Nghiên cứu một số kỹ thuật an toàn thông tin dùng trong rút tiền điện tử
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.16 MB, 66 trang )
1
ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
LÊ THỊ THANH VÂN
NGHIÊN CỨU MỘT SỐ KỸ THUẬT AN TOÀN
THÔNG TIN DÙNG TRONG RÚT TIỀN ĐIỆN TỬ
Chuyên ngành: Khoa học máy tính
Mã số: 60 48 01 01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Người hướng dẫn khoa học: PGS.TS TRỊNH NHẬT TIẾN
Thái Nguyên - 2015
i
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn này của tự bản thân tôi tìm hiểu, nghiên cứu dưới
sự hướng dẫn của PGS.TS Trịnh Nhật Tiến. Các chương trình thực nghiệm do chính
bản thân tôi lập trình, các kết quả là hoàn toàn trung thực. Các tài liệu tham khảo
được trích dẫn và chú thích đầy đủ.
TÁC GIẢ LUẬN VĂN
Lê Thị Thanh Vân
ii
LỜI CẢM ƠN
Tôi xin bày tỏ lời cảm ơn chân thành tới tập thể các thầy cô giáo Viện công
nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam, các thầy cô giáo
Trường Đại học Công nghệ thông tin và truyền thông - Đại học Thái Nguyên đã dạy
dỗ chúng em trong quá trình học tập chương trình cao học tại trường.
Đặc biệt em xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Trịnh Nhật
Tiến, Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình chỉ
bảo, định hướng, hướng dẫn em hoàn thiện luận văn cao học này.
Cuối cùng, em xin chân thành cảm ơn các bạn bè đồng nghiệp, gia đình và
người thân đã quan tâm, giúp đỡ và chia sẻ với em trong quá trình làm luận văn
cũng như trong quá trình học cao học.
Thái Nguyên, ngày 20 tháng 8 năm 2015
HỌC VIÊN
Lê Thị Thanh Vân
iii
MỤC LỤC
Trang
LỜI CAM ĐOAN……………………………………………………………. i
LỜI CẢM ƠN………………………………………………………………... ii
MỤC LỤC……………………………………………………………………
iii
DANH MỤC HÌNH VẼ……………………………………………………...
vi
DANH MỤC BẢNG BIỂU………………………………………………….. vi
MỞ ĐẦU …………………………………………………………………….
1
Chương 1: TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ VÀ
AN TOÀN BẢO MẬT THÔNG TIN ……………………………………….
3
1.1. TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ ……………... 3
1.1. 1. Khái niệm tiền ………………………………………………………
3
1.1.2. Khái niệm tiền điện tử ………………………………………………. 3
1.1.3. Cấu trúc, tính chất của tiền điện tử …………………………………...
4
1.1.3.1. Cấu trúc …………………………………………………………………….. 4
1.1.3.2. Tính chất của tiền điện tử …………………………………………...
5
1.1.4. Mô hình giao dịch bằng tiền điện tử ………………………………..
7
1.1.5. Giao dịch bằng tiền điện tử tại Việt Nam ………………………….. 9
1.1.5.1. Thẻ phone card ……………………………………………………...
9
1.1.5.2. Thẻ Flexicard ……………………………………………………….. 10
1.1.5.3. Thẻ ATM …………………………………………………………….
11
1.1.5.4. Yếu tố ảnh hưởng đến tiền điện tử tại Việt Nam ……………………. 11
1.2. MÃ HÓA ………………………………………………………………..
12
1.2.1. Tổng quan về mã hóa dữ liệu ……………………………………….
12
1.2.1.1. Hệ mã hóa …………………………………………………………... 12
1.2.1.2. Mã hóa và giải mã …………………………………………………..
13
1.2.2. Phân loại hệ mã hóa ………………………………………………….. 13
1.2.3. Một số thuật toán mã hóa khóa công khai ……………………………. 15
iv
1.3. CHỮ KÝ SỐ ……………………………………………………………. 15
1.3.1. Khái niệm chữ ký số …………………………………………………
15
1.3.1.1. Giới thiệu ……………………………………………………………
15
1.3.1.2. Sơ đồ chữ ký số ……………………………………………………..
16
1.3.2. Một số vấn đề liên quan đến chữ ký số …………………………….
17
1.3.2.1. Đại diện tài liệu ……………………………………………………..
17
1.3.2.2. Hàm băm ……………………………………………………………. 18
1.3.3. Một số sơ đồ ký số …………………………………………………… 18
1.3.3.1. Sơ đồ ký số RSA …………………………………………………….
18
1.3.3.2. Sơ đồ ký số Schnorr …………………………………………………
19
1.3.4. Chữ ký mù …………………………………………………………… 20
1.3.4.1. Giới thiệu về chữ ký mù …………………………………………….
20
1.3.4.2. Một số sơ đồ ký mù …………………………………………………
21
1.4. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN RÚT
TIỀN ĐIỆN TỬ …………………………………………………………….
22
1.4.1. Mạo danh chủ tài khoản …………………………………………….
22
1.4.2. Tiền giả ……………………………………………………………….
23
1.4.3. Tính riêng tư của người tiêu tiền …………………………………… 23
1.4.4. Mất “cắp” tiền điện tử ………………………………………………
24
1.4.5. Khai man giá trị đồng tiền ………………………………………….
24
1.4.6. Xâm phạm có sự kết hợp của nhân viên ngân hàng ………………. 24
Chương II: MỘT SỐ KỸ THUẬT ĐẢM BẢO AN TOÀN THÔNG TIN 26
ỨNG DỤNG TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ ………………..
2.1. KỸ THUẬT “CHỨNG MINH KHÔNG TIẾT LỘ THÔNG TIN” …….
27
2.2. KỸ THUẬT CHỮ KÝ MÙ THEO SƠ ĐỒ KÝ SỐ RSA VỚI NHIỀU
KHÓA KÝ …………………………………………………………………..
30
2.2.1. Chữ ký số “mù” theo sơ đồ ký RSA ………………………………..
30
2.2.2. Ứng dụng của chữ ký mù RSA trong giai đoạn rút tiền ………….
32
2.2.2.1. Kiểm tra tính hợp pháp của đồng tiền ………………………………
33
v
2.2.2.2. Đảm bảo tính riêng tư ………………………………………………. 33
2.2.2.3. Bảo vệ đồng tiền …………………………………………………….
36
2.2.2.4. Phòng tránh khai man giá trị đồng tiền …………………………….. 38
2.3. KỸ THUẬT CHIA SẺ BÍ MẬT ………………………………………... 41
2.3.1. Chia sẻ khóa bí mật K ……………………………………………….
43
2.3.2. Khôi phục khóa bí mật K …………………………………………… 44
Chương 3: CÀI ĐẶT THỬ NGHIỆM ………………………………………. 45
3.1. ỨNG DỤNG CHỮ KÝ MÙ RSA TRONG GIAI ĐOẠN RÚT TIỀN 46
ĐIỆN TỬ …………………………………………………………………….
3.1.1. Sinh khóa ……………………………………………………………..
47
3.1.2. Ký “mù” lên đồng tiền ………………………………………………. 47
3.1.3. Xóa mù ……………………………………………………………….. 47
3.1.4. Kiểm tra chữ kỹ ……………………………………………………...
48
3.2. CHỨNG MINH KHÔNG TIẾT LỘ THÔNG TIN TRONG XÁC 48
THỰC CHỦ TÀI KHOẢN ………………………………………………….
3.2.1. Khởi tạo các thông số ban đầu ……………………………………… 48
3.2.2. Chủ tài khoản gửi yêu cầu xác minh ……………………………….. 48
3.2.3. Ngân hàng gửi thử thách ……………………………………………. 48
3.2.4. Chủ tài khoản gửi chứng minh ……………………………………... 48
3.2.5. Ngân hàng kiểm tra tính hợp pháp của chủ tài khoản ..…………... 49
3.3. CHƯƠNG TRÌNH THỬ NGHIỆM …………………………………….
49
3.3.1. Chương trình thử nghiệm chữ ký mù RSA ………………………..
49
3.3.2. Chương trình “Chứng minh không tiết lộ thông tin” trong xác
thực chủ tài khoản …………………………………………………………
52
3.3.3. Đánh giá ………………………………………………………….......
56
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI …………………………
57
TÀI LIỆU THAM KHẢO …………………………………………………...
58
vi
DANH MỤC HÌNH VẼ
Trang
Hình 1.1 : Mô hình giao dịch tiền điện tử……………………………………. 7
Hình 1.2: Sơ đồ mã hóa ……………………………………………………... 13
Hình 1.3: Sơ đồ mã hóa khóa đối xứng ……………………………………...
14
Hình 1.4: Sơ đồ mã hóa khóa bí mật ……………………………………......
14
Hình 1.5: Sơ đồ tổng quát về quá trình ký mù ……………………………..... 20
Hình 2.1: Khởi tạo tài khoản người dùng …………………………………… 28
Hình 2.2: Sơ đồ quá trình xác thực tính hợp pháp của chủ tài khoản………..
30
Hình 2.3: Ứng dụng chữ ký mù trong giai đoạn rút tiền điện tử …………….
32
Hình 2.4: Sơ đồ chia sẻ bí mật khóa ký ……………………………………..
41
Hình 3.1: Sơ đồ tổng quan giao dịch điện tử ………………………………..
45
Hình 3.2: Sơ đồ luồng dữ liệu khi ký mù lên đồng tiền …………………….
46
Hình 3.3: Đồng tiền ………………………………………………………….
49
Hình 3.4: Thực hiện ký mù lên đồng tiền …………………………………… 50
Hình 3.5: Đồng tiền đã làm mù và chữ ký mù của ngân hàng trên đồng tiền..
50
Hình 3.6: Thực hiện xóa mù cho đồng tiền ………………………………….
51
Hình 3.7: Chữ ký trên đồng tiền của ngân hàng …………………………….. 51
Hình 3.8a: Kiểm tra chữ ký - chữ ký đúng: tiền thật ………………………... 52
Hình 3.8b: Kiểm tra chữ ký - chữ ký sai: tiền “giả” ………………………… 52
Hình 3.9: Khởi tạo các thông số ban đầu ……………………………………. 53
Hình 3.10: Chủ tài khoản gửi yêu cầu xác minh..……………………………
53
Hình 3.11: Giá trị y được gửi lại cho ngân hàng …………………………….
54
Hình 3.12: Ngân hàng gửi thử thách ….……………………………………. 54
Hình 3.13: Giá trị thử thách r1, r2 ……………………………………………. 55
Hình 3.14: Xác thực đúng chủ tài khoản - tiếp tục giao dịch ………………..
55
vii
DANH MỤC BẢNG BIỂU
Trang
Bảng 2.1: Các bước kiểm tra tính hợp pháp của đồng tiền…………………… 31
Bảng 2.2: Các bước ký mù lên đồng tiền sử dụng nhiều khóa ký ……………
39
Bảng 3.1: Những thông số cần có của chủ tài khoản và ngân hàng ………….. 53
1
MỞ ĐẦU
Trong thời đại công nghệ thông tin và Internet phát triển như hiện nay, giao
dịch điện tử đã trở nên phổ biến. Người ta có thể sử dụng tiền điện tử để thanh toán
cho các giao dịch điện tử này. Tiền điện tử là phương tiện của thanh toán điện
tử được bảo mật bằng chữ ký điện tử, và cũng như tiền giấy nó có chức năng là
phương tiện trao đổi và tích lũy giá trị. Nếu như giá trị của tiền giấy được đảm bảo
bởi chính phủ phát hành thì đối với tiền điện tử, giá trị của nó được tổ chức phát
hành đảm bảo bằng việc cam kết sẽ chuyển đổi tiền điện tử sang tiền giấy theo yêu
cầu của người sở hữu.
Quá trình dùng tiền điện tử có sự tham gia của Ngân hàng, người trả tiền,
người được trả tiền và chia làm ba giai đoạn:
Giai đoạn 1: Người tiêu tiền rút tiền điện tử từ ngân hàng
Giai đoạn 2: Người tiêu tiền thanh toán tiền điện tử (tiêu tiền) cho
bên người được trả tiền
Giai đoạn 3: Người được trả tiền gửi tiền điện tử vào ngân hàng
Tiền điện tử mang lại lợi ích không chỉ cho phía người dùng mà còn cho cả
phía ngân hàng cũng như phía nhà cung cấp. Tiền điện tử làm tăng tốc độ cũng như
hiệu quả của các phiên giao dịch. Tuy nhiên để tiền điện tử thực sự trở thành một
phương thức thanh toán hữu hiệu, các nhà công nghệ, các nhà phát triển và các
chuyên gia an toàn thông tin còn đứng trước nhiều thách thức như: yêu cầu rút tiền
có thể bị mạo danh, sửa đổi. Khi đó đòi hỏi ngân hàng phải thẩm định xem yêu cầu
rút tiền đó có đúng không (đúng tài khoản, đúng số tiền, đúng chủ tài khoản). Và
đặc biệt khi “tiêu tiền”, làm thế nào có thể ẩn danh người tiêu tiền với tiền vì đây là
tiền điện tử chứ không phải là tiền giấy. Đặc biệt, làm thế nào người tiêu tiền không
thể tiêu một đồng tiền nhiều lần, hay khai man giá trị của đồng tiền cũng như trong
quá trình chuyển tiền từ người này sang người khác thì tiền được “an toàn”, …
Từ những nhận định trên và sự gợi ý của giáo viên hướng dẫn, tôi quyết định
chọn đề tài: “Nghiên cứu một số kỹ thuật an toàn thông tin dùng trong rút tiền
điện tử”
2
Nội dung chính của luận văn gồm có ba chương
Chương 1: Tổng quan về giao dịch bằng tiền điện tử và an toàn bảo mật
thông tin
Trong chương này luận văn trình bày về tiền điện tử, giao dịch bằng tiền điện
tử, nguy cơ mất an toàn thông tin khi người dùng rút tiền điện tử từ ngân hàng và
kiến thức cơ bản về mã hóa, chữ ký số, chia sẻ bí mật.
Chương 2: Một số kỹ thuật đảm bảo an toàn thông tin ứng dụng trong giai
đoạn rút tiền điện tử
Nội dung chương 2 trình bày về một số kỹ thuật để đảm bảo an toàn bảo mật
thông tin trong giai đoạn rút tiền điện tử từ tài khoản trong ngân hàng của
người dùng như: chữ ký mù, mã hóa, chia sẻ bí mật…
Chương 3: Cài đặt thử nghiệm
Toàn chương 3 trình bày phương pháp chữ ký “mù” trong ký xác thực lên
đồng tiền và chứng minh không tiết lộ thông tin trong xác thực chủ tài khoản khi rút
tiền điện tử từ ngân hàng và xây dựng chương trình thử nghiệm. Chương trình thử
nghiệm được viết bằng ngôn ngữ lập trình C#.
3
Chương I:
TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ VÀ AN TOÀN
BẢO MẬT THÔNG TIN
1.1. TỔNG QUAN VỀ GIAO DỊCH BẰNG TIỀN ĐIỆN TỬ.
1.1.1. Khái niệm tiền.
Tiền là vật ngang giá chung có tính thanh khoản cao nhất dùng để trao đổi
lấy hàng hóa và dịch vụ nhằm thỏa mãn bản thân và mang tính dễ thu nhận (nghĩa là
mọi người đều sẵn sàng chấp nhận sử dụng) và thường được Nhà nước phát hành,
bảo đảm giá trị bởi các tài sản khác như vàng, kim loại quý, trái phiếu, ngoại tệ...
Tiền là một chuẩn mực chung để có thể so sánh giá trị của các hàng hóa và dịch vụ.
Thông qua việc chứng thực các giá trị này dưới dạng của một vật cụ thể (thí dụ
như tiền giấy hay tiền kim loại) hay dưới dạng văn bản (dữ liệu được ghi nhớ của
một tài khoản) mà hình thành một phương tiện thanh toán được một cộng đồng
công nhận trong một vùng phổ biến nhất định. Một phương tiện thanh toán trên
nguyên tắc là dùng để trả nợ. Khi là một phương tiện thanh toán tiền là phương tiện
trao đổi chuyển tiếp vì hàng hóa hay dịch vụ không thể trao đổi trực tiếp cho
nhau được.
Người ta cũng có thể nhìn tiền như là vật môi giới, biến việc trao đổi trực tiếp
hàng hóa và dịch vụ, thường là một trao đổi phải mất nhiều công sức tìm kiếm,
thành một sự trao đổi có 2 bậc.
1.1.2. Khái niệm tiền điện tử.
Tiền điện tử (E-money, E-currency, Internet money, Digital money, Digital
cash) là thuật từ vẫn còn chưa được định nghĩa đầy đủ. Tuy nhiên có thể hiểu Tiền
điện tử là loại tiền trao đổi theo phương pháp “điện tử”, liên quan đến mạng máy
tính và những hệ thống chứa giá trị ở dạng số (Digital stored value Systems).
4
Tiền điện tử cho phép người dùng có thể thanh toán khi mua hàng, hay sử
dụng các dịch vụ, nhờ truyền đi các “dãy số” từ máy tính (hay thiết bị lưu trữ như
Smart Card) này tới máy tính khác (Smart Card).
Cũng như dãy số (Serial) trên tiền giấy, dãy số của tiền điện tử là duy nhất.
Mỗi "đồng tiền điện tử” được phát hành bởi một tổ chức (ngân hàng) và biểu diễn
một lượng tiền thật nào đó.
Tiền điện tử có loại ẩn danh, có loại định danh .
Tiền ẩn danh không tiết lộ thông tin định danh của người sử dụng. Tính ẩn
danh của tiền điện tử tương tự như tiền mặt thông thường. Tiền điện tử ẩn danh
được rút từ một tài khoản, có thể được tiêu xài hay chuyển cho người khác mà
không để lại dấu vết.
Tiền điện tử định danh tiết lộ thông tin định danh của người dùng. Nó tương tự
như thẻ tín dụng, cho phép ngân hàng lưu dấu vết của tiền khi luân chuyển.
Mỗi loại tiền trên lại chia thành 2 dạng: trực tuyến (online) và không trực
tuyến (offline).
Trực tuyến: nghĩa là cần phải tương tác với phía thứ ba để kiểm soát giao dịch.
Không trực tuyến: nghĩa là có thể kiểm soát được giao dịch, mà không cần
liên quan trực tiếp đến phía thứ ba (ngân hàng).
1.1.3. Cấu trúc, tính chất của tiền điện tử.
1.1.3.1. Cấu trúc.
Với mỗi hệ thống thanh toán điện tử, tiền điện tử có cấu trúc và định dạng
khác nhau nhưng đều bao gồm các thông tin chính như sau:
* Số sê-ri của đồng tiền:
Mỗi đồng tiền điện tử có một số sê-ri duy nhất. Tuy nhiên, khác với tiền
mặt, số sê-ri trên tiền điện tử thường là một dãy số được sinh ngẫu nhiên. Điều
này có liên quan tới tính ẩn danh của người sử dụng.
* Giá trị của đồng tiền:
Mỗi đồng tiền điện tử sẽ có giá trị tương đương với một lượng tiền mặt
nào đó. Trong tiền mặt thông thường, mỗi tờ tiền có một giá trị nhất định
5
(5.000 đồng, 100.000 đồng, …). Với tiền điện tử, giá trị này có thể là một con số
bất kỳ (30.000 đồng, 400.000 đồng,…).
* Hạn định của đồng tiền:
Để đảm bảo tính an toàn của đồng tiền điện tử và tính hiệu quả của hệ
thống sử dụng tiền điện tử, các hệ thống này thường giới hạn ngày hết hạn của
đồng tiền.
* Các thông tin khác:
Đây là các thông tin cần thêm nhằm phục vụ cho việc đảm bảo an toàn và
tin cậy của đồng tiền điện tử, ngăn chặn việc giả mạo tiền và phát hiện các vi
phạm (nếu có). Trong nhiều hệ thống, các thông tin này giúp truy vết định danh
người sử dụng có hành vi gian lận trong thanh toán tiền điện tử.
Các thông tin trên tiền điện tử được ngân hàng ký bằng khóa bí mật của
mình. Và người sử dụng nào cũng có thể kiểm tra tính hợp lệ của đồng tiền bằng
cách sử dụng khóa công khai của ngân hàng để kiểm tra.
1.1.3.2. Tính chất của tiền điện tử.
a. Tính an toàn (Security)
* Đảm bảo đồng tiền điện tử không bị sao chép, không bị sử dụng lại.
* Khả năng giả mạo đồng tiền (forgery):
Đối với tiền giấy, có giả mạo tiền hay làm giả đồng tiền. Tương tự tiền giấy,
khi giao dịch tiền điện tử, thường gặp trong hệ thống thanh toán là sự giả mạo. Có
hai loại giả mạo đối với tiền điện tử.
+ Giả mạo đồng tiền: tạo ra đồng tiền giả giống như thật, nhưng không có xác
nhận rút tiền của ngân hàng.
+ Tiêu một đồng tiền nhiều lần: là sử dụng cùng một đồng tiền nhiều lần (thuật
ngữ tương đương như double spending, hay multiple spending, hay repeat
spending)
6
b. Tính xác thực
Do luôn có sự giả mạo, nên ta cần phải xác lập được các mức khác nhau về
cách đánh giá tính xác thực.
+ Nhận dạng người dùng: Người dùng cần phải biết mình đang giao dịch
với ai.
+ Xác thực tính toàn vẹn thông điệp: đảm bảo bản copy của thông điệp hoàn
toàn giống bản ban đầu.
c. Tính riêng tư (Privacy)
Chưa thể định nghĩa một cách rõ ràng tính chất này của Tiền điện tử. Đối với
một số người, tính riêng tư có nghĩa là sự bảo vệ chống lại “eavesdropping”.
Đối với một số người khác như David Chaum, “tính riêng tư” có nghĩa là
trong quá trình thanh toán, người trả tiền phải được ẩn danh, không để lại dấu vết,
ngân hàng không nói được tiền giao dịch là của ai.
Tính chất này nhằm bảo vệ người dùng, khó có thể truy vết, chấp nối mối
quan hệ giữa người dùng với các giao dịch hay chi tiêu mà người đó thực hiện. Tính
chất này cũng có thể thấy rõ trong các giao dịch bằng tiền mặt. Sau khi thanh toán,
việc chứng minh người nào đã sở hữu số tiền đó trước đây là rất khó.
d. Tính độc lập (Independence)
Tính chất này có nghĩa là sự an toàn của Tiền điện tử không phụ thuộc vào vị
trí địa lý. Tiền có thể được chuyển qua mạng máy tính hoặc lưu trữ vào các thiết bị
nhớ khác nhau.
e. Tính chuyển nhượng được (Transferability)
Người dùng Tiền điện tử có thể chuyển giao quyền sở hữu đồng tiền điện tử
cho nhau. Tính chuyển nhượng được là một tính chất rất quan trọng cho việc tiêu
tiền điện tử, thực sự giống với tiêu tiền mặt thông thường.
Tuy vậy, có một số vấn đề nảy sinh mà hệ thống vẫn cần phải giải quyết:
- Kích thước dữ liệu tăng lên sau mỗi lần chuyển nhượng. Vì vậy, cần giới hạn
số lần chuyển nhượng tối đa cho phép.
7
- Phát hiện giả mạo và tiêu một đồng tiền nhiều lần có thể quá trễ, khi đồng
tiền đã được chuyển nhượng nhiều lần.
- Người dùng có thể nhận ra đồng tiền của mình, nếu nó lại xuất hiện trong
một lần giao dịch khác.
f. Tính phân chia được (Divisibility)
Người dùng có thể phân chia đồng tiền của mình thành những mảnh có giá trị
nhỏ hơn, với điều kiện tổng giá trị các mảnh nhỏ bằng giá trị đồng tiền ban đầu.
Tiền điện tử thực chất là một dãy số bị mã hóa, nên không phải hệ thống nào cũng
thực hiện được việc chia dãy số này thành các đồng tiền có giá trị nhỏ hơn.
1.1.4. Mô hình giao dịch bằng tiền điện tử.
Trong thời đại công nghệ thông tin và Internet phát triển như hiện nay, giao
dịch điện tử đã trở nên phổ biến. Người ta có thể sử dụng tiền điện tử để thanh toán
cho những giao dịch này. Tiền điện tử cũng như tiền giấy nó có chức năng là
phương tiện trao đổi và tích lũy giá trị. Nếu như tiền giấy được đảm bảo và phát
hành bởi Nhà nước thì đối với tiền điện tử, giá trị của nó được tổ chức phát hành
đảm bảo bằng việc cam kết sẽ chuyển đổi tiền điện tử sang tiền mặt theo yêu cầu
của người sở hữu.
Tiền điện tử được “tiêu” theo mô hình sau:
Ngân hàng
Gửi tiền
Rút tiền
Người A
Thanh toán
Người B
Hình 1.1 : Mô hình giao dịch tiền điện tử
8
Trong mô hình trên, quá trình dùng tiền điện tử có sự tham gia của Ngân hàng,
người trả tiền, người được trả tiền và chia làm ba giai đoạn:
Giai đoạn 1: Người tiêu tiền rút tiền điện tử từ ngân hàng
Giai đoạn 2: Người tiêu tiền thanh toán tiền điện tử (tiêu tiền) cho bên người
được trả tiền
Giai đoạn 3: Người được trả tiền gửi tiền điện tử vào ngân hàng.
Khác biệt lớn nhất giữa thanh toán điện tử và thanh toán truyền thống là
thông qua các phương tiện điện tử, loại bỏ hầu hết việc giao nhận giấy tờ và việc ký
truyền thống thay vào đó là các phương thức xác thực mới.
Dùng phương pháp mới để xác nhận đúng người có quyền ra lệnh thanh toán
mà không cần tiếp xúc trực tiếp. Lợi ích lớn nhất là sự tiết kiệm chi phí và tạo điều
kiện thuận lợi cho các bên giao dịch. Các giao dịch qua kênh điện tử có chi phí vận
hành rất thấp.
Tốc độ giao dịch điện tử nhanh hơn rất nhiều so với phương pháp giao dịch
truyền thống, chỉ bằng một số thao tác trên internet, mobile hay qua hệ thống thẻ
trong một vài phút thì giao dịch đã thành công. Với thanh toán điện tử, các bên giao
dịch có thể ở khá xa nhau, không bị giới hạn về không gian địa lý. Với người tiêu
dùng, họ có thể ngồi ở nhà đặt hàng, mua sắm, thực hiện các giao dịch thương mại.
Đặc biệt, việc không phải đem theo nhiều tiền mặt bên người sẽ giảm rủi ro về mất
cắp, tiền giả, tăng độ an toàn. Đặc biệt sẽ giảm thiểu việc thiếu minh bạch trong các
giao dịch.
Bên cạnh những lợi ích to lớn như trên, giao dịch điện tử hay giao dịch bằng
tiền điện tử còn phải đối mặt với những vấn đề sau:
- Điều kiện cơ sở vật chất ban đầu cũng như nhận thức của người dân về vấn
đề giao dịch điện tử còn hạn chế.
- Lo ngại về sự an toàn trong giao dịch điện tử: lừa đảo, thiếu chính xác,
mất cắp, giả mạo, …
Trong ba giai đoạn giao dịch điện tử, giai đoạn nào cũng ẩn chứa những nguy
cơ mất an toàn như: người dùng tiêu gian giá trị đồng tiền, tiêu một đồng tiền nhiều
9
lần (vì là tiền điện tử nên việc sao chép rất đơn giản); Giả mạo người dùng để “lấy”
tiền từ ngân hàng, nhân viên ngân hàng “thông gian” cùng người dùng để khai man
giá trị đồng tiền, ….Với những nguy cơ này, đòi hỏi các bên giao dịch, đặc biệt là
các ngân hàng, tổ chức giao dịch phải có các chính sách bảo mật tốt nhất có thể.
1.1.5. Giao dịch bằng tiền điện tử tại Việt Nam.
Cùng với sự phát triển chung của thế giới, trong những năm gần đây, số lượng
thuê bao Internet của Việt Nam tăng nhanh. Số thuê bao Internet đã chiếm trên 30%
dân số Việt Nam. Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và
website giới thiệu, quảng bá thương hiệu cũng như giao dịch lên đến hàng triệu tên
miền .vn cũng như tên miền thương mại. Có rất nhiều doanh nghiệp đã ứng dụng
thanh toán trực tuyến vào công việc kinh doanh, giao dịch. Nhiều ngân hàng như
Vietcombank, Vietinbank, BIDV, HSBC, Agribank… đã mở thêm dịch vụ “Ngân
hàng điện tử” cho phép người dùng chuyển khoản trực tuyến trong cùng ngân hàng
hoặc với ngân hàng khác, thanh toán trực tuyến cước di động trả sau, tiền điện, tiền
nước hay thanh toán trực tuyến bằng thẻ được chấp nhận với các công ty, doanh
nghiệp đã đăng ký với ngân hàng đó.
1.1.5.1. Thẻ Phone card
Hệ thống tiền điện tử đầu tiên được triển khai đưa vào sử dụng ở Việt Nam là
thẻ điện thoại công cộng. Xuất hiện từ những năm 90 với tộc độ phát triển mạnh mẽ
nó đã được sử dụng khá rộng rãi trước trào lưu sử dụng điện thoại di động. Ở các
thành phố hoặc các trung tâm một hệ thống các trạm điện thoại công cộng được
VNPT Việt Nam đầu tư lắp đặt. Đây cũng chính là hình thức đơn giản nhất của tiền
điện tử.
Người sử dụng mua thẻ ở các đại lý, sau đó sử dụng thẻ bằng cách cắm thẻ
vào thiết bị đọc thẻ gắn liền với điện thoại, khi hết tiền trong thẻ, người sử dụng
phải mua thẻ mới nếu có nhu cầu sử dụng tiếp. Đây là một trong những hạn chế lớn
nhất của thẻ điện thoại dùng chíp nhớ vì nó không có khả năng tái sử dụng (nạp
thêm tiền vào thẻ), mặc dù vậy khi ra đời nó nhanh chóng được xã hội đón nhận.
10
Tuy nhiên sau sau một thời gian ngắn thì hệ thống này ở Việt Nam gần như đã tê
liệt do không còn người sử dụng. Chỉ còn lại một số ít tại các thành phố lớn hoặc ở
các trung tâm dịch vụ chủ yếu phục vụ khách nước ngoài. Và người dân thì chuyển
qua sử dụng thiết bị di động vì mức cước và thiết bị đầu cuối cũng như các sản
phẩm gia tăng là vô cùng hấp dẫn.
1.1.5.2. Thẻ Flexicard
Ngày 13 tháng 10 năm 2009, PG Bank (Ngân hàng dầu khí) cùng với công ty
mẹ của mình là Petrolimex đã phát hành loại hình thẻ mới là Flexicard với nhiều
tính năng tiện dụng và hiện đại như: Prepaid (trả trước) và Debit (ghi nợ) được sử
dụng chủ yếu trong thanh toán, đặc biệt là việc thanh toán xăng dầu của các khách
hàng cá nhân. Đây được đánh giá là một trong những bước đi đầu tiên về việc ứng
dụng tiền điện tử vào thực tế tại Việt Nam.
FlexiCard trả trước (prepaid): Là phương tiện thanh toán không dùng tiền
mặt dành cho Chủ thẻ để thanh toán hàng hoá dịch vụ tại nhà hàng, siêu thị, đặc biệt
là thanh toán xăng dầu tại hơn 2.000 cửa hàng xăng dầu của Petrolimex trên toàn
quốc. Chủ thẻ hoàn toàn có thể kiểm soát được kế hoạch chi tiêu bởi vì tính năng trả
trước của Flexicard phát hành dựa trên cơ sở số tiền mà chủ thẻ đã mua hay nạp vào
thẻ. FlexiCard trả trước gồm hai loại:
* FlexiCard trả trước vô danh có thể mua ngay tại cửa hàng xăng dầu, điểm
chấp nhận thẻ của PGBank mà không cần đăng ký thông tin, tuy nhiên thẻ vô danh
không được nạp tiền vào thẻ.
* FlexiCard trả trước định danh khách hàng không cần mở tài khoản tại ngân
hàng nhưng phải đăng ký thông tin và sẽ được nạp tiền vào thẻ cũng như tham gia
các chương trình khuyến mại khi thanh toán xăng dầu tại tất cả các cửa hàng xăng
dầu của Petrolimex.
FlexiCard ghi nợ nội địa (debit): Là phương tiện thanh toán không dùng tiền
mặt tiện lợi và an toàn do PGBank phát hành trên cơ sở tài khoản tiền gửi không kỳ
hạn của khách hàng mở tại ngân hàng. Flexicard tích hợp công nghệ thẻ kép (thẻ từ
và thẻ chíp), Flexicard ghi nợ cho phép chủ thẻ thực hiện rất nhiều tiện ích như rút
11
tiền mặt tại ATM của PGBank và hệ thống ATM trong liên minh Banknetvn trên
toàn quốc; Nhận lương, thu nhập qua tài khoản thẻ Flexicard ;Thanh toán hàng hóa
dịch vụ tại hàng nghìn đơn vị chấp nhận thẻ tại các nhà hàng, khách sạn, siêu thị,
rạp chiếu phim, các điểm vui chơi giải trí…; Thanh toán chi phí mua xăng dầu tại
hơn 2.000 điểm phân phối xăng dầu của Petrolimex trên toàn quốc; Vấn tin số dư
tài khoản; Chuyển khoản dễ dàng và đơn giản từ tài khoản thẻ ghi nợ sang tài khoản
thẻ ghi nợ; Từ tài khoản thẻ ghi nợ sang tài khoản thẻ trả trước; In sao kê giao
dịch…
1.1.5.3. Thẻ ATM
Hiện nay, ở Việt Nam thẻ ATM là loại thẻ được người dân sử dụng nhiều nhất
do nhiều ngân hàng phát hành. Có trên 10.000 máy ATM, hơn 36.000 thiết bị chấp
nhận thẻ được lắp đặt và trên 22 triệu thẻ ngân hàng được phát hành…Tuy nhiên
trên thực tế, đa số gười dân chỉ sử dụng thẻ ATM để rút tiền, còn việc thanh toán
điện tử là rất hạn chế. Bên cạnh việc sử dụng thẻ ngân hàng, hiện nay đang đẩy
mạnh việc sử dụng các phương tiện thanh toán không dùng tiền mặt hiện đại khác
như Internet Banking, Mobile Banking, ghi nợ trực tiếp từ tài khoản…Nhiều cơ
quan, nhà máy, công ty…. đã tiến hành trả lương cho người lao động qua thẻ ATM.
Trong giai đoạn các thiết bị công nghệ hiện đại phát triển như hiện nay cùng
với dịch vụ của các ngân hàng là tương đương nhau là môi trường thuận lợi cho tiền
điện tử phát triển ở Việt Nam hiện nay. Một số doanh nghiệp đã nghiên cứu và đưa
ra thị trường thẻ thanh toán đa mục đích như để chơi game trực tuyến, sử dụng
internet, mua hàng trực tuyến.
Tuy nhiên với thói quen sử dụng tiền mặt của người dân, tính thuận tiện trong
thanh toán đối với các giao dịch trực tuyến hàng ngày chưa tốt nên lợi ích của tiền
điện tử mang lại đối với người dân chưa đủ lớn.
1.1.5.4. Yếu tố ảnh hưởng đến tiền điện tử tại Việt Nam
- Cơ sở hạ tầng chưa phát triển đồng đều, dẫn đến trường hợp giao dịch điện
tử nhưng thanh toán trực tiếp, do các điểm thanh toán quá ít, dịch vụ đi kèm còn
12
nhiều hạn chế. Chưa nâng cấp kịp thời và thường xuyên cả về an toàn bảo mật cũng
như nghiệp vụ.
- Thói quen tiêu tiền mặt của người dân cũng là một yếu tố làm giảm tốc độ
phát triển của tiền điện tử. Bên cạnh đó các tổ chức sử dụng tiền điện tử chưa phổ
biến rộng rãi đến người dân.
- Tính bảo mật, riêng tư còn hạn chế do phụ thuộc phần lớn vào hệ thống công
nghệ thông tin, do kinh nghiệm quản lý, năng lực triển khai hệ thống tiền điện tử
còn nhỏ lẻ, chưa đồng đều.
- Pháp lý đối với vấn đề này chưa bám sát với thực tế. Việc phòng chống tội
phạm công nghệ cao cần sự phối hợp không chỉ của nhiều ngành mà còn của nhiều
quốc gia khác nhau.
1.2. MÃ HÓA
1.2.1.Tổng quan về mã hóa dữ liệu
Để đảm bảo An toàn thông tin lưu trữ trong máy tính (giữ gìn thông tin cố
định) hay đảm bảo An toàn thông tin trên đường truyền tin (trên mạng máy tính),
người ta phải “che giấu” các thông tin này.
“Che” thông tin (dữ liệu) hay “mã hóa” thông tin là thay đổi hình dạng thông
tin gốc, và người khác “khó” nhận ra.
“Giấu” thông tin (dữ liệu) là cất giấu thông tin trong bản tin khác, và người
khác cũng “khó” nhận ra.
Vậy mã hóa là phương pháp biến đổi thông tin (phim, ảnh, văn bản, …) từ
dạng bình thường sang dạng thông tin “khó” có thể hiểu được, nếu không có
phương tiện giải mã. Giải mã là chuyển thông tin đã được mã hóa về dạng thông tin
ban đầu (thông tin gốc), đây là quá trình ngược của mã hóa.
1.2.1.1. Hệ mã hóa
Việc mã hóa phải theo quy tắc nhất định, quy tắc đó gọi là Hệ mã hóa. Hệ mã
hóa được định nghĩa là bộ năm thành phần P, C, K, E, D, trong đó:
P là tập hữu hạn các ký tự bản rõ
13
C là tập hữu hạn các ký tự bản mã
K là tập hữu hạn các khóa
E là tập các ánh xạ từ P vào C được gọi là hàm lập mã
D là tập các ánh xạ từ C vào P được gọi là hàm giải mã.
Với mỗi khóa lập mã ke K, có hàm lập mã eke E, eke: P C
Với mỗi khóa giải mã kd K, có hàm giải mã dkd D, dkd: C P
sao cho dkd(eke(x)) = x, x P
Ở đây x được gọi là bản rõ, eke(x) được gọi là bản mã.
1.2.1.2. Mã hóa và giải mã
Bản rõ x
Mã
hóa
Bản mã eke(x)
Bản mã eke(x)
Bản mã eke(x)
Giải
Bản rõ dkd(eke(x))
mã
Người nhận N, có khóa kd
Người gửi G, có khóa ke
Tin tặc có thể lấy “trộm” bản mã eke(x)
Hình 1.2 : Sơ đồ mã hóa
Người gửi G muốn gửi bản tin x cho người nhận N. Để đảm bảo bí mật, G mã
hóa bản tin x bằng khóa lập mã ke, thu được bản mã eke(x) và gửi cho N bản này.
Trên đường truyền, bản tin eke(x) có thể bị trộm, nhưng cũng “khó” hiểu được
bản tin gốc x nếu không có khóa giải mã kd.
Khi nhận được bản mã eke(x) mà G gửi cho, N tiến hành giải mã bằng khóa kd,
thu được bản tin gốc dkd(eke(x)) = x
1.2.2. Phân loại hệ mã hóa
Có hai loại mã hóa chính: Mã hóa khóa đối xứng và mã hóa khóa công khai
Hệ mã hóa khóa đối xứng:
Là hệ mã hóa khóa bí mật vì phải giữ bí mật cả hai khóa. Hệ mã này có đặc
điểm nếu biết được khóa lập mã thì “dễ” tính được khóa giải mã và ngược lại. Vì
vậy phải giữ bí mật cả hai khóa.
14
Trước khi dùng hệ mã hóa khóa đối xứng, người gửi và người nhận phải thỏa
thuận thuật toán mã hóa và khóa chung (khóa lập mã, khóa giải mã). Khóa phải
tuyệt đối giữ bí mật.
Khóa K
Bản rõ
Mã hóa
Khóa K
Bản mã
Giải mã
Bản rõ
Hình 1.3: Sơ đồ mã hóa khóa đối xứng
Đặc điểm của hệ mã hóa khóa đối xứng:
- Độ an toàn của hệ mã phụ thuộc vào khóa.
- Thuật toán mã hóa và giải mã đơn giản nên tốc độ mã hóa, giải mã rất nhanh.
Thích hợp cho việc mã hóa những bản tin lớn.
- Vấn đề thỏa thuận khóa và quản lý khóa chung là khó khăn và phức tạp.
Khóa chung phải được gửi cho nhau trên kênh an toàn riêng, chi phí lớn. Chính vì
vậy việc trao đổi khóa là tốn kém.
- Phù hợp với môi trường khóa chung dễ dàng trao đổi, truyền cho nhau khi có
sự thay đổi khóa.
Hệ mã hoá khóa công khai có khóa lập mã (ke) khác hóa giải mã (kd). Biết
được khóa này cũng “khó” tính được khóa kia. Vì vậy chỉ cần bí mật khóa giải mã,
còn khóa lập mã thì công khai.
Khóa giải
mã Kd
Khóa mã
hóa Ke
Bản rõ
Mã hóa
Bản mã
Giải mã
Hình 1.4: Sơ đồ mã hóa khóa bí mật
Hệ mã hóa này có đặc điểm:
Bản rõ
15
* Ưu điểm:
- Thuật toán được viết một lần, công khai cho nhiều lần dùng, cho nhiều người
dùng, họ chỉ cần giữ bí mật khóa riêng của mình.
- Khi biết các tham số đầu của hệ mã hóa, việc tính ra cặp khóa công khai và
bí mật là “dễ”, trong thời gian đa thức.
- Người mã hóa dùng khóa công khai, người giải mã dùng khóa bí mật. Khả
năng lộ khóa bí mật là thấp vì chỉ có một người giữ khóa. Nếu thám mã biết khóa
công khai thì cũng “khó” tìm ra khóa bí mật để giải mã thông điệp.
Chính vì vây, hệ mã hóa khóa công khai được sử dụng chủ yếu trên các mạng
công khai như mạng Internet.
* Hạn chế:
- Tốc độ mã hóa, giải mã chậm hơn hệ mã hóa khóa đối xứng. Nên hệ mã hóa
này thường được sử dụng để mã hóa những bản tin ngắn.
1.2.3. Một số thuật toán mã hoá khoá công khai
- RSA: là hệ mã hoá khóa công khai, độ an toàn của hệ dựa vào bài toán khó:
“Phân tích số nguyên thành tích các thừa số nguyên tố”. Độ dài khóa thường từ 512
bit đến 1024 bit.
- Hệ mã hoá MHK: Là hệ mã hóa khóa công khai, dựa trên bài toán tổng tập
con của một tập hợp, tổng quát bái toán có độ phức tạp O(n2), với n là số tập con.
- ElGamal: Độ dài khóa từ 512 đến 1024 bit.
1.3. CHỮ KÝ SỐ
1.3.1. Khái niệm chữ ký số
1.3.1.1. Giới thiệu
Để chứng thực nguồn gốc hay hiệu lực của một tài liệu, lâu nay người ta dùng
chữ ký “tay”, ký vào phía dưới của mỗi tài liệu. Vì vậy người ký phải ký tay trực
tiếp vào tài liệu.
Ngày nay, các tài liệu được số hóa người ta cũng có nhu cầu chứng thực
nguồn gốc hay hiệu lực của các tài liệu này. Rõ ràng không thể “ký tay” vào tài liệu
16
vì chúng không được in ra trên giấy. Tài liệu “số” hay tài liệu “điện tử” là một xâu
các bit (0 hay 1), xâu bit có thể rất dài nếu in trên giấy có thể lên đến hàng nghìn
trang. “Chữ ký” để chứng thực một xâu bit tài liệu cũng không thể là một xâu bit
nhỏ đặt phía dưới xâu bit tài liệu. Một “chữ ký” như vậy chắc chắn sẽ bị kẻ gian sao
chép để làm giả chữ ký cho một tài liệu “số” bất hợp pháp.
Ký số là phương pháp ký một thông điệp lưu dưới dạng “số” (điện tử). Thông
điệp được ký và chữ ký cùng truyền trên mạng tới người nhận.
Với chữ ký truyền thống, khi ký lên tài liệu thì chữ ký gắn kết với tài liệu
được ký. Chữ ký số không được gắn một cách vật lý với thông điệp được ký.
Đối với chữ ký trên giấy, ta kiểm tra bằng cách so sánh nó với chữ ký gốc đã
đăng ký. Tất nhiên, phương pháp này không an toàn vì có thể bị đánh lừa bởi chữ
ký của người khác. Trong khi đó, chữ ký số được kiểm tra bằng thuật toán kiểm tra
công khai, “người bất kì” có thể kiểm tra chữ ký số. Việc sử dụng lược đồ ký an
toàn sẽ ngăn chặn khả năng đánh lừa (giả mạo chữ ký).
Như vậy, ký “số” trên tài liệu “số” là ký trên từng bit tài liệu. Kẻ gian khó giả
mạo “chữ ký số” nếu không biết khóa lập mã.
Để kiểm tra một “chữ ký số” thuộc về tài liệu “số”, người ta giải mã “chữ ký
số” bằng khóa giải mã, sau đó so sánh với tài liệu gốc.
“Chữ ký số” thực hiện ký trên từng bit tài liệu nên độ dài của chữ ký số ít nhất
cũng bằng độ dài của tài liệu. Do đó thay vì ký trên tài liệu dài, người ta thường
dùng hàm băm để tạo đại diện cho tài liệu, sau đó mới ký lên đại điện tài liệu này.
1.3.1.2. Sơ đồ chữ ký số
Sơ đồ chữ ký số là bộ năm (P, A, K, S, V) trong đó:
P: tập hữu hạn các thông điệp.
A: tập hữu hạn các chữ kí.
K: (không gian khoá) là một tập hữu hạn các khoá, mỗi khoá k K gồm hai
thành phần k k1 , k2 , k1 là khoá bí mật dành cho việc ký, còn k2 là khoá công
khai dành cho việc xác minh chữ ký.
17
S: tập các thuật toán ký.
V: tập các thuật toán kiểm thử.
Với mỗi khóa k K tồn tại thuật toán kí sigk S và một thuật toán kiểm tra
chữ ký verk V.
Mỗi sig : P A và verk : P x A true, false là những hàm sao cho mỗi
k
thông điệp x P và mỗi chữ ký y A thoả mãn phương trình dưới đây:
true khi y sig ( x)
ver( x, y)
false khi y sig ( x)
Chú ý:
Người ta thường dùng hệ mã hóa khóa công khai để lập sơ đồ chữ ký số. Ở
đây khóa bí mật a dùng làm khóa ký, khóa công khai b dùng để kiểm tra chữ ký.
Ngược với việc mã hóa: dùng khóa công khai b để mã hóa, dùng khóa bí mật a
để giải mã. Điều này hoàn toàn tự nhiên vì “ký” để xác định người ký hay hiệu lực
của tài liệu nên “ký” cần bí mật. Còn sau khi ký, tài liệu hay chữ ký là công khai
cho mọi người biết nên họ dùng khóa công khai b để kiểm tra chữ ký.
1.3.2. Một số vấn đề liên quan đến chữ ký số
1.3.2.1. Đại diện tài liệu
Ký số được thực hiện trên từng bit tài liệu nên độ dài của chữ ký số lớn hơn
hoặc bằng độ dài của tài liệu. Mặt khác trên thực tế ta cần phải ký vào các tài liệu có
kích thước rất lớn. Như vậy phải tốn nhiều bộ nhớ để lưu trữ chữ ký, tốn thời gian
truyền chữ ký trên mạng. Hơn nữa, với một số sơ đồ chữ ký an toàn thì tốc độ ký lại
chậm vì chúng sử dụng nhiều phép tính số học phức tạp.
Một cách đơn giản để khắc phục những vấn đề trên với thông điệp có kích
thước lớn là thay vì phải ký trên tài liệu dài, người ta thường dùng “hàm băm” để
tạo “đại diện” cho tài liệu, sau đó mới “ký số” lên “đại diện” này.
Vậy đại diện tài liệu là giá trị của hàm băm trên tài liệu, nó còn được gọi là
bản tóm lược hay bản thu gọn của tài liệu.
