Hệ mật khóa công khai và an ninh giao dịch điện tử an toàn thư tín điện tử

Hệ mật khóa công khai và an ninh giao dịch điện tử an toàn thư tín điện tử Hệ mật khóa công khai và an ninh giao dịch điện tử an toàn thư tín điện tử Hệ mật khóa công khai và an ninh giao dịch điện tử an toàn thư tín điện tử luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

BẠCH VIỆT QUÝ

HỆ MẬT KHÓA CÔNG KHAI VÀ AN NINH GIAO DỊCH ĐIỆN TỬ, AN TOÀN THƯ TÍN ĐIỆN TỬ

Chuyên ngành: CÔNG NGHỆ THÔNG TIN

LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGHUYỄN LINH GIANG

Hà Nội – Năm 2018

MỤC LỤC

LỜI CÁM ƠN 1

LỜI CAM ĐOAN 2

DANH MỤC BẢNG VÀ HÌNH VẼ 3

LỜI NÓI ĐẦU 5

CHƯƠNG 1: VẤN ĐỀ BẢO MẬT AN TOÀN THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ VÀ THƯ TÍN ĐIỆN TỬ 8

1.1 Tổng quan về giao dịch điện tử và thư tín điện tử 8

1.1.1 Khái niệm 8

1.1.2 Lợi ích của giao dịch điện tử và thư tín điện tử[5][6] 10

1.1.3 Các đặc trưng của giao dịch điện tử, thư tín điện tử 12

1.1.4 Các loại thị trường điện tử[5] 13

1.1.5 Các hệ thống thanh toán trong giao dịch điện tử 14

1.2 Vấn đề bảo mật an toàn thông tin trong các giao dịch điện tử và thư tín điện tử 16 1.3 Tổng quan về mật mã, khóa công khai, chữ ký số 18

1.3.1 Tổng quan về mật mã[1] 18

1.3.2 Khóa công khai[1] 25

1.3.3 Chữ ký số[7] 28

CHƯƠNG 2: MÃ HÓA CÔNG KHAI VÀ QUY TRÌNH ỨNG DỤNG CÁC

THUẬT TOÁN MÃ HÓA CÔNG KHAI TRONG GIAO DỊCH ĐIỆN TỬ 33

2.1 Mã hóa công khai và các thuật toán trong mã hóa công khai 33

2.1.1 Mã hóa công khai[1] 33

2.1.2 Các thuật toán trong mã hóa công khai[1] 38

2.2 Quy trình áp dụng mã hóa công khai trong giao dịch điện tử 60

CHƯƠNG 3: ỨNG DỤNG MÃ HÓA CÔNG KHAI TRONG BẢO MẬT GIAO DỊCH THANH TOÁN TRÊN WEBSITE XEM ẢNH NGHỆ THUẬT 62

3.1 Mô tả hệ thống ứng dụng được sử dụng 62

3.2 Qui trình mã hóa, giải mã thẻ trong hệ thống 68

3.3 So sánh về thời gian mã hóa, giải mã của 3 thuật toán Rsa, Elgamal, Merkle_Hellman trong giao dịch 73

CHƯƠNG 4: KẾT LUẬN – ĐỊNH HƯỚNG NGHIÊN CỨU VÀ ỨNG DỤNG 74

4.1 Kết luận 74

4.2 Định hướng nghiên cứu và ứng dụng 74

TÀI LIỆU THAM KHẢO 76

1

LỜI CÁM ƠN

Trong quá trình học tập cũng như nghiên cứu để hoàn thành đề tài luận văn thạc sĩ, bên cạnh sự nỗ lực của bản thân còn có sự hướng dẫn nhiệt tình của Quý Thầy, Cô, cũng như sự động viên, hỗ trợ của gia đình và đồng nghiệp trong suốt thời gian học tập nghiên cứu và thực hiện luận văn thạc sĩ

Tôi xin chân thành gửi lời cảm ơn đến các Quý Thầy, Cô của Trường Đại học Bách Khoa Hà Nội đã trang bị kiến thức, tạo môi trường điều kiện thuận lợi nhất cho tôi trong suốt quá trình học tập và thực hiện luận văn này

Với lòng kính trọng và biết ơn, tôi xin được bày tỏ lời cảm ơn sâu sắc đến PGS.TS Nguyễn Linh Giang, giảng viên Viện Công nghệ thông tin và Truyền thông - Trường Đại học Bách Khoa Hà Nội đã trực tiếp hướng dẫn tận tình cho tôi trong suốt quá trình thực hiện nghiên cứu này

Cuối cùng tôi xin chân thành cảm ơn đến gia đình, các đồng nghiệp, bạn bè trong tập thể lớp Công nghệ thông tin 2016A đã hỗ trợ cho tôi rất nhiều trong quá trình học tập, nghiên cứu và thực hiện đề tài luận văn thạc sĩ

Xin trân trọng cám ơn!

2

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng tôi Các số liệu sử dụng phân tích trong luận án có nguồn gốc rõ ràng, đã công bố theo quy định Các kết quả nghiên cứu thử nghiệm trong luận án là do tôi tự tìm hiểu, phân tích một cách trung thực khách quan, phù hợp với công việc tôi đang làm Các kết quả này chưa từng được công bố trong bất kỳ nghiên cứu nào khác

Tác giả luận văn

Bạch Việt Quý

3

DANH MỤC BẢNG VÀ HÌNH VẼ

2 Hình 1.2: Sơ đồ tạo và kiểm tra chữ ký số 31

4 Hình 2.2: Sơ đồ mã hóa công khai trong giao dịch điên tử 60

8 Hình 3.4 – 3.6: Thanh toán và gia hạn tài khoản 64,65

10 Hình 3.8: Giao diện web tạo khóa công khai 66

12 Hình 3.10: Qui trình mã hóa, giải mã trong hệ thống 68

13 Hình 3.11: Hệ thống chuyển thông tin thẻ đi mã hóa 70

4

15 Hình 3.13: Mã hóa theo thuật toán eLgamel 71

16 Hình 3.14: Mã hóa theo thuật toán Merkle HellMan 71

18 Hình 3.16: Bảng so sánh thời gian giải mã giữa Rsa,

5

LỜI NÓI ĐẦU

1 Tính cấp thiết của đề tài

Với sự phát triển mang tính toàn cầu của Internet và giao dịch điện tử, thư tín điện tử con người có thể mua bán dịch vụ và hàng hóa thông qua mạng máy tính toàn cầu một cách dễ dàng trong mọi lĩnh vực thương mại rộng lớn Tuy nhiên, đối với các giao dịch điện tử, thư tín điện tử mang tính nhạy cảm cần phải

có những cơ chế đảm bảo và an toàn Vì vậy, vấn đề bảo mật và an toàn thông tin trong giao dịch điện tử, thư tín điện tử là một vấn đề hết sức quan trọng Đề tài sẽ đề cập đến các vấn đề sử dụng mã hóa công khai trong bảo mật và an toàn thông tin giao dịch điện tử, thư tín điện tử

Hiện nay vấn đề bảo mật và an toàn thông tin trong giao dịch điện tử, thư tín điện tử đã và đang được áp dụng phổ biến và rộng rãi ở Việt nam và trên phạm vi toàn cầu Vì vậy, vấn đề bảo mật và an toàn đang được nhiều người tập trung nghiên cứu và tìm mọi giải pháp để đảm bảo Bảo mật và an toàn cho các

hệ thống thông tin trên mạng Tuy nhiên, cũng cần phải hiểu rằng không có một

hệ thống thông tin nào được bảo mật 100%, bất kỳ một hệ thống thông tin nào cũng có những lỗ hổng về bảo mật và an toàn mà chưa được phát hiện ra

Vấn đề bảo mật và an toàn thông tin trong giao dịch điện tử, thư tín điện tử phải đảm bảo bốn yêu cầu sau đây:

 Đảm bảo tin cậy: Các nội dung thông tin không bị theo dõi hoặc sao

chép bởi những thực thể không được ủy thác

 Đảm bảo toàn vẹn: Các nội dung thông tin không bị thay đổi bởi

những thực thể không được ủy thác

6

 Sự chứng minh xác thực: Không ai có thể tự trá hình như là bên hợp

pháp trong quá trình trao đổi thông tin

 Không thể thoái thác trách nhiệm: Người gửi tin không thể thoái

thác về những sự việc và những nội dung thông tin thực tế đã gửi đi

Xuất phát từ những khả năng ứng dụng trong thực tế và những ứng dụng đã

có từ các kết quả của nghiên cứu trước đây về lĩnh vực bảo mật và an toàn trong giao dịch điện tử, thư tín điện tử Đề tài sẽ đi sâu và nghiên cứu các kỹ thuật mã hóa công khai nhằm bảo mật và an toàn thông tin trong giao dịch điện tử, thư tín điện tử

2 Mục tiêu và nhiệm vụ nghiên cứu của đề tài

Đề tài nghiên cứu các kỹ thuật và phương pháp mã hóa công khai để thực hiện nhiệm vụ bảo mật và an toàn thông tin trong giao dịch điện tử và thư tín điện tử, quá trình thực hiện và các kiến thức khoa học và thuật toán liên quan như: Xác thực, Bảo mật, Bảo toàn dữ liệu, Mật mã…

Áp dụng kết quả nghiên cứu để triển khai hệ thống bảo mật và an toàn trong giao dịch điện tử

3 Ý nghĩa khoa học của đề tài

Áp dụng các kết quả đã nghiên cứu để xây dựng các kỹ thuật bảo mật và an toàn trong thương mại điện tử với một số tính năng cơ bản như sau: hệ thống mã hóa và giải mã trong giao dịch điện tử, thư tín điện tử

Vấn đề bảo mật và an toàn trên mạng là một vấn đề nóng hổi trong hoạt động thực tiễn của giao dịch điện tử, giải quyết tốt vấn đề bảo mật và an toàn trong giao dịch điện tử sẽ mang lại ý nghĩa hết sức to lơn như: Làm cho khách hàng tin tưởng khi thực hiện các giao dịch trên mạng, các nhà cung cấp dịch vụ

7

giao dịch trực tuyến cũng như các ISP đảm bảo những thông tin của khách hàng giao dịch trên mạng được an toàn

4 Phương pháp nghiên cứu

Thu thập, phân tích các tài liệu và những thông tin liên quan đế đề tài

Tìm hiểu các giao dịch trong giao dịch điện tử, thư tín điện tử trên website trong và ngoài nước, thu thập các thông tin về bảo mật các giao dịch điện tử, thư tín điện tử đã có

Kết hợp nghiên cứu đã có trước đây của các tác giả trong nước cùng với sự chỉ bảo, góp ý của thầy hướng dẫn để hoàn thành nội dung nghiên cứu

Do có những hạn chế nhất định về cơ sở vật chất và điều kiện tiếp cận thực

tế với lĩnh vực an toàn và bảo mật trong giao dịch điện tử và thư tín điện tử nên việc cài đặt ứng dụng chủ yếu mang tính thử nghiêm

6 Các kết quả nghiên cứu dự kiến cần đoạt được

Các vấn đề về bảo mật trong giao dịch điện tử, thư tín điện tử, sử dụng mã hóa công khai trong mã hóa

Cài đặt thử nghiệm các thuật toán mã hóa công khai trong giao dịch điện tử

đã nghiên cứu

Mặc dù rất nỗ lực, cố gắng nhưng do thời gian hạn hẹp nên tôi chưa thể thử nghiệm trên phạm rộng hơn Do đó, không thể tránh khỏi những hạn chế và thiếu sót, rất mong được sự quan tâm và góp ý của Thầy Cô và tất cả các bạn

 Khái niệm giao dịch điện tử [5]

Khi nói về khái niệm giao dịch điện tử, nhiều người nhầm lẫn với khái niệm của Kinh doanh điện tử Tuy nhiên, giao dịch điện tử đôi khi được xem là tập con của kinh doanh điện tử Giao dịch điện tử chú trọng đến việc mua bán trực tuyến (tập trung bên ngoài), trong khi đó kinh doanh điện tử là việc sử dụng Internet và các công nghệ trực tuyến tạo ra quá trình hoạt động kinh doanh hiệu quả dù có hay không có lợi nhuận, vì vậy tăng lợi ích với khách hàng (tập trung bên trong)

Một số khái niệm giao dịch điện tử được định nghĩa bởi các tổ chức uy tín thế giới như sau:

Theo Tổ chức Thương mại thế giới (WTO), "giao dịch điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình, cả các sản phẩm giao nhận cũng như những thông tin số hoá thông qua mạng Internet" Theo Ủy ban Thương mại điện tử của Tổ chức Hợp tác kinh tế châu Á - Thái Bình Dương (APEC) định nghĩa: "Giao dịch điện tử liên quan đến các giao dịch thương mại trao đổi hàng hóa và dịch vụ giữa các nhóm (cá nhân) mang tính điện tử chủ yếu thông qua các hệ thống có nền tảng dựa trên Internet." Các

Tóm lại, giao dịch điện tử chỉ xảy ra trong môi trường kinh doanh mạng Internet và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các công cụ, kỹ thuật và công nghệ điện tử Ngoài ra, theo nghiên cứu tại đại học Texas, các học giả cho rằng thương mại điện tử và kinh doanh điện

tử đều bị bao hàm bởi nền kinh tế Internet

 Khai niệm thƣ tín điện tử [6]

Thư điện tử (email hay e-mail) là một phương thức trao đổi tin nhắn giữa những người sử dụng các thiết bị điện tử Thư điện tử lần đầu tiên được đưa vào

sử dụng hạn chế trong thập niên 60 và đến giữa những năm 1970 có dạng như ngày nay gọi là email Thư điện tử hoạt động qua các mạng máy tính mà hiện nay chủ yếu là Internet Một số hệ thống thư điện tử ban đầu yêu cầu người gửi

và nhận đều trực tuyến tại cùng thời điểm, giống với nhắn tin tức thời Hệ thống thư điện tử ngày nay được dựa trên một mô hình lưu và chuyển tiếp Các máy chủ thư điện tử chấp nhận, chuyển tiếp, phân phối và lưu tin nhắn Người dùng cũng như máy tính của họ không bắt buộc đang trực tuyến cùng lúc; họ cần kết

mở rộng thư điện tử Internet đa mục đích có chứa văn bản dưới nhiều bộ ký tự

và nội dung đa phương tiện đính kèm Thư điện tử quốc tế với những địa chỉ thư điện tử sử dụng UTF-8, đã được chuẩn hóa nhưng tính đến năm 2017 nó vẫn chưa được áp dụng rộng rãi

Lịch sử các dịch vụ thư điện tử Internet hiện đại truy tính

từ ARPANET thời kỳ đầu với những tiêu chuẩn về việc mã hóa các tin nhắn thư điện tử được công bố ngay từ năm 1973 (RFC 561) Một bức thư điện tử được gửi vào đầu những năm 1970 trông rất giống với thư điện tử cơ bản được gửi đi ngày nay Thư điện tử có vai trò quan trọng trong việc tạo ra Internet, và việc chuyển đổi từ ARPANET sang Internet vào đầu những năm 1980 đã tạo ra cốt lõi cho các dịch vụ hiện tại

1.1.2 Lợi ích của giao dịch điện tử và thƣ tín điện tử [5][6]

 Thu thập đƣợc nhiều thông tin

Giao dịch điện tử, thư tín điện tử giúp cho mỗi cá nhân khi tham gia thu được nhiều thông tin về thị trường, đối tác, giảm chi phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất, tạo dựng và củng cố quan hệ bán hàng Các doanh nghiệp nắm được các thông tin phong phú về kinh tế thị trường, nhờ đó có thể xây dựng được chiến lược sản xuất và kinh doanh thích hợp với xu thế phát triển của thị trường trong nước, trong khu vực và quốc tế Điều này đặc biệt ý nghĩa

11

với các doanh nghiệp vừa và nhỏ, hiện nay đang được nhiều nước quan tâm coi

là một trong động lực phát triển kinh tế

 Giảm chi phí sản xuất

Giao dịch điện tử, thư tín điện tử cũng giúp giảm chi phí sản xuất, trước hết

là chi phí văn phòng Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyển giao tài liệu giảm nhiều lần trong đó khâu in ấn gần như bỏ hẳn Theo số liệu của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30% Điều quan trọng hơn, với góc độ chiến lược là các nhân viên có năng lực được giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển, sẽ đưa đến những lợi ích to lớn lâu dài

 Giảm chi phí bán hàng, tiếp thị và giao dịch

Giao dịch điện tử, thư tín điện tử giúp giảm thấp chi phí bán hàng và chi phí tiếp thị Bằng phương tiện Internet/Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khổ giới hạn và luôn luôn lỗi thơi, trong khi đó catalogue điện tử trên web được cập nhật thường xuyên

Giao dịch điện tử, thư tín điện tử qua Internet/Web giúp người tiêu thụ và các doanh nghiệp giảm đáng kể thời gian và chi phí giao dịch Thời gian giao dịch qua internet chỉ bằng 7% thời gian giao dịch qua FAX, và bằng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10% đến 20% chi phí thanh toán theo nối thông thường

12

 Xây dựng quan hệ đối tác

Giao dịch điện tử, thư tín điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan hệ giữa các thành viên tham gia quá trình thương mại thông qua mạng Internet, các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục với nhau, có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ đó sự hợp tác và quản lý đều được tiến hành nhanh chóng một cách liên tục, các bạn hàng mới, các cơ hội kinh doanh mới được phát hiện nhanh chóng trên phạm vi toàn thế giới và có nhiều cơ hội để lựa chọn

 Tạo điều kiện sớm tiếp cận kinh tế tri thức

Trước hết giao dịch điện tử, thư tín điện tử sẽ kích thích sự phát triển của ngành CNTT tạo cơ sở cho phát triển kinh tế tri thức Lợi ích này có một ý nghĩa lớn đối với các nước đang phát triển, nếu không nhanh chóng tiếp cận nền kinh

tế tri thức thì sau khoảng một thập kỷ nữa nước đang phát triển có thể bị bỏ rơi hoàn toàn Khía cạnh lợi ích này mang tính chiến lược công nghệ và tính chính sách phát triển cần cho các nước công nghiệp hóa

1.1.3 Các đặc trƣng của giao dịch điện tử, thƣ tín điện tử [5][6]

Các bên tiến hành giao dịch điện tử, thư tín điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

Các giao dịch, thư tín truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn giao dịch điện tử, thư tín điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu) Giao dịch điện tử, thư tín điện tử trực tiếp tác động đến môi trường cạnh tranh toàn cầu

13

Trong hoạt động giao dịch điện tử đều có sự tham gia của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp các dịch vụ mạng, các cơ quan chứng thực

Đối với giao dịch, thư tín truyền thống thì mạng lưới thông tin chỉ là phương tiện trao đổi dữ liệu, còn đối với giao dịch điện tử, thư tín điện tử thì mạng lưới thông tin chính là thị trường

1.1.4 Các loại thị trường điện tử [5]

Giao dịch điện tử ngày nay liên quan đến tất cả mọi thứ từ đặt hàng nội dung "kỹ thuật số" cho đến tiêu dùng trực tuyến tức thời, để đặt hàng và dịch vụ thông thường, các dịch vụ "meta" đều tạo điều kiện thuận lợi cho các dạng khác của thương mại điện tử

Ở cấp độ tổ chức, các tập đoàn lớn và các tổ chức tài chính sử dụng Internet để trao đổi dữ liệu tài chính nhằm tạo điều kiện thuận lợi cho kinh doanh trong nước và quốc tế Tính toàn vẹn dữ liệu và tính an ninh là các vấn đề rất nóng gây bức xúc trong thương mại điện tử

Hiện nay có nhiều tranh cãi về các hình thức tham gia cũng như cách phân chia các hình thức này trong thương mại điện tử Nếu phân chia theo đối tượng tham gia thì có 3 đối tượng chính bao gồm: Chính phủ (G - Government), Doanh nghiệp (B - Business) và Khách hàng (C - Customer hay Consumer) Nếu kết hợp đôi một 3 đối tượng này sẽ có 9 hình thức theo đối tượng tham gia: B2C, B2B, B2G, G2B, G2G, G2C, C2G, C2B, C2C Trong đó, các dạng hình thức chính của giao dịch điện tử bao gồm:

 Doanh nghiệp với Doanh nghiệp (B2B)

 Doanh nghiệp với Khách hàng (B2C)

14

 Doanh nghiệp với Nhân viên (B2E)

 Doanh nghiệp với Chính phủ (B2G)

 Chính phủ với Doanh nghiệp (G2B)

 Chính phủ với Chính phủ (G2G)

 Chính phủ với Công dân (G2C)

 Khách hàng với Khách hàng (C2C)

 Khách hàng với Doanh nghiệp (C2B)

 Ngoài ra, giao dịch điện tử còn được phân chia theo các hình thức:

 online-to-offline (O2O)

1.1.5 Các hệ thống thanh toán trong giao dịch điện tử

Thanh toán điện tử là một khâu quan trọng trong giao dịch điện tử Hiểu một cách khái quát thì thanh toán điện tử là một quá trình thanh toán tiền giữa người mua và người bán Điểm cốt lõi của vấn đề là việc ứng dụng các công nghệ thanh toán tài chính (Ví dụ mã hóa số thẻ tín dụng, thẻ điện thoại, hoặc tiền điện tử) giữa ngân hàng, nhà trung gian và các bên tham gia hoạt động thương mại Các ngân hàng và tổ chức tín dụng hiện nay sử dụng phương pháp này nhằm mục đích nâng cao hiệu quả hoạt động trong bối cảnh phát triển của nền kinh tế số, với một số lợi ích như giảm chi phí xử lý, chi phí công nghệ và tăng cường thương mại trực tuyến[8]

Thanh toán điện tử là việc trả tiền thông qua các thông điệp điện tử thay vì trao tay trực tiếp Việc trả lương bằng cách chuyển tiền vào tài khoản ngân hàng, trả tiền mua hàng bằng thẻ tín dụng, bằng thẻ mua hàng … thực chất cũng là những ví dụ đơn giản của thanh toán điện tử

Thanh toán bằng thiết bị di động thông minh:

Đây là một hình thức khá phổ biến và có tiềm năng phát triển mạnh trong tương lai với đại đa số người dân bây giờ ai cũng đá quá quen thuộc và sử dụng thành thạo smartphone Với dịch vụ này khi đi mua sắm, khách hàng không cần phải mang theo tiền mặt mà thay vào đó là thanh toán trực tuyến thông qua điện thoại di động thông minh với dịch vụ Mobile Banking

Với những lợi ích trên, tăng cường khả năng thanh toán điện tử sẽ là một giải pháp cắt giảm đáng kể các chi phí hoạt động Theo tính toán của các ngân hàng thì việc giao dịch bằng tiền và sec rất tốn kém, do đó họ tìm kiếm các giải pháp khác với chi phí thấp hơn Hiện nay tại Việt Nam các giao dịch bằng tiền mặt vẫn chiếm khoảng 90% trong các hoạt động thường ngày, và đây sẽ cơ hội hớn cho các dịch vụ tài chính không tiền mặt cho các công ty

Thanh toán bằng ví điện tử: Với hình thức thanh toán này, khách hàng

phải sở hữu ví điện tử của Mobivi, Payoo, VnMart, từ đó có thể thanh toán trực tuyến trên một số website đã chấp nhận ví điện tử này

Và một số hình thức khác như thành toán qua chuyển khoản ngân hàng…

và hiệu quả Sự phát triển mạnh mẽ của Internet xét về mặt bản chất chính là việc đáp ứng lại sự gia tăng không ngừng của nhu cầu gia tăng giao dịch trực tuyến trên hệ thống mạng toàn cầu Các giao dịch trực tuyến trên Internet phát triển từ những hình thức sơ khai như trao đổi thông tin (email, messeage, v.v…), quảng bá (web – publishing) đến các giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử, thương mại điện tử ngày càng phát triển mạnh mẽ trên khắp thế giới

Tuy nhiên lại nảy sinh các vấn đề an toàn thông tin, Internet có những kỹ thuật cho mọi người truy nhập, khai thác, chia sẻ thông tin Nhưng nó cũng là nguy cơ chính dẫn đến viện thông tin của bạn bị hư hỏng hoặc phá hủy hoàn toàn Sở dĩ có lý do đó là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác mà đi qua một loạt các máy tính trung gian hoặc mạng riêng biệt trước khi nó tới được đích Chính vì điểm này, giao thức TCP/IP đã tạo cơ hội cho ―bên thứ ba‖ có thể thực hiện các hành động gây mất mát an toàn thông tin trong các giao dịch

Theo số liệu của CERT (Computer Emegency Response team – ―Đội phản ứng nhanh an ninh mạng máy tính‖), số lượng tấn công trên Internet được thông báo cho tổ chức này tăng từ 22000 vụ năm 2000 lên đến 82000 năm 2002, và

17

con số này cao gấp 20 lần nạn nhân năm 1998[9]… Những cuộc tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức nhân sự, các nhà băng lớn,… Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công) Hơn nữa, những con số này chỉ là phần nổi của tảng băng Một phần lớn những vụ tấn công không được thông báo, vì nhiều

lí do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của

họ

Không chỉ số lượng tấn công được tăng lên nhanh chóng, mà các phướng pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác Cũng theo CERT, những cuộc tấn công thời kỳ 1988 -1989 chủ yếu đoán tên người sử dụng – mật khẩu (UserID – password) hoặc sử dụng một số lỗi của các chương trình hệ điều hành (security hole) làm vô hiệu hóa hệ thống bảo vệ tuy nhiên các cuộc tấn công vào thời điểm gần đây bào gồm các thao tác như giả mạo địa chỉ

IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin) Một số vấn đề an toàn đối với nhiều mạng hiện nay:

 Nghe trộm (Eaves dropping): Thông tin không hề bị thay đổi, nhưng

sự bí mật của nó thì không còn Ví dụ, một ai đó có thể biết được số thẻ tín dụng, hay các thông tin cần bảo mật của bạn

 Giả mạo (Tampering): Các thông tin trong khi truyền trên mạng bị

thay đổi hay bị thay đổi trước khi đến người nhận Ví dụ, một ai đó

có thể sửa đổi nội dung của một đơn đặt hàng hoặc thay đổi lý lịch của một cá nhân trước khi thông đó đi đến đích

18

 Mạo danh (Impersonation): Một cá nhân có thể dựa vào thông tin

của người khác để trao đổi với một đối tượng Có hai hình thức mạo danh sau:

 Bắt trước (Spoofing): một cá nhân có thể giả vờ như một người

khác Ví dụ, dùng địa chỉ email của một người khác hoặc giả mạo tên miền của một trang Web

 Xuyên tạc (Misrepresentation): một cá nhân hay một tổ chức có thể

giả vờ như một đối tượng, hay đưa ra những thông tin về mình mà không đúng như vậy Ví dụ, có một trang chuyên về thiết bị nội thất

mà có sử dụng thẻ tín dụng, nhưng thực tế là một trang chuyên đánh cắp thẻ tín dụng

 Chối cãi nguồn gốc: Mỗi cá nhân có thể chối là đã không gửi tài

liệu khi xảy ra tranh chấp Ví dụ khi gửi email thông thường, người nhận sẽ không thể khẳng định người gửi là chính xác

Để vừa đảm bảo tính bảo mật của thông tin thì chúng ta cần có các giải pháp phù hợp Hiện tại có rất nhiều giải pháp cho vấn đề an toàn thông tin trên mạng một trong nhưng giải pháp được sử dụng rộng rãi trong bảo mật thông tin giao dịch là sử dụng mã hóa công khai

1.3 Tổng quan về mật mã, khóa công khai, chữ ký số

1.3.1 Tổng quan về mật mã [1]

1.3.1.1 Khái niệm

Người ta gọi mật mã học là một khoa học nghiên cứu nghệ thuật nhằm che giấu thông tin, bằng cách mã hóa (encryption) tức là biến đổi ―thông tin gốc‖ dạng tường minh (plaintext) thành ―thông tin mã hóa‖ dạng ẩn tàng (cipher text)

19

bằng cách sử dụng một khóa mã (thuật toán mã hóa) nào đó Chỉ có những người giữ chìa khóa (key) bí mật mới có thể giải mã (decryption) thông tin dạng ẩn tàng trở lại thành dạng thông tin có dạng tường minh

Hình 1.1: Sơ đồ mã hóa và giải mã

Thông tin ẩn tàng đôi khi vẫn bị khám phá mà không cần biết khóa bí mật: việc đó gọi là bẻ khóa Ngành học nghiên cứu việc bẻ khóa (attack/crack/hack) này còn gọi là cryptannalysis Như đã nói ở ví dụ trên, trong các phướng án tấn công thám mã ta gọi tấn công bạo lực – bruce force attack (exhausive key search): là phương án tấn công bằng cách thử tất cả những khả năng chìa khóa có thể có Đây là phương pháp tấn công thô sơ nhất và cũng khoa khăn nhất Theo

lý thuyết tất cả các thuật toán hiện đại đều có thể bị đánh bại bởi tấn công bạo lực nhưng trong thực tiễn việc này chỉ có thể thực hiện được trong khoảng thời gian rất dài nên trong thực tế là không khả thi Vì thế có thể coi một thuật toán là

an toàn nếu như không còn cách nào khác để tấn công nó ngoài sử dụng bruce force attack Để chống lại tấn công này, chìa khóa bí mật được thay đổi một cách thường xuyên hơn

20

Trong lý thuyết mật mã, người ta nghiên cứu đồng thời các thuật toán lập

mã và vấn đề thám mã được dùng để đánh giá mức độ an toàn và khả năng bảo mật thông tin của mỗi thuật toán mã hóa

Quá trình mã hóa được sử dụng chủ yếu để đảm bảo tính bí mật của các thông tin quan trọng, chẳng hạn trong công tác tình báo, quân sự hay ngoại giao cũng như các bí mật về kinh tế, thương mại Trong những năm gần đây lĩnh vực hoạt động của mật mã học đã được mở rộng; mật mã hóa hiện đại cung cấp cơ chế nhiều hoạt động hơn là chỉ duy nhất việc giữ bí mật và có một loạt các ứng dụng như: chứng thực khóa công khai, mã hóa thẻ, mã hóa văn bản,chữ ký số, bầu cử điện tử hay tiền điện tử Ngoài ra những người không có nhu cầu thiết yếu đặc biệt về tính bí mật cũng sử dụng công nghệ mã hóa, thông thường được thiết kế và tạo lập sẵn trong các cơ sở hạ tầng của công nghệ tính toán và liên lạc viễn thông

Mật mã học là một ngành có lịch sử từ hàng nghìn năm nay Trong phần lớn thời gian phát triển của mình (ngoại trừ vài thập kỷ trở lại đây), lịch sử mật mã học chính là lịch sử của các phương pháp mật mã học cổ điển – các phương pháp

mã hóa với bút và giấy, đôi khi có hỗ trợ từ những dụng cụ cơ khí đơn giản Vào đầu thế kỷ 20, sự xuất hiện của các cơ cấu cơ khí và điện cơ, chẳng hạn như máy Enigna, đã cung cấp những cơ chế phức tạp và hiệu quả hơn cho việc mật mã hóa Sự ra đời và phát triển mạnh mẽ của ngành điện tử và máy tính trong thập niên gần đây đã tạo ra điều kiện để mật mã học phát triển nhảy vọt lên một tầm cao mới

21

1.3.1.2 Phân loại các thuật toán mã hóa

Ngày nay người ta phân ra hai nhóm thuật toán mã hóa chính là: Các thuật toán mã hóa cổ điển và các thuật toán hiện đại

 Mật mã học cổ điển

Những bằng chứng sớm nhất về việc sử dụng mật mã học là các chữ tượng hình không tiêu chuẩn tìm thấy trên các bức tường Ai Cập cổ đại (khoảng 2000 năm trước công nguyên) Những ký hiệu này tỏ ra không phải để phục vụ mục đích truyền thông tin bí mật mà có vẻ như là nhằm mục đích gợi nên những điều thần bí, trí tò mò hoặc thậm trí để tạo sự thích thú cho người xem Ngoài ra còn rất nhiều ví dụ khác về những ứng dụng của mật mã học hoặc là những điều tương tự Muộn hơn, các học giả về tiếng Hebrew có sử dụng một phương pháp

mã hóa thay thế bằng chữ cái đơn giản chẳng hạn như mật mã hóa Atbash (khoảng từ năm 500 đến năm 600), mà chìa khóa mã hóa và giải mã là một sự thay thế trong bảng chữ cái Giả sử dùng chìa khóa mã hóa là bảng hoán vị:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Z Y X W V U T S R Q P O N M L K J I H G F E D C B A

Vào khoảng năm 400 trước công nguyên, người Sparte sử dụng một dụng

cụ gọi là gậy mật mã Các đối tác viết thư lên một hàng ngang của mảnh giấy dài cuốn quanh một cây gậy có đường kính và độ dài quy ước với nhau rồi tháo ra và điền vào ô trống những ký tự bất kỳ Đối tác nhận thư phải có một cây gậy giống hệt, cùng đường kính và độ dài, lại quấn mảnh giấy vào gậy và giải mã được Nếu không hiểu quy luật và không có cây gậy như thế thì không thể nào đọc hiểu những ký tự nối đuôi nhau một cách ―vô nghĩa‖ trên mảnh giấy về thời Trung

22

Cổ, hoàng đế La Mã nổi tiếng Julius Caesar tạo một công cụ lập mã rất đơn giản cho thuật toán gọi là ―mã vòng‖ tương tự như thuật toán Atbash của người Hebrew nhưng đây không phải là một sự thay thế bất kỳ mà là một sự thay thế theo hoán vị vòng quanh Thậm chí đã có những đề cập đến một cuốn sách nói

về mật mã trong quân đội La Mã, tuy nhiên cuốn sách này đã thất truyền

1.3.1.3 Tiêu chuẩn mật mã

Thời kỳ giữa thập niên kỷ 1970 được chứng kiến hai tiến bộ chính lớn (công khai) Đầu tiên là sự công bố đề xuất Tiêu chuẩn mật mã hóa dữ liệu (Data Encryption Standard) trong "Công báo Liên bang" (Federal Register) ở nước Mỹ

23

vào ngày 17 tháng 3 năm 1975 Với đề cử của Cục Tiêu chuẩn Quốc gia (National Bureau of Standards - NBS) (hiện là NIST), bản đề xuất DES được công ty IBM (International Business Machines) đệ trình trở thành một trong những cố gắng trong việc xây dựng các công cụ tiện ích cho thương mại, như cho các nhà băng và cho các tổ chức tài chính lớn Sau những chỉ đạo và thay đổi của NSA, vào năm 1977, nó đã được chấp thuận và được phát hành dưới cái tên Bản Công bố về Tiêu chuẩn Xử lý Thông tin của Liên bang (Federal Information Processing Standard Publication - FIPS) (phiên bản hiện nay là FIPS 46-3) DES

là phương thức mật mã công khai đầu tiên được một cơ quan quốc gia như NSA

"tôn sùng" Sự phát hành bản đặc tả của nó bởi NBS đã khuyến khích sự quan tâm chú ý của công chúng cũng như của các tổ chức nghiên cứu về mật mã học Năm 2001, DES đã chính thức được thay thế bởi AES (viết tắt của Advanced Encryption Standard - Tiêu chuẩn mã hóa tiên tiến) khi NIST công bố phiên bản FIPS 197 Sau một cuộc thi tổ chức công khai, NIST đã chọn Rijndael, do hai nhà mật mã người Bỉ đệ trình, và nó trở thành AES Hiện nay DES và một số biến thể của nó (như Tam phần DES (Triple DES); xin xem thêm trong phiên bản FIPS 46-3), vẫn còn được sử dụng, do trước đây nó đã được gắn liền với nhiều tiêu chuẩn của quốc gia và của các tổ chức Với chiều dài khoá chỉ là 56-bit, nó đã được chứng minh là không đủ sức chống lại những tấn công kiểu vét cạn (brute force attack - tấn công dùng bạo lực) Một trong những cuộc tấn công kiểu này được thực hiện bởi nhóm "nhân quyền cyber" (cyber civil-rights group) tên là Tổ chức tiền tuyến điện tử (Electronic Frontier Foundation) vào năm 1997, và đã phá mã thành công trong 56 tiếng đồng hồ—câu chuyện này được nhắc đến trong cuốn Cracking DES (Phá vỡ DES), được xuất bản bởi "O'Reilly and Associates" Do kết quả này mà hiện nay

24

việc sử dụng phương pháp mật mã hóa DES nguyên dạng, có thể được khẳng định một cách không nghi ngờ, là một việc làm mạo hiểm, không an toàn, và những thông điệp ở dưới sự bảo vệ của những hệ thống mã hóa trước đây dùng DES, cũng như tất cả các thông điệp được truyền gửi từ năm 1976 trở đi sử dụng DES, đều ở trong tình trạng rất đáng lo ngại Bất chấp chất lượng vốn có của nó, một số sự kiện xảy ra trong năm 1976, đặc biệt là sự kiện công khai nhất của Whitfield Diffie, chỉ ra rằng chiều dài khóa mà DES sử dụng (56-bit) là một khóa quá nhỏ Đã có một số nghi ngờ xuất hiện nói rằng một số các tổ chức của chính phủ, ngay tại thời điểm hồi bấy giờ, cũng đã có đủ công suất máy tính để phá mã các thông điệp dùng DES; rõ ràng là những cơ quan khác cũng đã có khả năng để thực hiện việc này rồi

Mật mã hóa được sử dụng để đảm bảo an toàn cho thông tin liên lạc Các thuộc tính được yêu cầu là:

 Tính bí mật: Chỉ có người nhận đã xác thực có thể lấy ra được nội

dung của thông tin chứa đựng trong dạng đã mật mã hóa của nó Nói khác đi, nó không thể cho phép thu lượm được bất kỳ thông tin đáng kể nào về nội dung thông điệp

 Nguyên vẹn: người nhận có khả năng xác định được thông tin có bị

thay đổi trong quá trình truyền hay không

 Tính xác thực: Người nhận cần có khả năng xác định người gửi và

kiểm tra xem người gửi có thực sự gửi tin đi hay không

 Không bị từ chối: Người gửi không bị (không thể) từ chối việc đã

gửi thông tin đi

 Chống lặp lại: Không cho phép bên thứ ba copy lại văn bản và gửi

nhiều lần đến người nhận mà người gửi không hề hay biết

1.3.2 Khóa công khai [1]

Tiến triển thứ hai, vào năm 1976, có lẽ còn đột phá hơn nữa, vì tiến triển này đã thay đổi nền tảng cơ bản trong cách làm việc của các hệ thống mật mã hóa Đó chính là công bố của bài viết phương hướng mới trong mật mã học (New Directions in Cryptography) của Whitfield Diffie và Martin Hellman Bài viết giới thiệu một phương pháp hoàn toàn mới về cách thức phân phối các khóa mật mã Đây là một bước tiến khá xa trong việc giải quyết một vấn đề

cơ bản trong mật mã học, vấn đề phân phối khóa, và nó được gọi là trao đổi khóa Diffie-Hellman (Diffie-Hellman key exchange) Bài viết còn kích thích sự phát triển gần như tức thời của một lớp các thuật toán mật mã hóa mới, các thuật toán chìa khóa bất đối xứng (asymmetric key algorithms)

Trước thời kỳ này, hầu hết các thuật toán mật mã hóa hiện đại đều là những thuật toán khóa đối xứng (symmetric key algorithms), trong đó cả người gửi và người nhận phải dùng chung một khóa, tức khóa dùng trong thuật toán mật mã, và cả hai người đều phải giữ bí mật về khóa này Tất cả các máy điện cơ dùng trong thế chiến II, kể cả mã Caesar và mã Atbash, và về bản chất mà nói,

kể cả hầu hết các hệ thống mã được dùng trong suốt quá trình lịch sử nữa đều thuộc về loại này Đương nhiên, khóa của một mã chính là sách mã (codebook),

và là cái cũng phải được phân phối và giữ gìn một cách bí mật tương tự

26

Do nhu cầu an ninh, khóa cho mỗi một hệ thống như vậy nhất thiết phải được trao đổi giữa các bên giao thông liên lạc bằng một phương thức an toàn nào đấy, trước khi họ sử dụng hệ thống (thuật ngữ thường được dùng là 'thông qua một kênh an toàn'), ví dụ như bằng việc sử dụng một người đưa thư đáng tin cậy với một cặp tài liệu được khóa vào cổ tay bằng một cặp khóa tay, hoặc bằng cuộc gặp gỡ mặt đối mặt, hay bằng một con chim bồ câu đưa thư trung thành Vấn đề này chưa bao giờ được xem là dễ thực hiện, và nó nhanh chóng trở nên một việc gần như không thể quản lý được khi số lượng người tham gia tăng lên, hay khi người ta không còn các kênh an toàn để trao đổi khóa nữa, hoặc lúc họ phải liên tục thay đổi các chìa khóa - một thói quen nên thực hiện trong khi làm việc với mật mã Cụ thể là mỗi một cặp truyền thông cần phải có một khóa riêng nếu, theo như thiết kế của hệ thống mật mã, không một người thứ ba nào, kể cả khi người ấy là một người dùng, được phép giải mã các thông điệp Một hệ thống thuộc loại này được gọi là một hệ thống dùng chìa khóa mật, hoặc một hệ thống mật mã hóa dùng khóa đối xứng Hệ thống trao đổi khóa Diffie-Hellman (cùng những phiên bản được nâng cấp kế tiếp hay các biến thể của nó) tạo điều kiện cho các hoạt động này trong các hệ thống trở nên dễ dàng hơn rất nhiều, đồng thời cũng an toàn hơn, hơn tất cả những gì có thể làm trước đây

Ngược lại, đối với mật mã hóa dùng khóa bất đối xứng, người ta phải có một cặp khóa có quan hệ toán học để dùng trong thuật toán, một dùng để mã hóa

và một dùng để giải mã Một số những thuật toán này, song không phải tất cả, có thêm đặc tính là một trong các khóa có thể được công bố công khai trong khi cái kia không thể nào (ít nhất bằng những phương pháp hiện có) được suy ra từ khóa 'công khai' Trong các hệ thống này, khóa còn lại phải được giữ bí mật và nó thường được gọi bằng một cái tên, hơi có vẻ lộn xộn, là khóa 'cá nhân' (private

27

key) hay khóa bí mật Một thuật toán thuộc loại này được gọi là một hệ thống 'khóa công khai' hay hệ thống khóa bất đối xứng Đối với những hệ thống dùng các thuật toán này, mỗi người nhận chỉ cần có một cặp chìa khóa mà thôi (bất chấp số người gửi là bao nhiêu đi chăng nữa) Trong 2 khóa, một khóa luôn được giữ bí mật và một được công bố công khai nên không cần phải dùng đến một kênh an toàn để trao đổi khóa Chỉ cần đảm bảo khóa bí mật không bị lộ thì an ninh của hệ thống vẫn được đảm bảo và có thể sử dụng cặp khóa trong một thời gian dài Đặc tính đáng ngạc nhiên này của các thuật toán tạo khả năng, cũng như tính khả thi, cho phép việc triển khai các hệ thống mật mã có chất lượng cao một cách rộng rãi, và ai cũng có thể sử dụng chúng được

Các thuật toán mật mã khóa bất đối xứng dựa trên một lớp các bài toán gọi

là hàm một chiều (one-way functions) Các hàm này có đặc tính là rất dễ dàng thực hiện theo chiều xuôi nhưng lại rất khó (về khối lượng tính toán) để thực hiện theo chiều ngược lại Một ví dụ kinh điển cho lớp bài toán này là hàm nhân hai số nguyên tố rất lớn Ta có thể tính tích số của 2 số nguyên tố này một cách khá dễ dàng nhưng nếu chỉ cho biết tích số thì rất khó để tìm ra 2 thừa số ban đầu Do những đặc tính của hàm một chiều, hầu hết các khóa có thể lại là những khóa yếu và chỉ còn lại một phần nhỏ có thể dùng để làm khóa Vì thế, các thuật toán khóa bất đối xứng đòi hỏi độ dài khóa lớn hơn rất nhiều so với các thuật toán khóa đối xứng để đạt được độ an toàn tương đương Ngoài ra, việc thực hiện thuật toán khóa bất đối xứng đòi hỏi khối lượng tính toán lớn hơn nhiều lần so với thuật toán khóa đối xứng Bên cạnh đó, đối với các hệ thống khóa đối xứng, việc tạo ra một khóa ngẫu nhiên để làm khóa phiên chỉ dùng trong một phiên giao dịch là khá dễ dàng Vì thế, trong thực tế người ta thường dùng kết hợp: hệ thống mật mã khóa bất đối xứng được dùng để trao đổi khóa

mã học dùng khóa công khai, trước khi bài viết của Diffie và Hellman được công

bố Nhiều tài liệu mật do GCHQ viết trong quá trình những năm 1960 và 1970,

là những bài cuối cùng cũng dẫn đến một số kế hoạch đại bộ phận tương tự như phương pháp mật mã hóa RSA và phương pháp trao đổi chìa khóa Diffie-Hellman vào năm 1973 và 1974 Một số tài liệu này hiện được phát hành, và những nhà sáng chế (James H Ellis, Clifford Cocks, và Malcolm Williamson) cũng đã cho công bố (một số) công trình của họ

 Tính toàn vẹn

Cả hai bên tham giá vào quá trình thông tin đều có thể tin tưởng là văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập tức bị phát hiện Quá trình mã hóa sẽ ẩn nội dung của gói tin đối với bên thứ 3 nhưng không ngăn cản được việc thay đổi nội dung của nó Một ví

dụ cho trường hợp này là tấn công đồng hình: Một kẻ lừa đảo gửi 1.000.000đ vào tài khoản của a, chặn gói tin (a,b) mà chi nhánh gửi về trung tâm rồi gửi gói tin (a,b3) thay thể để lập tức trở thành triệu phú Nhưng đó là vấn đề bảo mật của ngân hàng không liên quan đến tính toàn vẹn của thông tin người gửi tới ngân hàng, bới thông tin đã được băm và mã hóa để gửi đến đúng đích của nó

30

 Tính không phủ nhận

Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình gửi Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải kèm chữ ký số với văn bản Khi có tranh chấp, bên nhận sẽ dùng chữ ký này như một chứng cứ để bên thứ ba giải quyết Tuy nhiên khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt được hoàn toàn

1.3.3.3 Thực hiện chữ ký số khóa công khai

Chữ ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai, mỗi người sử dụng một cặp khóa: một công khai và một bí mật Khóa công khai được công bố rộng rãi còn khóa bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóa công khai

Toàn bộ quá trình gồm ba thuật toán:

 Thuật toán tạo khóa

 Thuật toán tạo chữ ký số

 Thuật toán kiểm tra chữ ký số

31

Hình 1.2: Sơ đồ tạo và kiểm tra chữ ký số [7]

Xét ví dụ sau:

Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó thực sự

do chính Bob gửi Bob gửi cho Alice bản tin kèm với chữ ký số Chữ ký này được tạo ra với khóa bí mật của Bob Khi nhận được bản tin, Alice kiểm tra sự thống nhất giữa bản tin và chữ ký bằng thuật toán kiểm tra sử dụng khóa công cộng của Bob Bản chất của thuật toán tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó (gần như không thể) tạo ra được chữ ký của Bob nếu không biết khóa

bí mật của Bob Nếu phép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực sự do Bob gửi

32

Thông thường, Bob không mật mã hóa toàn bộ bản tin với khóa bí mật mà chỉ thực hiện với giá trị băm của bản tin đó Điều này khiến việc ký trở nên đơn giản hơn và chữ ký ngắn hơn Tuy nhiên nó cũng làm nảy sinh vấn đề khi hai bản tin khác nhau lại cho ra cùng một giá trị băm Đây là điều có thể xảy ra mặc

dù xác suất rất thấp

33

CHƯƠNG 2: MÃ HÓA CÔNG KHAI VÀ QUY TRÌNH ỨNG DỤNG CÁC THUẬT TOÁN MÃ HÓA CÔNG KHAI TRONG GIAO DỊCH ĐIỆN TỬ

2.1 Mã hóa công khai và các thuật toán trong mã hóa công khai

2.1.1 Mã hóa công khai [1]

Mã hóa công khai là một dạng mã hóa cho phép người sử dụng trao đổi các thông tin mật mà không cần phải trao đổi các khóa bí mật trước đó Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán học với nhau là khóa công khai (Public key) và khóa riêng (Private key) hay khóa bí mật (sccret key)

2.1.1.1 Khái niệm chung

Thuật ngữ mã hóa bất đối xứng thường được dùng đồng nghĩa với mã hóa công khai mặc dù hai khái niệm không hoàn toàn tương đương Có những thuật toán mã bất đối xứng không có tính chất công khai và bí mật như đề cập ở trên

mà cả hai khóa (cho việc mã hóa và giải mã) đều cần phải giữ bí mật

Trong mã hóa công khai, khóa riêng cần phải được giữ bí mật trong khi khóa công khai được phổ biến công khai Trong 2 khóa, một dùng để mã hóa và khóa còn lại dùng để giải mã

Điều quan trọng đối với hệ thống là không thể (hoặc rất khó) tìm ra khóa bí mật nếu chỉ biết khóa công khai

Hệ thống mật mã khóa công khai có thể sử dụng với các mục đích:

 Mã hóa: Giữ bí mật thông tin và chỉ có người có khóa bí mật mới

giải mã được

34

 Tạo chữ ký số: Cho phép kiểm tra một số văn bản xem nó có phải

được tạo với một khóa bí mật nào đó hay không

 Thỏa thuận khóa: Cho phép thiết lập khóa để trao đổi thông tin mật

giữa hai bên

Thông thường, các kỹ thuật mật mã hóa khóa công khai đòi hỏi khối lượng tính toán nhiều hơn các kỹ thuật mã hóa đối xứng nhưng do những ưu điểm nổi bật nên chúng được sử dụng nhiều

Thuật toán mã hóa bất đối xứng sử dụng hai khóa: khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa riêng) Mỗi khóa là những số cố định

sử dụng trong quá trính mã hóa và giải mã Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa và khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng Nói cách khác, mọi người biết khóa công khai đều có thể mã hóa nhưng chỉ có người biết khóa riêng (bí mật) mới có thể giải mã được

Ta có thể mô phỏng trực quan một hệ thống mã hóa khóa công khai như sau: Bình muốn gửi cho An một thông tin mật mà Bình muốn chỉ cho duy nhất

An có thể đọc được Để làm được điều này, An gửi cho Bình một chiếc hộp kín

có ổ khóa đã mở sẵn và giữ lại chìa khóa Bình nhận chiếc hộp, cho vào đó một

lá thư viết bình thường và bấm khóa lại (loại khóa thông thường chỉ bấm là khóa, sau khi sập chốt là khóa lại ngay cả Bình cũng không mở được, không đọc lại hay sửa thông tin trong thư được nữa) Sau đó bình gửi chiếc hộp cho An qua đường bưu điện thông thường hoặc nhờ người nào đó mang hộ Nhân viên bưu điện hay người đưa hộ dù muốn cũng không thể mở hộp xem thư Chỉ khi chiếc hộp đến tay An, An có chìa khóa riêng mới mở được hộp và đọc được thông tin

35

trong thư Trong ví dụ này, chiếc hộp với ổ khóa mở An gửi cho Bình đóng vai trò khóa công khai, chiếc chìa khóa riêng của An chính là khóa bí mật

2.1.1.2 Sơ đồ tạo và chuyển giao khóa công khai

Các hệ thống mã hóa khóa công khai thông thường được thực hiện với 3 bước cơ bản Bước thứ nhất là công đoạn sinh khóa, một cặp khóa public key và private key có quan hệ về mặt toán học được tạo ra dựa vào các bào toán cửa lật

1 chiều Bước hai là bước mã hóa sử dụng khóa công khai (public key), khóa này có thể được chuyển giao trên môi trường mở Quá trình giải mã là bước cuối cùng sử dụng khóa riêng bí mật (private key)

Các bước thực hiện như sau:

 A chọn một số ngẫu nhiên lớn đẻ sinh cặp khóa, khóa công khai E

và khóa bí mật riêng D

 A gửi E – khóa công khai (public key) cho B, giữ D – khóa riêng

(private key) cho mình

 Dùng khóa công khai để mã hóa, dùng khóa bí mật để giải mã

 B nhận được khóa công khai E B có thông điệp gốc P, dùng E mã

hóa E(P) = C, C là thông điệp mã hóa gửi cho A

 A nhận được C, dùng D giải mã D(C) = P: được lại thông điệp gốc

36

Hình 2.1: Chuyển giao khóa công khai

Chỉ riêng có A (có D) mới giải mã được

Ai có E đều mã hóa được

D dùng để giải E, Nhưng nếu chỉ biết E thì hầu như chắc chắn là không thể tìm được D

2.1.1.3 Hạ tầng cơ sở khóa công khai [1]

Trong mật mã học, hạ tầng cơ sở khóa công khai PKI (Public Key Infrastructure) là một cơ chế hoạt động để cho bên thứ 3 (thường là cơ quan cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong

hệ thống một cặp khóa công khai/khóa bí mật Các quá trình này thường được thực hiện bởi một phần mềm phối hợp khác tại các địa điểm của người dùng