá nhân: bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức, v.v. Các thông tin này giống như các thông tin trên chứng minh thư của mỗi người. Khoá công khai: là một giá trị được nhà cung cấp chứng thực đưa ra như một khóa mã hoá, kết hợp cùng với một khoá cá nhân duy nhất được tạo ra từ khoá công khai để tạo thành cặp mã khoá bất đối xứng. Chữ ký số của CA cấp chứng chỉ: còn gọi là chứng chỉ gốc. Đây chính là sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ chứng chỉ. Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không. Trên chứng minh thư, đây chính là con dấu xác nhận của Công An Tỉnh hoặc Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm tra chứng minh thư, đúng ra đầu tiên phải là xem con dấu này, để biết chứng minh thư có bị làm giả hay không [11]. 2.5.3.2. Lợi ích của chứng chỉ số Một số lợi ích của chứng chỉ số đáp ứng khả năng an toàn cho người dùng khi tham gia giao dịch điện tử [11]: Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Tính bảo mật: khi người gửi đã mã hoá thông tin bằng khoá công khai của người nhận, chắc chắn chỉ có người nhận có khóa bí mật mới giải mã được thông tin để đọc. Trong quá trình truyền qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. Tính toàn vẹn: khi người gửi gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của người gửi có bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát hiện. Tính xác thực: khi người gửi gửi một thông tin kèm chứng chỉ số, người nhận sẽ xác định rõ được danh tính của người gửi. Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân. Đây chính là nền tảng của một Chính phủ điện tử, môi trường cho phép công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử. Tính chống chối cãi nguồn gốc: khi sử dụng chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng). Trong trường hợp đó, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được gửi. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 2.6. Kết luận Chương trên đã trình bày các khái niệm cơ bản sử du ̣ng trong h ệ thống dùng chữ ký số nói chung, và áp dụng cho các quá trình mua và bán của thương mại điện tử. Các hệ thống chữ ký công khai RSA, ElGalma… bao gồm sơ đồ chữ ký số, thuật toán và hạ tầng khóa công khai được trình bày như cơ sở về hệ thống chữ kí số. Chương sau sẽ ứng dụng nh ững kiến thức lí thuyết về an toàn dữ liệu nói chung, mật mã nói riêng, trong hệ thống mua bán điện tử. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.1. Đặt vấ n đề Quá trình giao dịch thương mại điện tử phức tạp, diễn ra giữa các bên tham gia. Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử (EDI), các hệ thống quản lý hàng tồn kho, và các hệ thống tự động thu thập dữ liệu. Thương mại điện tử hiện đại thường sử dụng mạng World Wide Web là một điểm ít nhất phải có trong chu trình giao dịch, mặc dù nó có thể bao gồm một phạm vi lớn hơn về mặt công nghệ như email, các thiết bị di động cũng như điện thoại. Luận văn chỉ giới hạn tìm hiểu và thử nghiệm về xác thực chữ ký số, trong mối liên hệ giữa các bên mua và bán hàng, trên trang web trực tuyến về thương mại điện tử… 3.2. Ứng dụng chữ ký số nhằm đảm bảo thông tin trong quá trình giao dịch giữa các bên 3.2.1. Những khía cạnh cần thiết về an toàn thông tin Các yêu cầu trong giao dịch thương mại điện tử gồm: Đảm bảo tính bí mật: tính bí mật nội dung thông điệp truyền đi được thực hiện bằng mã hóa trước khi gửi đi. Đảm bảo tính toàn vẹn và nguồn gốc người gửi thông điệp: thực hiện nhờ chữ ký số dựa trên mã hóa khóa công khai. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.2.2. Mô tả giao dịch thử nghiệm Trong quá trình giao dịch thương mại điện tử, việc truyền thông điệp được đảm bảo an toàn qua việc mô tả quá trình ký và kiểm tra chữ ký như sau: Bƣớc 1: Tạo cặp khóa công khai và khóa bí mật Để cho phép mã hóa các tệp tin giữa người gửi và người nhận, cả hai bên phải tạo ra một cặp khóa công khai và khóa bí mật cho riêng mình. Để đảm bảo tính xác thực khóa công khai mỗi bên, chứng chỉ số khóa công khai có thể được sử dụng. Bƣớc 2: Trao đổi và kiểm tra khóa công khai với nhau, đồng thời tiến hành xác minh xem khóa chung đó có phải là của người gửi hay không. Bƣớc 3: Ký vào thông điệp và gửi đi Người gửi sử dụng khóa bí mật của mình để mã hóa (ký) vào thông điệp (file dữ liệu), sau đó lưu File và gửi cho người nhận. Bƣớc 4: Giải mã và kiểm tra chữ ký Khi nhận được thông điệp, người nhận sử dụng khóa công khai của người gửi để giải mã hàm băm và kiểm tra chữ ký. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.3. Cài đặt thử nghiệm 3.3.1. Yêu cầu phần cứng và phần mềm Chương trình thử nghiệm là một ứng dụng được viết trên java. Các yêu cầu phần cứng và phần mềm như sau: 1. Yêu cầu phần cứng Máy tính xách tay hoặc máy tính để bàn, tốc độ từ 1.5GHz, bộ nhớ RAM 1GB. 2. Yêu cầu phần mềm Hệ điều hành Windows XP, Windows 7 hoặc Windows 8 Bộ công cụ lập trình NetBeans IDE 8.0.2 Bộ công cụ phát triển Java JDK từ 7.0 3.3.2. Mô tả các mô đun và giao diện chính của chƣơng trình Demo Chương trình thử nghiệm sử dụng thuật toán mã hóa khóa công khai RSA. Chương trình được thiết kế thành 3 mô đun: mô đun tạo khóa, mô đun tạo chữ ký và mô đun kiểm tra chữ ký. Các thao tác trên số nguyên lớn sử dụng trong tạo khóa, mã hóa và giải mã các thông điệp được thực hiện dựa trên lớp BigInteger trên thư viện của java. 3.3.2.1. Mô đun tạo khóa Mô đun này có chức năng sinh cặp khóa RSA cho các bên tham gia giao dịch Mô đun sinh cặp khóa theo thuật toán RSA như sau: Sinh ngẫu nhiên hai số nguyên tố lớn p và q. Tính n = p.q Tính (n) = (p-1).(q-1) Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Chọn e, với 1< e <(n), sao cho e và n là hai số nguyên tố cùng nhau và gcd(e,(n)) = 1 Tính giá trị d, sao cho d là modulo nghịch đảo của e, hay d e-1 (mod (n)). Khóa công khai là (e,n); khóa bí mật là (d, n) Việc tạo khóa được thực hiện trong demo chương trình như sau: Chọn kích thước khóa (256 bit, 512 bit, 1024 bit, 2048 bit hoặc 3072 bit) Nhấn nút Tạo khóa để tạo cặp khóa bí mật và khóa công khai. Chương trình sẽ sinh ra ngẫu nhiên cặp khóa bí mật và khóa công khai dựa trên hai số nguyên tố lớn được sinh ngẫu nhiên. Người dùng có thể nhấn nút để lưu cặp khóa dưới dạng file txt Mô đun tạo cặp khóa được minh họa như Hình 3.2 dưới đây" Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.2.2.2 Mô đun tạo chữ ký Mô đun ký như minh họa Hình 3.3, khóa bí mật được nạp vào. Quá trình tạo chữ ký bên người gửi được thực hiện như sau: Chọn File dữ liệu cần ký trên ô Đầu vào Nhấn nút tạo chữ ký Chương trình sẽ thực hiện việc băm dữ liệu cần gửi bằng giải thuật băm SHA-1 nhận được thông điệp đại diện. Sinh chữ ký: sử dụng khóa bí mật của người gửi mã hóa dữ liệu cần gửi tạo ra chữ ký số Chữ ký và thông điệp đại diện được tạo ra sau khi nhấn vào nút tạo chữ ký Ngoài ra người ký có thể sử dụng chức năng lưu chữ ký sau khi tạo dưới dạng file txt, lúc này chữ ký sẽ được lưu vào file chukyso.txt. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.2.2.3 Mô đun kiểm tra chữ ký Mô đun này được minh họa Hình 3.4. Quá trình kiểm tra chữ ký được thực hiện như sau: Người nhận chọn file đã nhận trên ô Đầu vào, giải mã và kiểm tra bằng cách nhấn vào nút Kiểm tra Chương trình sẽ thực hiện băm file dữ liệu nhận được bằng hàm SHA-1, thu được thông điệp đại diện m1. Đưa khóa công khai của người gửi vào để giải mã chữ ký được m2. Kiểm tra giá trị sau khi băm dữ liệu (m1) và giá trị chữ ký sau khi được giải mã (m2), nếu m1 và m2 trùng nhau thì chữ ký và file dữ liệu nhận được toàn vẹn không bị thay đổi và xác thực được chữ ký. Ngược lại thì chữ ký hoặc nội dung file nhận được đã bị thay đổi. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3.4. Kết luận Chương này đã đưa ra chương trình thử nghiệm chữ ký số RSA thực hiện được các yêu cầu mã hóa và tạo chữ ký số đảm bảo các yêu cầu tính bí mật, toàn vẹn nội dung thông điệp và xác định được nguồn gốc dữ liệu. Tuy nhiên chương trình thử nghiệm có một số hạn chế: Chương trình mới chỉ mô phỏng phần ký và mã hóa bên gửi và giải mã kiểm tra bên nhận. Do đó khả năng ứng dụng thực tế còn hạn chế Chương trình thực hiện lưu cặp khóa công khai và khóa bí mật dưới dạng file text nên chưa đảm bảo an toàn. Khóa riêng RSA cần có cơ chế bảo mật hiệu quả hơn như lưu trữ trên USB token. Chương trình chưa hỗ trợ việc trao đổi khóa công khai và chưa hỗ trợ chứng chỉ số khóa công khai như đã nêu phần hạ tầng khóa công khai PKI Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Kết quả của luận văn Luận văn đã tìm hiểu về quá trình trao đổi thông tin và dữ liệu giữa các bên trong quá trình giao dịch thương mại điện tử. Kỹ thuật đảm bảo an toàn thông tin khi truyền dữ liệu trên môi trường điện tử. Cụ thể luận văn đã đạt được các kết quả sau: Nghiên cứu sâu về thương mại điện tử và giao dịch điện tử, các yêu cầu đảm bảo an toàn thông tin trong giao dịch và các biện pháp đảm bảo an toàn cho giao dịch. Nghiên cứu khái quát về hệ mật mã, hệ mã hóa khóa công khai và nghiên cứu sâu về kỹ thuật đảm bảo an toàn thông tin trong quá trình giao dịch thương mại điện tử dựa trên các kỹ thuật tạo chữ ký số RSA. Hƣớng nghiên cứu tiếp theo Học viên sẽ phát triển hệ thống, đáp ứng nhu cầu xử lí dữ liệu. Nhu cầu này xuất phát từ thực tế phức tạp của hệ thống đảm bảo an toàn cho thương mại điện tử . Ngoài vấn đề xác thực người dùng, người ta cần đảm bảo (i) thanh toán trong thương mại điện tử; (ii) đồng tiền số; (iii) xác thực lựa chọn hàng. Đó là một vài tiếp cận trong công việc tiếp theo của luận văn. Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Tiếng Việt [1] Bộ Thương mại, (2014),Thương mại điện tử 2013, NXB Thương mại [2] Nguyễn Văn Minh, (2009), Thương mại điện tử, NXB Thống kê [3] Nguyễn Văn Minh, Trần Hoài Nam, (2002), Giao dịch thương mại điện tử - Một số vấn đề căn bản, NXB Chính trị quốc gia Hà Nội [4] Nguyễn Văn Hồng, Nguyễn Văn Thoan, (2012), Giáo trình thương mại điện tử căn bản, NXB Đại học Ngoại thương [5] Vũ Vinh Quang, (2010), Giáo trình lý thuyết thông tin, NXB Khoa học & Kỹ thuật Tiếng Anh [6] R.L.Rivest, A.Shamir and L.M.Adleman (1978), "A method for obtaining digital signatures and public-key cryptosystems", Communications of the ACM, Vol.21, pp.120-126. [7] Warwick Ford, Secure Electronic Commerce: Building the Infrastructure for Digital Signatures and Encryption (2nd Edition) Paperback, Ed. Michael S. Baum, 2014 [8] William Stallings, Network Security Essentials: Applications and Standards (4th Edition) Paperback, 2010 [9] Zorayda Ruth Andam, E-Commerce and E-Business, NXB. Wikibooks, 2003 Web [10] http://www.bussinessdictionary.com/definition/commercial- transaction.html Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn [11] http://inet.edu.vn/tin-tuc/2150/chung-chi-so-cong-cu-bao-mat-thong- tin-truyen-qua-internet.html [12] http://www.chukysovnpt.net, 2014 [13] http://www.pcworld.com.vn/b/tu-van/tu-van/2009/04/1193885/chu-ky- so-va-thuong-mai-dien-tu/, 2014 [14] Wiki, http://vi.wikipedia.org/wiki/ Thương mại điện tử, 2014 [15] http://vi.wikipedia.org/wiki/Mật_mã_hóa_khóa_công_khai [16] Wiki, http://vi.wikipedia.org/wiki/Chữ_ký_số, 2014 [17] Wiki, http://vi.wikipedia.org/wiki/RSA, 2014 [18] Wiki,http://vi.wikipedia.org/wiki/Hạ_tầng_khóa_công_khai, 2014 [19] http://tuhocanninhmang.com/kien-thuc-an-ninh-mang/ly-thuyet-nen- tang/gioi-thieu-ve-pki-bai-1-cac-thanh-phan.htm, 2014 [20] http://vi.wikipedia.org/wiki/Hàm_băm_mật_mã_học, 2015 Số hoá bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
48
49
Hình 2.10. Thí dụ về hàm băm
50
51
52
53
54
Hình 2.11. Chức năng các thành phần trong hệ thống PKI
55
56
57
58
59
CHƢƠNG 3.
CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH
THƢƠNG MẠI ĐIỆN TỬ
60
Hình 3.1. Vai trò của xác thực ngƣời dùng
61
62
Hình 3.2. Mô đun tạo cặp khóa RSA cho ngƣời dùng
63
Hình 3.3. Mô đun tạo chữ ký số
64
Hình 3.4. Mô đun kiểm tra chữ ký số
65
66
KẾT LUẬN
67
TÀI LIỆU THAM KHẢO
68
