ลายมือชื่อดิจิตอล (Digital Signature)
Download
Report
Transcript ลายมือชื่อดิจิตอล (Digital Signature)
บทที่ 10
ระบบความปลอดภัย
(Security System)
1
เนื้ อหา
•
•
•
•
การเขารหั
สลับ
้
ลายมือชือ
่ ดิจต
ิ อล
ใบรับรองดิจต
ิ อล
ระบบความปลอดภัย
2
Security System
ระบบรักษาความปลอดภัยเป็ นเรือ
่ งสาคัญ
โดยเฉพาะการพาณิชยอิ
์ เล็กทรอนิกส์ที่
มีการแลกเปลีย
่ นขอมู
ส
้ ลระหวางผู
่
้ ่ งและผูรั
้ บ ซึง่ ใน
ระบบจะตองหาวิ
ธก
ี ารดูแล
้
ความปลอดภัยของระบบผานเครื
อขายต
าง
ๆ หรือ
่
่
่
ระบบอินเทอรเน็
์ ต
ในปัจจุบน
ั การใช้งานเต็มไปดวยการคุ
กคามจากผู้ไม่
้
ประสงคดี
ี่ รางความเสี
ยหาย
้
์ ทส
แกระบบหลายหลายวิ
ธก
ี าร ดังนั้นเพือ
่ ความ
่
3
ปลอดภัยของระบบเราควรออกแบบ
ภัยคุกคาม
• เช่น hacker , crackers , Denial-of-service
attack ฯลฯ
• ในปี ค.ศ. 1999 cracker ชาวสวีเดนไดบุ
้ กเขาไปใน
้
เว็บไซต ์ Microsoft’s Hotmail และไดเข
าง
้ าไปสร
้
้
mirror site ทีอ
่ นุ ญาตให้ผู้ใดก็ไดสามารถพิ
มพชื
่ ของ
้
์ อ
ผู้ใช้ Hotmail แลวสามารถเข
าไปอ
านข
อความอี
เมล ์
้
้
่
้
ของผู้นั้นไดราวกั
บเป็ นเจ้าของเสี ยเอง
้
• ในอีกกรณีหนึ่ง cracker ทีเ่ ป็ นเด็กอายุ 19 ปี ชาว
รัสเซียชือ
่ วา่ Maxim ไดบุ
บไซต ์ e้ กเขาไปในเว็
้
commerce แหงหนึ
่งและขโมยหมายเลขเครดิตการด
่
์
ไปกวา่ 300,000 ใบ จากนั้นจึงไดเข
้ าไปใน
้
เว็บไซตของเจ
อ
่ เรียกร้องเงิน
้าของเว็บไซตดั
่
์
์ งกลาวเพื
4
เป็ นจานวน 100,000 เหรียญเป็ นคาไถ
ส
าหรั
บ
่
่
ภัยคุกคามทางอินเทอร์เน็ต
• ตัวอยางของการคุ
กคามไดแก
่
้ ่
– การเขาถึ
้ งระบบเครือขายจากผู
่
้ทีไ่ มมี
่ สิทธิ ์
– การเขามาท
าลาย เปลีย
่ นแปลง หรือ ขโมย
้
ขอมู
้ ล
– การนาขอมู
่ ทีไ่ มเกี
่ วของ
้ ลไปเปิ ดเผยแกผู
่ ้อืน
่ ย
้
– การทาให้การทางานของระบบหยุดชะงัก
– การปฏิเสธความรับผิดชอบในการทาธุรกรรม หรือ
การอางว
รั
้ าได
่
้ บ หรือ ให้บริการ/ขอมู
้ ล ของ ผู้
ซือ
้ หรือ ผู้ขาย
• ซึง่ ถาข
่ วของกั
บ ขอมู
้ อมู
้ ลเหลานั
่ ้นเกีย
้
้ ลทางการเงิน
เช่น หมายเลขบัตรเครดิต ขอมู
ั
้ ลลับของบริษท
5
(Corporate Secret) หรือ ขอมู
้ ลทีเ่ ป็ นทรัพยสิ์ นทาง
วิธีบกุ รุกเข้าเครือข่ายและการแก้ปัญหหา
• วิธก
ี ารบุกรุก
– เขามาขโมยและแก
ไขข
อมู
้
้
้ ลในระบบ
• การแกไขปั
ญหา
้
– เก็บขอมู
สลับ (Encryption)
้ ลโดยการเขารหั
้
• การทางาน
– เขารหั
สขอมู
่ ป้องกันการลักลอบดูจากผู้ทีไ่ มมี
้
้ ลเพือ
่
สิ ทธิ
• ใช้เทคโนโลยี
– สามารถใช้วิธก
ี ารเขารหั
สแบบตาง
ๆ
้
่
6
วิธีบกุ รุกเข้าเครือข่ายและการแก้ปัญหหา
• วิธก
ี ารบุกรุก
– ปลอมตัวเขามาใช
้
้ระบบและทารายการปลอม
• การแกไขปั
ญหา
้
– ให้ระบบตรวจสอบวาบุ
่ คคลนั้นมีสิทธิจริงหรือไม่
(Authentication)
• การทางาน
– ใช้หลักการตรวจสอบขอมู
้ ลทัง้ ผู้ส่งและผู้รับขอมู
้ ล
• ใช้เทคโนโลยี
– การใช้ลายมือชือ
่ ดิจต
ิ อล
7
วิธีบกุ รุกเข้าเครือข่ายและการแก้ปัญหหา
• วิธก
ี ารบุกรุก
– เขาใช
่ เขาใช
้
้ระบบโดยไมมี
่ สิทธิและใช้ระบบนี้เพือ
้
้
ระบบอืน
่
• การแกไขปั
ญหา
้
– ดานกั
นบุกรุก (Firewall)
่
• การทางาน
– ตรวจสอบและกรองขอมู
้ ลของการติดตอจาก
่
เครือขายหรื
อเครือ
่ งบริการของระบบเพือ
่ ป้องกัน
่
ขอมู
มี
้ ลเขาและออกจากระบบจากการไม
้
่ สิทธิ
• ใช้เทคโนโลยี
– Firewall และการวางเครือขายเสมื
อน (VPN่
8
- ความปลอดภัยของขอมู
่ การทาธุรกรรมผานเครื
อขาย
้ ลเพือ
่
่
อินเทอรเน็
์ ตนั้นจะหมายถึง
การทีข
่ อมู
ครบถวน
มีความน่าเชือ
่ ถือ และ
้ ลมีความถูกตอง
้
้
สามารถส่งถึงผู้รับไดอย
้ าง
่
สมบูรณ ์
- ในทางปฏิบต
ั น
ิ ้น
ั สามารถกาหนดลักษณะของการ
ควบคุมความมัน
่ คงปลอดภัย (Security Controls) ได้
5 ระดับตามรูป
9
Security Controls
1. การพิสจ
ู น์ ตวั ตน
(Authentication)
การพิสจู น์ ตวั ตน คือขัน้ ตอนการยืนยันความถูกตอง
้
ของหลักฐาน (Identity) ที่
แสดงวาเป็
่ ลาวอ
างจริ
ง ในทางปฏิบต
ั จ
ิ ะ
่ นบุคคลทีก
่
้
แบงออกเป็
น 2 ขัน
้ ตอน คือ
่
1. การระบุตวั ตน (Identification) คือขัน
้ ตอนที่
ผูใช
อใครเช่น ชือ
่ ผูใช
้ ้แสดงหลักฐานวาตนเองคื
่
้ ้
(username)
2. การพิสจ
ู นตั
้ ตอนที่
์ วตน (Authentication) คือขัน
ตรวจสอบหลักฐานเพือ
่ แสดงวาเป็
่ ลาว
่ นบุคคลทีก
่
10
อางจริ
ง
้
แผนผังแสดงกระบวนการการ
พิสจู น์ ตวั ตน
• หลักฐานทีผ
่ ้ใช
ู ้นามากลาวอ
างที
เ่ กีย
่ วกับเรือ
่ งของความ
่
้
ปลอดภัยนั้นสามารถจาแนกได้ 2 ชนิด
- Actual identity คือหลักฐานทีส
่ ามารถบงบอกได
ว
่
้ าในความ
่
เป็ นจริงบุคคลทีก
่ ลาวอ
างนั
้นเป็ นใคร
่
้
- Electronic identity คือหลักฐานทางอิเล็กทรอนิกส์ซึง่ สามารถ
11
บงบอกข
อมู
แตละบุ
คคลอาจมีหลักฐาน
่
้ ลของบุคคลนั้นได้
่
กลไกของการพิสจู น์ ตวั ตน
(Authentication mechanisms)
• กลไกของการพิสจ
ู นตั
์ วตน สามารถแบงออก
่
ไดเป็
้ น 3 คุณลักษณะคือ
– สิ่ งทีค
่ ุณมี (Possession factor) เช่น กุญแจหรือ
เครดิตการด
้
์ เป็ นตน
– สิ่ งทีค
่ ุณรู้ (Knowledge factor) เช่น รหัสผาน
่
(passwords) หรือการใช้พิน (PINs) เป็ นตน
้
– สิ่ งทีค
่ ุณเป็ น (Biometric factor) เช่น ลายนิ้วมือ
รูปแบบเรตินา (retinal patterns) หรือใช้รูปแบบ
เสี ยง (voice patterns) เป็ นตน
้
12
กลไกของการพิสจู น์ ตวั ตน
• ขอจ
้ ากัดในการใช้ เช่น
– สิ่ งทีค
่ ุณมี (Possession factor) นั้นอาจจะสูญ
หายหรือถูกขโมยได้
– สิ่ งทีค
่ ุณรู้ (Knowledge factor) อาจจะถูกดักฟัง
เดา หรือขโมยจากเครือ
่ งคอมพิวเตอร ์
– สิ่ งทีค
่ ุณเป็ น (Biometric factor) จัดไดว
ี ี่
้ าเป็
่ นวิธท
มีความปลอดภัยสูง แตการที
จ
่ ะใช้เทคโนโลยีนี้ได้
่
นั้นจาเป็ นตองมี
การลงทุนทีส
่ งู เป็ นตน
้
้
** ดังนั้นจึงไดมี
ณลักษณะมาใช้
้ การนาแตละคุ
่
รวมกั
น ช่วยเพิม
่ ประสิ ทธิภาพในการรักษา 13
่
ความปลอดภัยของขอมูล
Security Controls
2. การกาหนดสิทธ์ ิ
•
(Authorization)
การกาหนดสิทธ์ ิ
การกาหนดสิ ทธิ ์ คือขัน
้ ตอนในการอนุ ญาตให้
แตละบุ
คคลสามารถเขาถึ
่
้ งขอมู
้ ลหรือระบบใดได้
าบุ
่ ลาวอ
อนว
น
่ ตองทราบก
กอนอื
าง
บาง
่
่ คคลทีก
่
้
่
้
้
นั้นคือใครตามขัน
้ ตอนการพิสจ
ู นตั
์ วตนและตอง
้
ให้แน่ใจดวยว
าการพิ
สจ
ู นตั
้
่
์ วตนนั้นถูกตอง
้
14
Security Controls
3. การเข้ารหัสลับ(Encryption)
•
การเข้ารหัสลับ คือการเปลีย่ นขอความที
ส
่ ามารถ
้
อานได
ไ่ มสามารถ
่
้ (plain text) ไปเป็ นขอความที
้
่
อานได
่
้ (cipher text)
• การเขารหั
สลับมีความสาคัญคือ
้
– การตรวจสอบเพือ
่ ยืนยันขอมู
่ ่ง
้ ลทีส
(authentication) โดยตรวจสอบการแสดงตนวา่
คนส่งเป็ นตัวจริงหรือไม่
– การพิสจ
ู นหลั
กระท
ารายการจริง (Non่
้
์ กฐานวาได
Repudiation) เพือ
่ ป้องกันการปฏิเสธภายหลังวา่
ไมได
่ เป็
้ นผู้กระทา
15
– การรักษาสิ ทธิความเป็ นสวนตัว ปกปองขอมูลจาก
Security Controls
•
4. การรักษาความสมบูรณ์
(Integrity)
การรักษาความสมบูรณ์
• การรักษาความสมบูรณ ์ คือการรับรองวาข
่ อมู
้ ล
จะไมถู
่ นแปลงหรือทาลายไปจากตนฉบั
บ
่ กเปลีย
้
นโดยบังเอิญหรือดัดแปลง
(source) ไมว่ าจะเป็
่
โดยเจตนาทีอ
่ าจส่งผลเสี ยตอข
่ อมู
้ ล การ
คุกคามความสมบูรณของข
อมู
่ ค
ุ คลที่
์
้ ลคือการทีบ
ไมได
่ ะเขาควบคุ
มการ
่ รั
้ บอนุ ญาตสามารถทีจ
้
จัดการของขอมู
้ ลได้
16
Security Controls
5. การตรวจสอบ (Audit)
•
การตรวจสอบ
• การตรวจสอบ คือการตรวจสอบหลักฐานทาง
อิเล็กทรอนิกส์ ซึง่ สามารถใช้ในการติดตาม
การดาเนินการเพือ
่ ตรวจสอบความถูกตองและ
้
แมนย
ื่
่ า ตัวอยางเช
่
่ นการตรวจสอบบัญชีชอ
ผูใช
ญชี ซึง่ การตรวจสอบความ
้ ้ โดยผูตรวจบั
้
ถูกตองของการด
าเนินการเพือ
่ ให้แน่ใจวา่
้
หลักฐานทางอิเล็กทรอนิกส์นั้นไดถู
้
้ กสรางและ
สั่ งให้ทางานโดยบุคคลทีไ่ ดรั
้ บอนุ ญาต และใน
การเชือ
่ มตอเหตุ
การณเข
า
่
์ ากั
้ บบุคคลจะตองท
้
17
การตรวจสอบหลักฐานของบุคคลนั้นดวย
ซึง่
้
สรุป การควบคุมความปลอดภัย
•
การพิสจู น์ ตวั ตนจัดเป็ นการตรวจสอบหลักฐานขัน้
พืน้ ฐานที่สาคัญหที่สดุ ใน 5 ระดับชัน้ ของการควบคุม
ความปลอดภัย ดังนั้นการพิสจ
ู นตั
่
์ วตนดีจะช่วยเพิม
ความมัน
่ คงปลอดภัยขัน
้ พืน
้ ฐานให้กับระบบมากยิง่ ขึน
้
• ส่วนประกอบพืน
้ ฐานของการพิสจ
ู นตั
์ วตนสมบูรณแบ
์ ง่
ไดเป็
้ น 3 ส่วน คือ
– การพิสจ
ู นตั
่ าคัญทีส
่ ุด
์ วตน (Authentication) คือส่วนทีส
เพราะเป็ นขัน
้ ตอนแรกของการเขาใช
้
้ระบบ ผู้เขาใช
้
้ระบบ
ตองถู
กยอมรับจากระบบวาสามารถเข
าสู
ู น์
้
่
้ ่ ระบบได้ การพิสจ
ตัวตนป็ นการตรวจสอบหลักฐานเพือ
่ แสดงวาเป็
่ นบุคคลนั้น
จริง
– การกาหนดสิ ทธิ ์ (Authorization) คือขอจ
่
้ ากัดของบุคคลที18
เขามาในระบบ
วาบุ
้
่ คคลคนนั้นสามารถทาอะไรกับระบบได้
พืน้ ฐานของระบบความปลอดภัย
• การพิสจ
ู นตั
์ วตนและการให้อานาจ (Authentication
and Authorization)
– การยืนยันความถูกตองว
าเป็
่ ลาวอ
างจริ
ง และการ
้
่ นคนทีก
่
้
อนุ ญาตให้แตละบุ
คคลสามารถเขาถึ
่
้ งขอมู
้ ลหรือระบบใดได้
บาง
้
• การรักษาความลับ (Confidentiality)
– การรับรองวาจะมี
การเก็บขอมู
่
้ ลไวเป็
้ นความลับ และผู้มี
สิ ทธิเทานั
่ ้นจึงจะเขาถึ
้ งขอมู
้ ลนั้นได้
• การรักษาความถูกตอง/สมบู
รณ ์ (Integrity)
้
– การรับรองวาข
่ นแปลงหรือทาลายไมว่ า่
่ อมู
้ ลจะไมถู
่ กเปลีย
จะเป็ นโดย อุบต
ั เิ หตุหรือโดยเจตนา
• การป้องกันการปฏิเสธหรือการไมยอมรั
บ (Non่
Repudiation)
19
กระบวนการเข้ารหัสและถอดรหัส
(cryptography)
• จุดประสงคหลั
สและถอดรหัส คือ ผู้
้
์ กของการเขารหั
ทีไ่ มได
่ รั
้ บอนุ ญาตในการเขาถึ
้ งขอมู
้ ลเขาถึ
้ งขอมู
้ ลได้
ยากและให้เพียงแคบุ
่ นุ ญาตให้เขาถึ
่ คคลทีอ
้ งขอมู
้ ล
เขาถึ
่ ที
้ งขอมู
้ ลไดเท
้ านั
่ ้น ไมใช
่ ่ ทัง้ หมดทีผ
ู้ ไ่ มได
่ รั
้ บ
อนุ ญาตจะไมสามารถเข
าถึ
่
้ งขอมู
้ ลไดผู
้ ้ทีไ่ มได
่ รั
้ บ
อนุ ญาตอาจเขาถึ
าใจ
้ งขอมู
้ ลไดแต
้ ไม
่ สามารถเข
่
้
ความหมายของขอมู
้ ลนั้นนั้นได้
• การเขารหั
ส เป็ นการใช้ อัลกอริทม
ึ ทีซ
่ บ
ั ซ้อนใน
้
การเปลีย
่ น ขอมู
ารหั
ส
้ ลเดิม(plaintext) ดวยการเข
้
้
เปลีย
่ นเป็ น ขอมู
ารหั
สแลว(ciphertext)
้ ลมีผานการเข
่
้
้
• อัลกอริทม
ึ ทีใ่ ช้ในการ เขารหั
ส และ ถอดรหัส
20
้
ขอมูลแลวสงผานกันในระบบเน็ กเวิรคนั้น มี 2 แบบ
ตัวอย่างการเข้ารหัสสมัยก่อน
(Classic cryptography)
Caesar cipher
การเขารหั
สขอมู
ึ้ ในราว
้
้ ลแบบ Caesar cipher มีขน
50-70 ปี กอนคริ
สตกาลสรางโดยกษั
ตริย ์ Julius Caesar
่
้
แหงโรมั
น เพือ
่ ใช้เขารหั
สขอความในสารที
ส
่ ่ งในระหวาง
่
้
้
่
การทาศึ กสงคราม เพือ
่ ป้องกันไมให
่ ้ศัตรูสามารถอาน
่
ขอความในสารนั
้นไดหากสารนั
้นถูกแยงชิ
้
้
่ งไป การ
เขารหั
สแบบ Caesar cipher จะใช้วิธก
ี ารแทนทีต
่ วั อักษร
้
ตนฉบั
บดวยตั
วอักษรทีอ
่ ยูห
างหน
้
้
่ างออกไปข
่
้
้ าสามตัวเช่น
แทนทีต
่ วั A ดวยตั
ว D และแทนทีต
่ วั B ดวยตั
ว E เป็ น
้
้
ตน
สแบบ Caesar cipher จึงเป็ นการ
้ ดังนั้นการเขารหั
้
เลือ
่ นตัวอักษรโดยจานวนครัง้ ของการเลือ
่ นเทากั
่ บสาม
(Shiftment, n = 3)
21
Plain:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
Cipher:
หากใช
สขอมู
ส จะไดดั
้การเขารหั
้
้ ลแบบ Caesar cipher เขารหั
้
้ ง
Plaintext:
the quick brown fox jumps over the lazy dog
DEFGHIJKLMNOPQRSTUVWXYZABC
Ciphertext: WKH TXLFN EURZQ IRA MXPSV RYHU WKH ODCB
GRJ
ประโยค คือ “the quick brown fox jumps
over the lazy dog”
ซึง่ เป็ นประโยคสั้ น ๆ ทีม
่ ต
ี วั อักษร
ตภาษาอั
อมา
Augustus
(ผู้เป็ง้ น 26
Caesar
่ องจากทัง้ หมด 12
งกฤษครบทั
ตัว องคที
่
์ ส
Caesars) ซึง่ เป็ นหลานของ Julius Caesar ไดเปลี
่ นสูตรให้
้ ย
แทนทีต
่ วั A ดวยตั
ว C และแทนทีต
่ วั B ดวยตั
ว D
้
้
ดังนั้นจึงกลายเป็ นการเลือ
่ นตัวอักษรทีม
่ จ
ี านวนครัง้ ของการเลือ
่ น 22
Caesar cipher
- การเข้ ารหั ส ทั้ง สองวิ ธ ี นี้ ส ามารถถู ก เบรค
(Break) ไดโดยง
าย
(การเบรคในทีน
่ ี้หมายถึง
้
่
การถอดรหัสข้อมูลออกมาได้ ถึงแม้จะไมทราบ
่
วิธ ีก ารเข้ ารหัส และไม่มีกุ ญ แจที่ใ ช้ ถอดรหัส ก็
ตาม)
- การเบรคการเข้ ารหัส ข้ อมู ล แบบ Caesar
cipher
ท าได้โดยการทดลองทาการเลือ
่ น
ตัว อัก ษรทุ ก ตัว โดยทดลองเลือ
่ นด้วยจ านวน
Shiftment ทีต
่ างกั
นคือ n=1, n=2, n=3, ...
่
23
ไปจนถึง n=26 ซึง่ จะใช้การจานวนครัง้ ในการ
Scytale
• Scytale เป็ นอุปกรณที
่ าขึน
้ จากไมที
่ ด
ี านสมมาตร
์ ท
้ ม
้
เทากั
ในสมัยทีย
่ งั ไมมี
่
่ นทุกดาน
้
่ คอมพิวเตอร ์ ใช้เพือ
เขารหั
ส และ ถอดรหัสลับ
้
• วิธก
ี ารเขารหั
สก็ คือ นากระดาษมาพันรอบ Scytale
้
แลวเขี
บตามแนวนอน ขนานกับไมไป
แลว
้ ยนขอความลั
้
้
้
หลังจากนั้นก็นากระดาษนี้ไปส่งให้กับผูรั
าง
้ บ ซึง่ ถาระหว
้
่
ทาง
ขอความลั
บ (CipherText)
้
โดนแยงไป
คนทีแ
่ ยงไปถ
าไม
มี
่ ข
ี นาด
่
่
้
่ Scytale ทีม
เดียวกันกับ ทีใ่ ช้เขียนขึน
้ มาก็จะไมสามารถอ
านข
่
่
้อความ
นั้นได้
านตามแนวนอนจะได
เป็
• วิธก
ี ารถอดรหัส คือ ผู้รับจอาเป็
ตวั Scytale
่ นจะตองมี
้ น ที่
้
สามารถถอดรหัสได้ (Scytale
แบบเดี
) แตวิ
ก
ี ารก็
“Help
me ย
I วกั
amนunder
่ ธattack”
จะเหมือนกับการเขารหั
ส โดยการน
ากระดาษมาพั
นรอบ
้
(ตัวอยางอยู
ในสมั
ย
ของ
Spartan
่
่
Scytale แลวหลั
งจากนั้นก็อานตามแนวนอน
ก็จะได้
้
่
24
ขอความปกติ
(PlainText) ออกมา
้
การเข้ารหัสสมัยใหม่ (Modern
cryptography)
• การเขารหั
สสมัยใหมมี
่ งของ กุญแจ( key) เขามา
้
่ เรือ
้
เกีย
่ วของ
กุญหแจ( key) หมายถึง ชุดตัวเลข หรือ
้
ตัวอักษร กลุมนึ
่ ก
ู ‘สุ่ม’ ขึน
้ มาเพือ
่ ใช้ในการ
่ งทีถ
เขารหั
ส หรือ ถอดรหัส
้
• เริม
่ ในช่วงปี 1970: DES (Data Encryption
Standard) เป็ นการเขารหั
สทีพ
่ ฒ
ั นามาจากอัลกอริทม
ึ
้
Lucifer ของ IBM โดย Lucifer ไดรั
้ บการพัฒนา
เพิม
่ ความสามารถและเปลีย
่ นชือ
่ เป็ น DES แลวได
รั
้
้ บ
การนาเสนอตอ
่ US NIST (US National Institute of
Standards and Technology) ให้กลายเป็ น
มาตราฐานการเขารหั
สของ สหรัฐอเมริกา
้
• AES (Advance Encryption Standard) เป็ นการ 25
ขัน้ ตอนการเข้ารหัสลับการเข้ารหัส
1. การสร้างขัน
้ ตอนวิธี
ลับ
1.2 2อัลส่กอริ
ทม
ึ แบบอสมมาตร
่
มี
ส
ว
นส
าคั
ญห
ของ
ว
นคื
อ
(Asymmetric key
(Algorithm)
1.1 อัลกอริทม
ึ แบบ
สมมาตร
(Symmetric key
algorithms)
algorithms)
2. การหา Key ที่ เหมาะสมสาหรับการ
26
1.1 อัลกอริทึมแบบสมมาตร
(Symmetric key algorithms)
• จะใช้กุญแจตัวเดียวกันสาหรับการเขาและถอดรหั
ส
้
อัลกอริทม
ึ ทีไ่ ดรั
้ บความนิยมไดแก
้ ่ DES, AES, IDEA
• ตัวอยาง
สของ Caesar cipher เช่น
่ : การเขารหั
้
ตองการเข
ารหั
สคาวา่ CAT
้
้
Decryption
โดยมีEncryption
Key คือ 3 วิธเี ขารหั
สทาได
โดย
นับขึน้ ไป 3
้
้
Cตัวกลายเป็
F กลายเป็ น E D C
อักษร นดังนัD้นE F
A กลายเป็ น B C D
D กลายเป็ น C B A
T กลายเป็ น U V W
W กลายเป็ น V U T
ผลลัพธจากการเข
ารหั
สคือ ผลลั
คาวา่ พธจากการถอดรหั
FDW
สคือ คาวา่
้
์
์
27
อัลกอริทึมแบบสมมาตร
(Symmetric key algorithms)
28
อัลกอริทึมแบบสมมาตร
(Symmetric key algorithms)
เขารหั
สลับ
้
ข้อความที่เข้ารหัสแล้ว
ขอความเดิ
ม
้
กอนการเข
ารหั
ส
่
้
Internet
ถอดรหัสดวยคี
ยลั
้
์ บเดิมขอความเดิ
ม
้
หลังถอดรหัส
ข้อความที่เข้ารหัสแล้ว
29
ปัญหหาของอัลกอริทึมแบบ
สมมาตร
• ผู้ส่งขอมู
ย
่ นกุญแจลับ
้ ลและผู้รับจะจาเป็ นตองแลกเปลี
้
กันกอน
(ซึง่ อาจหมายถึงส่งมอบกุญแจลับให้กันกอน)
่
่
การแลกเปลีย
่ นกุญแจนั้นอาจทาไดอย
งยากและไม
้ างยุ
่
่
่
สะดวก
• ผู้ส่งขอมู
กษากุญแจลับนัน
้ ไวเป็
้ ลและผู้รับจะตองรั
้
้ น
อยางดี
ห้ามเปิ ดเผยให้ผู้อืน
่ ลวงรู
ดขาด การที่
่
่ โดยเด็
้
กุญแจถูกเปิ ดเผยออกไปสู่ผู้อืน
่
• สาหรับสองกลุมที
่ องการติ
ดตอกั
่ ต
้
่ น จาเป็ นตองใช
้
้
กุญแจลับเป็ นจานวน 1 กุญแจเพือ
่ ติดตอกั
่ น ซึง่ จะ
เห็ นไดว
้ าจ
่ านวนกุญแจมีมากมาย ซึง่ อาจกอให
่
้เกิด
ปัญหาดานการรั
กษาความปลอดภัยให้กับกุญแจเหลานี
้
่ 30้
1.2
อัลกอริทึมแบบอสมมาตร
(Asymmetric key algorithms)
• อาจใช้คาวา่ Asymmetric Key Encryption หรือ Public
Key Encryption หรือใช้คาวา่ Public Key Infrastructure
(PKI)
• จะใช้กุญแจตัวหนึ่งสาหรับการเขารหั
ส และกุญแจอีกตัวหนึ่ง
้
สาหรับการถอดรหัส
• กุญแจทีใ่ ช้เขารหั
สเป็ นกุญแจทีเ่ ปิ ดเผยสู่สาธารณชน (ใครๆ
้
ก็สามารถใช้กุญแจนี้เพือ
่ เขารหั
สได)้ แตถ
ส
้
่ าการถอดรหั
้
จะตองใช
้
้กุญแจอีกดอกหนึ่งทีไ่ มเปิ
่ ดเผย
• อัลกอริทม
ึ ทีไ่ ดรั
้ บความนิยมไดแก
้ ่ RSA (ตัง้ แตคิ
่ ดค้นมายัง
ไมมี
ึ นี้ได้ และ RSA ไดถู
่ ใครสามารถเบรคอัลกอริทม
้ ก
นามาใช้อยางแพร
หลายในด
าน
e-commerce )
่
่
้
• การประยุกตใช
เก็บ Key อันหนึ่งไวกั
์ ้งานทาไดโดย
้
้ บ
ตัวเองเรียกวา่ Private Key ส่วนอีก Key หนึ่งสามารถทีจ
่ 31ะ
• ตัวอยาง
ให้นึกถึงหน้าปัดนาฬิ กาทีม
่ เี ลข 12 ตัวเรียง
่
กันเป็ นวงกลม ตองการส
่ นโดยการ
้
่ งเลข 4 ไปให้เพือ
เขารหั
สโดยใช้ Key เทากั
้
่ บ 7
ให้นับตามเข็มนาฬิ กาไป 7 ครัง้ -- จาก 4 นับ 5, 6, 7, 8,
11 คือเลขทีถ
่ ก
ู เขารหั
สแลว
้
้
ส ให้นา 11 มานับตามเข็มนาฬิ กา 5 ครัง้ -- จาก 11 นับ 12
ก็จะไดเลข
4 กลับมาเหมือนเดิม ซึง่ คียในที
น
่ ี้คอ
ื 7 และ 5
้
์
มีความสั มพันธกั
์ นคือ 7+5 = 12 ตามจานวนตัวเลขในนาฬิ กา
เขียนแบบคณิตศาสตร ์ : plain text = 4
เขารหั
สเลข 4 ดวยคี
ยตั
้
้
้ ่ 4+7 mod 12 = 1
์ วแรกคือ 7 ไดแก
คานวณคียตั
่ อง คือ 12 - 7 = 5
์ วทีส
ถอดรหัสเลข 11 ดวยคี
ยตั
่ องคือ 5 ไดแก
1
้
้ ่ 11+5 mod
์ วทีส
32
อัลกอริทึมแบบอสมมาตร (Asymmetric
key algorithms)
33
อัลกอริทึมแบบอสมมาตร (Asymmetric
key
เข้algorithms)
ารหัสลับ
Public Key
ขอความเดิ
ม
้
กอนการเข
ารหั
ส
่
้
ข้อความที่
เข้ารหัสแล้ว
Internet
(Cipher text)
ถอดรหัสด้วยคีย์
Private Key
ข้อความที่เข้ารหัสแล้ว
(Cipher text)
ขอความเดิ
ม
้
หลังการถอดรหัส
34
ความแข็งแกร่งของอัลกอริทึม
สาหรับการเข้ารหัส
หมายถึงความยากในการทีผ
่ บุ
ู้ กรุกจะสามารถ
ถอดรหัสขอมู
ญแจทีใ่ ชใน
้ ลไดโดยปราศจากกุ
้
้
การเขารหั
ส ซึง่ จะขึน
้ อยูกั
เช่น
้
่ บปัจจัยตางๆ
่
• การเก็บกุญแจเขารหั
สไวอย
นความลับ : ผู้เป็ น
้
้ างเป็
่
เจ้าของกุญแจลับหรือส่วนตัวตองระมั
ดระวังไมให
้
่ ้
กุญแจสูญหายหรือลวงรู
่
่ โดยผู
้
้อืน
• ความยาวของกุญแจเขารหั
ส : ปกติกุญแจเขารหั
สจะมี
้
้
ความยาวเป็ นบิต ยิง่ จานวนบิตของกุญแจยิง่ มาก ยิง่ ทา
ให้การเดาเพือ
่ สุ่มหากุญแจทีถ
่ ก
ู ตองเป็
นไปไดยาก
้
้
ยิง่ ขึน
้
35
• ความไมเกรงกลั
วตอการศึ
กษาหรือดูอล
ั กอริทม
ึ เพือ
่ หา
่
่
คาแนะนาในการเลือกใช้
อัลกอริทึม
• คือให้ใช้อัลกอริทม
ึ ทีไ่ ดมี
้ การใช้งานมาเป็ นระยะ
เวลานานแลว
ึ นี้
้ ทัง้ นี้เนื่องจากหากปัญหาของอัลกอริทม
มีจริง ก็คงเกิดขึน
้ มานานแลวและก็
คงเป็ นทีท
่ ราบกัน
้
แลว
่ ุดจวบจนกระทัง่ ถึงปัจจุบน
ั ก็ยงั
้ นั่นคืออยางน
่
้ อยทีส
ไมมี
่ าให้อัลกอริทม
ึ นั้นไมสามารถใช
่ การบุกรุกทีท
่
้งาน
ไดอย
ยเป็ นทีป
่ ระจักษ์ ดังนั้นจึงไมควรใช
้ างปลอดภั
่
่
้
อัลกอริทม
ึ ใหมๆ่ ทีเ่ พิง่ ไดมี
้ การนาเสนอกันสู่สาธารณะ
เพราะอาจมีช่องโหวแฝงอยู
และยั
งไมเป็
่ ราบใน
่
่
่ นทีท
ขณะนี้
36
ความยาวของกุญหแจที่ใช้ในการ
เข้ารหัส
• ความยาวของกุญแจเขารหั
สมีหน่วยนับเป็ นบิต
้
• เมือ
่ เพิม
่ ความยาวของกุญแจทุกๆ 1 บิต คาที
่ เ่ ป็ นไปได้
ของกุญแจจะเพิม
่ ขึน
้ เป็ นสองเทาตั
่ ว หรือจานวนกุญแจ
ทีเ่ ป็ นไปไดจะเพิ
ม
่ ขึน
้ เป็ น 2 เทาตั
้
่ วนั่นเอง (1bit=0,1)
• ฉะนั้นจะเห็ นไดว
่ ู้
้ ากุ
่ ญแจยิง่ มีความยาวมาก โอกาสทีผ
บุกรุกจะสามารถคาดเดากุญแจทีต
่ รงกับหมายเลขที่
ถูกตองของกุ
ญแจจะยิง่ ยากมากขึน
้ ตามลาดับ
้
• ทฤษฎีไดกล
ว
ดลองถูกนี้โดยเฉลีย
่
้ าวไว
่
้ าการลองผิ
่
จะตองทดลองกั
บกุญแจเป็ นจานวนครึง่ หนึ่งของกุญแจ
้
ทัง้ หมดกอนที
จ
่ ะพบกุญแจทีถ
่ ก
ู ตอง
่
้
37
• ความยาวของกุญแจทีม
่ ข
ี นาดเหมาะสมจึงขึน
้ อยูกั
บ
่
ความยาวของกุญหแจที่ใช้ในการ
เข้ารหัส
• ตัวอยางเช
่
่น
– ถาผู
้ ้บุกรุกสามารถลองผิดลองถูกกับกุญแจเป็ น
จานวน 10 กุญแจภายในหนึ่งวินาทีแลว
่ ี
้ กุญแจทีม
ความยาว 40 บิต จะสามารถป้องกันขอมู
้ ลไวได
้ ้
3,484 ปี
– ถาผู
ญแจ
้ ้บุกรุกสามารถลองไดเป็
้ นจานวน 1 ลานกุ
้
ในหนึ่งวินาที (เทคโนโลยีปจ
ั จุบน
ั สามารถทาได)้
กุญแจทีม
่ ค
ี วามยาว 40 บิตจะสามารถป้องกันขอมู
้ ล
ไวได
้ เพี
้ ยง 13 วันเทานั
่ ้น (ซึง่ อาจไมเพี
่ ยงพอสาหรับ
ในบางลักษณะงาน)
– ดวยเทคโนโลยี
ในปัจจุบน
ั หากผู้บุกรุกสามารถ
้
ทดลองไดเป็
ญแจในหนึ่ง 38
้ นจานวน 1,000 ลานกุ
้
ลายมือชื่อดิจิตอล(Digital
•
Signature)
ลายมือชือ
่ จะเป็ นสิ่ งทีใ่ ชในการระบุตวั บุคคล
้
(Authentication) และ ยังแสดงถึงเจตนาในการ
ยอมรับเนื้อหาในสั ญญานั้นๆ ซึง่ เชือ
่ มโยงถึง การ
ป้องกันการปฏิเสธความรับผิดชอบ (NonRepudiation)
• สาหรับในการทาธุรกรรมทางอิเล็กทรอนิกส์นั้นจะใช้
ลายมือชือ่ อิเล็กทรอนิกส์ (Electronic Signature) ซึง่ มี
รูปแบบตางๆ
เช่น สิ่ งทีร่ ะบุตวั บุคคลทางชีวภาพ
่
(ลายพิมพนิ
เป็ นตน)
่
้ หรือ จะ
์ ้วมือ เสี ยง มานตา
เป็ นสิ่ งทีม
่ อบให้แกบุ
่ คคลนั้นๆ ในรูปแบบของ รหัส
ประจาตัว
39
ข้อมูล
อิเล็กทรอ
นิกส์
ลายมือชือ
่
อักษร, อักขระ, ตัวเลข,
เสี ยง, สั ญลักษณ ์ อิเล็กทรอนิกส์
+
ขอมู
้ ล
อิเล็กทรอ
นิกส์
ลายมือชือ
่ อิเล็กทรอนิกส์
(Electronic Signatures)
+
ชุดรหัสดิจต
ิ อล
5F8E045AB7F8
DFE12BCF6D7
8GAC9054DEF
5E6G8E2AE67
DE9F5A6543
ลายมือชือ
่ ดิจต
ิ อล (Digital Sign
ลายมือชือ
่ ดิจต
ิ อล (Digital Signatures, Digital IDs,
Digital Certificates)
เป็ นลายมือชือ
่ อิเล็กทรอนิกส์ประเภทหนึ่งทีส
่ ร้างโดย
40
ตัวอย่าง : ลายมือชื่อ
อิเล็กทรอนิกส์ e-mail
e-mail
41
ลายมือชื่อดิจิตอล(Digital
Signature)
• ลายมือชือ
่ ดิจต
ิ อล (Digital Signature) คือ ขอมู
้ ล
อิเล็กทรอนิกส์ทีไ่ ดจากการเข
ารหั
สขอมู
ญแจ
้
้
้ ลดวยกุ
้
ส่วนตัวของผู้ส่งซึง่ เปรียบเสมือนเป็ นลายมือชือ
่ ของผู้ส่ง
คุณสมบัตข
ิ องลายมือชือ
่ ดิจต
ิ อล นอกจากจะสามารถ
ระบุตวั บุคคล และ เป็ นกลไกการป้องกันการปฏิเสธ
ความรับผิดชอบแลว
่ ่ งไป
้ ยังสามารถป้องกันขอมู
้ ลทีส
ไมให
หรือ หากถูกแกไขไปจากเดิ
มก็
่ ้ถูกแกไข
้
้
สามารถลวงรู
่ ได
้ ้
42
ตัวอยาง
: ลายมือชือ
่ ดิจต
ิ อลเมือ
่ ดูจาก e่
mail Client
43
กระบวนการสร้างและลงลายมือ
ชื่อดิจิตอล
• เริม
่ จากการนาเอาขอมู
บทีจ
่ ะ
้ ลอิเล็กทรอนิกส์ตนฉบั
้
ส่งไปนั้นมาผานกระบวนการทางคณิ
ตศาสตรที
่
์ เ่ รียกวา่
ฟังกชั
อมู
่ ให้ไดข
่
้ ล (Hash Function) เพือ
้ อมู
้ ล
์ นยอยข
ทีส
่ ้ั นๆ ทีเ่ รียกวา่ ขอมู
่ อยแล
ว
้ ลทีย
่
้ (Digest)
• ทาการเขารหั
สดวยกุ
ญแจส่วนตัวของผู้ส่งเอง ซึง่ จุดนี้
้
้
เปรียบเสมือนการลงลายมือชือ
่ ของผู้ส่งเพราะผู้ส่ง
เทานั
่ ก
ี ุญแจส่วนตัวของผู้ส่งเอง และ จะได้
่ ้นทีม
ขอมู
สแลว
่ ดิจต
ิ อล
้ ลทีเ่ ขารหั
้
้ เรียกวา่ ลายมือชือ
• จากนั้นก็ทาการส่ง ลายมือชือ
่ ไปพรอมกั
บขอมู
้
้ ล
ตนฉบั
บ ไปยังผู้รับ ผู้รับก็จะทาการตรวจสอบวา่
้
ขอมู
างทางหรื
อไม่ โดยการนา
้ ลทีไ่ ดรั
้ บถูกแกไขระหว
้
่
ขอมู
บทีไ่ ดรั
อยด
วย
้ ลตนฉบั
้
้ บ มาผานกระบวนการย
่
่
้
ฟังกชั
อมู
่ อยแล
วอั
่
้ ล จะไดข
้ อมู
้ ลทีย
่
้ นหนึ่ง
์ นยอยข
และ
44
• นาลายมือชือ
่ ดิจต
ิ อล มาทาการถอดรหัสดวย
กุญแจ
้
การพิสจ
ู นตั
ิ อล
์ วตนโดยการใช้ลายเซ็นดิจต
(Digital Signature)
เป็ นการนาหลักการของการทางานของระบบการเขารหั
ส
้
แบบใช้คูรหั
่ การพิสจ
ู นตั
่ สกุญแจเพือ
์ วตนมาประยุกตใช
์ ้
ระบบของลายเซ็ นดิจต
ิ อลสามารถแบงเป็
้ ตอนได้
่ นขัน
ดังนี้
1. เมือ
่ ผู้ใช้ตองการจะส
้
่ งขอมู
้ ลไปยังผู้รับ ขอมู
้ ลนั้นจะถูก
นาไปเขาฟั
่ ทาง
้ งกชั
์ น
คณิตศาสตรที
้
์ เ่ รียกวา่ "แฮชฟังกชั
์ น" ไดเมสเซสได
เจสต ์ (Message Digest) ออกมา
45
การพิสจู น์ ตวั ตนโดยการใช้ลายเซ็น
ดิจิตอล (Digital Signature)
2. การใช้กุญแจส่วนตัวเขารหั
สขอมู
้
้ ล หมายถึงวาผู
่ ้ส่งได้
ลงลายเซ็ นดิจต
ิ อล ยินยอมที่
จะให้ผู้รับ สามารถทาการตรวจสอบดวยกุ
ญแจ
้
สาธารณะของผู้ส่งเพือ
่ พิสจ
ู นตั
์ วตน
ของผู้ส่งได้
46
การพิสจู น์ ตวั ตนโดยการใช้ลายเซ็น
ดิจิตอล (Digital Signature)
3. การนาเมสเซจไดเจสตมาเปรี
ยบเทียบกัน ถาเหมื
อนกัน
้
์
ก็แสดงวาข
้น
่ อความนั
้
ยืนยันไดว
้ าถู
่ กส่งมาจากผู้ส่งคนนั้นจริง
47
ผู้ส่ง (นำยดี)
ผู้รับ (นำยมำก)
ข้ อควำมต้ นฉบับ ก.
…จำนวนเงิน
800 บำท...
ฟังก์ชั่นย่ อยข้ อมูล
กุญแจส่ วนตัว
ของผู้ส่ง (นำยดี)
123451457824
784…
ไ
ฉ ” ฅ
ข7
กำรเข้ ำรหัส
ลำยมือชื่ออิเล็กทรอนิกส์ ของ
นำยดีสำหรับข้ อมูล
OpMAFO
P
ข้ อมูลต้ นฉบับ ก.
…จำนวนเงิน
800 บำท
ส่ ง
OpMAFO
P
ฟังก์ชั่นย่ อยข้ อมูล
ไ
ลำยมือชื่ออิเล็กทรอนิกส์
ของนำยดีสำหรับข้ อมูล
ฉ ” ฅ
ข7
กำรถอดรหัส
ไ
กุญแจสำธำรณะ
ของผู้ส่ง(นำยดี)
256148934147
256...
ฉ ” ฅ
ข7
เปรียบเทียบ
ถ้ ำเหมือนกัน ข้ อมูล
ไม่ ถูกเปลีย่ นแปลง
ถ้ ำต่ ำงกัน ข้ อมูล
ถูกเปลีย่ นแปลง
48
ตัวอย่าง : การส่ง E-mail พร้อมลงลายมือชื่อ
ดิจิตอล (Signing)
49
การสร้างและลงลายมือชื่อดิจิตอล
• ดวยการเข
ารหั
ส และ ลายมือชือ
่ ดิจต
ิ อล ในการทา
้
้
ธุรกรรม เราสามารถ รักษาความลับของขอมู
้ ล
สามารถรักษาความถูกตองของข
อมู
้
้ ล และ สามารถ
ระบุตวั บุคคลไดระดั
บหนึ่ง
้
• เพือ
่ เพิม
่ ระดับความปลอดภัยในการระบุตวั บุคคลโดย
สรางความเชื
อ
่ ถือมากขึน
้ ดวย
ใบรับรองดิจต
ิ อล
้
้
(Digital Certificate) ซึง่ ออกโดยองคกรกลางที
เ่ ป็ นที่
์
เชือ
่ ถือ เรียกวา่ องคกรรั
บรองความถูกตอง
้
์
(Certification Authority) จะถูกนามาใช้สาหรับยืนยัน
ในตอนทาธุรกรรมวาเป็
่ นบุคคลนั้นๆ จริงตามทีไ่ ดอ
้ าง
้
ไว้
50
ใบรับรองดิจิตอล (Digital Certificate)
• สาหรับรายละเอียดในใบรับรองดิจต
ิ อลทัว่ ไปมี
ดังตอไปนี
้
่
– ขอมู
ู ไ่ ดรั
่ องคกร
้ ลระบุผ้ที
้ บการรับรอง ไดแก
้ ่ ชือ
์
ทีอ
่ ยู่
– ขอมู
ู
บรอง ไดแก
่
้ ลระบุผ้ออกใบรั
้ ่ ลายมือชือ
ดิจต
ิ อลขององคกรที
อ
่ อกใบรับรอง หมายเลข
์
ประจาตัวของผู้ออกใบรับรอง
– กุญแจสาธารณะของผู้ทีไ่ ดรั
้ บการรับรอง
– วันหมดอายุของใบรับรองดิจต
ิ อล
– ระดับชัน
้ ของใบรับรองดิจต
ิ อล ซึง่ มีทง้ั หมด 4
51
ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบ
ประเภทของใบรับรองดิจิตอล
ประเภทของใบรับรองดิจต
ิ อล โดยทัว่ ไป แบง่ ได้
ดังนี้
• ใบรับรองดิจต
ิ อลสาหรับบุคคล (Digital ID)
– ออกให้กับบุคคลทัว่ ไป
– ยีนยันตัวตนของผูถื
้ อครองใบรับรองฯบน
อินเทอรเน็
์ ต
• ใบรับรองดิจต
ิ อลสาหรับ Web Server ( SSL)
– ออกให้กับเว็บไซต ์
– ยีนยันวาเว็
ั ที่
่ บไซตนั
์ ้นเปิ ดดาเนินการโดยบริษท
52
จดทะเบียนถูกตองหรื
อ
โดยบุ
ค
คลที
ม
่
ต
ี
ว
ั
ตนอยู
้
่
ตัวอย่างใบรับรองดิจิตอลสาหรับ
บุคคล (Digital ID)
53
ตัวอย่างใบรับรองดิจิตอลสาหรับ
Web Server ( SSL)
54
การเชื่อถือผ่านบุคคลที่ 3 (Trusted Third
Party)
CA (Certification
Authority)
Trust Anchor
Trust
Trust
Third-party
Trust
น.ส. หญหิง
นาย ชาย
55
ผูใ้ ห้บริการออกใบรับรอง
Authority : CA)
(Certification
• บทบาทหน้าทีห
่ ลักขององคกรรั
บรองความถูกตอง
ไดแก
้
้ ่
์
การให้บริการเทคโนโลยีการเขารหั
ส ไดแก
้
้ ่ การสราง
้
กุญแจสาธารณะ และ กุญแจลับสาหรับผู้จดทะเบียน
การส่งมอบกุญแจลับ การสราง
และการรับรองลายมือ
้
ชือ
่ ดิจต
ิ อล เป็ นตน
้
• การให้บริการเกีย
่ วกับการออกใบรับรอง ไดแก
้ ่ การ
ออก การเก็บรักษา การยกเลิก การตีพม
ิ พเผยแพร
่
์
ใบรับรองดิจต
ิ อล รวมทัง้ การกาหนดนโยบายการออก
และอนุ มต
ั ใิ บรับรอง เป็ นตน
้
• บริการเสริมอืน
่ ๆ ไดแก
้ ่ การตรวจสอบสั ญญาตางๆ
่
การทาทะเบียน การกูกุ
้ ญแจ เป็ นตน
้
• สาหรับในประเทศไทยนั้นยังไมมี
บรองความ
่ องคกรรั
์
ถูกตอง
แตเริ
่ มีการเคลือ
่ นไหวทีเ่ กีย
่ วเนื่องบ้างแลว
้
่ ม
้
ทัง้ ในภาครัฐ และ เอกชน เช่น NECTEC
56
(www.nectec.or.th), Thai Digital ID
เทคโนโลยี และ มาตรการการรักษาความ
ปลอดภัยของข้อมูล
มาตรการ/
เทคโนโลยี
การเข้ารหัส
ลายมือชื่อ
ดิจิตอล
ใบรับรอง
การรักษา การระบุ การรักษา การป้ องกัน
ความลับ ตัวบุคคล ความ
การ
ถูกต้อง
ปฏิเสธ
ความ
รับผิดชอบ
หลัก
รอง
รอง 1
หลัก
รอง 2
หลัก
57
ขัน้ ตอนการขอออกใบรับรองดิจิตอล
ผู้ขอใช้
บริการ
ชือ
่ ทีอ
่ ยู่ e-mail สาเนา
บัตรประชาชน สาเนา
ทะเบียนบาน
้ ฯลฯ
ยื่นคาขอ
ผู้ประกอบ
การ
ออกใบรับรอง
58
ขัน้ ตอนการขอออกใบรับรองดิจิตอล
1. สมัครขอใช้บริการกับผู้ออกใบรับรอง (CA) ผาน
่
ทางหน่วยงานรับลงทะเบียนของผู้ออกใบรับรอง
(Registration Authority : RA)
2. RA ตรวจสอบสถานะของผู้สมัครวาเป็
่ นผู้สมัครที่
แทจริ
่ าหนด โดยผู้สมัคร
้ ง (ตรวจสอบเอกสารทีก
อาจตองเดิ
นทางมายืนยันตัวตนตอหน
้
่
้ า RA
ขึน
้ อยูกั
่ บประเภทของใบรับรอง)
3. ชาระคาบริ
การ
่
4. RA ออกใบรับรองดิจต
ิ อลและผู้ขอใบรับรองเขาไป
้
หยิบใบรับรองดิจต
ิ อลและกุญแจคูด
าน
่ วยตนเองผ
้
่
ทางเว็บไซตของ
CA แลวเก็
อ
่ ง
้ บไวในเครื
้
์
คอมพิวเตอร,์ แผน
่ Diskette, Smart Card, USB 59
Token ฯลฯ
ตัวอย่างการขอรับใบรับรองจาก
เว็บไซต์ CA
60
มาตรฐานของระบบความ
ปลอดภัยในอินเทอร์เน็ต
ในการทาพาณิชยอิ
์ เล็กทรอนิกส์ หรือการทา
ธุรกรรมตางๆผ
านอิ
นเทอรเน็
่
่
์ ตนั้นสิ่ ง
สาคัญทีจ
่ ะขาดเสี ยไมได
ไดแก
กษาความ
่ เลย
้
้ ระบบรั
่
ปลอดภัยทีด
่ ใี นเว็บไซตนั
์ ้นๆ ซึง่
ในปัจจุบน
ั มี อยู่ 2 แบบทีใ่ ช้กันคือ
- SSL (Secure Sockets Layer)
- SET (Secure Electronic Transaction)
SSL นั้นจะใช้เพือ
่ เขารหั
ส (encrypt) ขอมู
้
้ ลตัวมันเอง
นั้น ใช้เพียงแคการตรวจสอบหรื
อยืนยันไดเฉพาะฝั
่ง
่
้
ผู้ขายเทานั
นยันตัวผู้ซือ
้
่ ้น วามี
่ ตวั ตนจริงไมสามารถยื
่
61
ได้
SSL (Secure Sockets Layer)
• การทางานจะเริม
่ จาก ผู้ใช้งานเริม
่ กระบวนการติดตอ
่
ไปยังเว็บเซิรฟเวอร
ที
่ รี ะบบ SSL หลังจากนั้น
์
์ ม
เซิรฟเวอร
จะส
์
์ ่ งใบรับรอง (Server Certificate)
กลับมาพรอมกั
บเขารหั
ส ดวยกุ
ญแจสาธารณะ
้
้
้
(Public Key) ของเซิรฟเวอร
์
์
62
SSL (Secure Sockets Layer)
• ขัน
้ ตอนตอมาคอมพิ
วเตอรฝั
่
์ ่ งผู้รับจะทาการตรวจสอบ
ใบรับรองนั้นอีกทีเพือ
่ ตรวจสอบตัวตนของฝั่งผู้ค้า
หลังจากนั้นจะทาการสรางกุ
ญแจสมมาตร
้
(Symmetric Key) โดยการสุ่มและทาการเขารหั
ส
้
กุญแจสมมาตรดวยกุ
ญแจสาธารณะของเซิรฟเวอร
ที
้
์
์ ไ่ ด้
รับมา เพือ
่ ส่งกลับไปยังเซิรฟเวอร
์
์
63
SSL (Secure Sockets Layer)
• เมือ
่ เซิรฟเวอร
ได
ญแจ
้ บแลวก็
้ จะทาการถอดรหัสดวยกุ
้
์
์ รั
ส่วนตัว (Private Key) ก็จะไดกุ
้ ญแจสมมาตรของ
ลูกค้ามาไวใช
้ ้ในการติดตอสื
่ ่ อสาร หลังจากนั้นในการ
ติดตอสื
สติดตอสื
่ ่ อสารกันก็ใช้การเขารหั
้
่ ่ อสารกันได้
อยางปลอดภั
ย
่
64
SET (Secure Electronic
Transaction)
• Secure Electronic Transaction (SET) เป็ นระบบ
สาหรับทาให้มัน
่ ใจ ถึงความปลอดภัยของทรานแซค
ชันทางการเงินบนอินเตอรเน็
้ บการสนับสนุ น
์ ต ซึง่ ไดรั
เริม
่ ตนโดย
MasterCard, Visa, Microsoft,
้
Netscape และ อืน
่ ๆ
• SET ผู้ใช้จะไดรั
้ บ electronic wallet และทรานแซค
ชันทีน
่ าและตรวจสอบโดยการใช้ส่วนประกอบของ
digital certificate และ digital signature ในระหวาง
่
ผู้ซือ
้ ผู้ขาย และ ธนาคารของผู้ซือ
้ ในวิธท
ี ท
ี่ าให้
มัน
่ ใจวา่ มีความเป็ นส่วนบุคคลและมัน
่ ใจได้ SET
ใช้ Netscape Secure Socket Layer (SSL),
Microsoft Secure Transaction Technology (STT)
และ Terisa System Secure Hypertext Transfer 65
การทางานของ SET
• สมมุตใิ ห้ลูกค้ามี browser ทีใ่ ช้ SET ได้ เช่น
Netscape หรือ Microsoft Internet Explorer และ
ผู้ให้ทรานแซคชัน (ธนาคาร , รานค
้
้า) มี Setenable server
1. ลูกค้าเปิ ดบัญชี MasterCard หรือ Visa
2. ลูกค้าไดรั
้ บ digital certificate ไฟลอี
์ เลค
โทรนิคส์ทางานเหมือนบัตรเครดิตสาหรับการซือ
้ สิ นค้า
online หรือทรานแซคชันอืน
่ ซึง่ จะรวม key
สาธารณะซึง่ มีวน
ั หมดอายุ และมี digital switch
โดยธนาคารรับประกันการใช้งาน
3. ผู้ขายสิ นค้าฝ่ายที่ 3 จะไดรั
้ บ certificate
จากธนาคาร certificate มี key สาธารณะของผู้ขาย
สิ นค้าและธนาคาร
4. ลูกค้าวางใบสั่ งซือ
้ ผานเว็
บเพจ
66
่
5. browser ของลูกคา ไดรับและการยืนยัน
การทางานของ SET (ต่อ)
6. browser ส่งสารสนเทศของใบสั่ งของ
ขาวสารนี
้จะ encrypt ดวย
key สาธารณะของผู้ขาย
่
้
รายละเอียดการชาระเงิน จะ encrypt ดวย
key
้
สาธารณะของธนาคาร (ผู้ขายสิ นค้าไมสามารถอ
าน
่
่
ได)้ และสารสนเทศทีป
่ ระกันการจาย
สามารถใช้
่
เฉพาะใบสั่ งซือ
้ นี้
7. ผู้ขายตรวจสอบลูกค้าโดยการตรวจสอบ
digital signature บน customer's certificate
อาจจะทาโดยการอางถึ
ง certificate ไปทีธ
่ นาคาร
้
หรือฝ่ายที่ 3 (third-party) ตรวจสอบเอง
8. ผู้ขายส่งขาวสารของใบสั
่ งซือ
้ ไปทีธ
่ นาคาร
่
รวมถึง key สาธารณะของธนาคาร สารสนเทศการ
ชาระเงินของลูกค้า และ certificate ของผู้ขาย
สิ นค้า
67
9. ธนาคารตรวจสอบผู้ขายและขาวสาร
่
Firewall
• Firewall คือ ฮารดแวร
และซอฟต
แวร
ที
่ งคกรต
างๆ
่
์
์
์
์ อ
์
มีไวเพื
่ ป้องกันเครือขายคอมพิ
วเตอรภายในของตน
้ อ
่
์
จากอันตรายทีม
่ าจากเครือขายคอมพิ
วเตอรภายนอก
่
์
เช่น ผู้บุกรุก หรือ Hacker
• Firewall จะอนุ ญาตให้เฉพาะขอมู
่ ค
ี ุณลักษณะตรง
้ ลทีม
กับเงือ
่ นไขทีก
่ าหนดไวผ
าออกระบบเครื
อขาย
้ านเข
่
้
่
ภายในเทานั
ด ี Firewall นั้นไมสามารถ
่ ้น อยางไรก็
่
่
ป้องกันอันตรายทีม
่ าจากอินเทอรเน็
้ กรูปแบบ
์ ตไดทุ
ไวรัสก็เป็ นหนึ่งในนั้น ดังนั้นจึงไมสามารถรั
บรองได้
่
วาความปลอดภั
ยหรือความลับของขอมู
่
้ ลจะมีอยูร่ อย
้
เปอรเซ็
การใช้ Firewall แลวก็
้ าจะมี
่
้ ตาม
์ นตถึ
์ งแมว
68
ซอฟต์แวร์ป้องกันไวรัส
ซอฟตแวร
ป
่ ะขาดไมได
าหรับ
่ เลยส
้
์
์ ้ องกันไวรัสเป็ นสิ่ งทีจ
ระบบป้องกันเว็บไซตและ
์
คอมพิวเตอรทุ
่ องซอฟตแวร
ประเภทนี
้คอ
ื
์ กระบบ หน้าทีข
์
์
การทาลายไวรัส ซึง่ ทาได้
เฉพาะไวรัสทีต
่ รวจพบในเครือ
่ งคอมพิวเตอรเท
่ ้น อีก
์ านั
นัยหนึ่งก็คอ
ื ซอฟตแวร
์
์
ประเภทนี้ไมสามารถป
่ ง
่
้ องกันไวรัสไมให
่ ้เขาสู
้ ่ เครือ
คอมพิวเตอรได
อ
้
่
์ ้ ดังนั้นไมว่ าจะซื
ซอฟตแวร
นี
ั ใดก็ตาม ประสิ ทธิภาพสูงสุดจะ
์
์ ้จากบริษท
มีอยูเพี
่ ระยะเวลาหนึ่ง
่ ยงชัว
เทานั
่ มีไวรัสตัวใหมเกิ
้ ซอฟตแวร
เดิ
่ อ
ี ยู่
่ ้น เมือ
่ ดขึน
์
์ มทีม
69
ก็ไมสามารถตรวจพบและ
่
จะสังเกตความปลอดภัยของ
เว็บไซต์ได้อย่างไร
1.ชื่อเสียงของเว็บไซต์
- เว็บไซตที
่ ช
ี อ
ื่ เสี ยง ไมว่ าจะท
าอะไร ยอมต
่
่
้อง
์ ม
คานึงถึงภาพพจนของตนเองอยู
่
์
เสมอ การสั งเกตชือ
่ เสี ยงของเว็บไซตดู
ยม
้
์ ไดจากความนิ
ของเว็บไซต ์ ระยะเวลาทีเ่ ปิ ด
ดาเนินการมา หรือจากบริษท
ั ทีเ่ ป็ นเจ้าของเว็บไซตนั
์ ้นวา่
เป็ นอยางไร
่
- รายละเอียดประเภทนี้ สามารถหาดูไดบนเว็
บไซต ์
้
นั้นเอง ภายใตหั
่ วกับ
้ วขอที
้ เ่ กีย
ประวัตข
ิ องเว็บไซต ์ เช่น About Us หรือ Company
70
Profile หรือในหัวขอเกี
่ วกับ
้ ย
จะสังเกตความปลอดภัยของ
เว็
บ
ไซต์
ไ
ด้
อ
ย่
า
งไร
2.เว็บไซต์จะต้องสนับสนุนระบบ SSL (Secure
Socket Layer)
- ในระหวางการเลื
อกชมสิ นค้าบนเว็บไซตอยู
่
่ ้น
์ นั
การสั งเกตวาเว็
่ บไซตนั
์ ้น
สนับสนุ นระบบ SSL หรือไม่ สั งเกตไดจาก
2 จุดบน
้
บราวเซอร ์
- แหงแรกคื
อ URL ปกติการเขาถึ
่
้ งเว็บไซตใดๆ
์
นั้นจะมี URL ทีเ่ ป็ น HTTP (Hypertext
Transmission Protocol) เป็ นมาตรฐาน แตหากว
า่
่
กาลังเขาสู
้ ่ โหมด(Mode) รักษาความปลอดภัยของ
SSL URL จะเปลีย
่ นเป็ น HTTPS (Hyper Text
Transmission Protocol, Secure)
71
- ส่วนอีกแหงหนึ
่งก็คอ
ื ที่ Title Bar ดานล
าง
ใน
่
้
่
จะสังเกตความปลอดภัยของ
เว็บไซต์ได้อย่างไร
3.เว็บไซต์ควรจะได้รบ
ั การรับรองเรื่องความปลอดภัย
- อีกปัจจัยหนึ่งทีส
่ ามารถเสริมสรางความมั
น
่ ใจในตัว
้
เว็บไซตให
์ ้กับผู้บริโภคได้
คือการไดรั
่ งความปลอดภัยจากองคกร
้ บการรับรองเรือ
์
ผู้ให้บริการดานความปลอดภั
ย
้
ทีม
่ ช
ี อ
ื่ เสี ยง กอนที
จ
่ ะตัดสิ นใจซือ
้ สิ นค้าจากเว็บไซตใด
่
์
ผู้บริโภคควรมองหาสั ญลักษณ ์
ขององคกรนั
้นๆ เสี ยกอน
เช่น เครือ
่ งหมาย
่
์
Verisign’s Secure Site ซึง่ จะพบไดตาม
้
เว็บไซตพาณิ
ชยอิ
้ นาตางๆ
อยางไรก็
ด ี 72
่
่
์
์ เล็กทรอนิกส์ชัน
หากไมมีสัญลักษณประเภท
จะสังเกตความปลอดภัยของ
เว็
บ
ไซต์
ไ
ด้
อ
ย่
า
งไร
4.นโยบายส่งเสริมความมันใจหลั
่
งการขาย
- โดยทัว่ ไปแลวเว็
่ ี เชือ
่ ถือได้ จะตองระบุ
้ บไซตที
้
์ ด
นโยบายหลังการขายอยางละเอี
ยดไวบนเว็
บไซต ์
่
้
เพือ
่ ให้ลูกค้าทราบ นโยบายหลังการขายทีส
่ าคัญ
ไดแก
้ ่
- นโยบายตรวจสอบขอมู
่ ่ ั งซือ
้
้ ลสิ นค้าทีส
- นโยบายคืนสิ นค้าและคืนเงินทีช
่ าระไปแลว
้
- บางเว็บไซตยั
่ วกับการ
้ ลเกีย
์ งมีการแสดงขอมู
ตรวจดูสถานะสิ นค้าทีอ
่ ยูในระหว
างการจั
ดส่งดวยว
าอยู
่
่
้
่
่
ณ ทีใ่ ด ซึง่ ผู้บริโภคทีส
่ ่ ั งซือ
้ สิ นค้าหรือบริการไว้
สามารถตรวจสอบขอมู
จากทางเว็
บไซต ์
้ ลดังกลาวได
่
้
หรือโทรศั พท ์ จนกวาสิ
่ นค้าจะถึงมือ
73
- ผูบริโภคควรเลือกรานทีม
่ ต
ี วั แทนหรือผูจด
ั สง
จะสังเกตความปลอดภัยของ
เว็บไซต์ได้อย่างไร
4.นโยบายส่งเสริมความมันใจหลั
่
งการขาย (ต่อ)
- เงือ
่ นไขเรือ
่ งการจัดส่งสิ นค้าคืน และการ
เรียกคืนเงินทีช
่ าระแลวมั
ี ารและระยะเวลา
้ กระบุวธิ ก
ไวอย
ดเจน ในกรณีทผ
ี่ บริ
้ างชั
่
ู้ โภคยังไมได
่ รั
้ บ
สิ นค้าหรือบริการตามสั ญญาหรือสิ นค้าเสี ยหาย
ไมถู
ส
่ ่ ั งซือ
้ ไว้ ผูขายหรื
อรานค
่ กตองตามที
้
้
้
้าหลาย
แหงจะยิ
นยอมรับผิดชอบคาใช
ง้ หมด
่
่
้จายทั
่
เนื่องจากไมใช
่ ่ ความผิดของผูบริ
้ โภค รานค
้
้าอาจ
เสนอให้เก็บเงินจานวนนั้นไวเพื
่ สั่ งซือ
้ สิ นค้าอืน
่
้ อ
หรืออาจคืนเงินสดดวยเช็
ค หรือโอนเงินเขาบั
้
้ ญชี74