Chữ ký số trong giao dịch thương mại điện tử

Thấy được lợi ích khi sử dụng chữ ký số trên các tài liệu khi giao dịch giữa các đối tác trong thương mại điện tử và được sựđồng ý của giáo viên hướng dẫn, tôi đã chọn đề tài “Chữ ký số

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

NGUYỄN THỊ KIM HUỆ

CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên - 2015

MỤC LỤC MỤC LỤC .i LỜI CAM KẾT v LỜI CẢM ƠN vi DANH MỤC CÁC TỪ

VIẾT TẮT vii DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU viii MỞ

ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 3

1.1 Khái niệm về thương mại điện tử 3

1.1.1 Thương mại truyền thống 3

1.1.2 Thương mại điện tử 3

1.1.3 Nhu cầu về công nghệ thông tin trong thương mại điện tử 9

1.2 Các đặc trưng của thương mại điện tử 10

1.3 Lợi ích của thương mại điện tử 11

1.3.1.Thu thập được nhiều thông tin 11

1.3.2 Giảm chi phí sản xuất 12

1.3.3 Giảm chi phí bán hàng và tiếp thị và giao dịch 12

1.3.4 Xây dựng quan hệ đối tác 12

1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức 13

1.4 Giao dịch trong thương mại điện tử và những nguy cơ mất an toàn thông tin 14

1.5 Kết luận 15

CHƯƠNG 2: AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 17

2.1 Tổng quan về an toàn và bảo mật thông tin 17

2.1.1 An toàn và bảo mật thông tin 17

2.1.2 Mục tiêu của an toàn bảo mật thông tin 19

2.1.3 An toàn thông tin bằng mật mã 19

2.1.4 Nhu cầu về an toàn và bảo mật thông tin trong thương mại điện tử 26

2.2 Chữ ký số 28

2.2.1 Chữ ký số và chữ ký viết tay 28

2.2.2 Khái niệm chữ ký số 30

2.2.3 Đặc điểm của chữ ký số 31

2.2.4 Vai trò của chữ ký số 32

2.2.5 Lược đồ chữ ký số 33

2.2.6 Phân loại chữ ký số 35

2.3 Một số sơ đồ chữ ký số 36

2.3.1 Sơ đồ chữ ký số RSA 36

2.3.2 Sơ đồ chữ ký Elgama 40

2.3.3 Sơ đồ chữ ký DSA 45

2.4 Hàm băm 49

2.4.1 Sơ lược về hàm băm 49

2.4.2 Lý do sử dụng hàm băm trong chữ ký số 50

2.4.3 Hàm băm SHA-1 51

2.5 Hạ tầng khóa công khai PKI 53

2.5.1 Khái niệm 53

2.5.2 Cấu trúc và vai trò của PKI trong chương trình 54

2.5.3 Chứng chỉ số 55

2.6 Kết luận 58

CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 59

3.1 Đặt vân đê 59

3.2 Ứng dụng chữ ký số nhằm đảm bảo thông tin trong quá trình giao dịch giữa các bên 59

3.2.1 Những khía cạnh cần thiết về an toàn thông tin 59

3.2.2 Mô tả giao dịch thử nghiệm 60

3.3 Cài đặt thử nghiệm 61

3.3.1 Yêu cầu phần cứng và phần mềm 61

3.3.2 Mô tả các mô đun và giao diện chính của chương trình Demo 61

3.4 Kết luận 65

KẾT LUẬN 66

Kết quả của luận văn 66

Hướng nghiên cứu tiếp theo 66

TÀI LIỆU THAM KHẢO 67

LỜI CAM KẾT

Tài liệu được sử dụng trong luận văn được thu thập từ các nguồn kiến thức hợppháp, có trích dẫn nguồn tài liệu tham khảo Chương trinh s ử dụng mã nguồn mở, cóxuất xứ

Dưới sự giúp đỡ nhiệt tình và chỉ bảo chi tiết của giáo viên hướng dẫn, tôi đã hoànthành luận văn của mình Tôi xin cam kết luận văn này là của bản thân tôi làm và nghiêncứu, không hề trùng hay sao chép của bất kỳ ai

LỜI CẢM ƠN

Để hoàn thành chương trình cao học và viết luận văn này, em đã nhận được sựgiúp đỡ và đóng góp nhiệt tình của các thầy cô trường Đại học Công nghệ thông tin vàTruyền thông, Đại học Thái Nguyên

Trước hết, em xin chân thành cảm ơn các thầy cô trong khoa Đào tạo sau đại học,

đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong suốt những năm họcqua

Đặc biệt em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đỗ Trung Tuấn - người đãdành nhiều thời gian, công sức và tận tình hướng dẫn cho em trong suốt quá trình làmluận văn

Xin chân thành cảm ơn gia đình, bạn bè đã nhiệt tình ủng hộ, giúp đỡ, độngviên cả về vật chất lẫn tinh thần trong thời gian học tập và nghiên cứu

Trong quá trình thực hiện luận văn, mặc dù đã rất cố gắng nhưng cũng không tránhkhỏi những thiếu sót Kính mong nhận được sự cảm thông và tận tình chỉ bảo của các thầy

cô và các bạn

DANH MỤC CÁC TỪ VIẾT TẮT

ANSI American National Standards Institute

B2B Business to business B2C

Business to customers Client

Khách, Máy khách Client/ server Khách /

IDE Integrated Development Environment

ISO International Organization for Standardization

LHQ Liên hiệp quốc

Server Máy chủ, phía máy chủ SQL

Structured Query Language TMĐT Thương

mại điện tử

XML eXtensible Markup Language

DSS Digital Signature Standard

CA Xác thực, certificate authoring

người sáng lập Ron Rivest, Adi Shamir và LeonardAdleman

PKI Public Key Infrastructure

Digital Signature Scheme Lược đồ ký số

DSA Digital Signature Algorithm

SHA Security Hash Algorithm, thuât toán băm an toàn

SHA

DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU

Bảng 1.1: So sánh các bước trong chu trình mua bán giữa TM truyền thống và

TMĐT 6

Hình 1.1 Mô hình giao dịch B2B 7

Hình 1.2 Mô hình giao dịch B2C 8

Hình 2.1 Sơ đồ mã hóa và giải mã 22

Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng 23

Hình 2.3 Sơ đồ hoạt động của mã hóa bất đối xứng 25

Bảng 2.1 So sánh chữ ký viết tay và chữ ký số 30

Hình 2.4 Quy trình tạo chữ ký số 34

Hình 2.5 Quy trình xác thực chữ ký số 35

Hình 2.6 Quá trình sinh chữ ký số 38

Hình 2.7 Quá trình xác nhận chữ ký số 39

Hình 2.8 Sơ đồ ElGalma 41

Hình 2.9 Sơ đồ chữ ký DSA 46

Hình 2.10 Thí dụ về hàm băm 49

Hình 2.11 Chức năng các thành phần trong hệ thống PKI 54

Hình 3.1 Vai trò của xác thực người dùng 60

Hình 3.2 Mô đun tạo cặp khóa RSA cho người dùng 62

Hình 3.3 Mô đun tạo chữ ký số 63

Hình 3.4 Mô đun kiểm tra chữ ký số 64

MỞ ĐẦU

Với sự phát triển nhanh chóng của Internet, cùng với sự phát triển của nền kinh

tế theo hướng hiện đại thì việc trao đổi thông tin, giao dịch hay mua bán hàng hóa…theophương thức trực tiếp ngày càng giảm mà thay vào đó là các dịch vụ qua Internet Dịch

vụ thương mại điện tử (TMĐT) (Electronic-Commerce) là một bước phát triển nhảy vọttrong việc ứng dụng Internet vào cuộc sống và kinh doanh Thông qua TMĐT, nhiều loạihình kinh doanh mới được hình thành, trong đó có việc mua bán hàng hóa và dịch vụ trênmạng Với hình thức này sẽ tiết kiệm thời gian cho người tiêu dùng trong việc tiếp cận, lựachọn hàng hóa theo nhu cầu, sở thích và trong việc thanh toán Đồng thời tăng tính cạnhtranh, mở rộng thị trường, giảm chi phí bán hàng và tiếp thị cho các doanh nghiệp kinhdoanh

Thương mại điện tử [14], hay còn gọi là e-commerce, e-comm hay EC, là sự muabán sản phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng máy tính.Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quả n l ý c h uỗ i d

â y ch u y ề n c u n g ứ n g, ti ếp t hị I n tern e t , q u á t r ìn h gia o d ị c h tr ự c t u y ế n , tra o đ ổ i d ữ l iệ u đ

iệ n t ử (EDI ), các h ệ t h ốn g q u ả n l ý h àn g t ồ n k ho , và các hệ thống tự động thu thập dữliệu Thương mại điện tử hiện đại thường được thực hiện trên công nghệ World WideWeb, kèm theo các thiết bị công nghệ như: Email, điện thoại di động…

Thương mại điện tử là một phần không thể thiếu được trong môi trường kinhdoanh điện tử (e-business), đảm bảo cho vấn đề trao đổi dữ liệu, thanh toán dịch vụ trênmạng Internet

E-commerce có thể được phân chia thành [14]:

E-ta i l i ng ( bán lẻ trực tuyến) hoặc "cửa hàng ảo" trên tr a n g w eb v ới các danhmục trực tuyến, đôi khi được gom thành các "trung tâm mua sắm ảo"

Tra

o đổ i d ữ l i ệ u đ iệ n tử (ED I ) , trao đổi dữ liệu giữa Do a n h n gh i ệ p v ớ i D oa nh ngh i ệp

Email và fax, cách sử dụng chúng như là phương tiện cho việc tiếp cận vàthiếp lập mối quan hệ với k hác h h à n g ( ví dụ như bản tin - newsletters)

Việc mua và bán giữa Doa nh n ghi ệp v ớ i Do a n h n gh i ệ p

Bảo mật các giao dịch kin h do a nh

Tóm lại, thương mại điện tử chỉ xảy ra trong môi trường kinh doanh mạng Internet

và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các công cụ, kỹthuật và công nghệ điện tử

Nhưng đồng nghĩa với việc bên mua và bên bán không gặp nhau trực tiếp mà chỉtrao đổi thông tin, giao dịch qua Internet và các phương tiện điện tử nên rất dễ xảy ra tìnhtrạng lừa đảo, giả mạo thông tin, gây mất mát thông tin và tài sản Vì vậy, điều quan trọngtrong thương mại điện tử là tính ràng buộc pháp lý nhằm bảo đảm thông tin giữa các bêntrong hoạt động kinh doanh, mua bán hàng hóa, dịch vụ Chữ ký số là một thành tố rấtquan trọng trong TMĐT, nhằm đảm bảo độ an toàn thông tin, tính toàn vẹn dữ liệu vàchống chối bỏ trách nhiệm trên nội dung đã ký giữa các đối tác thực hiện hoạt động kinhdoanh, nghiệp vụ, dịch vụ,… với các ràng buộc pháp lý Thấy được lợi ích khi sử dụng chữ

ký số trên các tài liệu khi giao dịch giữa các đối tác trong thương mại điện tử và được sựđồng ý của giáo viên hướng dẫn, tôi đã chọn đề tài “Chữ ký số trong giao dịch thương mạiđiện tử” làm nội dung nghiên cứu cho luận văn của mình

Luận văn gồm 3 chương:

Chương 1: Tổng quan về thương mại điện tử

Chương 2: An toàn thông tin và chữ ký số trong giao dịch thương mại điện tử

Chương 3: Cài đặt và thử nghiệm chữ ký số trong giao dịch TMĐT

Cuối luận văn là phần kết luận và danh sách các tài liệu tham khảo

CHƯƠNG 1.

TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm về thương mại điện tử

1.1.1 Thương mại truyền thống

Thương mại truyền thống (TMTT) là sự trao đổi hàng hóa/dịch vụ của ít nhất haiphía tham gia Bao gồm tất cả các hoạt động của các bên tham gia để hoàn thành các giaodịch mua bán Hệ thống trao đổi hàng hóa/dịch vụ dựa trên nguyên tắc tiền tệ Là mộtkênh phân phối hàng hóa từ nhà sản xuất đến người tiêu dùng thông qua các trung giannhư nhà phân phối, đại lý và các điểm bán lẻ như cửa hàng tạp hóa, bách hóa, Các hoạtđộng trong giao dịch mua bán là các hoạt động mà hai bên mua và bán cam kết thực hiệnnhằm thực hiện một giao dịch mua bán (chuyển tiền - đơn đặt hàng - gửi hóa đơn -chuyển hàng đến người mua)

Tuy nhiên mô hình này có nhược điểm là công ty hoàn toàn thụ động trong việckiểm soát đích đến của hàng hóa và các chương trình khuyến mãi cũng như tính liên tụctrong cung ứng và sự thống nhất của giá cả đến tay người tiêu dùng

1.1.2 Thương mại điện tử

1.1.2.1 Khái niệm thương mại điện tử

Thương mại điện tử được biết đến với nhiều tên gọi khác nhau như "thương mạiđiện tử" (Electronic commerce), "thương mại trực tuyến" (Online trade), "thương mạikhông giấy tờ" (Paperless commerce) hoặc "kinh doanh điện tử" (E-business) Tuy nhiên,

"thương mại điện tử" vẫn là tên gọi phổ biến nhất và được dùng thống nhất trong các vănbản hay công trình nghiên cứu của các tổ chức hay các nhà nghiên cứu Thương mại điện

tử bắt đầu bằng việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử vàmạng viễn thông, các doanh nghiệp tiến tới ứng dụng công nghệ thông tin vào mọi hoạtđộng của mình, từ bán hàng, marketing, thanh toán đến mua sắm, đào tạo, phối hợp hoạtđộng với nhà cung cấp, đối tác, khách hàng, khi đó

thương mại điện tử phát triển thành kinh doanh điện tử, và doanh nghiệp ứng dụngthương mại điện tử ở mức cao được gọi là doanh nghiệp điện tử Như vậy, có thể hiểukinh doanh điện tử là mô hình phát triển của doanh nghiệp khi tham gia thương mại điện

tử ở mức độ cao và ứng dụng công nghệ thông tin chuyên sâu trong mọi hoạt động củadoanh nghiệp

Cho đến nay, có nhiều định nghĩa khác nhau về thương mại điện tử Các địnhnghĩa này dựa trên các khía cạnh, các quan điểm khác nhau [1][ 2][4]

Khái niệm TMĐT theo nghĩa hẹp [4]: theo nghĩa hẹp, thương mại điện tử là việcmua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, đặcbiệt là máy tính và Internet Cách hiểu này tương tự với một số quan điểm như:

TMĐT là các giao dịch thương mại về hàng hóa và dịch vụ được thực hiện

thông qua các phương tiện điện tử (Diễn đàn đối thoại xuyên Đại Tây Dương, 1997)

TMĐT là việc thực hiện các giao dịch kinh doanh có dẫn tới việc chuyển giao

giá trị thông qua các mạng viễn thông (EITO, 1997)

TMĐT là việc hoàn thành bất kỳ một giao dịch nào thông qua một mạng máy tínhlàm trung gian mà bao gồm việc chuyển giao quyền sở hữu hay quyền sử dụng hàng hóa

và dịch vụ (Cục thống kê Hoa Kỳ, 2000)

Khái niệm TMĐT theo nghĩa rộng: liên minh Châu Âu (EU): TMĐT bao gồm các giaodịch thương mại thông qua các mạng viễn thông và sử dụng các phương tiện điện tử Nóbao gồm TMĐT gián tiếp (trao đổi hàng hóa hữu hình) và TMĐT trực tiếp (trao đổi hànghóa vô hình) Thương mại điện tử là việc trao đổi thông tin thương mại thông qua cácphương tiện điện tử, không cần phải in ra giấy bất cứ công đoạn nào của toàn bộ quátrình giao dịch

TMĐT theo nghĩa rộng được định nghĩa trong luật mẫu về thương mại điện tử của

Ủy ban LHQ về luật thương mại quốc tế: “Thuật ngữ thương mại cần được diễn giải theonghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất

thương mại dù có hay không có hợp đồng Các quan hệ mang tính chất thương mại baogồm các giao dịch sau đây: bất cứ giao dịch nào về thương mại về cung cấp hoặc trao đổihàng hoá hoặc dịch vụ, thoả thuận phân phối, đại diện hoặc đại lý thương mại, uỷ tháchoa hồng, cho thuê dài hạn, xây dựng các công trình, tư vấn, kỹ thuật công trình, đầu tư,cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc tô nhượng, liên doanh các hìnhthức khác về hợp tác công nghiệp hoặc kinh doanh, chuyên chở hàng hoá hay hành kháchbằng đường biển, đường không, đường sắt hoặc đường bộ” [4].

Như vậy, có thể thấy rằng phạm vi của thương mại điện tử rất rộng, bao quát hầuhết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ chỉ là một tronghàng ngàn lĩnh vực áp dụng của thương mại điện tử Theo nghĩa hẹp TMĐT chỉgồm các hoạt động thương mại được tiến hành trên mạng máy tính mở như Internet.Trên thực tế chính các hoạt động thương mại thông qua mạng Internet đã làm phát sinhthuật ngữ thương mại điện tử

1.1.2.2 Giao dịch trong thương mại điện tử

Giao dịch thương mại (Commercial transaction) là sự tương tác giữa hai bên hoặcnhiều bên, trong đó hàng hóa, dịch vụ hoặc một đồ vật có giá trị được trao đổi Các khíacạnh liên quan đến các giao dịch thương mại, chẳng hạn như các quy định về người đạidiện và hợp đồng được điều chỉnh bởi pháp luật [10]

Theo luật giao dịch điện tử của nước CHXHCN Việt Nam "Giao dịch điện tử là giaodịch có sử dụng thông điệp dữ liệu được thực hiện bằng phương tiện điện tử"

Giao dịch trong TMĐT là một hệ thống bao gồm: các giao dịch liên quan đến muabán hàng hóa và dịch vụ, tạo thu nhập; các giao dịch có khả năng trợ giúp quá trình tạo rathu nhập: kích thích nhu cầu đối với hàng hóa và dịch vụ, cung ứng dịch vụ trợ giúp bánhàng, trợ giúp người tiêu dùng, hoặc trợ giúp trao đổi thông tin giữa các doanh nghiệp

Việc tiến hành các hoạt động thương mại trên các mạng điện tử cũng loại bỏmột số giới hạn vật lý nhất định Các hệ thống máy tính trên Internet có thể được lắp

đặt để cung cấp trợ giúp khách hàng 24/7 Các đơn đặt hàng đối với hàng hóa và dịch vụ của doanh nghiệp cũng có thể được tiếp nhận bất kỳ khi nào, ở đâu.

Giao dịch thương mại truyền thống và giao dịch TMĐT có nhiều điểm khác biệt cơbản Để hiểu rõ sự khác biệt này, xem xét một chu trình mua bán một sản phẩm cụ thể:

Bảng 1.1: So sánh các bước trong chu trình mua bán giữa TM truyền thống và TMĐT STT Các bước trong chu trình bán

hàng

2

Yêu cầu mua sản phẩm,

chuyển yêu cầu đã chấp

nhận

Thư tín điện tử,trang Web

Web8

tuyến

Internet

tuyến

Kết luận:

Giao dịch trong thương mại truyền thống và TMĐT có nhiều bước thực hiện giốngnhau, tuy nhiên cách thức thông tin được nhận và chuyển tải lại khác nhau.

Về mặt công nghệ, giao dịch trên cơ sở giấy tờ truyền thống và giao dịch dựa trên

cơ sở máy vi tính khác nhau về nguyên tắc, thao tác thực hiện và những quy định về luậtpháp

Việc tạo, gửi và nhận các tài liệu trên cơ sở dữ liệu trong máy vi tính rất thuận tiện,nhanh chóng và ít tốn kém, nhưng lại có nhược điểm là các tài liệu dễ dàng bị sao chép vàkhông thể phân biệt được các bản sao với bản gốc như tài liệu trên giấy Chính vì vậy việcđảm bảo an toàn thông tin trong giao dịch TMĐT là rất cần thiết

1.1.2.3 Các loại hình Thương mại điện tử

Có nhiều tiêu chí khác nhau để phân loại các hình thức/mô hình TMĐT, căn cứvào phân loại theo đối tượng tham gia thì có bốn chủ thể chính tham gia vào các giao dịchthương mại điện tử: Chính phủ (G), doanh nghiệp (B), khách hàng cá nhân (C), người laođộng (E) Việc kết hợp các chủ thể này lại với nhau sẽ được những mô hình TMĐT khácnhau Dưới đây là một số mô hình TMĐT phổ biến nhất hiện nay [4]:

1 B2B (Business - To - Business): Là loại hình giao dịch qua các phương tiện điện tửgiữa doanh nghiệp với doanh nghiệp Các giao dịch B2B chủ yếu được thực hiện trên các

hệ thống ứng dụng thương mại điện tử như mạng giá trị gia tăng VAN, các sàn giao dịchthương mại điện tử B2B (emarketplaces)

Hình 1.1 Mô hình giao dịch B2B

2 B2C (Business - To - Customer): Thương mại điện tử B2C là chỉ bao gồm các giaodịch thương mại trên Internet giữa doanh nghiệp với khách hàng, mà trong đó, đối tượngkhách hàng của loại hình này là các cá nhân mua hàng Loại hình này áp dụng cho bất kỳdoanh nghiệp hay tổ chức nào bán các sản phẩm hoặc dịch vụ của

họ cho khách hàng qua Internet, phục vụ cho nhu cầu sử dụng của cá nhân

Khách

Cô Khách

Hình 1.2 Mô hình giao dịch B2C

3 B2G (Business - To - Government): là loại hình giao dịch giữa doanh nghiệp với

cơ quan nhà nước, trong đó cơ quan nhà nước đóng vai trò khách hàng Quá trình traođổi thông tin giữa doanh nghiệp với cơ quan nhà nước được tiến hành qua các phươngtiện điện tử Cơ quan nhà nước cũng có thể thiết lập những website tại đó đăng tải thôngtin về nhu cầu mua hàng của các cơ quan nhà nước, tiến hành việc đấu thầu hàng hoá,dịch vụ và lựa chọn nhà cung cấp trên website Điều này một mặt giúp tiết kiệm các chi phítìm nhà cung cấp, đồng thời giúp tăng cường tính minh bạch trong hoạt động mua sắmcông

4 C2C (Customer - To - Customer): là loại hình giao dịch giữa các cá nhân vớinhau Sự phát triển của các phương tiện điện tử làm cho nhiều cá nhân có thể tham giahoạt động thương mại với tư cách là người bán, người cung cấp dịch vụ Một cá nhân cóthể tự thiết lập website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng mộtwebsite có sẵn để đấu giá một số món hàng mình có C2C góp phần tạo nên sự đa dạngcủa thị trường

5 G2C ( Government - To Customer): là loại hình giao dịch giữa cơ quan nhà nước

mang những yếu tố của TMĐT Ví dụ khi người dân đóng tiền thuế qua mạng, trả phí khi đăng ký hồ sơ trực tuyến, v.v…

1.1.3 Nhu cầu về công nghệ thông tin trong thương mại điện tử

Internet cho phép mọi người trên khắp thế giới kết nối với nhau một cách đáng tincậy và với chi phí không đắt Internet là động lực cho thương mại điện tử khi chúng chophép doanh nghiệp trưng bầy và bán sản phẩm và dịch vụ của họ trên mạng và đưanhững khách hàng tiềm năng, khách hàng tương lai và đối tác kinh doanh tiếp cận tớithông tin về doanh nghiệp này và sản phẩm cũng như dịch vụ của họ mà dẫn đến việcmua hàng Trước khi Internet được sử dụng cho các mục đích thương mại, các công ty sửdụng các mạng riêng như EDI (trao đổi dữ liệu điện tử) để giao dịch kinh doanh với nhau

Đó là hình thái sớm hơn của thương mại điện tử Tuy nhiên, lắp đặt và duy trì một mạngriêng rất tốn kém Với Internet, thương mại điện tử đã phát triển nhanh chóng bởi vì chiphí thấp hơn và bởi vì Internet dựa trên các tiêu chuẩn mở

Sự phát triển của TMĐT gắn liền và tác động qua lại với sự phát triển của côngnghệ thông tin: thương mại điện tử là việc ứng dụng công nghệ thông tin vào trong mọihoạt động thương mại, vì vậy mà sự phát triển của công nghệ thông tin sẽ thúc đẩythương mại điện tử phát triển nhanh chóng, tuy nhiên sự phát triển của thương mại điện

tử cũng thúc đẩy và gợi mở nhiều lĩnh vực của công nghệ thông tin như phần cứng vàphần mềm chuyên dụng cho các ứng dụng thương mại điện tử, dịch vụ thanh toán chothương mại điện tử, cũng như đẩy mạnh sản xuất trong lĩnh vực công nghệ thông tin nhưmáy tính, thiết bị điện tử, thiết bị viễn thông, thiết bị mạng

Giao dịch thương mại điện tử có thể hoàn toàn qua mạng Trong hoạt độngthương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm phán, giaodịch và đi đến ký kết hợp đồng Còn trong hoạt động thương mại điện tử nhờ việc sửdụng các phương tiện điện tử có kết nối với mạng viễn thông, chủ yếu là sử dụng mạngInternet, các bên tham gia vào giao dịch không phải gặp gỡ nhau trực tiếp

mà vẫn có thể đàm phán, giao dịch được với nhau dù cho các bên tham gia giao dịch

ở bất cứ nơi nào, quốc gia nào

1.2 Các đặc trưng của thương mại điện tử

So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau [3] [4]:

 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực

tiếp với nhau và không đòi hỏi phải biết nhau từ trước: trong thương mại truyền thống,

các bên thương gặp gỡ nhau trực tiếp để tiến hành giao dịch Các giao dịch được thựchiện chủ yếu theo nguyên tắc vật lý như chuyển tiền, séc hóa đơn, vận đơn, gửi báo cáo.Các phương tiện viễn thông như: fax, telex, chỉ được sử dụng để trao đổi số liệu kinhdoanh Tuy nhiên, việc sử dụng các phương tiện điện tử trong thương mại truyền thốngchỉ để chuyển tải thông tin một cách trực tiếp giữa hai đối tác của cùng một giao dịch.Thương mại điện tử cho phép mọi người cùng tham gia từ các vùng xa xôi hẻo lánh đếncác khu vực đô thị lớn, tạo điều kiện cho tất cả mọi người ở khắp mọi nơi đều có cơ hộingang nhau tham gia vào thị trường giao dịch toàn cầu và không đòi hỏi nhất thiết phải

có mối quen biết với nhau

 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của kháiniệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trườngkhông có biên giới (thị trường thống nhất toàn cầu): thương mại điện tử trực tiếp tácđộng tới môi trường cạnh tranh toàn cầu Thương mại điện tử càng phát triển, thì máytính cá nhân trở thành cửa sổ cho doanh nghiệp hướng ra thị trường trên khắp thế giới.Với thương mại điện tử, một doanh nhân dù mới thành lập đã có thể kinh doanh ở NhậtBản, Đức và Chilê , mà không hề phải bước ra khỏi nhà, một công việc trước kia phảimất nhiều năm

 Trong hoạt động giao dịch thương mại điện tử đều có sự tham gia của ít nhất

ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng,các cơ quan chứng thực: trong thương mại điện tử, ngoài các chủ thể tham gia quan hệgiao dịch giống như giao dịch thương mại truyền thống đã xuất hiện một

bên thứ ba đó là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực… là những ngườitạo môi trường cho các giao dịch thương mại điện tử Nhà cung cấp dịch vụ mạng và cơquan chứng thực có nhiệm vụ chuyển đi, lưu giữ các thông tin giữa các bên tham gia giaodịch thương mại điện tử, đồng thời họ cũng xác nhận độ tin cậy của các thông tin tronggiao dịch thương mại điện tử.

 Trong thương mại điện tử thì mạng lưới thông tin chính là thị trường: trongthương mại truyền thống các bên phải gặp gỡ nhau trực tiếp để tiến hành đàm phán,giao dịch và ký kết hợp đồng Còn trong thương mại điện tử các bên không phải gặp gỡnhau trực tiếp mà vẫn có thể tiến hành đàm phán, ký kết hợp đồng Các bên có thể truycập vào hệ thống thông tin của nhau qua mạng Internet, mạng extranet,…để tìm hiểuthông tin và từ đó tiến hành đàm phán ký kết hợp đồng Ví dụ các doanh nghiệp có thểtìm kiếm các đối tác trên khắp toàn cầu chỉ cần vào các trang tìm kiếm như Google,yahoo hay các cổng thương mại điện tử như Ecvn.com, Alibaba.com,…

1.3 Lợi ích của thương mại điện tử

Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động củathương mại điện tử thì TMĐT đã mang lại cho con người và xã hội những lợi ích sau[4]:

1.3.1.Thu thập được nhiều thông tin

TMĐT giúp cho các cá nhân, doanh nghiệp khi tham gia thu nhận và nắm đượcthông tin phong phú về thị trường và đối tác Các doanh nghiệp nắm được các thông tinphong phú về kinh tế thị trường, nhờ đó có thể xây dựng được chiến lược sản xuất vàkinh doanh thích hợp với xu thế phát triển của thị trường trong nước, trong khu vực vàquốc tế Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa và nhỏ, hiện nay đangđược các nước quan tâm và được coi là một trong những động lực phát triển kinh tế

1.3.2 Giảm chi phí sản xuất

TMĐT giúp giảm chi phí sản xuất, trong đó đầu tiên kể đến là chi phí văn phòng.Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyểngiao tài liệu giảm nhiều lần trong đó khâu in ấn gần như bỏ hẳn Theo số liệu của hãngGeneral Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 %

Điều quan trọng hơn, với góc độ chiến lược là các nhân viên có năng lực được giảiphóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển, sẽ đưađến những lợi ích to lớn lâu dài

1.3.3 Giảm chi phí bán hàng và tiếp thị và giao dịch

Thông qua Internet giúp người tiêu dùng và các doanh nghiệp giảm đáng kểthời gian và chí phí giao dịch:

TMĐT giúp giảm thấp chi phí bán hàng và chi phí tiếp thị Bằng phương tiệnInternet/Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng,catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khổgiới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên web được cập nhậttường xuyên

TMĐT qua Internet/Web giúp người tiêu thụ và các doanh nghiệp giảm đáng

kể thời gian và chi phí giao dịch Thời gian giao dịch qua Internet chỉ bằng 7% thời giangiao dịch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao dịch qua bưu điệnchuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10% đến 20% chiphí thanh toán theo lối thông thường

1.3.4 Xây dựng quan hệ đối tác

Thương mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan hệgiữa các thành viên tham gia quá trình thương mại thông qua mạng Internet cácthành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục với nhau,

có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ đó sự hợp tác

và quản lý đều được tiến hành nhanh chóng một cách liên tục, các

bạn hàng mới, các cơ hội kinh doanh mới được phát hiện nhanh chóng trênphạm vi toàn thế giới và có nhiều cơ hội để lựa chọn hơn.

1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức

Trước hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở cho pháttriển kinh tế tri thức Lợi ích này có một ý nghĩa lớn đối với các nước đang phát triển, nếukhông nhanh chóng tiếp cận nền kinh tế tri thức thì sau khoảng một thập kỷ nữa nướcđang phát triển có thể bị bỏ rơi hoàn toàn Khía cạnh lợi ích này mang tính chiến lược côngnghệ và tính chính sách phát triển cần cho các nước công nghiệp hoá

Ưu điểm tuyệt đối của Thương mại Điện tử là cho phép người sử dụng thực hiệncác hoạt động kinh doanh ngay lập tức trên quy mô toàn cầu, từ việc quảng cáo công ty,tiếp thị sản phẩm, đàm phán và đặt hàng cho đến các khâu thanh toán, giữ liên hệ vớikhách hàng và hỗ trợ sau bán hàng Bởi vì:

Thương mại điện tử giúp người bán:

 Tiếp thị hiệu quả sản phẩm và dịch vụ của mình ra khắp thế giới

 Tạo kênh bán hàng trực tiếp tới khách hàng với quy mô rộng, tốc độ nhanh

và chi phí giảm rất nhiều so với các kênh bán hàng truyền thống khác

 Mở ra khả năng xuất khẩu hàng ra nước ngoài

giao dịch thương mại

doanh liên tục 24/24 giờ, liên tục 07 ngày trong tuần với chi phí rất thấp.Không cần nhân viên giám sát khách hàng như tại các siêu thị bình thường,không cần bỏ tiền thuê địa điểm bán hàng, không cần hệ thống kiểm tra, giớithiệu sản phẩm, không cần hệ thống tính tiền, Tất cả đều được Website làm

tự động, rất nhanh chóng và với độ chính xác tuyệt đối

 Tại cùng một thời điểm, Website Thương mại điện tử có thể phục vụ hàng triệulượt người mua hàng ở khắp nơi trên thế giới với các yêu cầu rất khác nhau vềthông tin sản phẩm, chủng loại sản phẩm, giá cả, hình ảnh, chất lượng, mẫumã,

biến động của thị trường

nghiệp: "Kinh doanh ngay cả khi bạn đang ngủ"

Thương mại điện tử giúp người mua:

 Có thêm một hình thức mua hàng thuận tiện, dễ dàng, nhanh chóng

 Có thêm một hình thức thanh toán mới tiện lợi, an toàn

 Mở rộng sự chọn lựa khi mua hàng theo thị hiếu và nhu cầu

 Có cơ hội mua sản phẩm và dịch vụ trực tiếp từ nhà sản xuất hoặc nhàcung cấp chính không qua trung gian

kiếm bất kỳ thông tin nào về sản phẩm theo nhu cầu, so sánh giá cả, đặt muahàng với hệ thống tính toán tiền tự động, đầy đủ, rõ ràng, trung thực và chínhxác nhất

1.4 Giao dịch trong thương mại điện tử và những nguy cơ mất an toàn thông tin

Theo [9][10] Giữa giao dịch thương mại truyền thống và giao dịch TMĐT có nhiềuđiểm khác biệt cơ bản trong việc nhận và chuyển tải thông tin giữa các bên tham gia giaodịch Về mặt công nghệ, giao dịch trên cơ sở truyền thống và giao dịch số hóa khác nhau

về nguyên tắc, thao tác thực hiện và những quy định về luật pháp Từ đó nảy sinh các vấn

đề mới trong giao dịch TMĐT

Nếu việc tạo ra, gửi và nhận một tài liệu trên giấy phức tạp, mất nhiều thờigian và chi phí thì việc tạo, gửi và nhận các tài liệu trên các phương tiện điện tử rất

thuận tiện, nhanh chóng và ít tốn kém Tuy vậy, một tài liệu trên giấy khi được ký (bảngốc) mang tính duy nhất và không thể sao chép Ngược lại một tài liệu điện tử không cótính chất này, nó dễ dàng tạo ra các bản sao giống hệt và không thể phân biệt các bản saonày với các bản gốc.

Bản chất của TMĐT là hình thức kinh doanh qua mạng Internet Internet ngoài việcđem lại nhiều lợi ích còn là môi trường phát triển TMĐT, thì nó cũng là môi trường rấtthuận lợi cho kẻ phá hoại thực hiện các ý đồ xấu của mình như xem trộm thông điệp trênđường truyền, tấn công phá hoại nội dung thông tin, giả mạo thông điệp hay giả mạongười dùng,…

Ngoài ra, khi giao dịch thương mại điện tử thì các tài liệu giữa các bên gửi cho nhau

dễ dàng bị kẻ xấu (hacker) đánh cắp, thay thế sửa sai hoặc cố tính phá hỏng thông tin haynguy cơ mạo danh chối cãi nguồn gốc, những điều này có thể làm mất đi cơ hội kinhdoanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp Vì vậy, trong giao dịchthương mại nói chung và giao dịch thương mại điện tử nói riêng, việc đảm bảo an toànthông tin trong giao dịch và rất quan trọng và cần thiết Một trong những biện pháp bảođảm an toàn thông tin trong giao dịch thương mại điện tử đó là sử dụng chữ ký số Sửdụng chữ ký số nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người kháccủa dữ liệu trong giao dịch Chữ ký số là một công cụ bảo mật an toàn nhất hiện nay Nó

là bằng chứng xác thực người gửi chính là tác giả của thông điệp mà không phải là một aikhác

Không những thế, khi chữ ký số được gắn với một thông điệp điện tử thì đảm bảorằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoàingười ký ban đầu Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng

1.5 Kết luận

Chương trên trình bày một số khái niệm cơ bản về thương mại điện tử, gồm một

số kiến thức tổng quát thương mại điện tử Trong đó nêu rõ các yêu cầu cơ bản đối vớicác giao dịch thương mại điện tử Trong quá trình giao dịch giữa các bên

trong thương mại điện tử có một số nguy cơ làm ảnh hưởng đến quá trình giao dịch giữabên mua và bán, cần được khắc phục Vấn đề đảm bảo an toàn thông tin trong giao dịch làvấn đề rất được quan tâm trong hoạt động thực tiễn của thương mại điện tử Điều nàydẫn đến việc sử dụng chữ ký số là một trong những giải pháp nhằm đảm bảo an toànthông tin trong thương mại điện tử.

CHƯƠNG 2.

AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN

TỬ 2.1 Tổng quan về an toàn và bảo mật thông tin

2.1.1 An toàn và bảo mật thông tin

Từ xưa đến nay thông tin luôn là yếu tố quan trọng trong các hoạt động của đờisống con người Trong thời đại ngày nay, các phương thức truyền đạt thông tin ngày càng

đa dạng và phát triển Với sự ra đời của máy tính và mạng máy tính, việc trao đổi thôngtin đã trở nên dễ dàng hơn, nhanh chóng hơn, đa dạng hơn Nhưng kèm theo đó là cácnguy cơ xâm phạm thông tin cũng ngày càng tăng

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện

tử - viễn thông và công nghệ thông tin không ngừng được phát triển, ứng dụng để nângcao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệthông tin dữ liệu cũng được đổi mới Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng,

có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp đượcthực hiện để bảo vệ an toàn thông tin dữ liệu Các phương pháp bảo vệ an toàn thông tin

dữ liệu có thể được quy tụ vào ba nhóm sau:

1 Bảo vệ an toàn thông tin bằng các biện pháp hành chính

2 Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

3 Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trường khóbảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xâm nhập nhất đó làmôi trường mạng và truyền tin Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trênmạng truyền tin và mạng máy tính là biện pháp thuật toán

An toàn thông tin bao gồm các nội dung sau:

 Tính bí mật: tính kín đáo riêng tư của thông tin

 Tính xác thực của thông tin: bao gồm xác thực đối tác (bài toán nhậndanh), xác thực thông tin trao đổi.

 Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác tráchnhiệm về thông tin mà mình đã gửi

 Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận

không thể chối bỏ sau khi đã gửi hoặc nhận thông tin

Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính

có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năngkhông an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệuđược lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng Xác định càng chínhxác các nguy cơ nói trên thì càng quyết định tốt được các giải pháp để giảm thiểu cácthiệt hại

Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi phạmthụ động Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin(đánh cắp thông tin) Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể dò

ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầucác gói tin Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi Vì vậy viphạm thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được trao đổi

Vi phạm thụ động thường khó phát hiện nhưng có thể có những biện pháp ngăn chặn hiệuquả Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ, sắpxếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian Vi phạmchủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tintrao đổi Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơnnhiều

Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là antoàn tuyệt đối Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo

là an toàn tuyệt đối

2.1.2 Mục tiêu của an toàn bảo mật thông tin

Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm bảocác mục tiêu sau:

 Tính bí mật (Confjdentialy): đảm bảo dữ liệu được truyền đi một cách an toàn

và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có được nội dungcủa dữ liệu gốc ban đầu Chỉ những người được phép mới có khả năng đọcđược nội dung thông tin ban đầu

 Tính xác thực (Authentication): giúp cho người nhận dữ liệu xác định được chắc

chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu Kẻ giả mạo không thể có khảnăng để giả dạng một người khác hay nói cách khác không thể mạo danh đểgửi dữ liệu Người nhận có khả năng kiểm tra nguồn gốc thông tin mà họ nhậnđược

 Tính toàn vẹn (Integrity): giúp cho người nhận dữ liệu kiểm tra được rằng dữ

liệu không bị thay đổi trong quá trình truyền đi Kẻ giả mạo không thể có khảnăng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo

 Tính không thể chối bỏ (Non-repudation): người gửi hay người nhận

không thể chối bỏ sau khi đã gửi hoặc nhận thông tin

2.1.3 An toàn thông tin bằng mật mã

2.1.3.1 Giới thiệu hệ mật mã

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin bímật Ngành Mật mã (cryptology) thường được quan niệm như sự kết hợp của 2 lĩnhvực con:

cấp các công cụ hay dịch vụ đảm bảo an toàn thông tin, gồm hai quá trình mãhóa và giải mã

 Phá giải mã (cryptanalysis): nghiên cứu các kỹ thuật toán học phục vụ phântích phá mật mã và/hoặc tạo ra các đoạn mã giả nhằm đánh lừa bên nhận tin.

Hai lĩnh vực con này tồn tại như hai mặt đối lập, “đấu tranh để cùng pháttriển” của một thể thống nhất là ngành khoa học mật mã (cryptology) Tuy nhiên, do lĩnhvực thứ hai (cryptanalysis) ít được phổ biến quảng đại nên dần dần, cách hiểu chung hiệnnay là đánh đồng hai thuật ngữ cryptography và cryptology

Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng nhậnthức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá trình nàyđược gọi là mã hoá thông tin (encryption), ở trạm nhận phải thực hiện quá trình ngượclại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã được mã hoá) vềdạng nhận thức được (dạng gốc), quá trình này được gọi là giải mã (decryption) Đây làmột lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng

2.1.3.2 Vai trò của hệ mật mã

Các hệ mật mã phải thực hiện được các vai trò sau:

sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin(Secrety), hay nói cách khác là chống truy nhập không đúng quyền hạn

 Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệthống đến người nhận hợp pháp là xác thực (Authenticity)

danh để gửi thông tin trên mạng

Ưu điểm lớn nhất của bất kỳ hệ mật mã nào đó là có thể đánh giá được độ phứctạp tính toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin của dữliệu đã được mã hoá Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm

khác nhau, nhưng nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng cácthuật toán mã hoá khác nhau cho từng ứng dụng cụ thể tuỳ theo độ yêu cầu về độ antoàn.

2.1.3.3 Các thành phần của một hệ mật mã

Định nghĩa: Một hệ mật mã là một bộ 5 (P,C,K,E,D) thỏa mãn các điều kiện sau [5]:

 P: Là một tập hợp hữu hạn các bản rõ, được gọi là không gian bản rõ;

 C: Là tập hữu hạn các bản mã, được gọi là không gian bản mã Mỗi phần tửcủa C có thể nhận được bằng cách áp dụng phép mã hoá Ek lên một phần

tử của P, với k  K;

tử k của K được gọi là một khoá Số lượng của không gian khoá phải đủ lớn để

“kẻ địch” không có đủ thời gian để thử mọi khoá có thể (phương pháp vét cạn)

 Đối với mỗi k  K có một quy tắc mã ek: PC và một quy tắc giải mã tươngứng dk D Mỗi ek: P  C và dk: CP là những hàm mà: dk(ek(x))=x với mọibản rõ x P

mã hóa

Bản tin mã

```

```

Quá trình truyền

dữ liệu

- -

Bản tin gốc Hình 2.1 Sơ đồ mã hóa và giải mã

rõ được người gửi A mã hóa với khóa k Sau đó bản mã được gửi tới người nhận B Khinhận được bản mã, người gửi B sử dụng khóa k giải mã để thu được bản rõ Do đó, nếu

Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng

Trong sơ đồ Hình 2.2, ta thấy việc thực hiện mã hóa khóa bí mật thông qua ba bước cơ bản sau:

lý như ghi lên đĩa, nói trực tiếp, ghi ra giấy,… Việc trao đổi khóa này phải đượcđảm bảo bí mật

 Mã hóa tại bên gửi: bản rõ được mã hóa sử dụng khóa bí mật tạo ra bản

mã Sau đó bản mã được gửi cho bên nhận

 Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật để khôiphục lại bản rõ ban đầu

Các hệ mật mã khóa đối xứng do vai trò của bên gửi và bên nhận đều như nhau vì đều sở hữu chung một khóa bí mật nên có một số ưu/nhược điểm sau:

toàn

khi sử dụng trong môi trường trao đổi tin giữa rất nhiều người dùng Với sốlượng người dùng là n thì số lượng khóa cần tạo lập là n(n-

1)/2 Mỗi người dùng phải tạo và lưu n-1 khóa bí mật để làm việc với n-1 ngườikhác trên mạng Như vậy rất khó khăn và không an toàn khi n tăng lớn Trên cơ

sở mã đối xứng, ta không thể thiết lập được khái niệm chữ ký điện tử (thể hiệnđược các chức năng của chữ ký tay trong thực tế) vì vậy hệ mã hóa đối xứngkhông đảm nhận được tính xác thực thông tin mà chỉ đảm bảo được tính bảomật

2 Hệ mật mã bất đối xứng (hay còn gọi là mật mã khóa công khai) [15]: Được phátminh bởi Diffie và Hellman vào những năm 1976, các hệ mật này dùng một cặp khóa đó làkhóa công khai (public key) và khóa bí mật (private key) Trong hai khóa đó, khóa côngkhai dùng để mã hoá còn khóa bí mật dùng để giải mã Khóa công khai và khóa bí mật cóquan hệ toán học với nhau, dữ liệu được mã hóa bởi khóa công khai thì chỉ có thể đượcgiải mã bằng khóa bí mật tương ứng và ngược lại Khóa công khai được công khai với tất cảmọi người là để mọi người mã hóa những thông tin mà họ muốn gửi cho người đang giữkhóa bí mật tương ứng; đồng thời là để mọi người có thể giả mã các dữ liệu được mã hóabởi khóa bí mật này khi cần Điều quan trọng đối với hệ thống là không thể tìm ra khóa bímật nếu chỉ biết khóa công khai Đặc trưng nổi bật của hệ mã hóa khóa công khai là cảkhóa công khai và bản tin mã hóa đều có thể gửi đi trên một kênh không an toàn

Một số thuật toán mã hóa công khai phổ biến: RSA, Diffie-Hellman Key- ExchangeAlgorithm (dùng cho việc phân phối và trao đổi khóa)

Quá trình mã hóa và giải mã bằng cách sử dụng hệ mã khóa công khai được minhhọa như hình sau :

dữ liệu

Khóa mật, chỉ dùng để giải mã (cần được giữ bímật)

```

trình giải mã

Bản tin gốc

Hình 2.3 Sơ đồ hoạt động của mã hóa bất đối xứng

Trong sơ đồ Hình 2.3, ta thấy việc thực hiện mã hóa khóa công khai thông qua ba bước cơ bản sau:

 Trao đổi khóa: bên nhận gửi khóa công khai của mình cho bên gửi, việc

trao đổi khóa công khai có thể thực hiện trong môi trường mở như internet

bản rõ thành bản mã Bản mã được gửi cho bên nhận

 Giải mã tại bên nhận: bản mã được giải mã sử dụng khóa bí mật của bênnhận để khôi phục lại bản rõ ban đầu

tính toán lớn, độ phức tạp thuật toán cao.

 Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với mộtkhóa bí mật nào đó hay không

giữa hai bên

2.1.4 Nhu cầu về an toàn và bảo mật thông tin trong thương mại điện tử

2.1.4.1 An toàn thông tin trong hệ thống thương mại điện tử

Mối đe dọa và hậu quả tiềm ẩn đối với thông tin trong hệ thống mạng phục vụ hoạtđộng TMĐT là rất lớn, và được đánh giá trên nhiều khía cạnh khác nhau như: kiến trúc hệthống công nghệ thông tin, từ chính sách bảo mật thông tin, các công cụ quản lý và kiểmtra, quy trình phản ứng v.v

Nguy cơ mất an toàn thông tin tiềm ẩn trong chính sách bảo mật/an toàn thông tin,

đó là: sự chấp hành các chuẩn an toàn, tức là sự xác định rõ ràng cái được phép và khôngđược phép trong khi vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ thông tinkhông rõ ràng; việc chấp hành sử dụng các chuẩn bảo mật thông tin được phân cấp, chuẩn

an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn bức tường lửa; chính sách an toànInternet v.v

Thông tin trong hệ thống TMĐT cũng sẽ dễ bị tổn thất nếu công cụ quản lý và kiểmtra của các tổ chức quản lý điều khiển hệ thống không được thiết lập như: các quy địnhmang tính hành chính như duy trì kiểm tra tiêu chuẩn bảo mật thường xuyên; các công cụphát hiện âm mưu xâm nhập nhằm báo trước các ý đồ tiếp cận trái phép và giúp đỡphục hồi những sự cố vốn không tránh khỏi; các công cụ kiểm tra tính toàn vẹn dữ liệu vàthông tin tránh bị cá nhân bất hợp pháp và phương tiện khác thay đổi; công cụ chốngvirus,v.v;

thông tin của các chủ thể tham gia TMĐT là rất quan trọng trong việc hoạch định cácphương án bảo mật thông tin trong hệ thống TMĐT Các chủ thể tham gia TMĐT là ngườitiêu dùng, các doanh nghiệp (nhà nước và tư nhân) và Chính phủ, nhưng mối quan tâmbảo mật thông tin của các chủ thể tuy có mục đích giống nhau song yêu cầu thì hoàn toànkhác nhau và sự khác nhau về yêu cầu bảo mật thông tin có thể còn có ngay trong cùngmột chủ thể do bởi thông tin giao dịch với các chủ thể khác nhau có nguy cơ đe doạ mất

an toàn thông tin là khác nhau Do đó, việc bảo mật thông tin cho các chủ thể tham giaTMĐT cần tính đến tính chất và yêu cầu của các chủ thể để xây dựng các phương án bảomật thông tin tiết kiệm và hiệu quả Không thể có một phương án chung cho mọi đốitượng

Một khía cạnh khác rất quan trọng là cần phải tiên liệu trong quá trình xây dựngphương án bảo mật thông tin trong hệ thống TMĐT, đó là các luồng thông tin và các dạngthức thông tin giao tiếp trong hệ thống TMĐT để xác định phương thức tổ chức hệ thống

kỹ thuật mật mã phù hợp nhằm bảo mật thông tin có hiệu quả Có 4 loại giao tiếp thôngtin trong hệ thống TMĐT: (1) người với người, (2) người với máy tính, (3) máy tính điện

tử với người, và (4) máy tính điện tử với máy tính điện tử Với 5 dạng thức chủ yếu: (1)thư điện tử, (2) thanh toán điện tử, (3) trao đổi EDI, (4) giao gửi số hoá các dung liệu-tức

là việc trao đổi, mua bán hàng hoá thực hiện trực tuyến trên mạng bởi nội dung hàng hóa(còn gọi là hàng hóa mềm), (5) bán lẻ hàng hóa hữu hình Với các luồng thông tin và cácdạng thức thông tin trao đổi phức tạp trong hệ thống TMĐT, có thể hình dung đượcnhững khó khăn trong việc bố trí kỹ thuật mật mã và quản lý phân phối sử dụng khóa mậtmã

Trong giao dịch thương mại điện tử mọi dữ liệu (kể cả chữ ký) đều ở dạng số hóa vìvậy đặt ra yêu cầu nghiêm ngặt về tính bí mật, an toàn, tránh bị thay đổi thông tin (toànvẹn dữ liệu), xâm nhập dữ liệu, tính xác thực, tính không thể chỗi bỏ, đó là

Chữ ký số là một chuỗi gắn kết một thông điệp với một (hoặc nhiều) thực thểnguồn nào đó Chữ ký số gắn bó mật thiết với thông điệp, điều này khác hẳn với chữ kýviết tay Khi thông điệp thay đổi thì chữ ký số phải thay đổi, do vậy chữ ký số đảm bảo tínhtoàn vẹn của thông điệp được ký Chữ ký số không thể làm giả được Chữ ký số đảm bảotính xác thực người ký bởi vì không ai trừ người ký có thể ký thông điệp với thuộc tính nàyngười ký không thể nói rằng đã không ký vào thông điệp [16].

Một chữ ký số phụ thuộc vào khóa riêng của người ký và cả nội dung của thôngđiệp ký Các tranh chấp có thể nảy sinh khi một người ký cố tình chối bỏ chữ ký số đã tạo

ra, hoặc khi có kẻ giả mạo đưa ra chứng cứ gian lận, khi đó một bên thứ ba tin cậy có thểgiải quyết vấn đề một cách công bằng mà không cần biết khóa riêng của người ký

Cần phân biệt rõ ràng giữa chữ ký điện tử và chữ ký số Trên môi trường mạng, bất

cứ dạng thông tin nào được sử dụng để nhận biết một người đều được coi là chữ ký điện

tử Ví dụ một hình ảnh hoặc một đoạn âm thanh được chèn vào cuối e- mail, đó là chữ kýđiện tử Có thể hình dung chữ ký điện tử là cách chụp chữ ký, biểu

Chữ ký số được phát triển và hình thành dựa trên lý thuyết về mật mã và thuật toán mãhóa bất đối xứng, theo đó mỗi người sử dụng chữ ký số cần có một cặp khóa bao gồmkhóa bí mật (khóa riêng) và khóa công khai Người chủ chữ ký sử dụng khóa riêng để tạochữ ký số (trên cơ sở kết hợp với nội dung thông điệp dữ liệu), ghép nó cùng với thôngđiệp dữ liệu và gửi đi Người nhận dùng khóa công khai xác thực chữ ký số để biết đượcngười ký là ai Cả hai quy trình ký và xác thực chữ ký đều được thực hiện bằng thuật toán.

Các cặp khóa trên do những nhà cung cấp dịch vụ CA cấp hoặc xác minh là đủ điềukiện an toàn sau khi đã kiểm tra, xác minh chủ của nó (cá nhân, tổ chức) là có thực Đồngthời, nhà cung cấp dịch vụ cũng giao cho cá nhân, tổ chức đó một chứng thư số - tươngđương như chứng minh thư nhân dân hay giấy xác nhận sự tồn tại của cá nhân, tổ chứctrên môi trường mạng Chứng thư đó có chứa khóa công khai của cá nhân, tổ chức vàđược duy trì tin cậy trên cơ sở dữ liệu của nhà cung cấp dịch vụ chứng thực, do vậy ngườinhận có thể truy cập vào cơ sở dữ liệu đó để xác minh xem đúng là có người đó hay không

Trong môi trường mạng, mật mã khóa công khai không chỉ dùng vào việc bảo vệtính bí mật của thông điệp mà còn là phương tiện để bảo vệ tính xác thực, tính toàn vẹn vàtính chống chối từ Chữ ký số là phương pháp ký một bức thông điệp lưu dưới dạng điện

tử, có thể truyền trên mạng máy tính Chữ ký số dựa trên mật mã khóa công khai,trong đó khóa riêng được dùng để ký số, khóa công khai được dùng để xác thực

Chữ ký số và chữ ký viết tay được so sánh thông qua bảng 2.1 sau đây:

nào đó trên văn bản

Kiểm tra chữ

ký

- Chữ ký được kiểm tra bằngcách so sánh nó với chữ ký xác thực khác bằng mắtthường

- Chữ ký tay dễ bị giả mạo vìvậy đây không phải là phương pháp an toàn

- Chữ ký số có thể kiểm tra nhờdùng thuật toán kiểm tra công khai Như vậy, bất kì ai cũng cóthể kiểm tra được chữ ký số

- Việc dùng chữ ký số an toàn tránh được giả mạo

Giữa chữ ký số và chữ ký viết tay còn một điểm khác biệt nữa đó là việc dùng lại.Bản sao của thông điệp được ký bằng chữ ký số thì đồng nhất với bản gốc, còn bản saothông điệp được ký bằng chữ ký viết tay lại có thể khác với bản gốc Điều này có nghĩa làcần phải ngăn chặn một bức thông điệp ký số không bị dùng lại Vì vậy, đối với các hoạtđộng trong môi trường mạng ngày càng phát triển như hiện nay, chữ ký số là một hìnhthức để bảo đảm tính pháp lý của các cam kết Chữ ký số phải đảm bảo các yêu cầu:

 Người nhận có thể xác thực được người gửi

 Người gửi không thể chối bỏ nội dung của bản tin đã gửi

 Người gửi không thể thay đổi bản tin sau khi đã gửi

2.2.2 Khái niệm chữ ký số

Chữ ký số là một dạng chữ ký điện tử Về căn bản chữ ký số có khái niệm giốngnhư chữ ký thông thường nhưng được xây dựng dựa trên công nghệ mã khóa công khai,nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm khi đã ký Chữ

ký số không đòi hỏi phải sử dụng giấy mực

Chữ ký số là một ứng dụng của mật mã công khai Chữ ký số là một hàm của khóariêng (Secret key) và thông điệp Người gửi dùng khóa bí mật (Private key) của mình để kývào thông điệp trước khi gửi Người nhận sẽ sử dụng khóa công khai