บทที่ 10 ระบบความปลอดภัย (Security System)
-
Upload
ursa-schmidt -
Category
Documents
-
view
52 -
download
0
description
Transcript of บทที่ 10 ระบบความปลอดภัย (Security System)
บทท�� 10ระบบความปลอดภั�ย
(Security System)
1
เนื้��อหา• การเข้�ารหั�สลั�บ• ลัายมื�อชื่��อดิ�จิ�ตอลั• ใบร�บรองดิ�จิ�ตอลั• ระบบความืปลัอดิภั�ย
2
Security System
ระบบร�กษาความืปลัอดิภั�ยเป�นเร��องส าค�ญ โดิยเฉพาะการพาณิ�ชื่ย'อ�เลั(กทรอน�กส'ท*�
มื*การแลักเปลั*�ยนข้�อมื,ลัระหัว-างผู้,�ส-งแลัะผู้,�ร �บ ซึ่0�งในระบบจิะต�องหัาว�ธี*การดิ,แลั
ความืปลัอดิภั�ยข้องระบบผู้-านเคร�อข้-ายต-าง ๆ หัร�อระบบอ�นเทอร'เน(ต
ในป3จิจิ4บ�นการใชื่�งานเต(มืไปดิ�วยการค4กคามืจิากผู้,�ไมื-ประสงค'ดิ*ท*�สร�างความืเส*ยหัาย
แก-ระบบหัลัายหัลัายว�ธี*การ ดิ�งน�6นเพ��อความืปลัอดิภั�ยข้องระบบเราควรออกแบบ
แลัะพ�ฒนาระบบพาณิ�ชื่ย'อ�เลั(กทรอน�กส'ท*�ค าน0งความืปลัอดิภั�ยดิ�วย3
ภั�ยค�กคาม• เชื่-น hacker , crackers , Denial-of-service attack ฯลัฯ• ในป9 ค.ศ. 1999 cracker ชื่าวสว*เดินไดิ�บ4กเข้�าไปในเว(บไซึ่ต'
Microsoft’s Hotmail แลัะไดิ�เข้�าไปสร�าง mirror site ท*�อน4ญาตใหั�ผู้,�ใดิก(ไดิ�สามืารถพ�มืพ'ชื่��อข้องผู้,�ใชื่� Hotmail แลั�วสามืารถเข้�าไปอ-านข้�อความือ*เมืลั'ข้องผู้,�น� 6นไดิ�ราวก�บเป�นเจิ�าข้องเส*ยเอง
• ในอ*กกรณิ*หัน0�ง cracker ท*�เป�นเดิ(กอาย4 19 ป9ชื่าวร�สเซึ่*ยชื่��อว-า Maxim ไดิ�บ4กเข้�าไปในเว(บไซึ่ต' e-commerce แหั-งหัน0�งแลัะข้โมืยหัมืายเลัข้เครดิ�ตการ'ดิไปกว-า 300,000 ใบ จิากน�6นจิ0งไดิ�เข้�าไปในเว(บไซึ่ต'ข้องเจิ�าข้องเว(บไซึ่ต'ดิ�งกลั-าวเพ��อเร*ยกร�องเง�นเป�นจิ านวน 100,000 เหัร*ยญเป�นค-าไถ-ส าหัร�บเครดิ�ตการ'ดิท*�เข้าข้โมืยไปไดิ� เจิ�าข้องเว(บไซึ่ต'ปฏิ�เสธีท*�จิะจิ-ายเง�นท าใหั� Maxim โกรธีแลัะน าหัมืายเลัข้เครดิ�ตการ'ดิท�6ง 300,000 ใบออกประกาศท��วอ�นเทอร'เน(ตท าใหั�ผู้,�เคราะหั'ร�ายค�อเจิ�าข้องบ�ตรเครดิ�ตต�องส,ญเส*ยเง�นเป�นจิ านวนมืาก
4
ภั�ยค�กคามทางอ�นื้เทอร�เนื้�ต• ต�วอย-างข้องการค4กคามืไดิ�แก-
– การเข้�าถ0งระบบเคร�อข้-ายจิากผู้,�ท*�ไมื-มื*ส�ทธี�= – การเข้�ามืาท าลัาย เปลั*�ยนแปลัง หัร�อ ข้โมืยข้�อมื,ลั – การน าข้�อมื,ลัไปเป>ดิเผู้ยแก-ผู้,�อ��นท*�ไมื-เก*�ยวข้�อง – การท าใหั�การท างานข้องระบบหัย4ดิชื่ะง�ก – การปฏิ�เสธีความืร�บผู้�ดิชื่อบในการท าธี4รกรรมื หัร�อ การอ�างว-า
ไดิ�ร�บ หัร�อ ใหั�บร�การ/ข้�อมื,ลั ข้อง ผู้,�ซึ่�6อ หัร�อ ผู้,�ข้าย • ซึ่0�งถ�าข้�อมื,ลัเหัลั-าน�6นเก*�ยวข้�องก�บ ข้�อมื,ลัทางการเง�น เชื่-น
หัมืายเลัข้บ�ตรเครดิ�ต ข้�อมื,ลัลั�บข้องบร�ษ�ท (Corporate Secret ) หัร�อ ข้�อมื,ลัท*�เป�นทร�พย'ส�นทางป3ญญา (Intellectual Property ) จิะก-อใหั�เก�ดิความืเส*ยหัายอย-างมืาก
5
ว�ธี�บ�กร�กเข้!าเคร�อข้"ายและการแก!ป$ญหา
• ว�ธี*การบ4กร4ก– เข้�ามืาข้โมืยแลัะแก�ไข้ข้�อมื,ลัในระบบ
• การแก�ไข้ป3ญหัา– เก(บข้�อมื,ลัโดิยการเข้�ารหั�สลั�บ (Encryption)
• การท างาน– เข้�ารหั�สข้�อมื,ลัเพ��อป?องก�นการลั�กลัอบดิ,จิากผู้,�ท*�ไมื-มื*
ส�ทธี�• ใชื่�เทคโนโลัย*
– สามืารถใชื่�ว�ธี*การเข้�ารหั�สแบบต-าง ๆ6
ว�ธี�บ�กร�กเข้!าเคร�อข้"ายและการแก!ป$ญหา
• ว�ธี*การบ4กร4ก– ปลัอมืต�วเข้�ามืาใชื่�ระบบแลัะท ารายการปลัอมื
• การแก�ไข้ป3ญหัา– ใหั�ระบบตรวจิสอบว-าบ4คคลัน�6นมื*ส�ทธี�จิร�งหัร�อ
ไมื-(Authentication)• การท างาน
– ใชื่�หัลั�กการตรวจิสอบข้�อมื,ลัท�6งผู้,�ส-งแลัะผู้,�ร �บข้�อมื,ลั• ใชื่�เทคโนโลัย*
– การใชื่�ลัายมื�อชื่��อดิ�จิ�ตอลั7
ว�ธี�บ�กร�กเข้!าเคร�อข้"ายและการแก!ป$ญหา• ว�ธี*การบ4กร4ก
– เข้�าใชื่�ระบบโดิยไมื-มื*ส�ทธี�แลัะใชื่�ระบบน*6เพ��อเข้�าใชื่�ระบบอ��น• การแก�ไข้ป3ญหัา
– ดิ-านก�นบ4กร4ก (Firewall)• การท างาน
– ตรวจิสอบแลัะกรองข้�อมื,ลัข้องการต�ดิต-อจิากเคร�อข้-ายหัร�อเคร��องบร�การข้องระบบเพ��อป?องก�นข้�อมื,ลัเข้�าแลัะออกจิากระบบจิากการไมื-มื*ส�ทธี�
• ใชื่�เทคโนโลัย*– Firewall แลัะการวางเคร�อข้-ายเสมื�อน (VPN-Virtual
Private Network) ข้องตนเองซึ่�อนในอ�นเทอร'เน(ตอ*กชื่�6นหัน0�ง 8
- ความืปลัอดิภั�ยข้องข้�อมื,ลัเพ��อการท าธี4รกรรมืผู้-านเคร�อข้-ายอ�นเทอร'เน(ตน�6นจิะหัมืายถ0ง
การท*�ข้�อมื,ลัมื*ความืถ,กต�อง ครบถ�วน มื*ความืน-าเชื่��อถ�อ แลัะสามืารถส-งถ0งผู้,�ร �บไดิ�อย-าง
สมืบ,รณิ'
- ในทางปฏิ�บ�ต�น� 6นสามืารถก าหันดิลั�กษณิะข้องการควบค4มืความืมื��นคงปลัอดิภั�ย (Security Controls) ไดิ� 5 ระดิ�บตามืร,ป
9
Security Controls 1. การพิ�สู(จนื้�ต�วตนื้
(Authentication)การพิ�สู(จนื้�ต�วตนื้ ค�อข้�6นตอนการย�นย�นความืถ,กต�องข้อง
หัลั�กฐาน (Identity) ท*�แสดิงว-าเป�นบ4คคลัท*�กลั-าวอ�างจิร�ง ในทางปฏิ�บ�ต�จิะแบ-งออก
เป�น 2 ข้�6นตอน ค�อ 1 .การระบ4ต�วตน (Identification) ค�อข้�6นตอนท*�ผู้,�ใชื่�
แสดิงหัลั�กฐานว-าตนเองค�อใครเชื่-น ชื่��อผู้,�ใชื่� (username)
2. การพ�ส,จิน'ต�วตน (Authentication) ค�อข้�6นตอนท*�ตรวจิสอบหัลั�กฐานเพ��อแสดิงว-าเป�นบ4คคลัท*�กลั-าวอ�างจิร�ง
10
แผนื้ผ�งแสูดงกระบวนื้การการพิ�สู(จนื้�ต�วตนื้
• หัลั�กฐานท*�ผู้,�ใชื่�น ามืากลั-าวอ�างท*�เก*�ยวก�บเร��องข้องความืปลัอดิภั�ยน�6นสามืารถจิ าแนกไดิ� 2 ชื่น�ดิ- Actual identity ค�อหัลั�กฐานท*�สามืารถบ-งบอกไดิ�ว-าในความืเป�นจิร�งบ4คคลัท*�กลั-าวอ�างน�6นเป�นใคร- Electronic identity ค�อหัลั�กฐานทางอ�เลั(กทรอน�กส'ซึ่0�งสามืารถบ-งบอกข้�อมื,ลัข้องบ4คคลัน�6นไดิ� แต-ลัะบ4คคลัอาจิมื*หัลั�กฐานทางอ�เลั(กทรอน�กส'ไดิ�มืากกว-า 1 หัลั�กฐาน ต�วอย-างเชื่-น บ�ญชื่*ชื่��อผู้,�ใชื่�
11
กลไกข้องการพิ�สู(จนื้�ต�วตนื้ (Authentication mechanisms)
• กลัไกข้องการพ�ส,จิน'ต�วตน สามืารถแบ-งออกไดิ�เป�น 3 ค4ณิลั�กษณิะค�อ– ส��งท*�ค4ณิมื* (Possession factor) เชื่-น ก4ญแจิหัร�อ
เครดิ�ตการ'ดิ เป�นต�น– ส��งท*�ค4ณิร, � (Knowledge factor) เชื่-น รหั�สผู้-าน
(passwords) หัร�อการใชื่�พ�น (PINs) เป�นต�น– ส��งท*�ค4ณิเป�น (Biometric factor) เชื่-น ลัายน�6วมื�อ
ร,ปแบบเรต�นา (retinal patterns) หัร�อใชื่�ร,ปแบบเส*ยง (voice patterns) เป�นต�น
12
กลไกข้องการพิ�สู(จนื้�ต�วตนื้• ข้�อจิ าก�ดิในการใชื่� เชื่-น
– ส��งท*�ค4ณิมื* (Possession factor) น�6นอาจิจิะส,ญหัายหัร�อถ,กข้โมืยไดิ�
– ส��งท*�ค4ณิร, � (Knowledge factor) อาจิจิะถ,กดิ�กฟั3ง เดิา หัร�อข้โมืยจิากเคร��องคอมืพ�วเตอร'
– ส��งท*�ค4ณิเป�น (Biometric factor) จิ�ดิไดิ�ว-าเป�นว�ธี*ท*�มื*ความืปลัอดิภั�ยส,ง แต-การท*�จิะใชื่�เทคโนโลัย*น*6ไดิ�น�6นจิ าเป�นต�องมื*การลังท4นท*�ส,ง เป�นต�น
** ดิ�งน�6นจิ0งไดิ�มื*การน าแต-ลัะค4ณิลั�กษณิะมืาใชื่�ร-วมืก�น ชื่-วยเพ��มืประส�ทธี�ภัาพในการร�กษาความืปลัอดิภั�ยข้องข้�อมื,ลั
13
Security Controls 2. การก,าหนื้ดสู�ทธี�-
(Authorization)• การก,าหนื้ดสู�ทธี�-
การก าหันดิส�ทธี�= ค�อข้�6นตอนในการอน4ญาตใหั�แต-ลัะบ4คคลัสามืารถเข้�าถ0งข้�อมื,ลัหัร�อระบบใดิไดิ�บ�าง ก-อนอ��นต�องทราบก-อนว-าบ4คคลัท*�กลั-าวอ�างน�6นค�อใครตามืข้�6นตอนการพ�ส,จิน'ต�วตนแลัะต�องใหั�แน-ใจิดิ�วยว-าการพ�ส,จิน'ต�วตนน�6นถ,กต�อง
14
Security Controls 3. การเข้!ารห�สูล�บ(Encryption)
• การเข้!ารห�สูล�บ ค�อการเปลั*�ยนข้�อความืท*�สามืารถอ-านไดิ� (plain text) ไปเป�นข้�อความืท*�ไมื-สามืารถอ-านไดิ� (cipher text)
• การเข้�ารหั�สลั�บมื*ความืส าค�ญค�อ– การตรวจิสอบเพ��อย�นย�นข้�อมื,ลัท*�ส-ง (authentication)
โดิยตรวจิสอบการแสดิงตนว-าคนส-งเป�นต�วจิร�งหัร�อไมื-– การพ�ส,จิน'หัลั�กฐานว-าไดิ�กระท ารายการจิร�ง (Non-
Repudiation) เพ��อป?องก�นการปฏิ�เสธีภัายหัลั�งว-าไมื-ไดิ�เป�นผู้,�กระท า
– การร�กษาส�ทธี�ความืเป�นส-วนต�ว ปกป?องข้�อมื,ลัจิากผู้,�ไมื-มื*ส�ทธี�
15
Security Controls 4. การร�กษาความสูมบ(รณ์�
(Integrity)• การร�กษาความสูมบ(รณ์� • การร�กษาความืสมืบ,รณิ' ค�อการร�บรองว-าข้�อมื,ลัจิะ
ไมื-ถ,กเปลั*�ยนแปลังหัร�อท าลัายไปจิากต�นฉบ�บ (source) ไมื-ว-าจิะเป�นโดิยบ�งเอ�ญหัร�อดิ�ดิแปลังโดิยเจิตนาท*�อาจิส-งผู้ลัเส*ยต-อข้�อมื,ลั การค4กคามืความืสมืบ,รณิ'ข้องข้�อมื,ลัค�อการท*�บ4คคลัท*�ไมื-ไดิ�ร�บอน4ญาตสามืารถท*�จิะเข้�าควบค4มืการจิ�ดิการข้องข้�อมื,ลัไดิ�
16
Security Controls 5. การตรวจสูอบ (Audit)
• การตรวจสูอบ• การตรวจิสอบ ค�อการตรวจิสอบหัลั�กฐานทาง
อ�เลั(กทรอน�กส' ซึ่0�งสามืารถใชื่�ในการต�ดิตามืการดิ าเน�นการเพ��อตรวจิสอบความืถ,กต�องแลัะแมื-นย า ต�วอย-างเชื่-นการตรวจิสอบบ�ญชื่*ชื่��อผู้,�ใชื่� โดิยผู้,�ตรวจิบ�ญชื่* ซึ่0�งการตรวจิสอบความืถ,กต�องข้องการดิ าเน�นการเพ��อใหั�แน-ใจิว-าหัลั�กฐานทางอ�เลั(กทรอน�กส'น�6นไดิ�ถ,กสร�างแลัะส��งใหั�ท างานโดิยบ4คคลัท*�ไดิ�ร�บอน4ญาต แลัะในการเชื่��อมืต-อเหัต4การณิ'เข้�าก�บบ4คคลัจิะต�องท าการตรวจิสอบหัลั�กฐานข้องบ4คคลัน�6นดิ�วย ซึ่0�งถ�อเป�นหัลั�กการพ�6นฐานข้องข้�6นตอนการท างานข้องการพ�ส,จิน'ต�วตนดิ�วย
17
สูร�ป การควบค�มความปลอดภั�ย • การพิ�สู(จนื้�ต�วตนื้จ�ดเป0นื้การตรวจสูอบหล�กฐานื้ข้��นื้พิ��นื้ฐานื้ท��สู,าค�ญ
ท��สู�ดในื้ 5 ระด�บชั้��นื้ข้องการควบค4มืความืปลัอดิภั�ย ดิ�งน�6นการพ�ส,จิน'ต�วตนดิ*จิะชื่-วยเพ��มืความืมื��นคงปลัอดิภั�ยข้�6นพ�6นฐานใหั�ก�บระบบมืากย��งข้06น
• ส-วนประกอบพ�6นฐานข้องการพ�ส,จิน'ต�วตนสมืบ,รณิ'แบ-งไดิ�เป�น 3 ส-วน ค�อ– การพ�ส,จิน'ต�วตน (Authentication) ค�อส-วนท*�ส าค�ญท*�ส4ดิเพราะเป�นข้�6นตอน
แรกข้องการเข้�าใชื่�ระบบ ผู้,�เข้�าใชื่�ระบบต�องถ,กยอมืร�บจิากระบบว-าสามืารถเข้�าส,-ระบบไดิ� การพ�ส,จิน'ต�วตนป�นการตรวจิสอบหัลั�กฐานเพ��อแสดิงว-าเป�นบ4คคลัน�6นจิร�ง
– การก าหันดิส�ทธี�= (Authorization) ค�อข้�อจิ าก�ดิข้องบ4คคลัท*�เข้�ามืาในระบบ ว-าบ4คคลัคนน�6นสามืารถท าอะไรก�บระบบไดิ�บ�าง
– การบ�นท0กการใชื่�งาน (Accountability) ค�อการบ�นท0กรายลัะเอ*ยดิข้องการใชื่�ระบบแลัะรวมืถ0งข้�อมื,ลัต-างๆท*�ผู้,�ใชื่�กระท าลังไปในระบบ เพ��อผู้,�ตรวจิสอบจิะไดิ�ตรวจิสอบไดิ�ว-า ผู้,�ใชื่�ท*�เข้�ามืาใชื่�บร�การไดิ�เปลั*�ยนแปลังหัร�อแก�ไข้ข้�อมื,ลัในส-วนใดิบ�าง 18
พิ��นื้ฐานื้ข้องระบบความปลอดภั�ย• การพ�ส,จิน'ต�วตนแลัะการใหั�อ านาจิ (Authentication and
Authorization)– การย�นย�นความืถ,กต�องว-าเป�นคนท*�กลั-าวอ�างจิร�ง แลัะการอน4ญาตใหั�แต-ลัะ
บ4คคลัสามืารถเข้�าถ0งข้�อมื,ลัหัร�อระบบใดิไดิ�บ�าง• การร�กษาความืลั�บ (Confidentiality)
– การร�บรองว-าจิะมื*การเก(บข้�อมื,ลัไว�เป�นความืลั�บ แลัะผู้,�มื*ส�ทธี�เท-าน�6นจิ0งจิะเข้�าถ0งข้�อมื,ลัน�6นไดิ�
• การร�กษาความืถ,กต�อง/สมืบ,รณิ' (Integrity)– การร�บรองว-าข้�อมื,ลัจิะไมื-ถ,กเปลั*�ยนแปลังหัร�อท าลัายไมื-ว-าจิะเป�นโดิย อ4บ�ต�เหัต4
หัร�อโดิยเจิตนา • การป?องก�นการปฏิ�เสธีหัร�อการไมื-ยอมืร�บ (Non-Repudiation)
– ว�ธี*การส��อสารซึ่0�งผู้,�ส-งข้�อมื,ลัไดิ�ร�บหัลั�กฐานว-าไดิ�มื*การส-งข้�อมื,ลัแลั�วแลัะผู้,�ร �บก(ไดิ�ร�บการย�นย�นว-าผู้,�ส-งเป�นใคร ดิ�งน�6นท�6งผู้,�ส-งแลัะผู้,�ร �บจิะไมื-สามืารถปฏิ�เสธีไดิ�ว-าไมื-มื*ความืเก*�ยวข้�องก�บข้�อมื,ลัดิ�งกลั-าวในภัายหัลั�ง
19
กระบวนื้การเข้!ารห�สูและถอดรห�สู(cryptography)
• จิ4ดิประสงค'หัลั�กข้องการเข้�ารหั�สแลัะถอดิรหั�ส ค�อ ผู้,�ท*�ไมื-ไดิ�ร�บอน4ญาตในการเข้�าถ0งข้�อมื,ลัเข้�าถ0งข้�อมื,ลัไดิ�ยากแลัะใหั�เพ*ยงแค-บ4คคลัท*�อน4ญาตใหั�เข้�าถ0งข้�อมื,ลัเข้�าถ0งข้�อมื,ลัไดิ�เท-าน�6น ไมื-ใชื่-ท� 6งหัมืดิท*�ผู้,�ท*�ไมื-ไดิ�ร�บอน4ญาตจิะไมื-สามืารถเข้�าถ0งข้�อมื,ลัไดิ�ผู้,�ท*�ไมื-ไดิ�ร�บอน4ญาตอาจิเข้�าถ0งข้�อมื,ลัไดิ�แต-ไมื-สามืารถเข้�าใจิความืหัมืายข้องข้�อมื,ลัน�6นน�6นไดิ�
• การเข้�ารหั�ส เป�นการใชื่� อ�ลักอร�ท0มื ท*�ซึ่�บซึ่�อนในการเปลั*�ยน ข้�อมื,ลัเดิ�มื(plaintext) ดิ�วยการเข้�ารหั�ส เปลั*�ยนเป�น ข้�อมื,ลัมื*ผู้-านการเข้�ารหั�สแลั�ว(ciphertext)
• อ�ลักอร�ท0มืท*�ใชื่�ในการ เข้�ารหั�ส แลัะ ถอดิรหั�ส ข้�อมื,ลัแลั�วส-งผู้-านก�นในระบบเน(กเว�ร'คน�6น มื* 2 แบบ ค�อ การเข้�ารหั�สแบบสมืมืาตร แลัะ การเข้�ารหั�สแบบอสมืมืาตร
20
Caesar cipherการเข้�ารหั�สข้�อมื,ลัแบบ Caesar cipher มื*ข้06นในราว
- 5070 ป9ก-อนคร�สตกาลัสร�างโดิยกษ�ตร�ย' Julius Caesar แหั-งโรมื�น เพ��อใชื่�เข้�ารหั�สข้�อความืในสารท*�ส-งในระหัว-างการท าศ0กสงครามื เพ��อป?องก�นไมื-ใหั�ศ�ตร,สามืารถอ-านข้�อความืในสารน�6นไดิ�หัากสารน�6นถ,กแย-งชื่�งไป การเข้�ารหั�สแบบ Caesar cipher จิะใชื่�ว�ธี*การแทนท*�ต�วอ�กษรต�นฉบ�บดิ�วยต�วอ�กษรท*�อย,-หั-างออกไปข้�างหัน�าสามืต�วเชื่-น แทนท*�ต�ว A ดิ�วยต�ว D แลัะแทนท*�ต�ว B ดิ�วยต�ว E เป�นต�น ดิ�งน�6นการเข้�ารหั�สแบบ Caesar cipher จิ0งเป�นการเลั��อนต�วอ�กษรโดิยจิ านวนคร�6งข้องการเลั��อนเท-าก�บสามื (Shiftment, n = 3)
ต�วอย"างการเข้!ารห�สูสูม�ยก"อนื้ (Classic cryptography)
21
Plain: ABCDEFGHIJKLMNOPQRSTUVWXYZCipher: DEFGHIJKLMNOPQRSTUVWXYZABC
Plaintext: the quick brown fox jumps over the lazy dogCiphertext: WKH TXLFN EURZQ IRA MXPSV RYHU WKH ODCB GRJ
หัากใชื่�การเข้�ารหั�สข้�อมื,ลัแบบ Caesar cipher เข้�ารหั�ส จิะไดิ�ดิ�งน*6
ประโยค ค�อ “the quick brown fox jumps over the lazy dog” ซึ่0�งเป�นประโยคส�6น ๆ ท*�มื*ต�วอ�กษรภัาษาอ�งกฤษครบท�6ง 26 ต�วต-อมืา Augustus (ผู้,�เป�น Caesar องค'ท*�สองจิากท�6งหัมืดิ 12
Caesars) ซึ่0�งเป�นหัลัานข้อง Julius Caesar ไดิ�เปลั*�ยนส,ตรใหั�แทนท*�ต�ว A ดิ�วยต�ว C แลัะแทนท*�ต�ว B ดิ�วยต�ว D ดิ�งน�6นจิ0งกลัายเป�นการเลั��อนต�วอ�กษรท*�มื*จิ านวนคร�6งข้องการเลั��อนเท-าก�บสอง (Shiftment, n = 2
22
- การเข้�ารหั�สท�6งสองว�ธี*น*6สามืารถถ,กเบรค (Break) ไดิ�โดิยง-าย (การเบรคในท*�น*6หัมืายถ0งการถอดิรหั�สข้�อมื,ลัออกมืาไดิ� ถ0งแมื�จิะไมื-ทราบว�ธี*การเข้�ารหั�สแลัะไมื-มื*ก4ญแจิท*�ใชื่�ถอดิรหั�ส
ก(ตามื ) - การเบรคการเข้�ารหั�สข้�อมื,ลัแบบ Caesar cipher ท าไดิ�
โดิยการทดิลัองท าการเลั��อนต�วอ�กษรท4กต�ว โดิยทดิลัองเลั��อนดิ�วยจิ านวน Shiftment ท*�ต-างก�นค�อ n=1 ,
n=2 , n=3 , ... ไปจินถ0ง n= 26 ซึ่0�งจิะใชื่�การจิ านวนคร�6งในการทดิสอบส,งส4ดิเพ*ยง 26 คร�6ง (ส าหัร�บภัาษาอ�งกฤษซึ่0�งมื*เพ*ยง 26 ต�วอ�กษร ) ก(จิะสามืารถท าการ
เบรคไดิ�ในท*�ส4ดิ
Caesar cipher
23
Scytale• Scytale เป�นอ4ปกรณิ'ท*�ท าข้06นจิากไมื�ท*�มื*ดิ�านสมืมืาตรเท-าก�น
ท4กดิ�าน ในสมื�ยท*�ย�งไมื-มื*คอมืพ�วเตอร' ใชื่�เพ��อเข้�ารหั�ส แลัะ ถอดิรหั�สลั�บ
• ว�ธี*การเข้�ารหั�สก( ค�อ น ากระดิาษมืาพ�นรอบ Scytale แลั�วเข้*ยนข้�อความืลั�บตามืแนวนอน ข้นานก�บไมื�ไป แลั�วหัลั�งจิากน�6นก(น ากระดิาษน*6ไปส-งใหั�ก�บผู้,�ร �บ ซึ่0�งถ�าระหัว-างทาง ข้�อความืลั�บ (CipherText) โดินแย-งไป คนท*�แย-งไปถ�าไมื-มื* Scytale ท*�มื*ข้นาดิเดิ*ยวก�นก�บ ท*�ใชื่�เข้*ยนข้06นมืาก(จิะไมื-สามืารถอ-านข้�อความืน�6นไดิ�
• ว�ธี*การถอดิรหั�ส ค�อ ผู้,�ร �บจิ าเป�นจิะต�องมื*ต�ว Scytale ท*�สามืารถถอดิรหั�สไดิ� (Scytale แบบเดิ*ยวก�น ) แต-ว�ธี*การก(จิะเหัมื�อนก�บการเข้�ารหั�ส โดิยการน ากระดิาษมืาพ�นรอบ Scytale แลั�วหัลั�งจิากน�6นก(อ-านตามืแนวนอน ก(จิะไดิ� ข้�อความืปกต� (PlainText) ออกมืา
อ-านตามืแนวนอนจิะไดิ�เป�น “Help me I am under attack” (ต�วอย-างอย,-ในสมื�ยข้อง Spartan)
24
การเข้!ารห�สูสูม�ยใหม" (Modern cryptography)
• การเข้�ารหั�สสมื�ยใหัมื-มื*เร��องข้อง ก4ญแจิ ( key) เข้�ามืาเก*�ยวข้�อง ก�ญแจ ( key) หัมืายถ0ง ชื่4ดิต�วเลัข้ หัร�อ ต�วอ�กษร กลั4-มืน0งท*�ถ,ก ‘ส4-มื’ ข้06นมืาเพ��อใชื่�ในการ เข้�ารหั�ส หัร�อ ถอดิรหั�ส
• เร��มืในชื่-วงป9 1970: DES (Data Encryption Standard) เป�นการเข้�ารหั�สท*�พ�ฒนามืาจิากอ�ลักอร�ท0มื Lucifer ข้อง IBM โดิย Lucifer ไดิ�ร�บการพ�ฒนาเพ��มืความืสามืารถแลัะเปลั*�ยนชื่��อเป�น DES แลั�วไดิ�ร�บการน าเสนอต-อ US NIST (US National Institute of Standards and Technology) ใหั�กลัายเป�นมืาตราฐานการเข้�ารหั�สข้อง สหัร�ฐอเมืร�กา
• AES (Advance Encryption Standard) เป�นการเข้�ารหั�สท*�พ�ฒนาข้06นมืาเพ��อใชื่�ทดิแทน DES หัลั�งจิากท*� DES ถ,กเบรคไดิ� โครงการพ�ฒนา AES ไดิ�เร��มืต�นเมื��อป9 1997
25
ข้��นื้ตอนื้การเข้!ารห�สูล�บการเข้!ารห�สูล�บม�สู"วนื้สู,าค�ญข้อง 2 สู"วนื้ค�อ
1. การสูร!างข้��นื้ตอนื้ว�ธี� (Algorithm)
11. อ�ลักอร�ท0มืแบบสมืมืาตร (Symmetric key algorithms)
12 อ�ลักอร�ท0มืแบบอสมืมืาตร (Asymmetric key algorithms)
26 2. การหา Key ท��เหมาะสูมสู,าหร�บการเข้!ารห�สูและถอดรห�สู
11. อ�ลกอร�ท5มแบบสูมมาตร (Symmetric key
algorithms)• จิะใชื่�ก4ญแจิต�วเดิ*ยวก�นส าหัร�บการเข้�าแลัะถอดิรหั�ส อ�ลักอร�ท0มืท*�ไดิ�ร�บความืน�ยมืไดิ�แก- DES , AES, IDEA
• ต�วอย-าง : การเข้�ารหั�สข้อง Caesar cipher เชื่-น ต�องการเข้�ารหั�สค าว-า CAT
โดิยมื* Key ค�อ 3 ว�ธี*เข้�ารหั�สท าไดิ�โดิย น�บข้06นไป 3 ต�วอ�กษร ดิ�งน�6น
C กลัายเป�น D E F A กลัายเป�น B C D T กลัายเป�น U V W
Encryption
F กลัายเป�น E D C D กลัายเป�น C B A W กลัายเป�น V U T
Decryption
ผู้ลัลั�พธี'จิากการเข้�ารหั�สค�อ ค าว-า FDWผู้ลัลั�พธี'จิากการถอดิรหั�สค�อ ค าว-า CAT
27
อ�ลกอร�ท5มแบบสูมมาตร (Symmetric key algorithms)
28
อ�ลกอร�ท5มแบบสูมมาตร (Symmetric key algorithms)
ข้�อความืเดิ�มืก-อนการเข้�ารหั�ส
ข้!อความท��เข้!ารห�สูแล!ว
ข้�อความืเดิ�มืหัลั�งถอดิรหั�ส
ข้!อความท��เข้!ารห�สูแล!ว
เข้�ารหั�สลั�บ
ถอดิรหั�สดิ�วยค*ย'ลั�บเดิ�มื
Internet
29
ป$ญหาข้องอ�ลกอร�ท5มแบบสูมมาตร
• ผู้,�ส-งข้�อมื,ลัแลัะผู้,�ร �บจิะจิ าเป�นต�องแลักเปลั*�ยนก4ญแจิลั�บก�นก-อน (ซึ่0�งอาจิหัมืายถ0งส-งมือบก4ญแจิลั�บใหั�ก�นก-อน) การแลักเปลั*�ยนก4ญแจิน�6นอาจิท าไดิ�อย-างย4-งยากแลัะไมื-สะดิวก
• ผู้,�ส-งข้�อมื,ลัแลัะผู้,�ร �บจิะต�องร�กษาก4ญแจิลั�บน�6นไว�เป�นอย-างดิ* หั�ามืเป>ดิเผู้ยใหั�ผู้,�อ��นลั-วงร, �โดิยเดิ(ดิข้าดิ การท*�ก4ญแจิถ,กเป>ดิเผู้ยออกไปส,-ผู้,�อ��น
• ส าหัร�บสองกลั4-มืท*�ต�องการต�ดิต-อก�น จิ าเป�นต�องใชื่�ก4ญแจิลั�บเป�นจิ านวน 1 ก4ญแจิเพ��อต�ดิต-อก�น ซึ่0�งจิะเหั(นไดิ�ว-าจิ านวนก4ญแจิมื*มืากมืาย ซึ่0�งอาจิก-อใหั�เก�ดิป3ญหัาดิ�านการร�กษาความืปลัอดิภั�ยใหั�ก�บก4ญแจิเหัลั-าน*6
30
12. อ�ลกอร�ท5มแบบอสูมมาตร (Asymmetric key
algorithms)• อาจิใชื่�ค าว-า Asymmetric Key Encryption หัร�อ Public Key Encryption หัร�อใชื่�ค าว-า Public Key Infrastructure (PKI)
• จิะใชื่�ก4ญแจิต�วหัน0�งส าหัร�บการเข้�ารหั�ส แลัะก4ญแจิอ*กต�วหัน0�งส าหัร�บการถอดิรหั�ส • ก4ญแจิท*�ใชื่�เข้�ารหั�สเป�นก4ญแจิท*�เป>ดิเผู้ยส,-สาธีารณิชื่น (ใครๆก(สามืารถใชื่�ก4ญแจิน*6เพ��อเข้�ารหั�สไดิ� ) แต-ถ�าการถอดิรหั�สจิะต�อง
ใชื่�ก4ญแจิอ*กดิอกหัน0�งท*�ไมื-เป>ดิเผู้ย • อ�ลักอร�ท0มืท*�ไดิ�ร�บความืน�ยมืไดิ�แก- RSA (ต�6งแต-ค�ดิค�นมืาย�งไมื-มื*ใครสามืารถเบรคอ�ลักอร�ท0มืน*6ไดิ� แลัะ RSA ไดิ�ถ,กน ามืาใชื่�
อย-างแพร-หัลัายในดิ�าน e-commerce )• การประย4กต'ใชื่�งานท าไดิ�โดิย เก(บ Key อ�นหัน0�งไว�ก�บต�วเองเร*ยกว-า Private Key ส-วนอ*ก Key หัน0�งสามืารถท*�จิะแจิกจิ-าย
ใหั�ผู้,�อ��นไดิ�ดิ�งน�6น Key น*6จิ0งถ,กเร*ยกว-า Public Key – เมื��อผู้,�อ��นต�องการท*�จิะส-งข้�อมื,ลัท*�เป�นความืลั�บมืาย�งเจิ�าข้อง Private Key จิะต�องท าการเข้�ารหั�สข้�อมื,ลัน�6นดิ�วย Public Key ข้องผู้,�ร �บ ดิ�งน�6น
จิ0งท าใหั�ผู้,�ท*�มื* Private Key เท-าน�6นท*�จิะถอดิรหั�สข้�อมื,ลัไดิ� – ส-วนการส-งข้�อมื,ลัท*�เข้�ารหั�สดิ�วย Private Key ไปย�งผู้,�อ��น ผู้,�ใดิก(ตามืท*�มื* Public Key (ซึ่0�งมื*อย,-หัลัายคน ) จิะสามืารถถอดิรหั�สข้�อมื,ลัไดิ�
31
• ต�วอย-าง ใหั�น0กถ0งหัน�าป3ดินาฬิ�กาท*�มื*เลัข้ 12 ต�วเร*ยงก�นเป�นวงกลัมื ต�องการส-งเลัข้ 4 ไปใหั�เพ��อนโดิยการเข้�ารหั�สโดิยใชื่� Key เท-าก�บ 7
ใหั�น�บตามืเข้(มืนาฬิ�กาไป 7 คร�6ง -- จิาก 4 น�บ 5678910, , , , , ,11 11 ค�อเลัข้ท*�ถ,กเข้�ารหั�สแลั�ว
การถอดิรหั�ส ใหั�น า 11 มืาน�บตามืเข้(มืนาฬิ�กา 5 คร�6ง -- จิาก 11 น�บ 12 1 2 3, , , ,4
ก(จิะไดิ�เลัข้ 4 กลั�บมืาเหัมื�อนเดิ�มื ซึ่0�งค*ย'ในท*�น*6ค�อ 7 แลัะ 5 น��นเอง มื*ความืส�มืพ�นธี'ก�นค�อ 75 12 ตามืจิ านวนต�วเลัข้ในนาฬิ�กา
เข้*ยนแบบคณิ�ตศาสตร' : 4plain text =เข้�ารหั�สเลัข้ 4 ดิ�วยค*ย'ต�วแรกค�อ 7 ไดิ�แก- 4+7 12 11mod =ค านวณิค*ย'ต�วท*�สอง ค�อ - 12 7 5 5ถอดิรหั�สเลัข้ 11 ดิ�วยค*ย'ต�วท*�สองค�อ 5 ไดิ�แก- 11+5 12 4mod =
32
อ�ลกอร�ท5มแบบอสูมมาตร (Asymmetric key algorithms)
33
อ�ลกอร�ท5มแบบอสูมมาตร (Asymmetric key algorithms)
ข้�อความืเดิ�มืก-อนการเข้�ารหั�ส ข้!อความท��เข้!า
รห�สูแล!ว(Cipher text)
ข้�อความืเดิ�มืหัลั�งการถอดิรหั�ส
ข้!อความท��เข้!ารห�สูแล!ว(Cipher text)
เข้!ารห�สูล�บPublic Key
ถอดรห�สูด!วยค�ย�Private Key
Internet
34
ความแข้�งแกร"งข้องอ�ลกอร�ท5มสู,าหร�บการเข้!ารห�สู
หัมืายถ0งความืยากในการท*�ผู้,�บ4กร4กจิะสามืารถถอดิรหั�สข้�อมื,ลัไดิ�โดิยปราศจิากก4ญแจิท*�ใชื่�ในการเข้�ารหั�ส ซึ่0�งจิะข้06นอย,-ก�บป3จิจิ�ยต-างๆ เชื่-น
• การเก(บก4ญแจิเข้�ารหั�สไว�อย-างเป�นความืลั�บ : ผู้,�เป�นเจิ�าข้องก4ญแจิ ลั�บหัร�อส-วนต�วต�องระมื�ดิระว�งไมื-ใหั�ก4ญแจิส,ญหัายหัร�อลั-วงร, �โดิยผู้,�อ��น
• ความืยาวข้องก4ญแจิเข้�ารหั�ส : ปกต�ก4ญแจิเข้�ารหั�สจิะมื*ความืยาวเป�น บ�ต ย��งจิ านวนบ�ตข้องก4ญแจิย��งมืาก ย��งท าใหั�การเดิาเพ��อส4-มืหัา
ก4ญแจิท*�ถ,กต�องเป�นไปไดิ�ยากย��งข้06น• ความืไมื-เกรงกลั�วต-อการศ0กษาหัร�อดิ,อ�ลักอร�ท0มืเพ��อหัาร,ปแบบข้อง
การเข้�ารหั�ส : อ�ลักอร�ท0มืท*�ดิ*ต�องเป>ดิใหั�ผู้,�ร, �ท าการศ0กษาในรายลัะเอ*ยดิไดิ�
35
ค,าแนื้ะนื้,าในื้การเล�อกใชั้!อ�ลกอร�ท5ม• ค�อใหั�ใชื่�อ�ลักอร�ท0มืท*�ไดิ�มื*การใชื่�งานมืาเป�นระยะเวลัานาน
แลั�ว ท�6งน*6เน��องจิากหัากป3ญหัาข้องอ�ลักอร�ท0มืน*6มื*จิร�ง ก( คงเก�ดิข้06นมืานานแลั�วแลัะก(คงเป�นท*�ทราบก�นแลั�ว น��นค�อ
อย-างน�อยท*�ส4ดิจิวบจินกระท��งถ0งป3จิจิ4บ�น ก(ย�งไมื-มื*การบ4กร4กท*�ท าใหั�อ�ลักอร�ท0มืน�6นไมื-สามืารถใชื่�งานไดิ�อย-าง
ปลัอดิภั�ยเป�นท*�ประจิ�กษ' ดิ�งน�6นจิ0งไมื-ควรใชื่�อ�ลักอร�ท0มื ใหัมื-ๆ ท*�เพ��งไดิ�มื*การน าเสนอก�นส,-สาธีารณิะ เพราะอาจิมื*
ชื่-องโหัว-แฝงอย,-แลัะย�งไมื-เป�นท*�ทราบในข้ณิะน*6
36
ความยาวข้องก�ญแจท��ใชั้!ในื้การเข้!ารห�สู
• ความืยาวข้องก4ญแจิเข้�ารหั�สมื*หัน-วยน�บเป�นบ�ต• เมื��อเพ��มืความืยาวข้องก4ญแจิท4กๆ 1 บ�ต ค-าท*�เป�นไปไดิ�ข้องก4ญแจิจิะเพ��มื
ข้06นเป�นสองเท-าต�ว หัร�อจิ านวนก4ญแจิท*�เป�นไปไดิ�จิะเพ��มืข้06นเป�น 2 เท-าต�ว น��นเอง (1bit=0,1)
• ฉะน�6นจิะเหั(นไดิ�ว-าก4ญแจิย��งมื*ความืยาวมืาก โอกาสท*�ผู้,�บ4กร4กจิะสามืารถคาดิเดิาก4ญแจิท*�ตรงก�บหัมืายเลัข้ท*�ถ,กต�องข้องก4ญแจิจิะย��งยากมืากข้06น
ตามืลั าดิ�บ• ทฤษฎี*ไดิ�กลั-าวไว�ว-าการลัองผู้�ดิลัองถ,กน*6โดิยเฉลั*�ยจิะต�องทดิลัองก�บ
ก4ญแจิเป�นจิ านวนคร0�งหัน0�งข้องก4ญแจิท�6งหัมืดิก-อนท*�จิะพบก4ญแจิท*�ถ,ก ต�อง
• ความืยาวข้องก4ญแจิท*�มื*ข้นาดิเหัมืาะสมืจิ0งข้06นอย,-ก�บความืเร(วในการค�นหัาก4ญแจิข้องผู้,�บ4กร4กแลัะระยะเวลัาท*�ต�องการใหั�ข้�อมื,ลัมื*ความืปลัอดิภั�ย
37
ความยาวข้องก�ญแจท��ใชั้!ในื้การเข้!ารห�สู
• ต�วอย-างเชื่-น– ถ�าผู้,�บ4กร4กสามืารถลัองผู้�ดิลัองถ,กก�บก4ญแจิเป�นจิ านวน 10 ก4ญแจิ
ภัายในหัน0�งว�นาท*แลั�ว ก4ญแจิท*�มื*ความืยาว 40 บ�ต จิะสามืารถ ป?องก�นข้�อมื,ลัไว�ไดิ� 3,484 ป9
– ถ�าผู้,�บ4กร4กสามืารถลัองไดิ�เป�นจิ านวน 1 ลั�านก4ญแจิในหัน0�งว�นาท*(เทคโนโลัย*ป3จิจิ4บ�นสามืารถท าไดิ�) ก4ญแจิท*�มื*ความืยาว 40 บ�ตจิะ
สามืารถป?องก�นข้�อมื,ลัไว�ไดิ�เพ*ยง 13 ว�นเท-าน�6น (ซึ่0�งอาจิไมื-เพ*ยงพอส าหัร�บในบางลั�กษณิะงาน)
– ดิ�วยเทคโนโลัย*ในป3จิจิ4บ�นหัากผู้,�บ4กร4กสามืารถทดิลัองไดิ�เป�นจิ านวน1,000 ลั�านก4ญแจิในหัน0�งว�นาท* ก4ญแจิข้นาดิ 128 บ�ตจิะสามืารถ
ป?องก�นข้�อมื,ลัไว�ไดิ� 1022 ป9– ดิ�งน�6นดิ�วยลั�กษณิะงานท��วไปก4ญแจิข้นาดิ 128 บ�ตจิะพอเพ*ยงต-อ
การร�กษาความืลั�บข้องข้�อมื,ลัเอาไว�ไดิ�38
ลายม�อชั้��อด�จ�ตอล(Digital Signature)
• ลัายมื�อชื่��อจิะเป�นส��งท*�ใชื่�ในการระบ4ต�วบ4คคลั (Authentication ) แลัะ ย�งแสดิงถ0งเจิตนาในการยอมืร�บเน�6อหัาในส�ญญาน�6นๆ ซึ่0�งเชื่��อมืโยงถ0ง การป?องก�นการปฏิ�เสธีความืร�บผู้�ดิชื่อบ (Non-Repudiation )
• ส าหัร�บในการท าธี4รกรรมืทางอ�เลั(กทรอน�กส'น�6นจิะใชื่� ลัายมื�อชื่��ออ�เลั(กทรอน�กส' (Electronic Signature )ซึ่0�งมื*ร,ปแบบต-างๆ เชื่-น ส��งท*�ระบ4ต�วบ4คคลัทางชื่*วภัาพ (ลัายพ�มืพ'น�6วมื�อ เส*ยง มื-านตา เป�นต�น ) หัร�อ จิะเป�นส��งท*�มือบใหั�แก-บ4คคลัน�6นๆ ในร,ปแบบข้อง รหั�สประจิ าต�ว
39
ข้!อม(ลอ�เล�กทรอ
นื้�กสู�+ลายม�อชั้��อ
อ�เล�กทรอนื้�กสู�อ�กษร , อ�กข้ระ , ต�วเลข้,เสู�ยง , สู�ญล�กษณ์�
5 8 04F E5 7 8AB F DF1 2 67890
54 5DEF E6 8 2G E AE67 9 5DE F6543
ลายม�อชั้��อด�จ�ตอล (Digital Signatures, Digital IDs, Digital Certificates)เป0นื้ลายม�อชั้��ออ�เล�กทรอนื้�กสู�ประเภัทหนื้5�งท��สูร!างโดยว�ธี�การแบบปลอดภั�ย
ข้�อมื,ลัอ�เลั(กทรอ
น�กส'+ชั้�ดรห�สูด�จ�ตอล ลัายมื�อชื่��อดิ�จิ�ตอลั (Digital Signatures)
ลัายมื�อชื่��ออ�เลั(กทรอน�กส' (Electronic Signatures)
40
ต�วอย"าง : ลายม�อชั้��ออ�เล�กทรอนื้�กสู�e-mail e-mail
41
ลายม�อชั้��อด�จ�ตอล(Digital Signature)
• ลัายมื�อชื่��อดิ�จิ�ตอลั (Digital Signature) ค�อ ข้�อมื,ลัอ�เลั(กทรอน�กส'ท*�ไดิ�จิากการเข้�ารหั�สข้�อมื,ลัดิ�วยก4ญแจิส-วนต�วข้องผู้,�ส-งซึ่0�งเปร*ยบเสมื�อนเป�นลัายมื�อชื่��อข้องผู้,�ส-ง ค4ณิสมืบ�ต�ข้องลัายมื�อชื่��อดิ�จิ�ตอลั นอกจิากจิะสามืารถ ระบ4ต�วบ4คคลั แลัะ เป�นกลัไกการป?องก�นการปฏิ�เสธีความืร�บผู้�ดิชื่อบแลั�ว ย�งสามืารถป?องก�นข้�อมื,ลัท*�ส-งไปไมื-ใหั�ถ,กแก�ไข้ หัร�อ หัากถ,กแก�ไข้ไปจิากเดิ�มืก(สามืารถลั-วงร, �ไดิ�
42
ต�วอย-าง : ลัายมื�อชื่��อดิ�จิ�ตอลัเมื��อดิ,จิาก e-mail Client
43
กระบวนื้การสูร!างและลงลายม�อชั้��อด�จ�ตอล
• เร��มืจิากการน าเอาข้�อมื,ลัอ�เลั(กทรอน�กส'ต�นฉบ�บท*�จิะส-งไปน�6นมืาผู้-านกระบวนการทางคณิ�ตศาสตร'ท*�เร*ยกว-า ฟั3งก'ชื่�นย-อยข้�อมื,ลั (Hash Function ) เพ��อใหั�ไดิ�ข้�อมื,ลัท*�ส� 6นๆ ท*�เร*ยกว-า ข้�อมื,ลัท*�ย-อยแลั�ว (Digest )
• ท าการเข้�ารหั�สดิ�วยก4ญแจิส-วนต�วข้องผู้,�ส-งเอง ซึ่0�งจิ4ดิน*6เปร*ยบเสมื�อนการลังลัายมื�อชื่��อข้องผู้,�ส-งเพราะผู้,�ส-งเท-าน�6นท*�มื*ก4ญแจิส-วนต�วข้องผู้,�ส-งเอง แลัะ จิะไดิ�ข้�อมื,ลัท*�เข้�ารหั�สแลั�ว เร*ยกว-า ลัายมื�อชื่��อดิ�จิ�ตอลั
• จิากน�6นก(ท าการส-ง ลัายมื�อชื่��อไปพร�อมืก�บข้�อมื,ลัต�นฉบ�บ ไปย�งผู้,�ร �บ ผู้,�ร �บก(จิะท าการตรวจิสอบว-าข้�อมื,ลัท*�ไดิ�ร�บถ,กแก�ไข้ระหัว-างทางหัร�อไมื- โดิยการน าข้�อมื,ลัต�นฉบ�บท*�ไดิ�ร�บ มืาผู้-านกระบวนการย-อยดิ�วย ฟั3งก'ชื่�นย-อยข้�อมื,ลั จิะไดิ�ข้�อมื,ลัท*�ย-อยแลั�วอ�นหัน0�ง แลัะ
• น าลัายมื�อชื่��อดิ�จิ�ตอลั มืาท าการถอดิรหั�สดิ�วย ก4ญแจิสาธีารณิะข้องผู้,�ส-ง ก(จิะไดิ�ข้�อมื,ลัท*�ย-อยแลั�วอ*กอ�นหัน0�ง แลั�วท าการเปร*ยบเท*ยบ ข้�อมื,ลัท*�ย-อยแลั�วท�6งสองอ�น ถ�าหัากว-าเหัมื�อนก�น ก(แสดิงว-าข้�อมื,ลัท*�ไดิ�ร�บน�6นไมื-ไดิ�ถ,กแก�ไข้ แต-ถ�าข้�อมื,ลัท*�ย-อยแลั�ว แตกต-างก�น ก(แสดิงว-า ข้�อมื,ลัท*�ไดิ�ร�บถ,กเปลั*�ยนแปลังระหัว-างทาง 44
เป�นการน าหัลั�กการข้องการท างานข้องระบบการเข้�ารหั�สแบบใชื่�ค,-รหั�สก4ญแจิเพ��อการพ�ส,จิน'ต�วตนมืาประย4กต'ใชื่� ระบบข้องลัายเซึ่(นดิ�จิ�ตอลัสามืารถแบ-งเป�นข้�6นตอนไดิ�ดิ�งน*6
1 .เมื��อผู้,�ใชื่�ต�องการจิะส-งข้�อมื,ลัไปย�งผู้,�ร �บ ข้�อมื,ลัน�6นจิะถ,กน าไปเข้�าฟั3งก'ชื่� �นทาง
คณิ�ตศาสตร'ท*�เร*ยกว-า "แฮชื่ฟั3งก'ชื่�น " ไดิ�เมืสเซึ่สไดิเจิสต' (Message Digest) ออกมืา
การพิ�สู(จนื้�ต�วตนื้โดยการใชั้!ลายเซ็�นื้ด�จ�ตอล (Digital Signature)
45
การพิ�สู(จนื้�ต�วตนื้โดยการใชั้!ลายเซ็�นื้ด�จ�ตอล (Digital Signature)
2. การใชื่�ก4ญแจิส-วนต�วเข้�ารหั�สข้�อมื,ลั หัมืายถ0งว-าผู้,�ส-งไดิ�ลังลัายเซึ่(นดิ�จิ�ตอลั ย�นยอมืท*� จิะใหั�ผู้,�ร �บ สามืารถท าการตรวจิสอบดิ�วยก4ญแจิสาธีารณิะข้องผู้,�ส-งเพ��อพ�ส,จิน'ต�วตน ข้องผู้,�ส-งไดิ�
46
การพิ�สู(จนื้�ต�วตนื้โดยการใชั้!ลายเซ็�นื้ด�จ�ตอล (Digital Signature)
3. การน าเมืสเซึ่จิไดิเจิสต'มืาเปร*ยบเท*ยบก�น ถ�าเหัมื�อนก�นก(แสดิงว-าข้�อความืน�6น
ย�นย�นไดิ�ว-าถ,กส-งมืาจิากผู้,�ส-งคนน�6นจิร�ง
47
…จ,านื้วนื้เง�นื้800 บาท...
ฟั$งก�ชั้��นื้ย"อยข้!อม(ล
ไไ”ไไ
การเข้!ารห�สู
ก�ญแจสู"วนื้ต�ว ข้องผ(!สู"ง (นื้ายด�)123451457824784… ลายม�อชั้��อ
อ�เล�กทรอนื้�กสู�ข้อง นื้ายด�สู,าหร�บข้!อม(ล
ผ(!สู"ง (นื้ายด�)ข้!อความ
ต!นื้ฉบ�บ ก.
…จ,านื้วนื้เง�นื้800
บาท
ฟั$งก�ชั้��นื้ย"อยข้!อม(ล
ไไ”ไไ ไไ”ไไ
เปร�ยบเท�ยบ
การถอดรห�สู
256
148
934
147
256...
ก�ญแจสูาธีารณ์ะ
ข้องผ(!สู"ง(นื้ายด�)
ถ!าเหม�อนื้ก�นื้ ข้!อม(ลไม"ถ(กเปล��ยนื้แปล
ง
ถ!าต"างก�นื้ ข้!อม(ลถ(ก
เปล��ยนื้แปลง
ข้!อม(ลต!นื้ฉบ�บ ก.
ลายม�อชั้��ออ�เล�กทรอนื้�กสู�
ข้องนื้ายด�สู,าหร�บข้!อม(ล
ผ(!ร�บ (นื้ายมาก)
สู"ง
48
ต�วอย"าง : การสู"ง E-mail พิร!อมลงลายม�อชั้��อด�จ�ตอล (Signing)
49
การสูร!างและลงลายม�อชั้��อด�จ�ตอล• ดิ�วยการเข้�ารหั�ส แลัะ ลัายมื�อชื่��อดิ�จิ�ตอลั ในการท าธี4รกรรมื
เราสามืารถ ร�กษาความืลั�บข้องข้�อมื,ลั สามืารถร�กษาความืถ,กต�องข้องข้�อมื,ลั แลัะ สามืารถระบ4ต�วบ4คคลัไดิ�ระดิ�บหัน0�ง
• เพ��อเพ��มืระดิ�บความืปลัอดิภั�ยในการระบ4ต�วบ4คคลัโดิยสร�างความืเชื่��อถ�อมืากข้06นดิ�วย ใบร�บรองดิ�จิ�ตอลั (Digital Certificate ) ซึ่0�งออกโดิยองค'กรกลัางท*�เป�นท*�เชื่��อถ�อ เร*ยกว-า องค'กรร�บรองความืถ,กต�อง (Certification Authority ) จิะถ,กน ามืาใชื่�ส าหัร�บย�นย�นในตอนท าธี4รกรรมืว-าเป�นบ4คคลัน�6นๆ จิร�งตามืท*�ไดิ�อ�างไว�
50
ใบร�บรองด�จ�ตอล (Digital Certificate)
• ส าหัร�บรายลัะเอ*ยดิในใบร�บรองดิ�จิ�ตอลัท��วไปมื*ดิ�งต-อไปน*6 – ข้�อมื,ลัระบ4ผู้,�ท*�ไดิ�ร�บการร�บรอง ไดิ�แก- ชื่��อ องค'กร ท*�อย,- – ข้�อมื,ลัระบ4ผู้,�ออกใบร�บรอง ไดิ�แก- ลัายมื�อชื่��อดิ�จิ�ตอลัข้ององค'กร
ท*�ออกใบร�บรอง หัมืายเลัข้ประจิ าต�วข้องผู้,�ออกใบร�บรอง – ก4ญแจิสาธีารณิะข้องผู้,�ท*�ไดิ�ร�บการร�บรอง – ว�นหัมืดิอาย4ข้องใบร�บรองดิ�จิ�ตอลั – ระดิ�บชื่�6นข้องใบร�บรองดิ�จิ�ตอลั ซึ่0�งมื*ท� 6งหัมืดิ 4 ระดิ�บ ในระดิ�บ 4
จิะมื*กระบวนการตรวจิสอบเข้�มืงวดิท*�ส4ดิ แลัะ ต�องการข้�อมื,ลัมืากท*�ส4ดิ
– หัมืายเลัข้ประจิ าต�วข้องใบร�บรองดิ�จิ�ตอลั
51
ประเภัทข้องใบร�บรองด�จ�ตอลประเภัทข้องใบร�บรองดิ�จิ�ตอลั โดิยท��วไป แบ-ง ไดิ� ดิ�งน*6• ใบร�บรองดิ�จิ�ตอลัส าหัร�บบ4คคลั (Digital ID)
– ออกใหั�ก�บบ4คคลัท��วไป– ย*นย�นต�วตนข้องผู้,�ถ�อครองใบร�บรองฯบน
อ�นเทอร'เน(ต• ใบร�บรองดิ�จิ�ตอลัส าหัร�บ Web Server ( SSL)
– ออกใหั�ก�บเว(บไซึ่ต'– ย*นย�นว-าเว(บไซึ่ต'น�6นเป>ดิดิ าเน�นการโดิยบร�ษ�ทท*�จิดิ
ทะเบ*ยนถ,กต�องหัร�อ โดิยบ4คคลัท*�มื*ต�วตนอย,-จิร�ง52
ต�วอย"างใบร�บรองด�จ�ตอลสู,าหร�บบ�คคล (Digital ID)
53
ต�วอย"างใบร�บรองด�จ�ตอลสู,าหร�บ Web Server ( SSL)
54
การเชั้��อถ�อผ"านื้บ�คคลท�� 3 (TrustedT hird Party)
Third-party Trustนื้.สู. หญ�ง นื้าย ชั้าย
CA (Certification Authority)
TrustTrust
Trust Anchor
55
ผ(!ให!บร�การออกใบร�บรอง (Certification Authority : CA)
• บทบาทหัน�าท*�หัลั�กข้ององค'กรร�บรองความืถ,กต�อง ไดิ�แก- การใหั�บร�การเทคโนโลัย*การเข้�ารหั�ส ไดิ�แก- การสร�างก4ญแจิสาธีารณิะ แลัะ ก4ญแจิลั�บส าหัร�บผู้,�จิดิทะเบ*ยน การส-งมือบก4ญแจิลั�บ การสร�าง แลัะการร�บรองลัายมื�อชื่��อดิ�จิ�ตอลั เป�นต�น
• การใหั�บร�การเก*�ยวก�บการออกใบร�บรอง ไดิ�แก- การออก การเก(บร�กษา การยกเลั�ก การต*พ�มืพ'เผู้ยแพร- ใบร�บรองดิ�จิ�ตอลั รวมืท�6งการก าหันดินโยบายการออกแลัะอน4มื�ต�ใบร�บรอง เป�นต�น
• บร�การเสร�มือ��นๆ ไดิ�แก- การตรวจิสอบส�ญญาต-างๆ การท าทะเบ*ยน การก,�ก4ญแจิ เป�นต�น
• ส าหัร�บในประเทศไทยน�6นย�งไมื-มื*องค'กรร�บรองความืถ,กต�อง แต-เร��มืมื*การเคลั��อนไหัวท*�เก*�ยวเน��องบ�างแลั�ว ท�6งในภัาคร�ฐ แลัะ เอกชื่น เชื่-น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), แลัะ ACERTS (www.acerts.com ) เทคโนโลัย*การร�กษาความืปลัอดิภั�ยข้องข้�อมื,ลัในการท าธี4รกรรมือ�เลั(กทรอน�กส'น�6น
• ในป3จิจิ4บ�นน*6โครงสร�างพ�6นฐานก4ญแจิสาธีารณิะ (Public Key Infrastructure ) เป�นท*�ยอมืร�บอย-างกว�างข้วางซึ่0�งสามืารถตอบสนองมืาตรการพ�6นฐานข้องการร�กษาความืปลัอดิภั�ย
56
เทคโนื้โลย� และ มาตรการการร�กษาความปลอดภั�ยข้องข้!อม(ล
มาตรการ/เทคโนื้โลย�
การร�กษาความล�บ
การระบ�ต�วบ�คคล
การร�กษาความถ(ก
ต!อง
การป:องก�นื้การ
ปฏิ�เสูธีความร�บผ�ดชั้อบ
การเข้!ารห�สู หัลั�ก รอง
ลายม�อชั้��อด�จ�ตอล
รอง 1 รอง 2 หัลั�ก
ใบร�บรองด�จ�ตอลและองค�กรร�บรองความถ(กต!อง
หัลั�ก 57
ข้��นื้ตอนื้การข้อออกใบร�บรองด�จ�ตอล
ผู้,�ข้อใชื่�บร�การ
ชื่��อ ท*�อย,- e-mail ส าเนา บ�ตรประชื่าชื่น ส าเนา ทะเบ*ยนบ�าน ฯลัฯ
ผู้,�ประกอบการ
ย��นื้ค,าข้อ
ออกใบร�บรอง
58
ข้��นื้ตอนื้การข้อออกใบร�บรองด�จ�ตอล1 .สมื�ครข้อใชื่�บร�การก�บผู้,�ออกใบร�บรอง (CA) ผู้-านทางหัน-วยงาน
ร�บลังทะเบ*ยนข้องผู้,�ออกใบร�บรอง (Registration Authority : RA)
2. RA ตรวจิสอบสถานะข้องผู้,�สมื�ครว-าเป�นผู้,�สมื�ครท*�แท�จิร�ง (ตรวจิสอบเอกสารท*�ก าหันดิ โดิยผู้,�สมื�ครอาจิต�องเดิ�นทางมืาย�นย�นต�วตนต-อหัน�า RA ข้06นอย,-ก�บประเภัทข้องใบร�บรอง)
3. ชื่ าระค-าบร�การ4. RA ออกใบร�บรองดิ�จิ�ตอลัแลัะผู้,�ข้อใบร�บรองเข้�าไปหัย�บใบร�บ
รองดิ�จิ�ตอลัแลัะก4ญแจิค,-ดิ�วยตนเองผู้-านทางเว(บไซึ่ต'ข้อง CA แลั�วเก(บไว�ในเคร��องคอมืพ�วเตอร', แผู้-น Diskette , Smart Card , USB Token ฯลัฯ
5. ผู้,�ข้อใบร�บรองน าใบร�บรองแลัะก4ญแจิค,-ไปใชื่�ในการท าธี4รกรรมืก�บผู้,�อ��น
59
ต�วอย"างการข้อร�บใบร�บรองจากเว�บไซ็ต� CA
60
มาตรฐานื้ข้องระบบความปลอดภั�ยในื้อ�นื้เทอร�เนื้�ต
ในการท าพาณิ�ชื่ย'อ�เลั(กทรอน�กส' หัร�อการท าธี4รกรรมืต-างๆผู้-านอ�นเทอร'เน(ตน�6นส��ง
ส าค�ญท*�จิะข้าดิเส*ยไมื-ไดิ�เลัย ไดิ�แก-ระบบร�กษาความืปลัอดิภั�ยท*�ดิ*ในเว(บไซึ่ต'น�6นๆ ซึ่0�ง
ในป3จิจิ4บ�นมื* อย,- 2 แบบท*�ใชื่�ก�นค�อ - SSL (Secure Sockets Layer )- SET (Secure Electronic Transaction)SSL น�6นจิะใชื่�เพ��อเข้�ารหั�ส (encrypt ) ข้�อมื,ลัต�วมื�นเองน�6น ใชื่�เพ*ยงแค-การตรวจิสอบหัร�อย�นย�นไดิ�เฉพาะฝ3� งผู้,�ข้ายเท-าน�6น ว-ามื*ต�วตนจิร�งไมื-สามืารถย�นย�นต�วผู้,�ซึ่�6อไดิ�
61
SSL (Secure Sockets Layer)
• การท างานจิะเร��มืจิาก ผู้,�ใชื่�งานเร��มืกระบวนการต�ดิต-อ ไปย�งเว(บเซึ่�ร'ฟัเวอร'ท*�มื*ระบบ SSL หัลั�งจิากน�6นเซึ่�ร'ฟัเวอร'จิะส-งใบร�บรอง (Server Certificate ) กลั�บมืาพร�อมืก�บเข้�ารหั�ส ดิ�วยก4ญแจิสาธีารณิะ (Public Key ) ข้องเซึ่�ร'ฟัเวอร'
62
SSL (Secure Sockets Layer)
• ข้�6นตอนต-อมืาคอมืพ�วเตอร'ฝ3� งผู้,�ร �บจิะท าการตรวจิสอบใบร�บรองน�6นอ*กท*เพ��อตรวจิสอบต�วตนข้องฝ3� งผู้,�ค�าหัลั�งจิากน�6นจิะท าการสร�างก4ญแจิสมืมืาตร (Symmetric Key ) โดิยการส4-มืแลัะท าการเข้�ารหั�สก4ญแจิสมืมืาตรดิ�วยก4ญแจิสาธีารณิะข้องเซึ่�ร'ฟัเวอร'ท*�ไดิ�ร�บมืา เพ��อส-งกลั�บไปย�งเซึ่�ร'ฟัเวอร'
63
SSL (Secure Sockets Layer)
• เมื��อเซึ่�ร'ฟัเวอร'ไดิ�ร�บแลั�วก(จิะท าการถอดิรหั�สดิ�วยก4ญแจิส-วนต�ว (Private Key ) ก(จิะไดิ�ก4ญแจิสมืมืาตรข้องลั,กค�ามืาไว�ใชื่�ในการต�ดิต-อส��อสาร หัลั�งจิากน�6นในการต�ดิต-อส��อสารก�นก(ใชื่�การเข้�ารหั�สต�ดิต-อส��อสารก�นไดิ�อย-างปลัอดิภั�ย
64
SET (Secure Electronic Transaction)
• Secure Electronic Transaction (SET ) เป�นระบบส าหัร�บท าใหั�มื��นใจิ ถ0งความืปลัอดิภั�ยข้องทรานแซึ่คชื่�นทางการเง�นบนอ�นเตอร'เน(ต ซึ่0�งไดิ�ร�บการสน�บสน4นเร��มืต�นโดิย MasterCard, Visa, Microsoft, Netscape แลัะ อ��น ๆ
• SET ผู้,�ใชื่�จิะไดิ�ร�บ electronic wallet แลัะทรานแซึ่คชื่�นท*�น าแลัะตรวจิสอบโดิยการใชื่�ส-วนประกอบข้อง digital certificate แลัะ digital signature ในระหัว-างผู้,�ซึ่�6อ ผู้,�ข้าย แลัะ ธีนาคารข้องผู้,�ซึ่�6อ ในว�ธี*ท*�ท าใหั�มื� �นใจิว-า มื*ความืเป�นส-วนบ4คคลัแลัะมื��นใจิไดิ� SET ใชื่� Netscape Secure Socket Layer (SSL), Microsoft Secure Transaction Technology (STT ) แลัะ Terisa System Secure Hypertext Transfer Protocol (S-HTTP )
• SET ใชื่�บางส-วน แต-ไมื-ใชื่-ร,ปแบบท�6งหัมืดิข้อง public key infrastructure
65
การท,างานื้ข้อง SET• สมืมื4ต�ใหั�ลั,กค�ามื* browser ท*�ใชื่� SET ไดิ� เชื่-น Netscape หัร�อ
Microsoft Internet Explorer แลัะ ผู้,�ใหั�ทรานแซึ่คชื่�น (ธีนาคาร , ร�านค�า ) มื* Set-enable server
1 . ลั,กค�าเป>ดิบ�ญชื่* MasterCard หัร�อ Visa 2 . ลั,กค�าไดิ�ร�บ digital certificate ไฟัลั'อ*เลัคโทรน�คส'ท างานเหัมื�อนบ�ตรเครดิ�ตส าหัร�บการซึ่�6อส�นค�า online หัร�อทรานแซึ่คชื่�นอ��น ซึ่0�งจิะรวมื key สาธีารณิะซึ่0�งมื*ว�นหัมืดิอาย4 แลัะมื* digital switch โดิยธีนาคารร�บประก�นการใชื่�งาน 3 . ผู้,�ข้ายส�นค�าฝJายท*� 3 จิะไดิ�ร�บ certificate จิากธีนาคาร certificate มื* key สาธีารณิะข้องผู้,�ข้ายส�นค�าแลัะธีนาคาร 4 . ลั,กค�าวางใบส��งซึ่�6อผู้-านเว(บเพจิ 5 . browser ข้องลั,กค�า ไดิ�ร�บแลัะการย�นย�นจิาก certificate ข้องผู้,�ข้ายส�นค�าว-าถ,กต�องตามืกฎีหัมืาย
66
การท,างานื้ข้อง SET (ต"อ) 6 . browser ส-งสารสนเทศข้องใบส��งข้อง ข้-าวสารน*6จิะ
encrypt ดิ�วย key สาธีารณิะข้องผู้,�ข้าย รายลัะเอ*ยดิการชื่ าระเง�น จิะ encrypt ดิ�วย key สาธีารณิะข้องธีนาคาร (ผู้,�ข้ายส�นค�าไมื-สามืารถอ-านไดิ� ) แลัะสารสนเทศท*�ประก�นการจิ-าย สามืารถใชื่�เฉพาะใบส��งซึ่�6อน*6 7 . ผู้,�ข้ายตรวจิสอบลั,กค�าโดิยการตรวจิสอบ digital signature บน customer's certificate อาจิจิะท าโดิยการอ�างถ0ง certificate ไปท*�ธีนาคาร หัร�อฝJายท*� 3 (third-party ) ตรวจิสอบเอง 8 . ผู้,�ข้ายส-งข้-าวสารข้องใบส��งซึ่�6อไปท*�ธีนาคาร รวมืถ0ง key สาธีารณิะข้องธีนาคาร สารสนเทศการชื่ าระเง�นข้องลั,กค�า แลัะ certificate ข้องผู้,�ข้ายส�นค�า 9 . ธีนาคารตรวจิสอบผู้,�ข้ายแลัะข้-าวสาร ธีนาคารใชื่� digital signature บน certificate ก�บข้-าวสารแลัะตรวจิสอบส-วนการชื่ าระเง�น 10 . ธีนาคาร digitally sign แลัะส-งอ านาจิใหั�ก�บผู้,�ข้ายส�นค�า
67
Firewall
• Firewall ค�อ ฮาร'ดิแวร'แลัะซึ่อฟัต'แวร'ท*�องค'กรต-างๆ มื*ไว�เพ��อป?องก�นเคร�อข้-ายคอมืพ�วเตอร'ภัายในข้องตนจิากอ�นตรายท*�มืาจิากเคร�อข้-ายคอมืพ�วเตอร'ภัายนอก เชื่-น ผู้,�บ4กร4ก หัร�อ Hacker
• Firewall จิะอน4ญาตใหั�เฉพาะข้�อมื,ลัท*�มื*ค4ณิลั�กษณิะตรงก�บเง��อนไข้ท*�ก าหันดิไว�ผู้-านเข้�าออกระบบเคร�อข้-ายภัายในเท-าน�6น อย-างไรก(ดิ* Firewall น�6นไมื-สามืารถป?องก�นอ�นตรายท*�มืาจิากอ�นเทอร'เน(ตไดิ�ท4กร,ปแบบ ไวร�สก(เป�นหัน0�งในน�6น ดิ�งน�6นจิ0งไมื-สามืารถร�บรองไดิ�ว-าความืปลัอดิภั�ยหัร�อความืลั�บข้องข้�อมื,ลัจิะมื*อย,-ร �อยเปอร'เซึ่(นต'ถ0งแมื�ว-าจิะมื*การใชื่� Firewall แลั�วก(ตามื
68
ซ็อฟัต�แวร�ป:องก�นื้ไวร�สูซึ่อฟัต'แวร'ป?องก�นไวร�สเป�นส��งท*�จิะข้าดิไมื-ไดิ�เลัยส าหัร�บระบบป?องก�นเว(บไซึ่ต'แลัะคอมืพ�วเตอร'ท4กระบบ หัน�าท*�ข้องซึ่อฟัต'แวร'ประเภัทน*6ค�อการท าลัายไวร�ส ซึ่0�งท าไดิ�เฉพาะไวร�สท*�ตรวจิพบในเคร��องคอมืพ�วเตอร'เท-าน�6น อ*กน�ยหัน0�งก(ค�อซึ่อฟัต'แวร'ประเภัทน*6ไมื-สามืารถป?องก�นไวร�สไมื-ใหั�เข้�าส,-เคร��องคอมืพ�วเตอร'ไดิ� ดิ�งน�6นไมื-ว-าจิะซึ่�6อ ซึ่อฟัต'แวร'น*6จิากบร�ษ�ทใดิก(ตามื ประส�ทธี�ภัาพส,งส4ดิจิะมื*อย,-เพ*ยงชื่��วระยะเวลัาหัน0�งเท-าน�6น เมื��อมื*ไวร�สต�วใหัมื-เก�ดิข้06น ซึ่อฟัต'แวร'เดิ�มืท*�มื*อย,-ก(ไมื-สามืารถตรวจิพบแลัะท าลัายไดิ� ดิ�งน�6นการปร�บปร4งซึ่อฟัต'แวร'ใหั�ท�นสมื�ยอย,-เสมือจิ0งเป�นส��งส าค�ญท*�ส4ดิ ซึ่อฟัต'แวร'ป?องก�นไวร�สท*�มื*ชื่��อเส*ยงแลัะเป�นท*�น�ยมืในอ�นดิ�บต�นๆ ข้องโลักไดิ�แก- Norton Antivirus ข้อง Symantec (http://www.symantec.com )
แลัะ McAfee ข้อง Network Associates, Inc .(http://www.macafee.com)
69
จะสู�งเกตความปลอดภั�ยข้องเว�บไซ็ต�ได!อย"างไร
1.ชั้��อเสู�ยงข้องเว�บไซ็ต�- เว(บไซึ่ต'ท*�มื*ชื่��อเส*ยง ไมื-ว-าจิะท าอะไร ย-อมืต�องค าน0งถ0งภัาพพจิน'ข้องตนเองอย,-
เสมือ การส�งเกตชื่��อเส*ยงข้องเว(บไซึ่ต'ดิ,ไดิ�จิากความืน�ยมืข้องเว(บไซึ่ต' ระยะเวลัาท*�เป>ดิดิ าเน�นการมืา หัร�อจิากบร�ษ�ทท*�เป�นเจิ�าข้องเว(บไซึ่ต'น�6นว-าเป�นอย-างไร
- รายลัะเอ*ยดิประเภัทน*6 สามืารถหัาดิ,ไดิ�บนเว(บไซึ่ต'น�6นเอง ภัายใต�หั�วข้�อท*�เก*�ยวก�บประว�ต�ข้องเว(บไซึ่ต' เชื่-น About Us หัร�อ Company Profile หัร�อในหั�วข้�อเก*�ยว
ก�บความืปลัอดิภั�ยอ��นๆ เชื่-น Term of Use, Security Information แลัะ
Privacy Policy- ส าหัร�บเว(บไซึ่ต'พาณิ�ชื่ย'อ�เลั(กทรอน�กส' อย-างไรก(ดิ* หัากไมื-พบรายลัะเอ*ยดิดิ�งกลั-าว
ผู้,�บร�โภัคควรสอบถามืไปย�งเว(บไซึ่ต'โดิยตรงไดิ�ดิ�วยอ*เมืลั' หัร�อ โทรศ�พท'ก-อนจิะต�ดิส�นใจิใดิๆ
70
จะสู�งเกตความปลอดภั�ยข้องเว�บไซ็ต�ได!อย"างไร
2.เว�บไซ็ต�จะต!องสูนื้�บสูนื้�นื้ระบบ SSL (Secure Socket Layer) - ในระหัว-างการเลั�อกชื่มืส�นค�าบนเว(บไซึ่ต'อย,-น� 6น การส�งเกตว-าเว(บไซึ่ต'น�6น
สน�บสน4นระบบ SSL หัร�อไมื- ส�งเกตไดิ�จิาก 2 จิ4ดิบนบราวเซึ่อร' - แหั-งแรกค�อ URL ปกต�การเข้�าถ0งเว(บไซึ่ต'ใดิๆ น�6นจิะมื* URL
ท*�เป�น HTTP (Hypertext Transmission Protocol ) เป�นมืาตรฐาน แต-หัากว-าก าลั�งเข้�าส,-โหัมืดิ(Mode ) ร�กษาความืปลัอดิภั�ยข้อง SSL URL จิะเปลั*�ยนเป�น HTTPS (Hyper Text Transmission Protocol, Secure )
- ส-วนอ*กแหั-งหัน0�งก(ค�อท*� Title Bar ดิ�านลั-าง ในระบบ SSL จิะมื*ร,ปแมื-ก4ญแจิส*เหัลั�องปรากฏิอย,-ดิ�านซึ่�ายมื�อ ส าหัร�บ Internet Explorer ส-วน Netscape Communicator จิะเป�นร,ปก4ญแจิท*�สมืบ,รณิ' (ไมื-แตกหั�ก ) ส*เหัลั�องปรากฏิอย,-ท*�ดิ�านข้วามื�อ
71
จะสู�งเกตความปลอดภั�ยข้องเว�บไซ็ต�ได!อย"างไร
3.เว�บไซ็ต�ควรจะได!ร�บการร�บรองเร��องความปลอดภั�ย- อ*กป3จิจิ�ยหัน0�งท*�สามืารถเสร�มืสร�างความืมื��นใจิในต�วเว(บไซึ่ต'ใหั�ก�บผู้,�บร�โภัคไดิ�
ค�อการไดิ�ร�บการร�บรองเร��องความืปลัอดิภั�ยจิากองค'กรผู้,�ใหั�บร�การดิ�านความืปลัอดิภั�ย
ท*�มื*ชื่��อเส*ยง ก-อนท*�จิะต�ดิส�นใจิซึ่�6อส�นค�าจิากเว(บไซึ่ต'ใดิ ผู้,�บร�โภัคควรมืองหัาส�ญลั�กษณิ'
ข้ององค'กรน�6นๆ เส*ยก-อน เชื่-น เคร��องหัมืาย Verisign’s Secure Site ซึ่0�งจิะพบไดิ�ตามื
เว(บไซึ่ต'พาณิ�ชื่ย'อ�เลั(กทรอน�กส'ชื่�6นน าต-างๆ อย-างไรก(ดิ*หัากไมื-มื*ส�ญลั�กษณิ'ประเภัท
ดิ�งกลั-าวปรากฏิอย,- เราอาจิท าการสอบถามืไปทางเว(บไซึ่ต'โดิยตรงเลัยก(ไดิ�72
จะสู�งเกตความปลอดภั�ยข้องเว�บไซ็ต�ได!อย"างไร
4.นื้โยบายสู"งเสูร�มความม��นื้ใจหล�งการข้าย- โดิยท��วไปแลั�วเว(บไซึ่ต'ท*�ดิ* เชื่��อถ�อไดิ� จิะต�องระบ4นโยบายหัลั�งการข้ายอย-างลัะเอ*ยดิไว�บนเว(บไซึ่ต'เพ��อใหั�ลั,กค�าทราบ นโยบายหัลั�งการข้ายท*�ส าค�ญไดิ�แก-
- นโยบายตรวจิสอบข้�อมื,ลัส�นค�าท*�ส� �งซึ่�6อ - นโยบายค�นส�นค�าแลัะค�นเง�นท*�ชื่ าระไปแลั�ว
- บางเว(บไซึ่ต'ย�งมื*การแสดิงข้�อมื,ลัเก*�ยวก�บการตรวจิดิ,สถานะส�นค�าท*�อย,-ในระหัว-างการจิ�ดิส-งดิ�วยว-าอย,- ณิ ท*�ใดิ ซึ่0�งผู้,�บร�โภัคท*�ส� �งซึ่�6อส�นค�าหัร�อบร�การไว� สามืารถตรวจิสอบข้�อมื,ลัดิ�งกลั-าวไดิ�จิากทางเว(บไซึ่ต'หัร�อโทรศ�พท' จินกว-าส�นค�าจิะถ0งมื�อ - ผู้,�บร�โภัคควรเลั�อกร�านท*�มื*ต�วแทนหัร�อผู้,�จิ�ดิส-งภัายในประเทศ เพ��อสะดิวกในการต�ดิต-อข้�อมื,ลัการจิ�ดิส-ง แลัะเมื��อส�นค�าท*�ไดิ�ร�บชื่ าร4ดิหัร�อไมื-ตรงก�บท*�ส� �งไว� ก(จิะสามืารถต�ดิต-อเพ��อส-งค�นไดิ�โดิยง-าย
73
4.นื้โยบายสู"งเสูร�มความม��นื้ใจหล�งการข้าย (ต"อ) - เง��อนไข้เร��องการจิ�ดิส-งส�นค�าค�น แลัะการเร*ยกค�น
เง�นท*�ชื่ าระแลั�วมื�กระบ4ว�ธี*การแลัะระยะเวลัาไว�อย-างชื่�ดิเจิน ในกรณิ*ท*�ผู้,�บร�โภัคย�งไมื-ไดิ�ร�บส�นค�าหัร�อบร�การตามืส�ญญาหัร�อส�นค�าเส*ยหัาย ไมื-ถ,กต�องตามืท*�ส� �งซึ่�6อไว� ผู้,�ข้ายหัร�อร�านค�าหัลัายแหั-งจิะย�นยอมืร�บผู้�ดิชื่อบค-าใชื่�จิ-ายท�6งหัมืดิ เน��องจิากไมื-ใชื่-ความืผู้�ดิข้องผู้,�บร�โภัค ร�านค�าอาจิเสนอใหั�เก(บเง�นจิ านวนน�6นไว�เพ��อส��งซึ่�6อส�นค�าอ��นหัร�ออาจิค�นเง�นสดิดิ�วยเชื่(ค หัร�อโอนเง�นเข้�าบ�ญชื่*ข้องผู้,�บร�โภัคตามืมื,ลัค-าท*�หั�กไป (ในกรณิ*ท*�ชื่ าระดิ�วยบ�ตรเครดิ�ต)
จะสู�งเกตความปลอดภั�ยข้องเว�บไซ็ต�ได!อย"างไร
74