Nghiên cứu một số bài toán về an toàn thông tin trong thỏa thuận và ký kết hợp đồng của thương mại điện tử

Vấn đề đặt ra là trong môi trường mạng một lượng tin hay dữ liệu khi được gửi từ người gửi đến người nhận thường phải qua nhiều nút, nhiều trạm không ai đảm bảo rằng thông tin đến người

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

PHẠM THỊ THANH THỦY

NGHIÊN CỨU MỘT SỐ BÀI TOÁN VỀ

AN TOÀN THÔNG TIN TRONG THỎA THUẬN VÀ

KÝ KẾT HỢP ĐỒNG CỦA THƯƠNG MẠI ĐIỆN TỬ

Chuyên ngành: Hệ thống thông tin

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS TRỊNH NHẬT TIẾN

Học viên thực hiện Giáo viên hướng dẫn Chủ tịch hội đồng

Hà Nội – 2016

LỜI CẢM ƠN

Trong khoảng thời gian nghiên cứu và học tập tại trường Đại học Công Nghệ

- Đại học Quốc Gia Hà Nội, bản thân tôi đã được sự động viên và giúp đỡ rất lớn của gia đình, thầy cô và bạn bè, đặc biệt là Thầy PGS TS Trịnh Nhật Tiến - Thầy

là người trực tiếp hướng dẫn luận văn cho tôi, Thầy luôn chỉ dạy mỗi khi tôi gặp khó khăn trong việc tìm hiểu đề tài của mình Thầy đã giúp tôi vững vàng và trưởng thành hơn rất nhiều trên con đường nghiên cứu và học tập Thầy ơi, em muốn gửi tới Thầy lời tri ân chân thành và sâu sắc nhất, em chúc Thầy luôn mạnh khỏe để tiếp tục sự nghiệp trồng người và tiếp tục hướng dẫn những thế hệ chúng em đạt được những thành quả cao hơn trên con đường mà mình đã chọn

Tôi xin bày tỏ lòng biết ơn chân thành tới các Thầy - Cô giáo, các anh chị, các bạn trong chuyên ngành Hệ thống thông tin - khoa Công nghệ thông tin, những người luôn sát cánh bên tôi, nhiệt thành chỉ bảo, hướng dẫn và chia sẻ với tôi rất nhiều những kiến thức về công nghệ thông tin - đó là những kiến thức quý báu và bổ ích giúp tôi tự tin hơn trong công việc của mình Hơn thế nữa, tình cảm tôi nhận được từ những người bạn trong khoảng thời gian học tập tại trường đã giúp chúng tôi thân thiết hơn và trở thành những người bạn tốt của nhau, đó là một điều tuyệt vời!!!

Tôi xin gửi lời cảm ơn chân thành tới Ban Giám hiệu Nhà trường, Phòng Đào tạo sau đại học, Đại học Công nghệ - Đại học Quốc gia Hà Nội đã tạo điều kiện tốt nhất giúp tôi trong suốt quá trình học tập

Cuối cùng tôi muốn gửi đến gia đình những tình cảm thân thương nhất Con cảm ơn bố mẹ đã luôn tin tưởng, động viên và giúp đỡ để con đạt được mơ ước của mình Cảm ơn anh và con luôn là chỗ dựa vững chắc giúp em cố gắng phấn đấu, cảm ơn các em đã dành mọi điều kiện để giúp chị tập trung vào nghiên cứu

Hà Nội, ngày … tháng… năm 2016

Học viên

Phạm Thị Thanh Thủy

LỜI CAM ĐOAN

Tôi xin cam đoan nội dung trình bày trong luận văn này là do tôi tự nghiên cứu và tìm hiểu dưới sự hướng dẫn trực tiếp của Thầy PGS TS Trịnh Nhật Tiến Luận văn này của tôi chưa từng được ai công bố trong bất cứ công trình nào trước đây Trong quá trình nghiên cứu tôi có tham khảo đến các tài liệu của một số tác giả Tôi đều có trích dẫn đầy đủ và liệt kê trong mục “TÀI LIỆU THAM KHẢO” ở cuối luận văn

Hà Nội, ngày … tháng … năm 2016

Học viên

Phạm Thị Thanh Thủy

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

LỜI MỞ ĐẦU 1

CHƯƠNG 1 CÁC KHÁI NIỆM CƠ BẢN 3

1.1 Tổng quan về thương mại điện tử 3

1.1.1 Khái niệm về TMĐT 3

1.1.2 Vai trò tác động của TMĐT 4

1.1.3. Các đặc trưng của TMĐT 6

1.1.4 Các loại hình giao dịch TMĐT 8

1.1.5 Ba giai đoạn hoạt động của TMĐT 10

1.2 Tổng quan về An toàn thông tin 12

1.2.1 An toàn thông tin là gì? Tại sao cần bảo đảm An toàn thông tin? 12

1.2.2. Mục tiêu của An toàn thông tin 13

1.2.3. Các giải pháp bảo đảm An toàn thông tin 13

1.3.Mã hóa dữ liệu 14

1.3.1 Khái niệm Mã hóa dữ liệu 15

1.3.2. Phân loại hệ mã hóa 16

1.3.3. Một số Hệ mã hóa tiêu biểu 18

1.4.Chữ ký số 23

1.4.1 Khái niệm “Chữ ký số” 23

1.4.2 Một số chữ ký số tiêu biểu 25

1.5 Đại diện tài liệu và hàm băm 27

1.5.1 Hàm băm (Hàm tạo đại diện tài liệu) 27

1.5.2 Các Hàm băm 28

1.6 Thủy vân số (Digital watermarking) 28

1.6.1 Phân loại Thủy vân số 29

1.6.2 Các ứng dụng của Thuỷ vân với ảnh số 30

CHƯƠNG 2 CÁC BÀI TOÁN VỀ ATTT TRONG THỎA THUẬN VÀ KÝ

KẾT HỢP ĐỒNG CỦA TMĐT 31

2.1.Thỏa thuận và ký kết hợp đồng của TMĐT 31

2.1.1. Khái niệm về giao kết hợp đồng điện tử 31

2.1.2. Chủ thể của hợp đồng điện tử 31

2.1.3 Hình thức hợp đồng điện tử 33

2.1.4 Nội dung hợp đồng điện tử 33

2.2.Các bài toán về ATTT trong thỏa thuận và ký kết hợp đồng của TMĐT 34

2.2.1 Bảo đảm tính toàn vẹn thông tin hợp đồng trực tuyến 35

2.2.2 Bảo đảm tính xác thực 45

2.2.3 Chống chối bỏ hợp đồng giao dịch 47

CHƯƠNG 3 THỰC NGHIỆM CHƯƠNG TRÌNH 50

3.1.Giới thiệu chương trình 50

3.1.1 Chương trình mã hóa AES 50

3.1.2 Chương trình ký không thể phủ định 50

3.2 Cấu hình hệ thống 50

3.3 Hướng dẫn sử dụng 50

3.3.1 Chương trình mã hóa AES 50

3.3.2 Chương trình ký không thể phủ định 55

KẾT LUẬN 58

TÀI LIỆU THAM KHẢO 59

BẢNG CÁC CHỮ VIẾT TẮT

(Chuẩn mã hóa tiên tiến)

(Chuẩn mã hóa dữ liệu)

(Một công nghệ mã hóa khóa công khai) UNCITRAL The United Nations Commission on International Trade Law

(Ủy ban về Luật Thương mại Quốc tế của Liên Hợp Quốc)

DANH SÁCH HÌNH VẼ VÀ BẢNG Danh mục hình

Hình 1.1: Mô hình đơn giản thương mại điện tử 3

Hình 1.2: Khảo sát giá trị mua hàng trực tuyến của người dùng Việt Nam 2015 5

Hình 1.3: Biểu đồ Quy mô TMĐT Việt Nam (tỷ USD) 6

Hình 1.4: Biểu đồ so sánh mức độ ứng dụng TMĐT ở Việt Nam 6

Hình 1.5: Các loại giao dịch B2B trong TMĐT 8

Hình 1.6: Doanh thu bán lẻ TMĐT của Hoa Kỳ 9

Hình 1.7: Doanh thu bán lẻ TMĐT của Hàn Quốc 9

Hình 1.8: Doanh thu bán lẻ TMĐT của Indonesia 9

Hình 1.9: Doanh thu bán lẻ TMĐT của Úc 10

Hình 1.10: Doanh thu bán lẻ TMĐT của Ấn Độ 10

Hình 1.11: Sơ đồ mã hóa đơn giản 15

Hình 1.12: Phân loại Thủy vân 29

Hình 1.13: Ví dụ về thuỷ vân hiện (trên trang web của Thư viện số liên bang Mỹ) 29 Hình 1.14: Giấu thông tin trong ảnh 30

Hình 2.1: Mô hình giải quyết bài toán 34

Hình 2.2: Sơ đồ thuật toán AES 38

Hình 2.3: Các phần tử biến đổi của S-box dưới dạng ma trận 39

Hình 2.4: Kết quả biến đổi của hàm SubBytes() với mảng trạng thái 39

Hình 2.5: Nội dung bảng S-box sau khi tính toán 40

Hình 2.6: Kết quả tính toán 40

Hình 2.7: Minh họa sự dịch vòng 41

Hình 2.8: Minh họa làm việc trên cột trạng thái 42

Hình 2.9: Thực hiện hàm AddRoundKey() 42

Hình 2.10: Quá trình thực hiện Expand Key 43

Hình 2.11: Minh họa thực hiện hàm InvShiftRows() 44

Hình 2.14: Kiểm tra tính đúng đắn của chữ ký 48

Hình 2.15: Giao thức kiểm thử chữ ký số 49

Hình 2.16: Giao thức chối bỏ chữ ký số 49

Hình 3.1: Quá trình mã hóa văn bản 51

Hình 3.2: Quá trình giải mã văn bản 52

Hình 3.3: Quá trình mã hóa tệp tin 53

Hình 3.4: Quá trình giải mã tệp tin 54

Hình 3.5: Quá trình ký 56

Hình 3.6: Giao thức kiểm thử 56

Hình 3.7: Giao thức chối bỏ 57

Danh mục bảng

Bảng 1: Qui ước môt số từ viết tắt và thuật ngữ của AES 20

Bảng 2: Các hàm, ký hiệu, các tham số của thuật toán 21

Bảng 3: Các trạng thái của AES 36

Bảng 4: Độ dài khóa AES 37

LỜI MỞ ĐẦU

Như chúng ta đã biết, ngày nay thông tin trở thành một tài nguyên vô giá và không thể thiếu trong các hoạt động của con người Nhu cầu trao đổi thông tin ngày càng lớn Mạng máy tính ra đời giúp việc trao đổi và xử lý thông tin một cách dễ dàng và nhanh chóng

Các cơ quan, tổ chức, cá nhân ở khắp mọi nơi trên thế giới biết đến nhau thông qua việc sử dụng Internet để trao đổi thông tin và dữ liệu Internet đã tác động sâu sắc đến hoạt động sản xuất kinh doanh của các doanh nghiệp và tác động đến hầu hết mọi hoạt động của đời sống kinh tế xã hội Trong đó, việc thỏa thuận và ký kết hợp đồng giữa các bên tham gia là một khâu rất quan trọng đòi hỏi các bên phải thực hiện hợp đồng theo đúng khuôn khổ pháp lý và được pháp luật công nhận Trước tiên, ta phải hiểu Hợp đồng điện tử là gì? Theo [10] Luật Giao dịch điện tử Việt Nam 2005 chỉ ra rằng Hợp đồng điện tử là hợp đồng được thiết lập dưới dạng thông điệp dữ liệu, trong đó thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử1

Trước đây, các bên tham gia

sẽ trực tiếp gặp nhau để giới thiệu, lựa chọn sản phẩm, bàn bạc và cùng thống nhất

ký vào hợp đồng nhưng ngày nay nhờ Internet mà việc thỏa thuận hợp đồng giảm được nhiều thời gian trao đổi giữa doanh nghiệp với doanh nghiệp đối tác cũng như các khách hàng của họ và sau khi bàn bạc họ cũng đưa ra quyết định và ký vào hợp đồng nhưng khác với phương thức truyền thống ở chỗ là việc thỏa thuận và ký kết diễn ra trên mạng, đó chính là Hợp đồng điện tử

Vấn đề đặt ra là trong môi trường mạng một lượng tin hay dữ liệu khi được gửi từ người gửi đến người nhận thường phải qua nhiều nút, nhiều trạm không ai đảm bảo rằng thông tin đến người nhận không bị sao chép, không bị đánh cắp hay không bị sửa đổi…Mục 1.3 [2] chỉ ra rằng bảo đảm an toàn thông tin trong thỏa thuận và ký kết hợp đồng của thương mại điện tử là bảo đảm việc xác minh nguồn gốc giao dịch, đảm bảo bí mật, toàn vẹn thông tin và chống chối bỏ giao dịch Đây

là một vấn đề cấp thiết cần phải được giải quyết hiện nay, xuất phát từ yêu cầu này

mà tác giả đã lựa chọn đề tài “Nghiên cứu một số bài toán về an toàn thông tin

trong thỏa thuận và ký kết hợp đồng của thương mại điện tử” làm đề tài nghiên

và chống chối bỏ giao dịch cũng như thử nghiệm chương trình thực hiện việc xác nhận đúng hợp đồng, đảm bảo thông tin hợp đồng không bị sửa đổi và tiến hành ký kết hợp đồng

Nhiệm vụ cụ thể mà luận văn cần giải quyết đó là:

Nêu rõ khái niệm, vai trò, đặc điểm, phân loại, phương pháp và các vấn đề gặp phải khi thực hiện thỏa thuận hợp đồng điện tử

 Phân tích, nghiên cứu, tìm hiểu một số bài toán về ATTT trong thỏa thuận và

Phạm vi nghiên cứu của luận văn tập trung chủ yếu đến các kỹ thuật thủy vân số, mã hóa, chữ ký số để xác minh nguồn gốc giao dịch, đảm bảo tính toàn vẹn thông tin và chống chối bỏ giao dịch trong thỏa thuận và ký kết hợp đồng Ngoài ra còn có một số kỹ thuật khác cũng được đề cập trong luận văn

Về phương pháp tiếp cận của bài toán, tác giả sử dụng các phương pháp cơ bản như:

Phương pháp phân tích và tổng hợp lý thuyết

Phương pháp chuyên gia khi tham khảo các giáo trình, bài giảng, tạp chí liên quan đến việc giải quyết bài toán

Phương pháp diễn giải các thuật toán

Phương pháp tổng hợp để đưa ra kết luận

Luận văn được trình bày theo bố cục như sau:

Chương 1 Các khái niệm cơ bản Trong chương này, tác giả sẽ nêu tổng

quan về An toàn thông tin trong TMĐT, hướng tiếp cận, phương pháp giải quyết

Chương 2 Các bài toán về ATTT trong thỏa thuận và ký kết hợp đồng của TMĐT Chương này sẽ giới thiệu những bài toán về ATTT trong giai đoạn thỏa

thuận hợp đồng Tiếp theo là đưa ra các kỹ thuật cụ thể để giải quyết từng bài toán trong giai đoạn này bao gồm: Thủy vân số để xác nhận đúng hợp đồng, Mã hóa AES để mã hóa hợp đồng và chữ ký không thể phủ nhận để ký kết hợp đồng

Chương 3 Thực nghiệm chương trình Là chương cài đặt, thử nghiệm

chương trình ứng dụng mã hóa AES và chữ ký không thể phủ nhận để giải quyết bài toán đặt ra

CHƯƠNG 1 CÁC KHÁI NIỆM CƠ BẢN

1.1 Tổng quan về thương mại điện tử

1.1.1 Khái niệm về TMĐT

Theo Bill Gates: “Cạnh tranh ngày nay không phải giữa các sản phẩm mà giữa các mô hình kinh doanh” Điều đó có nghĩa là sự thành công của doanh nghiệp không phải phụ thuộc hoàn toàn vào sản phẩm mà phụ thuộc khá nhiều vào mô hình kinh doanh Nếu doanh nghiệp muốn nhận được nhiều cơ hội mới thì cần phải quan tâm nhiều đến thông tin, Internet, Web Như chúng ta đã biết sự ra đời của công nghệ Web kích thích các doanh nghiệp tham gia và dẫn đến sự ra đời của TMĐT

Hình 1.1: Mô hình đơn giản thương mại điện tử

TMĐT được hiểu theo [9] như sau: Việc mua bán hàng hóa, sản phẩm hay

dịch vụ trên hệ thống điện tử như Internet và mạng máy tính gọi là Thương mại

điện tử (e-commerce)

Mặt khác, [9] cũng đưa ra các định nghĩa về khái niệm TMĐT như sau:

 Theo WTO: "Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán

hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình, cả các sản phẩm giao nhận cũng như những thông tin số hoá thông qua mạng Internet"

 Theo APEC: "TMĐT liên quan đến việc trao đổi hàng hóa, dịch vụ giữa

các nhóm hoặc các cá nhân chủ yếu là thông qua các giao dịch thương mại dựa trên Internet."

TMĐT [4] được định nghĩa trong Luật mẫu TMĐT của Ủy ban Liên Hợp quốc

về Luật Thương mại Quốc tế (UNCITRAL): “Thuật ngữ Thương mại cần được

diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng Các quan hệ mang tính chất thương mại bao gồm: bất cứ giao dịch nào về thương mại, giao dịch nào về cung cấp, trao đổi hàng hóa hoặc dịch vụ, thỏa thuận phân phối, đại diện hoặc đại lý thương mại, cho thuê dài hạn, ủy thác hoa hồng, tư vấn, xây dựng các công trình, đầu tư, cấp vốn, kỹ thuật công trình, bảo hiểm, ngân hàng, tô nhượng hoặc thỏa thuận khai thác, liên doanh với các hình thức khác về kinh doanh hoặc hợp tác công nghiệp, chuyên chở hành khách hay hàng hóa bằng đường không, đường biển, đường sắt hoặc đường bộ.”

Ngoài ra, [11] cũng chỉ ra rằng: “TMĐT là hoạt động kinh doanh trực tuyến

Việc bán hàng theo cách truyền thống giờ đây có thể được thực hiện bằng điện tử

do một phần mềm nào đó lập trình chạy các chức năng chính của một website 2 TMĐT bao gồm: hiển thị sản phẩm, đặt hàng trực tuyến và quản lý hàng tồn kho Phần mềm này tập trung trên một máy chủ thương mại và làm việc chung với các

hệ thống thanh toán trực tuyến để xử lý thanh toán Vì vậy những máy chủ và đường truyền dữ liệu này tạo nên sức mạnh của Internet, theo nghĩa rộng TMĐT có nghĩa là kinh doanh trên mạng kết nối với nhau.”

Các học giả nghiên cứu tại đại học Texas 3 cho rằng TMĐT và kinh doanh điện

tử 4 đều bị bao hàm bởi nền kinh tế Internet Như vậy chúng ta có thể hiểu rằng

TMĐT chỉ có thể xảy ra khi việc kinh doanh được thực hiện trong mạng Internet

1.1.2 Vai trò tác động của TMĐT

Cùng với sự ra đời và phát triển của Internet cũng như World Wide Web5

thì TMĐT ngày càng phát triển và khẳng định vị thế của nó trong đời sống xã hội Trong hoạt động kinh doanh, TMĐT góp những vai trò đáng kể [2]:

 Với doanh nghiệp:

So với thương mại truyền thống TMĐT giúp cho các doanh nghiệp có thể tương tác với nhau, tìm kiếm khách hàng tiện lợi hơn, nhanh hơn với chi phí thấp hơn nhiều TMĐT dẫn đến việc cạnh tranh toàn cầu phát triển

Texas là viện đại học chuyên về nghiên cứu của tiểu bang Texas – Hoa Kỳ

4 Kinh doanh điện tử là việc sử dụng Internet, sử dụng các công nghệ trực tuyến tạo ra quá trình kinh doanh hiệu quả cho dù việc có hay không có lợi nhuận, do đó tăng lợi ích với khách hàng.

5 Gọi tắt là Web hay WWW- mạng lưới toàn cầu là không gian thông tin mà mọi người có thể đọc và viết

Nhờ sự ra đời của TMĐT các doanh nghiệp vừa và nhỏ có thể cạnh tranh với các doanh nghiệp lớn hơn Nó giúp các doanh nghiệp này có thể giới thiệu hàng hóa hay sản phẩm của mình đến khách hàng một cách nhanh chóng, tự động mà lại giảm chi phí liên lạc, giảm chi phí giao dịch và marketing

 Với người tiêu dùng:

Nhờ vào TMĐT, người mua có thể nghiên cứu, tìm hiểu hàng hóa, sản phẩm

và các dịch vụ kèm theo một cách tiện lợi và nhanh nhất có thể Họ có thể so sánh chất lượng cũng như giá cả của hàng hóa để có sự lựa chọn tốt nhất

Internet cách mạng hoá marketing trực tiếp và marketing bán lẻ Người tiêu dùng có thể mua sắm bất kì sản phẩm hàng hóa nào của những nhà sản xuất và bán

lẻ trên khắp thế giới…Tất cả đều có thể thực hiện ngay tại nhà

Hình 1.2: Khảo sát giá trị mua hàng trực tuyến của người dùng Việt Nam 2015

Doanh thu từ TMĐT chiếm tỷ trọng ngày càng lớn trong doanh thu thương mại Doanh nghiệp và người tiêu dùng từ các quốc gia khác nhau trên thế giới tham gia vào TMĐT ngày càng nhiều, chẳng hạn:

Một báo cáo gần đây [13] từ dịch vụ khảo sát trực tuyến Q&Me đã đưa ra nhiều thống kê mới về thị trường TMĐT Việt Nam so sánh với các quốc gia khác Theo đó, doanh thu bán hàng TMĐT của Việt Nam đã đạt 4,07 tỷ USD So với Quốc gia có nền TMĐT hàng đầu thế giới là Mỹ, quy mô Việt Nam chỉ bằng 1/83 lần So với Nhật Bản, với mức doanh thu năm 2015 là 106,6 tỷ USD, quy mô TMĐT nước này gấp đúng 26 lần Việt Nam

Mặc dù quy mô TMĐT của Việt Nam còn nhỏ nhưng tốc độ tăng trưởng lại rất nhanh Năm 2013 và 2014, tổng doanh thu từ TMĐT Việt Nam lần lượt cán mốc 2,2 tỷ USD và 2,97 tỷ USD Như vậy mức tăng trưởng trong hai năm này lần lượt là 35% và 37% Trong 2 năm này, tốc độ tăng trưởng của TMĐT Nhật Bản là 17% và 15% TMĐT Việt Nam tăng trưởng nhanh hơn TMĐT Nhật Bản

Hình 1.3: Biểu đồ Quy mô TMĐT Việt Nam (tỷ USD)

Có thể nói, trong mắt các chuyên gia trong và ngoài ngành, TMĐT Việt Nam vẫn còn đầy tiềm năng, “đang ngủ yên chưa được đánh thức” Điều này củng cố bởi

sự tăng lên của tổng số người dùng Internet tại Việt Nam, của tỷ lệ người dùng tin tưởng mua hàng trên các kênh trực tuyến và kỳ vọng vào sự xuất hiện của các hình thức mua sắm trực tuyến Dưới đây là việc khảo sát mức độ ứng dụng TMĐT ở Việt Nam ở các độ tuổi từ dưới 15 đến 49 tuổi cho thấy sự ảnh hưởng của TMĐT đến các độ tuổi có sự chênh lệch khá lớn:

Hình 1.4: Biểu đồ so sánh mức độ ứng dụng TMĐT ở Việt Nam

Thương mại truyền thống thì các bên thường trực tiếp gặp nhau tiến hành giao dịch Các giao dịch thực hiện chủ yếu theo nguyên tắc như vận đơn, chuyển tiền, gửi báo cáo, séc hóa đơn Các phương tiện viễn thông như: fax, telex, chỉ được sử dụng để trao đổi số liệu kinh doanh

Mọi người đều có thể tham gia vào TMĐT từ các vùng xa xôi hẻo lánh đến các khu đô thị lớn, điều đó chứng tỏ tất cả mọi người ở khắp nơi đều có cơ hội ngang nhau tham gia vào thị trường giao dịch toàn cầu và không nhất thiết đòi hỏi

phải có mối quen biết với nhau từ trước

Các giao dịch của TMĐT được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu) còn các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia TMĐT tác động trực tiếp tới môi trường cạnh tranh toàn cầu

Máy tính cá nhân giúp cho doanh nghiệp hướng ra thị trường trên toàn thế giới Trước kia phải mất nhiều năm thì các doanh nhân mới thành lập mới có thể kinh doanh ở các nước như Nhật Bản, Đức, Chile…nhưng nhờ vào sự phát triển của TMĐT thì điều đó hoàn toàn có thể mà không phải bước ra khỏi nhà chỉ cần

một chiếc máy tính kết nối Internet

Trong giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thể, trong đó có người cung cấp dịch vụ mạng, các cơ quan chứng thực là bên không thể thiếu được

Trong TMĐT, bên thứ ba đó là các cơ quan chứng thực, nhà cung cấp dịch vụ mạng là những người tạo ra môi trường cho các giao dịch TMĐT Cơ quan chứng thực và nhà cung cấp dịch vụ mạng có nhiệm vụ chuyển, lưu giữ và xác nhận độ tin

cậy thông tin giữa các bên tham gia giao dịch TMĐT

Đối với TMĐT thì mạng lưới thông tin chính là thị trường còn đối với thương

mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu

Thông qua TMĐT, nhiều loại hình kinh doanh mới được hình thành Các trang Web nổi tiếng như Yahoo! America Online, Google góp phần quan trọng vào việc cung cấp thông tin trên mạng Các trang Web này được ví như các “khu chợ” khổng lồ trên Internet Chỉ cần nhấn chuột là khách hàng có thể truy cập vào hàng ngàn cửa hàng ảo khác nhau và tỷ lệ khách hàng vào thăm rồi mua hàng là rất cao Nhiều người sẵn sàng mất thêm một chút chi phí còn hơn là phải đi tới tận cửa hàng Các chủ cửa hàng ngày nay cũng đang đua nhau khai thác mảng thị trường

rộng lớn trên Web bằng cách mở cửa hàng ảo để đưa thông tin lên Web

Hình 1.5: Các loại giao dịch B2B trong TMĐT

1.1.4 Các loại hình giao dịch TMĐT

Theo [4] trong TMĐT có ba chủ thể tham gia bao gồm: Chính phủ (G) - vai trò là định hướng, điều tiết và quản lý; doanh nghiệp (B) - vai trò động lực phát triển TMĐT; người tiêu dùng (C) - vai trò quyết định sự thành công của TMĐT Từ

đó ta có các loại giao dịch TMĐT: B2B, B2C, B2G, C2C, C2G…trong đó B2B và B2C là hai loại hình quan trọng nhất

 B2B: Mô hình TMĐT giữa Doanh nghiệp với Doanh nghiệp

 B2C: Mô hình TMĐT giữa Doanh nghiệp với Người tiêu dùng Dưới đây là

doanh thu TMĐT B2C của một số nước trên thế giới:

Hình 1.6: Doanh thu bán lẻ TMĐT của Hoa Kỳ

Hình 1.7: Doanh thu bán lẻ TMĐT của Hàn Quốc

Hình 1.8: Doanh thu bán lẻ TMĐT của Indonesia

Hình 1.9: Doanh thu bán lẻ TMĐT của Úc

Hình 1.10: Doanh thu bán lẻ TMĐT của Ấn Độ

1.1.5 Ba giai đoạn hoạt động của TMĐT

Như chúng ta đã thấy việc ứng dụng TMĐT trong hoạt động sản xuất, kinh doanh hiện nay được xem là một trong những công cụ hỗ trợ đắc lực trong hoạt động kinh doanh, đã mang lại hiệu quả rõ rệt trong chiến lược kinh doanh của doanh nghiệp, giúp doanh nghiệp tiết kiệm thời gian, giảm chi phí, rút ngắn khoảng cách giao thương và dễ dàng mở rộng thị trường Trong TMĐT bao gồm quá trình mua bán hàng hóa, giao dịch thương mại thông qua các phương tiện điện tử Quy trình TMĐT có các giai đoạn sau:

Giai đoạn quảng cáo và giới thiệu sản phẩm (Marketing):

Quảng cáo và giới thiệu sản phẩm là khâu đầu tiên và là một trong những khâu quyết định sự thành công của doanh nghiệp trong quy trình thương mại Quảng cáo

hàng hóa trực tuyến chính là hoạt động giới thiệu và chào bán sản phẩm, dịch vụ qua hệ thống điện tử như Internet, mạng máy tính Nó cung cấp đầy đủ các thông tin

về sản phẩm, dịch vụ tới khách hàng, đối tác nhằm góp phần nâng cao sức cạnh tranh, tiết kiệm chi phí cho hoạt động tiếp thị cũng như bán hàng mang lại hiệu quả kinh tế cho doanh nghiệp

Người tiêu dùng có thể phản hồi ngay lập tức hoặc có thể giao tiếp trực tiếp với nhà cung ứng nhờ vào sự tương tác của quảng cáo hàng hóa trực tuyến làm cho các giao dịch TMĐT dễ dàng hơn, tiết kiệm thời gian và chi phí cho hoạt động mua bán Việc mua sắm được thực hiện thuận tiện hơn nhờ vào các ứng dụng công nghệ thông tin, người dùng có thể ngồi ở bất cứ đâu và mua sắm chỉ với các thiết bị thông minh như máy tính, smartphone được kết nối mạng Internet Việc đặt hàng, nhận hàng diễn ra đơn giản và tiện lợi thông qua các website trực tuyến

Một lượng lớn thông tin luôn sẵn sàng trong quảng cáo trực tuyến giúp người tiêu dùng có thể xem thông tin của sản phẩm mọi lúc và thực hiện mua bán, giao dịch bất cứ lúc nào và bất kì nơi đâu Nó giúp cho các doanh nghiệp mở rộng thị trường, giúp tiết kiệm được chi phí thuê mặt bằng, chi phí thuê nhân viên bán hàng…Tuy nhiên, bên cạnh những lợi thế mà quảng cáo trực tuyến đem lại thì có không ít vấn đề

về an toàn thông tin như: truy nhập trái phép vào CSDL để thay đổi thông tin về sản phẩm, dịch vụ vi phạm bản quyền sở hữu trí tuệ, sao chép trái phép…

Giai đoạn thỏa thuận và ký kết hợp đồng:

Để đáp ứng được yêu cầu hợp tác kinh doanh thì các bên phải đối thoại, thương lượng với nhau nhằm tiến đến một thỏa thuận chung đó chính là thỏa thuận hợp đồng Và việc xác nhận các nội dung đã đàm phán chính là ký kết hợp đồng, nghĩa là ký xác nhận để từ đó bản hợp đồng có hiệu lực

Việc thỏa thuận và ký kết hợp đồng TMĐT đều phải tuân theo luật thương mại Internet đã giúp cho việc thỏa thuận hợp đồng giảm được nhiều thời gian trao đổi giữa các bên Tuy nhiên, bài toán đặt ra là làm thế nào để giải quyết các vấn đề an toàn thông tin trong giao dịch bao gồm việc xác minh nguồn gốc, đảm bảo tính bí mật, toàn vẹn thông tin, chống chối bỏ giao dịch là việc chúng ta cần phải giải quyết

Giai đoạn thanh toán và chuyển giao sản phẩm:

Đây là giai đoạn thực hiện các giao dịch thanh toán trong kinh doanh, vì vậy việc đảm bảo an toàn thông tin trong việc thanh toán giữa các bên là rất cần thiết Nhờ vào TMĐT việc truyền dữ liệu đến thẻ tín dụng hay truyền dữ liệu đến các phương tiện thanh toán khác của khách hàng được thực hiện dễ dàng và thuận tiện hơn Tuy nhiên, khi các giao dịch thanh toán qua mạng được diễn ra thì nguy cơ bị mất thông tin liên quan đến thẻ hoặc các giao dịch có sử dụng thẻ là rất lớn Kẻ gian

sẽ thực hiện các hành vi lừa đảo, gian lận thẻ và lấy cắp các thông tin của khách

hàng để thực hiện mưu đồ đen tối, chẳng hạn chúng có thể giả danh khách hàng để thiết lập các khoản tín dụng mới…

Trong trường hợp khách hàng nước ngoài trước đó có đặt hàng nhưng sau đó phủ nhận việc này thì sẽ là một thiệt hại rất lớn cho người bán hàng trực tuyến bởi

vì thực tế thường không có cách nào xác định được hàng đã đến tay khách hàng chưa và chủ thẻ có đúng là người đã đặt đơn hàng hay không? Do vậy, sự an toàn trong thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT

1.2 Tổng quan về An toàn thông tin

1.2.1 An toàn thông tin là gì? Tại sao cần bảo đảm An toàn thông tin?

 An toàn thông tin là gì?

An toàn thông tin là thuật ngữ dùng để chỉ việc bảo vệ thông tin số và các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho các hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy

Tại sao cần đảm bảo An toàn thông tin?

Nhu cầu trao đổi thông tin phát triển nhanh chóng trong thời đại ngày nay Sự

ra đời của Internet giúp con người trao đổi thông tin một cách dễ dàng và thuận tiện Chỉ cần với một chiếc máy tính kết nối mạng bạn có thể gửi nhận Email và thực hiện các giao dịch buôn bán trực tuyến…Vấn đề ở chỗ thông tin quan trọng có được toàn vẹn hay không? Những bí mật về tài chính, về kinh doanh có được bảo mật không? Điều đáng lo là thông tin ở kho dữ liệu hay đang trên đường truyền có thể bị sửa đổi, sao chép, giả mạo làm ảnh hưởng đến các tổ chức, doanh nghiệp hay rộng hơn là cả một quốc gia Mục tiêu của các tổ chức tình báo là nắm được những thông tin quan trọng về vấn đề an ninh quốc gia

Số lượng các vụ tấn công của tin tặc ngày càng nhiều, quy mô và phương pháp tấn công ngày càng lớn Chẳng hạn, vụ tin tặc tấn công các sân bay tại Việt Nam

2016 là vụ tấn công của các tin tặc (hacker) vào chiều 29 tháng 7 năm 2016 vào một

số màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục bay của các Sân bay Tân Sơn Nhất, Sân bay Nội Bài, Sân bay Đà Nẵng, Sân bay Phú Quốc Các màn hình của sân bay đã bị chèn những hình ảnh và nội dung câu chữ xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về biển Đông Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự Đồng thời website của Vietnam Airlines cũng bị hack với 411.000 dữ liệu của hành khách đi máy bay

đã bị hacker thu thập và phát tán Cuộc tấn công website và hệ thống thông tin sân bay này được đánh giá là lớn nhất từ trước đến nay vào hệ thống thông tin hàng

không của Việt Nam Vì vậy, đảm bảo an toàn thông tin là nhiệm vụ cấp thiết đặt ra cho chúng ta

Khi ai đó nhận được một bản tin trên mạng, có gì bảo đảm rằng đối tác đã gửi bản tin đó cho họ Có cách nào để biết được tiền điện tử hay Sec điện tử được thanh toán trên mạng có phải là của đối tác trả cho họ hay không? Tiền đó là tiền thật hay tiền giả?

Theo cách truyền thống, người gửi thường ký phía dưới của văn bản quan trọng Tuy nhiên, văn bản có thể bị sao chép, sửa đổi và có thể bị giả mạo chữ ký khi truyền qua mạng Do vậy, đảm bảo ATTT được đặt ra để giải quyết vấn đề trên Trước đây, kỹ thuật đơn giản để “bảo mật” thông tin đó là giữa người gửi và người nhận thỏa thuận một số từ ngữ mà hay gọi là tiếng “lóng” trước khi truyền thông báo để bảo vệ thông tin

Ngày nay, người ta dùng mật mã cổ điển để hoán vị, thay thế các ký tự trong bản tin “gốc” để được bản tin “mật mã” làm cho người khác “khó” có thể đọc được

1.2.2 Mục tiêu của An toàn thông tin

 Bảo đảm bí mật: thông tin chỉ cho phép một số người có thẩm quyền được

đọc, được biết thông tin (nghĩa là thông tin không bị lộ đối với người không được phép) còn sẽ giữ bí mật đối với tất cả mọi người không được phép

 Bảo đảm toàn vẹn: thông tin không bị sửa đổi bởi những người không có

quyền hoặc bằng những phương tiện không được phép (nghĩa là ngăn chặn, hạn chế

bổ sung, loại bỏ và sửa dữ liệu không được phép)

 Bảo đảm xác thực: Xác thực đúng thực thể có trách nhiệm về nội dung thông

tin (xác định nguồn gốc thông tin), thực thể có giao dịch, kết nối

 Bảo đảm sẵn sàng: Thông tin sẵn sàng cho những người dùng được phép

 Bảo đảm tính không thể chối bỏ: Ngăn chặn việc chối bỏ trách nhiệm với

một cam kết đã có (chối bỏ việc đã ký vào một hợp đồng, văn bản nào đó…)

1.2.3 Các giải pháp bảo đảm An toàn thông tin

Các giải pháp bảo đảm An toàn thông tin [1] gồm:

 Bảo đảm toàn vẹn và xác thực thông tin:

- Mã hóa (”Che” dữ liệu): thay đổi hình dạng dữ liệu gốc làm cho người khác

khó nhận ra

- “Giấu” dữ liệu: dữ liệu này được giấu trong môi trường dữ liệu khác

- Bảo đảm toàn vẹn và xác thực thông tin

 Kỹ thuật sử dụng: Mã hóa, giấu tin, thủy ký, ký số, hàm băm …

Giao thức bảo toàn thông tin, xác thực thông tin

 Kiểm soát lối vào ra của thông tin:

- Kiểm soát ngăn chặn thông tin vào hoặc ra hệ thống máy tính

- Kiểm soát cấp quyền sử dụng thông tin trong hệ thống máy tính

- Kiểm soát, tìm diệt Virus, Trojan horse vào ra hệ thống máy tính

Kỹ thuật sử dụng: Mật khẩu, mạng riêng ảo, tường lửa, xác thực, nhận dạng,

cấp quyền

 Phát hiện, xử lý các lỗ hổng trong ATTT:

- “Các lỗ hổng” trong thuật toán hay trong các giao thức mật mã, giấu tin

- Hạ tầng PKI (mật mã khóa công khai)

- Kiểm soát lối vào hay kiểm soát lối ra: mật khẩu, mạng riêng ảo, tường lửa, cấp quyền

- Kiểm soát và xử lý các lỗ hổng trên

1.3 Mã hóa dữ liệu

Như chúng ta đã thấy hiện nay mã hóa được biết đến rất nhiều trong các lĩnh vực với nhiều cách thức khác nhau thông qua việc sử dụng các thuật toán mã hóa Để bảo vệ thông tin thì mã hóa chính là lựa chọn tối ưu giúp bảo mật tài liệu, giúp việc truyền tài liệu được an toàn mà không lo dữ liệu bị đánh cắp hoặc sửa đổi bởi vì thông tin đã được mã hóa chứ không còn ở dạng tài liệu thô nữa và như vậy việc đánh cắp thông tin sẽ rất khó khăn hoặc nếu có bị đánh cắp thì cũng không thể dùng được Hiện nay, có rất nhiều vấn đề có thể xảy ra khi truyền thông tin qua mạng nếu không sử dụng các công cụ mã hóa hoặc chữ ký điện tử thì:

- Thông tin nhận được có thể bị người khác sửa đổi

- Thông tin nhận được có thể không phải của người cần gửi

- Ngoài người nhận ra thì người khác có thể đọc được thông tin

- Thông tin được truyền trên mạng có thể bị “xâm nhập” và lấy thông tin tuy nhiên vẫn đến được người nhận mà không bị thay đổi nội dung

- Thông tin có thể bị sửa đổi và truyền tới cho người nhận mà người nhận không biết thông tin đã bị thay đổi trên đường truyền

- Thông tin bị đánh cắp và không đến được người nhận

Để giải quyết được những vấn đề trên thì thông tin sẽ được mã hóa trước khi truyền đi và khi đến người nhận thì sẽ được giải mã để biết được nội dung

Trên đường truyền nội dung của thông tin có thể bị theo dõi, bị đọc trộm hay

bị đánh cắp vì vậy để đảm bảo rằng chỉ có người nhận mới được đọc tin thì trước khi gửi chúng cần phải được mã hóa thành “thông tin không có ý nghĩa” Và để hiểu được thông điệp này thì kẻ tấn công phải giải mã được nó, nếu chúng được mã hóa với thuật toán càng tốt thì chi phí giải mã càng cao đối với những kẻ tấn công này

và đương nhiên chúng sẽ phải tính toán xem chi phí giải mã có cao hơn thông tin cần biết hay không? Như vậy thuật toán mã hóa càng tốt thì vấn đề bảo mật thông tin càng cao

1.3.1 Khái niệm Mã hóa dữ liệu

Để bảo đảm ATTT lưu trữ trong máy tính hay bảo đảm ATTT trên đường

truyền tin [1] người ta phải “Che Giấu” (mã hóa) các thông tin này để người khác

khó nhận ra

Mã hóa: Là quá trình chuyển thông tin từ dạng đọc được (bản rõ) thành thông tin không thể đọc được (bản mã) đối với người không được phép

Giải mã: Là quá trình chuyển đổi thông tin ngược lại từ thông tin không thể

đọ được (bản mã) sang thông tin có thể đọc được (bản rõ)

Hình 1.11: Sơ đồ mã hóa đơn giản

1.3.1.2 Mã hóa và Giải mã

Người gửi G    e ke (T)   Người nhận N

(có khóa lập mã ke) (có khóa giải mã kd)



Tin tặc có thể trộm bản mã e ke (T)

Người gửi G muốn gửi bản tin T cho người nhận N Để bảo đảm bí mật, G mã hoá bản tin bằng khóa lập mã ke, sau khi mã hóa G nhận được bản mã e ke (T), rồi gửi cho N Tin tặc có thể trộm bản mã e ke (T), nhưng nếu có trộm được bản mã

này cũng “khó” hiểu được bản tin gốc T nếu không có khoá giải mã kd

N nhận được bản mã và dùng khoá giải mã kd để giải mã bản mã e ke (T), sau khi giải mã xong sẽ nhận được bản tin gốc T = d kd (e ke (T))

1.3.2 Phân loại hệ mã hóa

Như chúng ta đã biết hiện nay có 2 loại mã hóa chính bao gồm: mã hóa khóa đối xứng và mã hóa khoá công khai

1.3.2.1 Hệ mã hóa khóa đối xứng

Mã hóa khóa đối xứng [1] là hệ mã hóa mà cả khóa lập mã và khóa giải mã

“giống nhau” nếu biết được khóa lập mã thì có thể “dễ” tính ra được khóa giải mã

và ngược lại biết được khóa giải mã thì sẽ “dễ” tính ra được khóa lập mã Đặc biệt

có một số hệ mã hóa có khoá lập mã và khoá giải mã trùng nhau (ke = kd), chẳng

hạn như hệ mã hóa “dịch chuyển” hay DES

Hệ mã hóa khóa đối xứng hay còn gọi là hệ mã hóa khoá bí mật, khóa riêng bởi vì phải giữ bí mật cả hai khóa Người gửi, người nhận phải thoả thuận khoá

chung (lập mã hay giải mã) và khoá này phải được giữ bí mật trước khi dùng hệ mã

hóa khóa đối xứng Độ an toàn của hệ mã hóa khóa đối xứng phụ thuộc vào khoá

Ưu điểm:

- Mã hóa khóa đối xứng thì mã hóa và giải mã nhanh hơn hệ mã hóa khóa

công khai

Nhược điểm:

- Mã hóa khóa đối xứng chưa thật sự an toàn vì: người mã hoá và người giải mã

phải có “chung” một khoá Do vậy khóa phải được giữ bí mật tuyệt đối (vì biết khoá này “dễ” tính được khoá kia và ngược lại)

- Việc thỏa thuận và quản lý khóa chung là khó khăn và phức tạp Người gửi, người nhận luôn phải thống nhất với nhau về khoá chung Việc thay đổi khoá là rất khó và dễ bị lộ Khóa chung phải được gửi cho nhau giữa người gửi và người nhận trên kênh an toàn

- Hai người (lập mã, giải mã) cùng biết “chung” một bí mật, thì việc giữ được

Mã hóa khóa đối xứng có thể chia thành:

Mã hóa khối: là mã hóa sử dụng phép biến đổi mã hóa cố định thao tác trên

các khối của bản rõ và bản mã Bản rõ được chia thành một chuỗi các khối có kích thước xác định và mã hóa từng khối một tại mỗi thời điểm Các khối bản rõ cùng với khóa luôn được mã hóa thành các khối bản mã tương ứng Chẳng hạn, hệ mã hóa DES và hệ mã hóa AES (thế hệ sau của DES) là hai hệ mã hóa sử dụng mã hóa khối DES thao tác trên những khối 64 bit với khóa 56 bit, còn AES thao tác trên

những khối 128 bit và kích cỡ khóa có thể là 128, 192 hoặc 256 bit

 Mã hóa dòng: Xử lý từng bit hoặc byte của bản rõ và bản mã tại một thời

điểm Mỗi lần nó được mã hóa thì mỗi bit của bản rõ sẽ được mã hóa thành một bit khác Mã hóa dòng áp dụng những phép biến đổi mã hóa tùy thuộc vào một dòng

khóa được sử dụng

1.3.2.2 Hệ mã hóa khóa công khai

Hệ mã hóa khóa công khai (hệ mã hóa khóa phi đối xứng) [1] do Diffie và Hellman phát minh vào những năm 1970, là hệ mã hóa có khóa lập mã và khóa giải

mã khác nhau (ke  kd), biết được khóa này cũng “khó” tính được khóa kia

Một ai đó có thể dùng khoá công khai để mã hoá bản tin, nhưng chỉ người có đúng khoá giải mã thì mới có khả năng đọc được bản rõ

Ưu điểm:

- Người mã hoá dùng khóa công khai và ngược lại người giải mã giữ khóa bí mật Vì chỉ có một người giữ khóa bí mật nên khả năng lộ khóa bí mật khó hơn

- Nếu thám mã cố gắng tìm khoá bí mật (mặc dù biết khoá công khai) thì

chúng phải đương đầu với bài toán “khó”

- Thuận tiện ở chỗ là thuật toán được viết một lần nhưng có thể công khai cho nhiều người dùng và cho nhiều lần dùng và họ chỉ cần giữ bí mật khóa riêng của mình

- Việc tính ra cặp khoá công khai, bí mật phải trong thời gian đa thức (cho biết các tham số ban đầu của hệ mã hóa)

- Người gửi “dễ” tạo ra bản mã C khi có bản rõ P, khoá công khai

- Người nhận “dễ” giải được thành bản rõ P khi có bản mã C, khoá bí mật

- Việc tìm ra bản rõ P cũng là bài toán “khó” nếu thám mã biết khoá công khai, biết bản mã C thì số phép thử là vô cùng lớn và không khả thi

- Khoá công khai, bản mã đều có thể gửi đi trên một kênh truyền tin không an toàn

- Nếu có biết cả khóa công khai, bản mã thì việc thám mã khám phá được bản

1.3.3 Một số Hệ mã hóa tiêu biểu

1.3.3.1 Hệ mã hóa đối xứng AES

Giới thiệu:

Advanced Encryption Standard (AES) - Tiêu chuẩn mã hóa tiên tiến là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa nhằm mã hóa và giải mã dữ liệu do Viện Tiêu chuẩn và Công nghệ quốc gia Hoa

Kỳ (National Institute Standards and Technology – NIST) phát hành ngày

26 11 2001 và được đặc tả trong Tiêu chuẩn Xử lý thông tin Liên bang 197 (Federal Information Processing Standard – FIPS 197) sau quá trình kéo dài 5 năm trình phê duyệt, AES tuân theo mục 5131 trong Luật Cải cách quản lý công nghệ thông tin năm 1996 và Luật An toàn máy tính năm 1997

Thuật toán được hai nhà mật mã học người Bỉ là Joan Daemen và Vincent Rijmen thiết kế Khi tham gia cuộc thi thiết kế AES thì thuật toán được đặt tên là

"Rijndael" Vào những năm 1990, nhận thấy nguy cơ của mã hóa DES là kích thước khóa ngắn, nó có thể bị phá mã trong tương lai gần nên cục tiêu chuẩn quốc gia Hoa Kỳ đã kêu gọi xây dựng một phương pháp mã hóa mới Cuối cùng

một thuật toán có tên là Rijndael được chọn và đổi tên thành Andvanced Encryption Standard (AES)

Thuật toán Rijndael dựa trên bản thiết kế trước đó của Daemen và Rijmen (đó là Square và Square lại được thiết kế dựa trên Shark) Khác với Rijndael sử dụng mạng thay thế hoán vị thì DES lại sử dụng mạng Feistel AES không đòi hỏi nhiều bộ nhớ và có thể dễ dàng được thực hiện với tốc độ cao bằng phần mềm hoặc phần cứng

Chuẩn mã hóa AES cho phép xử lý các khối dữ liệu đầu vào kích thước 128 bit và sử dụng các khóa có độ dài là 128, 192 hoặc 256 bit Hệ mã hóa Rijndael có thể làm việc với các khóa và khối dữ liệu có độ dài lớn hơn, nhưng khi được Ủy ban tiêu chuẩn của Hoa kỳ đưa ra vào năm 2001 và chọn là chuẩn mã hóa thì nó được quy định chỉ làm việc với khối dữ liệu 128 bit và các khóa có độ dài 128, 192 hoặc

256 bit (do vậy nó còn có các tên AES-128, AES-192, AES-256 tương ứng với độ dài khóa sử dụng)

Ưu điểm:

- AES đã được sử dụng trong thông tin mật (do chính phủ Hoa Kỳ tuyên bố là

có độ an toàn cao)

- AES sử dụng bảng tra và phép thế có tính chất phi tuyến mạnh dẫn đến mức

độ phân tán thông tin phức tạp làm tăng độ an toàn cho thuật toán

- AES mô tả cấu trúc rõ ràng, đơn giản, mô tả toán học đơn giản

Nhược điểm:

Do cấu trúc toán học của AES mô tả toán học khá đơn giản mặc dù điều này hiện tại chưa dẫn đến mối nguy hiểm nào nhưng một số nhà nghiên cứu cho rằng trong tương lai sẽ có người lợi dụng được cấu trúc này

Ứng dụng:

Hiện nay, AES được sử dụng rộng rãi trên toàn thế giới để bảo vệ dữ liệu

ở các tổ chức như tài chính, ngân hàng, chính phủ, chữ ký điện tử, thương mại điện tử

Mã hóa AES được ứng dụng nhanh đối với cả phần mềm và phần cứng, chỉ yêu cầu một không gian lưu trữ nhỏ sử dụng cho việc mã hóa những thiết bị cầm tay nhỏ như ổ CD, ổ USB, …

Mã hóa AES được sử dụng như một hàm băm

Các khái niệm và định nghĩa:

1 Các khái niệm và ký hiệu

sau đó là môṭ phép cộng của một vectơ

thái (state) và các khóa sử dụng tại các vòng lặp (Round Key) của hệ mã Độ dài của dãy (khối) là số lượng các bit mà nó chứa Các khối cũng có thể được xem là một dãy các byte

mảng 2 chiều gồm 4 hàng và Nk cột

Thủ tục sinh khóa (Key

Expansion)

Thủ tục được sử dụng để sinh ra các khóa sử dụng tại các vòng lặp của thuật toán mã hóa, giải mã từ khóa chính ban đầu

thủ tục sinh khóa Các khóa này được sử dụng tại các vòng lặp của thuật toán

Trạng thái (State) Các giá trị mã hóa trung gian có thể biểu diễn dưới

dạng môṭ mảng 2 chiều gồm 4 hàng và Nb cột

khóa và trong các biến đổi thay thế các byte để thực hiện các thay thế 1-1 đối với một giá tri ̣1 byte

toán độc lập hoặc là một mảng 4 byte

Bảng 1: Qui ước một số từ viết tắt và thuật ngữ của AES

2 Các hàm, ký hiệu và các tham số của thuật toán

Các tham số thuật toán, các ký hiệu và các hàm được sử dụng trong mô tả thuật toán:

AddRoundKey() Hàm biến đổi được sử dụng trong thuật toán mã hóa và giải mã trong

đó thực hiện phép XOR bit giữa trạng thái trung gian (state) và một khóa vòng lặp (Round Key) Kích thước của một Round Key bằng kích thước của trạng thái, ví dụ với Nb=4 độ dài của một Round Key

sẽ là 128 bit hay 16 byte MixColumns() Hàm biến đổi trong thuật toán mã hóa nhận tất cả các cột của một

trạng thái (state) và trộn với dữ liệu của nó (không phụ thuộc lẫn nhau) để nhận được cột mới

ShiftRows() Hàm sử dụng trong quá trình mã hóa, xử lý các trạng thái bằng cách

dịch vòng ba hàng cuối của trạng thái với số lần dịch khác nhau SubBytes() Hàm biến đổi sử dụng trong quá trình mã hóa, xử lý một trạng thái

bằng cách sử dụng một bảng thế phi tuyến các byte (S-box) thao tác trên mỗi byte một cách độc lập

InvMixColumns() Hàm biến đổi được sử dụng trong thuật toán giải mã, là hàm ngược

của hàm MixColumns() InvShiftRows() Hàm biến đổi sử dụng trong thuật toán giải mã và chính là hàm

ngược của hàm ShiftRows() Inv SubBytes() Hàm biến đổi được sử dụng trong thuật toán giải mã, là hàm ngược

của hàm SubBytes()

Nb Số lượng các cột (là các word 32 bit) tạo thành một trạng thái, Nb = 4)

Nk Số lượng các word 32 bit taọ thành khóa mã hóa K (Nk = 4, 6, hoặc 8)

các giá trị cố định) ( Nr = 10, 12 hoặc 14 tương ứng với các giá trị khác nhau của Nk)

RotWord() Hàm sử dụng trong thủ tục sinh khóa nhận một word 4-byte và thực

hiện một hoán vị vòng SubWord() Hàm sử dụng trong thủ tục sinh khóa nhận một word input 4-byte và sử

dụng một S -box trên mỗi giá trị 4-byte này để thu được 1 word output

+ 1)

Bảng 2: Các hàm, ký hiệu, các tham số của thuật toán

mã hóa Tính chất phi tuyến cùng khả năng khuếch tán thông tin trong việc tạo bản

mã khóa mở rộng làm cho việc phân tích mật mã dựa vào khóa tương đương hay các khóa có liên quan trở nên không khả thi

Đối với phương pháp vi phân rút gọn, việc phân tích chủ yếu khai thác đặc tính tập trung thành vùng của các vết vi phân trong một số phương pháp mã hóa Trong thuật toán AES, số lượng chu kỳ lớn hơn 6, không tồn tại phương pháp công phá mật mã nào hiệu quả hơn phương pháp thử sai Tính chất phức tạp của biểu thức S-box cùng với hiệu ứng khuếch tán giúp cho thuật toán không thể bị phân tích bằng phương pháp nội suy

Đối với phương pháp thử sai với chiều dài khóa 256-bit tương ứng 2256 hay 1.2

x 1077 khả năng có thể xảy ra Thậm chí nếu sử dụng một trong những siêu máy tính mạnh nhất hiện nay là Roadrunner 54 của IBM để xử lý thì cũng cần 3.5 x 1054

năm để kiểm tra tất cả khả năng (Roadrunner có khả năng thực hiện 1.042 triệu tỉ phép tính / giây)

1.3.3.2 Hệ mã hóa RSA

Sơ đồ

Là hệ mã hóa sử dụng các phép tính toán trong Zn, trong đó n là tích của hai số nguyên tố phân biệt p và q Ta nhận thấy: (n) = (p-1).(q-1)

Mô tả thuật toán:

1 Tạo cặp khóa (bí mật, công khai) (a, b) :

Chọn bí mật nguyên tố lớn p, q và tính n = p * q, công khai n, đặt P = C = Z n

Tính bí mật (n) = (p-1).(q-1) Chọn khóa công khai b < (n) và b lànguyên tố

Ta kiểm tra xem các phép mã hóa và giải mã có phải là nghịch đảo của nhau không vì:

a*b  1 (mod (n))

nên ta có: a*b  t(n) +1

với một số nguyên t ≥ 1 nào đó Giả sử x  Z n * khi đó ta có:

(x b ) a xt(n) +1(mod n)  (xt(n))x(mod n)  (1t)x(mod n)  x(mod n)

Thực hiện:

Thiết lập hệ RSA cần tuân theo các bước sau:

1 Tạo hai số nguyên tố lớn p và q

2 Tính n = p × q và (n) = (p-1).(q-1)

3 Chọn một số ngẫu nhiên b (với điều kiện 1 < b < (n)) sao cho

UCLN(b, (n)) = 1

4 Tính a = b-1 mod (n) dùng thuật toán Euclide mở rộng

5 Công bố n và b trong cùng một danh bạ và dùng chúng làm khóa công khai

Thám mã sẽ tính được a theo thuật toán Euclide mở rộng nếu biết được (n)

Việc phân tích n thành tích của p và q là bài toán không dễ dàng hay nói cách khác

Để chứng thực nguồn gốc hay hiệu lực của một tài liệu [1] trước đây người

ta dùng chữ ký “tay”, ghi vào phía dưới của mỗi tài liệu Như vậy người ký phải

trực tiếp “ký tay“ vào tài liệu

Ngày nay các tài liệu được số hóa, người ta cũng có nhu cầu chứng thực nguồn gốc hay hiệu lực của các tài liệu này Rõ ràng không thể “ký tay“ vào tài liệu, vì chúng không được in ấn trên giấy Tài liệu “số” (hay tài liệu “điện tử”) là một xâu các bit (0 hay 1), xâu bít có thể rất dài (có thể hàng nghìn trang) “Chữ ký”

để chứng thực một xâu bít tài liệu cũng không thể là một xâu bit nhỏ đặt phía dưới xâu bit tài liệu Một “chữ ký” như vậy chắc chắn sẽ bị kẻ gian sao chép để đặt dưới một tài liệu khác bất hợp pháp

“Chữ ký số” để chứng thực một “tài liệu số” đó chính là “bản mã” của xâu bit

tài liệu

Người ta tạo ra “chữ ký số” (chữ ký điện tử) trên “tài liệu số” giống như tạo

ra “bản mã” của tài liệu với “khóa lập mã”

Như vậy “ký số” trên “tài liệu số” là “ký” trên từng bit tài liệu Kẻ gian khó

thể giả mạo “chữ ký số” nếu nó không biết “khóa lập mã”

Để kiểm tra một “chữ ký số” thuộc về một “tài liệu số”, người ta giải mã “chữ

ký số” bằng “khóa giải mã”, và so sánh với tài liệu gốc

Ngoài ý nghĩa để chứng thực nguồn gốc hay hiệu lực của các tài liệu số hóa,

“chữ ký số” còn dùng để kiểm tra tính toàn vẹn của tài liệu gốc

Mặt mạnh của “chữ ký số” hơn “chữ ký tay” còn là ở chỗ người ta có thể

“ký” vào tài liệu từ rất xa (trên mạng công khai) Hơn thế nữa, có thể “ký” bằng các

thiết bị cầm tay tại khắp mọi nơi miễn là kết nối được vào mạng Đỡ tốn thời gian, sức lực, chi phí

“Ký số” thực hiện trên từng bit tài liệu, nên độ dài của “chữ ký số” ít nhất

cũng bằng độ dài của tài liệu Do đó thay vì ký trên tài liệu dài, người ta thường

dùng “hàm băm” để tạo “đại diện” cho tài liệu, sau đó mới “Ký số” lên “đại

V là tập các thuật toán kiểm thử

Với mỗi khóa k K, có thuật toán ký Sig kS, Sig k : P A,

có thuật toán kiểm tra chữ ký Ver kV, Ver k : P Ađúng, sai,

thoả mãn điều kiện sau với mọi x P, y A:

Đúng, nếu y = Sig k (x) Ver k (x, y) =

Sai, nếu y  Sig k (x)

Chú ý:

Người ta thường dùng hệ mã hóa khóa công khai để lập “Sơ đồ chữ ký số”

Ở đây khóa bí mật a dùng làm khóa “ký”, khóa công khai b dùng làm khóa kiểm tra “chữ ký”

Ngược lại với việc mã hóa, dùng khóa công khai b để lập mã, dùng khóa bí mật a để giải mã

Phân loại “Chữ ký số”:

1 Phân loại chữ ký theo khả năng khôi phục thông điệp gốc

- Chữ ký có thể khôi phục thông điệp gốc

- Chữ ký không thể khôi phục thông điệp gốc

2 Phân loại chữ ký theo mức an toàn:

- Chữ ký “bội” (Multy Signature)

- Chữ ký “mù nhóm” (Blind Group Signature)

- Chữ ký “mù bội” (Blind Multy Signature)

1 Tạo cặp khóa (bí mật, công khai) (a, b) :

Chọn bí mật số nguyên tố lớn p, q, tính n = p * q, công khai n, đặt P = A = Z n

Tính bí mật (n) = (p-1).(q-1)

Chọn khóa công khai b < (n), nguyên tố cùng nhau với (n)

Khóa bí mật a là phần tử nghịch đảo của b theo mod (n): a*b  1 (mod (n) Tập cặp khóa (bí mật, công khai) K = (a, b)/ a, b  Zn , a*b  1 (mod (n))

2 Ký số: Chữ ký trên x P là y = Sig k (x) = x a (mod n), y A (R1)

3 Kiểm tra chữ ký: Verk (x, y) = đúng  x  y b (mod n) (R2)