Ứng dụng chữ ký điện tử trong internet banking

2 MỞ ĐẦU Với mô hình giao dịch hiện tại, nếu khách hàng của ngân hàng muốn cập nhật các thông tin về tài khoản, chuyển tiền cho người thân, thanh toán mua hàng qua mạng, thanh toán vé má

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÙI MẠNH HƯNG

ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG INTERNET BANKING

CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG

MÁY TÍNH

MÃ SỐ: 60.48.15 8

Người hướng dẫn khoa học: TS PHẠM THẾ QUẾ TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2010

2

MỞ ĐẦU Với mô hình giao dịch hiện tại, nếu khách hàng của ngân hàng muốn cập nhật các thông tin về tài khoản, chuyển tiền cho người thân, thanh toán mua hàng qua mạng, thanh toán vé máy bay, gửi tiết kiệm,… thì khách hàng phải tới trực tiếp ngân hàng gây ra sự bất tiện về thời gian và chi phí đi lại Chính vì vậy khách hàng có nhu cầu thực hiện được tất cả các giao dịch trên

ở bất cứ nơi đâu, bất cứ khi nào thông qua mạng Internet Tuy nhiên, nguy cơ bị ăn cắp thông tin qua mạng thông qua các thủ đoạn tinh vi cũng ngày càng gia tăng Các giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP là giao tiếp cho phép gửi từ máy tính này tới máy tính khác thông qua hàng loạt các mạng và thiết bị trung gian tạo cơ hội cho các kẻ đánh cắp thông tin công nghệ cao có thể thực hiện các hành động phi pháp như nghe trộm, giả mạo, đánh cắp thông tin

Do vậy cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch Internet banking Chữ ký điện tử đã và đang là một công cụ chứng thực hiệu quả nhất cho giao dịch qua Internet Với chữ ký điện tử, người dùng có thể yên tâm thực hiện các giao dịch vì chữ ký điện tử giúp đảm bảo xác thực danh tính người gửi, mã hóa thông tin một cách hiệu quả, chống giả mạo, là bằng chứng giúp chống chối cãi nguồn gốc lệnh mà mình đã thực hiện giao dịch

Hơn nữa, không chỉ vì số tiền rất rẻ phải trả cho dịch vụ

mà còn vì tiết kiệm thời gian đi lại và hoàn tất các thủ tục giấy

tờ Internet banking đã mở ra cho chúng ta một hệ thống thanh

3 toán rộng khắp toàn thế giới, tiến tới một thế giới thanh toán không dùng tiền mặt, nhanh gọn, an toàn và chính xác

4

MỤC LỤC

MỞ ĐẦU

Chương 1 – TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ 3

1.1 Phương pháp mã hóa dữ liệu 3

1.1.1 Khái niệm mã hóa thông tin 3

1.1.2 Mã hóa khóa bí mật 3

1.1.3 Mã hóa khóa công khai 4

1.1.4 Hàm băm 4

1.2 Tổng quan về chữ ký điện tử 5

1.2.1 Khái niệm chữ ký điện tử 5

1.2.2 Cơ sở hạ tầng khóa công khai (PKI) 5

1.2.3 Các thành phần của cơ sở hạ tầng khóa công khai 5

1.3 Các bước tạo chữ ký điện tử 6

1.4 Các bước kiểm tra chữ ký điện tử 6

Chương 2 – HẠN CHẾ TRONG DỊCH VỤ NGÂN HÀNG VÀ GIẢI PHÁP INTERNET BANKING 7

2.1 Giới thiệu ngân hàng thương mại 7

2.2 Chức năng của ngân hàng thương mại 7

2.3 Dịch vụ ngân hàng thương mại và các hạn chế trong thủ tục thực hiện 8

2.4 Phát triển dịch vụ Internet banking để nâng cao hiệu quả hoạt động 9

Chương 3 – ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG INTERNET BANKING 11

3.1 Các rủi ro khi sử dụng Internet banking 11

3.2 Ứng dụng chữ ký điện tử để hạn chế rủi ro trong giao dịch Internet banking 11

3.3 Triển khai chữ ký điện tử trong Internet banking 12

3.3.1 Mô hình triển khai chữ ký điện tử trong Internet banking 12

3.3.2 Các chức năng trong dịch vụ Internet banking 13

3.4 Đánh giá hiệu quả và lợi ích sau khi triển khai 52

3.5 Một số kiến nghị để giảm thiểu rủi ro khi sử dụng Internet banking 55 KẾT LUẬN

TÀI LIỆU THAM KHẢO

5

Chương 1

TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ

1.1 PHƯƠNG PHÁP MÃ HÓA DỮ LIỆU

1.1.1 Khái niệm mã hóa thông tin

Mã hóa sử dụng thuật toán và khóa để biến đổi dữ liệu từ bản rõ sang bản mã Chỉ có những ai có thông tin giải mã thì mới giải mã được và đọc được dữ liệu Thuật toán mã hóa đề cập tới nghành khoa học nghiên cứu về mã hoá và giải mã thông tin Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mã (cipher text) và ngược lại

Hình 1.1 Hệ thống mã hóa thông tin

Hệ thống mã hoá phải đảm bảo các tính chất sau: Tính bí mật, tính xác thực, tính toàn vẹn, tính không thể chối bỏ

1.1.2 Mã hóa khóa bí mật

Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography) sử dụng chung một khóa để mã hóa và giải mã

dữ liệu Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai

6

bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã

Các thuật toán loại này có ưu điểm là tốc độ mã hóa và giải mã rất nhanh nhưng bộc lộ hạn chế khi mã khóa bí mật phải được chia sẻ giữa bên gửi với bên nhận Vì vậy phương pháp mã hóa khóa bí mật chỉ nên dùng cho mục đích mã hóa dữ liệu của cá nhân hay tổ chức đơn lẻ

1.1.3 Mã hóa khóa công khai

Phương pháp mã hóa khóa công khai (public key cryptography) đã giải quyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóa khóa công khai (public key) và khóa bí mật (private key) Public key được gửi công khai trên mạng, trong khi đó private key được giữ kín Public key và private key có vai trò trái ngược nhau, một khóa dùng để

mã hóa và khóa kia sẽ dùng để giải mã Các thuật toán loại này cho phép trao đổi khóa một cách dễ dàng và tiện lợi Tuy nhiên, tốc độ mã hóa chậm nên thường chỉ được sử dụng mã hóa dữ liệu nhỏ

1.1.4 Hàm băm

Hàm băm là giải thuật nhằm sinh ra các giá trị băm tương ứng với mỗi khối dữ liệu Mục đích của một hàm băm là tạo ra một "dấu vân tay" của một tập tin, thông điệp, hoặc dữ liệu Hàm băm có thể được ứng dụng để tạo chữ kí điện tử, chống và phát hiện xâm nhập hay dùng để bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng

7

1.2 TỔNG QUAN VỀ CHỮ KÝ ĐIỆN TỬ

1.2.1 Khái niệm chữ ký điện tử

Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu,

âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký

1.2.2 Cơ sở hạ tầng khóa công khai (PKI)

Một PKI (public key infrastructure) cho phép người sử dụng của một mạng công cộng không bảo mật, chẳng hạn như Internet, có thể trao đổi dữ liệu và tiền một cách an toàn Nền tảng khoá công khai cung cấp một chứng chỉ số, dùng để xác minh một cá nhân hoặc tổ chức, và các dịch vụ danh mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số Mặc dù các thành phần cơ bản của PKI đã phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng khác biệt Một tiêu chuẩn chung về PKI trên Internet cũng đang trong quá trình xây dựng

1.2.3 Các thành phần của cơ sở hạ tầng khóa công khai

Cơ sở hạ tầng khóa công khai đề cập tới việc tạo, cung cấp, phân phối, kiểm soát, quản lý khóa công khai và cung cấp những hỗ trợ cần thiết để hỗ trợ cho việc cung cấp ứng dụng bảo mật, xác thực giao dịch mạng cũng như tính toàn vẹn và chống chối bỏ nguồn gốc Một cơ sở hạ tầng khoá công khai bao gồm: Cơ quan cung cấp chứng thực số (CA), cơ quan quản

8

lý đăng ký (RA), cơ quan quản lý đăng ký địa phương (LRA), kho lưu trữ chứng chỉ (CD), danh sách thu hồi chứng chỉ (CRL)

1.3 CÁC BƯỚC TẠO CHỮ KÝ ĐIỆN TỬ

Bước 1: Dùng giải thuật băm (MD5 hoặc SHA) để băm

thông điệp cần truyền đi Kết quả ta được một tiêu hóa tin (message digest)

Bước 2: Sử dụng khóa bí mật (private key) của người gửi

để mã hóa tiêu hóa tin thu được ở bước 1 Thông thường ở bước này ta dùng giải thuật RSA Kết quả thu được gọi là chữ ký điện tử của thông điệp ban đầu

Bước 3: Gộp chữ ký điện tử vào thông điệp ban đầu Công

việc này gọi là “ký nhận” vào thông điệp Sau khi đã ký nhận vào thông điệp, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng thông điệp này xuất phát từ người gửi chứ

không phải là ai khác

1.4 CÁC BƯỚC KIỂM TRA CHỮ KÝ ĐIỆN TỬ

Bước 1: Dùng mã hóa khóa công khai của người gửi (khóa

này được thông báo đến mọi người) để giải mã chữ ký của văn bản được mã

Bước 2: Dùng giải thuật băm (MD5 hoặc SHA) băm thông

điệp đính kèm

Bước 3: So sánh kết quả thu được ở bước 1 và 2 Nếu trùng

nhau, ta kết luận thông điệp này không bị thay đổi trong quá

trình truyền và thông điệp này là của người gửi

9

Chương 2

HẠN CHẾ TRONG DỊCH VỤ NGÂN HÀNG THƯƠNG MẠI VÀ GIẢI PHÁP INTERNET

BANKING

2.1 GIỚI THIỆU NGÂN HÀNG THƯƠNG MẠI

Ngân hàng thương mại là loại hình ngân hàng xuất hiện đầu tiên và phổ biến nhất hiện nay Đây là tổ chức nhận tiền gửi, đóng vài trò là trung gian tài chính huy động tiền nhàn rỗi thông qua các dịch vụ nhận tiền gửi rồi cung cấp cho những chủ thể cần vốn chủ yếu dưới hình thức các khoản vay trực tiếp Tính đến nay, hệ thống ngân hàng nước ta có 6 ngân hàng thương mại nhà nước, 39 ngân hàng thương mại cổ phần, 40 chi nhánh ngân hàng nước ngoài, 5 ngân hàng liên doanh, 5 ngân hàng 100% vốn nước ngoài, 17 công ty tài chính và 13 công ty cho thuê tài chính, 926 tổ chức tín dụng nhân dân và 53 văn phòng đại diện của các ngân hàng nước ngoài Hệ thống ngân hàng đã huy động và cung cấp một lượng vốn khá lớn cho nền kinh tế, ước tính hàng năm chiếm khoảng 16-18% GDP, gần 50% vốn đầu tư toàn xã hội

2.2 CHỨC NĂNG CỦA NGÂN HÀNG THƯƠNG MẠI

Chức năng trung gian tín dụng: Chức năng trung gian

tín dụng được xem là chức năng quan trọng nhất của ngân hàng thương mại Khi thực hiện chức năng trung gian tín dụng, ngân hàng thương mại đóng vai trò là cầu nối giữa người thừa vốn và người có nhu cầu về vốn

10

Chức năng tạo tiền: Chức năng tạo tiền không giới hạn

trong hành động in thêm tiền và phát hành tiền mới của Ngân hàng Nhà nước Bản thân các ngân hàng thương mại trong quá trình thực hiện các chức năng của mình vẫn có khả năng tạo ra tiền tín dụng (hay tiền ghi sổ) thể hiện trên tài khoản tiền gửi thanh toán của khách hàng tại ngân hàng thương mại

Chức năng trung gian thanh toán: Ở đây ngân hàng

thương mại đóng vai trò là thủ quỹ cho các doanh nghiệp và cá nhân, thực hiện các thanh toán theo yêu cầu của khách hàng như trích tiền từ tài khoản tiền gửi của họ để thanh toán tiền hàng hóa, dịch vụ hoặc nhập vào tài khoản tiền gửi của khách hàng tiền thu bán hàng và các khác thu khác theo lệnh của họ

2.3 DỊCH VỤ NGÂN HÀNG THƯƠNG MẠI VÀ CÁC HẠN CHẾ TRONG THỦ TỤC THỰC HIỆN

Dịch vụ chuyển tiền: Ngân hàng cung cấp dịch vụ chuyển

tiền chia thành hai loại: Chuyển tiền trong cùng hệ thống ngân hàng và chuyển tiền liên ngân hàng Thủ tục thực hiện dịch vụ

này có một số hạn chế như: Khách hàng phải đến quầy giao

dịch, mất thời gian điền thông tin vào form giấy đề nghị chuyển tiền, ký xác nhận, nhân viên ngân hàng thực hiện chuyển tiền cho khách hàng

Dịch vụ thẻ: Khách hàng có thể tương tác với ngân hàng

thông qua các máy ATM, hiện tại các ngân hàng đã liên kết hệ thống thẻ với nhau nên khách hàng có thể rút tiền tại máy ATM của ngân hàng phát hành hoặc tại ATM của ngân hàng khác cùng liên minh thẻ Thủ tục thực hiện dịch vụ này có một số

11

hạn chế như: Khách hàng phải tới các cây ATM trong khi địa

điểm có máy ATM không thể phổ biến như Internet, tại các cây ATM vắng người có thể bị cướp sau khi rút tiền, kẻ gian có thể đặt camera tại một số cây ATM để đánh cắp mật khẩu của khách hàng

Dịch vụ gửi tiết kiệm: Cho vay được coi là hoạt động

sinh lời cao, do đó các ngân hàng đã tìm kiếm mọi cách để huy động nguồn vốn cho vay Một trong những nguồn vốn quan trọng là các khoản tiền gửi tiết kiệm gửi tiết kiệm của khách hàng Khác hàng có thể gửi tiết kiện tại ngân hàng trong khoảng thời gian nhiều tuần, nhiều tháng, nhiều năm, đôi khi được hưởng mức lãi suất tương đối cao Thủ tục thực hiện dịch vụ này có một số hạn chế như: Khách hàng phải đến quầy giao dịch, nhân viên ngân hàng nhập thông tin vào hệ thống ngân hàng nhưng nhân viên phải thực hiện cho nhiều khách hàng trong một thời điểm có thể gây ra sai sót, khách hàng chờ đợi in

sổ, đóng dấu

2.4 PHÁT TRIỂN DỊCH VỤ INTERNET BANKING ĐỂ NÂNG CAO HIỆU QUẢ HOẠT ĐỘNG TRONG CÁC NGÂN HÀNG THƯƠNG MẠI

Để khắc phục các hạn chế trong thủ tục thực hiện theo phương pháp truyền thống, sự ra đời và phát triển của dịch vụ ngân hàng điện tử là một xu hướng tất yếu phù hợp với nhu cầu

và sự phát triển của xã hội Ngân hàng điện tử chính là kênh phân phối hiệu quả các sản phẩm dịch vụ của ngân hàng, mang ngân hàng đến nhà, văn phòng, trường học, đến bất kỳ nơi đâu

12

và bất cứ lúc nào Dịch vụ ngân hàng điện tử bao gồm: Internet banking, SMS banking, Phone banking, Mobile banking Trong các dịch vụ của ngân hàng điện tử nổi bật và tiện dụng nhất chính là dịch vụ Internet banking Với đặc điểm là dễ

sử dụng và tiết kiệm thời gian cho cuộc sống bận rộn, lượng khách hàng tiềm năng sử dụng Internet banking đang ngày càng tăng và là đích ngắm của nhiều ngân hàng thương mại Hiện đại hoá dịch vụ ngân hàng, đi trước và ứng dụng nhiều công nghệ mới, cung ứng những dịch vụ trực tuyến mà tiêu biểu là Internet banking chính là chìa khoá thành công cho các ngân hàng thương mại Việt Nam trong tương lai

Trong tương lai, với trình độ và tốc độ hiện đại hoá công nghệ ngân hàng như hiện nay, các ngân hàng Việt Nam đang nỗ lực ứng dụng công nghệ mới, phát triển dịch vụ mới để tăng sức cạnh tranh, nhanh chóng hoà nhập với khu vực và thế giới Từ những trang web giới thiệu dịch vụ ngân hàng, tới website cung cấp dịch vụ ngân hàng, các ngân hàng Việt Nam đang hướng tới việc cung cấp những dịch vụ ở cấp độ cao hơn, tăng sự chia sẻ thông tin giữa các ngân hàng, đối tác và tiến tới xây dựng mô hình ngân hàng điện tử thực sự , tận dụng được sức mạnh thực

sự của mạng toàn cầu và cá nhân hoá dịch vụ ngân hàng cho từng đối tượng khách hàng

13

Chương 3

ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ TRONG DỊCH

VỤ INTERNET BANKING

3.1 CÁC RỦI RO KHI SỬ DỤNG INTERNET BANKING

Một trong những vấn đề quan tâm hàng đầu của tất cả mọi người tham gia thế giới Internet đó là tính an toàn và tính xác thực của thông tin Sở dĩ là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác mà đi qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể đi tới được đích

Chính vì điểm này, giao thức TCP/IP đã tạo cơ hội cho

“bên thứ ba” có thể thực hiện các hành động gây ra rủi ro trong giao dịch, gồm: Nghe trộm, giả mạo, chối cãi nguồn gốc và mạo danh

3.2 ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ ĐỂ HẠN CHẾ RỦI

RO TRONG GIAO DỊCH INTERNET BANKING

Ứng dụng chữ ký điện tử trong Internet banking giúp giải quyết tốt hơn các giải pháp xác thực và bảo mật Chữ ký điện tử giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối

bỏ trách nhiệm trên nội dung đã ký, qua đó hạn chế rủi ro và giúp cho các tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet

Khả năng ứng dụng của chữ ký điện tử rất lớn, do có tác dụng tương tự như chữ ký tay, nhưng dùng cho môi trường điện