Các công cụ bảo đảm an toàn thông tin trong thương mại điện tử

Các công cụ bảo đảm an toàn thông tin trong thương mại điện tử Nội dung của tiểu luận Trình bày các công cụ đảm bảo an toàn thông tin trong thương mại điện tử bao gồm 3 chương: Tổng quan về Thương mại điện tử, Các công nghệ đảm bảo an toàn thông tin trong giao dịch thương mại điện tử, và Chương trình demo chữ ký số DSS.

1

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TIỂU LUẬN

MÔN HỌC: MẬT MÃ VÀ AN TOÀN DỮ LIỆU

Ngành: HỆ THỐNG THÔNG TIN

ĐỀ TÀI: TRÌNH BÀY CÁC CÔNG CỤ ĐẢM BẢO AN TOÀN THÔNG

TIN TRONG THƯƠNG MẠI ĐIỆN TỬ

Học viên: Phùng Thị Liên Khóa K20 - Hệ thống thông tin Giáo viên hướng dẫn: PGS.TS Trịnh Nhật Tiến

HÀ NỘI 05/2014

2

LỜI NÓI ĐẦU

Trong hai thập kỷ qua, Công nghệ thông tin và Thương mại điện tử đã xâm nhập vào mọi góc cạnh của đời sống xã hội nói chung và của doanh nghiệp nói riêng Đối với doanh nghiệp, Thương mại điện tử góp phần hình thành những mô hình kinh doanh mới, giảm chi phí, nâng cao hiệu quả kinh doanh Đối với người tiêu dùng, Thương mại điện

tử giúp mua sắm thuận tiện các hàng hóa và dịch vụ trên các thị trường ở mọi nơi trên thế giới

Theo thống kê của các tổ chức uy tín trên thế giới thì trong những năm gần đây, tội phạm tin học gia tăng cả về phạm vi và mức độ chuyên nghiệp Ban đầu là lấy cắp mật khẩu thẻ tín dụng để mua sách và phần mềm qua mạng, tiếp đến là làm thẻ tín dụng giả để lấy cắp tiền từ máy ATM, thiết lập các mạng máy tính giả để gửi thư rác, thư quảng cáo, hay tấn công từ chối dịch vụ, thậm chí ngang nhiên hơn nữa là đe dọa tấn công, tống tiền hay bảo kê các website thương mại điện tử Chính vì vậy vấn đề an toàn thông tin trong thương mại điện tử ngày càng trở nên cấp thiết trong thời đại internet hiện nay

Nội dung của tiểu luận "Trình bày các công cụ đảm bảo an toàn thông tin trong

thương mại điện tử" bao gồm 3 chương: Tổng quan về Thương mại điện tử, Các công

nghệ đảm bảo an toàn thông tin trong giao dịch thương mại điện tử, và Chương trình demo chữ ký số DSS

3

MỤC LỤC

LỜI NÓI ĐẦU 2

MỤC LỤC 3

CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 5

1.1 Các khái niệm chung về thương mại điện tử 5

1.1.1 Khái niệm về thương mại điện tử 5

1.1.2 Lịch sử hình thành thương mại điện tử 6

1.2. Các mốc thời gian của thương mại điện tử (theo vi.wikipedia.org): 7

1.3. Các ứng dụng kinh doanh và hình thức thương mại điện tử (theo vi.wikipedia.org) 8

1.4 Thương mại điện tử là khuynh hướng toàn cầu 9

CHƯƠNG 2: CÁC CÔNG CỤ AN TOÀN THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ 11

2.1.1 Khái niệm mã hóa dữ liệu 11

2.1.2 Phân loại hệ mã hóa 12

2.1.3 Ứng dụng 12

2.1.4 Một số hệ mã hóa 13

2.2 Hàm băm 13

2.2.1 Khái niệm Hàm băm 13

2.2.2 Đặc tính 13

2.2.3 Ứng dụng hàm băm 14

2.2.4 Phương pháp thực hiện hàm băm 16

2.3 Thủy ký 18

2.3.1 Vai trò của thủy vân số trong mật mã học 18

2.3.2 Định nghĩa hệ thủy vân số 19

2.3.3 Tiêu chí đánh giá tính hiệu quả của một phương pháp thủy vân số 21

2.3.4 Phân loại thủy vân số 22

2.4 Chữ ký số 24

2.4.1 Khái niệm 24

2.4.2 Chuẩn chữ ký số DSS (Digital Signature Standard) 26

CHƯƠNG 3: CHƯƠNG TRÌNH DEMO DSS 32

TÀI LIỆU THAM KHẢO 35

4

DANH MỤC CÁC TỪ VIẾT TẮTDanh mục từ viết tắt Tiếng Anh

Từ viết

tắt

EC Electronic Commerce Thương mại điện tử

EDI Electronic Data Interchange Trao đổi dữ liệu điện tử

EFT Electronic Funds Transfer Chuyển tiền điện tử

B2B Business To Business Thương mại điện tử giữa doanh nghiệp

và doanh nghiệp B2C Business To Consumer Thương mại điện tử giữa doanh nghiệp

và cá nhân B2G Business To Government Thương mại điện tử giữa doanh nghiệp

và chính phủ ERP Enterprise Resource Planning Hoạch định tài nguyên doanh nghiệp PKI Public Key Infastructure Hạ tầng khóa công khai

Danh mục từ viết tắt Tiếng Việt

5

CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ

1.1 Các khái niệm chung về thương mại điện tử

1.1.1 Khái niệm về thương mại điện tử

Có nhiều khái niệm về thương mại điện tử Theo Wikipedia.org định nghĩa thương mại điện tử như sau:

Thương mại điện tử, hay còn gọi là e-commerce, e-comm và EC, là sự mua bán sản phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng máy tính Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử (EDI- Electronic Data Interchange), các hệ thống quản lý hàng tồn kho, và các hệ thống tự động thu thập dữ liệu Thương mại điện tử hiện đại thường sử dụng mạng World Wide Web là một điểm ít nhất phải có trong chu trình giao dịch, mặc dù nó có thể bao gồm một phạm

vi lớn hơn về mặt công nghệ như email, các thiết bị di động cũng như điện thoại

Thương mại điện tử thông thường được xem ở các khía cạnh của kinh doanh điện tử (e-business) Nó cũng bao gồm việc trao đổi dữ liệu tạo điều kiện thuận lợi cho các nguồn tài chính và các khía cạnh thanh toán của việc giao dịch kinh doanh

E-commerce có thể được phân chia thành:

- E-tailing (bán lẻ trực tuyến) hoặc "cửa hàng ảo" trên trang web với các danh mục trực tuyến, đôi khi được gom thành các "trung tâm mua sắm ảo"

- Việc thu thập và sử dụng dữ liệu cá nhân thông qua các địa chỉ liên lạc web

- Trao đổi dữ liệu điện tử (EDI), trao đổi dữ liệu giữa Doanh nghiệp với Doanh nghiệp

- Email và fax và các sử dụng chúng như là phương tiện cho việc tiếp cận và thiếp lập mối quan hệ với khách hàng (ví dụ như bản tin - newsletters)

- Việc mua và bán giữa Doanh nghiệp với Doanh nghiệp

- Bảo mật các giao dịch kinh doanh

Một số khái niệm thương mại điện tử được định nghĩa bởi các tổ chức uy tín thế giới như sau:

Theo Tổ chức Thương mại thế giới (WTO), "Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng

Theo Ủy ban châu Âu: "Thương mại điện tử có thể định nghĩa chung là sự mua bán, trao đổi hàng hóa hay dịch vụ giữa các doanh nghiệp, gia đình, cá nhân, tổ chức tư nhân bằng các giao dịch điện tử thông qua mạng Internet hay các mạng máy tính trung gian (thông tin liên lạc trực tuyến) Thật ngữ bao gồm việc đặt hàng và dịch thông qua mạng máy tính, nhưng thanh toán và quá trình vận chuyển hàng hay dịch vụ cuối cùng có thể thực hiện trực tuyến hoặc bằng phương pháp thủ công"

Như vậy tóm lại, thương mại điện tử chỉ xảy ra trong môi trường kinh doanh mạng Internet và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các công

cụ, kỹ thuật và công nghệ điện tử

1.1.2 Lịch sử hình thành thương mại điện tử

Về nguồn gốc, thương mại điện tử được xem như là điều kiện thuận lợi của các giao dịch thương mại điện tử, sử dụng công nghệ như EDI và EFT (Electronic Funds Transfer – chuyển tiền điện tử) Cả hai công nghệ này đều được giới thiệu thập niên 70, cho phép các doanh nghiệp gửi các hợp đồng điện tử như đơn đặt hàng hay hóa đơn điện tử Sự phát triển và chấp nhận của thẻ tín dụng, máy rút tiền tự động (ATM) và ngân hàng điện thoại vào thập niên 80 cũng đã hình thành nên thương mại điện tử Một dạng thương mại điện tử khác là hệ thống đặt vé máy bay bởi Sabre ở Mỹ và Travicom ở Anh

Vào thập niên 90, thương mại điện tử bao gồm các hệ thống hoạch định tài nguyên doanh nghiệp (ERP - Enterprise Resource Planning), khai thác dữ liệu và kho dữ liệu Năm 1990, Tim Berners-Lee phát minh ra World Wide Web trình duyệt web và chuyển mạng thông tin liên lạc giáo dục thành mạng toàn cầu được gọi là Internet (www) Các công ty thương mại trên Internet bị cấm bởi NSF cho đến năm 1995 Mặc dù Internet trở nên phổ biến khắp thế giới vào khoảng năm 1994 với sự đề nghị của trình duyệt web Mosaic, nhưng phải mất tới 5 năm để giới thiệu các giao thức bảo mật (mã hóa SSL trên trình duyệt Netscape vào cuối năm 1994) và DSL cho phép kết nối Internet liên tục Vào cuối năm 2000, nhiều công ty kinh doanh ở Mỹ và Châu Âu đã thiết lập các dịch

vụ thông qua World Wide Web Từ đó con người bắt đầu có mối liên hệ với từ

7

"ecommerce" với quyền trao đổi các loại hàng hóa khác nhau thông qua Internet dùng các giao thức bảo mật và dịch vụ thanh toán điện tử

1.2 Các mốc thời gian của thương mại điện tử (theo vi.wikipedia.org):

Các mốc thời gian về sự phát triển của thương mại điện tử như sau:

1979: Michael Aldrich phát minh mua sắm trực tuyến

1982: Minitel được giới thiệu tại Pháp thông qua France Telecom và sử dụng để đặt hàng trực tuyến

1984: Gateshead SIS/Tescolà trang mua bán trực tuyến dạng B2C đầu tiên và bà Snowball, 72 tuổi, là khách hàng mua hàng trực tuyến đầu tiên

1984: Tháng 4 năm 1984, CompuServe ra mắt Trung tâm Mua sắm Điện tử ở Mỹ

và Canada, đây là dịch vụ thương mại điện tử đầu tiên toàn diện

1990: Tim Berners-Lee xây dựng trình duyệt đầu tiên, WorldWideWeb, sử máy máy NeXT

1992: Terry Brownell ra mắt hệ thống bảng Bulletin cửa hàng trực tuyến dùng RoboBOARD/FX

1994: Netscape tung trình duyệt Navigator vào tháng 10 với tên là Mozilla Pizza Hut đặt hàng trên trang web này Ngân hàng trực tuyến đầu tiên được mở Một số nỗ lực nhằm cung cấp giao hoa tươi và đăng ký tạp chí trực tuyến Các dụng cụ "người lớn" cũng có sẵn như xe hơi và xe đạp Netscape 1.0 được giới thiệu vào cuối năm 1994, giao thức mã hóa SSL làm cho các giao dịch bảo mật hơn

1995: Thứ năm, ngày 27 tháng 4 năm 1995, việc mua sách của ông Paul Stanfield, Giám đốc sản xuất của công ty CompuServe tại Anh, từ cửa hàng W H Smith trong trung tâm mua sắm CompuServe là dịch vụ mua hàng trực tuyến đầu tiên ở Anh mang tính bảo mật Dịch vu mua sắm trực tuyến bắt đầu từ WH Smith, Tesco, Virgin/Our Price, Great Universal Stores/GUS, Interflora, Dixons Retail, Past Times, PC World (retailer) và Innovations

1995: Jeff Bezos ra mắt Amazon.com và thương mại miễn phí 24h, đài phát thanh trên Internet, Radio HK và chương trình phát sóng ngôi sao NetRadio Dell và Cisco bắt đầu tích cực sử dụng Internet cho các giao dịch thương mại eBay được thành lập bởi máy tính lập trình viên Pierre Omidyar như là dạng AuctionWeb

1998: Tem điện tử được mua bán và tải trực tuyến từ Web

1998: Alibaba Group được hình thành ở Trung Quốc

8

1999: Business.com bán khoảng 7.5 triệu USD cho eCompanies, được mua vào năm 1997 với giá 149,000 USD Phần mềm chia sẻ tập tin ngang hàng Napster ra mắt ATG Stores ra mắt các sản phẩm trang trí tại nhà trực tuyến

2000: Bùng nổ dot-com

2001: Alibaba.com đạt lợi nhuận trong tháng 12 năm 2001

2002: eBay mua lại PayPal với 1.5 tỉ USD

2003: Amazon.com đăng tải bài viết lợi nhuận hàng năm

2004: DHgate.com, công ty B2C giao dịch trực tuyến đầu tiên ở Trung Quốc được thành lập, buộc các trang web khác B2B bỏ mô hình "trang vàng"

2005: Yuval Tal sáng lập giải pháp phân phối thanh toán trực tuyến bảo mật

2007: Business.com mua lại bởi R.H Donnelley với 345 triệu USD

2009: Zappos.com mua lại bởi Amazon.com với 928 triệu USD

2010: Groupon ra báo cáo từ chối một lời đề nghị mua lại trị giá 6 tỷ USD từ Google Thay vào đó, Groupon có kế hoạch đi trước với IPO vào giữa năm 2011

2011: Quidsi.com, công ty cha của Diapers.com, được mua lại bởi Amazon.com với

500 triệu USD tiền mặt cộng với 45 triệu nợ và các nghĩa vụ khác GSI Commerce, công

ty chuyên tạo ra, phát triển và thực thi trang web mua sắm trực tuyến cho dịch vụ gạch và vữa trong kinh doanh, được mua lại bởi eBay với 2.4 tỉ USD

2012: Thương mại điện tử và Doanh số bán lẻ trực tuyến của Mỹ dự kiến đạt 226 tỷ USD, tăng 12%so với năm 2011

1.3 Các ứng dụng kinh doanh và hình thức thương mại điện tử (theo

vi.wikipedia.org)

Các ứng dụng phổ biến liên quan đến thương mại điện tử:

- Tài liệu tự động hóa ở chuỗi cung ứng và hậu cần

- Hệ thống thanh toán trong nước và quốc tế

- Quản lý nội dung doanh nghiệp

- Nhóm mua

- Trợ lý tự động trực tuyến

- IM (Instant Messaging)

- Nhóm tin

Các hình thức thương mại điện tử:

Thương mại điện tử ngày nay liên quan đến tất cả mọi thứ từ đặt hàng nội dung "kỹ

thuật số" cho tiêu dùng trực tuyến tức thời, để đặt hàng và dịch vụ thông thường, các dịch

vụ "meta" đều tạo điều kiện thuận lợi cho các dạng khác của thương mại điện tử

Ở cấp độ tổ chức, các tập đoàn lớn và các tổ chức tài chính sử dụng Internet để trao đổi dữ liệu tài chính nhằm tạo điều kiện thuận lợi cho kinh doanh trong nước và quốc tế Tính toàn vẹn dữ liệu và tính an ninh là các vấn đề rất nóng gây bức xúc trong thương mại điện tử

Hiện nay có nhiều tranh cãi về các hình thức tham gia cũng như cách phân chia các hình thức này trong thương mại điện tử Nếu phân chia theo đối tượng tham gia thì có 3 đối tượng chính bao gồm: Chính phủ (G - Goverment), Doanh nghiệp (B - Business) và Khách hàng (C - Customer hay Consumer) Nếu kết hợp đôi một 3 đối tượng này sẽ có 9 hình thức theo đối tượng tham gia: B2C, B2B, B2G, G2B, G2G, G2C, C2G, C2B, C2C Trong đó, các dạng hình thức chính của thương mại điện tử bao gồm:

- Doanh nghiệp với Doanh nghiệp (B2B)

- Doanh nghiệp với Khách hàng (B2C)

- Doanh nghiệp với Chính phủ (B2G)

- Khách hàng với Khách hàng (C2C)

- Thương mại di động (mobile commerce hay viết tắt là m-commerce)

Mô hình kinh doanh trên toàn cầu tiếp tục thay đổi đáng kể với sự ra đời của thương mại điện tử Nhiều quốc gia trên thế giới cũng đã đóng góp vào sự phát triển của thương mại điện tử Ví dụ, nước Anh có chợ thương mại điện tử lớn nhất toàn cầu khi đo bằng chỉ số chi tiêu bình quân đầu người, con số này cao hơn cả Mỹ Kinh tế Internet ở Anh có

do đằng sau sự tăng trưởng kinh ngạc là cải thiện độ tin cậy của khách hàng Các công ty bán lẻ Trung Quốc đã giúp người tiêu dùng cảm thấy thoải mái hơn khi mua hàng trực tuyến

Thương mại điện tử cũng được mở rộng trên khắp Trung Đông Với sự ghi nhận là khu vực có tăng trưởng nhanh nhất thế giới trong việc sử dụng Internet từ năm 2000 đến năm 2009, hiện thời khu vực có hơn 60 triệu người sử dụng Internet Bán lẻ, du lịch và chơi game là các phần trong thương mại điện tử hàng đầu ở khu vực, mặc dù có các khó khăn như thiếu khuôn khổ pháp lý toàn khu vực và các vấn đề hậu cần trong giao thông vận tải qua biên giới

Thương mại điện tử đã trở thành một công cụ quan trọng cho thương mại quốc tế không chỉ bán sản phẩm mà còn quan hệ với khách hàng

11

CHƯƠNG 2: CÁC CÔNG CỤ AN TOÀN THÔNG TIN TRONG

THƯƠNG MẠI ĐIỆN TỬ

2.1.1 Khái niệm mã hóa dữ liệu

Để bảo đảm An toàn thông tin (ATTT) lưu trữ trong máy tính (giữ gìn

thông tin cố định) hay bảo đảm An toàn thông tin trên đường truyền tin (trên mạng

máy tính), người ta phải “Che Giấu” các thông tin này

“Che” thông tin (dữ liệu) hay “Mã hóa” thông tin là thay đổi hình dạng

thông tin gốc (Giấu đi ý nghĩa nghĩa TT gốc), và người khác “khó” nhận ra

“Giấu” thông tin (dữ liệu) là “cất giấu” thông tin trong bản tin khác, và

người khác cũng “khó” nhận ra (Giấu đi sự hiện diện TT gốc)

Trong chương này chúng ta bàn về “Mã hóa” thông tin

a Hệ mã hóa

Việc mã hoá phải theo quy tắc nhất định, quy tắc đó gọi là Hệ mã hóa

Hệ mã hóa được định nghĩa là bộ năm (P, C, K, E, D), trong đó:

P là tập hữu hạn các bản rõ có thể C là tập hữu hạn các bản mã có thể

K là tập hữu hạn các khoá có thể

E là tập các hàm lập mã D là tập các hàm giải mã

Với khóa lập mã ke  K, có hàm lập mã eke  E, eke: P C,

Với khóa giải mã kd  K, có hàm giải mã dkd  D, dkd: C P, sao cho dkd (e ke

(x)) = x,  x  P

Ở đây x được gọi là bản rõ, eke (x) được gọi là bản mã

b Mã hóa và Giải mã

Người gửi G   eke (T)   Người nhận N

(có khóa lập mã ke) (có khóa giải mã kd)



Tin tặc có thể trộm bản mã eke (T)

2.1.2 Phân loại hệ mã hóa

Có nhiều mã hoá tùy theo cách phân loại, sau đây xin giới thiệu một số cách

Cách 1: Phân loại mã hoá theo đối xứng của khoá

Hệ mã hóa khóa đối xứng (Mã hoá khoá riêng, bí mật)

Hệ mã hóa khóa phi đối xứng (Khóa công khai)

Hiện có 2 loại mã hóa chính: mã hóa khóa đối xứng và mã hóa khoá công khai

Hệ mã hóa khóa đối xứng có khóa lập mã và khóa giải mã “đối xứng nhau”, theo

nghĩa biết được khóa này thì “dễ” tính được khóa kia Vì vậy phải giữ bí mật cả 2 khóa

Hệ mã hóa khóa công khai có khóa lập mã khác khóa giải mã (ke  kd), biết

được khóa này cũng “khó” tính được khóa kia Vì vậy chỉ cần bí mật khóa giải mã, còn

công khai khóa lập mã

Cách 2: Phân loại mã hoá theo đặc trưng xử lý bản rõ

Mã hoá khối, Mã hoá dòng

Cách 3: Phân loại mã hoá theo ứng dụng đặc trưng

Mã hoá đồng cấu, Mã hóa xác suất, Mã hóa tất định

13

2.1.4 Một số hệ mã hóa

Thuật toán đối xứng hay là thuật toán mà tại đó khoá mã hoá có thể tính toán ra được từ khoá giải mã Trong rất nhiều trường hợp, khoá mã hoá và khoá giải mã là giống nhau Thuật toán này còn có nhiều tên gọi khác nhau thuật toán khoá bí mật, thuật toán khoá đơn giản, thuật toán một khoá Thuật toán này yêu cầu người gửi và người nhận phải thoả thuận một khoá trước khi thông báo được gửi đi, và khoá này phải được cất giữ bí mật Độ an toàn của thuật toán này phụ thuộc vào khoá, nếu để

lộ ra khoá này nghĩa là bất kì người nào cũng có thể mã hoá và giải mã thông báo trong hệ thống mã hoá Sự mã hoá và giải mã của thuật toán đối xứng biểu thị bởi:

EK (K) = C và DK (C ) = P

2.2.1 Khái niệm Hàm băm

Hàm băm là thuật toán không dùng khóa để mã hóa (ở đây dùng thuật ngữ

“băm” thay cho “mã hóa”), nó có nhiệm vụ “lọc” (băm) thông điệp (bản tin) và cho kết

quả là một giá trị “băm” có kích thước cố định, còn gọi là “đại diện thông điệp” hay “đại diện bản tin”

Hàm băm là hàm một chiều, theo nghĩa giá trị của hàm băm là duy nhất, và từ

giá trị băm này, “khó thể” suy ngược lại được nội dung hay độ dài ban đầu của thông

điệp gốc

2.2.2 Đặc tính

Hàm băm h là hàm một chiều (One-way Hash) với các đặc tính sau:

1) Với thông điệp đầu vào (bản tin gốc) x, chỉ thu được giá trị duy nhất z = h(x) 2) Nếu dữ liệu trong bản tin x bị thay đổi hay bị xóa để thành bản tin x’, thì giá trị băm h(x’)  h(x)

14

Cho dù chỉ là một sự thay đổi nhỏ, ví dụ chỉ thay đổi 1 bit dữ liệu của bản tin gốc

x, thì giá trị băm h(x) của nó cũng vẫn thay đổi Điều này có nghĩa là: hai thông điệp

khác nhau, thì giá trị băm của chúng cũng khác nhau

3) Nội dung của bản tin gốc “khó” thể suy ra từ giá trị hàm băm của nó Nghĩa là:

với thông điệp x thì “dễ” tính được z = h(x), nhưng lại “khó” tính ngược lại được x nếu chỉ biết giá trị băm h(x) (Kể cả khi biết hàm băm h)

2.2.3 Ứng dụng hàm băm

1) Với bản tin dài x, thì chữ ký trên x cũng sẽ dài, như vậy tốn bộ nhớ lưu trữ chữ

ký hay tốn thời gian truyền chữ ký

Người ta dùng hàm băm h để tạo đại diện bản tin z = h(x), nó có độ dài ngắn (VD

128 bit) Sau đó ký trên z, như vậy chữ ký trên z sẽ nhỏ hơn rất nhiều so với chữ ký trên bản tin gốc x

2) Hàm băm dùng để xác định tính toàn vẹn dữ liệu

3) Hàm băm dùng để bảo mật một số dữ liệu đặc biệt, ví dụ bảo vệ mật khẩu, bảo

vệ khóa mật mã, …

- Xác thực mật khẩu: Mật khẩu không được lưu dạng văn bản rõ (clear text) mà ở dạng tóm tắt, tức là người dùng nhập mật khẩu vào, mật khẩu đó được băm ra, sau

đó so sánh với kết quả băm ở trong dữ liệu lưu trữ

- Xác thực thông điệp: Khi giá trị đầu vào thay đổi thì tương ứng giá trị băm cũng thay đổi, từ đó xác định được thông điệp đã bị sửa đổi hay chưa

- Bảo vệ tính toàn vẹn của thông tin gửi trên mạng: Dựa vào tính chất một chiều của hàm băm, khi gửi một gói tin trên mạng, người ta so sánh kết quả băm của gói tin trước khi gửi với kết quả băm của gói tin khi nhận được Nếu kết quả trùng nhau thì gói tin không thay đổi

- Tạo chữ ký điện tử: Chữ ký số được tạo ra bằng cách mã hóa bản tóm tắt (kết quả băm) của thông điệp bằng khóa bí mật của người ký

15

16

Xác thực chữ ký số:

2.2.4 Phương pháp thực hiện hàm băm

a Thuật toán SHA-1

Thuật toán SHA-1 do Cục An ninh Trung ương Hoa Kỳ (NSA) xây dựng dựa trên thuật toán MD4 Thuật toán SHA-1 tạo ra chuỗi mã băm có chiều dài cố định 160 bit từ chuỗi bit dữ liệu đầu vào tùy ý với độ dài tối đa 264 bits

Giải thuật gồm 5 bước trên khối 512 bits

- Bước 1: Nhồi dữ liệu

Thông điệp được nhồi thêm các bit sao cho độ dài L mod 512 luôn đồng dư là 448

Số bit nhồi thêm phải nằm trong khoảng (1,512)

Phần thêm vào cuối dữ liệu gồm 1 bit 1 và theo sau là các bit 0

- Bước 2: Thêm độ dài

Độ dài khối dữ liệu ban đầu sẽ được biểu diễn dưới dạng nhị phân 64 bit và được thêm cuối chuỗi nhị phân mà ta thu được ở bước 1

Độ dài được biểu diễn dưới dạng nhị phân 64 bit không dấu

Kết quả thu được từ 2 bước là một khối dữ liệu có độ dài là bội số của 512

- Bước 3: Khởi tạo bộ nhớ đệm MD

Một bộ đệm 160 bits được dùng để lưu trữ các giá trị băm trung gian và kết quả Bộ đệm được biểu diễn bằng 5 thanh ghi 32 bit với các giá trị khởi tạo ở dạng big-endian (byte có trọng số lớn nhất trong từ, nằm ở địa chỉ thấp nhất) và có 2 bộ đệm

- Bước 4: Xử lý các khối dữ liệu 512 bit

Thuật toán gồm 4 vòng lặp, tất cả 80 bước Các vòng lặp có cấu trúc như nhau, chỉ khác nhau ở hàm logic Ft

(NOT B) AND D)