Bảo mật thông tin trong thương mại điện tử

Information Security In E-commerce

Hoàng Anh
Anhh@ueh.edu.vn

Chương 3. Kỹ thuật mã hoá

&
Xác thực thông tin
Nội dung Vai trò của mã hóa trong việc
1
bảo mật thông tin

Phân loại kỹ thuật mã hóa 2

Mã hóa đối xứng 3

Mã hóa bất đối xứng 4

Các hàm băm bảo mật 5

Các vấn đề quản lý rủi ro và bảo mật

6
2
Các ứng dụng
1. Vai trò của mã hóa trong việc bảo mật thông tin

Một số khái niệm cơ bản:

 Văn bản gốc (plaintext)
 Văn bản mã hóa (ciphertext)
 Hệ thống mã hóa (cryptosystem)
 Khóa (key)

Các vấn đề quản lý rủi ro và bảo mật 3

1. Vai trò của mã hóa trong việc bảo mật thông tin
◼ Văn bản gốc (plaintext) là văn bản ban đầu có nội
dung có thể đọc được và cần được bảo vệ.
◼ Văn bản mã hóa (ciphertext) là văn bản sau khi mã
hóa, nội dung không thể đọc được.
◼ Mã hóa (encryption) là quá trình chuyển văn bản
gốc thành văn bản mã hóa. Giải mã (decryption) là
quá trình đưa văn bản mã hóa về lại văn bản gốc ban
đầu
◼ Hệ thống mã hóa (cryptosystem)
◼ Cryptosystem = encryption + decryption algorithms
◼ Khóa (key) được sử dụng trong quá trình mã hóa và
giải mã.
Các vấn đề quản lý rủi ro và bảo mật 4
1. Vai trò của mã hóa trong việc bảo mật thông tin

 Mã hóa (encryption) là quá trình dùng để biến đổi

thông tin từ dạng này sang dạng khác và ngăn chặn
những người không phận sự tiếp cận vào thông tin đó.

Các vấn đề quản lý rủi ro và bảo mật 5

1. Vai trò của mã hóa trong việc bảo mật thông tin

 Là một công cụ cơ bản thiết yếu của bảo mật

thông tin.
 Có vai trò rất quan trọng, đặc biệt là trong giao
dịch điện tử.
 Đảm bảo an toàn thông tin trên đường truyền
với các thuộc tính
 Tính bảo mật (confidentiality)
 Tính xác thực (authentication)
 Tính toàn vẹn (integrity)
 Tính không từ chối (non-repudiation)

Các vấn đề quản lý rủi ro và bảo mật 6

2. Phân loại kỹ thuật mã hoá

 Thông thường phương pháp mã hóa dữ liệu

được phân chia thành 4 loại chính:
 Mã hóa cổ điển
 Mã hóa một chiều
 Mã hóa đối xứng
 Mã hóa bất đối xứng

Các vấn đề quản lý rủi ro và bảo mật 7

2. Phân loại kỹ thuật mã hoá
Mã hoá cổ điển

 Ví dụ: cho chuỗi mã hoá

J MPWF VFI”
“

Lùi 1 ký tự

 Đáp án: I LOVE UEH

Các vấn đề quản lý rủi ro và bảo mật 8

2. Phân loại kỹ thuật mã hoá
Mã hoá cổ điển

 Ví dụ: cho chuỗi “GNUORT NAS O H91”

Hoán vị
 Đáp án: 19H Ở SÂN TRƯỜNG

 Mã hoá cổ điển là cách đơn giản nhất, tồn lại lâu

nhất trên thế giới và không cần khóa bảo mật, chỉ
cần người gửi và người nhận cùng biết về thuật
toán này là được.

Các vấn đề quản lý rủi ro và bảo mật 9

2. Phân loại kỹ thuật mã hoá
Mã hoá cổ điển

 Không an toàn, vì nếu thuật toán bị rò rỉ

→ thông tin không còn bảo mật nữa.
 Có khả năng người đó sẽ rò rỉ ra, hoặc
có ai đó ngồi giải ra thuật toán thì xem
như thông tin không còn bảo mật nữa.

Các vấn đề quản lý rủi ro và bảo mật 10

2. Phân loại kỹ thuật mã hoá
Mã hoá một chiều (Hash)

 Phương pháp này dùng để mã hóa những thứ

không cần dịch lại nguyên bản gốc.

 Ví dụ: nhập mật khẩu

******* → FIiyXYB547bhvyuuUIbZ
✓ 
 Khi đăng nhập
******* → FIiyXYB547bhvyuuUIbZ
Các vấn đề quản lý rủi ro và bảo mật 11
2. Phân loại kỹ thuật mã hoá
Mã hoá một chiều (Hash)
 Hash function, nhiệm vụ của nó là chuyển một chuỗi
có độ dài bất kì thành chuỗi kí tự có độ dài cố định.

 Ví dụ, đầu vào n ký tự → chuỗi kí tự dài 10 kí tự.

Các vấn đề quản lý rủi ro và bảo mật 12

2. Phân loại kỹ thuật mã hoá
Mã hóa đối xứng (Symmetric Key Encryption)
 Mã hóa đối xứng là phương pháp mã hóa mà key
mã hóa và key giải mã là như nhau.

Các vấn đề quản lý rủi ro và bảo mật 13

2. Phân loại kỹ thuật mã hoá
Mã hóa bất đối xứng (Public Key Encryption)
 Mã hóa bất đối xứng là phương pháp mã hóa mà
key mã hóa và key giải mã là khác nhau.

Các vấn đề quản lý rủi ro và bảo mật 14

2. Phân loại kỹ thuật mã hoá
Mã hóa bất đối xứng (Public Key Encryption)

 Một nhược điểm của mã hóa bất đối xứng đó là tốc

độ giải mã chậm hơn so với mã hóa đối xứng.
 Thay vào đó, sử dụng phương pháp bất đối xứng
để mã hóa chính cái key dùng trong mã hóa đối
xứng (hoặc tạo ra key đó bằng cách tổng hợp
public và private key của bên gửi và nhận).

Các vấn đề quản lý rủi ro và bảo mật 15

 2. Phân loại kỹ thuật mã hoá
Mã hóa bất đối xứng (Public Key Encryption)
Người gửi Người nhận

MH Đối xứng

MH Bất đối xứng

Các vấn đề quản lý rủi ro và bảo mật 16

3. Mã hóa đối xứng (Symmetric Key Encryption)
 Mã hóa đối xứng là phương pháp mã hóa mà key
mã hóa và key giải mã là như nhau. KE = KD

K
Plaintext E Ciphertext
Hello, À¿¾«§¶
Encryption
This
content is
confidenti …………………
Cryptosystem …………………
al
…................... …..
………………
.. Decryption
….

KD
Các vấn đề quản lý rủi ro và bảo mật 17
3. Mã hóa đối xứng (Symmetric Key Encryption)

 Vấn đề lớn nhất là làm sao để “thỏa thuận”

secret key giữa bên gửi và bên nhận, vì nếu
truyền secret key từ bên gửi sang bên nhận
mà không dùng một phương pháp bảo vệ nào
thì bên thứ ba cũng có thể dễ dàng lấy được
secret key này.

Các vấn đề quản lý rủi ro và bảo mật 18

3. Mã hóa đối xứng (Symmetric Key Encryption)

 Các kỹ thuật mã hóa đối xứng thông

dụng: DES, Triple DES, AES
 DES: Data Encryption Standard (1977)
▪ Mỗi thông điệp (message) được chia thành
những khối (block) 64 bits
▪ Khóa có 56 bits
▪ Có thể bị tấn công bằng giải thuật vét cạn khóa
(Brute-force or exhaustive key search)
▪ Demo

Các vấn đề quản lý rủi ro và bảo mật 19

3. Mã hóa đối xứng (Symmetric Key Encryption)

 Triple DES (1999):

▪ Thực hiện giải thuật DES ba lần và sử dụng các
khoá khác nhau.
▪ Mã hóa: c εk1 (Dk2 (εk1 (m)))
▪ Giải mã: m  Dk1 (εk2(Dk1 (c)))
▪ Với:
▪ c: văn bản mã hóa
▪ m: văn bản gốc
▪ εk1( ): mã hóa bằng khóa k1
▪ Dk1( ): giải mã bằng khóa k1
Các vấn đề quản lý rủi ro và bảo mật 20
3. Mã hóa đối xứng (Symmetric Key Encryption)
 AES: Advanced Encryption Standard (10/2000):
▪ AES còn gọi là Rijndael, tên đặt theo hai nhà mật
mã học thiết kế ra giải thuật là Daemen và
Rijmen
▪ Rijndael là giải thuật mã hóa theo khối. Tuy
nhiên, khác với DES, Rijndael có thể làm việc
với dữ liệu và khóa có độ dài block là 128, 192
hoặc 256 bit.

Các vấn đề quản lý rủi ro và bảo mật 21

4. Mã hóa bất đối xứng (Asymmetric cryptosystem)

 Mã hóa bất đối xứng là phương pháp mã

hóa mà key mã hóa và key giải mã là
khác nhau. KE ≠ KD
K
Plaintext E Ciphertext
Hello, À¿¾«§¶
Encryption
This
content is
confidenti …………………
Cryptosystem …………………
al
…................... …..
………………
.. Decryption
….

KD
Các vấn đề quản lý rủi ro và bảo mật 22
4. Mã hóa bất đối xứng (Asymmetric cryptosystem)
 Mã hóa đối xứng là phương pháp mã hóa mà key mã
hóa và key giải mã là khác nhau.

Các vấn đề quản lý rủi ro và bảo mật 23

4. Mã hóa bất đối xứng (Asymmetric cryptosystem)

 Kỹ thuật mã hóa bất đối xứng phổ biến: RSA

 RSA: tên được đặt theo tên 3 nhà phát minh ra
giải thuật Rivest, Shamir và Adleman
▪ Thuật toán sử dụng 2 khóa có quan hệ toán
học với nhau: khóa công khai và khóa bí mật
▪ Khóa công khai được công bố rộng rãi cho
mọi người và được dùng để mã hóa.
▪ Khóa bí mật dùng để giải mã.
▪ Demo
Các vấn đề quản lý rủi ro và bảo mật 24
4. Mã hóa bất đối xứng (Asymmetric cryptosystem)
So sánh với mã hoá đối xứng

 Kỹ thuật mã hóa đối xứng có tốc độ mã

hóa và giải mã nhanh hơn so với kỹ
thuật mã hóa bất đối xứng.
 Kỹ thuật mã hóa bất đối xứng an toàn
hơn so với kỹ thuật mã hóa đối xứng.

Các vấn đề quản lý rủi ro và bảo mật 25

4. Mã hóa bất đối xứng (Asymmetric cryptosystem)
So sánh với mã hoá đối xứng

 Trong thực tế, ta sử dụng kết hợp cả hai kỹ thuật

(hybrid scheme) mã hóa đối xứng và bất đối xứng.
 Kỹ thuật mã hóa bất đối xứng: thích hợp mã hóa
những dữ liệu nhỏ và yêu cầu bảo mật cao.
→ Mã hóa khóa bí mật
 Kỹ thuật mã hóa đối xứng: thích hợp mã hóa
những dữ liệu lớn và yêu cầu bảo mật không cao
lắm.
→ Mã hóa dữ liệu

Các vấn đề quản lý rủi ro và bảo mật 26

5. Các hàm băm bảo mật (Secure hash functions)
 Hàm băm H(x) là một hàm tính checksum mạnh
thỏa mãn các yêu cầu sau:
1) H có thể áp dụng cho các thông điệp x với các độ dài khác nhau
2) Kích thước của output h = H(x) là cố định và nhỏ
3) Tính một chiều: với một h cho trước, không thể tìm lại được x
sao cho h = H(x) (về mặt thời gian tính toán)
4) Tính chống trùng yếu: cho trước một x, không thể tìm y≠ x sao
cho H(x) = H(y)
5) Tính chống trùng mạnh: không thể tìm ra cặp x, y bất kỳ (x≠y)
sao cho H(x) = H(y), hay nói cách khác nếu H(x) = H(y) thì có thể
chắc chắn rằng x = y.

Các vấn đề quản lý rủi ro và bảo mật 27

https://technastic.com/check-md5-checksum-hash/
5. Các hàm băm bảo mật (Secure hash functions)
 Hàm băm MD5 và SHA-1 thường được sử dụng.
 MD5 (Message Digest ) được phát minh bởi Ron
Rivest, người cũng đã tham gia xây dựng RSA.
 Kích thước giá trị băm của MD5 là 128 bit.
 Tuy nhiên vào năm 1994 và 1998, một phương
pháp tấn công MD5 đã được tìm thấy và một số
thông điệp có cùng giá trị băm MD5 được chỉ ra
(vi phạm tính chống trùng mạnh).
 Tuy vậy ngày nay MD5 vẫn còn được sử dụng
phổ biến.

Các vấn đề quản lý rủi ro và bảo mật 28

5. Các hàm băm bảo mật (Secure hash functions)

 SHA-1 (Secure Hash Algorithm) được chính

phủ Mỹ chọn làm chuẩn quốc gia.
 SHA-1 có kích thước giá trị băm là 160 bit.
 Có ba phiên bản khác của SHA là SHA-256,
SHA-384, SHA-512 có kích thước giá trị
băm là 256, 384 và 512 bit.

Các vấn đề quản lý rủi ro và bảo mật 29

5. Các hàm băm bảo mật (Secure hash functions)

 Hiệu ứng lan truyền (avalanche effect): Chỉ

cần thay đổi 1 bít trong thông điệp đầu vào
thì ½ các bít của giá trị băm sẽ thay đổi theo.

 Không thể thử sai theo kiểu chosen-plainttext

→ vét cạn 2n/2 thông điệp khác nhau (bất khả
thi về thời gian)

Các vấn đề quản lý rủi ro và bảo mật 30

 6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Hạ tầng khoá công khai (Public Key Infrastructure –
PKI): xác thực danh tính.
 Quá trình tạo và kiểm tra chữ ký số sử dụng 3 thuật toán:

-Thuật toán tạo khóa bí

mật và công khai. (RA)
-Thuật toán tạo
chữ ký số bằng
khóa bí mật. (User)
-Thuật toán kiểm
tra chữ ký số bằng khóa
công khai. (VA)
Các vấn đề quản lý rủi ro và bảo mật 31
 6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Chữ ký số là thông điệp (có thể là văn bản, hình ảnh, hoặc
video...) đã được ký bằng khóa bí mật của người dùng nhằm
mục đích xác định người chủ của thông điệp đó.
 Ví dụ: Quá trình thực hiện chữ ký số và Alice và Bob:
• Alice viết một văn bản và muốn gửi cho Bob
• Alice ký lên văn bản bằng khóa bí mật → Văn bản đã ký
• Alice gửi văn bản gốc và văn bản đã ký cho Bob qua đường truyền mạng
• Bob nhận được văn bản gốc và văn bản đã ký
• Bob dùng khóa công khai của Alice để giải mã văn bản đã ký.
• Bob so sánh văn bản giải mã được và văn bản gốc, nếu giống nhau thì đây
chính là do Alice gửi, nếu saiCácthì đây không phải văn bản do Alice
vấn đề quản lý rủi ro và bảo mật 32
gửi.
6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Chứng thực số (digital certificate), hoặc chứng thực khóa
công khai (public key certificate), là một tài liệu điện tử
dùng để xác minh một khóa công khai là của ai.
 Mỗi chứng thực số bao gồm các thông tin cơ bản sau:
 Tên và URL của CA cung cấp chứng thực
 Khóa công khai
 Tên sở hữu: cá nhân, tổ chức, máy chủ
 Thời hạn sử dụng
 CA sẽ chịu trách nhiệm ký lên mỗi chứng thực số

Các vấn đề quản lý rủi ro và bảo mật 33

6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Bảo mật Internet:
 HTTP
 S-HTTP
 HTTPS
 SSL/TLS
 MIME
 S/MIME
 Bảo mật thông tin giao dịch trực tuyến – SET
 Cookies
 SSH
Các vấn đề quản lý rủi ro và bảo mật 34
 IPSec
6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Bảo mật Internet:
 HTTP (HyperText Transfer Protocol): giao thức truyền tải siêu
văn bản, là một giao thức cơ bản dùng cho World Wide Web
(www) để truyền tải dữ từ Web server đến các trình duyệt web và
ngược lại. (Port:80)
 S-HTTP (Secure Hypertext Transfer Protocol): hỗ trợ thêm các
giao thức bảo mật, dùng trên máy chủ Spyglass.
 HTTPS (HyperText Transfer Protocol Secure): giao thức HTTP
có sử dụng thêm các chứng chỉ SSL/TLS giúp mã hóa dữ liệu
truyền tải nhằm gia bảo mật giữa Web sever đến các trình duyệt
web. (Port:443) Được dùng trên máy chủ Netscape và Microsoft.

Các vấn đề quản lý rủi ro và bảo mật 35

6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Bảo mật Internet:
 SSL/TLS (Secure Sockets Layer/Transport Layer Security):
SSL là công nghệ mã hoá dữ liệu web truyền từ server qua
browser và ngược lại. TLS đang dần thay thế SSL.
 MIME (Multipurpose Internet Mail Extensions): chuẩn Internet
về định dạng thư điện tử được truyền qua giao thức SMTP, không
có các các tính năng bao mật.
 S/MIME (Secure/Multipurpose Internet Mail Extensions): giống
MIME nhưng có thể chạy thêm các giao thức mã hoá thư điện tử.

Các vấn đề quản lý rủi ro và bảo mật 36

6. Các ứng dụng của mã hoá thông
tin trong TMĐT
 Bảo mật Internet:
 Bảo mật thông tin giao dịch trực tuyến – SET: là một giao thức
được sử dụng rất thuận tiện trong các giao dịch bằng thẻ tín dụng,
và SET có một vài chức năng mà không được SSL hỗ trợ.
 Cookies: là một file tạm được tự động tạo ra trong máy tính, lưu
những thông tin liên quan đến cá nhân như tài khoản đăng nhập
để sử dụng cho lần sau.
 SSH: là một giao thức điều khiển từ xa cho phép người dùng
kiểm soát và chỉnh sửa server từ xa qua Internet.
 IPSec: một giao thức nhằm mục đích nâng cấp các cơ chế mã
hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng
bằng giao thức IP. Dùng cho VPN nhiều.
Các vấn đề quản lý rủi ro và bảo mật 37
Q&A
Review questions

Các vấn đề quản lý rủi ro và bảo mật 38