291351 Electronic Commerce

บทท�� 8การรกษาความปลอดภัย

สำ�าหรบพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

อ.ธารารตนิ� พวงสำ"วรรณิthararat@buu.ac.th

Outline

• ภัยค"กคามต#อพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

• มาตรการรกษาความปลอดภัยของข%อม&ลสำ�าหรบพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

• เทคโนิโลย�การรกษาความปลอดภัยของข%อม&ล

ความปลอดภัยกบพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

• ความปลอดภัยทางกายภัาพ (Physical Security)

• ความปลอดภัยของข%อม&ล (Information Security)

• สำ��หรั�บพ�ณิชย์ อิเล็�กทรัอินิกสำ จะเนิ�นิถึ�งคว�มปล็อิดภั�ย์ขอิงข�อิม"ล็เป#นิหล็�ก

• ปรัะเด�นิในิเรั&'อิงคว�มปล็อิดภั�ย์สำ��หรั�บพ�ณิชย์ อิเล็�กทรัอินิกสำ เป#นิอิ(ปสำรัรัคขอิงก�รัพ�ฒนิ�พ�ณิชย์ อิเล็�กทรัอินิกสำ

4

ผู้&%เจาะระบบรกษาความปลอดภัยผู้&%เจาะระบบรกษาความปลอดภัย ค&อิ บ(คคล็ท*'ไม,ม*สำทธิ์.ในิก�รัเข��ใช�รัะบบคอิมพวเตอิรั ล็�กล็อิบท��ก�รัเจ�ะรัะบบด�วย์วธิ์*ใดวธิ์*หนิ�'ง แบ,งเป#นิ 2 ปรัะเภัทหล็�ก ๆ ได�แก,• Hacker • Cracker

ภัยค"กคามพาณิ�ชย�อ�เล�กทรอนิ�กสำ�• ก�รัเข��สำ",เครั&อิข,�ย์ท*'ไม,ได�รั�บอินิ(ญ�ต (Unauthorized

Access)• ก�รัท��ล็�ย์ข�อิม"ล็แล็ะเครั&อิข,�ย์• ก�รัเปล็*'ย์นิ ก�รัเพ'ม หรั&อิก�รัด�ดแปล็งข�อิม"ล็• ก�รัเป3ดเผย์ข�อิม"ล็แก,ผ"�ท*'ไม,ได�รั�บอินิ(ญ�ต• ก�รัท��ให�รัะบบบรัก�รัขอิงเครั&อิข,�ย์หย์(ดท��ง�นิ (Denial of

service) • ก�รัขโมย์ข�อิม"ล็• ก�รัปฏิเสำธิ์ก�รับรัก�รัท*'ได�รั�บ แล็ะข�อิม"ล็ท*'ได�รั�บหรั&อิสำ,ง• ก�รัอิ��งว,�ได�ให�บรัก�รัท�7งๆ ท*'ไม,ได�ท�� แล็ะหรั&อิก�รัอิ��งว,�ได�รั�บสำ,ง• ไวรั�สำท*'แอิบแฝงม�ก�บผ"�ท*'เข��ม�ใช�บรัก�รั

มาตรการรกษาความปลอดภัยของข%อม&ลสำ�าหรบพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

สำ'งท*'อิงค กรั บรัษั�ท ห��งรั��นิ แล็ะบ(คคล็ท�'วไป ต�อิงพจ�รัณิ� ในิก�รัท��ธิ์(รักรัรัมอิเล็�กทรัอินิกสำ อิย์,�งปล็อิดภั�ย์ ค&อิคว�มต�อิงพ&7นิฐ�นิ 5 ปรัะก�รั1. Confidentiality 2. Access Control 3. Authentication4. Data Integrity

5. Non-Repudiation

7

การรกษาความลบของข%อม&ล (Confidentiality)

• ก�รัรั�กษั�คว�มล็�บขอิงข�อิม"ล็ท*'เก�บไว� หรั&อิสำ,งผ,�นิท�งเครั&อิข,�ย์

• โดย์ต�อิงป;อิงก�นิข�อิม"ล็ไม,ให�ถึ"กเป3ดเผย์ต,อิบ(คคล็ท*'ไม,ได�รั�บอินิ(ญ�ต

• เช,นิ ก�รัเข��รัห�สำ ก�รัใช�บ�รั โค<ด ก�รัใสำ,รัห�สำล็�บ(password) ก�รัใช� Firewall เป#นิต�นิ

การควบค"มการเข%าถึ,งข%อม&ล(Access Control)

•ค&อิ ม�ตรัก�รัควบค(มก�รัเข�ถึ�งข�อิม"ล็หรั&อิก�รัรัะบ(ต�วบ(คคล็ใหม*อิ��นิ�จหนิ�ท*'ในิก�รัเข��ถึ�งข�อิม"ล็ต�มท*'ก��หนิด •เช,นิ ก�รัก��หนิดสำทธิ์.ก�รัเข��ถึ�งข�อิม"ล็ต,�งๆ ในิ

Web site

การควบค"มการเข%าถึ,งข%อม&ล(Access Control)• ควบค(มก�รัเข��ถึ�งท�งก�ย์ภั�พ (Physical Access Control) • ควบค(มก�รัเข��ถึ�งท�งตรัรักะ (Logical Access Control)

การระบ"หร-อย-นิยนิตวบ"คคล(Authentication)

•ค&อิก�รัรัะบ(ต�วบ(คคล็ท*'ตดตอิว�เป#นิบ(คคล็ต�มท*'ไดกล็�วอิ��งไว�จรัง •โดย์อิ�จด"จ�กข�อิม"ล็บ�งสำ'งบ�งอิย์�งท*'ใช�

ย์&นิย์�นิหรั&อิรัะบ(ต�วตนิขอิงบ(คคล็นิ�7นิ •เช,นิ ล็�ย์ม&อิช&'อิดจตอิล็ (Digital

Signature), รัห�สำผ�นิ หรั&อิด"จ�กล็�กษัณิะเฉพ�ะ/ล็�กษัณิะท�งก�ย์ภั�พขอิงบ(คคล็นิ�7นิ

กลไกของการพ�สำ&จนิ�ตวตนิ (Authentication mechanisms)

การรกษาความถึ&กต%องของข%อม&ล (Data Integrity)

• ค&อิ ก�รัรั�กษั�ข�อิม"ล็ท*'สำ,งจ�กผ"�สำงให�เหม&อินิเดม แล็ะถึ"กต�อิงท(กปรัะก�รัเม&'อิไปถึ�งย์�งผ"�รั �บ • รัวมถึ�ง ก�รัป;อิงก�นิไมให�ข�อิม"ล็ถึ"กแก�ไขโดย์ตรัวจสำอิบไมได� • ซึ่�'งเทคนิคท*'นิย์มนิ��ม�ปรัะย์(กต ใช�ในิก�รัรั�กษั�คว�มถึ"กต�อิงขอิงข�อิม"ล็ค&อิ “Hashing”Hashing :

Hash FunctionKey Hash Code

การป/องกนิการปฏิ�เสำธความรบผู้�ดชอบ(Non-Repudiation)

•ค&อิก�รัป;อิงก�นิก�รัปฏิเสำธิ์ว�ไมไดม*ก�รัรั�บหรั&อิสำงขอิม"ล็จ�กฝ�ย์ต,�งๆท*'เก*'ย์วขอิง •แล็ะก�รัปอิงก�นิก�รัอิ��งท*'เป#นิเท�จว�ไดรั�บ

หรั&อิสำ,งข�อิม"ล็ •ใช�เทคนิค Digital Signature, ก�รัรั�บรัอิง

ก�รัให�บรัก�รั หรั&อิ ก�รัแจ�งให�ล็"กค��ทรั�บถึ�งขอิบเขตขอิงก�รัรั�บผดชอิบท*'ม*ต,อิสำนิค�� หรั&อิรัะหว,�งก�รัซึ่&7อิข�ย์ ไว�บนิเว�บไซึ่ต

เทคโนิโลย�การรกษาความปลอดภัยของข%อม&ล

• ก�รัเข��รัห�สำ (Encryption)- Symmetric encryption (ก(ญแจเหม&อินิก�นิ)- Asymmetric encryption (ก(ญแจต,�งก�นิ)

• Secure Socket Layer (SSL)• Secure Electronic Transaction (SET)• ล็�ย์เซึ่�นิต ดจตอิล็ (Digital Signature)• เทคโนิโล็ย์* CAPTCHA

Crypto ท*'แปล็ว,� "ก�รัซึ่,อินิ" Graph ท*'แปล็ว,� "ก�รัเข*ย์นิ"

• Cryptography ม*คว�มหม�ย์ว,� ก�รัเข*ย์นิเพ&'อิซึ่,อินิ“ข�อิม"ล็ ”

• โดย์ม*จ(ดปรัะสำงค เพ&'อิป;อิงก�นิไม,ให�ผ"�อิ&'นิสำ�ม�รัถึอิ,�นิข�อิม"ล็ได�

• ย์กเว�นิผ"�ท*'เรั�ต�อิงก�รัให�อิ,�นิได�เท,�นิ�7นิ • ซึ่�'งผ"�ท*'เรั�ต�อิงก�รัให�อิ,�นิได�จะต�อิงทรั�บวธิ์*ก�รัถึอิดรัห�สำ

ข�อิม"ล็ท*'ซึ่,อินิไว�ได�

การเข%ารหสำ (Cryptography)

• Plain Text• Cipher Text• Algorithm• Encryption• Decryption• Key• Cryptography

ศัพท�ต#างๆท��ควรทราบเก��ยวกบการเข%าและถึอดรหสำ

17

การเข%ารหสำ (Cryptography)• ก�รัท��ให�ข�อิม"ล็ท*'จะสำ,งผ,�นิไปท�งเครั&อิข,�ย์อิย์",ในิ

รั"ปแบบท*'ไม,สำ�ม�รัถึอิ,�นิอิอิกได� ด�วย์ก�รัเข��รัห�สำ (Encryption)

• ท��ให�ข�อิม"ล็นิ�7นิเป#นิคว�มล็�บ • ผ"�ม*สำทธิ์.จรังเท,�นิ�7นิจะสำ�ม�รัถึอิ,�นิข�อิม"ล็นิ�7นิได�ด�วย์

ก�รัถึอิดรัห�สำ (Decryption) • ใช�สำมก�รัท�งคณิตศ�สำตรั • ใช�ก(ญแจซึ่�'งอิย์",ในิรั"ปขอิงพ�รั�มเตอิรั ท*'ก��หนิดไว�

(ม*คว�มย์�วเป#นิบต)

18

การเข%ารหสำ (Encryption)

• ปรัะกอิบด�วย์ฝA�ย์ผ"�รั �บ แล็ะฝA�ย์ผ"�สำ,ง• ตกล็งกฎเกณิฑ์ เด*ย์วก�นิ ในิก�รัเปล็*'ย์นิข�อิคว�ม

ต�นิฉบ�บให�เป#นิข�อิคว�มอิ,�นิไม,รั" �เรั&'อิง (cipher text)

การเข%ารหสำ (Encryption)

ม*ด�วย์ก�นิ 2 ล็�กษัณิะ ค&อิ1 .การเข%ารหสำแบบสำมมาตร

(Symmetric Encryption)•วธิ์*นิ*7ท� 7งผ"�รั �บแล็ะผ"�สำ,งข�อิม"ล็จะทรั�บ Key ท*'

เหม&อินิก�นิ•ใช� Key เด*ย์วก�นิในิก�รัรั�บ-สำ,งข�อิม"ล็

Symmetric Encryption

Plain text Encryption Algorithm

Secret key

Decryption Algorithm

Secret key

Plain text

Cipher text

ผ"�สำ,ง

ผ"�รั �บ

Symmetric Encryption

ข%อด�•ก�รัเข��รัห�สำข�อิม"ล็ท��ได�รัวดเรั�วกว,�เม&'อิเท*ย์บก�บ

วธิ์* Asymmetric Encryption

ข%อจ�ากด/ ข%อควรระวง•Confidentiality•Authentication / Non-Repudiation

การเข%ารหสำ (Encryption)

2.(Asymmetric Key Cryptography หร-อ Public Key Cryptography) •ใช�แนิวคดขอิงก�รัม* Key เป#นิค", ๆ โดย์ท*' Key แต,ล็ะค",

จะสำ�ม�รัถึเข��แล็ะถึอิดรัห�สำขอิงก�นิแล็ะก�นิได�เท,�นิ�7นิ •Key แรักจะถึ"กเก�บรั�กษั�อิย์",ก�บเจ��ขอิง Key เท,�นิ�7นิ

เรั*ย์กว,� Private key •แล็ะค",ขอิง Private key ท*'เป3ดเผย์ต,อิสำ�ธิ์�รัณิะหรั&อิ

สำ,งต,อิให�ผ"�อิ&'นิใช� เรั*ย์กว,� Public key•เนิ%นิท��ผู้&%รบเป4นิหลก ค&อิ จะใช�ก(ญแจสำ�ธิ์�รัณิะขอิงผ"�รั �บ

ซึ่�'งเป#นิท*'เป3ดเผย์ในิก�รัเข��รัห�สำ แล็ะจะใช�ก(ญแจสำ,วนิต�วขอิงผ"�รั �บในิก�รัถึอิดรัห�สำ

Asymmetric Encryption

ประโยชนิ�ของว�ธ�การเข%ารหสำแบบอสำมมาตร ม�ดงนิ�5

• ใช�รั�กษั�คว�มล็�บขอิงข�อิคว�มท*'จะจ�ดสำ,งไปโดย์ใช�วธิ์*ก�รัเข��รัห�สำด�วย์ Public-Key

• คว�มเสำ*'ย์งขอิงก�รัล็,วงรั" � Private-Key จ�กผ"�อิ&'นิเป#นิไปได�ย์�ก

• แก�ปDญห�ในิสำ,วนิ Authenticate / Non-Repudiation

Asymmetric Encryption

ข%อจ�ากด/ ข%อควรระวง สำ��หรั�บก�รัเข��รัห�สำแบบอิสำมม�ตรั ม*ด�งนิ*7

• ก�รัเข��รัห�สำข�อิม"ล็ท��ได�ช��กว,�เม&'อิเท*ย์บก�บวธิ์* Symmetric Encryption

เปร�ยบเท�ยบข%อด�-ข%อเสำ�ยก"ญแจสำมมาตร ก"ญแจอสำมมาตร

ข%อด�ม*คว�มรัวดเรั�วเพรั�ะใช�ก�รัค��นิวณิท*' นิ�อิย์กว,� สำ�ม�รัถึสำรั��งได�ง,�ย์โดย์ใช�ฮ�รั ดแวรั

 ข%อด�ก�รับรัห�รัจ�ดก�รัก(ญแจท��ได�ง,�ย์กว,� เพรั�ะ ใช�ก(ญแจในิก�รัเข��รัห�สำ แล็ะถึอิดรัห�สำต,�งก�นิ สำ�ม�รัถึรัะบ(ผ"�ใช�โดย์ก�รัใช�รั,วมก�บล็�ย์ม&อิช&'อิ อิเล็�กทรัอินิกสำ

ข%อเสำ�ย ก�รับรัห�รัจ�ดก�รัก(ญแจท��ได�ย์�ก เพรั�ะก(ญแจในิก�รัเข��รัห�สำแล็ะถึอิด รัห�สำเหม&อินิก�นิ

 ข%อเสำ�ย ใช�เวล็�ในิก�รัเข��แล็ะถึอิดรัห�สำค,อินิข��งนิ�นิ เพรั�ะต�อิงใช�ก�รัค��นิวณิอิย์,�งม�ก

Secure Socket Layer (SSL)

•เป#นิโปรัโตคอิล็ท*'พ�ฒนิ�โดย์ Netscape เพ&'อิใช�ในิก�รัรั�กษั�คว�มปล็อิดภั�ย์ให�ก�บข�อิม"ล็บนิ World Wide Web•ใช�สำ��หรั�บตรัวจสำอิบแล็ะเข��รัห�สำข�อิม"ล็ในิก�รั

ตดต,อิสำ&'อิสำ�รัรัะหว,�งเครั&'อิงให�บรัก�รั (Server) แล็ะเครั&'อิงรั�บบรัก�รั (Client)•ใช�เทคนิค Cryptography แล็ะ ใบรั�บรัอิง

ดจตอิล็ (Digital Certificates)•ผ"�ซึ่&7อิสำ�ม�รัถึตรัวจสำอิบต�วตนิขอิงผ"�ข�ย์ก,อินิ

ได�จ�กใบรั�บรัอิงอิเล็�กทรัอินิกสำ ท*'ผ"�ข�ย์ขอิจ�ก CA •แต,สำ,วนิใหญ,ผ"�ข�ย์ไม,สำ�ม�รัถึตรัวจสำอิบต�วตนิ

ขอิงผ"�ซึ่&7อิได�เพรั�ะผ"�ซึ่&7อิไม,ม*ใบรั�บรัอิงอิเล็�กทรัอินิกสำ

29

ใบรบรองด�จ�ตอล Digital Certificate

• ถึ"กนิ��ม�ใช�สำ��หรั�บย์&นิย์�นิในิตอินิท��ธิ์(รักรัรัมว,�เป#นิบ(คคล็นิ�7นิๆจรัง ต�มท*'ได�อิ��งไว�

• อิอิกโดย์อิงค กรักล็�งท*'เป#นิท*'เช&'อิถึ&อิ เรั*ย์กว,� อิงค กรัรั�บรัอิงคว�มถึ"กต�อิง (Certification Authority)

• ม*ก(ญแจสำ�ธิ์�รัณิะเพ&'อิเข��รัห�สำข�อิม"ล็ท*'สำ,งผ,�นิเว�บไซึ่ต นิ�7นิ

• ให�คว�มม�'นิใจว,�ตดต,อิก�บ web site นิ�7นิจรัง• ป;อิงก�นิก�รัขโมย์ข�อิม"ล็ล็"กค��จ�กเว�บไซึ่ต อิ&'นิ

(spoofing)

Certification Authority :CA หร-อ Certification Service Provider (CSP)

• Certification Authority หรั&อิผ"�อิอิกใบรั�บรัอิง • ปDจจ(บ�นินิย์มเรั*ย์กว,� Certification Service

Provider (CSP) หม�ย์ถึ�ง บ(คคล็ท*'สำ�ม ท*'ได�รั�บคว�มเช&'อิถึ&อิแล็ะไว�ว�งใจจ�กบ(คคล็หรั&อิอิงค กรัโดย์ท�'วไป

• CA จะเป#นิผ"�ตรัวจสำอิบสำถึ�นิะแล็ะอิอิกใบรั�บรัอิงอิเล็�กทรัอินิกสำ ให�แก,ผ"�สำม�ครัขอิใบรั�บรัอิงฯ

• CA เป#นิผ"�รั �บรัอิงคว�มม*ต�วตนิขอิงท�7งผ"�ข�ย์แล็ะผ"�ซึ่&7อิ (หรั&อิผ"�สำ,งแล็ะผ"�รั �บ)

31

ประเภัทของใบรบรองด�จ�ตอล• ปรัะเภัทขอิงใบรั�บรัอิงดจตอิล็ โดย์ท�'วไป แบ,ง ได�

ด�งนิ*71. ใบรบรองสำ�าหรบบ"คคล2. ใบรบรองสำ�าหรบเคร-�องแม#ข#าย

32

ใบรบรองอ�เล�กทรอนิ�กสำ� (Electronic Certificate)

รั�ย์ล็ะเอิ*ย์ดขอิงใบรั�บรัอิงอิเล็�กทรัอินิกสำ ปรัะกอิบด�วย์• ข�อิม"ล็รัะบ(ผ"�ท*'ได�รั�บก�รัรั�บรัอิง ได�แก, ช&'อิ อิงค กรั ท*'อิย์",• ข�อิม"ล็รัะบ(ผ"�อิอิกใบรั�บรัอิง ได�แก, ล็�ย์ม&อิช&'อิดจท�ล็ขอิง

อิงค กรัท*'อิอิกใบรั�บรัอิง แล็ะหม�ย์เล็ขปรัะจ��ต�วขอิงผ"�อิอิกใบรั�บรัอิง

• ก(ญแจสำ�ธิ์�รัณิะขอิงผ"�ท*'ได�รั�บก�รัรั�บรัอิง• ว�นิหมดอิ�ย์(ขอิงใบรั�บรัอิงอิเล็�กทรัอินิกสำ • รัะด�บช�7นิขอิงใบรั�บรัอิงดจท�ล็ ซึ่�'งม* 4 รัะด�บ ในิรัะด�บ4 เป#นิ

รัะด�บท*'ม*ก�รัตรัวจสำอิบเข�มงวดท*'สำ(ด แล็ะต�อิงก�รัข�อิม"ล็ม�กท*'สำ(ด

• หม�ย์เล็ขปรัะจ��ต�วขอิงใบรั�บรัอิงอิเล็�กทรัอินิกสำ

33

ใบรบรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)

ตวอย#าง

คล�9กร&ปก"ญแจ เพ-�อด& ใบรบ

รองอ�เล�อทรอนิ�กสำ�

https เป4นิการแสำดงว#าม�ระบบเข%า

รหสำรกษาความปลอดภัย

34

ใบรบรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)

ตวอย#าง

หลกการท�างานิของ SSL (ต#อ)

Request

Digital Certificate

Public-Key

Check Certificate

Symmetric-KeyPublic-Key

Symmetric-Key

Encrypt

Private-Key

Symmetric-Key

Decrypt

Symmetric-Key

SSL Protocol

Secure Electronic Transaction : SET

•SET เป#นิโปรัโตคอิล็ท*'ท�ง Visa แล็ะ Master card คดค�นิรั,วมก�บ Microsoft แล็ะ Netscape •เพ&'อิตรัวจสำอิบก�รัช��รัะเงนิด�วย์บ�ตรัเครัดตผ,�นิเครั&อิ

ข,�ย์อินิเทอิรั เนิ�ตแล็ะเครั&อิข,�ย์ต,�ง ๆ ด�วย์ก�รัสำรั��งรัห�สำ SET รัะด�บ 128 bit •ใช�ใบรั�บรัอิงอิเล็�กทรัอินิกสำ (Digital

Certificates) ในิก�รัรัะบ(ต�วตนิท*'เก*'ย์วข�อิงก�บก�รัซึ่&7อิข�ย์ เช,นิ ผ"�ถึ&อิบ�ตรั ผ"�ข�ย์ ช,อิงท�งก�รัช��รัะเงนิ แล็ะ Certificate Authorization (CA)•สำ�ม�รัถึตรัวจสำอิบก�รัม*สำทธิ์ ขอิงผ"�เก*'ย์วข�อิงด�วย์

ก�รัใช�ล็�ย์เซึ่�นิต ดจตอิล็ (Digital Signature)

Secure Electronic Transaction : SET

ข�อิด*ขอิงก�รัรั�กษั�คว�มปล็อิดภั�ย์ด�วย์ โปรัโตคอิล็ SET

1 .คว�มปล็อิดภั�ย์ขอิงข�อิคว�ม (Message Privacy)

2.คว�มสำมบ"รัณิ ขอิงข�อิคว�ม (Message Integrity)

3.คว�มนิ,�เช&'อิถึ&อิ ( Matual Authentication)

ลายเซ็�นิต�ด�จ�ตอล (Digital Signature)

• หม�ย์ถึ�ง กล็(,มขอิงต�วเล็ขกล็(,มหนิ�'งซึ่�'งแสำดงคว�มม*ต�วตนิขอิงบ(คคล็คนิหนิ�'ง (กล็(,มต�วเล็ขนิ*7จะม*เล็ขท*'ไม,ซึ่�7�ก�บใครัเล็ย์)

• ได�จ�กก�รัเข��รัห�สำข�อิม"ล็ด�วย์ก(ญแจสำ,วนิต�ว (Private key) ขอิงผ"�สำ,ง เปรั*ย์บเสำม&อินิล็�ย์ม&อิช&'อิขอิงผ"�สำ,ง แล็ะถึอิดรัห�สำด�วย์ก(ญแจสำ�ธิ์�รัณิะขอิงผ"�สำ,ง (Public key) เพ&'อิรัะบ(ต�วบ(คคล็

• จะใช�ในิก�รัแนิบตดไปก�บเอิกสำ�รัใดๆ ก�ต�มในิรั"ปแบบขอิงไฟล็ • นิอิกจ�กจะสำ�ม�รัถึรัะบ(ต�วบ(คคล็ แล็ะเป#นิกล็ไกก�รัป;อิงก�นิ

ก�รัปฏิเสำธิ์คว�มรั�บผดชอิบแล็�ว • ย์�งสำ�ม�รัถึป;อิงก�นิข�อิม"ล็ท*'สำ,งไปไม,ให�ถึ"กแก�ไข หรั&อิห�กถึ"ก

แก�ไขไปจ�กเดมก�สำ�ม�รัถึล็,วงรั" �ได

ลายเซ็�นิต�ด�จ�ตอล (Digital Signature)

•ก�รัเข��รัห�สำข�อิคว�มท*'ย์�วนิ�7นิค,อินิข��งเสำ*ย์เวล็� เนิ&'อิงจ�กข�7นิตอินิก�รัเข��รัห�สำต�อิงใช�ก�รัค��นิวณิเป#นิอิย์,�งม�ก •จ�งม*ก�รัสำรั��งข�7นิตอินิท*'ค��นิวณิได�อิย์,�ง

รัวดเรั�ว โดย์เปล็*'ย์นิข�อิคว�มท�7งหมดให�เหล็&อิเพ*ย์งข�อิคว�มสำ�7นิๆ เรั*ย์กว,� “Message Digest”•เม&'อิได� Message Digest ม�แล็�วก�จะนิ��

Message Digest นิ*7ไปเข��รัห�สำด�วย์ Private-Key เพ&'อิสำรั��งเป#นิล็�ย์เซึ่�นิต ดจตอิล็ (Digital Signature) ต,อิไป

การสำร%างลายเซ็�นิต�ด�จ�ตอล(Creating Digital Signature)

Hash Functionข�อิม"ล็ Message

Digest

Private-Key[ผ"�สำ,ง]

EncryptionAlgorithm

Digital Signature

Authentication

IntegrityNon-

repudiation

43

ข%อสำงเกต"การสำร%างและลงลายม-อช-�อด�จ�ตอล

• ล็�ย์ม&อิช&'อิดจท�ล็จะแตกต,�งก�นิไปต�มข�อิม"ล็ต�นิฉบ�บแล็ะบ(คคล็ท*'จะล็งล็�ย์ม&อิช&'อิ ไม,เหม&อินิก�บล็�ย์ม&อิช&'อิท�'วไปท*'จะต�อิงเหม&อินิก�นิสำ��หรั�บบ(คคล็นิ�7นิๆ ไม,ข�7นิอิย์",ก�บเอิกสำ�รั

• กรัะบวนิก�รัท*'ใช�จะม*ล็�กษัณิะคล็��ย์คล็�งก�บก�รัเข��รัห�สำแบบอิสำมม�ตรั แต,ก�รัเข��รัห�สำจะใช� ก(ญแจสำ,วนิต�วขอิงผ"�สำ,ง แล็ะ ก�รัถึอิดรัห�สำจะใช� ก(ญแจสำ�ธิ์�รัณิะขอิงผ"�สำ,ง ซึ่�'งสำล็�บก�นิก�บ ก�รัเข��แล็ะถึอิดรัห�สำแบบก(ญแจอิสำมม�ตรั ในิก�รัรั�กษั�ข�อิม"ล็ให�เป#นิคว�มล็�บ

เทคโนิโลย� CAPTCHA

• CAPTCHA  ย์,อิม�จ�ก  "Completely Automated Public Turing test to tell Computers and  Humans Apart"

• ค&อิ  ก�รัทดสำอิบเพ&'อิเข��สำ",รัะบบคอิมพวเตอิรั แบบโต�ตอิบชนิดหนิ�'ง  เพ&'อิทดสำอิบว,�ผ"�ใช�ง�นิเป#นิมนิ(ษัย์ จรังหรั&อิว,�ไม,ใช, Bot  หรั&อิ  โปรัแกรัมอิ�ตโนิม�ต)  

• คดค�นิข�7นิในิ ปI ค.ศ. 2000  โดย์  Luis on  Ahn , Manuel Blum,  Nicholas J. Hopper   แล็ะ  John Langford  

เทคโนิโลย� CAPTCHA

• รั"ปแบบง,�ย์ๆท*'พบ ค&อิ ก�รันิ��ต�วอิ�กษัรัม�แปล็งให�เป#นิรั"ปภั�พ แล็�วถึ�มผ"�ใช�ว,�ต�วอิ�กษัรัในิรั"ปภั�พนิ�7นิค&อิอิะไรั

• เพรั�ะปกตมนิ(ษัย์ จะอิ,�นิต�วอิ�กษัรัจ�กรั"ปภั�พได�โดย์ไม,รั" �สำ�กว,�ต,�งอิะไรัก�บ ข�อิม"ล็ต�วอิ�กษัรั (text) ท�'วๆไป

• แต,สำ��หรั�บคอิมพวเตอิรั ม�นิจะรั" �แค,ว,�นิ*'เป#นิไฟล็ ภั�พเท,�นิ�7นิ แต,ไม,รั" �ว,�เป#นิภั�พอิะไรั

เทคโนิโลย� CAPTCHA

• ปDจจ(บ�นิม*คนิพ�ฒนิ�โปรัแกรัมปรัะเภัท OCR เพ&'อิช,วย์แปล็งอิ�กษัรัในิภั�พม�เป#นิข�อิม"ล็ท*'เป#นิต�วอิ�กษัรั (text)

• ด�งนิ�7นิจ�งม*ก�รัพย์�ย์�มป;อิงก�นิโปรัแกรัม OCR ให�ท��ง�นิย์�กข�7นิ เช,นิ ท��ให�ต�วอิ�กษัรับดเบ*7ย์ว หรั&อิใสำ,สำ'งรับกวนิล็งไป เช,นิ เสำ�นิ จ(ด หรั&อิรั"ปต,�งๆ เป#นิต�นิ

ท*'ม� : http://oujidee.blogspot.com/2013/06/captcha.html

http://hwan-wanwisa-ritsumret.blogspot.com/2013/06/apctcah.html