วิชาพาณิชย์อิเล็กทรอนิกส์ โดย ดร.ประภาพร บุญปลอด มหาวิทยาลัยราชภัฎสุรินทร์

1. บทที่ 7
มาตรการรัก ษาความ
ปลอดภัย ของข้อ มูล
สำา หรับ พาณิช ย์
อิเ ล็ก ทรอนิก ส์
วิช า การพาณิช ย์อ ิเ ล็ก ทรอนิก ส์

2. มาตรการรัก ษาความปลอดภัย ข้อ มูล
ของพาณิช ย์อ ิเ ล็ก ทรอนิก ส์
สิงที่องค์กร บริษัท ห้างร้าน และบุคคลทั่วไป ต้อง
่
พิจารณา ในการทำาธุรกรรมอิเส็กทรอนิกส์อย่างปลอดภัย
คือความต้องพืนฐาน 5 ประการดังนีคือ
้
้
1. Confidentiality หมายถึงการรักษาความลับของ
ข้อมูล
2. Access Control หมายถึงกระบวนการตรวจสอบ
และควบคุม ให้อำานาจในการเข้าทำาการ เพิ่มเติม
เปลี่ยนแปลง แก้ไขข้อมูล
3. Authentication หมายถึงการรับรองตัวตนของ
บุคคลว่าเป็นผู้นนจริง
ั้
4. Integrity หมายถึงความไม่คลาดเคลื่อนของข้อมูล

3. การรัก ษาความลับ ของข้อ มูล (Data
Conf identiality)
คือ...
การป้องกันข้อมูลไม่ให้ถูกเปิดเผยต่อบุคคลที่
ไม่ได้รับอนุญาตโดยการเข้ารหัส (Encryption)
ข้อมูลทำาให้ข้อมูลอยู่ในรูปแบบของรหัสซึ่งนำา
ไปใช้ประโยชน์ไม่ได้ เว้นแต่จะรู้วิธีแปลงรหัส
(Decryption)
* ใช้เทคนิคการ Encryption-Decryption,
Secret-Key encryption, Public-Key
encryption

4. การรัก ษาความถูก ต้อ งของข้อ มูล
(Data Integrity)
คือ...
การรักษาข้อมูลที่ส่งจากผู้ส่งให้เหมือนเดิม และถูกต้องทุก
ประการเมื่อไปถึงยังผู้รับ รวมถึงการป้องกันไม่ให้ข้อมูลถูก
แก้ไขโดยตรวจสอบไม่ได้ ซึ่งเทคนิคที่นิยมนำามาประยุกต์ใช้
ในการรักษาความถูกต้องของข้อมูลคือ “Hashing”
Hashing :
Key
Hash Function
Hash Code

5. การระบุหรือยืนยันตัว
บุคคล(Authentication)
คือ...
การระบุตัวบุคคลที่ติดต่อว่าเป็นบุคคลตามที่ได้กล่าวอ้าง
ไว้จริง โดยอาจดูจากข้อมูลบางสิ่งบางอย่างที่ใช้ยืนยันหรือ
ระบุตัวตนของบุคคลนั้น เช่น รหัส pin, ลายมือชื่อดิจิตอล
(Digital Signature), รหัสผ่าน หรือดูจากลักษณะ
เฉพาะ/ลักษณะทางกายภาพของบุคคลนั้น เช่น ลายนิ้วมือ,
ม่านตา เป็นต้น
* ใช้เทคนิค Digital Signature, Password, เครื่องมือ
ตรวจวัดทางกายภาพ

6. การป้องกันการปฏิเสธความรับผิดชอบ
(Non-Repudiation)
คือ...
การป้องกันการปฏิเสธว่าไม่ได้มีการรับหรือส่ง
ข้อมูลจากฝายต่างๆที่เกี่ยวข้อง และการป้องกัน
การอ้างที่เป็นเท็จว่าได้รับหรือส่งข้อมูล การป้องกัน
การปฏิเสธความรับผิดชอบนี้สามารถนำา
ไปใช้ประโยชน์ในการป้องกันการปฏิเสธการสั่งซื้อ
สินค้าจากลูกค้าได้
* ใช้เทคนิค Digital Signature, Public-Key
encryption, การรับรองการให้บริการ

7. การควบคุมการเข้าถึง
ข้อมูล(Access Control)
คือ...
มาตรการควบคุมการเข้าถึงข้อมูลหรือการระบุตัว
บุคคลให้มีอำานาจหน้าที่ในการเข้าถึงข้อมูลตามที่
กำาหนด เช่น การกำาหนดสิทธิ์การเข้าถึงข้อมูลต่างๆ
ใน Web site ระหว่าง Web master และ User
ทั่วไปจะแตกต่างกัน โดย Web master สามารถ
ปรับปรุง แก้ไขข้อมูลภายใน Web site ได้ ในขณะ
ที่ User ทั่วไปนั้นไม่สามารถทำาได้ เป็นต้น
* ใช้เทคนิค Password, เครื่องมือตรวจวัดทาง
กายภาพ, Firewall

8. วิธีรักษาความปลอดภัยบนเครือข่าย
Internet
การเข้ารหัส (Encryption)
- Symmetric encryption (กุญแจ
เหมือนกัน)
- Asymmetric encryption (กุญแจ
ต่างกัน)
 Secure Socket Layer (SSL)
 ลายเซ็นต์ดิจิตอล (Digital Signature)
 Secure Electronic Transaction


9. การเข้ารหัส (Encryption)
มีด้วยกัน 2 ลักษณะ คือ
การเข้า รหัส แบบสมมาตร
(Symmetric Encryption)
1.

วิธีนี้ทั้งผู้รับและผูส่งข้อมูลจะทราบ Key ที่เหมือ
้
นกันฃ
ใช้ Key เดียวกันในการรับ-ส่งข้อมูล
 อาจเรียกอีกอย่างว่า Secret Key, Single
Key หรือ กุญแจลับ

10. Symmetric Encryption
Secret key
ผู้ส่ง
Plain text
Encryption Algorithm
Secret key
Decryption Algorithm
Cipher text
ผู้รับ
Plain text

12. Symmetric Encryption
ข้อ ดี
การเข้ารหัสข้อมูลทำาได้รวดเร็วกว่าเมื่อเทียบ
กับวิธี Asymmetric Encryption
ข้อ จำา กัด / ข้อ ควรระวัง
Confidentiality : ผู้อื่นนอกเหนือจากผูรับ
้
และผู้สงอาจรู้ Key ด้วยวิธีใดก็ตามแล้วใช้ Key
่
ในการถอดรหัส (Decryption) เพื่ออ่านข้อมูล
ซึ่งทำาให้ข้อมูลไม่เป็นความลับอีกต่อไป
Authentication / Non-Repudiation :
ไม่มีหลักฐานใดที่พิสูจน์หรือยืนยันได้ว่าผูส่งหรือ
้
ผู้รับได้กระทำารายการจริงๆ เพราะใครก็ตามที่รู้
Key ก็สามารถเข้ารหัสข้อความได้เช่นเดียวกัน

13. การเข้ารหัส (Encryption)
(Asymmetric Key Cryptography หรือ
Public Key Cryptography)
2.
ใช้แ นวคิด ของการมี Key เป็น คู่ ๆ โดยที่
Key แต่ล ะคู่จ ะสามารถเข้า และถอดรหัส ของกัน
และกัน ได้เ ท่า นั้น
Key แรกจะถูกเก็บรักษาอยู่กับเจ้าของ Key
เท่านั้น เรียกว่า Private key
และคู่ของ Private key ที่เปิดเผยต่อสาธารณะ
หรือส่งต่อให้ผอื่นใช้ เรียกว่า Public key
ู้
เน้น ทีผ ู้ร ับ เป็น หลัก คือ จะใช้กุญแจสาธารณะ
่


15. Asymmetric Encryption
ประโยชน์ของวิธีการเข้ารหัสแบบอสมมาตร
มีดังนี้
 ใช้รักษาความลับของข้อความที่จะจัดส่งไป
โดยใช้วิธีการเข้ารหัสด้วย Public-Key
 ความเสี่ยงของการล่วงรู้ Private-Key จาก
ผู้อื่นเป็นไปได้ยากเมื่อเทียบกับวิธี
Symmetric Encryption เนื่องจาก
Private-Key จะถูกเก็บรักษาโดยเจ้าของ
คนเดียวเท่านั้น


16. Asymmetric Encryption
ข้อจำากัด/ ข้อควรระวัง สำาหรับการเข้ารหัส
แบบอสมมาตร มีดังนี้
 การเข้ารหัสข้อมูลทำาได้ชากว่าเมื่อเทียบกับ
้
วิธี Symmetric Encryption เนื่องจาก
Algorithm ที่ใช้เป็นวิธีการคำานวณทาง
คณิตศาสตร์ในขณะที่ Algorithm ของวิธี
Symmetric Encryption นั้นจะใช้การ
แทนที่ (Substitution) และการสลับที่
(Permutation)

17. เปรีย บเทีย บข้อ ดี-ข้อ เสีย
กุญ แจสมมาตร
ข้อดี
มีความรวดเร็วเพราะใช้
การคำานวณที่ น้อยกว่า
สามารถสร้างได้ง่ายโดย
ใช้ฮาร์ดแวร์
กุญ แจอสมมาตร
ข้อดี
การบริหารจัดการกุญแจ
ทำาได้ง่ายกว่า เพราะ ใช้
กุญแจในการเข้ารหัส และ
ถอดรหัสต่างกัน
สามารถระบุผู้ใช้โดยการ
ใช้ร่วมกับลายมือชื่อ
อิเล็กทรอนิกส์
ข้อเสีย
ข้อเสีย
การบริหารจัดการกุญแจ ใช้เวลาในการเข้าและ
ทำาได้ยาก เพราะกุญแจใน ถอดรหัสค่อนข้างนาน เพราะ
การเข้ารหัสและถอด รหัส ต้องใช้การคำานวณอย่างมาก

18. Secure Socket Layer (SSL)
เป็นโปรโตคอลทีพัฒนาโดย Netscape เพื่อ
่
ใช้ในการรักษาความปลอดภัยให้กับข้อมูลบน
World Wide Web
ใช้สำาหรับตรวจสอบและเข้ารหัสข้อมูลในการ
ติดต่อสื่อสารระหว่างเครื่องให้บริการ (Server)
และเครื่องรับบริการ (Client)
ใช้เทคนิค Cryptography และ ใบรับรอง
ดิจิตอล (Digital Certificates)
ผูใช้จะติดต่อ Web Server โดยที่ URL จะ
้
ต้องใส่โปรโตคอล “https://” แทน http:// ซึ่ง


19. ผูซ ื้อ
้
1.ผู้ซ ื้อ เปิด Web
Browser
2.เลือ กซื้อ สิน ค้า และกด
ชำา ระเงิน
3.คำา ร้อ งถูก ส่ง ไปยัง
Server
5.ผู้ซ ื้อ รับ แล้ว เลือ กวิธ ี
การชำา ระเงิน
6.ผู้ซ ื้อ กำา หนด Secret
Key (สร้า งกุญ แจลับ )ขึ้น
มา
7.นำา กุญ แจลับ (Secret
Key) มาเข้า รหัส ด้ว ย
Public Key ของ Server
เครื่อ งเซิร ์ฟ เวอร์ผ ู้
ขาย
4. Server ส่ง หน้า
เว็บ ไซต์ข องการชำา ระ
เงิน ไปให้ล ูก ค้า พร้อ ม
Digital Certificate
ซึ่ง มีก ุญ แจสาธารณะ
(Public key) ของผู้ข าย
ไปให้ล ูก ค้า
9.ถอดรหัส ด้ว ย Private

20. Secure Socket Layer (SSL)
กลไกการรักษาความปลอดภัย มีดังนี้
การรักษาความลับของข้อความ
(Message Privacy)
ความสมบูรณ์ของข้อความ (Message
Integrity)
ความน่าเชื่อถือ (Mutual
Authentication)
ใบรับรองดิจิตอล (Digital

21. หลักการทำางานของ SSL
เครื่องผู้ใช้บริการ (Client) เริ่มกระบวนการ
ติดต่อโดยส่งคำาร้อง (Request) ไปยังเครื่องผู้
ให้บริการ (Web server) ที่สนับสนุนระบบ SSL
2. จากนันเครื่องผู้ให้บริการ (Web server) จะส่ง
้
ใบรับรองดิจิตอล (Digital Certificate) พร้อม
กับกุญแจสาธารณะ (Public key) ของเครื่องผู้
ให้บริการ (Web server) กลับมายังเครื่องผู้ใช้
บริการ (Client)
3. จากนั้นเครื่องผู้ใช้บริการ (Client) จะตรวจสอบ
1.

22. หลักการทำางานของ SSL (ต่อ)
จากนันเครื่องผู้ใช้บริการ (Client) จะสร้าง
้
กุญแจสมมาตร (Symmetric key) ขึ้นมา
และทำาการเข้ารหัส (Encryption) กุญแจ
สมมาตร (Symmetric key) ด้วยกุญแจ
สาธารณะ (Public key) ของเครื่องผูให้
้
บริการ (Web server)
5. จากนั้นเครื่องผูใช้บริการ (Client) จะส่ง
้
กุญแจสมมาตร (Symmetric key) ที่เข้า
รหัส (Encryption) แล้วกลับไปยังเครื่องผู้
ให้บริการ (Web server)
4.

23. หลักการทำางานของ SSL (ต่อ)
6.
7.
เมื่อเครื่องผู้ให้บริการ (Web server) ได้
รับข้อมูลแล้วจะทำาการถอดรหัส
(Decryption) ข้อมูลด้วยกุญแจส่วนตัว
(Private key) ก็จะได้กุญแจสมมาตร
(Symmetric key) ที่สร้างขึ้นโดยเครื่อง
ผู้ใช้บริการ (Client)
จากนันเครื่องผู้ใช้บริการ (Client) และ
้
เครื่องผู้ให้บริการ (Web server) จะใช้
กุญแจสมมาตร (Symmetric key) ใน
การเข้ารหัส (Encryption) - ถอดรหัส

24. หลักการทำางานของ SSL (ต่อ)
Request
Digital Certificate
Public-Key
Check Certificate
Symmetric-Key
Encrypt
Decrypt
Public-Key
Private-Key
Symmetric-Key
Symmetric-Key
Symmetric-Key
SSL Protocol

25. Hypertext Transfer Protocol Security คือ
ระบบความปลอดภัยของ HTTP protocol สำาหรับการ
แลกเปลี่ยนข้อมูลระหว่างเครื่อง server และ client
โดยมีจุดประสงค์เพือรักษาความลับของข้อมูลขณะรับ่
ส่ง และเพื่อให้แน่ใจว่า ข้อมูลนั้นถูกรับ-ส่งระหว่างผู้รับ
และผู้ส่งตามที่ระบุไว้จริง โดยที่ข้อมูลจะต้องไม่ถูก
เปลี่ยนแปลงแก้ไขไปจากเดิมด้วย HTTPS
Web site ที่ระบุถึงการเชื่อมต่อแบบ Secure HTTP
จะขึ้นต้นด้วย https:// และตรง Web browser จะมี
รูปกุญแจเป็นตัวบ่งบอกสถานะว่า ในขณะที่เราใช้ Web
Browser เรียกดู Web page ใด ๆ ก็ตาม Web page
นั้นใช้ระบบรักษาความปลอดภัยในการรับ-ส่งหรือไม่

26. ตัวอย่าง Certificate

27. ตัวอย่าง Certificate

28. ตัวอย่าง Certificate

29. ลายเซ็นต์ดิจิตอล (Digital
Signature)



Digital Signatures หรือลายมือชื่ออิเล็กทรอนิกส์
หมายถึงกลุ่มของตัวเลขกลุ่มหนึงซึ่งแสดงความมีตัว
่
ตนของบุคคลคนหนึ่ง (กลุ่มตัวเลขนีจะมีเลขทีไม่ซำ้า
้
่
กับใครเลย)
ซึ่งจะใช้ในการแนบติดไปกับเอกสารใดๆ ก็ตามใน
รูปแบบของไฟล์
เจตนาก็เพือเป็นการยืนยันหรือรับรองข้อความที่
่
ปรากฎอยูในไฟล์นนๆ ทำานองเดียวกับการลงลายมือ
่
ั้
ชื่อด้วยหมึกลงบนกระดาษ เพื่อเป็นการยืนยันหรือ
รับรองข้อความทีปรากฎอยู่บนกระดาษนันเอง
่
่

30. ลายเซ็นต์ดิจิตอล (Digital
Signature)
การเข้ารหัสข้อความที่ยาวนั้นค่อนข้าง
เสียเวลา เนื่องจากขั้นตอนการเข้ารหัสต้อง
ใช้การคำานวณเป็นอย่างมาก จึงมีการสร้าง
ขั้นตอนที่คำานวณได้อย่างรวดเร็ว โดย
เปลี่ยนข้อความทั้งหมดให้เหลือเพียงข้อ
ความสั้นๆ เรียกว่า “Message Digest”
Message Digest จะถูกสร้างขึ้นด้วย
กระบวนการที่เรียกว่า One-way Hash
function เมื่อได้ Message Digest มา
แล้วก็จะนำา Message Digest นี้ไปเข้า
รหัสด้วย Private-Key เพื่อสร้างเป็นลาย

31. การสร้างลายเซ็นต์ดิจิตอล
(Creating Digital Signature)
Private-Key
[ผู้ส่ง]
ข้อมูล
Hash Function
Authentic
ation
Integrity
Nonrepudiation
Messag
e Digest
Digital Signature
Encryption
Algorithm

34. การประยุกต์ใช้งานลายเซ็นต์
ดิจิตอล
การระบุหรือยืนยันตัวบุคคล
(Authentication)
เพื่อยืนยันหรือระบุตัวตนของผูส่งข้อมูลว่า
้
เป็นตัวจริง ทั้งนี้เพื่อเพิ่มความมั่นใจให้กับผูรับ
้
ข้อมูลว่าได้รับข้อมูลจากบุคคลที่มีตัวตนอยู่จริง
ในทางธุรกิจนั้นคูคายินดีที่จะทำาการค้ากับ
่ ้
Web site ที่มีการใช้ลายมือชื่อดิจิตอล
มากกว่าเว็บไซต์ที่ไม่มีการใช้ลายมือชือ
่
ดิจิตอล


35. การประยุกต์ใช้งานลายเซ็นต์
ดิจิตอล
การรักษาความถูกต้องของข้อมูล (Data
Integrity)
เพื่อให้ผู้รับข้อมูลตรวจสอบได้ว่าข้อมูลที่ได้รับ
มานั้นเป็นข้อมูลจริงๆ ไม่ได้มีการดัดแปลงหรือ
แก้ไข (Integrity)
การป้องกันการปฏิเสธความรับผิดชอบ
(Non-Repudiation)
เพื่อป้องกันการปฏิเสธความรับผิดชอบ (NonRepudiation) ของผู้สงข้อมูล ในกรณีที่ผส่ง
่
ู้


36. ตย.การประยุกต์ใช้งานลายเซ็นต์
ดิจิตอล
ฝั่งส่ง : A
 A ต้องการส่งข้อมูลไปให้ B
A จึงนำาข้อมูล
ที่ต้องการส่งมาคำานวณหา message
digest
 จากนั้น A ก็นำา message digest ที่ได้มา
เข้ารหัสด้วย Private-Key [A] ซึ่งจะได้
ผลลัพธ์ออกมาเป็นลายเซ็นดิจิตอลของ A
 จากนั้น A จึงส่งข้อมูลต้นฉบับที่ไม่ได้เข้า
รหัส พร้อมกับลายเซ็นดิจิตอลของตนเองไป
ให้ B

37. ตย.การประยุกต์ใช้งานลายเซ็นต์
ดิจิตอล
ฝังรับ : B
่
 เมื่อ B ได้รับข้อมูลก็จะนำา Public-Key [A] มา
ถอดรหัสลายเซ็นต์ดิจิตอลของ A ซึ่งจะได้ออก
มาเป็น message digest ที่ A คำานวณไว้
 จากนัน B ใช้ Hash Function เดียวกับที่ A
้
ใช้ (ต้องตกลงกันไว้ก่อน) เพื่อมาคำานวณหา
message digest จากข้อมูลที่ A ส่งมา
 B นำา message digest ที่ได้จากการคำานวณ
มาเปรียบเทียบกับ message digest ที่ได้
จากการถอดรหัส


38. Certification Authority :CA
หรือ Certification Service
Provider (CSP)




Certification Authority หรือผูออกใบรับรอง
้
ปัจจุบันนิยมเรียกว่า Certification Service
Provider (CSP) หมายถึง บุคคลที่สาม (นอกเหนือ
จากผู้ขายกับผูซื้อ (หรือผูส่งกับผูรับ)) ที่ได้รับความ
้
้
้
เชื่อถือและไว้วางใจจากบุคคลหรือองค์กรโดยทั่วไป
โดย CA จะเป็นผู้ตรวจสอบสถานะและออกใบรับรอง
อิเล็กทรอนิกส์ให้แก่ผู้สมัครขอใบรับรองฯ
และ CA นี้เองเป็นผูรับรองความมีตัวตนของทั้งผู้
้
ขายและผู้ซื้อ (หรือผู้ส่งและผู้รับ)

40. Certification Authority :CA
หรือ Certification Service
Provider (CSP)

โดยปกติทั่วไปหน้าทีของผู้ออกใบรับรองฯ มีดังนี้
่
1. สร้างคู่กุญแจ (Key pairs) ตามคำาขอของผู้ขอ
ใช้บริการ
2. ออกใบรับรองฯ เพื่อยืนยันตัวบุคคลของผูขอใช้
้
บริการ
3. จัดเก็บกุญแจสาธารณะ (Public Key) ในฐาน
ข้อมูล
4. เปิดเผยกุญแจสาธารณะต่อสาธารณชนทีติดต่อ
่
ผ่านทางระบบเครือข่าย
5. ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะ
ตามคำาขอของบุคคลทัวไป
่

41. Secure Electronic Transaction :
SET
SET เป็นโปรโตคอลที่ทาง Visa และ
Master card คิดคั้นร่วมกับ Microsoft และ
Netscape เพื่อตรวจสอบการชำาระเงินด้วย
บัตรเครดิตผ่านเครือข่ายอินเทอร์เน็ตและ
เครือข่ายต่าง ๆ ด้วยการสร้างรหัส SET ระดับ
128 bit
ใช้ใบรับรองอิเล็กทรอนิกส์ (Digital
Certificates) ในการระบุตัวตนที่เกี่ยวข้อง
กับการซื้อขาย เช่น ผูถือบัตร ผู้ขาย ช่อง
้
ทางการชำาระเงิน และ Certificate


42. Secure Electronic Transaction :
SET
ข้อดีของการรักษาความปลอดภัยด้วย
โปรโตคอล SET
1.ความปลอดภัย ของข้อ ความ (Message
Privacy) รักษาข้อมูลที่รับส่งได้ โดยการเข้ารหัส
ด้วยกุญแจสาธารณะ (Public-Key)
2.ความสมบูร ณ์ข องข้อ ความ (Message
Integrity) สามารถรักษาความถูกต้องของข้อมูล
ที่ส่งผ่าน โดยข้อมูลจะไม่ถูกแก้ไข ระหว่างทาง
ด้วยการใช้ ลายเซ็นดิจิตอล (Digital
Signature)
3.ความน่า เชือ ถือ ( Matual
่