ลายเซ็นดิจิตอล (Digital Signature)
Download
Report
Transcript ลายเซ็นดิจิตอล (Digital Signature)
บทที่ 8
เทคโนโลยีระบบการรักษาความปลอดภัย
อ.ชนิดา เรืองศิริวฒ
ั นกุล
หลักสู ตรเทคโนโลยีสารสนเทศ
คณะวิทยาศาสตร์ และเทคโนโลยี มหาวิทยาลัยราชภัฏอุตรดิตถ์
เทคโนโลยีระบบการรักษาความปลอดภัย
• เทคโนโลยีระบบการรักษาความปลอดภัยมีการนาเอาระบบ Public Key
Infrastructure – PKI หรือโครงสร้ างพืน้ ฐานของระบบกุญแจ
สาธารณะมาใช้ งาน ซึ่งเป็ นเทคโนโลยีทไี่ ด้ รับการพิสูจน์ และยอมรับ
โดยทัว่ ไปว่ ามีความปลอดภัยสู ง ทาให้ การใช้ งานระบบพาณิชย์
อิเล็กทรอนิกส์ มีความน่ าเชื่อถือและเกิดความมั่นใจในการใช้ งาน
เทคโนโลยีระบบการรักษาความปลอดภัย
• เทคโนโลยี PKI สามารถก่อให้ เกิดความน่ าเชื่อถือในการระบุตัวตนระหว่ างโลก
แห่ งความจริง (Real World) และโลกอิเล็กทรอนิกส์ (Cyber World) ได้
• โดยใช้ เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography)
ซึ่งประกอบด้ วยกุญแจ (Key) 2 ดอก ได้ แก่
– กุญแจส่ วนตัว (Private Key)
– กุญแจสาธารณะ (Public Key)
• บุคคลหนึ่งๆ จะถือกุญแจคนละ 2 ดอกดังกล่ าวนี้ กุญแจส่ วนตัวจะถูกเก็บอยู่กบั
เจ้ าของกุญแจไว้ อย่ างปลอดภัย เพือ่ ใช้ ในการยืนยันตัวตน และกุญแจสาธารณะ
จะถูกนาไปเผยแพร่ เพือ่ ให้ บุคคลอืน่ สามารถติดต่ อสื่ อสารกับเจ้ าของกุญแจได้
การเข้ ารหัส (Encryption)
การรักษาความปลอดภัยของข้อมูลที่ส่งผ่านเครื อข่ายอินเทอร์เน็ตที่
นิยมใช้งานมากที่สุดคือ “การเข้ ารหัส (Encryption)” โดยเว็บไซต์ที่ใช้
วิธีการเข้ารหัสเพื่อป้ องกันข้อมูลจะใช้ Digital Certification ร่ วมกับ
Security Protocal เพื่อทาให้มีความปลอดภัยสูงขึ้น โดยโปรโตคอลทีน่ ิยมใช้
งานมี 3 ชนิด คือ
- Secure Socket Layer (SSL)
- Secure Hypertext Transport Protcocal S-HTTP
- Secure Electronic Transaction (SET)
SSL (Secure Socket Layer)
เป็ นโปรโตคอลที่พฒ
ั นาโดย Netscape ใช้ สาหรับตรวจสอบและ
เข้ ารหัสด้ วยกุญแจสาธารณะแก่ข้อมูล ก่อนทีข่ ้ อมูลจะถูกส่ งออกไปบน
เครือข่ ายอินเทอร์ เน็ต โดยจะนาข้ อมูลมาเข้ ารหัสและถอดรหัสด้ วยเทคนิค
Cryptography และใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) และมี
การทางานที่ TCP/IP จะใช้ SSL ในการทาระบบรักษาความปลอดภัย
ส่ วนการใช้งานในเว็บไซต์ เมื่อผูใ้ ช้ตอ้ งการติดต่อมายัง Server
ผูใ้ ช้จะต้องทาการเรี ยก Web Browser โดยในช่อง URL จะมีโปรโตคอล
เป็ น https:// แทน http:// เป็ นตัวบอกว่าต้องการใช้ SSL ในการติดต่อ
Server
SSL (Secure Socket Layer)
เราจะทราบได้อย่างไรว่าเว็บไซต์ที่เราเข้าไปเยีย่ มชมนั้นเป็ นระบบ SSL
หรื อไม่กค็ งต้องสังเกตจาก Icon Security หรื อ URL ที่แสดงผลอยูบ่ นเว็บ
บราวเซอร์
โดยกลไกการรักษาความปลอดภัย มีดงั นี้
1) ความปลอดภัยของข้อความ (Message Privacy)
2) ความสมบูรณ์ของข้อความ (Message Integrity)
3) ความน่าเชื่อถือ (Matual Authentication)
4) ใบรับรองดิจิตอล (Digital Certificate)
Secure Hypertext Transport Protocal S-HTTP
เป็ นส่ วนของโปรโตคอล HTTP ทาหน้าที่ตรวจสอบสิ ทธิผใู้ ช้
ซึ่งจะเข้ารหัสการลงลายเซ็นดิจติ อล (Digital Signature)
ระบบนี้จะอนุญาตให้ผใู้ ช้และเครื่ องให้บริ การติดต่อกันได้
เมื่อทั้ง 2 ฝ่ ายมี Digital Certificate
ระบบรักษาความปลอดภัยรู ปแบบนี้ยงุ่ ยากกว่า SSL แต่
มีความปลอดภัยมากกว่า นิยมใช้ ในธุรกิจการเงิน
ระบบ Secure Electronic Transaction (SET)
ระบบ SET หรือ Secure Electronic Transaction เป็ นระบบ
เพื่อใช้สาหรับตรวจสอบการชาระเงินด้วยบัตรเครดิตอย่างปลอดภัยบน
อินเทอร์เน็ต ซึ่งได้รับการสนับสนุนเริ่ มต้นโดย MasterCard, Visa,
Microsoft, Netscape และ อื่น ๆ ด้วยการสร้างรหัส SET ซึ่งเป็ นการ
เข้ารหัสด้วยกุญแจสาธารณะ
ระบบ Secure Electronic Transaction (SET)
ระบบ SET นี้ถูกออกแบบมาเพื่อใช้กบั กิจกรรมการทาพาณิ ชย์อิเล็กทรอนิกส์ โดยระบบนี้สามารถรักษาความลับของข้อมูลข่าวสาร
ที่ถูกส่ งผ่านระบบเครื อข่ายคอมพิวเตอร์ได้เป็ นอย่างดี และรับประกัน
ความถูกต้องโดยไม่มีการปลอมแปลงของข้อมูลที่เกี่ยวกับการเบิกจ่ายเงิน
ได้เป็ นอย่างดีดว้ ย
นอกจากนี้ยงั สามารถที่จะบ่งชี้ชดั ได้วา่ ใครเป็ นผูซ้ ้ือและผูค้ า้ ได้
อย่างถูกต้องโดยไม่มีการปลอมแปลง
เปรียบเทียบ SET กับ SSL
ระบบ SET
ข้ อดี
1. ใช้วิธีการเข้ารหัสลับที่ดีกว่าจึงให้ความปลอดภัยสูงกว่า
2. ร้านค้าสามารถพิสูจน์ทราบลูกค้าได้ทนั ทีวา่ เป็ นผูไ้ ด้รับอนุญาตใน
ระบบหรื อไม่และมีเครดิตเพียงพอในการซื้อหรื อไม่
3. สามารถปกปิ ดความลับหรื อข้อมูลการทาธุรกิจของลูกค้าจากร้านค้า
และจากธนาคารผูอ้ อกบัตรได้
ข้ อเสี ย
1. ยังไม่มีการทดสอบและทดลองใช้อย่างเพียงพอ
2. ยังไม่มีการนาไปใช้เชิงธุรกิจในวงกว้างมากนัก
เปรียบเทียบ SET กับ SSL
ระบบ SSL
ข้ อดี
1. ลงทุนน้อยหรื อแทบไม่มีเลย เพราะปั จจุบนั ใช้ในวงกว้าง
2. สามารถควบคุมการเข้าถึงข้อมูลส่ วนต่าง ๆ ภายในระบบของผูใ้ ช้ได้ หลังจากที่ผใู้ ช้
ได้รับอนุญาตให้เข้ามาในระบบ
3. สามารถใช้ขอ้ มูลร่ วมกันได้ระหว่างสองจุด
4. มีระบบป้ องกันและตรวจสอบความถูกต้องของข้อมูลได้
ข้ อเสี ย
1. ใช้วธิ ี การเข้ารหัสที่ลา้ สมัย ความปลอดภัยไม่เพียงพอ
2. ทาการสื่ อสารอย่างปลอดภัยได้เพียงสองจุด แต่ระบบพาณิ ชย์อิเล็กทรอนิ กส์ที่ใช้บตั ร
ต้องใช้มากกว่าสองจุดในเวลาเดียวกัน
3. มีความเสี่ ยงสู งเนื่องจากไม่มีการรับรองทางอิเล็กทรอนิกส์ระหว่างทุกฝ่ ายที่ทาการซื้ อ
ขายในขณะนั้น และความเสี่ ยงในการรั่วไหลของข้อมูลลูกค้า
ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)
• สาหรับในการทาธุรกรรมทางอิเล็กทรอนิกส์ น้ันจะใช้ ลายมือชื่อ
อิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่ างๆเช่ น สิ่ งทีร่ ะบุ
ตัวบุคคลทางชีวภาพ (ลายพิมพ์นิว้ มือ เสี ยง ม่ านตา เป็ นต้ น) หรือ จะ
เป็ นสิ่ งทีม่ อบให้ แก่บุคคลนั้นๆในรูปแบบของ รหัสประจาตัว ตัวอย่ างที่
สาคัญของลายมือชื่ออิเล็กทรอนิกส์ ที่ได้ รับการยอมรับกันมากทีส่ ุ ด
อันหนึ่ง คือ ลายมือชื่อดิจิตอล (Digital Signature) ซึ่งจะเป็ น
องค์ ประกอบหนึ่งใน โครงสร้ างพืน้ ฐานกุญแจสาธารณะ (Public Key
Infrastructure, PKI)
Digital Signature คืออะไร
– ลายเซ็นดิจิตอล (Digital Signature) เป็ นสิ่ งที่แสดงยืนยันตัวบุคคล เป็ น
ข้อมูลที่แนบไปกับข้อความที่ส่งไป เพื่อเป็ นการแสดงตัวตน
(Authentication) ว่าผูส้ ่ งข้อความเป็ นใคร โดยข้อมูลนั้นได้ถูกส่ งมาจาก
ผูส้ ่ งคนนั้นจริ งๆ และข้อความไม่ได้ถูกเปลี่ยนแปลงและแก้ไข
– ใช้กบั การพิสูจน์ความถูกต้องของเอกสารตามกฎหมาย เช่น ด้าน
การเงิน การทาสัญญา และเอกสารอื่นๆ ว่าเป็ นของแท้น้ นั สามารถทา
ได้โดยการตรวจสอบความถูกต้องของลายเซ็นของผูม้ ีอานาจอนุมตั ิ
ทาไมต้ องใช้ ลายเซ็นดิจิตอล (Digital Signature)
• ตัวอย่ างเช่ น การทีเ่ รารับอีเมล์จากบุคคลหนึ่งๆ จะเป็ นเพือ่ นหรือใครก็
ตาม เราจะสามารถมั่นใจได้ อย่ างไรว่ าอีเมล์ที่เราได้ รับไม่ ได้ ถูกปลอม
แปลง หรือถูกแก้ไขให้ บิดเบือนไปในระหว่ างทางทีส่ ่ งมาถึงเรา หรือถูก
ดักอ่านข้ อความระหว่ างทางทีส่ ่ งไปยังผู้รับ
ลายเซ็นดิจิตอล (Digital Signature)
ข้ อความที่ประทับลายเซ็นไปยังอีกฝ่ ายหนึ่งในลักษณะต่ อไปนี้
1. ผู้รับสามารถพิสูจน์ เอกลักษณ์ ของผู้ทอี่ ้างนั้นว่ าเป็ นคนส่ งข่ าวสาร
จริงๆ
2. ผู้ส่งไม่ สามารถบอกปัดสิ่ งทีเ่ ขียนลงไปในข้ อความ
3. ผู้รับไม่ สามารถทีจ่ ะประกอบและเปลีย่ นแปลงข้ อความทีต่ นส่ งมาด้ วย
ตนเองได้
ลายเซ็นดิจิตอล (Digital Signature)
การเข้ารหัสข้อความที่ยาวนั้น ค่อนข้างเสี ยเวลา เนื่องจากขั้นตอน
การเข้ารหัสต้องใช้การคานวณเป็ นอย่างมาก จึงมีการสร้ างขั้นตอนที่
คานวณได้ อย่ างรวดเร็ว โดยเปลีย่ นข้ อความทั้งหมดให้ เหลือเพียงข้ อความ
สั้ น ๆ เรียกว่ า“Message digest” ซึ่งจะถูกสร้างขึ้นด้วยกระบวนการ
เข้ารหัสยอดนิยมที่เรี ยกว่า One-way hash function
จะใช้ message digest นี้ในการเข้ารหัสเพื่อเป็ นลายเซ็นดิจิตอล
(Digital Signature) โดยจะแจก Public key ไปยังผูท้ ี่ตอ้ งการติดต่อ
ลายเซ็นดิจิตอล (Digital Signature)
ลายเซ็นดิจิตอลใช้การเข้ารหัสข้อมูลแบบ Asymmetric Encryption
วิธีการ
ผูส้ ่ งแปลงข้อความที่ส่งเป็ นรหัส (message digest)
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ผูส้ ่ งทาการเข้ารหัสด้วย private key (จะได้ digital signature)
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ส่ ง message digest และ digital signature ที่ได้ไปยังผูร้ ับ
ส่ งให้ผรู ้ ับ
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ผูร้ ับแปลงข้อความที่ได้ (message digest)
และใช้ public key ของผูส้ ่ งในการถอดรหัส digital signature
ผูร้ ับเปรี ยบเทียบ message digest กับ digital signature ที่ถอดรหัสแล้ว ถ้ า
เท่ ากัน แสดงว่าข้อความที่ได้น้ นั มาจากผูส้ ่ งตัวจริ ง ไม่ได้ถกู แก้ไขข้อความ
ใดๆ ระหว่างการส่ ง
ลายเซ็นดิจิตอล (Digital Signature)
ลายเซ็นดิจิตอล (Digital Signature)
• ประโยชน์ ของลายเซ็นดิจิตอล (Digital signature) มีดังนี้
1. ยากแก่การปลอมแปลงลายเซ็น
2. ข้อความในเอกสารไม่ถูกลักลอบอ่านและแก้ไข
3. ระยะทางไม่เป็ นอุปสรรคในการตรวจสอบความถูกต้อง
4. สาเนาของเอกสารมีสถานะเทียบเท่ากับเอกสารต้นฉบับ
5. มีบุคคลที่สาม (Certifies) หรื อองค์กรกลาง [Certification Authority
(CA)] เป็ นผูร้ ับรองความถูกต้องของลายเซ็น (Certificate)
ลายเซ็นดิจิตอล (Digital Signature)
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
• ใบรับรองอิเล็กทรอนิกส์ –Digital Certification คืออะไร มีหน้ าที่
อย่ างไร
• ด้ วยการเข้ ารหัสและลายมือชื่อในการทาธุรกรรม ทาให้ สามารถรักษา
ความลับและความถูกต้ องของข้ อมูลได้ โดยสร้ างความเชื่อถือมากขึน้
ด้ วยใบรับรองอิเล็กทรอนิกส์ ซึ่งออกโดยองค์ กรกลางทีน่ ่ าเชื่ อถือ เรียกว่ า
องค์ กรรับรองความถูกต้ อง (CA หรือ Certificate Authority)
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
• รายละเอียดในใบรับรองอิเล็กทรอนิกส์ มีดังนีค้ อื
– ข้อมูลระบุผทู ้ ี่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
– ข้อมูลผูอ้ อกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออก
ใบรับรอง
– กุญแจสาธารณะของผูท้ ี่ได้รับการรับรอง
– วันหมดอายุของใบรับรองอิเล็กทรอนิกส์
– ระดับชั้นของใบรับรองอิเล็กทรอนิกส์ มี 4 ระดับ ในระดับ 4 จะมี
การตรวจสอบเข้มงวดที่สุด
– หมายเลขประจาตัวของใบรับรองอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
• ประเภทของใบรับรองอิเล็กทรอนิกส์
– ใบรับรองอิเล็กทรอนิกส์สาหรับบุคคล เป็ นใบรับรองที่ใช้ในการ
ยืนยันตัวบุคคลบนโลกอิเล็กทรอนิกส์
– ใบรับรองอิเล็กทรอนิกส์สาหรับเครื่ องให้บริ การเว็บ หรื อที่เรี ยกว่า
เว็บเซิร์ฟเวอร์ ใช้สาหรับเป็ นช่องทางการสื่ อสารแบบปลอดภัย
ระหว่างเครื่ องบริ การบนเว็บ สามารถประยุกต์ใช้งานรักษาความลับ
ของข้อมูลที่รับส่ งผ่านทางเครื อข่ายอินเทอร์เน็ต เช่น รหัสผ่าน
หมายเลขเครดิต
ใบรับรองอิเล็กทรอนิกส์ - Certification Authority (CA)
• ผู้ให้ บริการออกใบรับรอง Certification Authority (CA)
• CA หรือ Certificate Authority คือผู้ประกอบกิจการ ออกใบรับรอง
อิเล็กทรอนิกส์ และเป็ นทีเ่ ชื่อถือ ซึ่งเปรียบเสมือนบัตรประจาตัวที่ใช้ ใน
การระบุตัวบุคคล
• บทบาทหน้ าทีห่ ลักคือ
– ให้บริ การเทคโนโลยีการเข้ารหัสโดยอาศัยเทคโนโลยีที่เรี ยกว่า เทคโนโลยี
โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure - PKI)
– การให้บริ การออกใบรับรอง
– บริ การเสริ มอื่นๆ ไดแก่ การตรวจสอบสัญญาต่างๆ การกูก้ ญ
ุ แจ
ทาไมต้ องใช้ ใบรับรองอิเล็กทรอนิกส์ Certification Authority (CA)
• การใช้ ใบรับรองอิเล็กทรอนิกส์ ผู้ใช้ จะสามารถมั่นใจได้ ว่า
– ข้อมูลต่างๆ ที่ได้รับมีความถูกต้อง ครบถ้วน ไม่ถูกเปลีย่ นแปลง
แก้ไข
– สามารถพิสูจน์ และยืนยันตัวบุคคลได้ ว่าเป็ นบุคคลผูท้ เี่ ราติดต่อด้วย
จริ ง
– สามารถรักษาความลับของข้อมูลได้ หากเป็ นข้อมูลที่ตอ้ งการให้ผรู ้ ับ
เท่านั้นที่สามารถอ่านอีเมล์ฉบับนั้นๆได้ ซึ่งกรณี น้ ีจะต้องมีการใช้
ใบรับรองอิเล็กทรอนิกส์ในการเข้ารหัสก่อนทาการส่ งอีเมล์ไปยัง
ผูร้ ับ
ทาไมต้ องใช้ ใบรับรองอิเล็กทรอนิกส์ Certification Authority (CA)
• ใบรับรองอิเล็กทรอนิกส์ สามารถใช้ ทาอะไรได้ บ้าง
ใบรับรองอิเล็กทรอนิกส์ น้ันสามารถนาไปประยุกต์ ใช้ ได้ ใน 2 ลักษณะ
ดังนี้
1. การเข้ ารหัส (Encryption)
2. การลงลายมือชื่อดิจิตอล (Digital Signature)
• หากเราใช้ ใบรับรองอิเล็กทรอนิกส์ แล้วเราจะติดต่ อกับคนอืน่ ที่ไม่ ได้ ใช้
ใบรับรองอิเล็กทรอนิกส์ ได้ หรือไม่ ??
ตอบ ได้ ผูร้ ับอีเมล์ที่ไม่ได้ใช้ใบรับรองอิเล็กทรอนิกส์จะสามารถอ่าน
อีเมล์ของผูส้ ่ งที่มีการใช้ใบรับรองอิเล็กทรอนิกส์ได้ตามปกติ แต่หากผูร้ ับ
ต้องการยืนยันตัวตนของผูส้ ่ ง ว่าเป็ นผูท้ ี่ติดต่อด้วยจริ ง รวมถึงตรวจสอบ
ความถูกต้องของข้อมูลในอีเมล์ฉบับนั้นๆ ผูร้ ับจะต้องทาการให้ความ
ไว้วางใจกับหน่วยงานผูอ้ อกใบรับรองอิเล็กทรอนิกส์ที่ผสู ้ ่ งใช้บริ การอยูก่ ่อน
ซึ่งโดยทัว่ ไปผูใ้ ห้บริ การใบรับรองอิเล็กทรอนิกส์จะมีขอ้ มูล รายละเอียด ให้
คลิกได้ที่เว็บไซต์ของผูใ้ ห้บริ การ
ตัวอย่ างองค์ กรที่ใช้ CA
• http://www.ca.tot.co.th/faq.php
ทดลองสมัครและติดตั้งใบรับรองอิเล็กทรอนิกส์ สาหรับบุคคล
http://gca.thaigov.net/
แบบฝึ กหัด
• 1. เทคโนโลยี PKI คืออะไร จงอธิบาย
• 2. จงบอกความแตกต่างระบบการรักษาความปลอดภัยในการชาระเงิน
แบบ SSL และ SET
• 3. ลายเซ็นดิจิตอล (Digital Signature) คืออะไร มีประโยชน์อย่างไร
• 4. จงอธิบายข้อแตกต่างของ ลายมือชื่อดิจิทลั (Digital Signature) และ
ลายมือชื่ออิเล็กทรอนิกส์ ( Electronic Signature)
• 5. จงบอกปัญหาที่นกั ศึกษาพบในการติดตั้งใบรับรองอิเล็กทรอนิกส์
(Digital Certification)