Tải bản đầy đủ (.pdf) (102 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu ứng dụng sinh trắc học trong việc đảm bảo an toàn cho hệ thống giao dịch điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.04 MB, 102 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Minh Ngọc

NGHIÊN CỨU ỨNG DỤNG SINH TRẮC HỌC
TRONG VIỆC ĐẢM BẢO AN TOÀN
CHO HỆ THỐNG GIAO DỊCH ĐIỆN TỬ

LUẬN VĂN THẠC SĨ

Hà Nội - 2009


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Minh Ngọc

NGHIÊN CỨU ỨNG DỤNG SINH TRẮC HỌC
TRONG VIỆC ĐẢM BẢO AN TỒN
CHO HỆ THỐNG GIAO DỊCH ĐIỆN TỬ

Ngành:

Cơng nghệ thông tin

Chuyên ngành:

Hệ thống thông tin


Mã số:

60 48 05

LUẬN VĂN THẠC SĨ

NGƢỜI HƢỚNG DẪN KHOA HỌC
TS. HỒ VĂN HƯƠNG

Hà Nội – 2009


MỤC LỤC

LỜI CAM ĐOAN ..............................................................................................................
LỜI CẢM ƠN ....................................................................................................................
MỤC LỤC .........................................................................................................................
DANH MỤC HÌNH...........................................................................................................
DANH MỤC CÁC CHỮ VIẾT TẮT ................................................................................
MỞ ĐẦU .........................................................................................................................1
Chƣơng 1: TỔNG QUAN VỀ AN TỒN, BẢO MẬT THƠNG TIN VÀ CƠ SỞ LÝ
THUYẾT MẬT MÃ ........................................................................................................2
1.1 Thƣơng mại điện tử ...............................................................................................2
1.1.1 Giới thiệu về thƣơng mại điện tử ....................................................................2
1.1.2 Khảo sát tình hình thƣơng mại điện tử ở Việt Nam ........................................3
1.2 Nhu cầu bảo mật và an tồn thơng tin cho TMĐT ................................................6
1.2.1 Khảo sát thực trạng PKI trên thế giới và tại Việt Nam ......................................8
1.2.2 Khảo sát thực trạng PKI ở một số nƣớc trên thế giới .....................................8
1.2.3 Khảo sát thực trạng PKI ở Việt Nam ..............................................................9
1.3 Cơ sở lý thuyết mật mã ........................................................................................10

1.3.1 Khái niệm về mã hóa.....................................................................................10
1.3.2 Định nghĩa hệ mã hóa ...................................................................................10
1.3.3 Những yêu cầu đối với hệ mã hóa.................................................................11
1.3.4 Mã hóa khóa đối xứng...................................................................................11
1.3.5 Mã hóa khóa cơng khai .................................................................................12
1.3.6 Thuật tốn băm ..............................................................................................14
1.4 Chữ ký số .............................................................................................................15
1.4.1 Khái niệm chữ ký số .....................................................................................15
1.4.2 Sơ đồ chữ ký số .............................................................................................16
1.4.3 Các cách tấn công chữ ký điện tử .................................................................18
1.5 Kết chƣơng ..........................................................................................................19
Chƣơng 2: CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI VÀ MẬT MÃ SINH TRẮC ....20
2.1 Cơ sở hạ tầng khóa cơng khai ..............................................................................20
2.1.1 Khái niệm PKI...............................................................................................20
2.1.2 Các dịch vụ và phạm vi ứng dụng của PKI...................................................20
2.1.3 Các thành phần của PKI ................................................................................20
2.1.4 Mô hình của hệ thống PKI ............................................................................21
2.1.5 Các chức năng và thuộc tính yêu cầu của PKI ..............................................21
2.1.6 Hệ thống cung cấp và quản lý chứng thƣ ......................................................26
2.1.7 Các mơ hình triển khai hệ thống CA .............................................................29
2.1.8 Đánh giá và phân tích ....................................................................................34


2.2 Mật mã sinh trắc học ...........................................................................................35
2.2.1 Sinh trắc học ..................................................................................................35
2.2.2 Các khái niệm sinh trắc học về vân tay .........................................................36
2.2.3 Nhận dạng sinh trắc học ................................................................................42
2.3 Thuật toán mã hóa sinh trắc học ..........................................................................43
2.3.1 Xử lý hình ảnh nhận dạng .............................................................................43
2.3.2 Sự tƣơng quan ...............................................................................................43

2.3.3 Những yêu cầu của hệ thống .........................................................................44
2.3.4 Thiết kế hàm lọc ............................................................................................45
2.3.5 Độ an toàn của hàm lọc .................................................................................47
2.3.6 Bộ lọc tạm thời ..............................................................................................47
2.3.7 Thiết kế bộ lọc an tồn ..................................................................................49
2.3.8 Q trình đăng ký/xác thực ...........................................................................51
2.4 Kết chƣơng ..........................................................................................................58
Chƣơng 3: ỨNG DỤNG SINH TRẮC TRONG ĐẢM BẢO AN TOÀN CHO HỆ
THỐNG GIAO DỊCH ĐIỆN TỬ ..................................................................................59
3.1 Khảo sát thực trạng của việc bảo vệ khóa bí mật hiện nay .................................59
3.1.1 Các thiết bị Token .........................................................................................59
3.1.2 Các thiết bị SafeNet iKey..............................................................................59
3.1.3 Biostik ...........................................................................................................60
3.2 Các cách ứng dụng sinh trắc học vào PKI ...........................................................60
3.2.1 Ứng dụng sinh trắc để thẩm định ngƣời dùng ...............................................60
3.2.2 Ứng dụng khóa cá nhân từ sinh trắc học .......................................................61
3.2.3 Ứng dụng sinh trắc học để bảo vệ khóa cá nhân ...........................................61
3.3 Các giải pháp tích hợp sinh trắc học vào PKI .....................................................61
3.3.1 Tích hợp đặc trƣng sinh trắc của ngƣời dùng trong chứng thƣ số X509 ......62
3.3.2 Giải pháp dùng mật mã sinh trắc để bảo vệ khóa bí mật ..............................68
3.4 Đề xuất mơ hình BioPKI .....................................................................................69
3.5 Các pha làm việc của BioPKI ..............................................................................71
3.5.1 Quá trình đăng ký ..........................................................................................71
3.5.2 Quá trình ứng dụng chữ ký số .......................................................................73
3.6 Phƣơng hƣớng triển khai .....................................................................................75
KẾT LUẬN ...................................................................................................................78
TÀI LIỆU THAM KHẢO .............................................................................................79
PHỤ LỤC ......................................................................................................................81



DANH MỤC HÌNH
Hình 2-4. Sơ đồ tạo chữ ký ............................................................................................17
Hình 2-5. Sơ đồ xác thực chữ ký ...................................................................................17
Hình 2-7. Mơ hình của hệ thống PKI ............................................................................21
Hình 2-6. Mơ hình chứng thƣ số ...................................................................................23
Hình 2-8. Mơ hình kiến trúc phân cấp ...........................................................................30
Hình 2-9. Mơ hình kiến trúc mạng lƣới.........................................................................31
Hình 2-10. Mơ hình kiến trúc Cầu liên kết ....................................................................33
Hình 2-15. Các đặc trƣng tổng thể: đƣờng chuẩn và số đếm đƣờng vân. .....................39
Hình 2-16. Đặc trƣng hƣớng của vân tay. .....................................................................39
Hình 2-17. Một số ảnh vân tay. .....................................................................................40
Hình 2-19. Biểu diễn các điểm minutiae .......................................................................42
Hình 2-20. Tổng quan quá trình đăng ký của mã hóa sinh trắc học ..............................51
Hình 2-21. Tổng quan q trình xác thực của mã hóa sinh trắc học .............................52
Hình 2-22. Xử lý ảnh trong quá trình đăng ký ..............................................................53
Hình 2-23. Giải thuật liên kết khóa ...............................................................................54
Hình 2-24. Xử lý ảnh ở trong quá trình xác thực ..........................................................56
Hình 2-25. Giải thuật khơi phục khóa ...........................................................................57
Hình 3-1. Hệ thống PKI.................................................................................................62
Hình 3-2. Cấu trúc chứng thƣ X509 ..............................................................................63
Hình 3-3. Giải pháp tích hợp đặc trƣng sinh trắc vào X509 .........................................65
Hình 3-4. Biểu đồ làm việc của PKI khi chƣa kết hợp hệ thống sinh trắc ....................67
Hình 3-5. Biểu đồ làm việc của PKI khi kết hợp hệ thống sinh trắc .............................67
Hình 3-6. Giải pháp dùng mật mã sinh trắc để bảo vệ khóa bí mật. .............................69
Hình 3-7. Mơ hình tích hợp sinh trắc vào hệ thống PKI ...............................................70
Hình 3-8. Quá trình đăng ký ..........................................................................................72
Hình 3-9. Etoken và dữ liệu lƣu trữ...............................................................................72
Hình 3-10. Sơ đồ tạo chữ ký khi sử dụng dấu vân tay để xác thực ...............................73
Hình 3-11. Sơ đồ xác thực chữ ký của BIOPKI ............................................................74
Hình 3-12. Quá trình khởi tạo CA .................................................................................76



DANH MỤC CÁC CHỮ VIẾT TẮT
1. 1API

Application Programming Interface

2. 2CA

Certification Authority

3. 3CNTT

Công nghệ thông tin

4. 4CSDL

Cơ sở dữ liệu

5. 5HSM

High Security Module

6. 6LDAP

Leightweight Directory Access Protocol

7. 7PKI

Public Key Infrastructure


8. 8RA

Registration Authority

9.

Rivest Shamir Adleman

RSA

10. 9Sub CA

Subordinate CA

11. 9TMĐT

Thƣơng mại điện tử


1

MỞ ĐẦU
Ngày nay, hệ thống cơ sở hạ tầng khóa công khai (PKI – Public Key
Infrastructure) đang là một cơ sở quan trọng để triển khai các giao dịch điện tử trên
mạng. PKI cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể đƣợc coi là một
giải pháp tổng hợp giải quyết bài toán đảm bảo an tồn thơng tin trong xã hội hiện đại.
Tuy nhiên, nhƣợc điểm lớn của PKI chính là vấn đề đảm bảo an tồn cho khóa bí mật
của ngƣời dùng trong khi lƣu trữ cũng nhƣ sử dụng. Nền tảng của hệ thống PKI chính
là hệ thống mật mã khóa cơng khai: tức là một cặp khóa cơng khai và khóa bí mật để

thực hiện các quá trình xác thực. Song quyền truy cập đến khóa bí mật lại chủ yếu chỉ
đƣợc bảo vệ bằng mật khẩu, mà trên thực tế mật khẩu rất có nguy cơ bị lộ, mất cũng
nhƣ bị đánh cắp bằng các chƣơng trình virus, mã độc hại... Hơn nữa, PKI cịn bị hạn
chế là khong có đấu hiệu đặc trƣng để nhận biết chủ sở hữu của chứng thƣ số và việc
xác thực chứng thƣ số chỉ dựa vào số serialnumber do cơ quan chứng thực (CA) cấp.
Tất cả những vấn đề này có thể đƣợc giải quyết bằng một cách đơn giản hơn, đó là
kết hợp đặc điểm sinh trắc của chủ sở hữu khóa vào hệ thống PKI. Việc làm này tạo
nên một cơ chế xác thực định danh mạnh hơn mật khẩu truyền thống. Về nguyên tắc,
đây là giải pháp tƣơng đối hoàn thiện cho vấn đề bảo vệ an toàn và sử dụng khóa bí
mật. Hệ thống kết hợp này sẽ là hệ thống PKI sinh trắc hay còn gọi là BioPKI.
Để hiện thực hóa ý tƣởng này, luận văn tập trung tìm hiểu nghiên cứu về cơ sở hạ
tầng khóa cơng khai sinh trắc.
Nội dung của luận văn “Nghiên cứu ứng dụng sinh trắc học trong việc đảm bảo
an toàn cho hệ thống giao dịch điện tử” gồm có phần mở đầu, ba chƣơng và phần
kết luận.
Chƣơng 1: Tổng quan về an tồn, bảo mật thơng tin và cơ sở lý thuyết mật mã
Giới thiệu thƣơng mại điện tử, thực trạng thƣơng mại điện tử ở Việt Nam và nhu
cầu cấp thiết về bảo mật và an tồn thơng tin. Sau đó giới thiệu về cơ sở lý thuyết mật
mã.
Chƣơng 2: Cơ sở hạ tầng khóa cơng khai và mật mã sinh trắc học
Chƣơng này trình bày về cơ sở hạ tầng khóa cơng khai và mật mã sinh trắc học.
Chƣơng 3: Ứng dụng sinh trắc trong đảm bảo an tồn thơng tin trong giao dịch
điện tử
Đề xuất giải pháp tích hợp sinh trắc vào hệ thống PKI và đƣa ra mô hình hoạt
động cho hệ thống BioPKI.


2

Chƣơng 1: TỔNG QUAN VỀ AN TỒN, BẢO MẬT THƠNG TIN

VÀ CƠ SỞ LÝ THUYẾT MẬT MÃ
1.1 Thƣơng mại điện tử
1.1.1 Giới thiệu về thƣơng mại điện tử
Sự phát triển nhƣ vũ bão của CNTT đã tác động mạnh mẽ và to lớn đến mọi mặt
đời sống kinh tế xã hội. Ngày nay, CNTT đã trở thành một trong những động lực quan
trọng nhất của sự phát triển. Cùng với sự phát triển của máy tính điện tử, truyền thơng
phát triển kéo theo sự ra đời của mạng máy tính, từ các mạng cục bộ, mạng diện rộng
cho tới mạng tồn cầu Internet và xa lộ thơng tin. Việc thơng tin chuyển sang dạng số
và nối mạng đã làm thay đổi sự chuyển hoá của nền kinh tế, các dạng thể chế, các mối
quan hệ và bản chất của hoạt động kinh tế xã hội và có ảnh hƣởng sâu sắc đến hầu hết
các lĩnh vực hoạt động và đời sống con ngƣời, trong đó có các hoạt động thƣơng mại.
Ngƣời ta đã có thể tiến hành các hoạt động thƣơng mại nhờ các phƣơng tiện điện tử,
đó chính là thƣơng mại điện tử(TMĐT).
Theo nghĩa hẹp, TMĐT là việc mua bán hàng hố và dịch vụ thơng qua các
phƣơng tiện điện tử, nhất là Internet và các mạng viễn thông khác.
Theo nghĩa rộng thì TMĐT có thể đƣợc hiểu là các giao dịch tài chính và thƣơng
mại bằng phƣơng tiện điện tử nhƣ: trao đổi dữ liệu điện tử; chuyển tiền điện tử và các
hoạt động gửi rút tiền bằng thẻ tín dụng.
Trên thực tế, chính các hoạt động thƣơng mại thông qua mạng Internet đã làm phát
sinh thuật ngữ TMĐT.
Đặc trƣng của TMĐT
 Các bên tiến hành giao dịch trong TMĐT không tiếp xúc trực tiếp với nhau và
không đòi hỏi phải biết nhau từ trƣớc.
 Các giao dịch thƣơng mại truyền thống đƣợc thực hiện với sự tồn tại của khái
niệm biên giới quốc gia, còn TMĐT đƣợc thực hiện trong một thị trƣờng khơng có
biên giới (thị trƣờng thống nhất toàn cầu). TMĐT trực tiếp tác động tới mơi trƣờng
cạnh tranh tồn cầu.
 Trong hoạt động giao dịch TMĐT đều có sự tham ra của ít nhất ba chủ thể,
trong đó có một bên khơng thể thiếu đƣợc là ngƣời cung cấp dịch vụ mạng, các cơ
quan chứng thực.

 Đối với thƣơng mại truyền thống thì mạng lƣới thông tin chỉ là phƣơng tiện để
trao đổi dữ liệu, cịn đối với TMĐT thì mạng lƣới thơng tin chính là thị trƣờng.


3
Phân loại thƣơng mại điện tử
TMĐT có thể đƣợc phân loại theo tính cách của ngƣời tham gia:
Người tiêu dùng
 C2C (Consumer-To-Comsumer): Ngƣời tiêu dùng với ngƣời tiêu dùng
 C2B (Consumer-To-Business): Ngƣời tiêu dùng với doanh nghiệp
 C2G (Consumer-To-Government): Ngƣời tiêu dùng với chính phủ
Doanh nghiệp
 B2C (Business-To-Consumer): Doanh nghiệp với ngƣời tiêu dùng
 B2B (Business-To-Business): Doanh nghiệp với doanh nghiệp
 B2G (Business-To-Government): Doanh nghiệp với chính phủ
 B2E (Business-To-Employee): Doanh nghiệp với nhân viên
Chính phủ
 G2C (Government-To-Consumer): Chính phủ với ngƣời tiêu dùng
 G2B (Government-To-Business): Chính phủ với doanh nghiệp
 G2G (Government-To-Government): Chính phủ với chính phủ
Các hình thức hoạt động của TMĐT chủ yếu là thƣ điện tử, thanh toán điện tử
(trao đổi dữ liệu điện tử tài chính, tiền mặt Internet, túi tiền điện tử, giao dịch ngân
hàng số hóa...), trao đổi dữ liệu điện tử, truyền nội dung, bán lẻ hàng hóa hữu hình.

1.1.2 Khảo sát tình hình thƣơng mại điện tử ở Việt Nam
Thƣơng mại điện tử đã đƣợc ứng dụng rộng rãi trong các doanh nghiệp với
hiệu quả ngày càng tăng
Kết quả điều tra với 1600 doanh nghiệp trên cả nƣớc của Bộ Công Thƣơng trong
năm 2008 cho thấy, hầu hết các doanh nghiệp đã triển khai ứng dụng thƣơng mại điện
tử ở những mức độ khác nhau. Đầu tƣ cho thƣơng mại điện tử đã đƣợc chú trọng và

mang lại hiệu quả rõ ràng cho doanh nghiệp[1].
Một trong những điểm sáng nhất về ứng dụng thƣơng mại điện tử của doanh
nghiệp là tỷ lệ đầu tƣ cho phần mềm tăng trƣởng nhanh, chiếm 46% trong tổng đầu tƣ
cho công nghệ thông tin của doanh nghiệp năm 2008, tăng gấp 2 lần so với năm 2007.
Trong khi đó, đầu tƣ cho phần cứng giảm từ 55,5% năm 2007 xuống còn 39% vào
năm 2008. Sự dịch chuyển cơ cấu đầu tƣ này cho thấy doanh nghiệp đã bắt đầu chú
trọng đầu tƣ cho các phần mềm ứng dụng để triển khai thƣơng mại điện tử sau khi ổn
định hạ tầng công nghệ thông tin. Doanh thu từ thƣơng mại điện tử đã rõ ràng và có xu
hƣớng tăng đều qua các năm. 75% doanh nghiệp có tỷ trọng doanh thu từ thƣơng mại
điện tử chiếm trên 5% tổng doanh thu trong năm 2008. Nhiều doanh nghiệp đã quan
tâm bố trí cán bộ chuyên trách về thƣơng mại điện tử.
Các con số thống kê này cho thấy, đến thời điểm cuối năm 2008 nhiều doanh
nghiệp Việt Nam đã nhận thức rõ về tầm quan trọng của thƣơng mại điện tử đối với


4
hoạt động sản xuất kinh doanh và sẵn sàng ứng dụng thƣơng mại điện tử ở mức cao
hơn trong thời gian tới.
Các tổ chức đào tạo chính quy đẩy mạnh giảng dạy thƣơng mại điện tử
Kết quả cuộc điều tra cho thấy đến thời điểm cuối năm 2008, tại Việt Nam có 49
trƣờng triển khai hoạt động đào tạo về thƣơng mại điện tử, gồm 30 trƣờng đại học và
19 trƣờng cao đẳng. Trong số 30 trƣờng đại học đã giảng dạy thƣơng mại điện tử, 1
trƣờng thành lập khoa thƣơng mại điện tử, 19 trƣờng giao cho khoa kinh tế – quản trị
kinh doanh phụ trách giảng dạy thƣơng mại điện tử và 10 trƣờng giao cho khoa công
nghệ thông tin phụ trách giảng dạy môn học này, 8 trƣờng thành lập bộ môn thƣơng
mại điện tử. Trong số 19 trƣờng cao đẳng đã giảng dạy thƣơng mại điện tử, 1 trƣờng
thành lập khoa thƣơng mại điện tử, 9 trƣờng giao cho khoa kinh tế phụ trách giảng dạy
thƣơng mại điện tử và 9 trƣờng giao cho khoa công nghệ thơng tin phụ trách dạy mơn
học này, có 3 trƣờng cao đẳng đã thành lập bộ môn thƣơng mại điện tử.
Vấn đề bảo vệ dữ liệu cá nhân bƣớc đầu đƣợc quan tâm

Bên cạnh những nét nổi bật trên, năm 2008 cịn chứng kiến những chuyển biến có
ý nghĩa lớn đối với sự phát triển của thƣơng mại điện tử Việt Nam giai đoạn tới.
Trong thƣơng mại điện tử, các giao dịch đƣợc thực hiện hồn tồn trên mơi trƣờng
mạng, các đối tác không cần phải gặp mặt trực tiếp, nên nhu cầu về thông tin cá nhân
là rất lớn. Giao dịch thƣơng mại điện tử của các doanh nghiệp Việt Nam thời gian gần
đây tăng nhanh, khối lƣợng thông tin trao đổi ngày càng nhiều. Tuy nhiên, những vi
phạm liên quan đến thông tin cá nhân cũng ngày một nhiều hơn, gây tâm lý e ngại cho
các cá nhân, tổ chức khi tham gia giao dịch thƣơng mại điện tử.
Thanh toán điện tử tiếp tục phát triển nhanh và đang đi vào cuộc sống
Nếu nhƣ năm 2007 đƣợc đánh giá là năm đánh dấu bƣớc phát triển nhanh chóng
và tồn diện của thanh tốn điện tử, thì năm 2008 là năm thanh toán điện tử khởi sắc
và thực sự đi vào cuộc sống.
Đối với hệ thống thanh toán ở tầm quốc gia, sau nhiều năm tích cực triển khai,
ngày 8 tháng 11 năm 2008 Ngân hàng Nhà nƣớc Việt Nam đã chính thức đƣa vào vận
hành Hệ thống thanh toán điện tử liên ngân hàng giai đoạn II. Hiện nay, Ngân hàng
Nhà nƣớc Việt Nam đang đẩy mạnh công tác kết nạp thành viên mới, mở rộng phạm
vi hoạt động của Hệ thống.
Dịch vụ thanh toán thẻ cũng có một năm phát triển tích cực. Đến hết năm 2008,
các tổ chức ngân hàng đã phát hành khoảng 13,4 triệu thẻ thanh tốn, tăng 46% so với
năm 2007. Tồn hệ thống ngân hàng đã lắp đặt và đƣa vào sử dụng 7.051 máy ATM,
tăng trên 46% so với năm 2007, số lƣợng máy POS đạt trên 24.000 chiếc. Hệ thống
thanh toán của hai liên minh thẻ lớn nhất cả nƣớc là Banknetvn và Smartlink với trên
90% thị trƣờng thẻ tồn quốc đã đƣợc kết nối liên thơng.


5
Với sự năng động, tích cực của các ngân hàng và doanh nghiệp, một loạt dịch vụ
thanh toán điện tử với những giải pháp khác nhau đã xuất hiện. Đặc biệt số lƣợng
website thƣơng mại điện tử cung cấp dịch vụ thanh tốn trực tuyến có sự phát triển
nhảy vọt. Nếu năm 2007 chỉ có một vài website thƣơng mại điện tử cung cấp dịch vụ

này thì năm 2008 đã có trên 50 website của các doanh nghiệp thuộc nhiều lĩnh vực
kinh doanh khác nhau nhƣ ngân hàng, hàng không, du lịch, siêu thị bán hàng tổng hợp,
v.v… triển khai thành cơng việc cung cấp dịch vụ thanh tốn trực tuyến cho khách
hàng.
Theo Báo cáo của Ngân hàng Nhà nƣớc Việt Nam, với sự phát triển nhanh chóng
của các dịch vụ thanh tốn khơng dùng tiền mặt, tỷ lệ thanh toán bằng tiền mặt trong
tổng phƣơng tiện thanh toán đã giảm xuống còn 14% vào thời điểm cuối năm 2008, so
với mức 18% của năm 2007.
Về mặt pháp lý, hiện tại chúng ta đang có bốn văn bản pháp lý liên quan đến hoạt
động chứng thực điện tử, đó là :
- Luật Giao dịch điện tử do Uỷ ban Khoa học Cơng nghệ và Mơi trƣờng của Quốc
hội chủ trì ban hành năm 2005.
- Nghị định 26 của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứng thực
điện tử do Bộ Bƣu chính, Viễn thơng chủ trì, ban hành ngày 15 tháng 2 năm 2007,
trong đó quy định Ban cơ yếu Chính phủ tành lập và duy trì hoạt động của Tổ chức
cung cấp dịch vụ chứng thực chữ ký ố chuyên dùng phục vụ các cơ quan thuộc hệ
thống chính trị, cịn lại các hệ thống cung cấp dịch vụ chứng thực khác do Bộ Thông
tin và Truyền thông quản lý.
- Nghị định số 73/2007/NĐ-CP ngày 8 tháng 5 năm 2007 của chính phủ về hoạt
động nghiên cứu, sản xuất, kinh doanh và sử dụng mật mã để bảo vệ thông tin không
thuộc phạm vi bí mật Nhà nƣớc.
- Quyết định 59 ngày 31 tháng 12 năm 2008 của bộ Thông tin và Truyền thông
ban hành danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực
chữ ký số. Quyết định này đã đƣa ra 6 loại tiêu chuẩn trong giao dịch điện tử đƣợc quy
định bắt buộc phải áp dụng chữ ký số và chứng thực số, bao gồm:
 Chuẩn bảo mật cho HSM (thiết bị lƣu trữ bảo mật).
 Chuẩn mã hóa.
 Chuẩn yêu cầu và trao đổi chứng thƣ số.
 Chuẩn về chính sách và quy chế chứng thực chữ ký số.
 Chuẩn về lƣu trữ và truy xuất chứng thƣ số.

 Chuẩn về kiểm tra trạng thái chứng thƣ số.


6
Ba trong bốn văn bản pháp lý đã nêu ở trên dù ít hay nhiều đều có đề cập đến tính
pháp lý của chữ ký số cũng nhƣ quy định một số điều liên quan đến việc quản lý, cung
cấp, sử dụng dịch vụ chứng thực điện tử. Văn bản còn lại liên quan đến việc sử dụng
mật mã trong chứng thực điện tử. Các hệ thống PKI ở Việt Nam đang cịn ở thời kỳ
đầu, để có thể cung cấp dịch vụ chứng thực điện tử một cách tốt nhất, chúng ta cần
quan tâm đến các vấn đề sau trong việc xây dựng hệ thống cung cấp dịch vụ này :
- Xây dựng hành lang pháp lý.
- Xây dựng hệ thống tiêu chuẩn về chứng thực điện tử.
- Triển khai xây dựng hệ thống CA.
- Giám sát đánh giá hoạt động của các CA.
- Tuyên truyền hƣớng dẫn ngƣời sử dụng và đào tạo đội ngũ kỹ thuật.
- Khuyến khích xây dựng các phần mềm hỗ trợ chứng thực điện tử.
- Chứng thực chéo.
- Hợp tác quốc tế về chứng thực điện tử.
Nhƣ vậy, TMĐT ở Việt Nam đã có những bƣớc phát triển nhất định. Kết quả đó
có đƣợc là do hai nguyên nhân chính là ngƣời tiêu dùng đã tin tƣởng hơn vào việc bán
hàng điện tử trực tuyến và các doanh nghiệp đã chú trọng nâng cao hiệu quả hoạt động
của website bằng những chính sách cụ thể để thu hút ngƣời tiêu dùng tham gia mua
hàng trực tuyến.

1.2 Nhu cầu bảo mật và an toàn thơng tin cho TMĐT
Hẳn chúng ta cịn nhớ cuộc tấn công từ chối dịch vụ ồ ạt vào các trang web TMĐT
lớn nhất trên thế giới nhƣ Yahoo.com, Amazon.com, Buy.com... Các 'siêu thị' điện tử
khổng lồ này đột nhiên bị hàng triệu khách 'ma' xông vào khiến tắc nghẽn và ngừng
hoạt động vài ngày, gây thiệt hại khoảng 1,5 tỷ USD. Ngƣời có tài điểu khiển những
mày tính “ma” này chỉ là một cậu bé chƣa đến tuổi trƣởng thành đã bị bắt vài tháng

sau đó. Đã rất nhiều lần các thơng tin về thẻ tín dụng bị đánh cắp trong các kho dữ liệu
của các hệ thống TMĐT. Những kẻ trộm 'ác' thì sử dụng thẻ tín dụng đánh cắp để thực
hiện một giao dịch nào đó nhằm rút tiền đút vào túi mình, cịn một số khơng ít kẻ trộm
'lành' thì đƣa thơng tin lên một trang web và thêm vài lời bình luận. Một trong những
kẻ trộm 'lành' có tên lóng là Curador đã làm nhƣ vậy sau khi ăn cắp đƣợc 5000 mã số
thẻ từ các website nhƣ: www.shoppingthailand.com và đăng kèm thêm một lời cám ơn
Bill Gates vì đã tạo ra phần mềm SQL Server với quyền "cho cả thế giới đọc" trong
cấu hình mặc định. Các CSDL mà Curador đột nhập đã sử dụng SQL Server mà khơng
sửa đổi gì cấu hình 'ngun bản từ Bill Gates' này. Một cơng ty Nga đã có một pha
trình diễn ấn tƣợng trƣớc giới báo chí nƣớc ngoài khi họ dễ dàng chui lọt vào 20 trang
web TMĐT để chứng tỏ là họ có thể lấy cắp 25.000 số thẻ tín dụng và các thơng tin đi


7
kèm. Những lỗ hổng mà họ lợi dụng để chui vào là do những ngƣời phát triển trang
web đã tạo ra lỗi trong chƣơng trình ứng dụng của mình. Điều này làm cho khách hàng
thực hiện giao dịch điện tử mất lịng tin trƣớc tình hình bảo mật và an toàn của TMĐT.
Mà sự tin tƣởng là nền tảng của mọi giao dịch thƣơng mại thành công, điều này
càng đúng đối với TMĐT. Nhiều cuộc điều tra cho thấy một trong những trở ngại
chính cho TMĐT chính là thiếu sự tin tƣởng giữa hai hay nhiều bên giao dịch 'ảo' trên
mạng. Sự việc còn bị làm xấu đi khi các kẻ phá hoại cố tình hạ thấp uy tín của 'cửa
hàng' TMĐT của bạn bằng đủ mọi cách khác nhau: sửa chữa nội dung trang web, đƣa
vào các thông tin xấu, tạo các trang web có địa chỉ gần giống để làm lạc hƣớng khách
hàng, đƣa các thơng tin bí mật của khách hàng ra ngoài, chuyển khách hàng đến một
trang web khác khi họ định truy cập vào trang chủ của website TMĐT (kỹ thuật
Defacing), dùng kỹ thuật Cross-site scripting và tạo website giả nhằm ăn cắp thông tin
thẻ và thông tin cá nhân của khách hàng trong khi khách hàng vẫn tƣởng đang giao
dịch với trang web TMĐT của bạn...
Từ trên cho thấy, nhu cầu bảo mật và an tồn thơng tin cho TMĐT là rất lớn và
chính an tồn TMĐT là một phần khơng thể thiếu đƣợc của TMĐT. Để bảo mật và an

tồn thơng tin trong giao dịch TMĐT có hai vấn đề: một là, phải xác định đƣợc chính
xác phía đang giao dịch qua mạng; hai là, ngƣời tiêu dùng phải có cơ sở để tin vào hệ
thống TMĐT mà họ đang giao dịch có độ an tồn cao (ví dụ, thơng tin giao dịch đƣợc
mã hố trên đƣờng truyền bằng SSL). Cả hai khía cạnh trên thƣờng đƣợc giải quyết
bằng kỹ thuật chứng thƣ số và chữ ký điện tử.
Vậy bảo vệ hệ thống TMĐT nhƣ thế nào? Thông thƣờng, các giải pháp bảo vệ hệ
thống TMĐT có thể đƣợc chia làm 3 loại.
Thứ nhất: bảo vệ hệ thống cung cấp dịch vụ (hệ thống máy chủ Front- End và
Back- End), bao gồm:
 Bảo vệ mạng: sử dụng tƣờng lửa hai lớp, áp dụng thiết bị phát hiện xâm nhập
cho mạng và cho máy chủ...
 Bảo vệ ứng dụng và hệ thống: kiểm soát các lỗ hổng ứng dụng, nhất là ứng
dụng web. Ứng dụng tƣờng lửa thế hệ mới có chống tấn cơng tầng ứng dụng,
chống virus, kiểm soát truy cập hệ thống, mã hóa dữ liệu trên server,...
Thứ hai: bảo vệ các giao dịch bao gồm: Mã hoá nội dung giao dịch, bảo đảm giữ
bí mật; Bảo đảm tính tồn vẹn của giao dịch, mọi thay đổi phải đƣợc phát hiện; Xác
định đƣợc nguồn gốc của giao dịch, bảo đảm chống từ chối giao dịch hay giao dịch từ
nguồn giả. Các biện pháp kỹ thuật bảo vệ các giao dịch này là kỹ thuật mã hoá, chứng
thực số và chữ ký số.
Thứ ba: bảo vệ các khách hàng giao dịch. Sử dụng thẻ cứng để xác thực, chống
virus và Trojan, sử dụng tƣờng lửa cá nhân...


8
Tuy nhiên trong luận văn này chỉ đề cập và tập trung giải quyết vào khía cạnh thứ
hai. Và để giải quyết vấn đề này, ngƣời ta thƣờng dùng giải pháp xây dựng hệ thống
PKI. Trƣớc hết chúng ta sẽ đi nghiên cứu khảo sát về thực trạng PKI trên thế giới và
tại Việt Nam.

1.2.1 Khảo sát thực trạng PKI trên thế giới và tại Việt Nam

1.2.2 Khảo sát thực trạng PKI ở một số nƣớc trên thế giới
Trong vài năm gần đây dịch vụ chứng thực điện tử đã ra đời và ngày càng phát
triển ở nhiều nƣớc trên thế giới. Đây là dịch vụ đƣợc cung cấp bởi các đơn vị có thẩm
quyền chứng thực. Rất nhiều quốc gia trên thế giới đã cung cấp dịch vụ chứng thực
điện tử. Một số CA nổi tiếng trên thế giới có thể kể đến nhƣ CA của các cơng ty
VeriSign, WISeKey, eTrust, ... có chi nhánh tại rất nhiều nƣớc trên thế giới.
Để hỗ trợ phát triển dịch vụ chứng thực điện tử, nhiều nƣớc đã ban hành các văn
bản pháp lý về hoạt động chứng thực điện tử, cấp phép cho các CA và tổ chức hệ
thống CA. Về cấu trúc hệ thống cung cấp dịch vụ chứng thực điện tử, có nƣớc tổ chức
theo sơ đồ hình cây trong đó mức cao nhất là root CA quốc gia, mức dƣới là các CA
cấp dƣới. Bên cạnh đó cũng có quốc gia khơng thành lập root CA mà tổ chức các CA
theo dạng mắt lƣới hoặc riêng rẽ.
Một số nƣớc trong khu vực đã phát triển khá mạnh dịch vụ chứng thực điện tử.
Nhật Bản đã ban hành Luật về chữ ký điện tử và các dịch vụ chứng thực vào năm
2001. Hàn Quốc ban hành luật chữ ký điện tử vào năm 1999 và ban hành bản sửa đổi
vào năm 2001. Hồng Kông ban hành sắc lệnh về giao dịch điện tử vào năm 2000. Đài
Loan ban hành luật chữ ký số vào năm 2001. Malaysia ban hành luật chữ ký số vào
năm 1997. Singapore ban hành luật giao dịch điện tử vào năm 1998 và Quy định về
giao dịch điện tử cho các CA vào năm 1999. Thái Lan ban hành luật giao dịch điện tử
năm 2001.
Tuy chứng thực điện tử phát triển khá nhanh và đƣợc sử dụng khá hiệu quả trong
rất nhiều ứng dụng nhƣ vậy nhƣng khơng phải khơng có những yếu tố cản trở sự phát
triển của nó. Ở đây có thể nêu lên một số yếu tố chính cản trở sự phát triển của chứng
thực điện tử, đó là :
 Cịn ít phần mềm ứng dụng hỗ trợ sử dụng chứng thực điện tử.
 Giá thành hệ thống CA cũng nhƣ phí cung cấp dịch vụ cao.
 Thiếu hiểu biết về PKI.
 Có q nhiều cơng nghệ đƣợc sử dụng.
 Khó sử dụng đối với ngƣời dùng.
 Khả năng kết hợp làm việc giữa các hệ thống chƣa tốt.



9
 Thiếu việc hỗ trợ quản lý.
Tóm lại việc phát triển chứng thực điện tử là một xu hƣớng tất yếu trên thế giới
nhƣng trong quá trình phát triển cũng gặp những rào cản nhất định. Các nƣớc hầu hết
đã triển khai cung cấp dịch vụ chứng thực điện tử đặc biệt là những nƣớc có các ứng
dụng trên mạng phát triển.

1.2.3 Khảo sát thực trạng PKI ở Việt Nam
Sau gần 5 năm, việc triển khai PKI và chứng thực điện tử ở Việt Nam đƣợc đánh
giá là đã đi đúng hƣớng và bài bản, nhƣng tiến độ còn quá chậm. Hiện nay, có hai hạ
tầng chính phát triển hệ thống PKI Quốc gia là Bộ TT&TT và Ban Cơ yếu Chính phủ.
Tới thời điểm hiện tại, thống kê của Bộ TT&TT cho thấy giao dịch điện tử B2C, B2B
chiếm tới 2,5% GDP với những con số rõ nét là 9.300 website với doanh thu từ mua
sắm trực tuyến, điện thoại... lên tới 450 triệu USD và 3000 DN có doanh thu khoảng
1,5 tỷ USD. Song song với việc đó, nhiều dịch vụ hành chính cơng nay đã từng bƣớc
áp dụng cơng cụ trực tuyến có sử dụng chữ ký số nhƣ E-Tax của Tổng cục thuế, EBanking của Ngân hàng Nhà nƣớc...
Ban Cơ yếu Chính phủ là tổ chức đầu tiên của nhà nƣớc áp dụng và đƣa ra các giải
pháp quản lý PKI nhằm mục đích phục vụ cho các cơ quan thuộc hệ thống chính trị.
Cho tới nay, đã triển khai đƣợc trên nhiều bộ, ban, ngành nhƣ Bộ Công an, Bộ Ngoại
giao và các cơ quan đảng. Mục tiêu phấn đấu trong thời gian tới, đơn vị này sẽ triển
khai áp dụng lên toàn bộ các đơn vị hành chính, tạo tiền đề phát triển cho chính phủ
điện tử.
Đến nay, Bộ Tài chính đã ra quyết định sử dụng hệ thống chứng thực chữ ký số
của VNPT cho giai đoạn thí điểm "Ngƣời nộp thuế nộp hồ sơ khai thuế qua mạng
Internet". Ngoài ra, ngày 14/08/2009 vừa qua, Tổng cục Thuế cũng bắt đầu triển khai
thí điểm chƣơng trình này tại TP Hồ Chí Minh, áp dụng ban đầu cho 100 DN lựa chọn,
sau đó sẽ mở rộng cho phép tất cả các DN trên địa bàn thành phố đƣợc đăng ký sử
dụng. Tiếp đó sẽ triển khai tại Hà Nội, Đà Nẵng và sẽ có báo cáo tổng kết vào cuối

năm nay để từ đó chuẩn bị mở rộng hệ thống ra cả nƣớc trong năm 2010.
Về phía khối hệ thống ngân hàng, Cục CNTT NH Nhà nƣớc cũng đang phát triển,
nâng cấp và hoàn thiện phần mềm CA. Bên cạnh đó tích hợp các nghiệp vụ khác nhƣ
Kế toán giao dịch; Thị trƣờng mở và Hệ thống báo cáo thống kê. Từ đó hồn thiện hệ
thống của khối ngân hàng theo cơ sở pháp lý.
Nhìn chung, việc phát triển PKI cũng nhƣ chứng thực điện tử đang triển khai
đúng hƣớng và bài bản. Tuy nhiên bên cạnh đó cũng khơng tránh khỏi những rào cản
về pháp lý, nhận thức dẫn tới việc tiến độ triển khai đại trà mơ hình này vẫn cịn chậm.
Trong thời gian tới, cần có sự kết hợp chặt chẽ giữa các bộ, ban ngành, các tổ chức
chính phủ và các DN để từ đó thắt chặt sự liên kết, giao dịch, hình thành một hạ tầng
vững chắc, tạo tiền đề thúc đẩy thƣơng mại điện tử và chính phủ điện tử phát triển.


10
Từ những kết quả ứng dụng PKI trong nƣớc và trên thế giới nhƣ trên, ta có thể
khẳng định PKI là một cơ sở hạ tầng về mật mã khóa cơng khai tin tƣởng để lựa chọn
cho mục đích xây dựng lên những hệ thống thơng tin lớn an tồn.
Tóm lại, trong phần này chúng ta đã tìm hiểu tổng quan về TMĐT và nhu cầu bảo
mật và an toàn thơng tin cho TMĐT. Qua đó khảo sát thực trạng các hệ thống PKI
dùng để đáp ứng nhu cầu bảo mật và an tồn thơng tin trong nƣớc cũng nhƣ nƣớc
ngoài. Sau đây chúng ta sẽ đi nghiên cứu một số cơ sở lý thuyết mật mã.

1.3 Cơ sở lý thuyết mật mã
1.3.1 Khái niệm về mã hóa
Mã hóa là cơng cụ cơ bản của việc đảm bảo an tồn dữ liệu. Ban đầu, mật mã học
đƣợc sử dụng phổ biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò của mật mã
ngày càng quan trọng và mang lại nhiều thành quả không nhỏ nhƣ các hệ mã cổ điển
Caeser, Playfair,… Chúng đã là nền tảng cho mật mã học ngày nay.
Ngày nay, khi toán học đƣợc áp dụng cho mật mã học thì lịch sử của mật mã học
đã sang trang mới. Việc ra đời các hệ mã hóa đối xứng khơng làm mất đi vai trị của

các hệ mật mã cổ điển mà còn bổ sung cho ngành mật mã nhiều phƣơng pháp mã hóa
mới. Từ năm 1976, khi hệ mật mã phi đối xứng ra đời, nhiều khái niệm mới gắn với
mật mã học ra đời: chữ ký số, hàm băm, mã đại diện, chứng thƣ số. Mật mã học không
chỉ áp dụng cho quân sự mà còn cho các lĩnh vực kinh tế xã hội khác.
Hiện nay có nhiều phƣơng pháp mã hóa khác nhau, mỗi phƣơng pháp có ƣu,
nhƣợc điểm riêng. Tùy theo yêu cầu của mơi trƣờng ứng dụng nào ngƣời ta có thể
dùng phƣơng pháp này hay phƣơng pháp kia. Có những mơi trƣờng cần phải an tồn
tuyệt đối bất kể thời gian và chi phí. Có những mơi trƣờng lại cần giải pháp dung hịa
giữa bảo mật và chi phí.
Các thơng điệp cần chuyển đi và cần đƣợc bảo vệ an toàn gọi là bản rõ và đƣợc ký
hiệu là P. Nó có thể là một dịng vào các bit, các file, âm thanh, số hóa,… Bản rõ đƣợc
dùng để lƣu trữ hoặc để truyền đạt thông tin. Trong mọi trƣờng hợp bản rõ là thơng
điệp cần mã hóa. Q trình xử lý một thông điệp trƣớc khi gửi đƣợc gọi là q trình
mã hóa. Một thơng điệp đã đƣợc mã hóa đƣợc gọi là bản mã và đƣợc ký hiệu là C. Quá
trình xử lý ngƣợc lại từ bản mã thành bản rõ gọi là quá trình giải mã.

1.3.2 Định nghĩa hệ mã hóa
Hệ mã hóa: là tập hợp các thuật tốn, các khóa nhằm che giấu thơng tin cũng nhƣ
làm rõ nó.
Một hệ mã hóa bao gồm 5 thành phần (P,C,K,E,D) thoả mãn các tính chất sau:
 P (Plaintext) là tập hợp hữu hạn các bản rõ có thể.
 C (Ciphertext) là tập hợp hữu hạn các bản mã có thể.


11
 K (Key) là tập hợp các bản khóa có thể.
 E (Encryption) là tập hợp các qui tắc mã hóa có thể.
 D (Decryption) là tập hợp các qui tắc giải mã có thể.
Với mỗi k є K có một hàm lập mã Ek є E (Ek : P  C) và một hàm giải mã Dk є
D (Dk : C  P) sao cho Dk(Ek(x)) = x, với mọi x є P.

Hiện nay các hệ mã hóa đƣợc phân làm hai loại chính là: Hệ mã hóa khóa đối
xứng và hệ mã hóa phi đối xứng hay cịn gọi là hệ mã hóa khóa cơng khai.
Một số hệ mã hóa khóa đối xứng là: Caesar, IDEA, DES, Triple DES…
Một số hệ mã hóa phi đối xứng là: RSA, Elgamal, ECC…

1.3.3 Những yêu cầu đối với hệ mã hóa
Hệ mã hóa phải cung cấp một mức cao về độ tin cậy, tính tồn vẹn, sự khơng từ
chối và sự xác thực.
 Độ tin cậy: Cung cấp sự bí mật cho các thông báo và dữ liệu đƣợc lƣu bằng
việc che dấu thông tin sử dụng các kỹ thuật mã hóa.
 Tính tồn vẹn: Cung cấp sự bảo đảm với tất cả các bên rằng thơng báo cịn lại
khơng thay đổi từ khi tạo ra cho đến khi ngƣời nhận mở nó.
 Tính khơng từ chối: Có thể cung cấp một cách xác nhận rằng tài liệu đã đến từ
ai đó ngay cả khi họ cố gắng từ chối nó.
 Tính xác thực: Cung cấp hai dịch vụ: đầu tiên là nhận dạng nguồn gốc của một
thông báo và cung cấp một vài sự bảo đảm rằng nó là đúng sự thực. Thứ hai là kiểm
tra đặc tính của ngƣời đang logon một hệ thống và sau đó tiếp tục kiểm tra đặc tính của
họ trong trƣờng hợp ai đó cố gắng đột nhiên kết nối và giả dạng là ngƣời sử dụng.

1.3.4 Mã hóa khóa đối xứng
Hệ mã hóa khóa đối xứng hay là hệ mã hóa mà khóa mã hóa có thể “dễ” tính tốn
ra đƣợc từ khóa giải mã và ngƣợc lại. Trong nhiều trƣờng hợp, khóa mã hóa và khóa
giải mã là giống nhau. Hệ mã hóa này cịn gọi là hệ mã hóa khóa bí mật.
Khóa sử dụng trong hệ mã hóa này phải đƣợc giữ bí mật và phải đƣợc gửi đi trên
kênh an tồn. Độ an tồn của hệ mã hóa này phụ thuộc vào sự bí mật của khóa.
Có hai loại mã hóa khóa đối xứng: Mã hóa theo từng khối (DES, IDEA, RC2,…)
và mã hóa theo các bit dữ liệu (RC4).
Ưu điểm của mã hóa khóa đối xứng
 Tốc độ mã hóa nhanh.



12
 Sử dụng đơn giản.
Nhược điểm của hệ mã hóa khóa đối xứng
 Hệ mã hóa khóa đối xứng khơng an tồn nếu có xác suất cao khóa ngƣời
gửi bị lộ.
 Vấn đề quản lý và phân phối khóa là khó khăn và phức tạp. Ngƣời gửi và
ngƣời nhận phải ln thống nhất với nhau về khóa. Việc thay đổi khóa là
khó và dễ bị lộ.
 Có khuynh hƣớng cung cấp khóa dài mà nó phải đƣợc thay đổi thƣờng
xuyên cho mọi ngƣời, trong khi vẫn duy trì cả tính an tồn lẫn hiệu quả chi
phí, điều này sẽ cản trở nhiều tới việc phát triển hệ mã hóa khóa đối xứng.
Nơi ứng dụng:
 Sử dụng trong môi trƣờng mà khóa dễ dàng đƣợc trao đổi nhƣ là trong cùng
một văn phịng.
 Mã hóa các thơng tin để lƣu trên các thiết bị lƣu trữ.
Hiện nay có một số loại mã hóa khóa đối xứng nhƣ DES, Triple DES, DESX,
GDES, RDES, RC2, RC4, RC5, IDEA, Blowfish.
Để khắc phục điểm hạn chế của phƣơng pháp mã hóa khóa đối xứng, trong q
trình trao đổi khóa bí mật, ngƣời ta sử dụng phƣơng pháp mã hóa phi đối xứng.

1.3.5 Mã hóa khóa công khai
Vào những năm 1970 Diffie và Hellman đã phát minh ra một hệ mã hóa mới đƣợc gọi
là hệ mã hóa cơng khai hay hệ mã hóa khơng đối xứng. Hiện nay có một số loại mã
hóa cơng khai nhƣ RSA, ElGamal.
Thuật tốn mã hóa cơng khai là khác biệt so với thuật toán đối xứng. Chúng đƣợc
thiết kế sao cho khóa sử dụng vào việc mã hóa là khác so với khóa giải mã. Hơn nữa
khóa giải mã khơng thể tính tốn đƣợc từ khóa mã hóa. Chúng đƣợc gọi với tên là mã
hóa cơng khai bởi vì khóa để mã hóa có thể cơng khai, một ngƣời bất kỳ có thể sử
dụng khóa cơng khai để mã hóa thơng báo, nhƣng chỉ một vài ngƣời có đúng khóa giải

mã thì mới có khả năng giải mã. Trong nhiều hệ thống, khóa mã hóa gọi là khóa cơng
khai (public key), khóa giải mã thƣờng đƣợc gọi là khóa riêng (private key).
Khóa mã hóa và khóa giải mã tƣơng ứng có quan hệ tốn học với nhau và đƣợc
sinh ra sau khi thực hiện các hàm toán học. Nhƣng các hàm tốn học này ln thỏa
mãn điều kiện là nếu kẻ xấu biết Public Key và cố gắng tính tốn ra Private Key, thì sẽ
phải đƣơng đầu với trƣờng hợp nan giải, không khả thi về thời gian.
Một cặp khóa gồm Public Key và Private Key đƣợc gọi là Key Pair.


13
Một thơng điệp đƣợc mã hóa bằng Public Key, chỉ có thể giải mã đƣợc bằng
Private Key tƣơng ứng. Một thơng điệp đƣợc mã hóa bằng Private Key, chỉ có thể giải
mã đƣợc bằng Public Key tƣơng ứng của nó.
Kẻ xấu muốn tính tốn ra thơng điệp ban đầu dựa vào Public Key và bản mã, thì
phải giải quyết bài tốn “khó” với số phép thử là vơ cùng lớn, do đó khơng khả thi.
Giả sử A muốn gửi cho B một thông điệp: Đầu tiên B phải sinh cặp khóa Public
Key – Private Key. Nếu A muốn gửi cho B một thơng điệp đƣợc mã hóa, A u cầu
Public Key của B. B gửi cho A Public Key của B trên mạng khơng an tồn và A dùng
khóa này để mã hóa thơng điệp. A gửi thơng điệp đƣợc mã hóa cho B và B giải mã
bằng Private Key của B.
Để thực hiện đƣợc phƣơng thức mã hóa dùng khóa cơng khai, có một số vấn đề
cần giải quyết nhƣ sau:
 Làm thế nào để A có thể biết chính xác Public Key mà A sử dụng đúng là
Public Key của B ?
 Làm thế nào để B biết đƣợc chính xác là thơng điệp đƣợc gửi đi từ A?
Chúng ta xem xét các tình huống có thể bị tấn cơng đối với phƣơng thức mã hóa
khóa cơng khai nhƣ sau:
 Trường hợp có kẻ nghe trộm thơng tin trao đổi trên mạng:
C là một ngƣời nghe trộm, C có thể lấy đƣợc bản mã chuyển từ A đến B, nhƣng
khơng thể giải mã đƣợc bản mã này vì C khơng có Private Key của B.

 Trường hợp giả mạo khóa cơng khai:
Vấn đề đặt ra là làm thế nào để A có thể biết chính xác Public Key mà A sử dụng
đúng là Public Key của B. Trong trƣờng hợp này, nếu D giải mạo B gửi Public Key
của D đến A (A nhận đƣợc Public Key của D mà không phải là của B), và A vẫn mã
hóa thơng điệp của mình; khi đó thơng điệp đến D sẽ vẫn giải mã đƣợc do D có Private
Key của mình. Để khắc phục hạn chế này, ngƣời ta xây dựng một hệ thống các tổ chức
thứ ba đóng vai trị trung gian trong việc xác thực tính đúng đắn của một Public Key.
Đó là các tổ chức xây dựng hệ thống chứng thực điện tử (trong những phần sau sẽ
trình bày kỹ hơn về Certificate).
 Trường hợp sử dụng Private Key để mã hóa:
Nếu nhƣ A sử dụng Private Key của mình để mã hóa một thơng điệp và gửi tới B.
Khi đó, B có thể sử dụng Public Key của A để giải mã thông điệp từ A. Một ngƣời thứ
ba C cũng có Public Key của A nên nếu nhận đƣợc thông điệp gửi từ A cũng có thể
giải mã đƣợc và đọc nó. Do đó, A khơng thể sử dụng Private Key của mình để mã hóa
một thơng điệp. Tuy nhiên dựa vào đặc điểm ánh xạ 1 : 1 giữa Private Key và Public


14
Key ta có thể thấy rằng thơng điệp đƣợc mã hóa là đƣợc gửi từ A mà khơng phải là
một ngƣời khác. Điều này cũng trả lời cho câu hỏi 2.
Một hạn chế của phƣơng thức mã hóa khóa cơng khai là làm giảm tốc độ thực hiện
thao tác xuống từ 100 đến 1000 lần so với phƣơng thức mã hóa khóa đối xứng. Do đó,
phƣơng thức mã hóa này ít đƣợc sử dụng để mã hóa dữ liệu kích thƣớc lớn. Phƣơng
thức này thƣờng đƣợc sử dụng cho giai đoạn khởi đầu của kết nối giữa hai thực thể cần
giao tiếp với nhau, và sau đó một khóa bí mật đƣợc tạo để thực hiện quá trình trao đổi
dữ liệu (khóa bí mật này chỉ tồn tại trong một phiên làm việc duy nhất). Việc sử dụng
kỹ thuật mã hóa khóa cơng khai cho q trình bắt tay giữa hai thực thể cần trao đổi
thơng tin có u cầu bảo mật, kết hợp với dùng hệ mã hóa khóa bí mật cho q trình
trao đổi dữ liệu tạo thành một phƣơng thức mã hóa lai. Để thực hiện đƣợc phƣơng thức
mã hóa lai, Netscape đã đƣa ra giao thức SSL thực hiện các q trình trên[5].

Qua các phân tích trên, chúng ta thấy rằng có hai vấn đề cần phải khắc phục khi sử
dụng phƣơng thức mã hóa dựa trên nền tảng khóa cơng khai đó là:
 Nếu sử dụng Public Key để mã hóa một thơng điệp, thì đảm bảo thơng điệp đó
là hồn tồn bảo mật, nhƣng cần phải kiểm tra tính xác thực của Public Key.
 Nếu sử dụng Private Key để mã hóa một thơng điệp, thì có thể giải mã đƣợc
bởi nhiều ngƣời có đƣợc Public Key, nhƣng lại có thể sử dụng phƣơng thức này để
kiểm tra tính xác thực của ngƣời gửi thông điệp.
Nơi ứng dụng:
 Sử dụng chủ yếu trên các mạng cơng khai nhƣ Internet. Ví dụ sử dụng khóa
cơng khai trong các giao dịch điện tử.

1.3.6 Thuật toán băm
Để đảm bảo tính tồn vẹn của dữ liệu (khơng bị thay đổi so với dữ liệu ban đầu),
ngƣời ta đƣa ra các phƣơng thức mã hóa một chiều sử dụng các thuật tốn Băm.
Hoạt động của phƣơng thức mã hóa một chiều dựa trên nguyên lý của hàm băm
(hashing function). Theo đó, đầu ra của phƣơng thức này là một đại diện thơng điệp
(Message Digest) có chiều dài cố định (message này cịn gọi là Digest hoặc Hash, và
thơng thƣờng có kích thƣớc nhỏ hơn message ban đầu). Vì Message Digest đƣợc tạo ra
thƣờng ngắn, nên phƣơng thức này còn đƣợc gọi là phƣơng thức tóm lƣợc thơng điệp.
Với mỗi đầu vào Plaintext sẽ chỉ có duy nhất 1 kết quả đầu ra tƣơng ứng và từ
Message Digest “khó” tìm ra message dạng Plaintext ban đầu. Message (dạng
Plaintext) sau khi thực hiện hàm hashing sẽ tạo ra một chuỗi các ký tự - đặc trƣng cho
message đầu vào. Giải thuật tạo Message Digest là thuật toán một chiều hay thƣờng
gọi là thuật tốn hash.
Thuật tốn hashing có 2 đặc điểm chính nhƣ sau:


15
 “Khó” tạo ra message ban đầu dựa trên digest của nó (nói cách khác là thuật tốn
hashing phải đảm bảo có tính một chiều, “khó” thực hiện theo chiều ngƣợc lại)

 Không tồn tại 2 message khác nhau mà có cùng digest giống nhau.
Nếu chiều dài của digest là m bits, sẽ cần phải thử 2m message để tìm ra một
message với digest mong muốn tƣơng ứng và thực hiện 2 m/2 message để tìm ra 2
message có cùng một digest. Do đó các hàm thực hiện message-digest phải có đầu ra ít
nhất là 128 bits, vì tối thiểu là 264 là khơng thể tính tốn đƣợc với các khả năng tính
tốn hiện nay.
Nơi ứng dụng:
 Phƣơng pháp này đƣợc sử dụng rộng rãi trong ngành khoa học máy tính nhƣ để
tăng tốc q trình đánh chỉ mục của cơ sở dữ liệu, kiểm tra sự toàn vẹn về nội
dung của thông tin đƣợc lƣu trữ hay truyền trên đƣờng truyền…
 Một ứng dụng điển hình của phƣơng pháp tóm lƣợc thơng điệp là phƣơng pháp
kiểm tra CRC (cyclic redundancy check), đƣợc sử dụng trong hầu hết các cơ
chế truyền/nhận dữ liệu.
 Phƣơng pháp này là nền tảng của việc tạo và kiểm tra chữ ký số.
 Hiện nay phƣơng pháp này đƣợc sử dụng nhiều trong các ứng dụng TMĐT.
Nhiều hệ thống ngân hàng trên thế giới sử dụng phƣơng pháp này nhằm đảm
bảo tính tồn vẹn cho các giao dịch điện tử.

1.4 Chữ ký số
1.4.1 Khái niệm chữ ký số
Với những thỏa thuận thông thƣờng, hai đối tác xác nhận sự đồng ý bằng cách kí
tay vào cuối các hợp đồng. Và bằng cách nào đó ngƣời ta phải thể hiện đó là chữ ký
của họ và kẻ khác không thể giả mạo. Mọi cách sao chép trên văn bản thƣờng dễ bị
phát hiện vì bản sao có thể phân biệt đƣợc với bản gốc.
Các giao dịch trên mạng cũng đƣợc thực hiện theo cách tƣơng tự nhƣ vậy. Nghĩa
là ngƣời gửi và ngƣời nhận cũng phải ký vào hợp đồng. Việc ký trên các văn bản
truyền qua mạng khác với văn bản giấy bình thƣờng bởi nội dung của văn bản đều
đƣợc biểu diễn dƣới dạng số hóa (chỉ dùng hai số 0 và 1, ta gọi văn bản này là văn bản
số). Việc giả mạo và sao chép lại đối với văn bản số là việc hồn tồn dễ dàng và
khơng thể phân biệt đƣợc bản gốc với bản sao. Vậy một chữ ký ở cuối văn bản loại

này không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản. Chữ ký thể hiện
trách nhiệm đối với toàn bộ văn bản là chữ ký đƣợc ký trên từng bit văn bản.


16
Thứ hai là vấn đề về kiểm tra. Chữ ký thơng thƣờng đƣợc kiểm tra bằng cách so
sánh nó với các chữ ký xác thực khác. Ví dụ, ai đó ký một tấm séc để mua hàng, ngƣời
bán phải so sánh chữ ký trên mảnh giấy với chữ ký nằm ở mặt sau của thẻ tín dụng để
kiểm tra. Dĩ nhiên, đây khơng phải là phƣơng pháp an tồn vì nó dễ dàng bị giả mạo.
Chữ ký số có thể đƣợc kiểm tra nhờ dùng một thuật toán kiểm tra cơng khai. Nhƣ
vậy, bất kỳ ai cũng có thể kiểm tra đƣợc chữ ký số.

1.4.2 Sơ đồ chữ ký số
Một sơ đồ chữ kí số thƣờng chứa hai thành phần: thuật tốn kí và thuật tốn xác
minh. Dƣới đây là định nghĩa hình thức của chữ kí:
Ðịnh nghĩa : Một sơ đồ chữ kí số là bộ 5 (P,A, K,S,V) thoả mãn các điều kiện
dƣới đây:
1. P là tập hữu hạn các bức điện(thơng điệp) có thể.
2. A là tập hữu hạn các chữ kí có thể.
3. K khơng gian khố là tập hữu hạn các khố có thể.
4. Với mỗi K thuộc K tồn tại một thuật tốn kí sigk  S và là một thuật toán xác
minh verk  V. Mỗi sigk : P  A và verk: P×a  {true,false} là những hàm sao cho
mỗi thơng điệp x  P và mối chữ kí y  a thoả mãn phƣơng trình dƣới đây.
verk =

True nếu y=sig(x)
False nếu y≠sig(x)

Với mỗi k thuộc K hàm sigk và verk là các hàm có thời gian đa thức. verk sẽ là
hàm cơng khai, sigk là bí mật. Khơng thểFalse

dể dàng
tốn để giả mạo chữ kí của Bob
nếutính
y≠sig(x)
trên thơng điệp x. Nghĩa là x cho trƣớc, chỉ có Bob mới có thể tính đƣợc y để verk =
True. Một sơ đồ chữ kí khơng thể an tồn vơ điều kiện vì Oscar có thể kiểm tra tất cả
các chữ số y có thể có trên thơng điệp x nhờ dùng thuật tốn verk cơng khai cho đến
khi anh ta tìm thấy một chữ kí đúng. Vì thế, nếu có đủ thời gian. Oscar ln ln có
thể giả mạo chữ kí của Bob. Nhƣ vậy, giống nhƣ trƣờng hợp hệ thống mã khoá cơng
khai, mục đích của chúng ta là tìm các sơ đồ chữ kí số an tồn về mặt tính tốn.
Các bƣớc để tạo ra chữ ký điện tử nhƣ sau:
 Đƣa thông điệp D cần gửi qua hàm băm, tạo ra Digest là d
 Mã hóa d bằng khóa Private của ngƣời gửi, để tạo ra chữ ký điện tử d1.
 Mã hóa thơng điệp và chữ ký bằng khóa Public key của ngƣời nhận và gửi đi.


17

Thuật tốn
Hash
d
Dữ liệu D


hóa

Sender’s
Private Key

Chữ ký d1


Hình 1-1. Sơ đồ tạo chữ ký
Ngƣời nhận sẽ giải mã thông điệp và chữ ký bằng khóa Private key của mình, giả
sử thu đƣợc thơng điệp D‟ và chữ ký d1‟. Sau đó, giải mã chữ ký d1‟ bằng khóa Public
key của ngƣời gửi để lấy d‟ ra. Sau đó cho thơng điệp D‟ qua hàm băm để tạo ra d‟‟
mới. Đem so sánh d‟‟ này với d‟ nhận đƣợc. Nếu chúng giống nhau nghĩa là D‟ chính
là D (khơng bị thay đổi, và do đúng ngƣời A gửi tới). Nếu D‟ khác D có nghĩa là thơng
điệp gốc đã bị thay đổi, điều này cũng có thể xảy ra khi khóa cơng khai và khóa bí mật
khơng tƣơng ứng.
Sender’s
Public Key

1

Dữ liệu nhận
được d1'

Giải mã

Kết quả d’

3

So sánh

Thuật toán
Hash

2


Kết quả d”
Dữ liệu nhận
được D’

- Nếu d’=d” : Dữ liệu D không bị thay đổi.
- Nếu d’≠ d” : Dữ liệu D bị thay đổi.

Hình 1-2. Sơ đồ xác thực chữ ký


18
Nhƣ vậy, việc sử dụng chữ ký số theo cách trên vừa đảm bảo đƣợc tính bảo mật
(thơng điệp và chữ ký đƣợc mã hóa bởi khóa cơng khai của ngƣời nhận trƣớc khi gửi),
vừa đảm bảo tính tồn vẹn của thơng điệp (vì kết quả băm là duy nhất, một chiều), vừa
đảm bảo tính xác thực và tính chống chối bỏ (thơng điệp nhận đƣợc là do chính ngƣời
A gửi đi vì chỉ duy nhất anh ta mới có khóa bí mật phù hợp với khóa cơng khai đã
đƣợc sử dụng để giải mã) [5].

1.4.3 Các cách tấn công chữ ký điện tử
Khi nói đến chữ ký điện tử, chúng ta ln mục tiêu an tồn lên hàng đầu. Một chữ
ký điện tử chỉ thực sự đƣợc áp dụng trong thực tế nếu nhƣ nó đƣợc chứng minh là
khơng thể giả mạo. Mục tiêu lớn nhất của kẻ tấn cơng các sơ đồ chữ ký chính là giả
mạo chữ ký; điều này có nghĩa là kẻ tấn cơng sẽ sinh ra đƣợc chữ ký của ngƣời ký lên
thông điệp mà chữ ký này sẽ đƣợc chấp nhận bởi ngƣời xác nhận. Trong thực tế các
hành vi tấn công chữ ký điện tử hết sức đa dạng, để dễ dàng phân tích một sơ đồ chữ
ký là an tồn hay khơng ngƣời ta tiến hành kiểm nghiệm độ an tồn của chữ ký trƣớc
các sự tấn công sau:
 Total break: Một kẻ giả mạo khơng những tính đƣợc thơng tin về khố riêng
cịn có thể sử dụng một thuật tốn sinh chữ ký tƣơng ứng tạo ra đƣợc chữ ký cho thơng
điệp.

 Selective forgert: Kẻ tấn cơng có khả năng tạo ra đƣợc một tập hợp các chữ ký
cho một lớp các thông điệp nhất định, các thông điệp này đƣợc ký mà khơng cần phải
có khố mật của ngƣời ký.
 Existential forgery: Kẻ tấn cơng có khả năng giả mạo chữ ký cho một thông
điệp, kẻ tấn công không thể hoặc có rất ít khả năng kiểm sốt thơng điệp đƣợc giả mạo
này.
Ngoài ra, hầu hết các chữ ký điện tử đều dựa vào cơ chế mã hoá khoá công khai,
các chữ ký điện tử dựa trên cơ chế này có thể bị tấn cơng theo các phƣơng thức sau:
 Key-only attacks: Kẻ tấn cơng chỉ biết khóa chung của ngƣời ký.
 Message attacks: ở đây kẻ tấn công có khả năng kiểm tra các chữ ký khác nhau
có phù hợp với một thơng điệp có trƣớc hay khơng. Ðây là kiểu tấn công rất thông
dụng trong thực tế nó thƣờng đƣợc chia làm 3 lớp:
o Known-message attack: Kẻ tấn cơng có chữ ký cho một lớp các thơng
điệp.
o Chosen-message attack: Kẻ tấn công dành đƣợc các chữ ký đúng cho
một danh sách các thông điệp trƣớc khi tiến hành hoạt động phá huỷ chữ
ký, cách tấn công này là non-adaptive (khơng mang tính phù hợp) bởi vì
thơng điệp đƣợc chọn trƣớc khi bất kỳ một chữ ký nào đƣợc gửi đi.


19
o Adaptive-chosen message attack: Kẻ tấn công đƣợc phép sử dụng ngƣời
ký nhƣ là một bên đáng tin cậy, kẻ tấn cơng có thể u cầu chữ ký cho
các thơng điệp mà các thơng điệp này phụ thuộc vào khố cơng khai của
ngƣời ký, nhƣ vậy kẻ tấn cơng có thể yêu cầu chữ ký của các thông điệp
phụ thuộc vào chữ ký và thông điệp dành đƣợc trƣớc đây và qua đó tính
tốn đƣợc chữ ký.

1.5 Kết chƣơng
Trong chƣơng này chúng ta đã tìm hiểu tổng quan về TMĐT, nhu cầu bảo mật và

an tồn thơng tin cho TMĐT, khảo sát thực trạng các hệ thống PKI và tìm hiểu về kỹ
thuật mật mã, chữ ký số… Sau đây chúng ta sẽ nghiên cứu cơ sở hạ tầng khóa công
khai và mật mã sinh trắc nhằm xây dựng một hệ thống đảm bảo an toàn và bảo mật
cho hệ thống thông tin.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×