Bài giảng Cơ sở và môi trường cho sự phát triển thương mại điện tử

PHẦN III : CƠ SỞ VÀ MÔI TRƯỜNGCHO SỰ PHÁT TRIỂN THƯƠNG MẠI ĐIỆN TỬ I. Hạ tầng cơ sở nhân lực II. Môi trường khách hàng III. Môi trường xã hội - pháp luật Hiểm họa và biện pháp phòng chống I. HẠ TẦNG CƠ SỞ NHÂN LỰC CHUYÊN VIÊN CNTT : Nhân lực Hợp đồng hỗ trợ : - Chuyên viên Lập trình: Thiết kế website, Đồ họa, lập trình mạng, thiết kế website lần đầu và định kỳ/đột xuất hỗ trợ thay đổi - Quản trị mạng: Định kỳ/đột xuất hỗ trợ giải quyết sự cố nếu có - An ninh mạng: Hợp đồng, thuê tư vấn - Chuyên viên viễn thông - tin học: Thiết kê, lắp đặt, vận hành bảo trì ( phần cứng ) I. HẠ TẦNG CƠ SỞ NHÂN LỰC Nhân lực cơ hữu: Do đặc điểm mua bán trực tuyến xuyên quốc gia - quốc tế, phải có nhân viên thường trực xử lý thông tin giao tiếp trên mạng, xử lý/báo cáo để xử lý các sự cố đột xuất Nhân viên kỹ thuật tin học: vận hành, cập nhật thông tin. Mọi nhân viên kinh doanh khác đều yêu cầu có kiến thức tối thiểu về Tin học văn phòng, sử dụng Internet HẠ TẦNG CƠ SỞ NHÂN LỰC * CHUYÊN VIÊN QUẢN LÝ TMĐT : Netmanager, Admin, Giám đốc “cửa hàng ảo”(Cybermall), Người quản lý “siêu thị ảo” (MarketSpace)-Quan hệ với “Giám đốc thực” Cấp quản trị website cao nhất, có quyền: Quyết định nội dung, cấu trúc, thiết kế của website Thâm nhập, can thiệp, xem, sửa nội dung tòan bộ website Phân quyền cho các moderators các trang cấp dưới HẠ TẦNG CƠ SỞ NHÂN LỰC Moderators – Quan hệ với các Phòng, Ban hỗ trợ kinh doanh: Quảng cáo, tiếp thị Hỗ trợ khách hàng Kế tóan, tài chính, thanh tóan điện tử Phụ trách “Diễn đàn giao dịch” Quản lý “kho ảo”, Giao tiếp với các nhà cung cấp Chịu sự quản lý tuyệt đối của Admin Được phân quyền quản lý các trang thứ cấp, đề xuất ý kiến thay đổi với admin HẠ TẦNG CƠ SỞ NHÂN LỰC GIÁM ĐỐC TÁC NGHIỆP QUẢN LÝ-HỖ TRỢ Các quầy bán hàng Sales-Marketing, Kế tóan,…Kho Nhân viên ảo Nhân viên thực và công cụ ảo Thí dụ về : Form bán hàng, thanh tóan, thư chào hàng… 4 “Nhân viên” hướng dẫn khách hàng Chào đón khách hàng Form đăng ký khách hàng Form giao dịch đặt mua hàng “Nhân viên” thương lượng giá cả II. MÔI TRƯỜNG KHÁCH HÀNG Năng suất lao động xã hội Nhu cầu tiết kiệm thời gian( để sản xuất hoặc để nghỉ ngơi, tái sản xuất sức lao động ) *Thói quen trong việc xác định chất lượng hàng hóa theo tiêu chí công nghiệp *Thói quen thanh tóan điện tử II. MÔI TRƯỜNG KHÁCH HÀNG Mức sống, năng lực mua sắm ( khu vực, quốc gia ) GDP : Gross Domestic Product – Tổng sản phẩm quốc nội GDP/per capita – TSP quốc nội theo đầu người Việt Nam : -1995 = $260, 2000 = $460 – 2006 = 640 $, 2007 = 809$ II. MÔI TRƯỜNG KHÁCH HÀNG PPP : Purchasing Power Parity – Sức mua tương đương. PPP/capita Cách tính : Do nhiều tổ chức quốc tế IMF, World Bank, University of Pensylvania… trên cơ sở so sánh “trị giá một gói hàng” 2006 : Trung quốc = 7722 $( 87/181;1$=1,8JMP ) Việt Nam = 3393 $ (123/181) List of countries by PPP : 1/ Luxembourg = 81.511$, 2/ Ireland = 44.676 3/ Norway = 44.648, 4/ USA = 41,333…180/ Tanzania = 723, 181/ Malawi = 596 II. MÔI TRƯỜNG KHÁCH HÀNG Kiến thức sử dụng PC và dịch vụ Internet (ban đầu có thể trong tra cứu thông tin – giải trí) Tri thức, tâm lý và thói quen sử dụng dịch vụ điện tử ( thiếu tin tưởng, ngại tiết lộ thông tin, ngại lừa đảo…) Biết chút ít ngoại ngữ (Tiếng Anh ? ) III. MÔI TRƯỜNG XÃ HỘI III.1.Đặc điểm của giao dịch TMĐT Không mặt đối mặt Không trực tiếp với hàng hóa trước khi giao dịch thành công Nói chung : Thông tin không đầy đủ ( về dối tác, về hàng hóa…) Thông tin, giao dịch trên môi trường “mở” dễ bị xâm nhập Giao dịch xuyên quốc gia, quốc tế III. MÔI TRƯỜNG XÃ HỘI III.2.Yêu cầu trong giao dịch Mua và Bán * Tính trung thực – Loyalty * Tính an tòan – Security * Tính hợp pháp – Legitimacy * Tính riêng tư – Privacy Khó khăn thực hiện các yêu cầu trên trong TMĐT so với TM truyền thống III. MÔI TRƯỜNG XÃ HỘI III.3. Hiểm họa trong Giao dịch điện tử Các loại tội phạm điện tử : Spam,Phishing, Pharming, DoS.. Virus máy tính : Worm, Spyware, Trojan horses Hacker Cracker III. MÔI TRƯỜNG XÃ HỘI SPAM * SPAM = Simultaneous Posted Advertising Mails. Thư rác = Thư quảng cáo không được phép người nhận ( Unsollicited Mail ): - Thư vô hại/đùa nghịch ( ranh giới ?) - Thư quấy nhiễu - Thư quảng cáo tùy tiện ( Unsollicited Commercial Mail ) - Forum Spam III. MÔI TRƯỜNG XÃ HỘI DoS ( Denial of Service ) Làm cho một hòm thư, một cổng thông tin quá tải không làm việc được bằng cách gửi dồn dập spam vào hòm thư hoặc chiếm đường truy cập website: mailbombing – đánh sập Thí dụ :Usenet Meow Wars (1996) - Đóng dịch vụ UseNet hàng tháng SPORGERY = spam + forgery : phần mềm sản xuất spam hàng loạt tấn công một địa chỉ. III. MÔI TRƯỜNG XÃ HỘICông cụ gửi Email tự động III. MÔI TRƯỜNG XÃ HỘI Thiệt hại do SPAM Thống kê của ngành tư pháp California 2004: Mỹ thiệt hại 10 tỷ$ cho các tổ chức Xem chi tiết : Thiệt hại (vô hình về thời gian dọn rác) Thiệt hại tinh thần cho người bị quấy nhiễu III. MÔI TRƯỜNG XÃ HỘI PHISHING (PHISING) Phishing (Phising)– biến dạng của Fishing ( câu cá ) = lừa đảo trên mạng Phương thức : Gửi thư, messaging mời hợp tác Sử dụng freemail không đăng ký xuất xứ Sử dụng cấu trúc địa chỉ để đánh lừa : Dùng vài lệnh JavaScript để thay thanh địa chỉ III. MÔI TRƯỜNG XÃ HỘI CÁC DẠNG PHISING PHỔ BIẾN Nigeria 419 : Lừa thừa kế tài sản ( trong tài khỏan vô chủ, tài sản đen ), thường có nguồn gốc từ các quốc gia có biến động chính trị, đảo chính, từ thông tin tai nạn … Lừa đảo trúng xổ số trên mạng Mời hợp tác rửa tiền ( có thể có thực ) Thông báo kiểm tra lại thông tin tài khỏan-pharming ( Lấy thông tin để lấy trộm tiền, chi trả trực tuyến…) III. MÔI TRƯỜNG XÃ HỘI VIRUS MÁY TÍNH * Virus máy tính do con người tạo ra và gửi đi * Virus máy tính là một đoạn mã được cài giấu trong một phần mềm, sau khi xâm nhập vào một “cơ thể máy tính”, có khả năng lưu trú, nhân bản rất nhanh, phá hoại máy tính đó và lây lan sang các máy tính khác kết nối với nó * Tác hại : xóa dũ liệu, sao chép và trộm gửi dữ liệu, thay đổi làm sai lệch dữ liệu, chiếm bộ nhớ làm chậm hoạt dộng của MT, gây DoS… III. MÔI TRƯỜNG XÃ HỘI Các loại virus 1.Sâu MT (worm): Một đoạn phần mềm có khả năng tự tái tạo những bản sao của nó. Các bản sao lan sang mọi máy tính khác sử dụng cùng cơ chế an ninh và xóa dũ liệu trong các MT đó (file txt, exe…) 2.Gián điệp MT (Trojan horses): phần mềm được gửi lưu trú vào trong một số files, khi khởi động thì xóa files đó/sao chép files gửi đến địa chỉ mặc định - không tự động tái tạo III. MÔI TRƯỜNG XÃ HỘI Các loại virus *3. Logic bombs: được gửi lưu trú trong một MT và chỉ bột phát hoạt động theo một lệnh mặc định nào đó : hẹn ngày giờ, số lần khởi động máy, khi sử dụng một lệnh mặc định…(có thể dùng bảo vệ sở hữu trí tuệ, chống sao chép) * E-mail virus: dùng các e-mail message làm phương tiện truyền lan, tự sao chép và gửi đến các địa chỉ trong address book – lây lan rộng và nhanh *Virus truyền lan qua các phần cứng : Đĩa mềm, USB, đĩa CD v..v.. III. MÔI TRƯỜNG XÃ HỘI Virus máy tính Lịch sử : 1982 xuất hiện virus MT đầu tiên được biết. “El Cloner”- chú hề - trên Apple DOS 3.3 do Rich Skrenta cài vào đĩa mềm trò chơi. Từ giữa thập kỷ 1990 xuất hiện Trojan đánh cắp dữ liệu trên Microsoft Office và Mac OS Tháng 3/1999 : virus MELISA – năm 2000: virus ILOVEYOU làm tê liệt hệ thống E-mail của Microsoft và nhiều hãng khác nhiều ngày Trong một ngày tháng 01/2004:virus MYDOOM lan ra hon 2.500.000 MT trên thế giới. III. MÔI TRƯỜNG XÃ HỘI Mục đích tạo virus * Thoạt đâu: Trò chơi tinh nghịch xuất phát từ học sinh sinh viên  gây rối… * Sử dụng để bảo vệ bản quyền phần mềm, bảo mật dữ liệu * Sử dụng vào mục đích ăn cắp bản quyền, gián điệp kinh tế /chính trị, phá hoại trong cạnh tranh kinh tế, thương mại III. MÔI TRƯỜNG XÃ HỘI PHARMING - Pharming: Cách viết gần giống từ Farming- gặt hái – dùng để chỉ việc trộm cắp trên mạng: * Trộm thông tin, dữ liệu, trộm mật khẩu * Trộm tài khoản * Trộm tiền - Phương thức: * Dùng địa chỉ Email, trang web giả mạo * Cài chip gián điệp vào ATM III. MÔI TRƯỜNG XÃ HỘI HACKER * Hacker : tên gọi chung những kẻ có hành vi phá hoại trên MT và mạng MTT, tạo và phát tán virus Xâm nhập trái phép CSDL của người khác Xâm nhập, phá phách ( mọi hình thức và mức độ) các website Phát tán các thông tin, tư liệu không được phép (của cá nhân, tổ chức) Cracker ( bẻ khóa bảo vệ an ninh ) * Tội danh và chế tài tùy theo hệ thống pháp lý quốc gia, địa phương III. MÔI TRƯỜNG XÃ HỘI Hệ thống văn bản pháp lý Tháng 10/2005 Quốc hội VN thông qua luật Giao dịch điện tử, hiệu lực từ 01/03/2006 Tháng 03/2006 Thủ tướng ban hành Nghị định về chứng thư điện tử, chữ ký điện tử, các cơ quan chứng thực chữ ký điện tử Hiện nay vẫn chưa có các thông tư, văn bản hướng dẫn thực hiện, chưa có hệ thống hoàn chỉnh các tổ chức thực hiện III. MÔI TRƯỜNG XÃ HỘI III.4. QUẢN LÝ XÃ HỘI * Mọi hoạt động xã hội đều phải có hệ thống tổ chức, cơ quan quản lý. * Quản lý thương mại truyền thống có : Thưong mại, Kế hoạch đầu tư, Tài chính (Thuế, Hải quan..), Công an, Biên phòng..các tùy viên thương mại..các tổ chức phi chính phủ : Phòng Thương mại, các Hội nghề nghiệp, Hiệp hội, nghiệp đoàn… * Quản lý TMĐT : ??? III. MÔI TRƯỜNG XÃ HỘI Ở Việt nam hiện nay : Ủy ban quốc gia về TMĐT (?) Bộ Thương mại Bộ Bưu chính viễn thông đều có các chức năng xem xét một số vấn đề liên quan đến TMĐT ( chưa có cơ quan quản lý nhà nước ). Còn thiếu nhiều lĩnh vực : Tài chính (bán vé máy bay trực tuyến ?), Văn hóa thông tin… Nhiều vấn đề chưa xác định được có là hành động phạm tội hay không, chế tài xử lý ? ( Quảng cáo, thông tin nhiễu…) III. MÔI TRƯỜNG XÃ HỘI TOÀN CẦU HOÁ VÀ MÔI TRƯỜNG QUỐC TẾ KHUNG TMĐT TÒAN CẦU LUẬT GIAO DỊCH ĐIỆN TỬ Bảo hộ quyền sở hữu, chế tài đối với vi phạm trong giao dịch quốc tế Các văn bản ký kết quốc tế và khu vực : Khung TMĐT toàn cầu Luật chống Spam, chống hacker, v/đ Thuế quan.. Luật giao dịch ĐT của từng quốc gia.. IV. BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.1. CÁC HIỂM HỌA Rò rỉ thông tin trong giao dịch Trộm cắp tài khỏan, tiền nong Mạng thông tin nội bộ bị thâm nhập (vào, ra) Văn bản không được thừa nhận Virus Hacker… Bảo vệ sở hữu trí tuệ BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA Bảo vệ mạng nội bộ : “Tường lửa” (FireWall) - Là cơ chế ngăn chặn bảo vệ CSDL chống truy nhập trái phép - Lọc bỏ địa chỉ không hợp lệ, tiêu chí mặc định khác, từ khóa.. CSDL nôị bộ Tường lửa Internet BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA FIREWALL-1: * Sử dụng router có tích hợp tính năng lọc gói tin, kiểm sóat IP address (nguồn) cho phép kết nối hoặc từ chối * Chống việc sử dụng địa chỉ giả : Tăng cường lọc bằng thông tin định danh khác : thời gian, giao thức, cổng.. * Thủ thuật dùng dịch vụ Remote Procedure Call –RPC - gán cổng ngẫu nhiên, sử dụng giao thức UDP –User Datagram Protocol – khó lọc ! FIREWALL-1:  Tiêu chí lọc: - Địa chỉ nguồn, Cổng - Từ khóa mặc định Input Tiêu chí lọc Cho qua Chặn BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA FIREWWALL 2 Thay đổi địa chỉ * Địa chỉ IP công cộng : Do ISP cung cấp cho người sử dụng khi kết nối Internet *Địa chỉ riêng : Địa chỉ nội bộ, kết nối Internet thông qua NAT Server hoặc NAT/PAT để dùng địa chỉ công cộng ( của LAN ) Có 3 khối địa chỉ riêng do Hiệp hội Internet phân bố, phổ biến nhất là khối lớp B : 192.168.xxx.yyy Kỹ thuật dịch địa chỉ trong mạng : Network Address Translation –NAT- và dịch địa chỉ cổng : Port Address Translation – PAT – BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA FIREWALL-2 * Các kết nối từ thành phần trong LAN ( có địa chỉ riêng được giấu kín ) ra Internet đều có IP address chung : giả dạng – masquerade * Ngăn vào : từ ngoài truy cập từng máy trong LAN phải qua cấu trúc DMZ (Demilitarized Zone ) với các lệnh : Accept, Deny, Reject * Giới hạn ra : Firewall chỉ cho phép kết nối với cổng/địa chỉ không bị cấm BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA THÍ DỤ : FIREWALL-2. NAT Public : Data = 219.192.1.1, Post 1234 Private : Data = 192.168.1.123, Post 80 1/ Kg có NAT : loại 2/ Nối qua địa chỉ công 3/ Nhận qua địa chỉ công 4/ Xóa NAT BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT IV.2. TƯỜNG LỬA Hiện nay đã sản xuất các Router tích hợp dịch vụ tường lửa : * Cisco 1800, 2800 : bảo vệ mạng, ngăn xâm nhập, bảo mật IP Address. Tích hợp khả năng xử lý giọng nói * FortiGate ( Đài loan ) * CheckPointSafe@Office225 * Jupiter Netscreen-5GT Wireless * Sonicwall PRO 2040 Thích hợp cho sử dụng gia đình, doanh nghiệp nhỏ BẢO VỆ AN NINH TRONGGIAO DỊCH TMĐT Sử dụng Firewall : - Xây dựng Firewall ( tự làm, thuê ) - Dùng router tích hợp… - Khó khăn khi sử dụng : Thay đổi đối sách của địch Đường vòng trên mạng Khó khăn cho người sử dụng Bảo vệ an ninh trong giao dịch TMĐT IV.3. Mã hóa và giải mã : Định nghĩa toán học: Cho tập ký tự gốc: S = tập ký tự mã: C = Luật mã hóa: Ánh xạ một đối một từ S vào tập các dãy (từ mã) {ci1, ci2,…cili }, li là độ dài từ mã: E(si)  {ci1, ci2,…cili} Bảo vệ an ninh trong giao dịch TMĐT IV.3.Mã hóa và giải mã Thí dụ 1: Mã nhị phân: 0  0 1  1 2  10 3  11 4  100 … Thí dụ 2: Mã Morse: e  . a  .- m  - - l  . - . . Bảo vệ an ninh trong giao dịch TMĐT IV.3.Mã hóa và giải mã : - Mật mã ( Cryptography) - Có lịch sử từ La mã ( Caesar ): truyền thông điệp quân sự bí mật đến các đơn vị quân đội: Thí dụ : VINH (khóa +3 cyclic) ZLQK (chìa khóa -3)  VINH Văn bản gốcmã hóavăn bản mật (Plaintext) (Cyphertext) giải mãvăn bản gốc V  E(V) V’ ( gửi đi ) D( V’ ) = V MÃ ĐỐI XỨNG Khóa E, - chìa khóa D = E-1 , gọi là mã hóa đối xứng, là một từ điển 2 chiều : xuôi = mã hóa; ngược = giải mã. Mã hóa đối xứng, tốc độ lập mã, giải mã cao. tính bảo mật khá cao, do khả năng khó dò tìm chìa khóa WE(W)…….truyền….D[E(W)] W Khó khăn khi chuyển giao chìa khóa từ xa bằng phương tiện thông tin công cộng: không được bảo mật Chí thuận tiện cho việc tự bảo mật dữ liệu / có điều kiện chuyển giao chìa khóa trực tiếp ( Caesar ) Bảo vệ an ninh trong giao dịch TMĐT Bảo vệ an ninh trong giao dịch TMĐT Thuật tóan lập mã đối xứng DES DES – Data Encryption Standard dùng mô tả phần mềm lập mã đối xứng : DEA – Data Encryption Algorithm ( khoảng 1970) độ bảo mật khá cao DES dùng block 64 bit = 56 bit khóa + 8 bit parity DEA là thuật tóan mã hóa đối xứng Tốc độ giải mã nhanh Thường dùng cho single user. Dùng cho multiple user khó chuyển giao, kém bảo mật FISP sau 5 năm xác nhận lại một lần Trong 10 năm gần đây xuất hiện AES – Advanced Encryption Standard – độ bảo mật cao hơn Bảo vệ an ninh trong giao dịch TMĐT DES * Nếu không lộ khóa, độ bảo mật khá cao, trung bình phải thực hiện 255 plaintexts để dò (thám mã) trong thuật tóan crack Biham & Shamir dùng thuật tóan phân tích mã vi sai, phải có 244 plaintexts Matsui dùng thuật tóan phân tích mã tuyến tính, chỉ cần 243 plaintexts Gần đây tạo được các máy chuyên dụng giải mã có thể tìm ra khóa mã trong 22 giờ làm việc ( sử dụng trong an ninh, quốc phòng) Bảo vệ an ninh trong giao dịch TMĐT Mã hóa khóa chung ( Public key Encryption) Sơ đồ : A tạo E và D, gửi E-khóa công khai – public key - cho B, giữ D - khóa riêng- private key B dùng E mã hóa E(V) = V’ gửi cho A A dùng D giải D(V’) = V + Chỉ có A (có D) mới giải mã được + Phải có E mới mã hóa được + D dùng để giải E, nhưng biết nếu chỉ biết E không thể tìm được D. + E và D không phải là từ điển 2 chiều mà là những phép tóan riêng. Bảo vệ an ninh trong giao dịch TMĐT Thuật tóan mã công khai : MÃ RSA Mã RSA, Ron Rivest, Adi Shamir, Leonard Adleman, thuật tóan lập mã công khai, độ bảo mật cao, tốc độ giải mã chậm. Thuật tóan : * Chọn 2 số nguyên tố khá lớn (>1024bit) P và Q Chọn 1< E < PQ, E và (P-1)(Q-1) nguyên tố cùng nhau. E là số lẻ. Tính D sao cho DE = 1[mod(P-1)(Q-1)]: Gọi D là nghịch đảo của E. (Thử dần - số nguyên X để cho: D = [X(P-1)(Q-1) +1]/E là số nguyên ) Mã hóa: C = (T.expE) modPQ: T = văn bản gốc,C = văn bản mã hóa Giải mã: T = (C.expD)modPQ Khóa công khai : (PQ,E), khóa riêng : D-số mũ mật; E- số mũ công khai Bảo vệ an ninh trong giao dịch TMĐT MÃ RSA Thí dụ : p = 61; q = 53 ( hủy ngay sau khi tạo khóa ) n = pq = 3233 - modulo e = 17 - số mũ mã hóa ( công bố công khai ) Khóa công khai A gửi đi cho B: ( 3233, 17 ) d = 2753 – số mũ giải mã ( A giữ riêng ) Văn bản gốc : 123 B dùng khóa công khai mã hóa : 12317 mod 3233 = 855 Văn bản mã được gửi đi : 855 A dùng khóa riêng giải mã : 8552753 mod 3233 = 123 Bảo vệ an ninh trong giao dịch TMĐT MÃ RSA * RSA operation: một dãy phép tính lũy thừa modulo khá lớn Độ phức tạp : khóa công khai = O(k2) bước tính tóan, khóa riêng = O(k3), tổng quát khóa = O(k4) – k là số bit của modulo Giải mã rất chậm Độ bảo mật cao : hầu như không có thuật tóan giải tổng quát mà phải dò thử dần – P,Q lớn thì kết qủa tìm thuật tóan ngược rất phức tạp Nguy cơ : B gửi tin, chắc chắn chỉ A đọc được – A nhận tin, chưa chắc do B gửi ( Khóa công khai có thể lộ ) Bảo vệ an ninh trong giao dịch TMĐT TRAO ĐỔI KHÓA CÔNG KHAI A gửi E1 cho B, giữ D1 cho mình : - B dùng E1 mã hóa văn bản E1(V) = V’ gửi cho A : chắc chắn không ai đọc được ngoài A - A nhận được V’, dùng D1 giải D1(V’) = V : Chưa chắc có phải do B gửi không ? ( Khóa E1 có thể bị lộ ! ) Xử lý : Trao đổi khóa đảm bảo an tòan và tin cậy A gửi E1 cho B giữ D1 cho mình, B tạo khóa riêng D2, khóa công khai E2 - Dùng E1gửi E2 cho A, giữ D2: Chỉ có A đọc được E2 - A : E2(V) = V’, gửi cho B chắc chắn chỉ có B đọc - B : nhận V’ chắc chắn do A gửi, đọc: D2(V’) = V Bảo vệ an ninh trong giao dịch TMĐT TRAO ĐỔI KHÓA CÔNG KHAI * A dùng E2 mã hóa văn bản V thành E2(V) = V’ gửi cho B: - chắc chắn chỉ có B ( có D2 mới đọc được ) * B nhận được V’ , tin chắc là do A gửi vì chỉ có A (có D1) mới giải mã E1(E2’) = E2 để sử dụng * Văn bản từ A gửi cho B được tin cậy cả hai phía, người gửi và người nhận Bảo vệ an ninh trong giao dịch TMĐT PHONG BÌ SỐ . Việc trao đổi thông điệp sử dụng sơ đồ trao đổi khóa công khai đảm bảo tin cậy trong giao dịch nhưng làm tăng độ phức tạp và giảm tốc độ trao đổi thông tin đáng kể. . Để khắc phục, ta sử dụng khóa công khai, kết hợp khóa riêng để trao đổi khóa đối xứng gọi là phong bì số (digital envelop) . Từ đó về sau A và B dùng khóa đối xứng K để mã hóa các thông điệp trao đổi. Bảo vệ an ninh trong giao dịch TMĐT PHONG BÌ SỐ * Bước 1: Tạo phong bì số A tạo E1 gửi cho B, giữ D1 B tạo D2 giữ riêng, tạo E2, dùng E1 ( nhận từ A) mã hóa: E1(E2) = E’2 gửi cho A Bước 2: Chuyển giao khóa dối xứng A tạo khóa đối xứng K dùng E2 mã hóa: E2(K) = K’ gửi cho B B dùng D2 giải mã: D2(K’) = K Chỉ có A và B cùng biết khóa K, từ đó giao dịch bằng khóa đối xứng K IV.4. CHỮ KÝ ĐIỆN TỬ Tốc độ mã hóa và giải mã khóa công khai rất chậm : Không cần thiết mã hóa 2 lần tòan bộ văn bản! Chữ ký điện tử : Một đoạn văn bản mã hóa theo qui ước riêng giữa hai đối tác được gửi kèm / gửi riêng với văn bản chính Thường sử dụng hàm băm để lấy một mẫu văn bản, dùng khóa công khai đã trao đổi, mã hóa để làm chữ ký : văn bản khác nhau có thể có chữ ký khác nhau Chữ ký điện tử / văn bản chính CHỮ KÝ SỐ Người ta có thể mã hóa (sử dụng khóa công khai) một nội dung duy nhất, gắn vào mọi thông điệp của mình phát hành để xác nhận trách nhiệm: đấy là chữ ký số Nội dung chữ ký số có thể là: văn bản, hình ảnh, âm thanh hoặc video Nhiều văn bản do một tổ chức phát hành có thể gắn một biểu tượng của tổ chức đó được mã hóa để đánh dấu nhận biết Chữ ký số có thể xem là một chữ ký điện tử có nội dung xác định CHỮ KÝ ĐIỆN TỬ Trao đổi khóa công khai và chữ ký điện tử chỉ là giao dịch riêng tư giữa 2 đối tác  có nguy cơ chốí bỏ văn bản đã phát hành : Phát sinh nhu cầu đăng ký bảo lãnh ( chứng thực chữ ký điện tử ) : cần có bên thứ ba (trent) xác nhận chữ ký ĐT của một pháp nhân, thể nhân Cơ quan chứng thực chữ ký ĐT ( chứng thực khóa công khai ) : CA – Certification Authority- có thể là thuộc chính phủ / phi chính phủ VN hiện nay mới có CA: e-MOT: Vụ TMĐT CHỮ KÝ ĐIỆN TỬ Xác nhận chữ ký điện tử : Cơ quan cấp chứng nhận chữ ký điện tử CA. Chứng nhận số (Digital certificate) – Tiêu chuẩn quốc tế X.509 Hệ thống quan hệ giữa các CA : Hệ thống CA gốc ( Root CA ) : Hàn quốc.. Hệ thống CA lưới (Network CA ) Mỹ, EU, Tquốc.. Về mặt công nghệ có thể xem tại: www.verisign.com, www.vasc.com.vn CHỮ KÝ ĐIỆN TỬ Văn bản pháp luật Hoa kỳ : Uniform Electronic Transaction Act – 48 bang The Uniform Commercial Code ( UCC) Digital Signature and Electronic Authentication Law Mexico : E-Commerce Act -2000 Costa Rica : Digital Signature Law 8454 - 2005 Singapore : Electronic Transaction Law-2001 EU : Electronic Signature Directive - 1999 Liên hiệp Anh : Electronic Communications Act – 2000 Việt Nam : Luật Giao dịch điện tử - 2006 Nghị định về Chữ ký điện tử - MOT- 2007 CON DẤU SỐ Trong các văn bản thông thường, dùng con dấu của tổ chức để xác nhận chữ ký: chữ ký ( thực ) dễ giả mạo trong khi con dấu được lưu mẫu tại cơ quan có thẩm quyền. Hoàn toàn có thể tạo ra con dấu số - là chữ ký điện tử dùng chung của một tổ chức, gửi kèm với chữ ký số. Không sử dụng vì các nhược điểm: Nhược điểm : Độ bảo mật thấp hơn chữ ký số ( nhiều người được quyền sử dụng) Người quản lý con dấu thường có mức trách nhiệm thấp hơn người có chữ ký CON DẤU SỐ Trong một số trường hợp, để tăng độ bảo mật, tổ chức vẫn có thể tạo thêm một lớp bảo mật ( như là đóng dấu sau khi ký ). Tuy nhiên thường không gọi là con dấu số vì tác dụng chỉ như một phong bì thông thường có tiêu đề và logo của tổ chức  KẾT LUẬN * THƯƠNG MẠI ĐIỆN TỬ ĐỒNG BỘ: Hàng loạt vấn đề cần giải quyết ở mức vĩ mô Không thể đốt cháy giai đoạn, có thể gây tổn thất kinh tế và xã hội khó lường * ĐỊNH HƯỚNG HIỆN TẠI : Tích cực phát triên các chức năng đơn lẻ : quảng cáo, marketing, giao dịch, bán hàng qua mạng ( kết hợp với các biện pháp truyền thống) Tổ chức những chức năng thiếu trợ giúp (thanh toán, bảo vệ…) Kết hợp với TM truyền thống end THƯƠNG MẠI ĐIỆN TỬ