Báo cáo Đề tài nhánh nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử

pdf 264 trang huongle 4590
Bạn đang xem 20 trang mẫu của tài liệu "Báo cáo Đề tài nhánh nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbao_cao_de_tai_nhanh_nghien_cuu_xay_dung_giai_phap_bao_mat_t.pdf

Nội dung text: Báo cáo Đề tài nhánh nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử

  1. BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “NGHIấN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THễNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” Thuộc đề tài : “Nghiờn cứu một số vấn đề kỹ thuật, cụng nghệ chủ yếu trong thương mại điện tử và triển khai thử nghiệm - mó số KC.01.05” Hà nội, thỏng 9 năm 2004
  2. nội dung Ch−ơng 1: Các hiểm hoạ đối với an toàn th−ơng mại điện tử 4 1.1 Giới thiệu 4 1.2 Các hiểm hoạ đối với sở hữu trí tuệ 7 1.3 Các hiểm hoạ đối với th−ơng mại điện tử 8 Ch−ơng 2: Thực thi an toàn cho th−ơng mại điện tử 20 2.1 Bảo vệ các tài sản th−ơng mại điện tử 20 2.2 Bảo vệ sở hữu trí tuệ 21 2.3 Bảo vệ các máy khách 22 2.4 Bảo vệ các kênh th−ơng mại điện tử 27 2.5 Đảm bảo tính toàn vẹn giao dịch 36 2.6 Bảo vệ máy chủ th−ơng mại 39 2.7 Tóm tắt 41 Ch−ơng 3: Một số kỹ thuật an toàn áp dụng cho th−ơng mại điện 43 3.1 Mật mã đối xứng 43 3.2 Mật mã khoá công khai 45 3.3 Xác thực thông báo và các hàm băm 60 3.4 Chữ ký số 71 Ch−ơng 4: Chứng chỉ điện tử 79 4.1 Giới thiệu về các chứng chỉ khoá công khai 79 4.2 Quản lý cặp khoá công khai và khoá riêng 85 4.3 Phát hành các chứng chỉ 89 4.4 Phân phối chứng chỉ 92 4.5 Khuôn dạng chứng chỉ X.509 94 4.6 Việc thu hồi chứng chỉ 107 4.7 CRL theo X.509 114 4.8 Cặp khoá và thời hạn hợp lệ của chứng chỉ 121 4.9 Chứng thực thông tin uỷ quyền 123 4.10 Tóm tắt 128 Ch−ơng 5: Cơ sở Hạ tầng khoá công khai 131 5.1 Các yêu cầu 131 5.2 Các cấu trúc quan hệ của CA 132 5.3 Các chính sách của chứng chỉ X.509 145 5.4 Các ràng buộc tên X.509 150 5.5 Tìm các đ−ờng dẫn chứng thực và phê chuẩn 152 5.6 Các giao thức quản lý chứng chỉ 154 5.7 Ban hành luật 155 Chữ ký điện tử trong hoạt động th−ơng mại điện tử 156 Phần A: Cơ sở công nghệ cho chữ ký số 170 Phần B: Cơ sở pháp lý cho chữ ký số 195
  3. Các vấn đề lý thuyết Trong phần này trình bầy những vần đề lý thuyết cơ bản phục vụ cho việc xây dựng các giải pháp an toàn TMĐT sẽ trình bầy trong phần 2.
  4. Ch−ơng 1: Các hiểm hoạ đối với an toμn th−ơng mại điện tử 1.1 Giới thiệu Khi Internet mới ra đời, th− tín điện tử là một trong những ứng dụng phổ biến nhất của Internet. Từ khi có th− tín điện tử, ng−ời ta th−ờng lo lắng và đặt vấn đề nghi ngờ, các th− điện tử có thể bị một đối t−ợng nào đó (chẳng hạn, một đối thủ cạnh tranh) chặn đọc và tấn công ng−ợc trở lại hay không? Ngày nay, các mối hiểm hoạ còn lớn hơn. Internet càng ngày càng phát triển và các cách mà chúng ta có thể sử dụng nó cũng thay đổi theo. Khi một đối thủ cạnh tranh có thể truy nhập trái phép vào các thông báo và các thông tin số, hậu quả sẽ nghiêm trọng hơn rất nhiều so với tr−ớc đây. Trong th−ơng mại điện tử thì các mối quan tâm về an toàn thông tin luôn phải đ−ợc đặt lên hàng đầu. Một quan tâm điển hình của những ng−ời tham gia mua bán trên Web là số thẻ tín dụng của họ có khả năng bị lộ khi đ−ợc chuyển trên mạng hay không. Từ 30 năm tr−ớc đây cũng xảy ra điều t−ơng tự khi mua bán sử dụng thẻ tín dụng thông qua điện thoại: “Tôi có thể tin cậy ng−ời đang ghi lại số thẻ tín dụng của tôi ở đầu dây bên kia hay không?”. Ngày nay, các khách hàng th−ờng đ−a số thẻ tín dụng và các thông tin khác của họ thông qua điện thoại cho những ng−ời xa lạ, nh−ng nhiều ng−ời trong số họ lại e ngại khi làm nh− vậy qua máy tính. Trong phần này, chúng ta sẽ xem xét vấn đề an toàn trong phạm vi th−ơng mại điện tử và đ−a ra một cái nhìn tổng quan nó cũng nh− các giải pháp hiện thời. An toàn máy tính: Chính là việc bảo vệ các tài sản không bị truy nhập, sử dụng, hoặc phá huỷ trái phép. ở đây có hai kiểu an toàn chung: vật lý và logic. An toàn vật lý bao gồm việc bảo vệ thiết bị (ví dụ nh− báo động, ng−ời canh giữ, cửa chống cháy, hàng rào an toàn, tủ sắt hoặc hầm bí mật và các toà nhà chống bom). Việc bảo vệ các tài sản không sử dụng các biện pháp bảo vệ vật lý thì gọi là an toàn logic. Bất kỳ hoạt động hoặc đối t−ợng gây nguy hiểm cho các tài sản của máy tính đều đ−ợc coi nh− một “hiểm hoạ”. Biện pháp đối phó: Đây là tên gọi chung cho thủ tục (có thể là vật lý hoặc logic) phát hiện, giảm bớt hoặc loại trừ một hiểm hoạ. Các biện pháp đối phó th−ờng biến đổi, phụ thuộc vào tầm quan trọng của tài sản trong rủi ro. Các hiểm hoạ bị coi là rủi ro thấp và hiếm khi xảy ra có thể đ−ợc bỏ qua, khi chi phí cho việc bảo vệ chống lại hiểm hoạ này v−ợt quá giá trị của tài sản cần đ−ợc bảo vệ. Ví dụ, có thể tiến hành bảo vệ một mạng máy tính khi xảy ra các trận bão ở thành phố Okalahoma, đây là nơi th−ờng xuyên xảy ra các trận bão, nh−ng không cần phải bảo vệ một mạng máy tính nh− vậy tại Los Angeles, nơi hiếm khi xảy ra các trận bão. Mô hình quản lý rủi ro đ−ợc trình bày trong hình 1.3, có 4 hoạt động chung mà bạn có thể tiến hành, phụ thuộc vào chi phí và khả năng xảy ra của các hiểm hoạ vật lý. Trong mô hình này, trận bão ở Kansas hoặc Okalahoma nằm ở góc phần t− thứ 2, còn trận bão ở nam California nằm ở góc phần t− thứ 3 hoặc 4.
  5. Khả năng xảy ra lớn I II Tác Tác Kiểm soát động động Ngăn chặn thấp cao (chi (chi phí) phí) III IV Bỏ qua Kế hoạch bảo hiểm/dự phòng Khả năng xảy ra thấp Hình 1.3 Mô hình quản lý rủi ro Kiểu mô hình quản lý rủi ro t−ơng tự sẽ áp dụng cho bảo vệ Internet và các tài sản th−ơng mại điện tử khỏi bị các hiểm hoạ vật lý và điện tử. Ví dụ, đối t−ợng mạo danh, nghe trộm, ăn cắp. Đối t−ợng nghe trộm là ng−ời hoặc thiết bị có khả năng nghe trộm và sao chép các cuộc truyền trên Internet. Để có một l−ợc đồ an toàn tốt, bạn phải xác định rủi ro, quyết định nên bảo vệ tài sản nào và tính toán chi phí cần sử dụng để bảo vệ tài sản đó. Trong các phần sau, chúng ta tập trung vào việc bảo vệ, quản lý rủi ro chứ không tập trung vào các chi phí bảo vệ hoặc giá trị của các tài sản. Chúng ta tập trung vào các vấn đề nh− xác định các hiểm hoạ và đ−a ra các cách nhằm bảo vệ các tài sản khỏi bị hiểm hoạ đó. Phân loại an toàn máy tính Các chuyên gia trong lĩnh vực an toàn máy tính đều nhất trí rằng cần phân loại an toàn máy tính thành 3 loại: loại đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn (integrity) và loại bảo đảm tính sẵn sàng (necessity). Trong đó: 8 Tính bí mật ngăn chặn việc khám phá trái phép dữ liệu và đảm bảo xác thực nguồn gốc dữ liệu. 8 Tính toàn vẹn ngăn chặn sửa đổi trái phép dữ liệu. 8 Tính sẵn sàng ngăn chặn, không cho phép làm trễ dữ liệu và chống chối bỏ. Giữ bí mật là một trong các biện pháp an toàn máy tính đ−ợc biết đến nhiều nhất. Hàng tháng, các tờ báo đ−a ra rất nhiều bài viết nói về các vụ tấn công ngân hàng hoặc sử dụng trái phép các số thẻ tín dụng bị đánh cắp để lấy hàng hoá và dịch vụ. Các hiểm hoạ về tính toàn vẹn không đ−ợc đ−a ra th−ờng xuyên nh− trên, nên nó ít quen thuộc với mọi ng−ời. Ví dụ về một tấn công toàn vẹn, chẳng hạn nh− nội dung của một thông báo th− điện tử bị thay đổi, có thể khác hẳn với nội dung ban đầu. ở đây có một vài ví dụ về hiểm hoạ đối với tính sẵn sàng, xảy ra khá th−ờng xuyên. Việc làm trễ một thông báo hoặc phá huỷ hoàn toàn
  6. thông báo có thể gây ra các hậu quả khó l−ờng. Ví dụ, bạn gửi thông báo th− tín điện tử lúc 10 giờ sáng tới E*Trade, đây là một công ty giao dịch chứng khoán trực tuyến, đề nghị họ mua 1.000 cổ phiếu của IBM trên thị tr−ờng. Nh−ng sau đó, ng−ời môi giới mua bán cổ phiếu thông báo rằng anh ta chỉ nhận đ−ợc thông báo của bạn sau 2 giờ 30 phút chiều (một đối thủ cạnh tranh nào đó đã làm trễ thông báo) và giá cổ phiếu lúc này đã tăng lên 15% trong thời gian chuyển tiếp. Bản quyền và sở hữu trí tuệ Quyền đối với bản quyền và bảo vệ sở hữu trí tuệ cũng là các vấn đề cần đến an toàn, mặc dù chúng đ−ợc bảo vệ thông qua các biện pháp khác nhau. Bản quyền là việc bảo vệ sở hữu trí tuệ của một thực thể nào đó trong mọi lĩnh vực. Sở hữu trí tuệ là chủ sở hữu của các ý t−ởng và kiểm soát việc biểu diễn các ý t−ởng này d−ới dạng ảo hoặc thực. Cũng giống với xâm phạm an toàn máy tính, xâm phạm bản quyền gây ra các thiệt hại. Tuy nhiên, nó không giống với các lỗ hổng trong an toàn máy tính. Tại Mỹ, luật bản quyền đã ra đời từ năm 1976 và hiện nay có rất nhiều các trang Web đ−a ra các thông tin bản quyền. Chính sách an toàn và an toàn tích hợp Để bảo vệ các tài sản th−ơng mại điện tử của mình, một tổ chức cần có các chính sách an toàn phù hợp. Một chính sách an toàn là một tài liệu công bố những tài sản cần đ−ợc bảo vệ và tại sao phải bảo vệ chúng, ng−ời nào phải chịu trách nhiệm cho việc bảo vệ này, hoạt động nào đ−ợc chấp nhận và hoạt động nào không đ−ợc chấp nhận. Phần lớn các chính sách an toàn đòi hỏi an toàn vật lý, an toàn mạng, quyền truy nhập, bảo vệ chống lại virus và khôi phục sau thảm hoạ. Chính sách phải đ−ợc phát triển th−ờng xuyên và nó là một tài liệu sống, công ty hoặc văn phòng an toàn phải tra cứu và cập nhật th−ờng xuyên hay định kỳ, thông qua nó. Để tạo ra một chính sách an toàn, phải bắt đầu từ việc xác định các đối t−ợng cần phải bảo vệ (ví dụ, bảo vệ các thẻ tín dụng khỏi bị những đối t−ợng nghe trộm). Sau đó, xác định ng−ời nào có quyền truy nhập vào các phần của hệ thống. Tiếp theo, xác định tài nguyên nào có khả năng bảo vệ các tài sản đã xác định tr−ớc. Đ−a ra các thông tin mà nhóm phát triển chính sách an toàn đòi hỏi. Cuối cùng, uỷ thác các tài nguyên phần mềm và phần cứng tự tạo ra hoặc mua lại, các rào cản vật lý nhằm thực hiện chính sách an toàn.Ví dụ, nếu chính sách an toàn chỉ ra rằng, không một ai đ−ợc phép truy nhập trái phép vào thông tin khách hàng và các thông tin nh− số thẻ tín dụng, khái l−ợc của tín dụng, chúng ta phải viết phần mềm đảm bảo bí mật từ đầu này tới đầu kia (end to end) cho các khách hàng th−ơng mại điện tử hoặc mua phần mềm (các ch−ơng trình hoặc các giao thức) tuân theo chính sách an toàn này. Để đảm bảo an toàn tuyệt đối là rất khó, thậm chí là không thể, chỉ có thể tạo ra các rào cản đủ để ngăn chặn các xâm phạm. An toàn tích hợp là việc kết hợp tất cả các biện pháp với nhau nhằm ngăn chặn việc khám phá, phá huỷ hoặc sửa đổi trái phép các tài sản. Các yếu tố đặc tr−ng của một chính sách an toàn gồm:
  7. 8 Xác thực: Ai là ng−ời đang cố gắng truy nhập vào site th−ơng mại điện tử? 8 Kiểm soát truy nhập: Ai là ng−ời đ−ợc phép đăng nhập vào site th−ơng mại điện tử và truy nhập vào nó? 8 Bí mật: Ai là ng−ời đ−ợc phép xem các thông tin có chọn lọc? 8 Toàn vẹn dữ liệu: Ai là ng−ời đ−ợc phép thay đổi dữ liệu và ai là ng−ời không đ−ợc phép thay đổi dữ liệu? 8 Kiểm toán: Ai là ng−ời gây ra các biến cố, chúng là biến cố nh− thế nào và xảy ra khi nào? Trong phần này, chúng ta tập trung vào các vấn đề áp dụng các chính sách an toàn vào th−ơng mại điện tử nh− thế nào. Tiếp theo, chúng ta sẽ tìm hiểu về các hiểm hoạ đối với thông tin số, đầu tiên là các hiểm hoạ đối với sở hữu trí tuệ. 1.2 Các hiểm hoạ đối với sở hữu trí tuệ Các hiểm hoạ đối với sở hữu trí tuệ là một vấn đề lớn và chúng đã tồn tại tr−ớc khi Internet đ−ợc sử dụng rộng rãi. Việc sử dụng tài liệu có sẵn trên Internet mà không cần sự cho phép của chủ nhân rất dễ dàng. Thiệt hại từ việc xâm phạm bản quyền rất khó −ớc tính so với các thiệt hại do xâm phạm an toàn lên tính bí mật, toàn vẹn hay sẵn sàng (nh− đã trình bày ở trên). Tuy nhiên, thiệt hại này không phải là nhỏ. Internet có mục tiêu riêng hấp dẫn với hai lý do. Thứ nhất, có thể dễ dàng sao chép hoặc có đ−ợc một bản sao của bất cứ thứ gì tìm thấy trên Internet, không cần quan tâm đến các ràng buộc bản quyền. Thứ hai, rất nhiều ng−ời không biết hoặc không có ý thức về các ràng buộc bản quyền, chính các ràng buộc bản quyền này bảo vệ sở hữu trí tuệ. Các ví dụ về việc không có ý thức và cố tình xâm phạm bản quyền xảy ra hàng ngày trên Internet. Hầu hết các chuyên gia đều nhất trí rằng, sở dĩ các xâm phạm bản quyền trên Web xảy ra là do ng−ời ta không biết những gì không đ−ợc sao chép. Hầu hết mọi ng−ời không chủ tâm sao chép một sản phẩm đã đ−ợc bảo vệ và gửi nó trên Web. Mặc dù luật bản quyền đã đ−ợc ban bố tr−ớc khi Internet hình thành, Internet đã làm rắc rối các ràng buộc bản quyền của nhà xuất bản. Nhận ra việc sao chép trái phép một văn bản khá dễ dàng, còn không cho phép sử dụng trái phép một bức tranh trên một trang Web là một việc rất khó khăn. Trung tâm Berkman về Internet và xã hội tại tr−ờng luật Harvard mới đây đã giới thiệu một khoá học có tiêu đề "Sở hữu trí tuệ trong không gian máy tính". The Copyright Website giải quyết các vấn đề về bản quyền, gửi các nhóm tin và sử dụng không gian lận. Sử dụng không gian lận cho phép sử dụng giới hạn các tài liệu bản quyền sau khi thoả mãn một số điều kiện nào đó. Trong một vài năm trở lại đây, xảy ra sự tranh chấp về quyền sở hữu trí tuệ và các tên miền của Internet. Các toà án đã phải giải quyết rất nhiều tr−ờng hợp xoay quanh hoạt động Cybersquatting. Cybersquatting là một hoạt động đăng ký tên miền, đúng hơn là đăng ký
  8. nhãn hiệu của một cá nhân hay công ty khác và ng−ời chủ sở hữu sẽ trả một số l−ợng lớn đôla để có đ−ợc địa chỉ URL. 1.3 Các hiểm hoạ đối với th−ơng mại điện tử Có thể nghiên cứu các yêu cầu an toàn th−ơng mại điện tử bằng cách kiểm tra toàn bộ quy trình, bắt đầu với khách hàng và kết thúc với máy chủ th−ơng mại. Khi cần xem xét từng liên kết logic trong "dây chuyền th−ơng mại", các tài sản phải đ−ợc bảo vệ nhằm đảm bảo th−ơng mại điện tử an toàn, bao gồm các máy khách, các thông báo đ−ợc truyền đi trên các kênh truyền thông, các máy chủ Web và máy chủ th−ơng mại, gồm cả phần cứng gắn với các máy chủ. Khi viễn thông là một trong các tài sản chính cần đ−ợc bảo vệ, các liên kết viễn thông không chỉ là mối quan tâm trong an toàn máy tính và an toàn th−ơng mại điện tử. Ví dụ, nếu các liên kết viễn thông đ−ợc thiết lập an toàn nh−ng không có biện pháp an toàn nào cho các máy khách hoặc các máy chủ Web, máy chủ th−ơng mại, thì chắc chắn không tồn tại an toàn truyền thông. Một ví dụ khác, nếu máy khách bị nhiễm virus thì các thông tin bị nhiễm virus có thể đ−ợc chuyển cho một máy chủ th−ơng mại hoặc máy chủ Web. Trong tr−ờng hợp này, các giao dịch th−ơng mại chỉ có thể an toàn chừng nào yếu tố cuối cùng an toàn, đó chính là máy khách. Các mục tiếp theo trình bày bảo vệ các máy khách, bảo vệ truyền thông trên Internet và bảo vệ các máy chủ th−ơng mại điện tử. Tr−ớc hết chúng ta xem xét các hiểm hoạ đối với các máy khách. Các mối hiểm hoạ đối với máy khách Cho đến khi biểu diễn đ−ợc nội dung Web, các trang Web chủ yếu ở trạng thái tĩnh. Thông qua ngôn ngữ biểu diễn siêu văn bản HTML (ngôn ngữ mô tả trang Web chuẩn), các trang tĩnh cũng ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết các trang Web với các thông tin bổ xung. Việc sử dụng rộng rãi các nội dung động (active content) đã dẫn đến điều này. Khi nói đến active content, ng−ời ta muốn nói đến các ch−ơng trình đ−ợc nhúng vào các trang Web một cách trong suốt và tạo ra các hoạt động. Active content có thể hiển thị hình ảnh động, tải về và phát lại âm thanh, hoặc thực hiện các ch−ơng trình bảng tính dựa vào Web. Active content đ−ợc sử dụng trong th−ơng mại điện tử để đặt các khoản mục mà chúng ta muốn mua trong một thẻ mua hàng và tính toán tổng số hoá đơn, bao gồm thuế bán hàng, các chi phí vận chuyển bằng đ−ờng thuỷ và chi phí xử lý. Các nhà phát triển nắm lấy active content vì nó tận dụng tối đa chức năng của HTML và bổ xung thêm sự sống động cho các trang Web. Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý nhiều dữ liệu và gánh nặng này đ−ợc chuyển bớt sang cho các máy khách nhàn rỗi của ng−ời sử dụng. Active content đ−ợc cung cấp theo một số dạng. Các dạng active content đ−ợc biết đến nhiều nhất là applets, ActiveX controls, JavaScript và VBScript.
  9. JavaScript và VBScript cho các script (tập các chỉ lệnh) hoặc các lệnh có thể thực hiện đ−ợc, chúng còn đ−ợc gọi là các ngôn ngữ kịch bản. VBScript là một tập con của ngôn ngữ lập trình Visual Basic của Microsoft, đây là một công cụ biên dịch nhanh gọn và mềm dẻo khi sử dụng trong các trình duyệt Web và các ứng dụng khác có sử dụng Java applets hoặc ActiveX controls của Microsoft. Applet là một ch−ơng trình nhỏ chạy trong các ch−ơng trình khác và không chạy trực tiếp trên một máy tính. Điển hình là các applet chạy trên trình duyệt Web. Còn có các cách khác để cung cấp active content, nh−ng chúng không phổ biến với nhiều ng−ời, chẳng hạn nh− các trình Graphics và các trình duyệt Web plug-ins. Các tệp Graphics có thể chứa các chỉ lệnh ẩn đ−ợc nhúng kèm. Các chỉ lệnh này đ−ợc thực hiện trên máy khách khi chúng đ−ợc tải về. Các ch−ơng trình hoặc các công cụ biên dịch thực hiện các chỉ lệnh đ−ợc tìm thấy trong ch−ơng trình Graphics, một số khuôn dạng khác có thể tạo ra các chỉ lệnh không có lợi (ẩn trong các chỉ lệnh graphics) và chúng cũng đ−ợc thực hiện. Plug- ins là các ch−ơng trình biên dịch hoặc thực hiện các chỉ lệnh, đ−ợc nhúng vào trong các hình ảnh tải về, âm thanh và các đối t−ợng khác. Active content cho các trang Web khả năng thực hiện các hoạt động. Ví dụ, các nút nhấn có thể kích hoạt các các ch−ơng trình đ−ợc nhúng kèm để tính toán và hiển thị thông tin hoặc gửi dữ liệu từ một máy khách sang một máy chủ Web. Active content mang lại sự sống động cho các trang Web tĩnh. Active content đ−ợc khởi chạy nh− thế nào? Đơn giản, bạn chỉ cần sử dụng trình duyệt Web của mình và xem một trang Web có chứa active content. Applet tự động tải về, song song với trang mà bạn đang xem và bắt đầu chạy trên máy tính của bạn. Điều này làm nảy sinh vấn đề. Do các mođun active content đ−ợc nhúng vào trong các trang Web, chúng có thể trong suốt hoàn toàn đối với bất kỳ ng−ời nào xem duyệt trang Web chứa chúng. Bất kỳ ai cố tình gây hại cho một máy khách đều có thể nhúng một active content gây hại vào các trang Web. Kỹ thuật lan truyền này đ−ợc gọi là con ngựa thành Tơroa, nó thực hiện và gây ra các hoạt động bất lợi. Con ngựa thành Tơroa là một ch−ơng trình ẩn trong các ch−ơng trình khác hoặc trong các trang Web. Con ngựa thành Tơroa có thể thâm nhập vào máy tính của bạn và gửi các thông tin bí mật ng−ợc trở lại cho một máy chủ Web cộng tác (một hình thức xâm phạm tính bí mật). Nguy hiểm hơn, ch−ơng trình có thể sửa đổi và xoá bỏ thông tin trên một máy khách (một hình thức xâm phạm tính toàn vẹn). Việc đ−a active content vào các trang Web th−ơng mại điện tử gây ra một số rủi ro. Các ch−ơng trình gây hại đ−ợc phát tán thông qua các trang Web, có thể phát hiện ra số thẻ tín dụng, tên ng−ời dùng và mật khẩu. Những thông tin này th−ờng đ−ợc l−u giữ trong các file đặc biệt, các file này đ−ợc gọi là cookie. Các cookie đ−ợc sử dụng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên ng−ời dùng và mật khẩu. Nhiều active content gây hại có thể lan truyền thông qua các cookie, chúng có thể phát hiện đ−ợc nội dung của các file phía máy khách, hoặc thậm chí có thể huỷ bỏ các file đ−ợc l−u giữ trong các máy khách. Ví dụ,
  10. một virus máy tính đã phát hiện đ−ợc danh sách các địa chỉ th− tín điện tử của ng−ời sử dụng và gửi danh sách này cho những ng−ời khác trên Internet. Trong tr−ờng hợp này, ch−ơng trình gây hại giành đ−ợc đầu vào (entry) thông qua th− tín điện tử đ−ợc truy nhập từ một Web trình duyệt. Cũng có nhiều ng−ời không thích l−u giữ các cookie trên các máy tính của họ. Trên máy tính cá nhân có l−u một số l−ợng lớn các cookie giống nh− trên Internet và một số các cookie có thể chứa các thông tin nhạy cảm và mang tính chất cá nhân. Có rất nhiều ch−ơng trình phần mềm miễn phí có thể giúp nhận dạng, quản lý, hiển thị hoặc loại bỏ các cookie.Ví dụ, Cookie Crusher (kiểm soát các cookie tr−ớc khi chúng đ−ợc l−u giữ trên ổ cứng của máy tính) và Cookie Pal. Các mối hiểm hoạ đối với kênh truyền thông Internet đóng vai trò kết nối một khách hàng với một tài nguyên th−ơng mại điện tử (máy tính dịch vụ th−ơng mại). Chúng ta đã xem xét các hiểm hoạ đối với các máy khách, các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này đ−ợc sử dụng để kết nối các máy khách và máy chủ. Internet không phải đã an toàn. Ban đầu nó chỉ là một mạng dùng trong quân sự. Mạng DARPA đ−ợc xây dựng để cung cấp các truyền thông không an toàn khi một hoặc nhiều đ−ờng truyền thông bị cắt. Nói cách khác, mục đích ban đầu của nó là cung cấp một số đ−ờng dẫn luân phiên để gửi các thông tin quân sự thiết yếu. Dự tính, các thông tin nhạy cảm đ−ợc gửi đi theo một dạng đã đ−ợc mã hoá, do đó các thông báo chuyển trên mạng đ−ợc giữ bí mật và chống lấy trộm. Độ an toàn của các thông báo chuyển trên mạng có đ−ợc thông qua phần mềm chuyển đổi các thông báo sang dạng chuỗi ký tự khó hiểu và ng−ời ta gọi chúng là các văn bản mã. Ngày nay, tình trạng không an toàn của Internet vẫn tồn tại. Các thông báo trên Internet đ−ợc gửi đi theo một đ−ờng dẫn ngẫu nhiên, từ nút nguồn tới nút đích. Các thông báo đi qua một số máy tính trung gian trên mạng tr−ớc khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theo những tuyến đ−ờng khác nhau. Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều tin cậy, an toàn và không thù địch. Bạn biết rằng, một thông báo đ−ợc gửi đi từ Manchester, England tới Cairo, Egypt cho một th−ơng gia có thể đi qua máy tính của một đối t−ợng cạnh tranh, chẳng hạn ở Beirut, Lebanon. Vì chúng ta không thể kiểm soát đ−ợc đ−ờng dẫn và không biết đ−ợc các gói của thông báo đang ở đâu, những đối t−ợng trung gian có thể đọc các thông báo của bạn, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet. Do vậy, các thông báo đ−ợc gửi đi trên mạng là đối t−ợng có khả năng bị xâm phạm đến tính an toàn, tính toàn vẹn và tính sẵn sàng. Chúng ta sẽ xem xét chi tiết các mối hiểm hoạ đối với an toàn kênh trên Internet dựa vào sự phân loại này. Các mối hiểm hoạ đối với tính bí mật Đe doạ tính bí mật là một trong những mối hiểm hoạ hàng đầu và rất phổ biến. Kế tiếp theo tính bí mật là tính riêng t−. Tính bí mật và tính riêng t− là hai vấn đề khác nhau. Đảm
  11. bảo bí mật là ngăn chặn khám phá trái phép thông tin. Đảm bảo tính riêng t− là bảo vệ các quyền cá nhân trong việc chống khám phá. Đảm bảo bí mật là vấn đề mang tính kỹ thuật, đòi hỏi sự kết hợp của các cơ chế vật lý và logic, trong khi đó luật pháp sẵn sàng bảo vệ tính riêng t−. Một ví dụ điển hình về sự khác nhau giữa tính bí mật và tính riêng t−, đó chính là th− tín điện tử. Các thông báo th− tín điện tử của một công ty có thể đ−ợc bảo vệ chống lại các xâm phạm tính bí mật, bằng cách sử dụng kỹ thuật mã hoá. Trong mã hoá, thông báo ban đầu đ−ợc mã thành một dạng khó hiểu và chỉ có ng−ời nhận hợp lệ mới có thể giải mã trở về dạng thông báo ban đầu. Các vấn đề riêng t− trong th− tín điện tử th−ờng xoay quanh việc có nên cho những ng−ời giám sát của công ty đọc thông báo của những ng−ời làm công một cách tuỳ tiện hay không. Các tranh cãi xoay quanh, ai là ng−ời chủ sở hữu các thông báo th− tín điện tử, công ty hay là ng−ời làm công (ng−ời đã gửi các thông báo th− tín điện tử). Trọng tâm của mục này là tính bí mật, ngăn chặn không cho các đối t−ợng xấu đọc thông tin trái phép. Chúng ta đã đề cập đến việc một đối t−ợng nguy hiểm có thể lấy cắp các thông tin nhạy cảm và mang tính cá nhân, bao gồm số thẻ tín dụng, tên, địa chỉ và các sở thích cá nhân. Điều này có thể xảy ra bất cứ lúc nào, khi có ng−ời nào đó đ−a các thông tin thẻ tín dụng lên Internet, một đối t−ợng có chủ tâm xấu có thể ghi lại các gói thông tin (xâm phạm tính bí mật) không mấy khó khăn. Vấn đề này cũng xảy ra t−ơng tự trong các cuộc truyền th− tín điện tử. Một phần mềm đặc biệt, đ−ợc gọi là ch−ơng trình đánh hơi (sniffer) đ−a ra các cách móc nối vào Internet và ghi lại các thông tin đi qua một máy tính đặc biệt (thiết bị định tuyến- router) trên đ−ờng đi từ nguồn tới đích. Ch−ơng trình sniffer gần giống với việc móc nối vào một đ−ờng điện thoại và ghi lại cuộc hội thoại. Các ch−ơng trình sniffer có thể đọc các thông báo th− tín điện tử cũng nh− các thông tin th−ơng mại điện tử. Tình trạng lấy cắp số thẻ tín dụng là một vấn đề đã quá rõ ràng, nh−ng các thông tin sản phẩm độc quyền của hãng, hoặc các trang dữ liệu phát hành đ−ợc gửi đi cho các chi nhánh của hãng có thể bị chặn xem một cách dễ dàng. Thông th−ờng, các thông tin bí mật của hãng còn có giá trị hơn nhiều so với một số thẻ tín dụng (các thẻ tín dụng th−ờng có giới hạn về số l−ợng tiền), trong khi đó các thông tin bị lấy cắp của hãng có thể trị giá tới hàng triệu đôla. Để tránh không bị xâm phạm tính bí mật là việc rất khó. Sau đây là một ví dụ về việc bạn có thể làm lộ các thông tin bí mật, qua đó đối t−ợng nghe trộm hoặc một máy chủ Web (Web site server) khác có thể lấy đ−ợc các thông tin này. Giả sử bạn đăng nhập vào một Web site, ví dụ www.anybiz.com và Web site này có nhiều hộp hội thoại nh− tên, địa chỉ và địa chỉ th− tín điện tử của bạn. Khi bạn điền vào các hộp hội thoại và nhấn vào nút chấp nhận, các thông tin sẽ đ−ợc gửi đến máy chủ Web để xử lý. Một cách thông dụng để truyền dữ liệu của bạn tới một máy chủ Web là tập hợp các đáp ứng của hộp hội thoại, đồng thời đặt chúng vào cuối URL của máy chủ đích (địa chỉ). Sau đó, dữ liệu này đ−ợc gửi đi cùng với yêu cầu HTTP chuyển dữ liệu tới máy chủ. Cho đến lúc này không có xâm phạm nào xảy ra. Giả sử rằng, bạn thay đổi ý kiến và quyết định không chờ đáp ứng từ máy chủ anybiz.com (sau khi đã gửi thông tin đến máy chủ này) và chuyển sang Web site khác, chẳng hạn www.somecompany.com. Máy chủ Somecompany.com có thể chọn để thu thập
  12. các trang Web đề mô, ghi vào nhật ký các URL mà bạn vừa đến. Điều này giúp cho ng−ời quản lý site xác định đ−ợc luồng thông tin th−ơng mại điện tử đã tới site. Bằng cách ghi lại địa chỉ URL anybiz.com, Somecompany.com đã vi phạm tính bí mật, vì đã ghi lại các thông tin bí mật mà bạn vừa mới nhập vào. Điều này không th−ờng xuyên xảy ra, nh−ng chúng ta không đ−ợc chủ quan, nó vẫn "có thể" xảy ra. Bạn đã tự làm lộ thông tin khi sử dụng Web. Các thông tin này có cả địa chỉ IP (địa chỉ Internet) và trình duyệt mà bạn đang sử dụng. Đây là một ví dụ về việc xâm phạm tính bí mật. ít nhất có một Web site có thể đ−a ra dịch vụ "trình duyệt ẩn danh", dịch vụ này che dấu các thông tin cá nhân, không cho các site mà bạn đến đ−ợc biết. Web site có tên là Anonymizer, nó đóng vai trò nh− một bức t−ờng lửa và các l−ới chắn che dấu thông tin cá nhân. Nó tránh làm lộ thông tin bằng cách đặt địa chỉ Anonymizer vào phần tr−ớc của các địa chỉ URL bất kỳ, nơi mà bạn đến. L−ới chắn này chỉ cho phép các site khác biết thông tin về Web site mang tên là Anonymizer, chứ không cho biết thông tin gì về bạn. Ví dụ, nếu bạn truy nhập vào Amazon.com, Anonymizer sẽ đ−a ra URL nh− sau: www.amazon.com Các hiểm hoạ đối với tính toàn vẹn Mối hiểm hoạ đối với tính toàn vẹn tồn tại khi một thành viên trái phép có thể sửa đổi các thông tin trong một thông báo. Các giao dịch ngân hàng không đ−ợc bảo vệ, ví dụ tổng số tiền gửi đ−ợc chuyển đi trên Internet, là chủ thể của xâm phạm tính toàn vẹn. Tất nhiên, xâm phạm tính toàn vẹn bao hàm cả xâm phạm tính bí mật, bởi vì một đối t−ợng xâm phạm (sửa đổi thông tin) có thể đọc và làm sáng tỏ các thông tin. Không giống hiểm hoạ đối với tính bí mật (ng−ời xem đơn giản chỉ muốn xem thông tin), các hiểm hoạ đối với tính toàn vẹn là gây ra sự thay đổi trong các hoạt động của một cá nhân hoặc một công ty, do nội dung cuộc truyền thông đã bị sửa đổi. Phá hoại điều khiển (Cyber vandalism) là một ví dụ về việc xâm phạm tính toàn vẹn. Cyber vandalism xoá (để khỏi đọc đ−ợc) một trang Web đang tồn tại. Cyber vandalism xảy ra bất cứ khi nào, khi các cá nhân thay đổi định kỳ nội dung trang Web của họ. Giả mạo (Masquerading) hoặc đánh lừa (spoofing) là một trong những cách phá hoại Web site. Bằng cách sử dụng một kẽ hở trong hệ thống tên miền (DNS), thủ phạm có thể thay thế vào đó các địa chỉ Web site giả của chúng. Ví dụ, một tin tặc có thể tạo ra một Web site giả mạo www.widgetsinternational.com, bằng cách lợi dụng một kẽ hở trong DNS để thay thế địa chỉ IP giả của tin tặc vào địa chỉ IP thực của Widgets International. Do vậy, mọi truy cập đến Widgets International đều bị đổi h−ớng sang Web site giả. Tấn công toàn vẹn chính là việc sửa đổi một yêu cầu và gửi nó tới máy chủ th−ơng mại của một công ty thực. Máy chủ th−ơng mại không biết đ−ợc tấn công này, nó chỉ kiểm tra lại số thẻ tín dụng của khách hàng và tiếp tục thực hiện yêu cầu.
  13. Các hiểm hoạ về toàn vẹn có thể sửa đổi các thông tin quan trọng trong các lĩnh vực tài chính, y học hoặc quân sự. Việc sửa đổi này có thể gây ra các hậu quả nghiêm trọng cho mọi ng−ời và kinh doanh th−ơng mại. Các hiểm hoạ đối với tính sẵn sàng Mục đích của các hiểm hoạ đối với tính sẵn sàng (đ−ợc biết đến nh− các hiểm hoạ làm chậm trễ hoặc chối bỏ) là phá vỡ quá trình xử lý thông th−ờng của máy tính, hoặc chối bỏ toàn bộ quá trình xử lý. Một máy tính khi vấp phải hiểm hoạ này, quá trình xử lý của nó th−ờng bị chậm lại với một tốc độ khó chấp nhận. Ví dụ, nếu tốc độ xử lý giao dịch của một máy rút tiền tự động bị chậm lại từ 1giây, 2 giây tới 30 giây, ng−ời sử dụng sẽ không sử dụng các máy này nữa. T−ơng tự, việc trì hoãn các dịch vụ Internet sẽ khiến cho các khách hàng chuyển sang các Web site hoặc site th−ơng mại của các đối thủ cạnh tranh khác. Nói cách khác, việc làm chậm quá trình xử lý làm cho một dịch vụ trở nên kém hấp dẫn và không còn hữu ích. Rõ ràng là một tờ báo mang tính thời sự sẽ trở nên vô nghĩa hay chẳng có giá trị với mọi ng−ời nếu nó đ−a ra các tin tức đã xảy ra từ 3 ngày tr−ớc đó. Các tấn công chối bỏ có thể xoá bỏ toàn bộ hoặc loại bỏ một phần các thông tin trong một file hoặc một cuộc liên lạc. Nh− đã biết, Quicken là một ch−ơng trình tính toán, nó có thể đ−ợc cài đặt vào tất cả các máy tính nhằm làm trệch h−ớng tiền gửi đến tài khoản của một nhà băng khác. Tấn công chối bỏ sẽ phủ nhận số tiền gửi của những ng−ời chủ hợp pháp đối với số tiền đó. Tấn công của Robert Morris Internet Worm là một ví dụ điển hình về tấn công chối bỏ. Các mối hiểm hoạ đối với máy chủ Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client-Internet- Server), bao gồm đ−ờng dẫn th−ơng mại điện tử giữa một ng−ời sử dụng và một máy chủ th−ơng mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối t−ợng nào đó có thể lợi dụng những điểm yếu này để phá huỷ, hoặc thu đ−ợc các thông tin một cách trái phép. Một điểm truy nhập là máy chủ Web và các phần mềm của nó. Các điểm truy nhập khác là các ch−ơng trình phụ trợ bất kỳ có chứa dữ liệu, ví dụ nh− một cơ sở dữ liệu và máy chủ của nó. Các điểm truy nhập nguy hiểm có thể là các ch−ơng trình CGI hoặc là các ch−ơng trình tiện ích đ−ợc cài đặt trong máy chủ. Không một hệ thống nào đ−ợc coi là an toàn tuyệt đối, chính vì vậy, ng−ời quản trị của máy chủ th−ơng mại cần đảm bảo rằng các chính sách an toàn đã đ−ợc đ−a ra và xem xét trong tất cả các phần của một hệ thống th−ơng mại điện tử. Các hiểm hoạ đối với máy chủ Web Phần mềm máy chủ Web đ−ợc thiết kế để chuyển các trang Web bằng cách đáp ứng các yêu cầu của HTTP (giao thức truyền siêu văn bản). Với các phần mềm máy chủ Web ít gặp rủi ro, nó đ−ợc thiết kế với dịch vụ Web và đảm bảo mục đích thiết kế chính. Phức tạp hơn, các phần mềm (có thể có các lỗi ch−ơng trình hoặc các lỗ hổng về an toàn) là các điểm yếu mà qua đó đối t−ợng xấu có thể can thiệp vào.
  14. Các máy chủ Web đ−ợc thực hiện trên hầu hết các máy, ví dụ nh− các máy tính chạy trên hệ điều hành UNIX, đ−ợc thiết lập chạy ở các mức đặc quyền khác nhau. Mức thẩm quyền cao nhất có độ mềm dẻo cao nhất, cho phép các ch−ơng trình, trong đó có các máy chủ Web, thực hiện tất cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống, không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền. Còn các mức thẩm quyền thấp nhất tạo ra một rào cản logic xung quanh một ch−ơng trình đang chạy, ngăn chặn không cho nó chạy tất cả các lớp lệnh của máy và không cho phép nó truy nhập vào tất cả các vùng của máy tính, chí ít là các vùng l−u giữ nhạy cảm. Quy tắc an toàn đặt ra là cung cấp một ch−ơng trình và ch−ơng trình này cần có thẩm quyền tối thiểu để thực hiện công việc của mình. Ng−ời quản trị hệ thống (ng−ời thiết lập các tài khoản (account) và mật khẩu cho những ng−ời sử dụng) cần một mức thẩm quyền rất cao, đ−ợc gọi là "super user" trong môi tr−ờng UNIX, để sửa đổi các vùng nhạy cảm và có giá trị của hệ thống. Việc thiết lập một máy chủ Web chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ Web. Trong hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông th−ờng và thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web chạy ở mức thẩm quyền cao, một đối t−ợng xấu có thể lợi dụng một máy chủ Web để thực hiện các lệnh trong chế độ thẩm quyền. Một máy chủ Web có thể dàn xếp tính bí mật, nếu nó giữ các danh sách th− mục tự động đ−ợc lựa chọn thiết lập mặc định. Xâm phạm tính bí mật xảy ra khi một trình duyệt Web có thể phát hiện ra các tên danh mục của một máy chủ. Điều này xảy ra khá th−ờng xuyên, nguyên nhân là do khi bạn nhập vào một URL, chẳng hạn nh−: và mong muốn đ−ợc xem trang ngầm định trong th− mục FAQ. Trang Web ngầm định (máy chủ có thể hiển thị nó) đ−ợc đặt tên là index.html. Nếu file này không có trong th− mục, máy chủ Web sẽ hiển thị tất cả các tên danh mục có trong th− mục. Khi đó, bạn có thể nhấn vào một tên danh mục ngẫu nhiên và xem xét các danh mục mà không bị giới hạn. Những ng−ời quản trị của các site khác, ví dụ ng−ời quản trị của Microsoft, rất thận trọng trong việc hiển thị tên danh mục. Việc nhập tên ng−ời dùng vào một phần đặc biệt trong không gian Web, về bản chất không phải là sự xâm phạm tính bí mật hoặc tính riêng t−. Tuy nhiên, tên ng−ời dùng và mật khẩu bí mật có thể bị lộ khi bạn truy nhập vào nhiều trang trong vùng nội dung đ−ợc bảo vệ và quan trọng của máy chủ Web. Điều này có thể xảy ra, vì một số máy chủ yêu cầu thiết lập lại tên ng−ời dùng và mật khẩu cho từng trang trong vùng nội dung quan trọng mà bạn truy cập vào do Web không l−u nhớ những gì đã xảy ra trong giao dịch cuối. Cách thích hợp nhất để nhớ tên ng−ời dùng và mật khẩu là l−u giữ các thông tin bí mật của ng−ời sử dụng trong một cookie có trên máy của ng−ời này. Theo cách này, một máy chủ Web có thể yêu cầu xác nhận dữ liệu, bằng cách yêu cầu máy tính gửi cho một cookie. Vấn đề rắc rối xảy ra là các thông tin có trong một cookie có thể đ−ợc truyền đi không an toàn và một đối t−ợng nghe trộm có thể sao chép. Với tình trạng này, máy chủ Web cần yêu cầu truyền cookie an toàn.
  15. Một SSI là một ch−ơng trình nhỏ, ch−ơng trình này có thể đ−ợc nhúng vào một trang Web, nó có thể chạy trên máy chủ (đôi khi còn đ−ợc gọi là servlet). Bất cứ khi nào ch−ơng trình chạy trên một máy chủ hay đến từ một nguồn vô danh và không tin cậy, ví dụ từ trang Web của một ng−ời sử dụng, có thể sẽ xảy ra khả năng SSI yêu cầu thực hiện một hoạt động bất hợp pháp nào đó. Mã ch−ơng trình SSI có thể là một chỉ thị của hệ điều hành yêu cầu hiển thị file mật khẩu, hoặc gửi ng−ợc trở lại một vị trí đặc biệt. Ch−ơng trình FTP có thể phát hiện các mối hiểm hoạ đối với tính toàn vẹn của máy chủ Web. Việc lộ thông tin có thể xảy ra khi không có các cơ chế bảo vệ đối với các danh mục, do đó ng−ời sử dụng FTP có thể duyệt qua. Ví dụ, giả thiết có một máy khách th−ơng mại hoàn toàn và máy này có account của máy tính th−ơng mại khác, nó có thể tải dữ liệu lên máy tính của đối tác một cách định kỳ. Bằng ch−ơng trình FTP, ng−ời quản trị của hệ thống có thể đăng nhập vào máy tính của đối tác th−ơng mại, tải dữ liệu lên, sau đó tiến hành mở và hiển thị nội dung của các danh mục khác có trong máy tính máy chủ Web. Việc làm này không có gì khó nếu thiếu các bảo vệ. Với một ch−ơng trình máy chủ Web, bạn có thể nhấn đúp chuột vào một danh mục của th− mục chính để thay đổi thứ bậc của danh mục này, nhấn đúp chuột vào danh mục khác, nh− danh mục đặc quyền của công ty khác, để tải về các thông tin mà bạn nhìn thấy. Điều này có thể thực hiện một cách đơn giản vì ng−ời ta đã quên giới hạn khả năng xem duyệt của một đối tác khác đối với một danh mục đơn lẻ. Một trong các file nhạy cảm nhất trên máy chủ Web (nếu nó tồn tại) chứa mật khẩu và tên ng−ời dùng của máy chủ Web. Nếu file này bị tổn th−ơng, bất kỳ ai cũng có thể thâm nhập vào các vùng thẩm quyền, bằng cách giả mạo một ng−ời nào đó. Do có thể giả danh để lấy đ−ợc các mật khẩu và tên ng−ời dùng nên các thông tin liên quan đến ng−ời sử dụng không còn bí mật nữa. Hầu hết các máy chủ Web l−u giữ bí mật các thông tin xác thực ng−ời dùng. Ng−ời quản trị máy chủ Web có nhiệm vụ đảm bảo rằng: máy chủ Web đ−ợc chỉ dẫn áp dụng các cơ chế bảo vệ đối với dữ liệu. Những mật khẩu (ng−ời dùng chọn) cũng là một hiểm hoạ. Đôi khi, ng−ời sử dụng chọn các mật khẩu dễ đoán, vì chúng có thể là tên thời con gái của mẹ, tên của một trong số các con, số điện thoại, hoặc số hiệu nhận dạng. Ng−ời ta gọi việc đoán nhận mật khẩu qua một ch−ơng trình lặp sử dụng từ điển điện tử là tấn công từ điển. Một khi đã biết đ−ợc mật khẩu của ng−ời dùng, bất kỳ ai cũng có thể truy nhập vào một máy chủ mà không bị phát hiện trong một khoảng thời gian dài. Các đe dọa đối với cơ sở dữ liệu Các hệ thống th−ơng mại điện tử l−u giữ dữ liệu của ng−ời dùng và lấy lại các thông tin về sản phẩm từ các cơ sở dữ liệu kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm, các cơ sở dữ liệu có thể chứa các thông tin có giá trị và mang tính riêng t−. Một công ty có thể phải chịu các thiệt hại nghiêm trọng nếu các thông tin này bị lộ hoặc bị sửa đổi. Hầu hết các hệ thống cơ sở dữ liệu có quy mô lớn và hiện đại sử dụng các đặc tính an toàn
  16. cơ sở dữ liệu dựa vào mật khẩu và tên ng−ời dùng. Sau khi đ−ợc xác thực, ng−ời sử dụng có thể xem các phần đã chọn trong cơ sở dữ liệu. Tính bí mật luôn sẵn sàng trong các cơ sở dữ liệu, thông qua các đặc quyền đ−ợc thiết lập trong cơ sở dữ liệu. Tuy nhiên, một số cơ sở dữ liệu l−u giữ mật khẩu/tên ng−ời dùng một cách không an toàn, hoặc quên thiết lập an toàn hoàn toàn và dựa vào máy chủ Web để có an toàn. Nếu một ng−ời bất kỳ có thể thu đ−ợc các thông tin xác thực ng−ời dùng, thì anh ta có thể giả danh thành một ng−ời sử dụng của cơ sở dữ liệu hợp pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá. Các ch−ơng trình con ngựa thành Tơroa nằm ẩn trong hệ thống cơ sở dữ liệu cũng có thể làm lộ các thông tin bằng việc giáng cấp các thông tin này (có nghĩa là chuyển các thông tin nhạy cảm sang một vùng ít đ−ợc bảo vệ của cơ sở dữ liệu, do đó bất cứ ai cũng có thể xem xét các thông tin này). Khi các thông tin bị giáng cấp, tất cả những ng−ời sử dụng, không ngoại trừ những đối t−ợng xâm nhập trái phép cũng có thể truy nhập. Chúng ta đã có một số l−ợng lớn các trang và Web site nói về an toàn cơ sở dữ liệu. Ví dụ, các liên kết trong Online Companion trình bày các mối quan tâm về an toàn cơ sở dữ liệu. Liên kết "SQL Server database threats" trong Online Companion trình bày các mối hiểm hoạ đối với SQL Server, nh−ng các mối hiểm hoạ này cũng áp dụng cho các hệ thống cơ sở dữ liệu nói chung. An toàn cơ sở dữ liệu đòi hỏi ng−ời quản trị của một hệ thống phải hết sức cẩn thận. Các hiểm hoạ đối với giao diện gateway thông th−ờng Nh− đã biết, CGI tiến hành chuyển các thông tin từ một máy chủ Web sang ch−ơng trình khác, chẳng hạn nh− một ch−ơng trình cơ sở dữ liệu. CGI và các ch−ơng trình (mà nó chuyển dữ liệu đến) cung cấp active content cho các trang Web. Ví dụ, một trang Web có thể chứa một hộp hội thoại để bạn điền tên đội thể thao chuyên nghiệp nổi tiếng. Chỉ khi bạn chấp nhận sự lựa chọn của mình, các ch−ơng trình CGI xử lý thông tin và tìm kiếm các tỷ số cuối cùng của đội này, đ−a các tỷ số lên một trang Web và sau đó gửi trang Web (vừa đ−ợc tạo ra) ng−ợc trở lại cho máy khách trình duyệt của bạn. Do CGI là các ch−ơng trình, khi chúng bị lạm dụng sẽ xảy ra một hiểm hoạ an toàn. Gần giống với các máy chủ Web, CGI script có thể đ−ợc thiết lập chạy ở các mức đặc quyền cao, không bị giới hạn. Một khi các CGI gây hại có thể truy nhập tự do vào các nguồn tài nguyên của hệ thống, chúng có khả năng làm cho hệ thống không hoạt động, gọi các ch−ơng trình hệ thống dựa vào đặc quyền để xóa các file, hoặc xem các thông tin bí mật của khách hàng, trong đó có tên ng−ời dùng và mật khẩu. Khi lập trình viên phát hiện ra sự không thích hợp hoặc lỗi trong các ch−ơng trình CGI, họ viết lại ch−ơng trình và thay thế chúng. Các CGI đã quá cũ và lỗi thời nh−ng không bị xoá bỏ, sẽ gây ra một số kẽ hở về an toàn trong hệ thống. Đồng thời, do các ch−ơng trình CGI và CGI script có thể c− trú ở bất cứ nơi nào trên máy chủ Web (có nghĩa là, trên th− mục hoặc danh mục bất kỳ), nên khó có thể theo dõi dấu vết và quản lý chúng. Tuy nhiên, bất cứ ng−ời nào khi xác định đ−ợc dấu vết của chúng, có thể thay thế các CGI script, kiểm tra, tìm hiểu các điểm yếu của chúng và khai thác các điểm yếu này để truy
  17. nhập vào một máy chủ Web và các nguồn tài nguyền của máy chủ Web này. Không giống với JavaScript, CGI script không chạy trong một vòng bảo vệ an toàn. Các hiểm hoạ đối với ch−ơng trình khác Tấn công nghiêm trọng khác (đối với máy chủ Web) có thể xuất phát từ các ch−ơng trình do máy chủ thực hiện. Các ch−ơng trình Java hoặc C++ đ−ợc chuyển tới các máy chủ Web thông qua một máy khách, hoặc c− trú th−ờng xuyên trên một máy chủ nhờ sử dụng một bộ nhớ đệm. Bộ nhớ đệm là một vùng nhớ l−u giữ các dữ liệu đ−ợc đọc từ một file hoặc cơ sở dữ liệu. Bộ nhớ đệm đ−ợc sử dụng khi có các hoạt động đầu vào và đầu ra, do đó một máy tính có thể xử lý các thông tin có trong file nhanh hơn các thông tin đ−ợc đọc từ các thiết bị đầu vào hoặc ghi vào các thiết bị đầu ra. Bộ nhớ đệm đóng vai trò nh− là một "vùng tạm trú" cho dữ liệu đến và đi. Ví dụ, các thông tin trong cơ sở dữ liệu đ−ợc xử lý và tập hợp lại trong một bộ nhớ đệm, do vậy, toàn bộ tập hợp hoặc phần lớn tập hợp đ−ợc l−u giữ trong bộ nhớ của máy tính. Sau đó, bộ xử lý có thể sử dụng dữ liệu này khi thao tác và phân tích. Vấn đề của bộ nhớ đệm chính là các ch−ơng trình lấp đầy chúng có thể bị hỏng và làm đầy bộ nhớ đệm, tràn dữ liệu thừa ra ngoài vùng nhớ đệm. Thông th−ờng, điều này xảy ra do ch−ơng trình có lỗi hoặc bị hỏng, gây tràn bộ nhớ. Đôi khi, lỗi xảy ra do chủ tâm. Trong từng tr−ờng hợp, cần giảm bớt các hậu quả nghiêm trọng có thể xảy ra. Một lập trình viên có thể rút ra kinh nghiệm khi nhận đ−ợc hậu quả do việc tràn bộ nhớ hoặc chạy một đoạn mã của ch−ơng trình có các chỉ lệnh ghi đè dữ liệu lên vùng bộ nhớ khác (không phải là vùng nhớ đ−ợc quy định tr−ớc). Kết quả là ch−ơng trình bị treo và ngừng xử lý, đôi khi treo hoặc phá huỷ toàn bộ máy tính (PC hoặc máy tính lớn). Các phá huỷ chủ tâm (do cố tình mã ch−ơng trình sai) chính là các tấn công chối bỏ. Tấn công kiểu sâu Internet (Internet Worm) là một ch−ơng trình nh− vậy. Nó gây tràn bộ nhớ, phá hỏng tất cả các nguồn tài nguyên cho đến khi máy chủ không hoạt động đ−ợc nữa. Một kiểu tấn công tràn bộ nhớ đệm là viết chỉ lệnh vào các vị trí thiết yếu của bộ nhớ, nhờ vậy ch−ơng trình của đối t−ợng xâm nhập trái phép có thể ghi đè lên các bộ nhớ đệm, máy chủ Web tiếp tục hoạt động, nạp địa chỉ của mã ch−ơng trình tấn công chính vào thanh ghi trong. Kiểu tấn công này có thể gây ra thiệt hại nghiêm trọng cho máy chủ Web, vì ch−ơng trình của đối t−ợng tấn công có thể giành đ−ợc kiểm soát ở mức đặc quyền rất cao. Việc chiếm dụng ch−ơng trình dẫn đến các file bị lộ và phá huỷ. Dữ liệu đ−ợc chuyển vào một bộ nhớ đệm và sau đó đ−ợc chuyển vào vùng l−u của hệ thống. Vùng l−u là nơi ch−ơng trình l−u giữ các thông tin thiết yếu, chẳng hạn nh− nội dung các thanh ghi của bộ xử lý trung tâm, các kết quả tính toán từng phần của một ch−ơng trình tr−ớc khi quyền kiểm soát đ−ợc chuyển cho ch−ơng trình khác. Khi quyền kiểm soát đ−ợc trả lại cho ch−ơng trình ban đầu, các nội dung của vùng l−u đ−ợc nạp lại vào các thanh ghi của CPU và quyền kiểm soát đ−ợc trả lại cho chỉ lệnh tiếp theo của ch−ơng trình. Tuy nhiên, khi quyền kiểm soát đ−ợc trả lại cho ch−ơng trình tấn công, nó sẽ không từ bỏ quyền kiểm soát này. Các liên kết tấn công làm tràn bộ đệm (Buffer overflow attacks) trong
  18. Online Companion trình bày chi tiết các điểm yếu dễ bị tấn công của bộ nhớ đệm của hai máy chủ Web khác nhau. Một tấn công t−ơng tự có thể xảy ra trên các máy chủ th− điện tử. Tấn công này đ−ợc gọi là bom th−, nó xảy ra khi có hàng trăm, hàng ngàn ng−ời muốn gửi một thông báo đến một địa chỉ. Mục đích của bom th− là chất đống một số l−ợng lớn các th− và số l−ợng th− này v−ợt quá giới hạn kích cỡ th− cho phép, chính điều này làm cho các hệ thống th− tín rơi vào tình trạng tắc nghẽn hoặc trục trặc. Các bom th− có vẻ giống nh− spamming, nh−ng chúng đối ng−ợc nhau. Spamming xảy ra khi một cá nhân hoặc một tổ chức gửi một thông báo đơn lẻ cho hàng ngàn ng−ời và gây rắc rối hơn một hiểm hoạ an toàn. 1.4 CERT Từ một thập kỷ tr−ớc, một nhóm các nhà nghiên cứu đã tập trung tìm hiểu và cố gắng loại bỏ tấn công kiểu sâu Internet. Trung tâm an toàn máy tính Quốc gia Mỹ (National Computer Security Center) và một bộ phận của Cục An ninh Quốc Gia là những đơn vị đi đầu trong việc tổ chức các cuộc hội thảo nhằm tìm ra ph−ơng cách đối phó với các xâm phạm an toàn có thể ảnh h−ởng tới hàng ngàn ng−ời trong t−ơng lai. Ngay sau cuộc hội thảo với các chuyên gia an toàn, DARPA thành lập trung tâm phối hợp CERT (Nhóm phản ứng khẩn cấp các sự cố về máy tính) và chọn tr−ờng đại học Carnegie Mellon ở Pittsburgh làm trụ sở chính. Các thành viên của CERT có trách nhiệm trong việc thiết lập một cơ sở hạ tầng truyền thông nhanh và hiệu quả, nhờ đó có thể ngăn chặn hoặc nhanh chóng loại bỏ các hiểm hoạ an toàn trong t−ơng lai. Trong m−ời năm đầu tiên kể từ khi thành lập, CERT đã đối phó đ−ợc hơn 14.000 sự cố và các rắc rối liên quan đến an toàn xảy ra trong chính phủ Mỹ và khu vực t− nhân. Ngày nay, CERT vẫn tiếp tục nhiệm vụ của mình, cung cấp các thông tin phong phú để trợ giúp những ng−ời sử dụng Internet và các công ty nhận thức đ−ợc các rủi ro trong việc xây dựng các site th−ơng mại. Ví dụ, CERT gửi đi các cảnh báo cho cộng đồng Internet biết các sự cố liên quan đến an toàn mới xảy ra gần đây. T− vấn và đ−a các thông tin có giá trị để tránh các tấn công dịch vụ tên miền. 1.5 Tóm tắt An toàn th−ơng mại điện tử vô cùng quan trọng. Các tấn công có thể khám phá các thông tin độc quyền hoặc xử lý chúng. Một chính sách an toàn th−ơng mại bất kỳ phải bao gồm tính bí mật, tính toàn vẹn, tính sẵn sàng và quyền sở hữu trí tuệ. Các hiểm hoạ đối với th−ơng mại có thể xảy ra ở bất kỳ mắt xích nào trong dây chuyền th−ơng mại, bắt đầu với một máy khách, kết thúc với các máy chủ th−ơng mại và văn phòng. Các thông tin về tấn công virus giúp cho ng−ời sử dụng nhận thức đ−ợc các rủi ro th−ờng gặp đối với các máy khách. Tuy nhiên, cũng có những hiểm hoạ khó phát hiện hơn, chúng là các applet phía máy khách. Java, JavaScript và ActiveX control là những ví dụ về các ch−ơng trình và script chạy trên các máy khách và có nguy cơ phá vỡ sự an toàn.
  19. Nói chung, các kênh truyền thông và Internet là những điểm yếu đặc biệt dễ bị tấn công. Internet là một mạng rộng lớn và không một ai có thể kiểm soát hết đ−ợc các nút mà thông tin đi qua. Các hiểm hoạ luôn có khả năng xảy ra nh− khám phá thông tin cá nhân trái phép, sửa đổi các tài liệu kinh doanh thiết yếu, ăn cắp và làm mất các thông báo th−ơng mại quan trọng. Dạng tấn công kiểu sâu Internet đ−ợc tung ra trong năm 1998 là một ví dụ điển hình về hiểm hoạ an toàn, nó sử dụng Internet nh− là một công cụ đi khắp thế giới và lây nhiễm sang hàng ngàn máy tính chỉ trong vài phút. Cũng giống nh− các máy khách, máy chủ th−ơng mại là đối t−ợng của các hiểm hoạ an toàn. Trầm trọng hơn, các hiểm hoạ an toàn có thể xảy ra với bất kỳ máy khách nào kết nối với máy chủ. Các ch−ơng trình CGI chạy trên các máy chủ có thể gây thiệt hại cho các cơ sở dữ liệu, các phần mềm cài đặt trong máy chủ và sửa đổi các thông tin độc quyền nh−ng khó bị phát hiện. Các tấn công có thể xuất hiện ngay trong máy chủ (d−ới hình thức các ch−ơng trình) hoặc có thể đến từ bên ngoài. Một tấn công bên ngoài xảy ra khi một thông báo tràn ra khỏi vùng l−u giữ nội bộ của máy chủ và ghi đè lên các thông tin thiết yếu. Thông tin này có thể bị thay thế bằng dữ liệu hoặc các chỉ lệnh, các ch−ơng trình khác trên máy chủ thực hiện các chỉ lệnh này. CERT đ−ợc thành lập để nghiên cứu và xem xét các hiểm hoạ an toàn. Khi có một số l−ợng lớn các tấn công an toàn xảy ra, các thành viên của nhóm tập trung lại và thảo luận các giải pháp nhằm xác định và cố gắng loại bỏ những đối t−ợng tấn công điện tử. Các mối hiểm hoạ ngày càng cao, nếu thiếu các biện pháp bảo vệ an toàn đầy đủ cho các máy khách và máy chủ th−ơng mại điện tử thì th−ơng mại điện tử không thể tồn tại lâu dài. Các chính sách an toàn hiệu quả, cùng với việc phát hiện và đ−a ra các ràng buộc chính là các hình thức bảo vệ truyền thông điện tử và các giao dịch điện tử.
  20. Ch−ơng 2 Thực thi an toμn cho th−ơng mại điện tử Việc bảo vệ các tài sản điện tử không phải là một tuỳ chọn, mà nó thực sự cần thiết khi th−ơng mại điện tử ngày càng phát triển. Thế giới điện tử sẽ phải th−ờng xuyên đối mặt với các hiểm hoạ nh− virus, sâu, con ngựa thành Tơroa, những đối t−ợng nghe trộm và các ch−ơng trình gây hại mà mục đích của chúng là phá vỡ, làm trễ hoặc từ chối truyền thông luồng thông tin giữa khách hàng và nhà sản xuất. Để tránh nguy cơ mất hàng tỷ đôla, việc bảo vệ phải đ−ợc phát triển không ngừng để các khách hàng tin cậy vào các hệ thống trực tuyến, nơi họ giao dịch và kiểm soát công việc kinh doanh. Phần này trình bày các biện pháp an toàn, thông qua chúng có thể bảo vệ các máy khách, Internet và máy chủ th−ơng mại. 2.1 Bảo vệ các tài sản th−ơng mại điện tử Dù các công ty có tiến hành kinh doanh th−ơng mại qua Internet hay không, thì an toàn vẫn là một vấn đề vô cùng nghiêm trọng. Các khách hàng cần có đ−ợc sự tin cậy, các giao dịch của họ phải đ−ợc an toàn, không bị xem trộm và sửa đổi. Ngày nay, việc kinh doanh th−ơng mại trực tuyến trở nên quá lớn, thậm chí còn không ngừng phát triển trong vài năm tới. Một số địa điểm bán lẻ và bán buôn truyền thống tồn tại tr−ớc khi th−ơng mại điện tử ra đời có thể biến mất trên thị tr−ờng. Tr−ớc đây, an toàn có nghĩa là đảm bảo an toàn vật lý, chẳng hạn nh− cửa ra vào và cửa sổ có gắn chuông báo động, ng−ời bảo vệ, phù hiệu cho phép vào các khu vực nhạy cảm, camera giám sát, v.v. Điểm lại chúng ta thấy, các t−ơng tác giữa con ng−ời và máy tính đã hạn chế các thiết bị đầu cuối cấm kết nối trực tiếp với các máy tính lớn. Giữa các máy tính không có kết nối nào khác. An toàn máy tính tại thời điểm này có nghĩa là đối phó với một số ít ng−ời truy nhập vào các thiết bị đầu cuối. Ng−ời ta chạy ch−ơng trình bằng cách đ−a bìa đục lỗ vào thiết bị đọc. Sau đó họ lấy lại bìa cùng với các kết quả đầu ra. An toàn là một vấn đề khá đơn giản. Ngày nay, hàng triệu ng−ời có thể truy nhập vào các máy tính trên mạng riêng và mạng công cộng (số l−ợng máy tính kết nối với nhau lên đến hàng ngàn máy). Thật không đơn giản khi xác định ai là ng−ời đang sử dụng một nguồn tài nguyên máy tính, bởi vì họ có thể ở bất cứ nơi nào trên thế giới, chẳng hạn nh− Nam Phi, nh−ng họ lại sử dụng máy tính ở California. Ngày nay, nhiều công cụ và giải pháp an toàn mới đ−ợc đ−a ra và sử dụng nhằm bảo vệ các tài sản th−ơng mại. Việc truyền các thông tin có giá trị (chẳng hạn nh− hóa đơn điện tử, yêu cầu đặt hàng, số thẻ tín dụng và xác nhận đặt hàng) đã làm thay đổi cách thức nhìn nhận về an toàn, cần đ−a ra các giải pháp điện tử và tự động để đối phó lại các mối đe doạ đến tính an toàn.
  21. Từ thời xa x−a, Julius Caesar đã mã hoá các thông tin nhằm ngăn chặn không cho đối ph−ơng đọc các thông tin bí mật và các kế hoạch phòng thủ trong chiến tranh. Trở lại 20 năm tr−ớc, Bộ quốc phòng Mỹ đã thành lập một cộng đồng để phát triển các nguyên tắc an toàn máy tính, quản lý các thông tin đ−ợc phân loại trong máy tính. Kết quả mà cộng đồng này đạt đ−ợc là cuốn "Trusted Computer System Evaluation Criteria". Trong đó trình bày các nguyên tắc mang tính bắt buộc trong việc kiểm soát truy nhập (phân loại thông tin thành 3 mức là mật, tuyệt mật và tối mật) và thiết lập tiêu chuẩn cho các mức chứng thực. Việc định nghĩa các giới hạn an toàn, các điều kiện và các cuộc kiểm tra an toàn không đ−a ra cách thức kiểm soát an toàn th−ơng mại điện tử nh− thế nào. Tuy nhiên, công việc này vẫn có ích, bởi vì nó đặt ra các h−ớng nghiên cứu, tìm kiếm các giải pháp an toàn thiết thực và có thể áp dụng đ−ợc. Ví dụ, các chuyên gia đã nghiên cứu và cho rằng chúng ta không thể xây dựng đ−ợc một hệ thống th−ơng mại an toàn nếu thiếu chính sách an toàn. Chính sách này phải nêu đ−ợc các tài sản cần bảo vệ, cần những gì để bảo vệ các tài sản này, phân tích các khả năng đe doạ có thể xảy ra và các nguyên tắc bắt buộc để bảo vệ các tài sản này. Nó phải đ−ợc xem xét th−ờng xuyên do các mối đe doạ không ngừng phát sinh. Việc thực thi an toàn thực sự khó khăn khi chúng ta không có một chính sách an toàn. Chúng ta cần phải bảo vệ các tài sản, tránh bị khám phá, sửa đổi, hoặc huỷ bỏ trái phép. Tuy nhiên, chính sách an toàn trong quân sự khác với chính sách an toàn trong th−ơng mại, bởi vì các ứng dụng quân sự bắt buộc chia thành các mức an toàn. Thông th−ờng, thông tin của công ty đ−ợc phân loại thành "công khai" hoặc "bí mật công ty". Chính sách an toàn điển hình (liên quan đến các thông tin bí mật của công ty) cần phải dứt khoát - không làm lộ thông tin bí mật của công ty cho bất kỳ ai bên ngoài công ty. Nh− đã biết, một chính sách an toàn phải đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng của hệ thống và xác thực ng−ời dùng. Tiến sĩ Eugene Spafford, một giảng viên về khoa học máy tính của tr−ờng đại học Purdue, một chuyên gia về an toàn máy tính, đã trình bày tầm quan trọng của việc tiến hành th−ơng mại điện tử an toàn. Trong một cuộc phỏng vấn với Purdue University Perspective, ông nói: "Việc bảo vệ thông tin là mối quan tâm chính, nó liên quan đến việc phòng thủ quốc gia, th−ơng mại và thậm chí cả cuộc sống riêng của chúng ta. Nó cũng là một công việc kinh doanh với các triển vọng to lớn. Tại Mỹ, th−ơng mại trực tuyến đ−ợc −ớc tính sẽ v−ợt quá 15 tỷ đôla hàng năm cho đến năm 2000 ". Rõ ràng, an toàn là yếu tố sống còn đối với sự tồn tại và phát triển của th−ơng mại điện tử. 2.2 Bảo vệ sở hữu trí tuệ Bảo vệ sở hữu trí tuệ số đặt ra nhiều vấn đề và chúng không giống với các vấn đề an toàn sở hữu trí tuệ truyền thống. Sở hữu trí tuệ truyền thống, chẳng hạn nh− văn học, hội hoạ và âm nhạc đ−ợc bảo vệ bằng luật quốc gia và trong một số tr−ờng hợp, bằng luật quốc tế. Sở hữu trí tuệ số, chẳng hạn nh− hình ảnh, biểu tr−ng và âm nhạc trên Web site cũng đ−ợc bảo vệ bằng luật. Các luật này không ngăn chặn các xâm phạm xảy ra, không cung cấp cách thức để tìm ra, bằng cách nào mà một đối t−ợng xâm phạm có đ−ợc sở hữu trí tuệ. Tài sản số rơi vào tình trạng tiến thoái l−ỡng nan, làm sao vừa hiển thị và làm cho sở hữu trí tuệ có
  22. hiệu lực trên Web, vừa bảo vệ đ−ợc các công việc có tính bản quyền này. Việc bảo vệ sở hữu trí tuệ an toàn tuyệt đối là rất khó, bạn cần thực hiện một số biện pháp nhằm cung cấp một mức bảo vệ và trách nhiệm nào đó đối với các bản quyền. Quốc hội Mỹ đang cố gắng đ−a ra luật xử lý các vấn đề bản quyền số. Tổ chức WIPO đang cố gắng giám sát các vấn đề bản quyền số mang tính toàn cầu. Trong lúc đó, một số công ty đ−a ra một vài sản phẩm có khả năng cung cấp biện pháp bảo vệ cho ng−ời nắm giữ bản quyền số. Tình trạng xâm phạm bản quyền có xu h−ớng gia tăng và lĩnh vực này còn khá mới mẻ, ít nhất tại Mỹ, luật bản quyền đã đ−ợc áp dụng cho Internet và môi tr−ờng số khác. ITAA là một tổ chức th−ơng mại đại diện cho công nghệ thông tin của Mỹ, đã đ−a ra một tài liệu đầy đủ về việc bảo vệ các thông tin số có bản quyền. Theo tài liệu "Bảo vệ sở hữu trí tuệ trong không gian máy tính", các vấn đề bảo vệ bản quyền số hiện nay cần đ−ợc thảo luận và đ−a ra một số giải pháp. Các giải pháp đó bao gồm: 8 Khoá tên máy chủ 8 Lọc gói 8 Các máy chủ uỷ quyền Trong đó, các nhà cung cấp dịch vụ Internet ngăn chặn truy nhập vào một site, bằng cách khoá IP, lọc gói, hoặc sử dụng một máy chủ uỷ quyền để lọc các yêu cầu. Tuy nhiên, không một giải pháp nào thực sự hiệu quả trong việc ngăn chặn nạn ăn cắp hoặc nhận dạng tài sản giành đ−ợc mà không có sự đồng ý của ng−ời nắm giữ bản quyền. Một số giải pháp tập trung vào việc bảo vệ bằng các giải pháp công nghệ số. Ví dụ nh− software metering, digital watermark, digital envelope (đôi khi chúng còn đ−ợc gọi là các ch−ơng trình xác thực thông báo). Các giải pháp này ch−a thật đầy đủ nh−ng dù sao nó cũng cung cấp một khả năng bảo vệ nào đó. 2.3 Bảo vệ các máy khách Các máy khách (thông th−ờng là các PC) phải đ−ợc bảo vệ nhằm chống lại các đe doạ xuất phát từ phần mềm hoặc dữ liệu đ−ợc tải xuống máy khách từ Internet. Nh− chúng ta đã biết, các trang Web thông th−ờng đ−ợc chuyển tới máy tính của bạn nhằm đáp ứng yêu cầu (hiển thị tĩnh các thông tin và hoàn toàn vô hại với bất cứ ai) của trình duyệt của bạn. Các active content đ−ợc chuyển qua Internet thông qua các trang Web động. Chúng có thể là một trong các mối đe doạ nghiêm trọng nhất đối với các máy khách. Nh− chúng ta đã biết, active content bao gồm nhiều ch−ơng trình đ−ợc nhúng vào các trang Web, tạo nên sự sống động cho các trang Web. Tuy nhiên, một active content giả có vẻ vô hại nh−ng lại gây ra các thiệt hại khi chúng chạy trên máy tính của bạn. Các ch−ơng trình đ−ợc viết bằng Java, JavaScript mang lại sự sống động cho các trang Web. Một số các công cụ active content phổ biến khác là các ActiveX control. Bên cạnh các mối đe doạ xuất phát từ các ch−ơng trình bên trong các trang Web, thì các trình đồ hoạ, các trình duyệt gài sẵn (trình duyệt plug-ins) và các phần đính kèm th− điện tử cũng là các mối đe doạ có thể gây hại cho các máy khách khi các ch−ơng trình ẩn này đ−ợc thực hiện.
  23. Nhiều active content gây hại có thể lan truyền thông qua các cookie. Các đoạn văn bản nhỏ này đ−ợc l−u giữ trên máy tính của bạn và có chứa các thông tin nhạy cảm không đ−ợc mã hoá. Điều này có nghĩa là bất kỳ ai cũng có thể đọc và làm sáng tỏ một cookie, thu đ−ợc thông tin có trong đó. Thông tin này liên quan đến thẻ tín dụng, mật khẩu và thông tin đăng nhập. Do cookie giống nh− các thẻ đăng nhập vào các Web site, chúng không gây hại trực tiếp cho các máy khách nh−ng nó vẫn là nguyên nhân gây ra các thiệt hại. Một mối đe doạ khác đối với máy khách là một server site đóng giả một Web site hợp pháp. Đây thực sự là một mối quan tâm an toàn đối với máy khách, các máy khách cần có trách nhiệm nhận biết các máy chủ của mình. Các mục tiếp theo trình bày các cơ chế bảo vệ hiện có, chúng đ−ợc thiết kế nhằm ngăn chặn hoặc giảm đáng kể khả năng các hiểm hoạ xảy ra đối với máy khách. Giám sát Active content Các trình duyệt Navigator của Netscape và Internet Explorer của Microsoft đ−ợc trang bị để nhận biết các trang Web có chứa active content chuẩn bị đ−ợc tải xuống. Khi bạn tải về và chạy các ch−ơng trình đ−ợc nhúng vào các trang Web, bạn muốn đảm bảo rằng các ch−ơng trình này đến từ một nguồn bạn biết và tin cậy. Cách thức mà hai trình duyệt trên sử dụng để đảm bảo an toàn đ−ợc trình bày trong các mục sau đây. Tr−ớc hết chúng ta xem xét các chứng chỉ số, chúng thực sự cần thiết cho phía máy khác và máy chủ khi xác thực. Các chứng chỉ số Một chứng chỉ số (hay ID số) là phần đính kèm với thông báo th− điện tử hoặc một ch−ơng trình đ−ợc nhúng vào một trang Web. Khi một ch−ơng trình đ−ợc tải xuống có chứa một chứng chỉ số, nó nhận dạng nhà phát hành phần mềm và thông báo thời hạn hợp lệ của chứng chỉ. Một chứng chỉ không chứa bất kỳ điều gì liên quan đến khả năng hoặc chất l−ợng của ch−ơng trình đ−ợc tải xuống. Ngầm định của việc sử dụng các chứng chỉ là nếu bạn tin cậy nhà cung cấp phần mềm, chứng chỉ cung cấp cho bạn sự đảm bảo rằng phần mềm đ−ợc ký có nguồn gốc từ nhà cung cấp tin cậy. Cơ quan chứng thực (CA) phát hành chứng chỉ số cho cá nhân hoặc tổ chức. Nếu bạn so sánh chứng chỉ số với một thẻ hộ chiếu, CA giống nh− bộ ngoại giao, là một cơ quan phát hành các thẻ hộ chiếu. Bộ ngoại giao yêu cầu bất cứ ng−ời nào, khi họ muốn có một thẻ hộ chiếu, cần cung cấp một vài bằng chứng nhận dạng cùng với một bức ảnh. Cũng t−ơng tự nh− vậy, CA yêu cầu các thực thể muốn có chứng chỉ cần cung cấp bằng chứng nhận dạng thích hợp. Một khi đáp ứng đ−ợc điều này, CA sẽ phát hành một chứng chỉ. CA ký chứng chỉ (đóng tem phê chuẩn), theo dạng khoá mã công khai, "không giữ bí mật" đối với bất kỳ ng−ời nào nhận chứng chỉ (đ−ợc gắn với phần mềm của nhà phát hành). Khoá là một số, th−ờng là một số nhị phân dài (long binary), đ−ợc sử dụng với thuật toán mã hoá nhằm "giữ bí mật" các ký tự có trong thông báo mà bạn muốn bảo vệ, vì vậy, không thể đọc đ−ợc hoặc giải mã chúng (trừ khi bạn biết khoá). Các khoá dài có khả năng bảo vệ tốt hơn các khoá ngắn. Một trong các CA tồn tại lâu nhất và đ−ợc nhiều ng−ời biết đến là VeriSign.
  24. Yêu cầu nhận dạng của các CA cũng khác nhau. Một CA có thể yêu cầu bằng lái xe đối với các chứng chỉ cá nhân, trong khi các CA khác có thể yêu cầu vân tay. Các chứng chỉ đ−ợc phân loại thành các lớp đảm bảo nh− sau: thấp, trung bình, hoặc cao, phụ thuộc phần lớn vào các yêu cầu nhận dạng cần phải đáp ứng. VeriSign đ−a ra một số lớp chứng chỉ, từ lớp 1 đến 4. Các chứng chỉ lớp 1 là các chứng chỉ ở mức thấp nhất, gắn liền với các địa chỉ th− điện tử và các khoá công khai. Các chứng chỉ lớp 4 áp dụng cho các máy chủ và tổ chức của chúng. Các yêu cầu đối với chứng chỉ lớp 4 cao hơn rất nhiều so với các yêu cầu dành cho chứng chỉ lớp 1. Ví dụ, các chứng chỉ lớp 4 của VeriSign đảm bảo nhận dạng cá nhân và mối quan hệ của cá nhân này cho công ty hoặc tổ chức xác định. Hình 2.1 minh hoạ cấu trúc tổng quát của một chứng chỉ VeriSign. Bạn có thể đọc các mục tiếp theo để biết đ−ợc khi nào và làm thế nào để thay đổi các chứng chỉ để có sự đảm bảo giữa máy khách và máy chủ. Mục tiếp theo trình bày các đặc tính an toàn đ−ợc xây dựng trong hai trình duyệt phổ biến nhất, Internet Explorer của Microsoft và Navigator. Trình duyệt Internet của Microsoft (Microsoft Internet Explorer) Internet Explorer cung cấp quyền bảo vệ phía máy khách trong các trình duyệt. Ngoài việc đ−a ra các cảnh báo nhằm ngăn chặn không cho trẻ em sử dụng các site không lành mạnh, Internet Explorer cũng đối phó lại các active content dựa vào Java và ActiveX. Internet Explorer sử dụng kỹ thuật mã xác thực (Authenticode) của Microsoft để kiểm tra nhận dạng của các active content đ−ợc tải xuống. Các ch−ơng trình Authenticode có thể kiểm tra đối với một ActiveX control đ−ợc tải xuống nh− sau: ai là ng−ời đã ký ch−ơng trình, ch−ơng trình có bị sửa đổi sau khi ký hay không và nội dung có nguồn gốc đúng từ nhà phát hành tin cậy hay không. Đồng thời kiểm tra xem ch−ơng trình có chứng chỉ hợp lệ hay không. Tuy nhiên, nó không thể ngăn chặn đ−ợc việc tải xuống một ch−ơng trình gây hại và chạy trên máy tính của bạn. Có nghĩa là, kỹ thuật Authenticode chỉ có thể xác nhận đúng là công ty XYZ (bạn tin cậy) đã ký ch−ơng trình. Nếu nhà phát hành không gắn chứng chỉ vào active content, bạn có thể cài đặt Internet Explorer, vì vậy đoạn mã ch−ơng trình của trang Web không bị tải xuống. Tuy nhiên, Authenticode không thể đảm bảo Java hoặc ActiveX control của công ty XYZ có thực hiện đúng đắn hay không. Trách nhiệm này thuộc về bạn và bạn phải quyết định có nên tin cậy vào active content từ các công ty cá nhân hay không.
  25. Thông tin nhận dạng của cá nhân: tên, tổ chức và địa chỉ Khoá công khai của cá nhân Thời gian l−u hành hợp lệ của chứng chỉ Số hiệu của chứng chỉ Thông tin về ID và chữ ký số của CA Hình 2.1 Cấu trúc một chứng chỉ của VeriSign Nếu bạn định tải về một trang Web có chứa active content, nh−ng active content này ch−a đ−ợc ký, sẽ xuất hiện một hộp thoại chỉ báo rằng ở đây không có chứng chỉ hợp lệ. Việc Internet Explorer có hiển thị cảnh báo an toàn hay không phụ thuộc vào việc bạn định cấu hình an toàn cho trình duyệt của mình nh− thế nào. Các chứng chỉ có thời hạn tồn tại nhất định. Bạn có thể nhấn vào một siêu liên kết để xem nhãn thời gian của hãng. Nhãn thời gian này cho biết thời hạn tồn tại hợp lệ của một chứng chỉ. Các hãng phải kết hợp với CA một cách định kỳ để phê chuẩn lại chứng chỉ của mình. Chứng chỉ sẽ bị thu hồi nếu thời hạn tồn tại của nó kết thúc. Nếu CA xác định đ−ợc một hãng đã có lần phân phối ch−ơng trình kém chất l−ợng và gây hại, CA có thể từ chối không phát hành các chứng chỉ mới và thu hồi các chứng chỉ đang tồn tại mà không cần có sự đồng ý của hãng. Bạn có thể xác định các thiết lập an toàn khác nhau, các thiết lập này quyết định Internet Explorer quản lý các ch−ơng trình và các file mà nó tải xuống nh− thế nào, phụ thuộc vào nguồn gốc các file. Internet Explorer chia Internet thành nhiều vùng. Bạn có thể phân loại các Web site và xếp chúng vào một trong các vùng này, sau đó gán nhãn an toàn thích hợp cho từng vùng, hoặc nhóm các Web site. ở đây có 4 vùng (zone) nh− sau: Internet, Intranet cục bộ, các site tin cậy và các site bị giới hạn. Internet zone là bất cứ thứ gì không có trong máy tính của bạn, không có trên Intranet, hoặc không đ−ợc gán nhãn cho các vùng khác. Vùng Intranet cục bộ th−ờng chứa các Web site không yêu cầu máy chủ uỷ quyền, mạng nội bộ của hãng trong đó máy khách của bạn đ−ợc gắn vào, các site của Intranet cục bộ khác. Bạn có thể tải các nội dung xuống một cách an toàn từ các site này mà không phải lo lắng bởi vì chúng hoàn toàn tin cậy. Vùng các site bị giới hạn có chứa các Web site mà bạn
  26. không tin cậy. Chúng là các site không cần thiết hoặc gây hại nhất thiết phải huỷ bỏ. Bạn có thể gán mức an toàn theo các mức sau: Low (thấp), Medium-Low (trung bình thấp), Medium (trung bình), High (cao). Kỹ thuật Authenticode rút ngắn gọn thành các quyết định có/không (yes/no) đối với ng−ời và những gì mà bạn tin cậy. Bạn có thể tuỳ chỉnh các thiết lập an toàn của mình, nh−ng bảo vệ vẫn là sự chọn lựa nên hay không nên chạy ch−ơng trình động. Authenticode giám sát liên tục ch−ơng trình khi nó đang chạy. Vì vậy, ch−ơng trình mà Authenticode cho phép vào máy tính của bạn vẫn có thể gặp sự cố (hoặc do lỗi ch−ơng trình hoặc hành động chủ tâm). Nói cách khác, một khi bạn không quan tâm đến tính tin cậy của một site, một vùng hay một nhà cung cấp, bạn gặp phải nhiều lỗ hổng về an toàn khi bạn tải nội dung về. Nguyên nhân của hầu hết các thiệt hại đối với các máy tính là do các lỗi ch−ơng trình, do không kiểm tra phần mềm cẩn thận. Netscape Navigator Trình duyệt Netscape Navigator cho phép kiểm soát việc tải các active content xuống máy tính của bạn. Nếu bạn cho phép Netscape Navigator tải xuống active content, bạn có thể xem chữ ký gắn kèm với Java và JavaScript control (ActiveX control không thực hiện với Netscape Navigator). Bắt đầu với hộp thoại Preferences, bạn chọn "Preferences" từ menu Edit, khi hộp thoại Preferences mở, bạn nhấn vào "Advanced" ở panel bên trái. Panel bên phải hiển thị các thiết lập an toàn của bạn. Bạn có thể chọn cho phép hoặc không cho phép Java, JavaScript. Trong cùng hộp thoại, bạn có thể quyết định những gì cần làm với các cookie. 3 nút tuỳ chọn thiết lập xử lý các cookie nh− thế nào, bạn có thể chọn chấp nhận vô điều kiện các cookie, hoặc chọn các cookie đ−ợc gửi ng−ợc trở lại cho máy chủ, hoặc không cho phép tất cả các cookie. Nếu active content viết bằng Java và JavaScript, bạn sẽ th−ờng xuyên nhận đ−ợc một thông báo từ Netscape Navigator. Thông báo cho biết active content đã đ−ợc ký hay ch−a, cho phép bạn xem chứng chỉ đi kèm để xác định nên chấp nhận hay từ chối tải xuống các active content. L−u ý rằng, Netscape Navigator đánh giá rủi ro cao. Khi nhấn vào "Details" trên khung cảnh báo an toàn, chúng ta có thể biết thêm các thông tin về yêu cầu tải hiện thời. Nhấn vào "Grant" cho phép thực hiện quá trình tải xuống. Nhấn vào "Deny" từ chối truy nhập, không cho phép tải Java applet hoặc JavaScript. Bạn có thể kiểm tra chứng chỉ (gắn kèm với active content) của nhà cung cấp bằng cách nhấn vào "Certificate". L−u ý rằng, chứng chỉ của nhà cung cấp có số thứ tự duy nhất cho từng chứng chỉ và chữ ký (chuỗi các số và chữ cái tiếp ngay sau nhãn "Certificate Fingerprint"). Chứng chỉ có thời gian tồn tại cụ thể.
  27. Đối phó với các cookie Cookie đ−ợc l−u giữ trong máy tính của bạn, hoặc đ−ợc tạo ra, sử dụng và huỷ bỏ trong một lần duyệt Web. Bạn cũng có thể cho phép chúng tồn tại từ 10, 20 hoặc 30 ngày. Một cookie có chứa nhiều thông tin, chẳng hạn nh− tên của Web site phát hành nó, các trang mà bạn đã truy cập vào, tên ng−ời sử dụng và mật khẩu của bạn, các thông tin về thẻ tín dụng và địa chỉ của bạn. Chỉ site tạo ra các cookie mới có thể lấy lại các cookie này, chúng thu thập và l−u giữ các thông tin không nhìn thấy đ−ợc. Chính vì thế bạn không phải nhập lại tên ng−ời sử dụng, mật khẩu cho lần truy cập tiếp theo. Các phiên bản trình duyệt ban đầu cho phép các site l−u giữ các cookie không có chú thích. Ngày nay, các trình duyệt cho phép bạn l−u giữ các cookie mà không cần sự cho phép, hoặc cảnh báo cho biết một cookie chuẩn bị đ−ợc l−u giữ, hoặc không cho phép vô điều kiện tất cả các cookie. Ví dụ, trong Internet Explorer 5, bạn có thể tìm ra cách để đối phó các cookie nh− thế nào, bằng cách nhấn vào mục "Internet Options" từ menu Tools. Sau đó, nhấn vào "Security" và "Custom Level" cho vùng an toàn mà bạn muốn sửa đổi, chẳng hạn vùng Internet. Cuộn hộp thoại "Settings" cho đến khi định vị đ−ợc nhóm các cookie. Sau đó, có thể nhấn vào các nút tuỳ chọn sau: "Enable", "Disable", hoặc "Prompt" cho các cookie đ−ợc l−u giữ trên máy tính của bạn và các cookie chỉ sử dụng trong phiên làm việc đó. Các khởi tạo cho phép, không cho phép, hoặc gợi nhắc bạn về quyết định của mình mỗi khi một cookie chuẩn bị đi qua máy tính của bạn. Nó cho phép kiểm soát toàn bộ các cookie. Nh− đã trình bày ở trên, bạn có thể kiểm soát các cookie trên Netscape Navigator bằng cách chọn các mục tuỳ chọn trên hộp thoại "Preferences". Sử dụng phần mềm chống virus Không một máy khách nào có thể phòng thủ tốt nếu thiếu phần mềm chống virus. Các phần mềm chống virus chỉ bảo vệ máy tính của bạn khỏi bị các virus đã đ−ợc tải xuống máy tính của bạn. Vì vậy, chống virus là một chiến l−ợc phòng thủ. Không quan tâm đến phần mềm bạn chọn là phần mềm nào của nhà cung cấp, nó chỉ hiệu quả khi bạn tiếp tục l−u giữ các file dữ liệu chống virus hiện thời. Các file chứa thông tin nhận dạng virus đ−ợc sử dụng để phát hiện các virus trên máy tính của bạn. Do các virus mới đ−ợc sinh ra rất nhiều, bạn cần đề phòng và cập nhật các file dữ liệu chống virus một cách định kỳ, nhờ vậy mới có thể phát hiện và loại trừ các virus mới nhất. 2.4 Bảo vệ các kênh th−ơng mại điện tử Chúng ta dễ dàng nhận thấy, việc bảo vệ các kênh th−ơng mại điện tử là một trong các phần quan trọng trong an toàn máy tính. Khó có thể có một ngày mà các báo và tạp chí không đăng tin về các vụ tấn công trên Internet hoặc các tin tặc cố gắng truy nhập vào một hệ thống máy tính thông qua các kênh truyền thông không an toàn, chẳng hạn nh− các Intranet, Extranet hoặc Internet. Do vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng đ−ợc chuyển tiếp giữa các máy khách và máy chủ từ xa. Việc cung cấp kênh th−ơng mại an toàn đồng nghĩa với việc đảm bảo tính bí mật của kênh, tính toàn vẹn của thông báo và tính
  28. sẵn sàng của kênh. Thêm vào đó, một kế hoạch an toàn đầy đủ còn bao gồm cả xác thực, đảm bảo rằng ng−ời đang sử dụng máy tính đúng là ng−ời mà họ nhận. Việc xác thực ng−ời dùng là một biện pháp an toàn nhằm bảo vệ các máy chủ th−ơng mại, không phải là các kênh th−ơng mại, đ−ợc trình bày trong mục "Bảo vệ máy chủ th−ơng mại". Trong mục tiếp theo, chúng ta sẽ tìm hiểu xác thực là một phần của các giao thức (chúng cung cấp các dịch vụ an toàn) nh− thế nào, tìm hiểu chi tiết các thủ tục xác thực. Bây giờ chúng ta xem xét từng dịch vụ an toàn cho các kênh th−ơng mại, bắt đầu với tính riêng t− giao dịch. Cung cấp tính riêng t− giao dịch Khi bạn không ngăn chặn đ−ợc những đối t−ợng nghe trộm snooping (một kiểu tấn công vào Internet), thì công việc kinh doanh phải sử dụng các kỹ thuật nhằm ngăn chặn những đối t−ợng nghe trộm đọc các thông báo Internet. Việc gửi một thông báo qua Internet giống nh− việc gửi một b−u thiếp qua th−, nó có thể đến đ−ợc đích nh−ng những ng−ời chuyển th− có thể đọc b−u thiếp, chỉ có cách mã hoá nó tr−ớc khi gửi lên Internet. Việc mã hoá th− điện tử hoặc giao dịch th−ơng mại Internet giống với việc viết thông báo lên b−u thiếp bằng một ngôn ngữ mà chỉ có bạn và ng−ời nhận hiểu đ−ợc. Không ai khác hiểu đ−ợc ngôn ngữ này, vì vậy nếu họ lấy đ−ợc thông báo, nó cũng chẳng có ý nghĩa gì đối với họ ngoại trừ ng−ời nhận hợp pháp. M∙ hoá Mã hoá là quá trình mã các thông tin, bằng cách sử dụng một ph−ơng pháp toán học và một khoá bí mật để sinh ra một chuỗi các ký tự khó hiểu. Thực chất là việc che dấu các thông báo, chỉ ng−ời gửi và ng−ời nhận có thể đọc nó. Khoa học nghiên cứu mã hoá đ−ợc gọi là mật mã. Mật mã không liên quan đến nguỵ trang ký. Nguỵ trang ký làm cho mắt th−ờng không nhìn thấy văn bản. Mật mã không cố gắng che dấu văn bản, nó chuyển đổi văn bản sang dạng chuỗi ký tự, chúng ta có thể nhìn đ−ợc nh−ng không hiểu nghĩa của nó. Một chuỗi ký tự khó hiểu đ−ợc sinh ra bằng cách kết hợp các bít, t−ơng ứng với các ký tự trong bảng chữ cái hoặc số, tạo thành một thông báo có vẻ nh− đ−ợc lắp ráp ngẫu nhiên. Một ch−ơng trình chuyển đổi văn bản rõ sang văn bản mã (sự lắp ráp ngẫu nhiên các bit) đ−ợc gọi là ch−ơng trình mã hoá. Các thông báo đ−ợc mã hoá ngay tr−ớc khi chúng đ−ợc gửi lên mạng hoặc Internet. Khi tới đích hợp lệ, thông báo đ−ợc giải mã nhờ ch−ơng trình giải mã. Ch−ơng trình mã hóa và logic sau chúng, gọi là thuật toán mã hoá, đ−ợc coi là yếu tố cực kỳ quan trọng. Biết đ−ợc tầm quan trọng của một số thuật toán, chính phủ Mỹ đã ngăn cấm việc công bố rộng rãi và chi tiết đối với chúng. Hiện tại, việc xuất khẩu một trong các thuật toán này là bất hợp pháp. Điều này đã ảnh h−ởng đến một số công ty Mỹ cung cấp các phần mềm mã hoá hoặc phần mềm có chứa phần mềm mã hoá. Các trang Web có chứa phần mềm (mà việc phân phối chúng bị giới hạn) đ−a ra các cảnh báo về luật xuất khẩu của Mỹ. Freedom Forum Online có đ−a ra một số bài báo nói về các vụ kiện cáo và việc ban hành luật, xung quanh luật xuất khẩu mã hoá.
  29. Một thuộc tính hấp dẫn và cần thiết của các thuật toán hoặc các ch−ơng trình mã hoá là một ng−ời có thể biết chi tiết ch−ơng trình mã hoá nh−ng vẫn không có khả năng giải mã thông báo nếu không biết khoá đ−ợc sử dụng trong quá trình mã hoá. Độ dài tối thiểu của một khoá là 40 bit, nó có thể dài hơn, chẳng hạn 128 bit, sẽ đảm bảo an toàn hơn nhiều.Với một khoá đủ dài, các thông báo khó bị phát hiện. Kiểu của khoá và ch−ơng trình mã hoá đ−ợc sử dụng để "giữ bí mật" một thông báo. Các phép mã đ−ợc chia thành 3 loại: 8 Mã hàm băm 8 Mã hoá đối xứng 8 Mã hoá không đối xứng Mã hàm băm là một quá trình sử dụng thuật toán băm để tính toán một số, đ−ợc gọi là giá trị băm, từ một thông báo có độ dài bất kỳ. Nó chính là dấu vân tay cho một thông báo vì nó gần nh− duy nhất đối với mỗi thông báo. Do sinh ra các thuật toán băm chất l−ợng tốt, khả năng xảy ra tình trạng (hai thông báo khác nhau có cùng kết quả băm) là vô cùng nhỏ. Mã hoá băm là một cách thích hợp để phát hiện nếu thông báo bị sửa đổi trong quá trình chuyển tiếp, bởi vì giá trị băm ban đầu và giá trị băm mà ng−ời nhận tính toán đ−ợc sẽ không trùng khớp nếu thông báo bị sửa đổi. Mã không đối xứng (mã hoá khoá công khai) mã hoá các thông báo bằng cách sử dụng hai khoá. Năm 1977, Ronald Rivert, Adi Shamir và Leonard Adleman phát minh ra hệ thống mật mã khoá công khai RSA (lấy các chữ cái đầu tên của các tác giả đặt tên cho thuật toán). Trong hệ thống này, một khoá trong cặp khoá (gọi là khoá công khai) đ−ợc phân phối công khai cho bất kỳ ai muốn truyền thông an toàn với ng−ời nắm giữ cả hai khoá. Khoá công khai đ−ợc sử dụng để mã hoá các thông báo. Khoá thứ hai (gọi là khoá riêng) đ−ợc ng−ời sở hữu l−u giữ cẩn thận. Ng−ời sở hữu khoá sử dụng khoá riêng để giải mã các thông báo nhận đ−ợc. Nói chung, hệ thống mã hoá làm việc nh− sau: Nếu Herb muốn gửi một thông báo cho Allison, anh ta cần có khoá công khai của Allison. Sau đó, anh ta mã hoá thông báo định gửi cho Allison, bằng khoá công khai của cô. Một khi thông báo đ−ợc mã hoá, chỉ có Allison mới có thể đọc thông báo, cô giải mã thông báo bằng khoá riêng của mình. Do các cặp khoá là duy nhất, chỉ dùng khoá riêng mới giải mã đ−ợc thông báo đ−ợc mã hoá bằng khoá công khai (trong cặp khoá) nên Allison có thể gửi một thông báo bí mật cho Herb, bằng cách sử dụng khoá công khai của Herb. Khi nhận đ−ợc thông báo của Allison, Herb sử dụng khoá riêng bí mật của mình để giải mã thông báo và đọc nó. Nếu họ gửi th− điện tử cho nhau, thông báo chỉ bí mật trong khi chuyển tiếp. Khi thông báo đ−ợc tải từ máy chủ th− tín (mail server) và đ−ợc giải mã, có dạng văn bản rõ trên máy của ng−ời nhận và hoàn toàn có thể đọc đ−ợc. Mã đối xứng (còn gọi là mã khoá riêng) sử dụng một khoá chung cho cả mã hoá và giải mã, chẳng hạn nh− 45683942078 để mã hoá và giải mã dữ liệu. Do sử dụng chung một khoá, cả ng−ời gửi lẫn ng−ời nhận thông báo đều phải biết khoá. Việc mã hoá và giải mã
  30. thông báo sử dụng mã hoá đối xứng rất nhanh và hiệu quả. Tuy nhiên, khoá phải đ−ợc giữ cẩn thận. Nếu khoá bị lộ, tất cả các thông báo tr−ớc đó đều bị lộ và cả ng−ời gửi lẫn ng−ời nhận phải sử dụng khoá mới cho các cuộc truyền thông tiếp theo. Quá trình phân phối khoá mới cho các thành viên rất khó khăn. L−u ý rằng, muốn truyền bí mật bất cứ thứ gì thì ng−ời ta cần phải mã hoá nó, bao gồm cả thông tin và khoá bí mật. Một vấn đề lớn đối với các khoá riêng là chúng không thích hợp trong các môi tr−ờng lớn, chẳng hạn nh− Internet. Vì phải có một khoá riêng cho mỗi cặp ng−ời sử dụng trên Internet khi họ muốn chia xẻ thông tin một cách bí mật, cho nên cần phải có số l−ợng lớn sự kết hợp các cặp khoá, giống nh− hệ thống các đ−ờng dây điện thoại riêng không có các trạm chuyển mạch. 12 ng−ời có thể có một cặp khoá riêng trong số các cặp khoá, đòi hỏi 66 khoá riêng. Nói chung, với N máy khách cá nhân, bạn cần khoảng 1/2N2 cặp khoá. Trong các môi tr−ờng an toàn, việc sử dụng mã hoá khoá riêng rất đơn giản, trong thực tế, nó là một giải pháp phổ biến để mã hoá dữ liệu nhạy cảm. Trong khu vực quốc phòng, việc phân phối các thông tin (đã đ−ợc phân loại) và các khoá mã không có gì khó khăn. Nó yêu cầu bảo vệ, kiểm soát hai bên và các kế hoạch truyền bí mật. DES là một chuẩn mã hoá dữ liệu, đ−ợc chính phủ Mỹ chấp nhận sử dụng khi mã hoá các thông tin nhạy cảm hoặc thông tin th−ơng mại. Nó là một hệ thống mã hoá khoá riêng đ−ợc sử dụng rộng rãi nhất. Tuy nhiên, kích cỡ khoá riêng DES ngày càng tăng, lý do là số l−ợng cá nhân sử dụng máy tính tăng lên nhanh chóng, làm cho việc mã hoá thông báo bằng các khoá ngắn là không đủ an toàn. Các hệ thống khoá công khai mang lại một số thuận lợi, so với các giải pháp mã hoá khoá riêng.Thứ nhất, việc kết hợp các khoá (đ−ợc yêu cầu cung cấp cho các thông báo bí mật giữa một số l−ợng ng−ời khổng lồ) là nhỏ. Nếu có N ng−ời muốn chia xẻ thông tin với ng−ời khác một cách bí mật thì chỉ cần duy nhất N cặp khoá công khai, ít hơn rất nhiều so với hệ thống khoá riêng t−ơng đ−ơng. Thứ hai, việc phân phối khoá không phải là một vấn đề. Khoá công khai của mỗi ng−ời có thể đ−ợc gửi đi theo đ−ờng bí mật nếu cần thiết và không yêu cầu bất kỳ sự kiểm soát đặc biệt nào khi phân phối. Thứ ba, các hệ thống khoá công khai có khả năng thực thi chữ ký số. Điều này có nghĩa là một tài liệu điện tử có thể đ−ợc ký và gửi cho ng−ời nhận bất kỳ, cùng với chống chối bỏ. Có nghĩa là, với kỹ thuật khoá công khai, khó có thể tồn tại một ng−ời nào khác ngoài ng−ời ký - sinh ra chữ ký điện tử; Thêm vào đó, ng−ời ký không thể chối bỏ việc ký tài liệu sau khi đã ký. Các hệ thống khoá công khai có một số khó khăn. Một trong các khó khăn đó là quá trình mã hoá và giải mã khá chậm so với các hệ thống khoá riêng. Khoảng thời gian chênh lệch này sẽ tăng lên một cách nhanh chóng nếu bạn và các khách hàng của bạn tiến hành th−ơng mại trên Internet. Ng−ời ta không có ý định thay thế các hệ thống khoá riêng bằng các hệ thống khoá công khai. Chúng bổ xung lẫn nhau. Các hệ thống khoá công khai đ−ợc sử dụng để truyền các khoá riêng cho các thành viên. Hình 2.2 minh hoạ các giải pháp băm, mã hoá khoá riêng, mã hoá khoá công khai, trong đó Herb gửi một thông báo bí mật cho Allison.
  31. Các chuẩn và thuật toán m∙ hoá Hiện nay có một số thuật toán mã hoá và giải mã đ−ợc sử dụng với các máy chủ th−ơng mại an toàn. Chính phủ Mỹ đã phê chuẩn cho phép sử dụng một số thuật toán này trong phạm vi n−ớc Mỹ, còn một số thuật toán yếu hơn đ−ợc sử dụng bên ngoài n−ớc Mỹ. Thông th−ờng, các máy chủ th−ơng mại an toàn dàn xếp hầu hết (nếu không muốn nói là tất cả) các thuật toán khác nhau này, bởi vì chúng phải có khả năng truyền thông với các trình duyệt. Để dàn xếp các trình duyệt (có phiên bản khác nhau), các máy chủ phải đ−a ra một dãy mã nhỏ, nhằm ngăn chặn việc gửi nhiều lần các thuật toán quan trọng và có thể nhìn thấy. Hiện có rất nhiều thuật toán nh−: Blowfish, DES, ECC, IDEA, LUC, MD2, MD4, MD5, RC2, RC4, RC5, RC6, RSA, SHA1, Skipjack, Triple DES thuộc các kiểu khoá công khai, khoá riêng và digest (Hash). Một máy chủ hoặc trình duyệt an toàn sử dụng một hoặc nhiều thuật toán này khi nó mã hoá thông tin. Các thuật toán đ−ợc trình bày ở trên có 3 kiểu khác nhau. Chúng ta đã tìm hiểu hai trong 3 kiểu này: khoá riêng và khoá công khai. Tại sao có nhiều hơn một thuật toán? Liệu một thuật toán có thể thoả mãn tất cả các yêu cầu an toàn không? Câu trả lời là các thuật toán khác nhau có độ mạnh khác nhau, một số thuật toán đã cũ và không còn phù hợp với việc sử dụng hiện nay và các đơn vị xử lý trung tâm tốc độ cao. Kiểu thứ 3 đ−ợc gọi là Digest (Hash). Các thuật toán Digest không mã hoá các thông tin. Thay vào đó, chúng tính toán một số có độ dài định sẵn từ một thông báo. Số có độ dài định sẵn, th−ờng dài 128 bít, là một chữ ký (tóm l−ợc nội dung của thông báo). Chúng là chữ ký của thông báo. Các chữ ký này đảm bảo (với những ng−ời nhận thông báo) rằng thông báo không bị sửa đổi nếu thông báo nhận đ−ợc có cùng tóm l−ợc với thông báo gốc. Nếu không, ng−ời nhận biết rằng thông báo gốc đã bị sửa đổi. Các thuật toán kiểu này gồm có MD2, MD4 và MD5.
  32. a. "Chuẩn bị Hàm thông báo" AC2345H b. Bản rõ Khoá chung Allison Văn bản c. Bản rõ Bản rõ Herb Allison Khoá công Khoá riêng khai Thuật Thuật của toán mã toán giải Allison hoá mã của Allison Văn bản mã hoá Hình 2.2 (a) Thực hiện mã băm, (b) Mã hoá khoá riêng, (c) Mã hoá khoá công khai Giao thức Secure Socket Layer (SSL) Giao thức SSL của Netscape và giao thức truyền siêu văn bản an toàn (S-HTTP) của CommerceNet là hai giao thức cho phép truyền thông tin an toàn qua Internet. SSL và S- HTTP cho phép các máy khách và máy chủ quản lý các hoạt động mã hoá và giải mã trong một phiên Web an toàn. SSL và S-HTTP có các mục tiêu khác nhau. Trong khi SSL đảm bảo kết nối giữa hai máy tính, S-HTTP gửi các thông báo riêng lẻ an toàn. Việc mã hoá các thông báo gửi đi và giải mã các thông báo nhận diễn ra tự động và trong suốt đối với cả SSL và S-HTTP. SSL làm việc ở tầng vận tải, còn S-HTTP làm việc ở tầng ứng dụng.
  33. SSL cung cấp một bắt tay (thoả thuận ban đầu, còn gọi là thủ tục handshake) an toàn, trong đó các máy khách và máy chủ trao đổi một khối dữ liệu ngắn gọn các thông báo. Trong các thông báo này, máy khách và máy chủ thoả thuận mức an toàn đ−ợc sử dụng để trao đổi các chứng chỉ số. Mỗi máy luôn luôn phải nhận dạng đ−ợc máy kia. Các máy khách và máy chủ nên có chứng chỉ hợp lệ khi tiến hành kinh doanh. Sau khi nhận dạng, SSL mã hoá và giải mã luồng thông tin giữa hai máy. Điều này có nghĩa là thông tin trong yêu cầu HTTP và đáp ứng HTTP đều đ−ợc mã hoá. Thông tin đ−ợc mã hoá bao gồm URL (địa chỉ IP của trang Web) mà máy khách đang yêu cầu, các dạng bất kỳ chứa thông tin (do ng−ời sử dụng tạo ra), nó có thể bao gồm cả số thẻ tín dụng) và dữ liệu liên quan đến quyền truy nhập HTTP (chẳng hạn nh− tên ng−ời sử dụng và mật khẩu). Tóm lại, tất cả truyền thông (giữa các máy khách và các máy chủ sử dụng SSL) đ−ợc mã hoá. Khi SSL mã hoá tất cả dòng thông tin giữa máy khách và máy chủ, đối t−ợng nghe trộm chỉ có thể nhận đ−ợc các thông tin không thể hiểu đ−ợc. Do SSL nằm ở đỉnh tầng TCP/IP của giao thức Internet, SSL có thể đảm bảo các kiểu truyền thông khác nhau giữa các máy tính, bổ xung thêm cho HTTP. Ví dụ, SSL có thể đảm bảo các phiên FTP, cho phép đ−a lên hoặc tải xuống một cách riêng lẻ các tài liệu nhạy cảm, các bảng tính và các dữ liệu điện tử khác. SSL có thể đảm bảo các phiên Telnet an toàn, trong đó ng−ời sử dụng máy tính từ xa có thể đăng nhập vào các máy host của công ty hoặc gửi đi mật khẩu và tên ng−ời sử dụng. Giao thức (thực hiện SSL) là một phiên bản an toàn của HTTP, đ−ợc gọi là HTTPS. Bằng cách đặt tên giao thức HTTPS tr−ớc URL, bạn báo hiệu rằng bạn muốn thiết lập một kết nối an toàn với máy chủ từ xa. Ví dụ, nếu bạn gõ vào giao thức và URL nh− sau lập tức bạn thiết lập đ−ợc một liên kết an toàn với Amazon.com. SSL có hai độ dài là 40 bít và 128 bít. Chúng chỉ ra độ dài của khoá phiên riêng, đ−ợc sinh ra cho mọi giao dịch có mã hoá. Thuật toán mã hoá sử dụng khoá phiên để tạo ra văn bản mã (từ văn bản rõ) trong một phiên giao dịch an toàn. Khoá dài hơn có khả năng chống lại tấn công hiệu quả hơn. Chính phủ Mỹ chỉ cho xuất khẩu khoá phiên 40 bit và cấm xuất khẩu khoá 128 bít. Khi phiên giao dịch kết thúc, các khoá phiên bị loại bỏ hoàn toàn, không tái sử dụng cho các phiên giao dịch tiếp theo. Sau đây, chúng ta có thể xem xét cách SSL làm việc (cuộc trao đổi giữa bên máy khách và máy chủ th−ơng mại nh− thế nào: Nên nhớ rằng, SSL phải xác thực site th−ơng mại (tối thiểu) và mã hoá mọi cuộc truyền giữa 2 máy tính. Khi trình duyệt của một máy khách đến một Web site bí mật của một máy chủ, máy chủ gửi một lời chào tới trình duyệt. Trình duyệt đáp lại bằng một lời chào. Việc tiến hành trao đổi lời chào, hoặc bắt tay cho phép 2 máy tính quyết định các chuẩn mã hoá và nén (mà chúng cùng hỗ trợ). Tiếp theo, trình duyệt (bên máy khách) yêu cầu máy chủ đ−a ra một chứng chỉ số, giống nh− việc yêu cầu nhận dạng ảnh: "Chứng minh cho tôi biết anh có phải là www.gateway.com hay không?". Đáp lại, máy chủ gửi cho trình duyệt một chứng chỉ. Một CA (đ−ợc công nhận) đã ký chứng chỉ này. Trình duyệt kiểm tra chữ ký số có trên chứng
  34. chỉ của máy chủ, dựa vào khoá công khai của CA, khoá này đ−ợc l−u giữ trong trình duyệt. Hoạt động này xác thực máy chủ th−ơng mại. Máy khách và máy chủ thoả thuận rằng mọi trao đổi phải đ−ợc giữ bí mật, bởi vì những thông tin đ−ợc truyền đi trên Internet bao gồm số thẻ tín dụng, số hoá đơn và các mã kiểm tra. Để thực hiện bí mật, SSL sử dụng mã hoá khoá công khai (không đối xứng) và mã hoá khoá riêng (đối xứng). Mã hoá khoá công khai dễ sử dụng nh−ng chậm hơn rất nhiều so với mã hoá khoá riêng. Đó chính là lý do tại sao SSL sử dụng mã hoá khoá riêng cho hầu hết các cuộc truyền thông an toàn của mình. Máy khách và máy chủ chia xẻ một khoá riêng cho nhau nh− thế nào để đối t−ợng nghe trộm không thể phát hiện đ−ợc? Câu trả lời là trình duyệt sinh ra một khoá riêng dùng chung cho cả hai. Sau đó, trình duyệt mã hoá khoá riêng bằng khoá công khai của máy chủ. Khoá công khai của máy chủ đ−ợc l−u giữ trong chứng chỉ số, máy chủ gửi chứng chỉ này cho trình duyệt trong quá trình xác thực. Một khi khoá đ−ợc mã hoá, trình duyệt gửi nó cho máy chủ. Ng−ợc lại, máy chủ giải mã thông báo bằng khoá riêng của nó và tìm ra khoá riêng dùng chung. Tất cả các thông báo giữa máy khách và máy chủ đ−ợc mã hoá bằng khoá riêng dùng chung (cũng đ−ợc biết đến nh− là một khoá phiên). Sau khi kết thúc phiên giao dịch, khoá phiên bị huỷ bỏ. Một kết nối mới (giữa một máy khách và một máy chủ bí mật) lại bắt đầu t−ơng tự. Tuỳ thuộc vào những gì đã thoả thuận, máy khách và máy chủ có thể sử dụng mã 40 bít hoặc 128 bit. Thuật toán mã hoá có thể là DES, hoặc RSA.
  35. SSL SSL Máy khách Máy chủ Gửi các thuật toán mã hoá và độ dài khoá 1. Máy khách gửi lời chào 2. Máy chủ gửi lời chào Gửi chứng chỉ của máy chủ có 3. Máy chứa khoá công khai của máy khách chủ đáp lại Gửi chứng chỉ và khoá phiên đã 4. Máy đ−ợc mã hoá của máy khách chủ đáp lại Gửi dữ liệu riêng giữa máy khách và máy chủ sử dụng khoá riêng dùng chung Phiên Phiên giao giao dịch dịch Hình 2.2 Thiết lập một phiên SSL Máy khách và máy chủ có thể thoả thuận tr−ớc việc sử dụng kết hợp các thuật toán. Sau quá trình bắt tay, máy khách và máy chủ trao đổi khoá riêng với nhau và khoá này đ−ợc sử dụng để mã hoá thông tin trong thời gian còn lại của phiên giao dịch an toàn, đ−ợc minh hoạ trong hình 2.3. Bạn có thể tìm hiểu chi tiết một SSL site, bằng cách truy cập vào site Web Server Survey của Netcraft. Để tìm hiểu các phần mềm và thuật toán mã hoá do một site th−ơng mại hỗ trợ, bạn nhấn chuột vào “ What's that SSL site running?” Giao thức S-HTTP S-HTTP là một mở rộng của HTTP, cung cấp một số đặc tính an toàn, trong đó có xác thực máy khách và máy chủ, mã hoá và chống chối bỏ yêu cầu/đáp ứng. Giao thức này đ−ợc CommerceNet Consortium phát triển, hoạt động ở tầng ứng dụng. Nó cung cấp mã hoá đối
  36. xứng để thiết lập xác thực máy khách/máy chủ và các tóm l−ợc thông báo nhằm đảm bảo tính toàn vẹn dữ liệu. Máy khách và máy chủ có thể sử dụng các kỹ thuật S-HTTP một cách riêng lẻ. Điều này có nghĩa là trình duyệt của máy khách có thể yêu cầu an toàn bằng cách sử dụng một khoá riêng (khoá đối xứng), trong khi đó máy chủ có thể yêu cầu xác thực máy khách bằng cách sử dụng các kỹ thuật khoá công khai. Các chi tiết về S-HTTP đ−ợc máy khách và máy chủ thoả thuận trong phiên giao dịch đầu. Máy khách hoặc máy chủ có thể định rõ - một đặc tính an toàn riêng là Required (yêu cầu), Optional (tuỳ chọn) hoặc Refused (từ chối). Khi một thành viên quy định rằng đặc tính an toàn riêng là Required, nó sẽ chỉ tiếp tục kết nối nếu thành viên khác (máy khách hoặc máy chủ) đồng ý tuân theo đặc tính an toàn đã đ−ợc định tr−ớc. Nếu không, sẽ không có kết nối an toàn nào đ−ợc thiết lập. Giả thiết, trình duyệt của máy khách định rõ yêu cầu mã hoá để đảm bảo an toàn tất cả các cuộc truyền thông. Điều này có nghĩa là các giao dịch yêu cầu đặt hàng tơ lụa của một nhà thiết kế trang phục chất l−ợng cao với hãng dệt Viễn Đông cần đ−ợc duy trì bí mật. Những đối thủ cạnh tranh có thể nghe trộm nh−ng không thể đoán biết đ−ợc loại vải nào sẽ đ−ợc sử dụng chủ đạo trong mùa tới. Hãng dệt muốn đ−ợc đảm bảo rằng, ng−ời mua đúng là ng−ời anh ta nói, chứ không phải là đối t−ợng lừa đảo. Đồng thời yêu cầu chống chối bỏ để ng−ời mua không phủ nhận đ−ợc việc anh ta đã đặt hàng. Trong thực tế, ng−ời ta sử dụng chữ ký số bí mật. S-HTTP có cách thiết lập một phiên giao dịch an toàn khác với SSL. Trong khi SSL tiến hành bắt tay máy khách/máy chủ để thiết lập một cuộc truyền thông an toàn, S-HTTP thiết lập các chi tiết an toàn thông qua header (phần đầu trong gói tin) của gói đặc biệt. Header định nghĩa kiểu kỹ thuật an toàn, cụ thể là mã khoá riêng, xác thực máy chủ, xác thực máy khách và đảm bảo tính toàn vẹn thông báo. Header cũng quy định thuật toán nào đ−ợc hỗ trợ, máy khách hay máy chủ (hoặc cả hai) hỗ trợ thuật toán đó, kỹ thuật an toàn nào đ−ợc yêu cầu, đặc tính an toàn riêng là tuỳ chọn hay từ chối. Một khi máy khách và máy chủ thoả thuận đ−ợc các thiết lập an toàn bắt buộc giữa chúng, tất cả các thông báo trong phiên giao dịch sau này đ−ợc đóng gói an toàn trong một phong bì an toàn (secure envelope). Đây là một tiện ích an toàn đóng gói thông báo và đảm bảo tính bí mật, toàn vẹn và xác thực máy khách/máy chủ. Nhờ đó, mọi thông báo chuyển tiếp trên mạng hoặc Internet đ−ợc mã hoá, không ai có thể đọc trộm. Mọi sửa đổi trên thông báo đều bị phát hiện, nhờ vào kỹ thuật toàn vẹn. Nó cung cấp một mã phát hiện thông báo bị sửa đổi. Ng−ời ta sử dụng các chứng chỉ số do một CA (đ−ợc công nhận) phát hành để xác thực các máy khách và máy chủ. Phong bì an toàn bao gồm tất cả các đặc tính an toàn trên. 2.5 Đảm bảo tính toàn vẹn giao dịch Tóm lại, cơ sở th−ơng mại điện tử cần có: 8 Trình duyệt của máy khách: gửi các thông tin thanh toán, đặt hàng và các chỉ dẫn thanh toán cho máy chủ th−ơng mại.
  37. 8 Máy chủ th−ơng mại: đáp ứng thông tin từ phía máy khách, bằng cách gửi xác nhận điện tử đối với các chi tiết đặt hàng. Nếu một đối t−ợng xâm nhập trên Internet có thể sửa đổi các thông tin đặt hàng trong quá trình chuyển tiếp (ví dụ anh ta có thể sửa đổi địa chỉ gửi hàng hay số l−ợng hàng), hậu quả của nó rất nghiêm trọng, khó l−ờng tr−ớc. Đây là một ví dụ về tấn công toàn vẹn. Để ngăn chặn cần cho đối t−ợng xâm nhập nhận thấy rằng việc sửa đổi thông báo là rất khó và tốn kém. Hiện đã có các kỹ thuật an toàn cho phép ng−ời nhận phát hiện mọi sửa đổi trên thông báo. Cần kết hợp các kỹ thuật để tạo ra thông báo có khả năng chống trộm cắp và xác thực. Để chống lại việc gian lận và lạm dụng khi thông báo bị sửa đổi, ng−ời ta áp dụng hai thuật toán riêng cho một thông báo. Các thuật toán băm là các hàm một chiều, có nghĩa là, không có cách nào để chuyển đổi từ giá trị băm ng−ợc trở lại thông báo ban đầu. Điều này thực sự có lợi, bởi vì chúng ta có thể so sánh giá trị băm này với giá trị băm khác để tìm ra sự trùng khớp giữa chúng. MD5 là một ví dụ về thuật toán băm, nó đ−ợc sử dụng rộng rãi trong th−ơng mại điện tử an toàn. Một thuật toán băm có các đặc điểm nh− sau: nó sử dụng khoá không bí mật, tóm l−ợc thông báo mà nó tạo ra không thể chuyển ng−ợc lại thông tin ban đầu, thuật toán và các thông tin (về việc nó làm việc nh− thế nào) có hiệu lực công khai và các xung đột hầu nh− không xảy ra. Một khi hàm băm tính toán đ−ợc giá trị băm của một thông báo, giá trị này đ−ợc gắn kèm vào thông báo. Giả thiết rằng, thông báo gửi đi là một đơn đặt hàng có chứa địa chỉ và thông tin thanh toán của khách hàng. Khi th−ơng gia nhận đ−ợc đơn đặt hàng và tóm l−ợc thông báo đi kèm, anh ta tính toán tóm l−ợc của thông báo nhận đ−ợc, so sánh nó với tóm l−ợc thông báo đi kèm và biết đ−ợc thông báo có bị sửa đổi hay không. Tuy nhiên, ở đây cũng nảy sinh một vấn đề khác. Do thuật toán băm đ−ợc biết rộng rãi và công khai, bất kỳ ai cũng có thể chặn lấy một đơn đặt hàng, sửa đổi địa chỉ gửi hàng và số l−ợng hàng yêu cầu, tạo ra một tóm l−ợc mới, gửi thông báo (đã bị sửa đổi) cùng với tóm l−ợc mới cho một th−ơng gia. Th−ơng gia tính toán tóm l−ợc của thông báo nhận đ−ợc, so sánh tóm l−ợc này với tóm l−ợc đính kèm và thấy chúng trùng khớp. Th−ơng gia tin rằng thông báo nhận đ−ợc chính là thông báo ban đầu. Để ngăn chặn kiểu gian lận này, ng−ời gửi mã hoá tóm l−ợc thông báo bằng khoá riêng của mình. Chữ ký số là tóm l−ợc thông báo đ−ợc mã hoá. Đơn đặt hàng có đi kèm chữ ký số cung cấp nhận dạng xác thực ng−ời gửi và đảm bảo thông báo không bị sửa đổi. Một chữ ký cung cấp tính toàn vẹn thông báo và xác thực máy khách nh− thế nào? Khi tóm l−ợc thông báo đ−ợc mã hoá nhờ dùng các kỹ thuật khoá công khai, có nghĩa là chỉ ng−ời chủ sở hữu của cặp khoá công khai/khoá riêng mới có thể mã hoá tóm l−ợc thông báo. Vì vậy, khi th−ơng gia giải chữ ký số bằng khoá công khai, tính toán tóm l−ợc của thông báo nhận đ−ợc, sự trùng khớp của các tóm l−ợc thông báo là kết quả chứng minh tính đích thực của ng−ời gửi. Điều này giải quyết vấn đề làm giả (spoofing). Nếu cần, cả hai thành viên có thể thoả thuận giữ bí mật giao dịch, bổ xung thêm vào tính toàn vẹn và xác thực mà chữ ký số đã cung cấp.
  38. Đơn giản chỉ cần mã hoá toàn bộ chuỗi (cả chữ ký số và thông báo) nhằm đảm bảo tính bí mật thông báo. Việc kết hợp sử dụng mã hoá khoá công khai, tóm l−ợc thông báo và chữ ký số đảm bảo an toàn chất l−ợng cho các cuộc giao dịch trên Internet. Hình 2.4 minh hoạ một chữ ký số và một thông báo đ−ợc tạo ra và gửi đi nh− thế nào. Đảm bảo chuyển giao giao dịch Tấn công chối bỏ hoặc làm trễ dịch vụ có thể loại bỏ hoặc sử dụng nhiều nguồn tài nguyên. Trong tấn công này, các ch−ơng trình Java có thể tải xuống với một trang Web và dần dần làm cho bộ xử lý của bạn không hoạt động đ−ợc. Loại tấn công này cũng xảy ra trên các kênh th−ơng mại, một mạng hoặc Internet. Một cách từ chối dịch vụ là làm tràn ngập Internet bằng một số l−ợng lớn các gói, nhằm phá hoại máy chủ hoặc giảm các mức an toàn của nó xuống mức khó có thể chấp nhận đ−ợc đối với ng−ời muốn tiến hành kinh doanh. Một số tấn công là nguyên nhân phá hoại hệ điều hành. Các tấn công từ chối cũng có thể loại bỏ các gói Internet, làm cho chúng biến mất. Nếu điều này xảy ra th−ờng xuyên đối với một site th−ơng mại, những ng−ời mua hàng sẽ bắt đầu tránh xa site này. Quá trình gửi Đơn đặt Truyền cho th−ơng gia Tóm Khoá Chữ ký Chữ ký Hàm l−ợc số số riêng băm t.báo Quá trình nhận Tóm Th−ơng Hàm l−ợc băm gia t.báo So sánh nhận hai tóm Tóm l−ợc t.báo Chữ ký Khoá l−ợc số riêng t.báo Hình 2.7 Quá trình gửi và nhận một thông báo
  39. Mã hoá hoặc các chữ ký số có thể bảo vệ các gói thông tin, tránh bị trộm cắp hoặc làm trễ. Tuy nhiên, TCP có trách nhiệm kiểm soát các gói tại các nút cuối. Tại đích, khi lắp ráp các gói theo đúng trật tự ban đầu, nó phát hiện đ−ợc ngay các gói bị mất. Trách nhiệm lúc này của TCP là yêu cầu máy phía máy khách gửi lại dữ liệu. Điều này có nghĩa là không có giao thức an toàn máy tính đặc biệt nào (ngoại trừ TCP/IP) đ−ợc sử dụng nh− là một biện pháp đối phó, chống lại các tấn công từ chối. Giao thức TCP/IP tiến hành kiểm tra dữ liệu, vì vậy nó có thể phát hiện các gói dữ liệu bị sửa đổi hoặc không hợp lệ. 2.6 Bảo vệ máy chủ th−ơng mại Các cách bảo đảm an toàn (đ−ợc trình bày trong các mục trên) chủ yếu tập trung vào việc bảo vệ máy phía máy khách và các giao dịch th−ơng mại trên Internet hoặc kênh th−ơng mại. Trong phần này chúng ta đi sâu xem xét việc bảo vệ máy chủ th−ơng mại, đây chính là trọng tâm của th−ơng mại điện tử. Máy chủ th−ơng mại, song song với máy chủ Web, đáp ứng các yêu cầu từ trình duyệt Web thông qua giao thức HTTP và CGI script. Phần mềm máy chủ th−ơng mại bao gồm máy chủ FTP, máy chủ th− tín, máy chủ đăng nhập từ xa và hệ điều hành trên các máy host. Kiểm soát truy nhập và xác thực Kiểm soát truy nhập và xác thực nhằm kiểm soát ai và cái gì truy nhập vào máy chủ th−ơng mại. Xác thực là kiểm tra nhận dạng của thực thể muốn truy nhập vào máy tính thông qua các chứng chỉ số. Khi máy chủ yêu cầu nhận dạng rõ ràng một máy khách và ng−ời sử dụng của nó, máy chủ yêu cầu máy khách gửi cho nó một chứng chỉ. Máy chủ có thể xác thực ng−ời sử dụng theo nhiều cách. Thứ nhất, nếu máy chủ không thể giải mã chữ ký số (có trong chứng chỉ) bằng cách sử dụng khoá công khai, điều này chứng tỏ rằng chứng chỉ không có nguồn gốc từ ng−ời sở hữu tin cậy. Thủ tục này ngăn chặn, không cho phép các chứng chỉ gian lận chui vào một máy chủ an toàn. Thứ hai, máy chủ kiểm tra tem thời gian (có trên chứng chỉ) để đảm bảo rằng chứng chỉ ch−a quá hạn. Máy chủ sẽ loại bỏ các chứng chỉ đã hết hạn và không cung cấp thêm dịch vụ. Thứ ba, máy chủ có thể sử dụng một hệ thống gọi lại, trong đó địa chỉ máy khách và tên ng−ời sử dụng đ−ợc kiểm tra, dựa vào danh sách tên ng−ời dùng và địa chỉ máy khách đ−ợc gán tr−ớc. Tên ng−ời sử dụng và mật khẩu là một yếu tố bảo vệ cho các máy chủ. Bạn sử dụng mật khẩu hàng ngày khi muốn truy nhập vào máy chủ l−u giữ hộp th− điện tử của bạn, truy nhập vào mạng của một tr−ờng đại học hoặc một công ty, đăng nhập vào các dịch vụ thuê bao, chẳng hạn nh− E*Trade, trên Internet. Để xác thực ng−ời dùng bằng sử dụng tên và mật khẩu, máy chủ phải l−u giữ một cơ sở dữ liệu (có chứa các thông tin liên quan đến ng−ời sử dụng hợp pháp, gồm tên ng−ời sử dụng và mật khẩu). Hệ thống cho phép ng−ời sử dụng bổ xung, xoá, thay đổi mật khẩu. Các hệ thống hiện đại nhất giúp ng−ời sử dụng nhớ lại mật khẩu trong tr−ờng hợp họ quên. Bạn có thể lấy lại một mật khẩu đã quên bằng cách gửi yêu cầu cho máy chủ th− tín.
  40. Nhiều hệ thống máy chủ Web l−u giữ tên ng−ời sử dụng và mật khẩu trong một file. Không quan tâm đến việc thông tin đăng nhập đ−ợc l−u giữ ở đâu, cách nhanh nhất và phổ biến nhất để l−u giữ các mật khẩu (một biện pháp đ−ợc sử dụng trong các hệ thống UNIX) là l−u giữ tên ng−ời sử dụng ở dạng rõ và mã hoá mật khẩu. Khi bạn hoặc một hệ thống tạo ra một tên mới, mật khẩu đ−ợc mã hoá nhờ thuật toán mã hoá một chiều. Do tên ng−ời sử dụng đ−ợc l−u ở dạng rõ, hệ thống có thể phê chuẩn những ng−ời sử dụng khi họ đăng nhập, bằng cách kiểm tra tên của anh ta qua danh sách tên (đ−ợc l−u giữ trong cơ sở dữ liệu). Sau đó mã hoá mật khẩu mà ng−ời sử dụng gõ vào khi đăng nhập hệ thống và so sánh nó với mật khẩu trong cơ sở dữ liệu (mật khẩu này đ−ợc mã hoá, tr−ớc khi l−u vào cơ sở dữ liệu). Nếu trùng khớp, đăng nhập đ−ợc chấp nhận. Thông th−ờng, máy chủ Web đ−a ra danh sách kiểm soát truy nhập an toàn. ACL là một danh sách hoặc cơ sở dữ liệu, các nguồn tài nguyên, tên của ng−ời có thể truy nhập vào các file hoặc các nguồn tài nguyên khác. Mỗi file có một danh sách kiểm soát truy nhập riêng. Bất cứ khi nào, máy phía máy khách yêu cầu máy chủ Web truy nhập vào một file hoặc một tài liệu (có định tr−ớc cấu hình yêu cầu kiểm tra truy nhập), máy chủ Web sẽ kiểm tra ACL của nguồn tài nguyên và sẽ quyết định ng−ời sử dụng có đ−ợc phép truy nhập hay không. Các kiểm soát của hệ điều hành Hầu hết các hệ điều hành (trừ các hệ điều hành chạy trên các máy tính nhỏ) sử dụng tên ng−ời dùng và mật khẩu cho hệ thống xác thực. Hệ thống này cung cấp một cơ sở hạ tầng an toàn cho máy chủ Web (chạy trên máy tính host). Hiện nay, hệ điều hành UNIX (và các biến thể của nó) là hệ điều hành nền chủ đạo cho các máy chủ Web. UNIX có một số cơ chế bảo vệ nhằm ngăn chặn khám phá trái phép và đảm bảo tính toàn vẹn dữ liệu. Các bức t−ờng lửa Bức t−ờng lửa đ−ợc sử dụng nh− một hàng rào giữa một mạng (cần đ−ợc bảo vệ) và Internet hoặc mạng khác (có khả năng gây ra mối đe doạ). Mạng và các máy tính cần đ−ợc bảo vệ nằm bên trong bức t−ờng lửa, các mạng khác nằm ở bên ngoài. Các bức t−ờng lửa có các đặc điểm sau đây: 8 Tất cả các luồng thông tin từ trong ra ngoài, từ ngoài vào trong đều phải chịu sự quản lý của nó. 8 Chỉ có các luồng thông tin đ−ợc phép (do chính sách an toàn cục bộ xác định) đi qua nó. 8 Bức t−ờng lửa tự bảo vệ mình. Các mạng bên trong bức t−ờng lửa đ−ợc gọi là các mạng tin cậy, các mạng bên ngoài đ−ợc gọi là các mạng không tin cậy. Đóng vai trò nh− một bộ lọc, bức t−ờng lửa cho phép các thông báo (có chọn lọc) đi vào, hoặc ra khỏi các mạng đ−ợc bảo vệ. Ví dụ, một chính sách an toàn cho phép tất cả các luồng thông tin HTTP (Web) vào ra, nh−ng không cho