An Toan Trong Tt Ec

Chöông 8Vaán ñeà an toaøn trong

Thöông maïi ñieän töû

November 2002 Security Issues2

SSL vaø SET: Ai seõ thaéng? Moät phaàn cuûa SSL (Secure Socket Layer) ñaõ

coù trong boä trình duyeät cuûa khaùch haøng Ñoù laø moät cô cheá maõ hoùa (encryption) ñeå tieáp nhaän

ñôn haøng, caùc yeâu caàu vaø caùc trình öùng duïng khaùc Noù khoâng giuùp baûo veä choáng laïi toaøn boä caùc vaán

ñeà xaâm phaïm an toaøn Noù ñôn giaûn vaø ñöôïc söû duïng roäng raûi

SET ( Secure Electronic Transaction) laø moät giao thöùc baûo an raát hoaøn haûo Noù cung caáp tính rieâng tö, chöùng thaät, an toaøn vaø

raøo caûn Noù ít ñöôïc söû duïng do tính phöùc taïp cuûa noù vaø söï

ñoøi hoûi phaûi coù caùc boä ñoïc card ñaëc bieät cho ngöôøi söû duïng

Noù coù theå bò taåy chay neáu noù khoâng ñöôïc laøm cho ñôn giaûn hoùa hôn hay hoaøn thieän hôn


Yeâu caàu baûo an

Thanh toaùn, giao thöùc vaø caùc vaán ñeà coù lieân quan

Chöùng thaät: Laø caùch kieåm tra ngöôøi mua tröôùc khi vieäc thanh toaùn ñöôïc thöïc hieän

Toaøn veïn: Baûo ñaûm raèng caùc thoâng tin seõ khoâng bò thay ñoåi, xoùa do sô xuaát trong quaù trình truyeàn daãn

Maõ hoùa: Qui trình laøm cho caùc thoâng ñieäp khoâng theå ñoïc hay söû duïng ñöôïc ngoaïi tröø nhöõng ngöôøi coù khoùa giaûi maõ chuùng

Quyeàn rieâng tö: ngöôøi baùn khoâng nhaát thieát phaûi bieát thoâng tin veà theû tín duïng cuûa ngöôøi mua. Ñieàu naøy caàn ñöôïc thöïc hieän ñeå baûo ñaûm quyeàn rieâng tö cuûa khaùch haøng


Qui trình baûo an

Khoùa bí maät - Secret Key Cryptography (symmetric)

Thoâng ñieäp ñöôïc maõ hoùa

Thoâng ñieäp

nguyeân thuûy

Ngöôøi göûi

InternetThoâng

ñieäp ñöôïc maõ hoùa

Khoùangöôøi göûi (= Khoùangöôøi nhaän)

Maõ hoùa

Thoâng ñieäp

nguyeân thuûy

Ngöôøi nhaän

Khoùangöôøi nhaän

Giaûi maõ


Khoùa coâng coäng - Public Key Cryptography

Sender

Original Message

Scrambled Message

Scrambled Message

Public Keyreceiver

Original Message

Receiver

Private Keyreceiver

Internet

Qui trình baûo an...

Message

Sender

Original Message

Scrambled Message

Scrambled Message

Private Keysender

Original Message

Receiver

Public Keysender

InternetDigital

Signature


Chöõ kyù ñieän töû - Digital Signature

Chöõ kyù soá ñöôïc ngöôøi göûi göûi keøm theo thoâng ñieäp ñöôïc maõ hoùa baèng khoùa coâng coäng

Ngöôøi nhaän laø ngöôøi duy nhaát coù theå ñoïc thoâng ñieäp vaø anh ta laø ngöôøi coù theå bieát chaéc chaén raèng thoâng ñieäp do ngöôøi naøo ñaõ göûi

Ngöôøi göûi maõ hoùa thoâng ñieäp vôùi khoùa rieâng

Baát kyø ngöôøi nhaän naøo coù khoùa coâng coäng cuûa ngöôøi göûi ñeàu coù theå ñoïc ñöôïc


Töø chöõ kyù töông ñöông ñeán chöõ kyù baèng tay - Analogous to handwritten signature


Chöùng nhaän - Certificate

Name : “Richard”key-Exchange Key :Signature Key :Serial # : 29483756Other Data : 10236283025273Expires : 6/18/96Signed : CA’s Signature


Xaùc ñònh ngöôøi giöõ khoùa coâng coäng (trao ñoåi khoùa Key-exchange)

Caáp bôûi cô quan chöùng thaät coù uy tín - certificate authority (CA)


Cô quan caáp giaáy chöùng nhaän – ví duï VeriSign

RCA

BCA

GCA

CCA MCA PCA

RCA : Root Certificate Authority – Cô quan chöùng nhaän nguoànBCA : Brand Certificate Authority - Cô quan chöùng nhaän nhaõn hieäuGCA : Geo-political Certificate Authority - Cô quan chöùng nhaän theo ñòa lyù chính tròCCA : Cardholder Certificate Authority - Cô quan chöùng nhaän ngöôøi sôû höõu cardMCA : Merchant Certificate Authority - Cô quan chöùng nhaän ngöôøi baùnPCA : Payment Gateway Certificate Authority – Cô quan chöùng nhaän coång thanh toaùn

Caùch phaân chia taàng lôùp caùc cô quan chöùng nhaän

Qui trình baûo an

Coù theå laø moät toå chöùc coâng coäng hay caù nhaân Laø beân thöù 3 ñaùng tin caäy Caáp Chöùng nhaän soá Chöùng nhaän raèng khoùa coâng coäng thuoäc veà moät caù nhaân naøo

ñoù


Giao thöùc SET - Secure Electronic Transaction Protocol

1. Thoâng ñieäp ñöôïc ñöa vaøo boä ‘tieâu hoùa’ thoâng tin (hay boä ñoïc thoâng ñieäp - message digest).

2. Boä tieâu hoùa thoâng tin seõ maõ hoùa vôùi khoùa chöõ kyù rieâng cuûa ngöôøi göûi, vaø chöõ kyù soá ñöôïc taïo ra.

3. Noäi dung thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi ñöôïc maõ hoùa vôùi khoùa ñoàng ñaúng (symmetric key) ñöôïc taïo ra bôûi maùy cuûa ngöôøi göûi cho töøng giao dòch. Keát quaû laø moät thoâng ñieäp ñöôïc maõ hoùa. Giao thöùc SET duøng heä Algarit DES thay vì RSA bôûi vì DES coù theå maõ hoùa nhanh hôn nhieàu so vôùi RSA.

4. Khoùa ñoàng ñaúng ñöôïc maõ hoùa vôùi khoùa coâng coäng cuûa ngöôøi nhaän voán ñaõ ñöôïc göûi ñeán ngöôøi göûi tröôùc ñoù. Keát quaû laø moät böùc thö soá ñöôïc taïo ra.

Maùy tính cuûa ngöôøi göûi


Maùy tính cuûa ngöôøi göûiKhoùa chöõ kyù

rieâng cuûa ngöôøi göûi

Chöùng nhaän cuûa ngöôøi göûi

+

+

Message

+Chöõ kyù soá

Chöùng nhaänCuûa ngöôøi nhaän

Maõ hoùa

Khoùa ñoàng ñaúng

Thoâng ñieäp

ñöôïc maõ hoùa

Khoùa trao ñoåi cuûa ngöôøi

nhaän

Maõ hoùaBao thö

soá

Message

Boä ñoïc thoâng ñieäp


5. Thoâng ñieäp ñöôïc maõ hoùa vaø bao thö soá ñöôïc chuyeån ñeán maùy cuûa ngöôøi nhaän thoâng qua Internet.

6. Bao thö soá ñöôïc giaûi maõ vôùi khoùa trao ñoåi cuûa ngöôøi nhaän.7. Söû duïng khoùa ñoàng ñaúng, thoâng ñieäp ñöôïc maõ hoùa coù theå

ñöôïc tra veà hieän traïng thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi.

8. Ñeå xaùc ñònh tính toaøn veïn (integrity), chöõ kyù soá ñöôïc giaûi maõ bôøi khoùa coâng coäng cuûa ngöôøi göûi.

9. Thoâng ñieäp ñöôïc thaønh thoâng ñieäp ñöôïc giaûi maõ.10. Caùc thoâng ñieäp ñöôïc giaûi maõ ñaït ñöôïc ôû caùc böôùc 8 & 9

ñöôïc so saùnh bôûi ngöôøi nhaän nhaèm xaùc ñònh xem coù thay ñoåi naøo khoâng trong quaù trình di chuyeån. Böôùc naøy xaùc ñònh tính toaøn veïn cuûa thoâng ñieäp.

Maùy tính cuûa ngöôøi nhaän

Giao thöùc SET...


Maùy tính cuûa ngöôøi göûi

Giaûi maõKhoùa ñoàng

ñaúng

Thoâng ñieäp

ñöôïc maõ hoùa

Chöùng nhaän Cuûa Ngöôøi göûi

+

+

Thoâng ñieäp

So saùnh

Bao thö soá

Khoaù trao ñoåi rieâng cuûa ngöôøi göûi

Giaûi maõ

Thoâng ñieäp ñöôïc ñoïcChöõ kyù soáKhoaù chöõ kyù

coâng coäng cuûa ngöôøi göûi

Giaûi maõ

Thoâng ñieäp ñöôïc ñoïc

November 2002 Security Issues13Giao thöùc SET ñöôïc duøng trong TMÑT

Boä ñoïcIC Card Khaùch haøng X

Khaùch haøng Y

Vôùi Ví ñieän töûCô quan chöùng nhaän

Cöûa haøng ñieän töû

Ngöôøi baùn ANgöôøi baùn B

Loaïi credit card

Giao thöùcX.25

Coång thanh toaùn


SET so vôùi SSL

Secure Electronic Transaction (SET) Secure Socket Layer (SSL)

Phöùc taïp Ñôn giaûn

SET phuïc vuï nhu caàu nhaän thanh toaùn baèng credit card cuûa ngöôøi baùn.

SSL laø giao thöùc baûo maät toång quaùt cho caùc trao ñoåi thoâng ñieäp (maõ hoùa).Giao thöùc SET giaáu thoâng

tin veà Credit card cuûa khaùch haøng khoûi ngöôøi baùn, vaø cuõng giaáu thoâng tin ñoái vôùi ngaân haøng, ñeå baûo veä quyeàn rieâng tö cuûa khaùch haøng.

Giao thöùc SSL coù theå duøng chöùng nhaän, nhöng noù khoâng coù coång thanh toùan. Vì vaäy, ngöôøi baùn caàn nhaän caû thoâng tin ñaët haøng laãn thoâng tin veà theû tín duïng vaø qui trình naøy do ngöôøi baùn quyeát ñònh.

An Toan Trong Tt Ec

Education

Transcript of An Toan Trong Tt Ec