An Toan Trong Tt Ec
Transcript of An Toan Trong Tt Ec
Chöông 8Vaán ñeà an toaøn trong
Thöông maïi ñieän töû
November 2002 Security Issues2
SSL vaø SET: Ai seõ thaéng? Moät phaàn cuûa SSL (Secure Socket Layer) ñaõ
coù trong boä trình duyeät cuûa khaùch haøng Ñoù laø moät cô cheá maõ hoùa (encryption) ñeå tieáp nhaän
ñôn haøng, caùc yeâu caàu vaø caùc trình öùng duïng khaùc Noù khoâng giuùp baûo veä choáng laïi toaøn boä caùc vaán
ñeà xaâm phaïm an toaøn Noù ñôn giaûn vaø ñöôïc söû duïng roäng raûi
SET ( Secure Electronic Transaction) laø moät giao thöùc baûo an raát hoaøn haûo Noù cung caáp tính rieâng tö, chöùng thaät, an toaøn vaø
raøo caûn Noù ít ñöôïc söû duïng do tính phöùc taïp cuûa noù vaø söï
ñoøi hoûi phaûi coù caùc boä ñoïc card ñaëc bieät cho ngöôøi söû duïng
Noù coù theå bò taåy chay neáu noù khoâng ñöôïc laøm cho ñôn giaûn hoùa hôn hay hoaøn thieän hôn
November 2002 Security Issues3
Yeâu caàu baûo an
Thanh toaùn, giao thöùc vaø caùc vaán ñeà coù lieân quan
Chöùng thaät: Laø caùch kieåm tra ngöôøi mua tröôùc khi vieäc thanh toaùn ñöôïc thöïc hieän
Toaøn veïn: Baûo ñaûm raèng caùc thoâng tin seõ khoâng bò thay ñoåi, xoùa do sô xuaát trong quaù trình truyeàn daãn
Maõ hoùa: Qui trình laøm cho caùc thoâng ñieäp khoâng theå ñoïc hay söû duïng ñöôïc ngoaïi tröø nhöõng ngöôøi coù khoùa giaûi maõ chuùng
Quyeàn rieâng tö: ngöôøi baùn khoâng nhaát thieát phaûi bieát thoâng tin veà theû tín duïng cuûa ngöôøi mua. Ñieàu naøy caàn ñöôïc thöïc hieän ñeå baûo ñaûm quyeàn rieâng tö cuûa khaùch haøng
November 2002 Security Issues4
Qui trình baûo an
Khoùa bí maät - Secret Key Cryptography (symmetric)
Thoâng ñieäp ñöôïc maõ hoùa
Thoâng ñieäp
nguyeân thuûy
Ngöôøi göûi
InternetThoâng
ñieäp ñöôïc maõ hoùa
Khoùangöôøi göûi (= Khoùangöôøi nhaän)
Maõ hoùa
Thoâng ñieäp
nguyeân thuûy
Ngöôøi nhaän
Khoùangöôøi nhaän
Giaûi maõ
November 2002 Security Issues5
Khoùa coâng coäng - Public Key Cryptography
Sender
Original Message
Scrambled Message
Scrambled Message
Public Keyreceiver
Original Message
Receiver
Private Keyreceiver
Internet
Qui trình baûo an...
Message
Sender
Original Message
Scrambled Message
Scrambled Message
Private Keysender
Original Message
Receiver
Public Keysender
InternetDigital
Signature
November 2002 Security Issues6
Chöõ kyù ñieän töû - Digital Signature
Chöõ kyù soá ñöôïc ngöôøi göûi göûi keøm theo thoâng ñieäp ñöôïc maõ hoùa baèng khoùa coâng coäng
Ngöôøi nhaän laø ngöôøi duy nhaát coù theå ñoïc thoâng ñieäp vaø anh ta laø ngöôøi coù theå bieát chaéc chaén raèng thoâng ñieäp do ngöôøi naøo ñaõ göûi
Ngöôøi göûi maõ hoùa thoâng ñieäp vôùi khoùa rieâng
Baát kyø ngöôøi nhaän naøo coù khoùa coâng coäng cuûa ngöôøi göûi ñeàu coù theå ñoïc ñöôïc
Qui trình baûo an...
Töø chöõ kyù töông ñöông ñeán chöõ kyù baèng tay - Analogous to handwritten signature
November 2002 Security Issues7
Chöùng nhaän - Certificate
Name : “Richard”key-Exchange Key :Signature Key :Serial # : 29483756Other Data : 10236283025273Expires : 6/18/96Signed : CA’s Signature
Qui trình baûo an...
Xaùc ñònh ngöôøi giöõ khoùa coâng coäng (trao ñoåi khoùa Key-exchange)
Caáp bôûi cô quan chöùng thaät coù uy tín - certificate authority (CA)
November 2002 Security Issues8
Cô quan caáp giaáy chöùng nhaän – ví duï VeriSign
RCA
BCA
GCA
CCA MCA PCA
RCA : Root Certificate Authority – Cô quan chöùng nhaän nguoànBCA : Brand Certificate Authority - Cô quan chöùng nhaän nhaõn hieäuGCA : Geo-political Certificate Authority - Cô quan chöùng nhaän theo ñòa lyù chính tròCCA : Cardholder Certificate Authority - Cô quan chöùng nhaän ngöôøi sôû höõu cardMCA : Merchant Certificate Authority - Cô quan chöùng nhaän ngöôøi baùnPCA : Payment Gateway Certificate Authority – Cô quan chöùng nhaän coång thanh toaùn
Caùch phaân chia taàng lôùp caùc cô quan chöùng nhaän
Qui trình baûo an
Coù theå laø moät toå chöùc coâng coäng hay caù nhaân Laø beân thöù 3 ñaùng tin caäy Caáp Chöùng nhaän soá Chöùng nhaän raèng khoùa coâng coäng thuoäc veà moät caù nhaân naøo
ñoù
November 2002 Security Issues9
Giao thöùc SET - Secure Electronic Transaction Protocol
1. Thoâng ñieäp ñöôïc ñöa vaøo boä ‘tieâu hoùa’ thoâng tin (hay boä ñoïc thoâng ñieäp - message digest).
2. Boä tieâu hoùa thoâng tin seõ maõ hoùa vôùi khoùa chöõ kyù rieâng cuûa ngöôøi göûi, vaø chöõ kyù soá ñöôïc taïo ra.
3. Noäi dung thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi ñöôïc maõ hoùa vôùi khoùa ñoàng ñaúng (symmetric key) ñöôïc taïo ra bôûi maùy cuûa ngöôøi göûi cho töøng giao dòch. Keát quaû laø moät thoâng ñieäp ñöôïc maõ hoùa. Giao thöùc SET duøng heä Algarit DES thay vì RSA bôûi vì DES coù theå maõ hoùa nhanh hôn nhieàu so vôùi RSA.
4. Khoùa ñoàng ñaúng ñöôïc maõ hoùa vôùi khoùa coâng coäng cuûa ngöôøi nhaän voán ñaõ ñöôïc göûi ñeán ngöôøi göûi tröôùc ñoù. Keát quaû laø moät böùc thö soá ñöôïc taïo ra.
Maùy tính cuûa ngöôøi göûi
November 2002 Security Issues10
Maùy tính cuûa ngöôøi göûiKhoùa chöõ kyù
rieâng cuûa ngöôøi göûi
Chöùng nhaän cuûa ngöôøi göûi
+
+
Message
+Chöõ kyù soá
Chöùng nhaänCuûa ngöôøi nhaän
Maõ hoùa
Khoùa ñoàng ñaúng
Thoâng ñieäp
ñöôïc maõ hoùa
Khoùa trao ñoåi cuûa ngöôøi
nhaän
Maõ hoùaBao thö
soá
Message
Boä ñoïc thoâng ñieäp
November 2002 Security Issues11
5. Thoâng ñieäp ñöôïc maõ hoùa vaø bao thö soá ñöôïc chuyeån ñeán maùy cuûa ngöôøi nhaän thoâng qua Internet.
6. Bao thö soá ñöôïc giaûi maõ vôùi khoùa trao ñoåi cuûa ngöôøi nhaän.7. Söû duïng khoùa ñoàng ñaúng, thoâng ñieäp ñöôïc maõ hoùa coù theå
ñöôïc tra veà hieän traïng thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi.
8. Ñeå xaùc ñònh tính toaøn veïn (integrity), chöõ kyù soá ñöôïc giaûi maõ bôøi khoùa coâng coäng cuûa ngöôøi göûi.
9. Thoâng ñieäp ñöôïc thaønh thoâng ñieäp ñöôïc giaûi maõ.10. Caùc thoâng ñieäp ñöôïc giaûi maõ ñaït ñöôïc ôû caùc böôùc 8 & 9
ñöôïc so saùnh bôûi ngöôøi nhaän nhaèm xaùc ñònh xem coù thay ñoåi naøo khoâng trong quaù trình di chuyeån. Böôùc naøy xaùc ñònh tính toaøn veïn cuûa thoâng ñieäp.
Maùy tính cuûa ngöôøi nhaän
Giao thöùc SET...
November 2002 Security Issues12
Maùy tính cuûa ngöôøi göûi
Giaûi maõKhoùa ñoàng
ñaúng
Thoâng ñieäp
ñöôïc maõ hoùa
Chöùng nhaän Cuûa Ngöôøi göûi
+
+
Thoâng ñieäp
So saùnh
Bao thö soá
Khoaù trao ñoåi rieâng cuûa ngöôøi göûi
Giaûi maõ
Thoâng ñieäp ñöôïc ñoïcChöõ kyù soáKhoaù chöõ kyù
coâng coäng cuûa ngöôøi göûi
Giaûi maõ
Thoâng ñieäp ñöôïc ñoïc
November 2002 Security Issues13Giao thöùc SET ñöôïc duøng trong TMÑT
Boä ñoïcIC Card Khaùch haøng X
Khaùch haøng Y
Vôùi Ví ñieän töûCô quan chöùng nhaän
Cöûa haøng ñieän töû
Ngöôøi baùn ANgöôøi baùn B
Loaïi credit card
Giao thöùcX.25
Coång thanh toaùn
November 2002 Security Issues14
SET so vôùi SSL
Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
Phöùc taïp Ñôn giaûn
SET phuïc vuï nhu caàu nhaän thanh toaùn baèng credit card cuûa ngöôøi baùn.
SSL laø giao thöùc baûo maät toång quaùt cho caùc trao ñoåi thoâng ñieäp (maõ hoùa).Giao thöùc SET giaáu thoâng
tin veà Credit card cuûa khaùch haøng khoûi ngöôøi baùn, vaø cuõng giaáu thoâng tin ñoái vôùi ngaân haøng, ñeå baûo veä quyeàn rieâng tö cuûa khaùch haøng.
Giao thöùc SSL coù theå duøng chöùng nhaän, nhöng noù khoâng coù coång thanh toùan. Vì vaäy, ngöôøi baùn caàn nhaän caû thoâng tin ñaët haøng laãn thoâng tin veà theû tín duïng vaø qui trình naøy do ngöôøi baùn quyeát ñònh.