An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ:
BẢO MẬT
I. Quản lý rủi ro trong thương mại điện tử:
Việt Nam là nước đi sau trong ứng dụng Thương mại điện tử (TMĐT)
và mức độ phát triển của lĩnh vực này còn hạn chế. Tuy nhiên, Việt Nam cũng
không tránh khỏi được các rủi ro mà các nước phát triển về TMĐT đã gặp
phải. Số vụ tấn công các trang web với mục đích xấu hay cảnh báo cũng như
số vụ ăn trộm thông tin tài khoản thanh toán của cá nhân trên mạng ngày càng
gia tăng. Chính vì thế, vấn đề an toàn và bảo mật thông tin là rất quan trọng
bởi vì phần lớn các giao dịch thương mại hiện nay đều thông qua Internet.
1. Định nghĩa:
Rủi ro trong TMĐT là những tại nạn, sự cố, tai hoạ xảy ra một cách
ngẫu nhiên, khách quan ngoài ý muốn của con người, gây ra tổn thất cho các
bên tham gia quá trình giao dịch trong TMĐT.
2. Phân loại
Rủi ro trong TMĐT được phân chia thành 4 nhóm cơ bản sau:
- Nhóm rủi ro về dữ liệu: Các thông tin của khách hàng, đối tác hay đơn
đặt hàng,…bị mất do sự bất cẩn của người quản lý; các thông tin cần
bảo mật bị rò rỉ ra bên ngoài; ổ cứng bị đánh cắp,…
- Nhóm rủi ro về công nghệ: virus, hacker, trộm cắp trên mạng, tấn công
từ chối dịch vụ,…
- Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức: sơ xuất trong
việc chứng thực các thông tin về người mua và đối tác hoặc quy trình
thiếu chặt chẽ của doanh nghiệp,…
1
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp: sự thiếu chặt
chẽ của luật pháp trong TMĐT hay chưa có những luật chính thức và
cụ thể để bảo vệ thông tin cũng như quyền lợi của người tham gia.
Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi

chúng đồng thời cùng xảy đến và không thể xác định tách bạch rõ ràng được.
Nếu các rủi ro này đồng thời xảy ra thì thiệt hại đối với tổ chức có thể rất lớn
cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình
thường.
3. Ảnh hưởng của rủi ro trong TMĐT
Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền
dữ liệu, hay một động tác nhấp "chuột" vô tình đều có thể làm cho toàn bộ
dữ liệu của một thương vụ đang giao dịch bị xoá bỏ, hoặc những chương trình
và những tệp dữ liệu đang lưu trữ mà doanh nghiệp dầy công thiết kế và xây
dựng bị mất, gây thiệt hại nặng nề cho các doanh nghiệp về mặt tài chính.
Những yếu tố khách quan như máy hỏng hay thời tiết xấu, nghẽn máy
có thể làm tê liệt hoạt động của doanh nghiệp, hoặc tệ hại hơn là virus xâm
nhập phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu về khách hàng, đối tác, thị
trường được lưu giữ hay ăn cắp những thông tin tuyệt mật có thể làm mất đi
cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp.
II. Bảo vệ thông tin trong TMĐT
1. Xây dựng kế hoạch an ninh cho TMĐT
Gồm 4 giai đoạn:
- Giai đoạn 1: Đánh giá. Xác định tài sản mà doanh nghiệp có, kể cả tài
sản hữu hình và vô hình. Giá trị tài sản phải được định rõ về mặt tài
chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối
2
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài
sản. Việc đánh giá bao gồm các bước:
+ Xác định các mối đe dọa
+ Xác định các hình thức thiệt hại
- Giai đoạn 2: Lên kế hoạch. Xác định rõ ràng đe dọa nào cần phải
chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể
và người tương ứng để triển khai. Đánh giá và lựa chọn giải pháp phù

hợp.
- Giai đoạn 3: Thực hiện. Lựa chọn công nghệ đặc thù để chống đỡ các
mối nguy hại đã định hướng ở phần lập kế hoạch. Ngoài ra, các phần
mềm an ninh cũng là lựa chọn để ngăn chặn các nguy cơ.
- Giai đoạn 4: Giám sát. Đánh giá xem biện pháp nào thành công cần
phải phát huy tối đa, biện pháp nào không phù hợp cần phải thay đổi
hoặc những tài sản nào của công ty cần phải tiếp tục bảo đảm an ninh.
2. Một số biện pháp cơ bản đảm bảo an toàn cho giao dịch TMĐT.
Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là
sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có
sử dụng các thiết bị kĩ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa,
chữ kí số và chứng chỉ số.
- Kĩ thuật mã hóa thông tin
- Chữ kí số
- Chứng thư số hóa
3. Một số biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống
TMĐT
• Tường lửa
- Định nghĩa: Bức tường lửa là một phần mền hoặc phần cứng có mục
tiêu là bảo vệ mạng LAN khỏi những người xâm nhập từ bên ngoài. Nó
cho phép những người sử dụng mạng máy tính trong một tổ chức có thể
truy cập tài nguyên của mạng khác nhưng đồng thời ngăn cấm người sử
dụng trái phép từ bên ngoài truy cập vào mạng máy tính của tổ chức.
3
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Đặc điểm:
+ Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức ra
ngoài và ngược lại đều phải đi qua tường lửa
+ Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an
toàn mạng máy tính của tổ chức mới được phép đi qua.

+ Không được phép thâm nhập vào chính hệ thống này.
- Phân loại:
+ Tường lửa lọc gói
+ Cổng ứng dụng
+ Cổng mức mạch
- Nguyên lý hoạt động: Tường lửa cho phép những người sử dụng mạng
máy tính bên trong tường lửa được bảo vệ nhưng vẫn có khả năng truy
cập toàn bộ các dịch vụ bên ngoài mạng, đồng thời ngăn chặn và chỉ
cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đã kiểm
tra tên, mật khẩu của người sử dụng… Như vậy, tường lửa đóng vai trò
thiết lập một vách ngăn giữa trong và ngoài mạng máy tính của tổ chức.
Tường lửa bảo vệ mạng máy tính tránh những tổn thương do những tin
tặc, những người tò mò từ bên ngoài tấn công.
- Các loại tường lửa phổ biến hiện nay gồm: Windows XP Personal
firewall, Microsoft ISA server, Checkpoint
• Phần mềm diệt virus
Đối với virus (hay chính là các đoạn foreign code có hại), theo Cohen
trong các môi trường không bảo mật chúng ta không thể ngăn ngừa được việc
lây nhiễm. Vì vậy, chúng ta chỉ có thể hy vọng phát hiện được chúng và giới
hạn sự lây nhiễm xa hơn. Giải pháp hiệu quả nhất mà Cohen đưa ra hiện nay
là Integrity Shell. Giải pháp này sử dụng công nghệ mã hoá để phát hiện ra sự
4
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
thay đổi của thông tin. Nhờ đó phát hiện ra virus và ngăn ngừa các lây lan tiếp
theo.
Một số phần mềm diệt virus phổ biến:
- VIPRE Antivirus
- Trend Micro Titanium Antivirus +
- Avast! Pro Antivirus
- AVG Anti-Virus

- BullGuard Antivirus
Theo bảng thống kê trên ta thấy, phần mềm diệt virus tốt nhất năm 2013 là
Antivirus Plus.
• Chữ kí số, chứng thực số
- Chữ kí số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video,
mã nhận thực, hàm băm và các thiết bị bút điện tử ) nhằm mục đích
xác định người chủ của dữ liệu đó.
- Chữ kí số là một thông điệp xác thực được trao đổi giữa 2 bên và được
bảo vệ bởi một bên thứ 3. Tuy nhiên, nó không bảo vệ 2 bên với nhau.
Toàn bộ quá trình gồm 3 thuật toán:
5
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Thuật toán tạo khóa
- Thuật toán tạo chữ kí số
- Thuật toán kiểm tra chữ kí số
Kết quả điều tra năm 2012 cho thấy, 83% doanh nghiệp sử dụng phần
mềm diệt virus, 57% doanh nghiệp sử dụng tường lửa và 23% sử dụng các
biện pháp phần cứng để đảm bảo an toàn thông tin. Tỷ lệ doanh nghiệp ứng
dụng chữ ký số tương đối ổn định so với năm 2011 (23% năm 2012 so với
22% năm 2011).
6
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Ngoài ra còn có một số biện pháp cơ bản khác nhằm đảm bảo an toàn
cho TMĐT như tạo mạng riêng ảo (VPN), sử dụng password đủ mạnh, giải
pháp an ninh nguồn nhân lực, giải pháp về trang thiết bị an ninh mạng…
4. Tình huống thực tế: Khách hàng của eBay bị lừa đảo qua mạng
Vấn đề:
Ngày 17/11/2003, một số khách hàng của eBay được thông báo bằng
Email rằng tài khoản của họ trên eBay đang được cập nhật và tăng cường mức
độ an toàn. Thông báo kèm theo một đường dẫn (link) đến một trang web của

eBay tại đó khách hàng có thể đăng kí để chấp nhận dịch vụ này. Tất cả thông
tin khách hàng cần cung cấp chính là số thẻ tín dụng, số bảo hiểm xã hội,
ngày sinh, tên bí mật, mã pin ATM. Nhưng thực tế, eBay chưa bao giờ gởi
cho khách hàng thông điệp như thế và thậm chí đường link đó cũng không
7
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
phải do eBay quản lý. Kẻ lừa đảo trên mạng đã khai thác được các thông tin
nhạy cảm của các khách hàng về thẻ tín dụng, tài khoản ngân hàng và mật
khẩu,…
Giải pháp:
Tuy đây không phải là hình thức lửa đảo mới mẻ nhưng vẫn có rất
nhiều người bị dính bẫy. Chính vì thế mà Ủy ban Thương mại Liên bang
(FTC – Federal Trade Commisson) khuyến cáo:
- Tránh trả lời các thư điện tử hay thông điệp yêu cầu cung cấp thông tin
cá nhân.
- Tránh gởi các thông tin cá nhân hay tài chính dưới bất kì hình thức nào.
- Kiểm tra kĩ các thông tin tài khoản và chi tiết mua sắm bằng thẻ tín
dụng hàng tháng.
- Sử dụng và cập nhật các phần mềm diệt virus thường xuyên.
- Cẩn trọng khi mở bất kì thông điệp dữ liệu gắn kèm theo thư điện tử.
- Gởi các thông báo đến FTC về các thông điệp bị nghi ngờ.
III. Mã hóa thông tin.
1. Tổng quan về mã hóa thông tin.
1.1 Định nghĩa: Mã hóa thông tin là quá trình chuyển văn bản hay các
tài liệu gốc thành các văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi
và người nhận đều không thể đọc được.
Mã hóa được chia thành 2 giai đoạn chính:
- Mã hóa: chuyển thông tin nguyên gốc ban đầu thành các dạng thông tin
được mã hóa (gọi là bản mã).
- Giải mã: Thực hiện các biến đổi mã để thu lại thông tin nguyên gốc

như trước khi mã hóa.
Để mã hóa và giải mã cần một giá trị đặc biệt gọi là khóa.
8
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Giải mã văn bản khi không biết khóa gọi là phá mã.
1.2 Mục đích và lợi ích của mã hóa.
- Mục đích: đảm bảo an ninh thông tin khi truyền phát.
- Lợi ích:
+ Mã hóa có lợi cho việc bảo vệ và xác nhận.
+ Mã hóa cung cấp các công cụ để nhận dạng người gởi, xác nhận nội
dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và
đảm bảo bí mật.
1.3 Tính chất của mã hóa
- Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách
an toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có
được nội dung của dữ liệu gốc ban đầu. Chỉ những người được phép
mới có khả năng đọc được nội dung thông tin ban đầu.
- Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác định
được chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu. Kẻ giả mạo
không thể có khả năng để giả dạng một người khác hay nói cách khác
không thể mạo danh để gửi dữ liệu. Người nhận có khả năng kiểm tra
nguồn gốc thông tin mà họ nhận được.
- Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được
rằng dữ liệu không bị thay đổi trong quá trình truyền đi. Kẻ giả mạo
không thể có khả năng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo.
- Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận
không thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
2. Phân loại mã hóa thông tin.
- Mã hóa cổ điển
- Mã hóa đối xứng

9
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Mã hóa bất đối xứng
2.1 Mã hóa cổ điển
Xuất hiện từ rất lâu trong lịch sử, thuật toán không dùng khóa, đơn giản
và dễ hiểu.
Mã hóa cổ điển là phương pháp mà từng kí tự (hay từng nhóm kí tự)
trong Plaintext được thay thế bằng một kí tự (hay một nhóm kí tự) khác tạo ra
Ciphertext. Bên nhận chỉ việc đảo ngược lại trình tự thay thế trên Ciphertext
để có được Plaintext ban đầu.
Trong mã hoá cổ điển có 2 phương pháp nổi bật đó là:
- Mã hoá thay thế (Substitution Cipher): Là phương pháp mà từng kí tự
(hay từng nhóm kí tự) được thay thế một cách có quy luật trong toàn bộ
thông điệp bản tin bằng một kí tự (hay một nhóm kí tự) khác.
VD: I’m student  He’s handsome
- Mã hoá hoán vị (Transposition Cipher) hay còn gọi là mã hóa dịch
chuyển: các kí tự vẫn được giữ nguyên không đổi nhưng trật tự của
chúng trong bản tin thì lại được thay đổi theo một quy luật nào đó.
VD: I’m student  tneduts m’i
2.2 Mã hóa đối xứng (mã khóa bí mật)
Mã hóa đối xứng (còn gọi là mã hóa khóa bí mật) là phương pháp mã
hóa chỉ sử dụng 1 chìa khóa cho cả quá trình mã hóa và giải mã.
Người gửi mã khóa 1 thông điệp sau đó gởi thông điệp đã mã hóa và
khóa bí mật đối xứng cho người nhận.
10
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Mã hóa khóa đối xứng là phương pháp mã hóa duy nhất trước những
năm 70.
• Quá trình truyền tin sử dụng mã khóa đối xứng.
Mật mã gửi (= Mật mã nhận) (Mật mã nhận)

Người gửi Người
nhận
Diễn giải cho sơ đồ bên trên: Trong hệ thống mã hoá đối xứng, trước
khi truyền dữ liệu, 2 bên gửi và nhận phải thoả thuận về khoá dùng chung cho
quá trình mã hoá và giải mã. Sau đó, bên gửi sẽ mã hoá bản rõ (Plaintext)
bằng cách sử dụng khoá bí mật này và gửi thông điệp đã mã hoá cho bên
nhận. Bên nhận sau khi nhận được thông điệp đã mã hoá sẽ sử dụng chính
khoá bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext).
Trong quá trình này, thì thành phần quan trọng nhất cần phải được giữ
bí mật chính là khoá.
Mã hoá đối xứng có thể được phân thành 02 loại:
- Loại thứ nhất tác động trên bản rõ theo từng nhóm bits (mật mã khối
– Block Cipher). Theo đó, từng khối dữ liệu trong văn bản ban đầu
được thay thế bằng một khối dữ liệu khác có cùng độ dài. Đối với các
thuật toán ngày nay thì kích thước chung của một Block là 64 bits.
11
Thông
điệp ban
đầu
Thông điệp
đã đổi mã
InternetThông
điệp đã đổi
mã
Thông
điệp ban
đầu
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Loại thứ hai tác động lên bản rõ theo từng bit một (mật mã dòng –
Stream Cipher). Theo đó, dữ liệu của văn bản được mã hoá từng bit

một. Các thuật toán mã hoá dòng này có tốc độ nhanh hơn các thuật
toán mã hoá khối và nó thường được áp dụng khi lượng dữ liệu cần mã
hoá chưa biết trước.
Một trong những thuật toán được sử dụng phổ biến trong mã hóa đối xứng là
DES do Cơ quan an ninh liên bang Mỹ (NSA) và IBM phát triển vào thập
niên 1950. Chiều dài của DES là 56 bit.
• Ưu điểm:
- Đáp ứng yêu cầu về tính xác thực: xác định bên đối tác vì đã trao đổi
chìa khóa với họ, chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ
biết chìa khóa.
- Đáp ứng yêu cầu về tính toàn vẹn: không ai có thể thay đổi nội dung
thông điệp nếu không biết chìa khóa.
- Đáp ứng yêu cầu về tính không thể chối bỏ: bằng chứng đồng ý với nội
dung thông điệp đã kí.
- Đáp ứng tính riêng tư: không ai có thể đọc nội dung thông điệp nếu
không biết chìa khóa.
• Nhược điểm:
- Khó trao đổi khóa giữa người gởi và người nhận.
- Không kiểm tra được gian lận ở một trong hai bên.
- Chỉ phù hợp với việc trao đổi thông tin diễn ra ở 2 người, không phù
hợp với hệ thống lớn.
- Tính toàn vẹn và bí mật của thông điệp có thể bị vi phạm nếu mật mã bị
lộ trong quá trình chuyển giữa người gửi và người nhận.
- Số lượng khóa lớn do phải tạo ra các mật mã riêng cho từng người
nhận.
• Công thức tính mã hóa khóa bí mật:
K = n(n – 1)/2
Với K: số khóa trong mã hóa khóa bí mật.
12
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc

n: số người liên lạc
2.4 Mã hóa bất đối xứng (mã hóa công cộng)
Là phương pháp sử dụng 2 mã khóa trong quá trình mã hóa. Một khóa
dùng để mã hóa và một khóa dùng để giải mã 2 khóa này có quan hệ về mặt
thuật toán sao cho dữ liệu được mã hóa bằng khóa này sẽ được giải mã bằng
khóa kia.
• Quá trình truyền tin sử dụng mã khóa công khai:
Mật mã gửi (# Mật mã nhận) (Mật mã nhận)
Người gửi Người nhận
Mỗi người sử dụng có một cặp gồm 2 khóa, một khóa công khai và một
khóa bí mật
- Khóa công khai: được thông báo rộng rãi cho những người sử dụng
khác trong hệ thống và dùng để mã hóa thông điệp hoặc kiểm tra chữ
kí.
- Khóa bí mật: chỉ nơi giữ được biết và dùng để giải mã thông điệp hoặc
tạo chữ kí.
Diễn giải sơ đồ trên (quy trình):
13
Thông
điệp đã đổi
mã
Thông
điệp đã đổi
mã
Thông
điệp ban
đầu
Thông
điệp ban
đầu

Internet
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Để gởi 1 thông điệp an ninh, người gởi sử dụng mã khóa công cộng của
người nhận để mã hóa thông điệp. Người nhận khi nhận được thông điệp đã
mã hóa sẽ sử dụng mã khóa cá nhân của mình để giải mã thông điệp.
Thuật toán sử dụng phổ biến trong mã hóa bất đối xứng là RSA, được
đề xuất bởi Ron Rivest, Adi Shamir và Len Adlenman (MIT) vào năm 1977.
Ngày nay, công nghệ bảo mật và mã hóa của họ được sử dụng hầu hết ở
các công ty lớn trên TG và đặc biệt là ở các hãng sử dụng TMĐT.
• Ưu điểm:
- Khóa để mã hõa và giải mã riêng biệt nên khó bị lộ (chỉ 1 người biết
khóa bí mật)
- Không cần phải trao đổi khóa.
• Nhược điểm:
- Tốc độ xử lý rất chậm
- Việc xác thực khóa cũng tương đối khó khăn.
2.5 So sánh mã hóa đối xứng và mã hóa bất đối xứng
Mã hóa đối xứng Mã hóa bất đối xứng
Ưu điểm -Nhanh.
-Dễ bổ sung vào phần cứng.
- Đáp ứng nhu cầu về tính
xác thực, tính toàn vẹn, tính
không thể chối bỏ và tính
riêng tư.
-Dùng 2 khóa khác nhau,
không cần phải trao đổi
khóa.
-Tương đối dễ phân phát
hóa
-Hỗ trợ tính toàn vẹn (nhất

quán) và tính không từ chối
khi sử dụng chữ kí số.
Nhược điểm -2 khóa giống nhau, trao đổi
khóa rất khó khăn.
-Khó phân phát hóa.
-Không kiểm tra được gian
lận một trong hai bên.
-Chỉ phù hợp với việc trao
đổi thông tin giữa 2 người,
không phù hợp cho hệ thống
lớn.
-Số lượng khóa lớn.
-Tốc độ xử lý rất chậm.
-Thiên về tính toán.
-Việc xác thực khóa tương
đối khó khăn.
14
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
-Thông tin có thể bị lộ.
-Không hỗ trợ sử dụng chữ kí
số.
IV. Ứng dụng mã hóa trong việc bảo mật thông tin.
1. Chữ ký điện tử:
1.1Định nghĩa:
Chữ ký điện tử là một phương pháp mã hóa công cộng được sử dụng
phổ biến trong TMĐT. Sử dụng chữ kí điện tử nhằm đảm bảo tính toàn vẹn,
duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ
kí điện tử là một công cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng
xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai
khác. Chữ ký điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng

thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào
ngoài người ký ban đầu. Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một
cách dễ dàng.
Chữ kí điện tử có thể là chữ kí tự đánh từ bàn phím, một bản quét của
chữ viết tay; một âm thanh, biểu tượng; một thông điệp được mã hóa hay dấu
vân tay, giọng nói,…
1.2Cách thức hoạt động của chữ ký điện tử:
Chữ ký điện tử làm việc dựa trên hai khoá là khóa công cộng và khóa
riêng, được thực hiện qua hai giai đoạn là việc hình thành chữ ký trên tài liệu
ở phía người gửi và việc xác nhận tài liệu nhận được chính xác và nguyên vẹn
hay không ở phía người nhận. Cụ thể:
- Các văn bản được ký bằng mã hóa bí mật của người tạo ra văn bản đó.
Mã hóa bí mật được sử dụng cho một loại ngắn hơn của văn bản là
15
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
“hash” hay “message digest” chứ không sử dụng cho toàn bộ nguyên
thủy của dữ liệu. Từ đó tạo ra chữ ký điện tử.
- Tiếp theo chữ ký điện tử được các bên tham gia giao dịch kiểm tra khi
sử dụng mã hóa công cộng của người ký.
1.3Tầm quan trọng của chữ ký điện tử:
Với chữ ký số, người sử dụng phải đăng ký, vừa được đảm bảo độ an
toàn, chính xác bằng công nghệ hiện đại, vừa được xác thực bởi các tổ chức
chứng thực… Do đó, độ an toàn của chữ ký số cao hơn rất nhiều so với chữ
ký tay truyền thống.
Chính bởi những ưu việt trên, cùng với sự phát triển nhanh chóng của
môi trường giao dịch điện tử, chữ ký điện tử đã được công nhận và sử dụng
rộng rãi tại nhiều nước trên thế giới. Ngoài các nước phát triển như Mỹ, EU,
Singapore, Nhật Bản, Hàn Quốc…, chữ ký điện tử cũng đã được các nước
Trung Quốc, Ấn Độ, Brazil… công nhận và sử dụng.
2. Chứng thực điện tử (Certificate Authority- CA):

Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò
là người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân
của người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về
lai lịch của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất
quan trọng trong giao dịch điện tử.
Cơ quan chứng thực có vai trò quan trọng, bởi trong thương mại điện
tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi không quen biết
nhau nên rất cần có sự đảm bảo của người thứ 3. Hệ thống bảo mật hiện nay
đảm bảo độ an toàn rất cao, gần như là tuyệt đối, song việc thực hiện phụ
thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng tin học của các bên.
3. Phong bì số: (Digital Envelope)
16
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật
(chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này
được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người
nhận và phải được chuyển cho người nhận để người nhận dùng giải mã những
thông tin.
BẢNG PHÂN CÔNG CÔNG VIỆC TRONG NHÓM
STT Họ và Tên Công việc đảm trách Ghi chú Đánh giá
17
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
của Giảng
viên
1
Lê Văn Tiến Quản lý rủi ro trong TMĐT. Nhóm
trưởng
2
Phạm Kiều Oanh Bảo vệ thông tin trong
TMĐT.

Biện pháp bảo vệ an toàn
cho hệ thống thông tin
TMĐT (Tường lửa).
3
Bùi Thúy Mai Biện pháp bảo vệ an toàn
cho hệ thống thông tin
TMĐT (Phần mềm diệt
virus, Chứng thư số).
Ví dụ thực tế: eBay
4
Nguyễn Phạm Ngọc Hân
Mã hóa thông tin.
Ứng dụng mã hóa trong
việc bảo mật thông tin.
Thiết kế
slide + Bản
word đính
kèm
5
Lê Anh Vương
Ghi chú: Mặc dù có bảng phân công công việc cụ thể cho mỗi cá
nhân nhưng các cá nhân trong nhóm vẫn hỗ trợ nhau trong việc chia
sẻ thông tin hay tài liệu mà mình tìm kiếm được. Đồng thời, các
thành viên trong nhóm còn thảo luận để cùng nhau đưa ra những
quyết định lựa chọn thông tin cuối cùng.
18