Security
-
Upload
anusorn-kraiwatnussorn -
Category
Education
-
view
1.316 -
download
3
description
Transcript of Security
2
จุ�ดประสำงค�ของระบบการร�กษาความปลอดภั�ย เพื่��อรั�กษาความลั�บของข�อม�ลั (Confidentiality)
หมายถึ�ง การัปกป�องข�อม�ลัไม�ให�ถึ�กเป�ดเผยต่�อบ"คคลัที่$�ไม�ได�รั�บอนุ"ญาต่อย�างถึ�กต่�อง แลัะถึ�าม$การัขโมยข�อม�ลัไปแลั�วก*ไม�สามารัถึอ�านุหรั�อที่,าความเข�าใจได�
เพื่��อป�องก�นุการัปลัอมแปลังข�อม�ลั (Integrity) ค�อ การัรั�กษาความถึ�กต่�องของข�อม�ลัแลัะป�องก�นุไม�ให�ม$การัเปลั$�ยนุแปลังแก�ไขข�อม�ลัโดยม.ได�รั�บอนุ"ญาต่ซึ่��งการัที่$�จะสามารัถึที่,าเช่�นุนุ$1ได� ต่�องม$รัะบบควบค"มว�าผ��ใดจะสามารัถึเข�าถึ�งข�อม�ลัได�แลัะเข�าถึ�งแลั�วที่,าอะไรัได�บ�าง
3
จุ�ดประสำงค�ของระบบการร�กษาความปลอดภั�ย(ต่"อ)
เพื่��อที่,าให�รัะบบนุ�1นุสามารัถึที่$�จะที่,างานุได�ต่ามปกต่.แลัะเต่*มปรัะส.ที่ธิ.ภาพื่ (Availability) รัะบบจะต่�องสามารัถึที่,างานุได�อย�างด$ต่ามจ"ดม"�งหมายในุการัใช่�แลัะม$ข$ดความสามารัถึปฏิ.บ�ต่.งานุได�ในุปรั.มาณต่ามที่$�ต่�องการัได�ภายในุเวลัาที่$�ก,าหนุดด�วย
รัะบบการัรั�กษาความปลัอดภ�ยที่$�ม$ข$ดความสามารัถึส�งอาจที่,าให�ข$ดความสามารัถึแลัะความสะดวกในุการัที่,างานุของรัะบบที่�1งในุด�านุ
ปรั.มาณงานุแลัะปรัะส.ที่ธิ.ภาพื่ลัดลัง ด�งนุ�1นุ ต่�องพื่.จารัณาว�ารัะด�บความ
ปลัอดภ�ยใดจ�งจะเหมาะสมก�บความสะดวก ปรั.มาณงานุ แลัะปรัะส.ที่ธิ.ภาพื่ของงานุที่$�
ต่�องการั
4
ภั�ยค�กคามท#$ม#ต่"อระบบต่"าง ๆ ภ�ยต่�อรัะบบฮารั7ดแวรั7
ภ�ยต่�อรัะบบการัจ�ายไฟฟ�าแก�คอมพื่.วเต่อรั7 ภ�ยที่$�เก.ดจากการัที่,าลัายที่างกายภาพื่ ภ�ยจากการัลั�กขโมยโดยต่รัง
ภ�ยที่$�ม$ต่�อรัะบบซึ่อฟต่7แวรั7 การัลับซึ่อฟต่7แวรั7 การัขโมยซึ่อฟต่7แวรั7 การัเปลั$�ยนุแปลังแก�ไขซึ่อฟต่7แวรั7
ภ�ยที่$�ม$ต่�อรัะบบข�อม�ลั ได�แก� การัที่$�ข�อม�ลัอาจถึ�กเป�ดเผยโดยม.ได�รั�บอนุ"ญาต่หรั�อ
เปลั$�ยนุแปลังแก�ไขเพื่��อผลัปรัะโยช่นุ7บางอย�าง
5
ผู้'(เจุาะระบบร�กษาความปลอดภั�ยผู้'(เจุาะระบบร�กษาความปลอดภั�ย ค�อบ"คคลัที่$�ไม�ม$ส.ที่ธิ.9ในุการัเข�าใช่�รัะบบคอมพื่.วเต่อรั7 ลั�กลัอบที่,าการัเจาะรัะบบด�วยว.ธิ$ใดว.ธิ$หนุ��ง แบ�งเป:นุ 2 ปรัะเภที่หลั�ก ๆ ได�แก� Hacker
ม$ว�ต่ถึ"ปรัะสงค7เพื่��อที่ดสอบข$ดความสามารัถึของรัะบบ Cracker
ม$ว�ต่ถึ"ปรัะสงค7เพื่��อบ"กรั"กรัะบบเพื่��อขโมยข�อม�ลัหรั�อที่,าลัายข�อม�ลัผ��อ��นุโดยผ.ดกฎหมาย
6
ภั�ยค�กคามพาณิ�ชย�อ�เล�กทรอนิ�กสำ� การัเข�าส��เครั�อข�ายที่$�ไม�ได�รั�บอนุ"ญาต่ การัที่,าลัายข�อม�ลัแลัะเครั�อข�าย การัเปลั$�ยนุ การัเพื่.�ม หรั�อการัด�ดแปลังข�อม�ลั การัเป�ดเผยข�อม�ลัแก�ผ��ที่$�ไม�ได�รั�บอนุ"ญาต่ การัที่,าให�รัะบบบรั.การัของเครั�อข�ายหย"ดช่ะง�ก การัขโมยข�อม�ลั การัปฏิ.เสธิการับรั.การัที่$�ได�รั�บ แลัะข�อม�ลัที่$�ได�รั�บหรั�อส�ง การัอ�างว�าได�ให�บรั.การัที่�1งๆ ที่$�ไม�ได�ที่,า แลัะหรั�อการัอ�างว�าได�รั�บ
ส�ง ไวรั�สที่$�แอบแฝงมาก�บผ��ที่$�เข�ามาใช่�บรั.การั
7
การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce
รั�กษาความปลัอดภ�ยให�ก�บเครั�อข�ายองค7กรั ม$ 2 ว.ธิ$ ได�แก� ควบค"มการัเข�าถึ�งที่างกายภาพื่ (Physical Access Control) ควบค"มการัเข�าถึ�งที่างต่รัรักะ (Logical Access Control)
ต่รัวจสอบการัเข�าถึ�งเครั�อข�ายโดยไม�ได�รั�บอนุ"ญาต่ (Detecting Unauthorized Access)
ป�องก�นุภ�ยค"กคามจากไวรั�ส การัใช่�นุโยบายในุการัควบค"ม (Policies) การัป�องก�นุภ�ยค"กคามในุเครั�อข�ายไรั�สาย (Wireless
Security)
8
ควบค�มการเข(าถึ,งทางกายภัาพ (Physical Access Control)
การัลั*อกห�องคอมพื่.วเต่อรั7อย�างแนุ�นุหนุาเม��อไม�ม$การัใช่�งานุแลั�ว การัใช่�ยามเฝ�าหรั�อต่.ดโที่รัที่�ศนุ7วงจรัป�ด การัใช่� Back-Up Disk ส,าหรั�บการัที่,าข�อม�ลัส,ารัองอย�าง
สม,�าเสมอแลัะไม�เก*บไว�ในุที่$�เด$ยวก�นุก�บรัะบบคอมพื่.วเต่อรั7นุ�1นุ ๆ ต่.ดต่�1งรัะบบด�บเพื่ลั.ง Biometrics
การัพื่.ส�จนุ7บ"คคลัด�วยลัายนุ.1วม�อ การัพื่.ส�จนุ7บ"คคลัด�วยเรัต่.นุา การัพื่.ส�จนุ7บ"คคลัด�วยลัายเซึ่*นุ การัพื่.ส�จนุ7บ"คคลัด�วยอ"ณหภ�ม. การัพื่.ส�จนุ7บ"คคลัด�วยเส$ยง
9
ควบค�มการเข(าถึ,งทางต่รรกะ (Logical Access Control)
User profiles นุ.ยมใช่�ก�นุมากที่$�ส"ด ข�อม�ลัผ��ใช่�ปรัะกอบด�วย ช่��อผ��ใช่� รัห�สผ�านุ ส.ที่ธิ.การัใช่�งานุ
การัควบค"มความปลัอดภ�ยโดยรัะบบปฏิ.บ�ต่.การั Firewall เป:นุการัต่.ดต่�1งโปรัแกรัมคอมพื่.วเต่อรั7บนุ
คอมพื่.วเต่อรั7หรั�อเครั��องเรัาที่7เต่อรั7ที่$�ม$หนุ�าที่$�จ�ดการั ควบค"มการัเช่��อมต่�อจากภายนุอกส��ภายในุองค7กรั แลัะจากภายในุองค7กรัส��ภายนุอกองค7กรั
10
การใช(นิโยบายในิการควบค�ม (Policies)
หนุ�วยงานุต่�องก,าหนุดให�แนุ�นุอนุว�า ผ��ใช่�ใดสามารัถึเข�าถึ�งข�อม�ลัส�วนุใดได�บ�าง ใครัม$ส.ที่ธิ.ที่$�จะเปลั$�ยนุแปลังแก�ไขข�อม�ลั รัวมถึ�งต่�องก,าหนุดแผนุป�องก�นุแลัะก��ภ�ยที่$�อาจเก.ดข�1นุได�
ด�วย
11
การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce (ต่"อ)
รั�กษาความปลัอดภ�ยให�ก�บข�อม�ลัที่$�ส�งผ�านุเครั�อข�าย การัรั�กษาความลั�บของข�อม�ลั (Confidentiality)
ใช่�เที่คนุ.คการั Encryption การัรั�กษาความถึ�กต่�องของข�อม�ลั (Integrity)
ใช่�เที่คนุ.คที่$�เรั$ยกว�า Hashing การัรัะบ"ต่�วบ"คคลั (Authentication)
Digital Signature Password เครั��องม�อต่รัวจว�ดที่างกายภาพื่
12
การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce (ต่"อ)
รั�กษาความปลัอดภ�ยให�ก�บข�อม�ลัที่$�ส�งผ�านุเครั�อข�าย (ต่�อ) การัป�องก�นุการัปฏิ.เสธิ หรั�ออ�างความรั�บผ.ดช่อบ(Non-
Repudiation) Digital Signature การับ�นุที่�กเวลัา การัรั�บรัองการัให�บรั.การั
การัรัะบ"อ,านุาจหนุ�าที่$� (Authorization) Password Firewall เครั��องม�อต่รัวจว�ดที่างกายภาพื่
13
การระบ�ต่�วบ�คคล Authentication
แลัะกรัะบวนุการัก,าหนุดลั�กษณะส�วนุบ"คคลัของผ��ใช่�ที่��วไป แจ�งช่��อผ��ใช่� แลัะรัห�สผ�านุ เม��อผ��ใช่�ต่�องการัเข�ารัะบบ ให�รัะบ"ช่��อผ��ใช่� แลัะรัห�สผ�านุ ถึ�าข�อม�ลัต่รังก�บแฟ�มของ Server ก*จะได�รั�บอนุ"ญาต่.เข�าถึ�ง
เว*บเพื่จต่�อไปได� เปรั$ยบเหม�อนุการัแสดงต่�วด�วยบ�ต่รัปรัะจ,าต่�วซึ่��งม$รั�ปต่.ดอย��
ด�วย หรั�อ การัลั?อคซึ่��งผ��ที่$�จะเป�ดได�จะต่�องม$ก"ญแจเที่�านุ�1นุ หรั�อ บ�ต่รัเข�าออกอาคารั, เจ�าหนุ�าที่$�รั �กษาความปลัอดภ�ย
14
การระบ�อ�านิาจุหนิ(าท#$ (Authorization)
อ,านุาจในุการัจ�ายเง.นุ การัอนุ"ม�ต่.วงเง.นุที่$�จะเรั$ยกเก*บจากธินุาคารัที่$�ออกบ�ต่รั
เครัด.ต่ ต่รัวจสอบวงเง.นุในุบ�ญช่$ว�าม$เพื่$ยงพื่อไหม
15
การร�กษาความล�บของข(อม'ล (Confidentiality)
การัรั�กษาความลั�บของข�อม�ลัที่$�เก*บไว� หรั�อส�งผ�านุที่างเครั�อข�าย
เช่�นุการัเข�ารัห�ส, การัใช่�บารั7โค?ด, การัใส�รัห�สลั�บ(password), Firewall
ป�องก�นุไม�ให�ผ��อ��นุที่$�ไม�ม$ส.ที่ธิ.9ลั�กลัอบด�ได� เปรั$ยบเหม�อนุการัป�ดผนุ�กซึ่องจดหมาย หรั�อ การัใช่�ซึ่องจดหมายที่$�ที่�บแสง หรั�อ การัเข$ยนุหม�กที่$�มองไม�เห*นุ
16
การร�กษาความถึ'กต่(องของข(อม'ล (Integrity)
การัป�องก�นุไม�ให�ข�อม�ลัถึ�กแก�ไข เปรั$ยบเหม�อนุก�บการัเข$ยนุด�วยหม�กซึ่��งถึ�าถึ�กลับแลั�ว
จะก�อให�เก.ดรัอยลับ หรั�อ การัใช่�โฮโลัแกรัมก,าก�บบนุบ�ต่รัเครัด.ต่ หรั�อ ลัายนุ,1าบนุธินุบ�ต่รั
17
การป/องก�นิการปฏิ�เสำธ หร2ออ(างความร�บผู้�ดชอบ(Non-repudiation)
การัป�องก�นุการัปฏิ.เสธิว�าไม�ได�ม$การัส�ง หรั�อรั�บข�อม�ลัจากฝ@ายต่�าง ๆ ที่$�เก$�ยวข�อง
การัป�องก�นุการัอ�างที่$�เป:นุเที่*จว�าได�รั�บ หรั�อส�งข�อม�ลั เช่�นุในุการัขายส.นุค�า เรัาต่�องม$การัแจ�งให�ลั�กค�าที่รัาบ
ถึ�งขอบเขต่ของการัรั�บผ.ดช่อบที่$�ม$ต่�อส.นุค�า หรั�อรัะหว�างการัซึ่�1อขาย โดยรัะบ"ไว�บนุ web
หรั�อการัส�งจดหมายลังที่ะเบ$ยนุ
18
สำ�ทธ�สำ"วนิบ�คคล (Privacy)
การัรั�กษาส.ที่ธิ.ส�วนุต่�วของข�อม�ลัส�วนุต่�ว เพื่��อปกป�องข�อม�ลัจากการัลัอบด�โดยผ��ที่$�ไม�ม$ส.ที่ธิ.9ในุ
การัใช่�ข�อม�ลั ข�อม�ลัที่$�ส�งมาถึ�กด�ดแปลังโดยผ��อ��นุก�อนุถึ�งเรัาหรั�อไม�
19
ภั�ยค�กคามด(านิความปลอดภั�ยของเคร2อข"าย Denial of service ส�งผลัให�เครั��องคอมพื่.วเต่อรั7หรั�อรัะบบ
หย"ดที่,างานุโดยไม�ที่รัาบสาเหต่" อาจม$ด�วยก�นุหลัายว.ธิ$ เช่�นุ Spamming or E-mail Bombing Viruses , Worms, Trojan Horses
Unauthorized Access เป:นุภ�ยค"กคามด�วยการัเข�าไปย�งเครั�อข�ายโดยไม�ได�รั�บอนุ"ญาต่ ซึ่��งอาจม$จ"ดปรัะสงค7ในุการัโจรักรัรัมข�อม�ลั
Theft and Fraud ค�อ การัโจรักรัรัมแลัะการัปลัอมแปลังข�อม�ลั
20
Spam Mail
Mail Bomb
A lot of Mail
21
การัค"กคาม
I LOVE YOU, Mellissa, MyDoom
22
การค�กคาม-การบ�กร�กว�ธ#การ
การัเข�ามาที่,าลัายเปลั$�ยนุแปลังหรั�อขโมยข�อม�ลั
ปลัอมต่�วเข�ามาใช่�รัะบบแลัะที่,ารัายการัปลัอม
การัเข�าถึ�งรัะบบเครั�อข�ายของผ��ไม�ม$ส.ที่ธิ.9
แก(ป3ญหาโดยการัเข�ารัห�สข�อม�ลั
ลัายเซึ่*นุด.จ.ต่อลั
Firewall
23
การรห�สำ (Cryptography)
การัที่,าให�ข�อม�ลัที่$�จะส�งผ�านุไปที่างเครั�อข�ายอย��ในุรั�ปแบบที่$�ไม�สามารัถึอ�านุออกได� ด�วยการัเข�ารัห�ส (Encryption)
ที่,าให�ข�อม�ลันุ�1นุเป:นุความลั�บ ผ��ม$ส.ที่ธิ.9จรั.งเที่�านุ�1นุจะสามารัถึอ�านุข�อม�ลันุ�1นุได�ด�วยการั
ถึอดรัห�ส (Decryption) ใช่�สมการัที่างคณ.ต่ศาสต่รั7 ใช่�ก"ญแจซึ่��งอย��ในุรั�ปของพื่ารัาม.เต่อรั7ที่$�ก,าหนุดไว� (ม$ความ
ยาวเป:นุบ.ต่ โดยย.�งก"ญแจม$ความยาวมาก ย.�งปลัอดภ�ยมากเพื่รัาะต่�องใช่�เวลัานุานุในุการัคาดเดาก"ญแจของผ��ค"กคาม)
24
การเข(ารห�สำ (Encryption)
ปรัะกอบด�วยฝ@ายผ��รั �บ แลัะฝ@ายผ��ส�ง ต่กลังกฎเกณฑ์7เด$ยวก�นุ ในุการัเปลั$�ยนุข�อความ
ต่�นุฉบ�บให�เป:นุข�อความอ�านุไม�รั� �เรั��อง (cipher text) ใช่�สมการั หรั�อส�ต่รัที่างคณ.ต่ศาสต่รั7ที่$�ซึ่�บซึ่�อนุ
กฎการัเพื่.�มค�า 13 แฮช่ฟCงก7ช่�นุ (Hash function)
25
สำ"วนิประกอบของการเข(ารห�สำ1. ข�5นิต่อนิการเข(ารห�สำ ใช่�ฟCงก7ช่��นุการัค,านุวณที่างคณ.ต่ศาสต่รั72. ค#ย�ท#$ใช(ในิการเข(ารห�สำ หร2อ ถึอดรห�สำ ใช่�ช่"ดต่�วเลัข หรั�อ อ�กขรัะที่$�
นุ,ามาเข�ารัห�ส ม$หนุ�วยเป:นุบ.ต่ (8 บ.ต่ = 1 ไบต่7 = 1 อ�กขรัะ) เช่�นุ 00000001 = 1
00000010 = 2
ส�ต่รั 2n ; n ค�อ จ,านุวนุบ.ต่ ( อย�างต่,�า 8 บ.ต่) 28 = 256 ค$ย7 ( 256 ช่"ดข�อม�ลั) 2128 = ??? (เป:นุค$ย7ของโปรัโต่คอลั SET ที่$�ใช่�อย��ในุปCจจ"บ�นุ)
26
ระยะเวลาใช(ในิการถึอดรห�สำ ความยาว 40 บ.ต่ 8 ปD ความยาว 128 บ.ต่ ลั�านุลั�านุ ปD
*****
จ,านุวนุบ.ต่มากเที่�าไหรั� ความปลัอดภ�ยของข�อม�ลัย.�งมากข�1นุ เนุ��องจากผ��บ"กรั"กต่�องใช่�เวลัาเดามากย��งข�1นุ
27
ต่�วอย"างโปรแกรมการเข(ารห�สำ โดยใช(กฎ 13
การัเข�ารัห�สจะที่,าโดยการัเปลั$�ยนุต่�วอ�กษรั จากต่,าแหนุ�งเด.มเป:นุต่�วอ�กษรัต่,าแหนุ�งที่$� 13 ของช่"ดต่�วอ�กษรันุ�1นุ เช่�นุ
เช่�นุ เข�ารัห�ส I LOVE YOU ----> V YBIR LBH HARRY POTTER ---> UNEEL CBGGRE
A B C D E F G H I G K L M N O P Q R S T U V W X Y Z
N O P Q R S T U V W X Y Z A B C D E F G H I G K L M
28
ทดสำอบ BURAPHA UNIVERSITY = ? SAKAEO = ?
29
การเข(ารห�สำ (Encryption)
ม$ด�วยก�นุ 2 ลั�กษณะ ค�อ การเข(ารห�สำแบบสำมมาต่ร (Symmetric Encryption)
ว.ธิ$นุ$1ที่� 1งผ��รั �บแลัะผ��ส�งข�อความจะที่รัาบค$ย7ที่$�เหม�อนุก�นุที่�1งสองฝ@ายในุการัรั�บหรั�อส�งข�อความ
การเข(ารห�สำแบบไม"สำมมาต่ร (Asymmetric Encryption) ใช่�แนุวค.ดของการัม$ค$ย7เป:นุค�� ๆ ที่$�สามารัถึเข�าแลัะถึอดรัห�สของก�นุ
แลัะก�นุเที่�านุ�1นุได� โดยค$ย7แรักจะม$อย��ที่$�เฉพื่าะเจ�าของค$ย7 เรั$ยกว�าPrivate key แลัะค��ของค$ย7ด�งกลั�าวที่$�ส�งให�ผ��อ��นุใช่� เรั$ยกว�า Public key
30
การเข(ารห�สำแบบสำมมาต่ร (Symmetric encryption)
ข(อด# ม$ความรัวดเรั*วเพื่รัาะใช่�การัค,านุวณที่$�นุ�อยกว�า สามารัถึสรั�างได�ง�ายโดยใช่�ฮารั7ดแวรั7
ข(อเสำ#ย ไม�สามารัถึต่รัวจสอบว�าเป:นุผ��ส�งข�อความจรั.ง ถึ�าม$ผ��ปลัอมต่�ว
เข�ามาส�งข�อความ ไม�ม$หลั�กฐานุที่$�จะพื่.ส�จนุ7ได�ว�าผ��ส�งหรั�อผ��รั �บกรัะที่,ารัายการัจรั.ง การับรั.หารัการัจ�ดการัก"ญแจที่,าได�ยากเพื่รัาะก"ญแจในุการัเข�า
รัห�ส แลัะถึอดรัห�ส เหม�อนุก�นุ
31
ข�อความเด.มก�อนุการัเข�ารัห�ส
ข(อความท#$เข(ารห�สำแล(ว
ข�อความเด.มหลั�งถึอดรัห�ส
ข(อความท#$เข(ารห�สำแล(ว
เข�ารัห�สลั�บ
ถึอดรัห�สด�วยค$ย7ลั�บเด.ม
Internet
การเข(ารห�สำแบบสำมมาต่ร (Symmetric encryption) (ต่"อ)
32
การเข(ารห�สำแบบอสำมมาต่ร (Asymmetric encryption)
Private Key ก"ญแจส�วนุต่�ว ใช่�ในุการัถึอดรัห�ส
Public Key ก"ญแจส��ธิารัณะ ใช่�ในุการัเข�ารัห�ส
33
ข�อความเด.มก�อนุการัเข�ารัห�ส
ข(อความท#$เข(ารห�สำแล(ว
(Cipher text)
ข�อความเด.มหลั�งการัถึอดรัห�ส
ข(อความท#$เข(ารห�สำแล(ว(Cipher text)
เข(ารห�สำล�บPublic Key
ถึอดรห�สำด(วยค#ย�Private Key
Internet
การเข(ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)
34
การเข(ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)
ข(อด# การับรั.หารัการัจ�ดการัก"ญแจที่,าได�ง�ายกว�า เพื่รัาะก"ญแจในุ
การัเข�ารัห�ส แลัะถึอดรัห�ส ต่�างก�นุ สามารัถึรัะบ"ผ��ใช่�โดยการัใช่�รั�วมก�บลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7
ข(อเสำ#ย ใช่�เวลัาในุการัเข�า แลัะถึอดรัห�สค�อนุข�างนุานุ เพื่รัาะต่�องใช่�
การัค,านุวณอย�างมาก
35
บนุ web จะใช่�ก"ญแจสาธิารัณะ แลัะก"ญแจส�วนุต่�ว บรัาวเซึ่อรั7ใช่�ก"ญแจสาธิารัณะเพื่��อเข�ารัห�สรัายการั
ข�อม�ลับนุเครั��องคอมพื่.วเต่อรั7ลั�กค�า เว*บเซึ่.รั7ฟเวอรั7เที่�านุ�1นุม$ก"ญแจส�วนุต่�ว
การเข(ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)
36
เทคโนิโลย#ท#$สำ�าค�ญสำ�าหร�บการร�กษาความปลอดภั�ยบนิระบบ e-commerce
ลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7 (Electronic Signature) ลัายม�อช่��อด.จ.ต่อลั (Digital Signature)
ใบรั�บรัองด.จ.ต่อลั (Digital Certificate) องค7กรัรั�บรัองความถึ�กต่�อง(Certification
Authority ; CA)
37
ลายม2อช2$ออ�เล�กทรอนิ�กสำ� (Electronic Signature)
ลายม2อช2$อลายม2อช2$ออ�เล�กทรอนิ�กสำ�
ลายม2อช2$อด�จุ�ต่อล
38
ลายม2อช2$ออ�เล�กทรอนิ�กสำ� (Electronic Signature) (ต่"อ)
หมายถึ,ง อ�กขรัะ ต่�วเลัข เส$ยง หรั�อส�ญลั�กษณ7อ��นุใด ที่$�สรั�างข�1นุโดยว.ธิ$ที่างอ.เลั*กที่รัอนุ.กส7
ว�ธ#การ นุ,ามาปรัะกอบก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7 เพื่��อแสดงความส�มพื่�นุธิ7 รัะหว�างบ"คคลัก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7
ว�ต่ถึ�ประสำงค� เพื่��อรัะบ"ต่�วบ"คคลัผ��เป:นุเจ�าของ (Authentication) เพื่��อแสดงว�าบ"คคลัยอมรั�บแลัะผ�กพื่�นุก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7
หรั�อเพื่��อป�องก�นุการัปฏิ.เสธิความรั�บผ.ช่อบ (Non-Repudiation)
39
USA
ลายม2อช2$ออ�เล�กทรอนิ�กสำ�
Thaiต่.ดต่�อ
ที่,าส�ญญ
า
ป3ญหา ?•ค��ส�ญญาไม�เคยเห*นุหนุ�าก�นุมาก�อนุ• ไม�แนุ�ใจว�าใช่�นุาย Tom หรั�อไม�• ใครัจะเป:นุผ��รั �บผ.ด หากผ.ดส�ญญา
Tom
ลั,าใย
ม��นุใจเพื่รัาะย�นุย�นุได�ว�าผ��ที่$ต่.ดต่�อค�อ
ใครั
ต่รัวจสอบได�ว�าส�ญญาม$การัเปลั$�ยนุแปลัง
ม$ผ��รั �บผ.ดต่ามส�ญญา
40
ต่�วอย"างลายม2อช2$ออ�เล�กทรอนิ�กสำ� รัห�สปรัะจ,าต่�ว (ID) , รัห�สลั�บ (Password) Biometrics ลัายม�อช่��อด.จ.ที่�ลั (Digital Signature)
ใช่�รัะบบรัห�สแบบอสมมาต่รั (private key & public key) E-Mail Address
41
รห�สำล�บ (Password)
ป�ด-เป�ด mailbox เก*บรั�กษาก"ญแจส�วนุต่�ว
ข(อจุ�าก�ด ไม�สามารัถึนุ,าไปใช่�แนุบที่�ายข�อม�ลัอ.เลั*กที่รัอนุ.กส7 ไม�สามารัถึนุ,าไปลังในุหนุ�งส�อ ควรัปกป�ดไว�เป:นุความลั�บ
42
Biometrics
ลั�กษณะที่างช่$วภาพื่ ลัายพื่.มพื่7นุ.1วม�อ เส$ยง ม�านุต่า ใบห� กลั"�มต่�วเลัขซึ่��งนุ,าไปใช่�ในุการัรัะบ"ต่�วบ"คคลั
43
จุดหมายอ�เล�กทรอนิ�กสำ� (E-mail)
To : [email protected]
from : [email protected]
message : ขอซึ่�1อรัถึยนุต่7ที่$�ค"ณปรัะกาศ ขายรัาคา 50,000 บาที่
จากลั,าใย
ลายม2อช2$ออ�เล�กทรอนิ�กสำ�
44
ลายม2อช2$อด�จุ�ต่อล (Digital Signature)
ข�อม�ลัอ.เลั*กที่รัอนุ.กส7ที่$�ได�จากการัเข�ารัห�สข�อม�ลัด�วยก"ญแจส�วนุต่�ว (Private key) ของผ��ส�ง เปรั$ยบเสม�อนุลัายม�อช่��อของผ��ส�ง ถึอดรัห�สด�วยก"ญแจสาธิารัณะของผ��ส�ง (Public key) เพื่��อรัะบ"ต่�วบ"คคลั
กลัไกการัป�องก�นุการัปฏิ.เสธิความรั�บผ.ดช่อบ ป�องก�นุข�อม�ลัไม�ให�ถึ�กแก�ไข สามารัถึที่$�จะที่รัาบได� หากถึ�กแก�ไข
45
…จุ�านิวนิเง�นิ800 บาท...
ฟั3งก�ช�$นิย"อยข(อม'ล
ไไ”ไไ
การเข(ารห�สำ
ก�ญแจุสำ"วนิต่�ว ของผู้'(สำ"ง (นิายด#)123451457824784
… ลายม2อช2$อ อ�เล�กทรอนิ�กสำ�ของ
นิายด#สำ�าหร�บข(อม'ล
ผู้'(สำ"ง (นิายด#)ข(อความ
ต่(นิฉบ�บ ก.
…จุ�านิวนิเง�นิ800
บาท
ฟั3งก�ช�$นิย"อยข(อม'ล
ไไ”ไไ ไไ”ไไ
เปร#ยบเท#ยบ
การถึอดรห�สำ
256148934147256.
..
ก�ญแจุสำาธารณิะ
ของผู้'(สำ"ง(นิายด#)
ถึ(าเหม2อนิก�นิข(อม'ลไม"ถึ'กเปล#$ยนิแปล
ง
ถึ(าต่"างก�นิข(อม'ลถึ'ก
เปล#$ยนิแปลง
ข(อม'ล ต่(นิฉบ�บ ก.
ลายม2อช2$ออ�เล�กทรอนิ�กสำ�
ของนิายด#สำ�าหร�บข(อม'ล
ผู้'(ร�บ (นิายมาก)
ส�ง
46
ข�5นิต่อนิการสำร(างและลงลายม2อช2$อด�จุ�ต่อล1. นุ,าเอาข�อม�ลัอ.เลั*กที่รัอนุ.กส7ที่$�เป:นุต่�นุฉบ�บมาผ�านุกรัะบวนุการัที่าง
คณ.ต่ศาสต่รั7ที่$�เรั$ยกว�า Hash Function จะได�ข�อม�ลัที่$�ย�อยแลั�ว (Digest)
2. เข�ารัห�สด�วยก"ญแจส�วนุต่�ว (Private key) ของผ��ส�งเอง เปรั$ยบเสม�อนุการัลังลัายม�อช่��อของผ��ส�ง จะได� ลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7
3. ส�งลัายม�อช่��ออ.เลั*กที่รัอกนุ.กส7ไปพื่รั�อมก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7ต่�นุฉบ�บไปย�งผ��รั �บ
4. ผ��รั �บที่,าการัต่รัวจสอบว�าข�อม�ลัที่$�ได�รั�บถึ�กแก�ไขรัะหว�างที่างหรั�อไม� โดยใช่�ว.ธิ$ Digest
5. นุ,ารัายม�อช่��อมาถึอดรัห�สด�วยก"ญแจสาธิารัณะของผ��ส�ง จะได�ข�อม�ลัที่$�ย�อยแลั�วอ$กอ�นุหนุ��ง
6. เปรั$ยบเที่$ยบข�อม�ลัที่$�ย�อยแลั�วที่�1งสอง เหม�อนุก�นุแสดงว�าข�อม�ลัไม�ได�ถึ�กแก�ไข ต่�างก�นุแสดงว�าข�อม�ลัถึ�กเปลั$�ยนุแปลังรัะหว�างที่าง
47
ข(อสำ�งเกต่�การสำร(างและลงลายม2อช2$อด�จุ�ต่อล ลัายม�อช่��อด.จ.ที่�ลัจะแต่กต่�างก�นุไปต่ามข�อม�ลัต่�นุฉบ�บ
แลัะบ"คคลัที่$�จะลังลัายม�อช่��อ ไม�เหม�อนุก�บลัายม�อช่��อที่��วไปที่$�จะต่�องเหม�อนุก�นุส,าหรั�บบ"คคลันุ�1นุๆ ไม�ข�1นุอย��ก�บเอกสารั
กรัะบวนุการัที่$�ใช่�จะม$ลั�กษณะคลั�ายคลั�งก�บการัเข�ารัห�สแบบอสมมาต่รั แต่�การัเข�ารัห�สจะใช่� ก"ญแจส�วนุต่�วของผ��ส�ง แลัะ การัถึอดรัห�สจะใช่� ก"ญแจสาธิารัณะของผ��ส�ง ซึ่��งสลั�บก�นุก�บ การัเข�าแลัะถึอดรัห�สแบบก"ญแจอสมมาต่รั ในุการัรั�กษาข�อม�ลัให�เป:นุความลั�บ
48
ป3ญหาการสำร(างและลงลายม2อช2$อด�จุ�ต่อล ถึ�งแม�จะสามารัถึสรั�างแลัะต่รัวจสอบลัายม�อช่��อได� แต่�
จะม��นุใจได�อย�างไรัในุเม��อก"ญแจค��สรั�างข�1นุโดยอย��ในุความรั� �เห*นุของผ��ใช่�ลัายม�อช่��อด.จ.ต่�ลัเที่�านุ�1นุ
ใครัจะเป:นุผ��ด�แลัการัจ�ดการัก�บก"ญแจสาธิารัณะซึ่��งม$เป:นุจ,านุวนุมาก
49
ที่างแก�ปCญหาการัย�นุย�นุต่�วบ"คคลั
กลัไกที่างเที่คโนุโลัย$
เช่��อม��นุ บ"คคลัที่$� 3
ที่,าหนุ�าที่$�ต่รัวจสอบปรัะว�ต่.
ส�วนุต่�วของผ��สรั�างลัายม�อช่��อ
50
ใบร�บรองด�จุ�ต่อล Digital Certificate
ออกแบบโดยองค7กรักลัางที่$�เป:นุที่$�เช่��อถึ�อ เรั$ยกว�า องค7กรัรั�บรัองความถึ�กต่�อง (Certification Authority)
เลัขปรัะจ,าต่�วด.จ.ต่�ลัที่$�รั�บรัองความเป:นุเจ�าของ web site เม��อเรั.�มการัเช่��อมต่�อที่$�ม$รัะบบรั�กษาความปลัอดภ�ยก�บ web
site เบรัาว7เซึ่อรั7ที่$�ใช่�จะเรั$ยกส,าเนุาของใบรั�บรัองด.จ.ต่�ลัจาก web
server ม$ก"ญแจสาธิารัณะเพื่��อเข�ารัห�สข�อม�ลัที่$�ส�งผ�านุไซึ่ต่7นุ�1นุ ให�ความม��นุใจว�าต่.ดต่�อก�บ web site นุ�1นุจรั.ง ป�องก�นุการัขโมยข�อม�ลัลั�กค�าจากไซึ่ต่7อ��นุ (spoofing) ย�นุย�นุในุการัที่,าธิ"รักรัรัมว�าเป:นุบ"คคลัจรั.ง
51
ประเภัทของใบร�บรองด�จุ�ต่อล ปรัะเภที่ของใบรั�บรัองด.จ.ต่อลั โดยที่��วไป แบ�ง ได� ด�งนุ$1
1. ใบร�บรองสำ�าหร�บบ�คคล เหมาะส,าหรั�บบ"คคลัที่��วไปที่$�ต่�องการัส��อสารัอ.นุเที่อรั7เนุ*ต่ปลัอดภ�ย
2. ใบร�บรองสำ�าหร�บเคร2$องแม"ข"าย เหมาะส,าหรั�บหนุ�วยงานุที่$�ต่�องการัสรั�างความเช่��อม��นุในุการัเผยแพื่รั�ข�อม�ลัแก�บ"คคลั ที่��วไป หรั�อการัที่,าธิ"รักรัรัม E-Commerce
52
ใบร�บรองอ�เล�กทรอนิ�กสำ� (Electronic Certificate)
รัายลัะเอ$ยดของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7 ปรัะกอบด�วย ข�อม�ลัรัะบ"ที่$�ได�รั�บการัรั�บรัอง ได�แก� ช่��อ องค7กรั ที่$�อย�� ข�อม�ลัรัะบ"ผ��ออกใบรั�บรัอง ได�แก� ลัายม�อช่��อด.จ.ที่�ลัขององค7กรั
ที่$�ออกใบรั�บรัอง แลัะหมายเลัขปรัะจ,าต่�วของผ��ออกใบรั�บรัอง ก"ญแจสาธิารัณะของผ��ที่$�ได�รั�บการัรั�บรัอง ว�นุหมดอาย"ของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7 รัะด�บช่�1นุของใบรั�บรัองด.จ.ที่�ลั ซึ่��งม$ 4 รัะด�บ ในุรัะด�บ4 เป:นุ
รัะด�บที่$�ม$การัต่รัวจสอบเข�มงวดที่$�ส"ด แลัะต่�องการัข�อม�ลัมากที่$�ส"ด
หมายเลัขปรัะจ,าต่�วของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7
53
ใบร�บรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)
ต่�วอย"าง
คล�:กร'ปก�ญแจุ เพ2$อด' ใบร�บ
รองอ�เล�อทรอนิ�กสำ�
https เป;นิการแสำดงว"าม#ระบบเข(า
รห�สำร�กษาความปลอดภั�ย
54
ใบร�บรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)
ต่�วอย"าง
55
SSL ระบบการเข(ารห�สำเพ2$อร�กษาความปลอดภั�ยของข(อม'ลบนิเคร2อข"ายอ�นิเทอร�เนิ�ต่ พื่�ฒนุาจากรั�ปแบบ PKI โดย Netscape เรั$ยกว�า
Secure Socket Layer (SSL) ผ��ซึ่�1อสามารัถึต่รัวจสอบต่�วต่นุของผ��ขายก�อนุได�จาก
ใบรั�บรัองอ.เลั*กที่รัอนุ.กส7ที่$�ผ��ขายขอจาก CA แต่�ส�วนุใหญ�ผ��ขายไม�สามารัถึต่รัวจสอบต่�วต่นุของผ��ซึ่�1อได�เพื่รัาะผ��ซึ่�1อไม�ม$ใบรั�บรัองอ.เลั*กที่รัอนุ.กส7
ม$การัเข�ารัห�สข�อม�ลัที่$�ผ��ซึ่�1อส�งให�ก�บผ��ขายผ�านุเครั�อข�ายอ.นุเที่อรั7เนุ*ต่ ด�งนุ�1นุจ�งม$เฉพื่าะผ��ขายที่$�อ�านุข�อความนุ�1นุได�
56
ต่�วอย"างหนิ(าจุอท#$แสำดงว"าผู้'(ใช(งานิก�าล�งใช(ระบบ SSL อย ��
จุะแสำดงข(อความ SSL
Secured (128 Bits)
https เป;นิการแสำดงว"าม#ระบบเข(า
รห�สำร�กษาความปลอดภั�ย
57
ต่�วอย"างหนิ(าจุอท#$แสำดงว"าต่�วต่นิของผู้'(ขาย
58
ผู้'(ให(บร�การออกใบร�บรอง (Certification Authority : CA)
หนุ�าที่$�หลั�ก ค�อการัรั�บรัอง(ความถึ�กต่�อง)ต่�วบ"คคลัหรั�อองค7กรัเพื่��อใช่�ในุโลักอ.เลั*กที่รัอนุ.กส7
ผ��ให�บรั.การัออกใบรั�บรัอง ต่�องม$รัะบบรั�กษาความปลัอดภ�ยของข�อม�ลัในุรัะด�บส�ง
ผ��ให�บรั.การัออกใบรั�บรัอง ม$ที่�1งในุแลัะต่�างปรัะเที่ศ ซึ่��งแต่�ลัะองค7กรัจะม$การัมาต่รัาฐานุการัต่รัวจสอบแต่กต่�างก�นุไป
ผ��ให�บรั.การัออกใบรั�บรัอง ที่$�ม$ช่��อเส$ยงรัะด�บโลักม$หลัายบรั.ษ�ที่ เช่�นุ Verisign , Entrust , Globalsign เป:นุต่�นุ
59
บทบาทของผู้'(ให(บร�การออกใบร�บรอง (Certification Authority : CA) (ต่"อ)
1. การัให�บรั.การัเที่คโนุโลัย$การัเข�ารัห�ส- การัสรั�างก"ญแจสาธิารัณะ (Public Key) ก"ญแจส�วนุต่�ว (Private Key) แก�ผ��ขอใช่�บรั.การั (ลังที่ะเบ$ยนุ)
- การัส�งมอบก"ญแจที่$�ได�สรั�างให�- การัสรั�างแลัะการัรั�บรัองลัายม�อช่��อด.จ.ที่�ลั
2. การัให�บรั.การัเก$�ยวก�บการัออกใบรั�บรัอง3. บรั.การัเสรั.มอ��นุๆ เช่�นุ การัต่รัวจสอบส�ญญาต่�างๆ การั
ก��ก"ญแจ เป:นุต่�นุ
60
การัขอใบรั�บรัองจาก CA
ผ��ขอใช่�บรั.การั
ช่��อ ที่$�อย�� e-mail ส,าเนุา บ�ต่รัปรัะช่าช่นุ ส,าเนุา ที่ะเบ$ยนุบ�านุ ฯลัฯ
ผ��ปรัะกอบการั
ย2$นิค�าขอ
ออกใบร�บรอง
61
หลั�งต่รัวจสอบปรัะว�ต่.
กลัไกที่างเที่คโนุโลัย$
เก*บไว�เป:นุความลั�บ
CA
เก*บไว�บนุเครั�อข�าย
ก�ญแจุค'"
ก"ญแจสาธิารัณะ
ก"ญแจส�วนุต่�ว
ผู้'(ขอใช(
62
เทคโนิโลย#และมาต่รการร�กษาความปลอดภั�ยของข(อม'ล
มาต่รฐานิ/เทคโนิโลย#
การร�กษาความล�บ
การระบ�ต่�ว
บ�คคล
การร�กษาความถึ'ก
ต่(อง
การป/องก�นิการปฏิ�เสำธความร�บผู้�ด
ชอบการัรัห�ส หลั�ก รัองลัายม�อช่��อ
ด.จ.ต่อลั รัอง 1 รัอง 2 หลั�ก
ใบรั�บรัองด.จ.ต่อลั แลัะองค7กรัรั�บรัองความถึ�กต่�อง
หลั�ก