Tài liệu phân tích các vấn đề bảo mật trong thương mại điện tử, với trọng tâm là các giao thức SSL và SET. SSL cung cấp mã hóa để bảo vệ thông tin khi giao dịch, trong khi SET hướng đến việc bảo mật thông tin thẻ tín dụng và quyền riêng tư của khách hàng. Qui trình bảo mật cả hai giao thức nhằm đảm bảo tính toàn vẹn của thông tin và xác thực người dùng trong các giao dịch trực tuyến.

1. Chöông 8 Vaán ñeà an toaøn trong Thöông maïi ñieän töû

2. SSL vaø SET: Ai seõ thaéng? Moät phaàn cuûa SSL (Secure Socket Layer) ñaõ coù trong boä trình duyeät cuûa khaùch haøng Ñoù laø moät cô cheá maõ hoùa (encryption) ñeå tieáp nhaän ñôn haøng, caùc yeâu caàu vaø caùc trình öùng duïng khaùc Noù khoâng giuùp baûo veä choáng laïi toaøn boä caùc vaán ñeà xaâm phaïm an toaøn Noù ñôn giaûn vaø ñöôïc söû duïng roäng raûi SET ( Secure Electronic Transaction) laø moät giao thöùc baûo an raát hoaøn haûo Noù cung caáp tính rieâng tö, chöùng thaät, an toaøn vaø raøo caûn Noù ít ñöôïc söû duïng do tính phöùc taïp cuûa noù vaø söï ñoøi hoûi phaûi coù caùc boä ñoïc card ñaëc bieät cho ngöôøi söû duïng Noù coù theå bò taåy chay neáu noù khoâng ñöôïc laøm cho ñôn giaûn hoùa hôn hay hoaøn thieän hôn

3. Yeâu caàu baûo an Thanh toaùn, giao thöùc vaø caùc vaán ñeà coù lieân quan Chöùng thaät : Laø caùch kieåm tra ngöôøi mua tröôùc khi vieäc thanh toaùn ñöôïc thöïc hieän Toaøn veïn : Baûo ñaûm raèng caùc thoâng tin seõ khoâng bò thay ñoåi, xoùa do sô xuaát trong quaù trình truyeàn daãn Maõ hoùa : Qui trình laøm cho caùc thoâng ñieäp khoâng theå ñoïc hay söû duïng ñöôïc ngoaïi tröø nhöõng ngöôøi coù khoùa giaûi maõ chuùng Quyeàn rieâng tö: ngöôøi baùn khoâng nhaát thieát phaûi bieát thoâng tin veà theû tín duïng cuûa ngöôøi mua. Ñieàu naøy caàn ñöôïc thöïc hieän ñeå baûo ñaûm quyeàn rieâng tö cuûa khaùch haøng

4. Qui trình baûo an Khoùa bí maät - Secret Key Cryptography (symmetric) Thoâng ñieäp ñöôïc maõ hoùa Thoâng ñieäp nguyeân thuûy Ngöôøi göûi Internet Thoâng ñieäp ñöôïc maõ hoùa Khoùa ngöôøi göûi (= Khoùa ngöôøi nhaän ) Maõ hoùa Thoâng ñieäp nguyeân thuûy Ngöôøi nhaän Khoùa ngöôøi nhaän Giaûi maõ

5. Khoùa coâng coäng - Public Key Cryptography Qui trình baûo an... Message Digital Signature Sender Original Message Scrambled Message Scrambled Message Public Key receiver Original Message Receiver Private Key receiver Internet Sender Original Message Scrambled Message Scrambled Message Private Key sender Original Message Receiver Public Key sender Internet

6. Chöõ kyù ñieän töû - Digital Signature Chöõ kyù soá ñöôïc ngöôøi göûi göûi keøm theo thoâng ñieäp ñöôïc maõ hoùa baèng khoùa coâng coäng Ngöôøi göûi maõ hoùa thoâng ñieäp vôùi khoùa rieâng Qui trình baûo an... Töø chöõ kyù töông ñöông ñeán chöõ kyù baèng tay - Analogous to handwritten signature Ngöôøi nhaän laø ngöôøi duy nhaát coù theå ñoïc thoâng ñieäp vaø anh ta laø ngöôøi coù theå bieát chaéc chaén raèng thoâng ñieäp do ngöôøi naøo ñaõ göûi Baát kyø ngöôøi nhaän naøo coù khoùa coâng coäng cuûa ngöôøi göûi ñeàu coù theå ñoïc ñöôïc

7. Chöùng nhaän - Certificate Qui trình baûo an... Xaùc ñònh ngöôøi giöõ khoùa coâng coäng (trao ñoåi khoùa Key-exchange) Caáp bôûi cô quan chöùng thaät coù uy tín - certificate authority (CA) Name : “Richard” key-Exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 6/18/96 Signed : CA’s Signature

8. Cô quan caáp giaáy chöùng nhaän – ví duï VeriSign RCA : Root Certificate Authority – Cô quan chöùng nhaän nguoàn BCA : Brand Certificate Authority - Cô quan chöùng nhaän nhaõn hieäu GCA : Geo-political Certificate Authority - Cô quan chöùng nhaän theo ñòa lyù chính trò CCA : Cardholder Certificate Authority - Cô quan chöùng nhaän ngöôøi sôû höõu card MCA : Merchant Certificate Authority - Cô quan chöùng nhaän ngöôøi baùn PCA : Payment Gateway Certificate Authority – Cô quan chöùng nhaän coång thanh toaùn Caùch phaân chia taàng lôùp caùc cô quan chöùng nhaän Qui trình baûo an Coù theå laø moät toå chöùc coâng coäng hay caù nhaân Laø beân thöù 3 ñaùng tin caäy Caáp Chöùng nhaän soá Chöùng nhaän raèng khoùa coâng coäng thuoäc veà moät caù nhaân naøo ñoù RCA BCA GCA CCA MCA PCA

9. Giao thöùc SET - Secure Electronic Transaction Protocol 1. Thoâng ñieäp ñöôïc ñöa vaøo boä ‘tieâu hoùa’ thoâng tin (hay boä ñoïc thoâng ñieäp - message digest). 2. Boä tieâu hoùa thoâng tin seõ maõ hoùa vôùi khoùa chöõ kyù rieâng cuûa ngöôøi göûi, vaø chöõ kyù soá ñöôïc taïo ra. 3. Noäi dung thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi ñöôïc maõ hoùa vôùi khoùa ñoàng ñaúng (symmetric key) ñöôïc taïo ra bôûi maùy cuûa ngöôøi göûi cho töøng giao dòch. Keát quaû laø moät thoâng ñieäp ñöôïc maõ hoùa. Giao thöùc SET duøng heä Algarit DES thay vì RSA bôûi vì DES coù theå maõ hoùa nhanh hôn nhieàu so vôùi RSA. 4. Khoùa ñoàng ñaúng ñöôïc maõ hoùa vôùi khoùa coâng coäng cuûa ngöôøi nhaän voán ñaõ ñöôïc göûi ñeán ngöôøi göûi tröôùc ñoù. Keát quaû laø moät böùc thö soá ñöôïc taïo ra. Maùy tính cuûa ngöôøi göûi

10. Maùy tính cuûa ngöôøi göûi Khoùa chöõ kyù rieâng cuûa ngöôøi göûi Chöùng nhaän cuûa ngöôøi göû i + + Message + Chöõ kyù soá  Chöùng nhaän Cuûa ngöôøi nhaän Maõ hoùa Khoùa ñoàng ñaúng Thoâng ñieäp ñöôïc maõ hoùa  Khoùa trao ñoåi cuûa ngöôøi nhaän Maõ hoùa Bao thö soá  Message Boä ñoïc thoâng ñieäp 

11. 5. Thoâng ñieäp ñöôïc maõ hoùa vaø bao thö soá ñöôïc chuyeån ñeán maùy cuûa ngöôøi nhaän thoâng qua Internet. 6. Bao thö soá ñöôïc giaûi maõ vôùi khoùa trao ñoåi cuûa ngöôøi nhaän. 7. Söû duïng khoùa ñoàng ñaúng, thoâng ñieäp ñöôïc maõ hoùa coù theå ñöôïc tra veà hieän traïng thoâng ñieäp, chöõ kyù soá vaø chöùng nhaän cuûa ngöôøi göûi. 8. Ñeå xaùc ñònh tính toaøn veïn (integrity), chöõ kyù soá ñöôïc giaûi maõ bôøi khoùa coâng coäng cuûa ngöôøi göûi. 9. Thoâng ñieäp ñöôïc thaønh thoâng ñieäp ñöôïc giaûi maõ. 10. Caùc thoâng ñieäp ñöôïc giaûi maõ ñaït ñöôïc ôû caùc böôùc 8 & 9 ñöôïc so saùnh bôûi ngöôøi nhaän nhaèm xaùc ñònh xem coù thay ñoåi naøo khoâng trong quaù trình di chuyeån. Böôùc naøy xaùc ñònh tính toaøn veïn cuûa thoâng ñieäp. Maùy tính cuûa ngöôøi nhaän Giao thöùc SET...

12. Maùy tính cuûa ngöôøi göûi Giaûi maõ Khoùa ñoàng ñaúng Thoâng ñieäp ñöôïc maõ hoùa  Chöùng nhaän Cuûa Ngöôøi göûi + + Thoâng ñieäp So saùnh  Bao thö soá Khoaù trao ñoåi rieâng cuûa ngöôøi göûi  Giaûi maõ Thoâng ñieäp ñöôïc ñoïc Chöõ kyù soá Khoaù chöõ kyù coâng coäng cuûa ngöôøi göûi  Giaûi maõ Thoâng ñieäp ñöôïc ñoïc 

13. Giao thöùc SET ñöôïc duøng trong TMÑT Boä ñoïc IC Card Khaùch haøng X Khaùch haøng Y Vôùi Ví ñieän töû Cô quan chöùng nhaän Cöûa haøng ñieän töû Ngöôøi baùn A Ngöôøi baùn B Loaïi credit card Giao thöùc X.25 Coång thanh toaùn

14. SET so vôùi SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL) Phöùc taïp Ñôn giaûn SET phuïc vuï nhu caàu nhaän thanh toaùn baèng credit card cuûa ngöôøi baùn. SSL laø giao thöùc baûo maät toång quaùt cho caùc trao ñoåi thoâng ñieäp (maõ hoùa). Giao thöùc SET giaáu thoâng tin veà Credit card cuûa khaùch haøng khoûi ngöôøi baùn, vaø cuõng giaáu thoâng tin ñoái vôùi ngaân haøng, ñeå baûo veä quyeàn rieâng tö cuûa khaùch haøng. Giao thöùc SSL coù theå duøng chöùng nhaän, nhöng noù khoâng coù coång thanh toùan. Vì vaäy, ngöôøi baùn caàn nhaän caû thoâng tin ñaët haøng laãn thoâng tin veà theû tín duïng vaø qui trình naøy do ngöôøi baùn quyeát ñònh.