bao cao do an ung du ng truye n thong va an ninh thong tin de tai secure email

Các nguy cơ trong quá trình g i ử email  EavesdroppingInternet là n iơ r ngộ l nớ v iớ rất nhiều ngư i s dung.ờ ử ̣ Thật dễ dàng để ai đó truy cập vào máy tính hoặc mạng nôi bộ ̣, băt

Trường Đ i H c Công Ngh  Thông Tinạ ọ ệ

Nguy n ễVăn Thi uệ

Đăng Tiêu ̣ ̉

08520599085206180852059608520032

TP.HCM, tháng 3 – 2012

se th c hiên cac bai lab đê mô phong viêc th c thi cac giai phap nay.̃ ự ̣ ́ ̀ ̉ ̉ ̣ ự ́ ̉ ́ ̀

Phương phap nghiên c u va tim kiêm thông tiń ứ ̀ ̀ ́

Trong bao cao, chung em s  dung cac kiên th c đa đ́ ́ ́ ử ̣ ́ ́ ứ ̃ ược hoc   môn “An toan mang maỵ ở ̀ ̣ ́ tinh” đ́ ược day   tṛ ở ương Đai hoc Công nghê Thông tin. Cac kiên th c đ̀ ̣ ̣ ̣ ́ ́ ứ ược s  dungử ̣  bao gôm mât ma khoa đôi x ng va bât đôi x ng, ch ng chi sô CA. Chung em s  dung̀ ̣ ̃ ́ ́ ứ ̀ ́ ́ ứ ứ ̉ ́ ́ ử ̣  search google.com đê tim kiêm cac tai liêu liên quan, s  dung trang youtube.com   để ̀ ́ ́ ̀ ̣ ử ̣ ̉ tham khao cac video bai lab.̉ ́ ̀

­ Th c hiên đự ̣ ược cac bai lab mô phong th c tê viêc th c hiên cac giai phap đa đế ̀ ̉ ự ́ ̣ ự ̣ ́ ̉ ́ ̃ ̀ ra: bao gôm viêc câu hinh email client theo cac chuân va g i email s  dung theò ̣ ́ ̀ ́ ̉ ̀ ử ử ̣  cac giai phap đa tim hiêu đ́ ̉ ́ ̃ ̀ ̉ ược.

Muc luc ̣ ̣

L i cam  n ơ ̀ ̉ ơ

Trước tiên, em mu n g i l i c m  n sâu s c nh t đ n th y giáo Ths. NCS Tô Nguyêñố ử ờ ả ơ ắ ấ ế ầ  Nhât Quang đã t n tình ḥ ậ ướng d n chung em trong qua trinh nghiên c u đê tai nay.ẫ ́ ́ ̀ ứ ̀ ̀ ̀Chung em xin bày t  l i c m  n sâu s c đ n nh ng th y cô giáo đã gi ng d y chunǵ ỏ ờ ả ơ ắ ế ữ ầ ả ạ ́  

em trong b n năm qua, nh ng ki n th c mà chung em nh n đố ữ ế ứ ́ ậ ược trên gi ng đả ườ  ng

đ i h c s  là hành trang giúp chung em v ng bạ ọ ẽ ́ ữ ước trong tương lai

Trang  4

Cu i cùng, chung em mu n g i l i c m  n sâu s c đ n t t c  b n bè đa gop y đê bai ố ́ ố ử ờ ả ơ ắ ế ấ ả ạ ̃ ́ ́ ̉ ̀bao cao hoan thiên h n.́ ́ ̀ ̣ ơ

TP. Hô Chi Minh, thang 3 năm 2012̀ ́ ́

    Nhom viêt bao caó ́ ́ ́

Danh muc̣

Danh muc hinh anḥ ̀ ̉

Danh m c t  vi t t tụ ừ ế ắ

3

3DES Triple  Data Encryption Standard

Nâng c p Tiêu chu n Mã hóaấ ẩ  

D  li u (mã hóa thông tin quaữ ệ  

3 l n mã hóa DES v i 3 khóaầ ớ  khác nhau)

C

CA Certificate Authority Công ty công c p ch ng ch  ấ ứ ỉ

s ốD

H  th ng tên mi nệ ố ề  được phát minh   vào   năm   1984 cho Internet

I

IMAP Internet Message Access  M t giao th c g i nh n email.ộ ứ ử ậ

Trang  6

ProtocolIntelligent Report Báo cáo b o m t thả ậ ường k  ỳ

c a Symantec.ủ

Giao th c Liên m ng là m t ứ ạ ộgiao th c hứ ướng d  li u đữ ệ ượ  c

s  d ng b i cácử ụ ở  máy chủ ngu n và đích đ  truy n ồ ể ề

d  li u trong m tữ ệ ộ  liên m ng ạchuy n m ch góiể ạ

ISP Internet Service Provider Nhà cung c p d ch vấ ị ụ Internet.P

SHA Secure Hash Algorithm Thu t gi i bămậ ả  an toàn, là 

năm thu t gi iậ ả  được ch p ấ

nh n b iậ ở  FIPS dùng đ  ểchuy n m t đo n d  li u ể ộ ạ ữ ệ

nh t đ nh thành m t đo n d  ấ ị ộ ạ ữ

li u có chi u dài không đ i ệ ề ổ

v i xác su t khác bi t cao.ớ ấ ệ

SMTP Simple Mail Transfer Protocol

Giao th c truy n t i th  tín ứ ề ả ư

đ n gi n,ơ ả  là m t chu n ộ ẩtruy n t iề ả  th  đi n tư ệ ử qua 

m ngạ  Internet

SSL/TLS

Secure Sockets LayerTransport Layer Security M t ch ng ch  s ộ ứ ỉ ố

c a Gmail.ủU

UBE Unsolicited Bulk Email M t d ng Spam mail.ộ ạ

UCE Unsolicited Commercial E­Mail M t d ng Spam mail.ộ ạ

Trang  8

1. L i noi đâu ơ ̀ ́ ̀

Email là m t phộ ương ti n thông tin liên l c ti n l i và ngày càng đệ ạ ệ ợ ượ ử ục s  d ng r ngộ  rãi hi n nay. Vì v y nó cũng là phệ ậ ương ti n và m c tiêu đ  nh ng k  t n công nh mệ ụ ể ữ ẻ ấ ắ  

t i. Vi c b o m t email tránh nh ng rò r  thông tin ngớ ệ ả ậ ữ ỉ ườ ử ụi s  d ng email là m t nhi mộ ệ  

v  quan tr ng mà các nhà cung c p và ngụ ọ ấ ười qu n tr  c n quan tâm. ả ị ầ

Theo báo cáo B o m t ả ậ Intelligence Report tháng 2­2012 c a Symantec cho th y s  giaủ ấ ự  tăng c a các mã đ c (malware) va cac hanh vi l a đao (phishing) trên Internet. ủ ộ ̀ ́ ̀ ừ ̉ C  274.0ứ  email trên toàn c u đầ ược g i đi trong tháng 2­2012 thì có 1 email đử ược xác đ nh cóị  

ch a mã đ c, trong đo phat hiên va ngăn chăn đứ ộ ́ ́ ̣ ̀ ̣ ược 28.7%. Trong thang 2 năm 2012, ć ư ́358.1 emails thi co 1 email co nôi dung l a đao;  68% email đ̀ ́ ́ ̣ ừ ̉ ược g i đi trên toan câu laử ̀ ̀ ̀ email spam, nghia la c  1.47 email đ̃ ̀ ứ ược g i đi thi trong sô đo co 1 email spam. Trongử ̀ ́ ́ ́  

sô   tông   ĺ ̉ ượng   email   spam   thi   co   t i   43%   nôi   dung   liên   quan   t i   linh   v c̀ ́ ớ ̣ ớ ̃ ự  Adult/Sex/Dating, trong đo cac email co dung ĺ ́ ́ ượng l n thớ ương ch a ma đôc.̀ ứ ̃ ̣ 1

Qua bai bao cao nay, cho thây m c đô nguy hiêm to l n khi truyên thông trên môì ́ ́ ̀ ́ ứ ̣ ̉ ớ ̀  

trương email. Do đo, chung em muôn đi sâu nghiên c u cac nguy c  vê bao mât email̀ ́ ́ ́ ứ ́ ơ ̀ ̉ ̣  

va cac giai phap cho cac vân đê đ̀ ́ ̉ ́ ́ ́ ̀ ược đăt ra nhăm nâng cao kiên th c chuyên môn cuạ ̀ ́ ứ ̉  minh đê phuc vu cho qua trinh hoc tâp sau nay. Muc tiêu cua bao cao la nêu lên đ̀ ̉ ̣ ̣ ́ ̀ ̣ ̣ ̀ ̣ ̉ ́ ́ ̀ ược cać giai phap cho nh ng vân đê vê bao mât email đa nêu va th c hiên bai lab đê mô phong̉ ́ ữ ́ ̀ ̀ ̉ ̣ ̃ ̀ ự ̣ ̀ ̉ ̉  

th c tê cac giai phap. ự ́ ́ ̉ ́

1 Symantec, 2012,  Symantec Intelligence  Report:  February  2012, viewed 2 April 2012,

1. C  s  ly thuyêt ơ ở ́ ́

1 Câu truc va hoat đông cua hê thông email ́ ́ ̀ ̣ ̣ ̉ ̣ ́

Phân nay se mô ta c  ban vê kiên truc cua môt hê thông Email, cung nh  c  chê va ̀ ̀ ̃ ̉ ơ ̉ ̀ ́ ́ ̉ ̣ ̣ ́ ̃ ư ơ ́ ̀

đương đi cua môt email t  n i g i đên n i nhân. ̀ ̉ ̣ ư ơ ử̀ ́ ơ ̣

1.1 G i môt email đên ng ử ̣ ́ ươ i nhân ̀ ̣

G i môt email cung giông nh  khi ban g i môt la th  Khi g i môt la th , banử ̣ ̃ ́ ư ̣ ử ̣ ́ ư ử ̣ ́ ư ̣  phai g i no vao môt b u điên đia ph̉ ử ́ ̀ ̣ ư ̣ ̣ ương. B u điên đia phư ̣ ̣ ương đo “đoc” đia chí ̣ ̣ ̉ 

va cac thông tin trên b c th  cua ban ma quyêt đinh b c th  đo se phai g i đêǹ ́ ứ ư ̉ ̣ ̀ ́ ̣ ứ ư ́ ̃ ̉ ử ́ 

b u điên khu v c nao tiêp theo. Khi đo b u điên khu v c nay se “đoc” đia chi vaư ̣ ự ̀ ́ ́ ư ̣ ự ̀ ̃ ̣ ̣ ̉ ̀ cac thông tin đê quyêt đinh se g i b c th  nay đên b u điên đia ph́ ̉ ́ ̣ ̃ ử ứ ư ̀ ́ ư ̣ ̣ ương nao tiêp̀ ́ theo. Cuôi cung, t  b u điên đia ph́ ̀ ư ừ ̣ ̣ ương, b c th  se đứ ư ̃ ược chuyên đên tay ng̉ ́ ươ  ìnhân. ̣

May tinh cung giông nh  môt “b u điên đia ph́ ́ ̃ ́ ư ̣ ư ̣ ̣ ương” va giao th c truyên thông̀ ứ ̀  email (SMTP) la “thu tuc” ma cac “b u điên đia ph̀ ̉ ̣ ̀ ́ ư ̣ ̣ ương” s  dung đê “đoc” thôngử ̣ ̉ ̣  tin cua email va truyên đên câp “b u điên” kê tiêp.̉ ̀ ̀ ́ ́ ư ̣ ́ ́

Hâu hêt moi ng̀ ́ ̣ ươ ửi g i email băng hai cach sau:̀ ̀ ́

­ S  dung dich vu email nên Web (vi du: Gmail, Yahoo Mail, Hotmail)ử ̣ ̣ ̣ ̀ ́ ̣

­ S  dung cac chử ̣ ́ ương trinh “Email client” nh  Outlook, Thunderbird.̀ ư

Khi ban g i email băng cḥ ử ̀ ương trinh email client trên may tinh (hoăc trên điêǹ ́ ́ ̣ ̣  thoai, smartphone), ban phai chi đinh môt server đê cḥ ̣ ̉ ̉ ̣ ̣ ̉ ương trinh email xac đinh̀ ́ ̣  phai g i email đi đâu. Server đ̉ ử ược chi đinh đo cung giông nh  “b u điên điả ̣ ́ ̃ ́ ư ư ̣ ̣  

phương”. Chương trinh email giao tiêp tr c tiêp v i server s  dung giao th c̀ ́ ự ́ ớ ử ̣ ư  ́SMTP. Viêc g i email đi cung giông nh  ban g i no vao b u điên đia pḥ ử ̃ ́ ư ̣ ử ́ ̀ ư ̣ ̣ ươ  ngvây.̣

Khi ban g i môt email s  dung Webmail, khi đo b n se s  dung giao th c HTTP̣ ử ̣ ử ̣ ́ ạ ̃ ử ̣ ứ  hoăc HTTPS đê kêt nôi v i Webmail Server đ  truy c p các d ch v  email. Saụ ̉ ́ ́ ớ ể ậ ị ụ  

đó Webmail s  dùng giao th c SMTP đ  k t n i t i SMTP Server va g i thôngẽ ứ ể ế ố ớ ̀ ử  điêp đo đi.̣ ́

Hinh 2.: G i email đên ng̀ ử ́ ươ i nhâǹ ̣

1.2 Nhân môt email t  ng ̣ ̣ ư ̀ ươ ử i g i ̀

Khi môt SMTP Server nhân môt thông điêp email, đâu tiên no se kiêm tra trêṇ ̣ ̣ ̣ ̀ ́ ̃ ̉  server cua minh co inbox cua ng̉ ̀ ́ ̉ ươi nhân hay không. Nêu không co, no se tiêp̀ ̣ ́ ́ ́ ̃ ́ tuc truyên thông điêp email nay đên môt SMTP Server khac gân nhât v i no.̣ ̀ ̣ ̀ ́ ̣ ́ ̀ ́ ớ ́ Qua trinh nay t́ ̀ ̀ ương t  nh  qua trinh chuyên tiêp gi a “b u điên đia phự ư ́ ̀ ̉ ́ ữ ư ̣ ̣ ương” 

v i “b u điên khu v c”. Qua trinh nay đớ ư ̣ ự ́ ̀ ̀ ược goi la “SMTP relaying”.̣ ̀

Cac tinh huông co thê xay ra khi g i môt email t  may tinh nǵ ̀ ́ ́ ̉ ̉ ử ̣ ừ ́ ́ ươi g i đêǹ ử ́ SMTP Server ngươi nhân. Bao gôm:̀ ̣ ̀

­ SMTP server cua ng̉ ươ ửi g i kêt nôi thanh công v i SMTP server̀ ́ ́ ̀ ớ  cua ng̉ ươi nhân va g i thông điêp email tr c tiêp đên đo.̀ ̣ ̀ ử ̣ ự ́ ́ ́

­ SMTP server cua ng̉ ươi g i không thê kêt nôi đên SMTP server̀ ử ̉ ́ ́ ́  

th c s  cua ngự ự ̉ ươi nhân (co thê luc đo server đang bân, server bi down,̀ ̣ ́ ̉ ́ ́ ̣ ̣  hoăc bi lôi kêt nôi). Trong tṛ ̣ ̃ ́ ́ ương h p nay, server ng̀ ợ ̀ ươ ửi g i cô găng kêt̀ ́ ́ ́ nôi va chuyên thông điêp đên backup server đâu tiên cua nǵ ̀ ̉ ̣ ́ ̀ ̉ ươi nhân.̀ ̣

­ SMTP server ngươ ửi g i không thê kêt nôi đên SMTP server ng̀ ̉ ́ ́ ́ ươ  ìnhân va ca backup server đâu tiên. Trong tṛ ̀ ̉ ̀ ương h p nay, SMTP server̀ ợ ̀  

ngươ ửi g i cô găng kêt nôi va chuyên email cho backup server th  hai.̀ ́ ́ ́ ́ ̀ ̉ ứ

­ Trương h p cuôi cung, server cua ng̀ ợ ́ ̀ ̉ ươ ửi g i không thê kêt nôi đêǹ ̉ ́ ́ ́ tât ca server cua nǵ ̉ ̉ ươi nhân. Trong tr̀ ̣ ương h p nay, no se đ a thông̀ ợ ̀ ́ ̃ ư  điêp email đo vao hang đ i va cô găng g i chung vao lân sau. No se cộ ́ ̀ ̀ ợ ̀ ́ ́ ử ́ ̀ ̀ ́ ̃ ́ găng g i email nay trong vai ngay đên khi thanh công hoăc thông điêp bí ử ̀ ̀ ̀ ́ ̀ ̣ ̣ ̣ huy.̉

Bât c  email nao đ́ ứ ̀ ược chuyên giao đên backup server đêu trai qua qua trinh cổ ́ ̀ ̉ ́ ̀ ́ găng kêt  đên SMTP th c s  cua nǵ ́ ́ ự ự ̉ ươi nhân, hoăc backup server đ̀ ̣ ̣ ượ ưc  u tiên cao h n. SMTP Server co thê đ a email vao hang đ i đê chuyên đi lân sau.ơ ́ ̉ ư ̀ ̀ ợ ̉ ̉ ̀  (Chu y răng SMTP Server cua nǵ ́ ̀ ̉ ươi nhân co thê không co backup server naò ̣ ́ ̉ ́ ̀ hoăc co nhiêu h n, ch  không nhât thiêt la hai backup server).̣ ́ ̀ ơ ứ ́ ́ ̀

Hinh 2.: Qua trinh g i nhân email̀ ́ ̀ ử ̣

2 Cac nguy c  vê bao mât đôi v i cac giao tiêp email ́ ơ ̀ ̉ ̣ ́ ơ ́ ́ ́

2.1 Sự thiếu b o ả  m t ậ  trong hệ thống email

Nếu kết nối t iớ  Webmail Server là “không an toàn” (ví dụ s  dung giaoử ̣  

th ćư  là HTTP ch ́ư không phải là HTTPS), lúc đó mọi thông tin bao gồm username  và  password  se  đ̃ ược truyên đi dang plaintext ch  ̀ ̣ ư không ́

đư cợ  mã hóa

SMTP  không  mã  hóa  thông  điệp (ngoai tr  cac may chu co hô tr  mạ ừ ́ ́ ̉ ́ ̉ ợ ̃ hoa TLS).́   Giao tiêp gi a cac SMTP Server truyên thông tin d́ ữ ́ ̀ ươi danǵ ̣  plaintext; điêu đo dê dang bi cac hanh đông nghe len phat hiên va khaì ́ ̃ ̀ ̣ ́ ̀ ̣ ́ ́ ̣ ̀  thac.́   Thêm  vào  đó,  nếu  email  server  yêu  cầu  bạn  gửi  username  và password đ  ể “login” vào SMTP server mục đích để chuyển  thông điệp 

t iớ  một  server  khác,  khi đó  tất cả  đều  đượ   gửi dư ic ớ  dạng plaintext. Cuối  cùng,  thông  điệp  gửi  bằng  SMTP bao  gồm  thông  tin  về  má y 

tính  mà chúng đư cợ  gửi đi  và  chương  trình  e mail  đã đượ   sử  d nc ụ g.

 Backups ServerThông điệp đư cợ   l uư  trữ trên SMTP server dư iớ  dạng plaintext,  không 

đư cợ   mã hóa. Việc sao  l uư   dữ liệu  trên  server  có  thể đư cợ   thực hiện bất  cứ  lúc nào  và  người  quản trị  có  thể đọc  bất kỳ dữ  liệu  nào. Nôị dung email cua ban co thê bi l u tr  bât ng  va vô th i han trên backup̉ ̣ ́ ̉ ̣ ư ữ ́ ờ ̀ ờ ̣  server

2.2 Các nguy cơ trong quá trình g i ử  email

 EavesdroppingInternet là n iơ  r ngộ  l nớ  v iớ  rất nhiều ngư i s  dung.ờ ử ̣  Thật dễ dàng để 

ai đó truy cập vào máy tính hoặc mạng nôi bộ ̣, băt cac thông tin va đoć ́ ̀ ̣  len chung.́ ́   Gi ngố   như  ai  đó  ở  phòng  kế  bên  đang  lắng nghe  cuộc  nói chuyện điện thoại c aủ  bạn, hacker có thể sử d ngụ  các công cụ man­in­the­middle để bắt toàn bộ các gói tin từ ngườ  sử d ngi ụ  email. Việc này 

có  thể  đượ   th cc ự   hiện  m tộ   cách  dễ  dàng  thông  qua  các  chươ   trình ngnhư Cain&Abel, Ettercap

Hinh 2.3: ̀ Eavesdropping

 Identify TheftNếu ai đó có thể thu  thập username và  password mà  bạn dùng  để  truy cập vào email server, họ có thể đọc email c aủ  bạn và gia mao ban đê g ỉ ̣ ̣ ̉ ử  email đi. Thông thườ g, nh ngn ữ  thông tin này có thể thu thập b iở  kẻ nghe lén trên SMTP, POP, IMAP hoặc kết n iố  Webmail, bằng cách đ cọ  thông điệp không được ma hoa trên cac giao th c email naỹ ́ ́ ứ ̀

 Invasion of PrivacyNếu bạn rất quan tâm đến thông tin riêng tư c aủ  mình, bạn cần xem xét khả năng việc sao l u d  liêu emailư ữ ̣  c aủ  bạn không đư cợ  bảo vệ. Bạn 

có thể cũng quan tâm đến việc nh ngữ  ngư iờ  khác có khả năng biết đư cợ  địa chỉ IP của máy tính bạn. Thông tin này có thể được dùng để nhận ra thành phố bạn đang s ngố  hoặc thậm chí trong trườ  hợp nào đó có thể ngtìm ra địa chỉ của bạn. Việc này không xảy ra v iớ  WebMail, POP, IMAP, 

nh ngư  đ iố  v iớ  SMTP thì lại có khả năng xảy ra

 Message ModificationBất  cứ  Administrator naò  trên  bất  kỳ  SMTP  server  n i cac email đơ ́ ượ  cchuyên tiêp qua đo đêủ ́ ́ ̀ có thể đ cọ  thông điệp của bạn va ̀h n thê n a, ơ ́ ư họ ̃

còn  có  thể  hay  thay  đ iổ   thông  điệp  trướ   khi  nó  tiếp  t cc ụ   đi  đến  đích. 

Ngườ   nhận c ai ủ  bạn sẽ không  thể biết thông điệp của bạn có bị thay 

đ iổ  hay không? Nếu thông điệp bị xóa đi mất thì họ cũng không thể biết rằng có thông điệp đã đượ  g ic ử  cho họ

 Fake MessagesThật dễ dàng để tạo ra m tộ  email giả mạo mà có vẻ như được g iử  b iở  

m tộ  ngườ  nào đó. Nhiều virus đã l ii ợ  dụng điểm này để lan truyền sang các máy tính khác. Nhìn chung, không có cách gì chắn chắn rằng ngư iờ  

g iử  email là ngư iờ  g iử  th cự  sự ­ tên ngườ  g ii ử  có thể dễ dàng làm giả

 Message RelayEmail có thể bị chặn lại, chỉnh s a, l u tr  vaử ư ữ ̀ g iử  lại sau đó. Bạn có thể  nhận  đượ   m tc ộ   email  g cố   h pợ   lệ  nh ngư   sau  đó  lại  nhận  được 

nh ngữ  tin nhắn giả mạo mà có vẻ như h pợ  lệ

 Unprotected BackupsThông điệp đượ  l uc ư  dư iớ  dạng plain­text trên tất cả các server SMTP. 

Vì thế các bản sao l uư  c aủ  các server sẽ chứa bản copy thông điệp c aủ  bạn. Bản sao l uư  có thể giữ trong nhiều năm và có thể đ cọ  b iở  bất kỳ 

ngườ   nào có quyền  truy  cập.  Thông  điệp của bạn  có  thể được  đặt ở i

nh ngữ  n iơ  không an toàn và bất kì ai cũng có thể lấy nó được, thậm chí sau khi bạn nghi la đa xoa tât ca email.̃ ̀ ̃ ́ ́ ̉

 Repudiation

B iở  vì nh ngữ  thông điệp thông thườ  có thể bị giả mạo, do đó không ng

có cách nào ch ngứ  minh rằng ngư iờ  nao đò ́ có g iử  cái thông điệp đó cho 

bạn  hay  không.  Nghĩa  là  thậm  chí  nếu  m tộ   ai  đó  đã  g iử   cho  bạn  m tộ  thông  điệp,  họ  hoàn  tòan  có  thể  ch iố   bỏ.  Đây  là  môt  ̣ trong  số  nh ngữ  điểm hết s cứ  cần l uư  ý khi sử d ng ụ email để th cự  hiện các h pợ  đ nồ g, giao dịch kinh doanh…

v iớ  số lượ  l nng ớ  t iớ  hôp̣ thư của ngườ  dùng internet. Spam đôi khi cũng là i

nh ngữ  email thươ   mại không đư cng ợ  sự cho phép của ngườ nhận (UCE­i Unsolicited  Commercial  E­Mail).  Spam làm tràn  môi trườ   Internet  bằng ngcách  g iử   đi  nhiều  gói tin  v iớ   cùng m tộ   nội  dung,  nh ngữ   gói tin  này  được truyền đến nh ngữ  ngư iờ  mà họ không thể không nhận chúng

1.1.1.1 Phân loai spaṃ

Có hai loại spam chính, chúng có nh ngữ  ảnh hưở  khác nhau đến ngư ing ờ  dùng Internet:

 Usernet spamĐây là dạng spam ta thường gặp trên các forum, m tộ  gói tin sẽ đượ  g ic ử  đến trên 20 newsgroup. Qua quá trình sử d nụ g, ngư iờ  dùng đã thấy rằng bất  kỳ  m t tin nộ ào được  g iử   đến  nhiều  newgroup  một lúc thường  sẽ mang nh ng thông tinữ  không cần thiết. Usernet spam cố gắng trở thành 

m tộ   “kẻ  giấu  mặt”  –  đọc  thông  tin  trong  các newsgroup nh ng  ư ít khi hoặc không bao  gi  poờ st bài  hay  cho  địa  ch  ỉ của  mình. Usernet spam 

chiếm quyền s  d ng ử ụ của các newsgroup bằng cách làm tràn ngập các quảng cáo hoặc nh ngữ  bài viết không  phù hợp. Ngoài ra, Usernet spam 

có khi còn làm ảnh hưở  đến quyền điều khiển của quản trị h  ng ệ th nố g, chiếm quyền quản lý một topic nào đó

 Email spam Email spam nhắm đến ngư iờ  dùng riêng biệt tr c tự iếp qua các th  đư iện 

tử. Các spammer s  tẽ iến hành thu thập địa chỉ mail bằng cách duyệt qua hòm th  Uư sernet, ăn cắp danh sách mail hay tìm kiếm trên web. Đ iố  v iớ  

nh ngữ  user sử d ngụ  d cị h vụ điện thoại thì đ ngồ  hồ đo vẫn chạy trong khi họ nhận hay đ cọ  mail, chính vì vậy mà spam làm họ t nố  thêm một khoản tiền. Trên hết, các ISP và các d cị h vụ tr cự  tuyến (online services) phải t nố  tiền để chuyển các email – spam đi, nh ngữ  chi phí này sẽ đượ  cchuyển tr cự  tiếp đến các thuê bao

Bất  cứ  ai  cũng  có  thể  trở  thành  ngườ   g ii ử   thư  rác  (spammer).  Chẳng hạn,  bạn  có  m tộ   món  hàng  độc  đáo cần  bán  ngay.  Nh ng lư àm  sao  để mọi  ngườ   biết?  Tri ướ   hết  bạn  thông  báo  cho  bạn  bè  bằng  cách  g ic ử  email cho 100 ngườ  nằm trong sổ địa chỉ của bạn. Nh  thi ư ế bạn không mất m tộ  đ ngồ  nào mà vẫn có thể g iử  đi 100 email quảng cáo sản phẩm của mình. Nếu có ngư iờ  biết để mua hàng thì bạn sẽ l iờ  to. Và bạn tự nhủ : "Tại sao mình không g iử  email cho nhiều ngư iờ  khác nữa? Mình 

sẽ có thể thu đượ  nhiều l ic ợ  nhuận hơn?” R iồ  bạn sẽ tìm tòi  ngứ  d ngụ  các  giải  pháp  để  g iử   đi  được  nhiều  email  cho  cả  nh ngữ   ngư iờ   bạn không quen biết hơn. Vậy là bạn đã trở thành spammer

4 Tác h i ạ  của spam

Hầu hết các spam đều nhằm mục đích quảng cáo, thường cho nh ng sữ ản phẩm 

không  đáng tin  cậy  hoặc nh ng  ữ d cị h  v  ụ có  v  nh  h pẻ ư ợ   pháp.  Tuy nhiên, không phải m i ọ vụ g i ử SPAM đều là nhằm m c ụ đích quảng cáo thương mại. Một số vụ 

g iử  SPAM lại nhằm mục đích bất chính hoặc cũng có những kẻ g iử  SPAM chỉ để bày t  quỏ an điểm chính tr  hị oặc tôn giáo. Hình thức g iử  SPAM nguy hiểm nhất là hình th cứ  g iử  đi nh ngữ  thông điệp đ  l aể ừ  ngườ  dùng tiết lộ thông tin tài khoản ingân hàng tr cự  tiếp, số thẻ tín d ngụ  … ­ hay đây chính là m tộ  dạng phổ biến của 

s  d ngử ụ  m t lộ ượng l n ớ tài nguyên mà không cần sự cho phép hay có bất kỳ m tộ  hành đ ngộ  b iồ  thường thiệt hại nào, làm cho c ngộ  đ ngồ  Internet phải t nố  m tộ  chi phí đáng kể

Nh ngữ  chi phí liên quan khi spam sẽ đượ  trả b ic ở  ngườ  nhận chứ không phải là i

từ các spammer. Tài khoản của spammer sẽ bị hủy bỏ ngay khi ISP phát hiện ra nó dùng để g iử  spam, vì thế mà hầu hết các spam đều được g iử  từ nh ngữ  tài khoản thử miễn phí (Trial account) để không mất bất kỳ m tộ  chi phí nào

trên toàn thế gi iớ  có xu hướng tăng lên khá rõ. Và tác hại do nó thì không thể đo hay tính được, nh ngư  theo th ngố  kê của Internet Week thì "50 tỉ USD m iỗ  năm" là 

số tiền mà các công ty, tổ chức thươ   mại trên thế giới phải bỏ ra để đ ing ố  phó 

v iớ  nạn thư rác đang hàng ngày tấn công vào hòm thư của nhân viên

5 S  dung ch ng chi sô ử ̣ ư ́ ̉ ́

5.1 Gi i thiêu vê ch ng chi sô ơ ́ ̣ ̀ ư ́ ̉ ́

Ch ng ch  s  là m t t p tin đi n t  dùng đ  xác minh danh tính m t cá nhân,ứ ỉ ố ộ ệ ệ ử ể ộ  

m t máy ch , m t công ty  trên Internet. Nó gi ng nh  b ng lái xe, h  chi u,ộ ủ ộ ố ư ằ ộ ế  

ch ng minh th  hay nh ng gi y t  xác minh cá nhân. Đ  có ch ng minh th ,ứ ư ữ ấ ờ ể ứ ư  

b n ph i đạ ả ược c  quan Công An s  t i c p. Ch ng ch  s  cũng v y, ph i doơ ở ạ ấ ứ ỉ ố ậ ả  

m t t  ch c đ ng ra ch ng nh n nh ng thông tin c a b n là chính xác, độ ổ ứ ứ ứ ậ ữ ủ ạ ượ  c

g i là Nhà cung c p ch ng th c s  (Certificate Authority, vi t t t là CA). CAọ ấ ứ ự ố ế ắ  

ph i đ m b o v  đ  tin c y, ch u trách nhi m v  đ  chính xác c a ch ng chả ả ả ề ộ ậ ị ệ ề ộ ủ ứ ỉ 

s  mà mình c p.ố ấ

5.2 L i ich khi s  dung ch ng chi s   ợ ́ ử ̣ ư ́ ̉ ố

2.1.1.1 Mã hoá

L i ích đ u tiên c a ch ng ch  s  là tính b o m t thông tin. Khi ngợ ầ ủ ứ ỉ ố ả ậ ườ  i

g i đã mã hoá thông tin b ng khoá công khai c a b n, ch c ch n ch  cóử ằ ủ ạ ắ ắ ỉ  

b n m i gi i mã đạ ớ ả ược thông tin đ  đ c. Trong quá trình truy n thông tinể ọ ề  qua Internet, dù có đ c đọ ược các gói tin đã mã hoá này, k  x u cũngẻ ấ  không th  bi t để ế ược trong gói tin có thông tin gì. Đây là m t tính năng r tộ ấ  quan tr ng, giúp ngọ ườ ử ụi s  d ng hoàn toàn tin c y v  kh  năng b o m tậ ề ả ả ậ  thông tin. Nh ng trao đ i thông tin c n b o m t cao, ch ng h n giao d chữ ổ ầ ả ậ ẳ ạ ị  liên ngân hàng, ngân hàng đi n t , thanh toán b ng th  tín d ng, đ u c nệ ử ằ ẻ ụ ề ầ  

ph i có ch ng ch  s  đ  đ m b o an toàn.ả ứ ỉ ố ể ả ả2.1.1.2 Ch ng gi  m oố ả ạ

Khi b n g i đi m t thông tin, có th  là m t d  li u ho c m t email, cóạ ử ộ ể ộ ữ ệ ặ ộ  

s  d ng ch ng ch  s , ngử ụ ứ ỉ ố ười nh n s  ki m tra đậ ẽ ể ược thông tin c a b n cóủ ạ  

b  thay đ i hay không. B t k  m t s  s a đ i hay thay th  n i dung c aị ổ ấ ỳ ộ ự ử ổ ế ộ ủ  thông đi p g c đ u s  b  phát hi n. Đ a ch  mail c a b n, tên domain ệ ố ề ẽ ị ệ ị ỉ ủ ạ  

đ u có th  b  k  x u làm gi  đ  đánh l a ngề ể ị ẻ ấ ả ể ừ ười nh n đ  lây lan virus, ănậ ể  

c p thông tin quan tr ng.ắ ọ

Tuy nhiên, ch ng ch  s  thì không th  làm gi , nên vi c trao đ i thông tinứ ỉ ố ể ả ệ ổ  

có kèm ch ng ch  s  luôn đ m b o an toàn.ứ ỉ ố ả ả2.1.1.3 Xác th cự

Khi b n g i m t thông tin kèm ch ng ch  s , ngạ ử ộ ứ ỉ ố ười nh n ­ có th  làậ ể  

đ i tác kinh doanh, t  ch c ho c c  quan chính quy n ­ s  xác đ nh rõố ổ ứ ặ ơ ề ẽ ị  

được danh tính c a b n. Có nghĩa là dù không nhìn th y b n, nh ngủ ạ ấ ạ ư  qua h  th ng ch ng ch  s  mà b n và ngệ ố ứ ỉ ố ạ ười nh n cùng s  d ng,ậ ử ụ  

người nh n s  bi t ch c ch n đó là b n ch  không ph i là m t ngậ ẽ ế ắ ắ ạ ứ ả ộ ườ  ikhác.Xác th c là m t tính năng r t quan tr ng trong vi c th c hi n cácự ộ ấ ọ ệ ự ệ  giao d ch đi n t  qua m ng, cũng nh  các th  t c hành chính v i cị ệ ử ạ ư ủ ụ ớ ơ quan pháp quy n. Các ho t đ ng này c n ph i xác minh rõ ngề ạ ộ ầ ả ườ ử  i g ithông tin đ  s  d ng t  cách pháp nhân. Đây chính là n n t ng c aể ử ụ ư ề ả ủ  

m t Chính ph  đi n t , môi trộ ủ ệ ử ường cho phép công dân có th  giaoể  

ti p, th c hi n các công vi c hành chính v i c  quan nhà nế ự ệ ệ ớ ơ ước hoàn toàn qua m ng. Có th  nói, ch ng ch  s  là m t ph n không th  thi u,ạ ể ứ ỉ ố ộ ầ ể ế  

là ph n c t lõi c a Chính ph  đi n t ầ ố ủ ủ ệ ử2.1.1.4 Ch ng ch i cãi ngu n g cố ố ồ ố

Khi s  d ng m t ch ng ch  s , b n ph i ch u trách nhi m hoàn toànử ụ ộ ứ ỉ ố ạ ả ị ệ  

v  nh ng thông tin mà ch ng ch  s  đi kèm. Trong trề ữ ứ ỉ ố ường h p ngợ ườ  i

g i ch i cãi, ph  nh n m t thông tin nào đó không ph i do mình g iử ố ủ ậ ộ ả ử  (ch ng h n m t đ n đ t hàng qua m ng), ch ng ch  s  mà ngẳ ạ ộ ơ ặ ạ ứ ỉ ố ườ  i

nh n có đậ ượ ẽc s  là b ng ch ng kh ng đ nh ngằ ứ ẳ ị ườ ửi g i là tác gi  c aả ủ  thông tin đó. Trong trường h p ch i cãi, CA cung c p ch ng ch  sợ ố ấ ứ ỉ ố cho hai bên s  ch u trách nhi m xác minh ngu n g c thông tin, ch ngẽ ị ệ ồ ố ứ  

t  ngu n g c thông tin đỏ ồ ố ược g i.ử

2.1.1.5 Ch  ký đi n tữ ệ ử

Email đóng m t vai trò khá quan tr ng trong trao đ i thông tin hàngộ ọ ổ  ngày c a chúng ta vì  u đi m nhanh, r  và d  s  d ng. Nh ng thôngủ ư ể ẻ ễ ử ụ ữ  

đi p có th  g i đi nhanh chóng, qua Internet, đ n nh ng khách hàng,ệ ể ử ế ữ  

đ ng nghi p, nhà cung c p và các đ i tác. Tuy nhiên, email r t d  bồ ệ ấ ố ấ ễ ị 

t n thổ ương b i các hacker. Nh ng thông đi p có th  b  đ c hay b  giở ữ ệ ể ị ọ ị ả 

m o trạ ước khi đ n ngế ười nh n. B ng vi c s  d ng ch ng ch  s  cáậ ằ ệ ử ụ ứ ỉ ố  nhân, b n s  ngăn ng a đạ ẽ ừ ược các nguy c  này mà v n không làmơ ẫ  

gi m nh ng l i th  c a email. V i ch ng ch  s  cá nhân, b n có thả ữ ợ ế ủ ớ ứ ỉ ố ạ ể 

t o thêm m t ch  ký đi n t  vào email nh  m t b ng ch ng xác nh nạ ộ ữ ệ ử ư ộ ằ ứ ậ  

c a mình. Ch  ký đi n t  cũng có các tính năng xác th c thông tin,ủ ữ ệ ử ự  toàn v n d  li u và ch ng ch i cãi ngu n g c. Ngoài ra, ch ng ch  sẹ ữ ệ ố ố ồ ố ứ ỉ ố 

cá nhân còn cho phép người dùng có th  ch ng th c mình v i m t webể ứ ự ớ ộ  server thông qua giao th c b o m t SSL. Phứ ả ậ ương pháp ch ng th c d aứ ự ự  trên   ch ng   ch   s   đứ ỉ ố ược   đánh  giá  là   t t,   an   toàn  và   b o   m t  h nố ả ậ ơ  

phương pháp ch ng th c truy n th ng d a trên m t kh u.ứ ự ề ố ự ậ ẩ2.1.1.6 B o m t Websiteả ậ

Khi Website c a b n s  d ng cho m c đích thủ ạ ử ụ ụ ương m i đi n t  hayạ ệ ử  cho nh ng m c đích quan tr ng khác, nh ng thông tin trao đ i gi aữ ụ ọ ữ ổ ữ  

b n và khách hàng c a b n có th  b  l  Đ  tránh nguy c  này, b n cóạ ủ ạ ể ị ộ ể ơ ạ  

th  dùng ch ng ch  s  SSL Server đ  b o m t cho Website c a mình.ể ứ ỉ ố ể ả ậ ủ  

Ch ng ch  s  SSL Server s  cho phép b n l p c u hình Website c aứ ỉ ố ẽ ạ ậ ấ ủ  mình theo giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ngứ ả ậ ạ ứ  

ch  s  này s  cung c p cho Website c a b n m t đ nh danh duy nh tỉ ố ẽ ấ ủ ạ ộ ị ấ  

nh m đ m b o v i khách hàng c a b n v  tính xác th c và tính h pằ ả ả ớ ủ ạ ề ự ợ