Bảo mật giao dịch điện tử là gì

Nội dung chính Show

1. Mã hóa là gì?
2. Các kỹ thuật mã hóa
Mục lục
Lịch sử và phát triểnSửa đổi
Các tính năng chínhSửa đổi
Người tham giaSửa đổi
Cách thức hoạt độngSửa đổi
Chữ ký képSửa đổi
Lưu ýSửa đổi
Tham khảoSửa đổi

Ngày nay, cùng với sự phát triển nhanh chóng của khoa học công nghệ, các hoạt động thương mại điện tử (TMĐT) được đẩy mạnh và nhanh chóng được ứng dụng rộng rãi trong mọi ngành nghề.

Và tất nhiên, đi kèm theo đó luôn là các vấn đề an toàn bảo mật thông tin được đặt ra.

Một trong giải pháp bảo mật thông tin ứng dụng trong TMĐT là sử dụng kỹ thuật mã hóa.

1. Mã hóa là gì?

Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ thuật mã hoá cho các giao dịch TMĐT. Mã hoá là quá trình trộn văn bản với khoá mã tạo thành văn bản không thể đọc được truyền trên mạng.

2. Các kỹ thuật mã hóa

2.1. Mã hóa đối xứng Ceasar

Mã hóa đối xứng Ceasar sử dụng cùng một khoá cho cả hai quá trình mã hoá và giải mã.

Ví dụ:

Thay thế mỗi chữ trong bản tin bằng chữ đứng sau nó k vị trí trong bảng chữ cái. Giả sử chọn k = 3, ta có bảng chuyển đổi như sau:
Chữ ban đầu: a b c d e f g h i j k l m n o p q r s t u v w x y z
Chữ thay thế: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Giả sử có bản tin gốc là: meet me after the toga party
Như vậy bản tin mã hóa sẽ là: PHHW PH DIWHU WKH WRJD SDUWB

Phương pháp mã hóa Ceasar như sau:

Gán cho mỗi chữ cái một con số nguyên từ 0 đến 25:

Với mỗi chữ cái p thay bằng chữ mã hóa C, trong đó: C = (p + k) mod 26 , k được gọi là khóa.
Quá trình giải mã đơn giản là: p = (C – k) mod 26

Tuy nhiên, phương pháp mã hóa của Ceasar không được xem là an toàn.

Giả sử đối thủ của Ceasar có được bản mã PHHW PH DIWHU WKH WRJD SDUWB và biết được phương pháp mã hóa và giải mã là phép cộng trừ module 26. Đối thủ có thể thử tất cả 25 trường hợp của k như sau:

Trong 25 trường hợp trên, chỉ có trường hợp k=3 thì bản giải mã tương ứng là có ý nghĩa. Do đó đối thủ có thể chắc chắn rằng, meet me after the toga party là bản tin ban đầu.

2.2. Mã hóa công khai - Thuật toán RSA

Các thuật toán mật mã với khóa công khai sử dụng 2 khóa:

1 khóa để mã hóa
1 khóa để giải mã

RSA là một thuật toán mã hóa khóa công khai đang được sử dụng phổ biến trong thương mại điện tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn.

Giả sử A và B cần trao đổi thông tin bí mật thông qua một kênh không an toàn (ví dụ như Internet). Với thuật toán RSA, A đầu tiên cần tạo ra cho mình cặp khóa gồm khóa công khai và khóa bí mật, sau đó A gửi khóa công khai cho B và giữ bí mật khóa cá nhân của mình. B sẽ tìm được khóa bí mật dựa vào các quy tắc của thuật toán.

Phương pháp mã hóa và giải mã của thuật toán RSA tương đối phức tạp, vui lòng tham khảo tại link sau:

https://vi.wikipedia.org/wiki/RSA(m%C3%A3_h%C3%B3a)_

2.3. Mã hóa 1 chiều - Thuật toán MD5

Khác với 2 phương pháp ở trên, việc mã hóa và giải mã đều thực hiện được, thì mã hóa một chiều là phương pháp mà chúng ta chỉ có thể mã hóa mà không thể giải mã.

Thuật toán MD5 biến đổi một thông điệp có chiều dài bất kì thành một khối có kích thước cố định 128 bits. Thông điệp đưa vào sẽ được cắt thành các khối 512 bits. Thông điệp được đưa vào bộ đệm để chiều dài của nó sẻ chia hết cho 512. Bộ đệm hoạt động như sau:

Trước tiên, chèn bit 1 vào cuối thông điệp
Tiếp đó là hàng loạt bit Zero cho tới khi chiều dài của nó nhỏ hơn bội số của 512 một khoảng 64 bit
Phần còn lại sẽ được lấp đầy bởi một số nguyên 64 bit biểu diển chiều dài ban đầu của thông điệp.

MD5 hoạt động trên một bộ 128 bit. Chia nhỏ nó ra thành 4 từ 32 bit, kí hiệu là A, B, C và D. Các giá trị này là các hằng số cố định. Sau đó thuật toán chính sẽ luân phiên hoạt động trên các khối 512 bit. Mỗi khối sẽ phối hợp với một bộ. Quá trình xử lý một khối thông điệp bao gồm 4 bước tương tự nhau, gọi là vòng “round”. Mỗi vòng lại gồm 16 quá trình tương tự nhau dựa trên hàm một chiều F, phép cộng module và phép xoay trái.

Hình bên dưới mô tả một quá trình trong một vòng. Có 4 hàm một chiều F có thể sử dụng. Mỗi vòng sử dụng một hàm khác nhau.

Kết quả trả về là một chuỗi số thập lục phân gồm 32 số liên tiếp.

Dưới đây là các ví dụ mô tả các kết quả thu được sau khi băm:

MD5("The quick brown fox jumps over the lazy dog") = 9e107d9d372bb6826bd81d3542a419d6

Thậm chỉ chỉ cần một thay đổi nhỏ cũng làm thay đổi hoàn toàn kết quả trả về:

MD5("The quick brown fox jumps over the lazy cog") = 1055d3e698d289f2af8663725127bd4b

Ngay cả một chuỗi rỗng cũng cho ra một kết quả phức tạp:

MD5(" ") = d41d8cd98f00b204e9800998ecf8427e

Trong giao dịch điện tử, chìa khóa chính là mật khẩu mà người dùng đã chọn lựa sẽ được dùng để mã hóa thông tin của khách hàng, còn mật khẩu sẽ được mã hóa theo hàm băm một chiều, các hacker hay thậm chí là admin của trang giao dịch dù có lấy được dữ liệu lưu trên máy chủ cũng không thể nào dịch ngược nếu không biết được mật khẩu (key) của user.

Trên đây là một số thuật toán mã hóa để đảm bảo an toàn trong thương mại điện tử mà mình đã tìm hiểu và thực hành mã khóa/giải mã. Phạm vi bài viết còn hạn hẹp và chắc chắn sẽ tồn tại nhiều thiếu sót, mong các bạn góp ý.

Xin cảm ơn!

Giao dịch điện tử bảo mật (SET) là thể thức thanh toán được đảm bảo bởi Mastercard và Visa và bởi hầu như tất cả những người tham gia trong ngành thương mại điện tử, tạo thuận lợi cho việc truyền thông tin thanh toán thẻ tín dụng an toàn qua Internet và các mạng lưới khác. Một tiêu chuẩn ngành mở rộng, SET phong tỏa các chi tiết thẻ tín dụng, từ chối các thương nhân tiếp cận thông tin thẻ tín dụng của khách hàng. SET giúp các thương nhân xác minh những người mua mong muốn, và nó bảo vệ những người mua bằng cách chuyển thông tin tín dụng trực tiếp đến công ty phát hành thẻ, để xác nhận và tính tiền.

Giao dịch Điện tử Bảo mật (SET) là một tiêu chuẩn giao thức truyền thông để bảo mật các giao dịch thẻ tín dụng qua các mạng, cụ thể là Internet. Bản thân SET không phải là một hệ thống thanh toán, mà là một tập hợp các giao thức và định dạng bảo mật cho phép người dùng sử dụng cơ sở hạ tầng thanh toán thẻ tín dụng hiện có trên một mạng mở theo cách an toàn. Tuy nhiên, nó không tạo được sức hút trên thị trường. Visa hiện đang quảng bá chương trình Bảo mật 3-D.

Giao dịch điện tử an toàn (SET) là một hệ thống đảm bảo an toàn cho các giao dịch tài chính trên Internet. Ban đầu nó được hỗ trợ bởi Mastercard, Visa, Microsoft, Netscape và những người khác. Với SET, người dùng được cấp một ví điện tử (chứng chỉ kỹ thuật số) và giao dịch được tiến hành và xác minh bằng cách sử dụng kết hợp chứng chỉ số và chữ ký số giữa người mua, người bán và ngân hàng của người mua theo cách đảm bảo quyền riêng tư và bí mật

Mục lục

1 Lịch sử và phát triển
2 Các tính năng chính
3 Người tham gia
4 Cách thức hoạt động
5 Chữ ký kép
6 Lưu ý
7 Tham khảo

Lịch sử và phát triểnSửa đổi

SET được phát triển bởi SET Consortium, do Visa và Mastercard thành lập năm 1996 với sự hợp tác của GTE, IBM, Microsoft, Netscape, SAIC, Terisa Systems, RSA và VeriSign. Mục tiêu của tập đoàn là kết hợp các giao thức tương tự nhưng không tương thích của các hiệp hội thẻ (STT của Visa / Microsoft và SEPP của Mastercard / IBM) thành một tiêu chuẩn duy nhất.

SET cho phép các bên tự nhận dạng nhau và trao đổi thông tin một cách an toàn. Ràng buộc danh tính dựa trên chứng chỉ X.509 với một số phần mở rộng. SET đã sử dụng một thuật toán làm mờ mật mã, trên thực tế, sẽ cho phép người bán thay thế chứng chỉ cho số thẻ tín dụng của người dùng. Nếu SET được sử dụng, bản thân người bán sẽ không bao giờ phải biết số thẻ tín dụng được gửi từ người mua, số thẻ này sẽ cung cấp khoản thanh toán tốt đã được xác minh nhưng bảo vệ khách hàng và công ty tín dụng khỏi gian lận.

SET được dự định trở thành phương thức thanh toán tiêu chuẩn trên Internet giữa người bán, người mua và các công ty phát hành thẻ tín dụng.

Thật không may, việc thực hiện của từng bên liên quan chính hoặc tốn kém hoặc cồng kềnh. Cũng có một số yếu tố bên ngoài có thể làm phức tạp cách thức tích hợp yếu tố người tiêu dùng vào trình duyệt. Có một tin đồn vào khoảng năm 1994-1995 cho rằng Microsoft tìm kiếm dòng thu nhập 0,25% từ mỗi giao dịch được bảo đảm bằng các thành phần tuân thủ SET tích hợp của Microsoft mà họ sẽ triển khai trong trình duyệt Internet của mình.

Các tính năng chínhSửa đổi

Để đáp ứng các yêu cầu kinh doanh, SET kết hợp các tính năng sau

Bảo mật thông tin
Tính toàn vẹn của dữ liệu
Xác thực tài khoản chủ thẻ
Xác thực người bán

Người tham giaSửa đổi

Một hệ thống SET bao gồm những người tham gia sau:

Chủ thẻ
Thương gia
Người phát hành
Người mua lại
Cổng thanh toán
Chứng nhận thẩm quyền

Cách thức hoạt độngSửa đổi

Cả chủ thẻ và người bán phải đăng ký với CA (cơ quan cấp chứng chỉ) trước, trước khi họ có thể mua hoặc bán trên Internet. Sau khi đăng ký xong, chủ thẻ và người bán có thể bắt đầu thực hiện các giao dịch, bao gồm chín bước cơ bản trong giao thức này, được đơn giản hóa.

Khách hàng duyệt trang web và quyết định mua những gì
Khách hàng gửi thông tin đặt hàng và thanh toán, bao gồm hai phần trong một tin nhắn: a. Đơn đặt hàng - phần này dành cho người bán b. Thông tin thẻ - phần này chỉ dành cho ngân hàng của người bán.
Người bán chuyển tiếp thông tin thẻ (phần b) đến ngân hàng của họ
Ngân hàng của người bán kiểm tra với nhà phát hành để xác nhận ủy quyền thanh toán
Nhà phát hành gửi ủy quyền đến ngân hàng của người bán
Ngân hàng của người bán gửi ủy quyền cho người bán
Người bán hoàn tất đơn hàng và gửi xác nhận cho khách hàng
Người bán nắm bắt giao dịch từ ngân hàng của họ
Nhà phát hành in hóa đơn thẻ tín dụng (hóa đơn) cho khách hàng

Chữ ký képSửa đổi

Như được mô tả trong (Stallings 2000):

Một cải tiến quan trọng được giới thiệu trong SET là chữ ký kép. Mục đích của chữ ký kép là liên kết hai thông điệp dành cho hai người nhận khác nhau. Trong trường hợp này, khách hàng muốn gửi thông tin đặt hàng (OI) cho người bán và thông tin thanh toán (PI) cho ngân hàng. Người bán hàng không cần biết số thẻ tín dụng của khách hàng, và ngân hàng không cần biết chi tiết đơn đặt hàng của khách hàng. Khách hàng được bảo vệ thêm về quyền riêng tư bằng cách giữ riêng hai mục này. Tuy nhiên, hai mục phải được liên kết theo cách có thể được sử dụng để giải quyết tranh chấp nếu cần thiết. Liên kết là cần thiết để khách hàng có thể chứng minh rằng khoản thanh toán này là dành cho đơn đặt hàng này chứ không phải cho một số hàng hóa hoặc dịch vụ khác.

Các thông điệp tiêu hóa (MD) của OI và PI được tính toán một cách độc lập bởi khách hàng. Chúng được nối với nhau và MD khác được tính từ đây. Cuối cùng, chữ ký kép được tạo ra bằng cách mã hóa MD bằng khóa bí mật của khách hàng. Chữ ký kép được gửi cho cả người bán và ngân hàng. Giao thức sắp xếp để người bán có thể nhìn thấy MD của PI mà không nhìn thấy chính PI và ngân hàng nhìn thấy MD của OI nhưng không thấy chính OI. Chữ ký kép có thể được xác minh bằng MD của OI hoặc PI, mà không yêu cầu OI hoặc PI. Quyền riêng tư được bảo toàn vì MD không thể bị đảo ngược, điều này sẽ tiết lộ nội dung của OI hoặc PI.

Lưu ýSửa đổi

Merkow p.248
^ SET Specification Book 2 tr.214

Tham khảoSửa đổi

Merkow, Mark S. (2004). "Giao dịch điện tử an toàn (SET)". Trong Hossein Bidgoli (ed.). Bách khoa toàn thư Internet. John Wiley và các con trai. trang 247–260. ISBN 978-0-471-22203-3.

Stallings, William (ngày 1 tháng 11 năm 2000). "Tiêu chuẩn SET & Thương mại điện tử". Của Tiến sĩ Dobb.

SET Đặc tả Giao dịch Điện tử An toàn (V1.0) Quyển 1 (PDF). Mastercard và Visa. Tháng 5 năm 1997.

SET Đặc tả giao dịch điện tử an toàn (V1.0) Quyển 2 (PDF). Mastercard và Visa. Tháng 5 năm 1997.

SET Đặc tả giao dịch điện tử an toàn (V1.0) Quyển 3 (PDF). Mastercard và Visa. Tháng 5 năm 1997.

Hướng dẫn Giao diện Bên ngoài để ĐẶT Giao dịch Điện tử An toàn (PDF). Mastercard và Visa. Tháng 9 năm 1997.

Trang chính của SETco, SETco, được lưu trữ từ bản gốc vào ngày 2002-08-02, truy xuất 2013-11-07