บทที่ 6 ระบบรักษาความปลอดภัย
Download
Report
Transcript บทที่ 6 ระบบรักษาความปลอดภัย
Electronic Commerce
Security System for EC
ระบบรักษาความปลอดภัย
สาหรับพาณิชย์ อเิ ล็กทรอนิกส์
Company
LOGO
1
Company
LOGO
ตัวอย่ างภัยคุกคามและการโจมตี
เครือข่ ายระบบคอมพิวเตอร์
-การจารกรรมข้อมูลความลับของทางการสหรัฐโดยพวกสายลับ KGB
-การขโมยเงินจานวน $25 ล้านเหรี ยญสหรัฐฯ ผ่านระบบเครื อข่าย
คอมพิวเตอร์
-การส่ งไวรัสเข้าไปรบกวนการทางานในระบบคอมพิวเตอร์ ของคนอื่น
-การใช้คอมพิวเตอร์ ตดั ต่อภาพดารา ในลักษณะลามก อนาจาร
-การหลอกลวงเพื่อขายบริ การ เล่นการพนัน ผ่านทางอินเทอร์เน็ต
ฯลฯ
2
Company
LOGO
จุดประสงค์ ของระบบการรักษาความปลอดภัย
1. เพือ่ รักษาความลับของข้ อมูล (Confidentiality) หมายถึง การปกป้ อง
ข้อมูลไม่ให้ถูกเปิ ดเผยต่อบุคคลที่ไม่ได้รับอนุญาตอย่างถูกต้อง และถ้ามีการ
ขโมยข้อมูลไปแล้วก็ไม่สามารถอ่านหรื อทาความเข้าใจได้
2. เพือ่ ป้องกันการปลอมแปลงข้ อมูล (Integrity) คือ การรักษาความถูกต้อง
ของข้อมูลและป้ องกันไม่ให้มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยมิได้รับอนุญาต
ซึ่งการที่จะสามารถทาเช่นนี้ได้ ต้องมีระบบควบคุมว่าผูใ้ ดจะสามารถเข้าถึง
ข้อมูลได้และเข้าถึงแล้วทาอะไรได้บา้ ง
3
Company
LOGO
จุดประสงค์ ของระบบการรักษาความปลอดภัย
3. เพือ่ ทาให้ ระบบนั้นสามารถที่จะทางานได้ ตามปกติและเต็มประสิ ทธิภาพ
(Availability) ระบบจะต้องสามารถทางานได้อย่างดีตามจุดมุ่งหมายในการ
ใช้และมีขีดความสามารถปฏิบตั ิงานได้ในปริ มาณตามที่ตอ้ งการได้ภายในเวลา
ที่กาหนดด้วย
ระบบการรั กษาความปลอดภัยทีม่ ขี ีดความสามารถสูงอาจทาให้ ขีด
ความสามารถและความสะดวกในการทางานของระบบทั้งในด้ านปริ มาณงาน
และประสิทธิภาพลดลง ดังนั้น ต้ องพิจารณาว่ าระดับความปลอดภัยใดจึงจะ
เหมาะสมกับความสะดวก ปริ มาณงาน และประสิทธิภาพของงานทีต่ ้ องการ
4
Company
LOGO
ภัยคุกคามทีม่ ตี ่ อระบบต่ าง ๆ
- ภัยต่ อระบบฮาร์ ดแวร์
- ภัยต่อระบบการจ่ายไฟฟ้ าแก่คอมพิวเตอร์
- ภัยที่เกิดจากการทาลายทางกายภาพ
- ภัยจากการลักขโมยโดยตรง
- ภัยทีม่ ีต่อระบบซอฟต์ แวร์
- การลบซอฟต์แวร์
- การขโมยซอฟต์แวร์
- การเปลี่ยนแปลงแก้ไขซอฟต์แวร์
- ภัยทีม่ ีต่อระบบเครือข่ าย
5
Company
LOGO
ผู้เจาะระบบรักษาความปลอดภัย
แบ่งเป็ น 2 ประเภทหลัก ๆ ได้แก่
• Hacker
มีวตั ถุประสงค์เพื่อทดสอบขีดความสามารถของระบบ
• Cracker
มีวตั ถุประสงค์เพื่อบุกรุ กระบบเพื่อขโมยข้อมูลหรื อ
ทาลายข้อมูลผูอ้ ื่นโดยผิดกฎหมาย
6
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
1. ภัยคุกคามบนระบบเครือข่ าย (Denial of service) โดยจะ
ส่ งผลให้เครื่ องคอมพิวเตอร์หรื อระบบหยุดทางานโดยไม่
ทราบสาเหตุ สามารถแบ่งได้เป็ น 2 ประเภท
- Spamming or E-mail Bombing
- Malware หรือ Malicious Code หมายถึงโปรแกรมที่มีความ
ประสงค์ร้ายที่ออกแบบมาเพื่อเจาะเข้าทาลาย หรื อสร้างความ
เสี ยหายให้แก่ระบบคอมพิวเตอร์ เช่น Viruses , Worms,
Trojan Horses
7
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
Spam คืออะไร
Spam เมล์คือเมล์ที่เราไม่ตอ้ งการโดยมีจุดประสงค์คือผูส้ ่ งส่ วนใหญ่
ต้องการโฆษณาบริ การต่างๆที่ตวั เองมี เป็ นประเภทหนึ่งของ Junk
เมล์หรื อเมล์ขยะ
8
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
Viruses เป็ นคอมพิวเตอร์ประเภทหนึ่งที่มีหน้าที่คอยทาลาย
ซอฟต์แวร์หรื อโปรแกรมต่าง ๆ ในเครื่ อง ไวรัสไม่สามารถที่จะ
แพร่ กระจายได้ดว้ ยตนเอง แต่จะอาศัย โปรแกรมอื่นในการ
แพร่ กระจาย โดยจะแพร่ กระจายตัวเองอย่างรวดเร็ วไปยังทุก
ไฟล์ภายในคอมพิวเตอร์ หรื ออาจจะทาให้ไฟล์เอกสารติดเชื้อ
อย่างช้าๆ
9
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
Worm เป็ นไวรัสคอมพิวเตอร์ชนิดหนึ่งที่ติดต่อกันทาง
อินเทอร์เน็ท แพร่ กระจายได้อย่างรวดเร็ วโดยคัดลอกตัวเองซ้ า
แล้วใช้ระบบเครื อข่ายเป็ นสื่ อในการแพร่ กระจายซึ่ งจะ
แพร่ กระจายได้อย่างรวดเร็ วและทาความเสี ยหายรุ นแรงกว่าไวรัส
มาก
10
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
ภัยคุกคามด้ านความปลอดภัย
Trojan Horses
เป็ นไวรัสที่สามารถหลบเลี่ยงการตรวจหาได้และสามารถ
หลอกผูใ้ ช้ให้คิดว่าเป็ นโปรแกรมธรรมดาทัว่ ไป เมื่อเรี ยก
ใช้งานโปรแกรม ไวรัสนี้จะทางานโดยดักจับรหัสผ่านต่าง ๆ
และส่ งกลับให้ผสู ้ ร้าง เพื่อเจาะระบบป้ องกันเข้าสู่ เครื อข่าย
การป้ องกัน อาจมีเครื่ องให้บริ การหลายตัวเพื่อทาหน้าที่แทนกัน
11
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
2. การเข้ าสู่ เครือข่ ายโดยไม่ ได้ รับอนุญาต (Unauthorized Access)
เป็ นภัยคุกคามด้วยการเข้าไปยังเครื อข่ายโดยไม่ได้รับอนุญาต ซึ่งอาจ
มีจุดประสงค์ในการโจรกรรมข้อมูล แบ่งเป็ น 2 ประเภท คือ
- Passive Unauthorized Access เป็ นการลอบฟังข้อมูลที่ส่งผ่าน
เครื อข่ายโดย Hacker จะไม่ทาอะไรต่อระบบ โดยข้อมูลที่ลอบฟัง
ส่ วนมากเป็ นรหัสผ่านเพื่อเข้าสู่เครื อข่ายองค์กร
- Active Unauthorized Access เป็ นภัยคุกคามโดยมีวตั ถุ
ประสงค์เพื่อเปลี่ยนแปลงข้อมูล เช่น ข้อมูลเงินฝากธนาคาร โดย
การใช้วิธี “Spoofing”
12
Company
LOGO
ภัยคุกคามด้ านความปลอดภัย
3. การโจรกรรมและการปลอมแปลง (Theft and Fraud)
เป็ นภัยคุกคามที่เกิดจากการโจรกรรมซอฟแวร์หรื อเปลี่ยนแปลงข้อมูล
ที่ทาให้องค์กรเสี ยหาย เช่น พนักงานคัดลอกซอฟแวร์ที่ถูกกฎหมายของ
บริ ษทั เพื่อนากลับไปใช้ที่บา้ น หรื อนาไปให้คนอื่น แต่ตวั ซอฟแวร์ที่
คัดลอกมาไม่ได้สามารถคัดลอกลิขสิ ทธิ์ (License) ได้ ทาให้ซอฟแวร์น้ นั
กลายเป็ นผิดกฏหมายไปในที่สุด
13
Company
LOGO
คุกกี้ (Cookie) เป็ นอย่ างไร
คุกกี้ (Cookie) เป็ นการบันทึกค่าต่างๆ ที่มีขนาดเล็กของ Web Server ลง
ยัง Browser เพื่อทาการให้ Browser จดจาค่าต่างๆ ในการใช้งานบน Web
Server และเมื่อ Browser มีการเรี ยกใช้งาน Web Server อีกครั้ง Web
Server สามารถที่จะทาการตรวจสอบข้อมูลในคุกกี้วา่ ก่อนนี้ Browser นี้
มีการเรี ยกใช้งาน Web Server อะไรไปบ้าง
16
Company
LOGO
ภัยธรรมชาติ
ไฟไหม้
น้ าท่วม
พายุ
แผ่นดินไหว
ฯลฯ
ภัยอื่นๆ
การต่ อสู้ กนั ของพลเมือง และการก่ อการ
ร้ าย
สงคราม
จลาจล
กบฏ
ก่อการร้าย
ความผิดพลาดทางด้านเทคโนโลยี
แรงดันไฟกระชาก (voltage surge)
เครื่ องป้ องกันกระแสไฟกระชาก (surge
protector)
ความผิดพลาดจากมนุษย์
17
Company
LOGO
การควบคุมและรักษาความปลอดภัย
18
Company
LOGO
การรักษาความปลอดภัยของข้ อมูล
การรักษาความปลอดภัยของข้อมูลมีดว้ ยกัน 5 วิธีคือ
การรักษาความปลอดภัยโดยตัวซอฟต์แวร์ เอง
การรักษาความปลอดภัยโดยใช้ฮาร์ ดแวร์
การรักษาความปลอดภัยโดยการควบคุมโดยนโยบาย
การรักษาความปลอดภัยโดยการป้ องการทางกายภาพ
การใช้วิธีการเข้ารหัสข้อมูล
19
Company
LOGO
การควบคุมและรักษาความปลอดภัย
1. การรักษาความปลอดภัยให้ กบั เครือข่ ายองค์ กร
1.1 ควบคุมการเข้ าถึงทางกายภาพ (Physical Access Control)
- การล็อกห้องคอมพิวเตอร์อย่างแน่นหนาเมื่อไม่มีการใช้งานแล้ว
- การใช้ยามเฝ้ าหรื อติดโทรทัศน์วงจรปิ ด
- การใช้ Back-Up Disk สาหรับการทาข้อมูลสารองอย่างสม่าเสมอ
และไม่เก็บไว้ในที่เดียวกันกับระบบคอมพิวเตอร์น้ นั ๆ
- ติดตั้งระบบดับเพลิง
20
Company
LOGO
การควบคุมและรักษาความปลอดภัย
- Biometrics เป็ นวิธีที่ใช้ลกั ษณะเฉพาะตัวของแต่ละบุคคลที่
แตกต่างกันไป เช่น
- การพิสูจน์บุคคลด้วยลายนิ้วมือ
- การพิสูจน์บุคคลด้วยเรตินา
- การพิสูจน์บุคคลด้วยลายเซ็นอิเล็กทรอนิกส์
- การพิสูจน์บุคคลด้วยอุณหภูมิ
- การพิสูจน์บุคคลด้วยเสี ยง
21
Company
LOGO
การควบคุมและรักษาความปลอดภัย
1.2 ควบคุมการเข้ าถึงทางตรรกะ (Logical Access Control) คือการรักษา
ความปลอดภัยด้วยการใช้ลกั ษณะเฉพาะตัวของแต่ละบุคคลหรื อใช้อุปกรณ์
มาช่วย
- การเก็บประวัติส่วนตัวผูใ้ ช้(User profiles) นิยมใช้กนั มากที่สุด
ข้อมูลผูใ้ ช้ประกอบด้วย
- ชื่อผูใ้ ช้
- รหัสผ่าน
- สิ ทธิการใช้งาน
22
Company
LOGO
การควบคุมและรักษาความปลอดภัย
Firewall เป็ นการติดตั้งโปรแกรมคอมพิวเตอร์บนคอมพิวเตอร์
หรื อเครื่ องเราท์เตอร์ที่มีหน้าที่จดั การ ควบคุมการเชื่อมต่อจากภายนอก
สู่ภายในองค์กร และจากภายในองค์กรสู่ภายนอกองค์กร
แสดงการติดตั้ง firewall กับเครื อข่ายภายในขององค์กร
23
Company
LOGO
การควบคุมและรักษาความปลอดภัย
1.3 ตรวจสอบการเข้ าถึงเครือข่ ายโดยไม่ ได้ รับอนุญาต
(Detecting Unauthorized Access)
- การตรวจสอบการใช้งาน (Audit Logs )
เก็บรายละเอียดการใช้งานของผูใ้ ช้แต่ละคน
- สร้างเซิร์ฟเวอร์ลวง (Entrapment Server)
ใช้ตรวจหาผูบ้ ุกรุ กต่อเครื อข่ายภายในองค์กร โดยการสร้าง
เครื่ องให้บริ การลวง
1.4 ป้องกันภัยคุกคามจากไวรัส
- ใช้โปรแกรมป้ องกันไวรัส
- ใช้ Anti Virus Card
24
Company
LOGO
โปรแกรมตรวจหาหรือทาลายไวรัส
25
Company
LOGO
26
Company
LOGO
การควบคุมและรักษาความปลอดภัย
1.5 การใช้ นโยบายในการควบคุม (Policies)
หน่วยงานต้องกาหนดให้แน่นอนว่า ผูใ้ ช้ใดสามารถเข้าถึงข้อมูล
ส่ วนใดได้บา้ ง และใครมีสิทธิที่จะเปลี่ยนแปลงแก้ไขข้อมูล
รวมถึงต้องกาหนดแผนป้ องกันและกูภ้ ยั ที่อาจเกิดขึ้นได้ดว้ ย
1.6 การป้องกันภัยคุกคามในเครือข่ ายไร้ สาย (Wireless Security)
- ติดตั้ง Firewallให้กบั gateway ของเครื อข่ายไร้สาย
- เลือกใช้สญ
ั ญาณดิจิตอลในการส่ งข้อมูลผ่านโทรศัพท์มือถือ
29
Company
LOGO
การควบคุมและรักษาความปลอดภัย
2. รักษาความปลอดภัยให้ กบั ข้ อมูลทีส่ ่ งผ่ านเครือข่ าย
1.1 การรักษาความลับของข้ อมูล (Confidentiality)
- ใช้เทคนิคการ Encryption
1.2 การรักษาความถูกต้ องของข้ อมูล (Integrity)
- ใช้เทคนิคที่เรี ยกว่า Hashing
1.3 การระบุตวั ตน (Authentication)
- Digital Signature
- Password
- เครื่ องมือตรวจวัดทางกายภาพ
30
Company
LOGO
การควบคุมและรักษาความปลอดภัย
1.4 การป้ องกันการปฏิเสธหรืออ้ างความรับผิดชอบ (NonRepudiation)
- Digital Signature
- การบันทึกเวลา
- การรับรองการให้บริ การ
1.5 การระบุอานาจหน้ าที่ (Authorization)
- Password
- Firewall
- เครื่ องมือตรวจวัดทางกายภาพ
31
Company
LOGO
ระบบความปลอดภัยของพาณิชย์ อเิ ล็กทรอนิกส์
ระบบความปลอดภัยของพาณิชย์ อเิ ล็กทรอนิกส์ มีอะไรบ้ างและมัน่ ใจได้
แค่ ไหน
ระบบความปลอดภัยของพาณิ ชย์อิเล็กทรอนิกส์มีการนาเอาระบบ
Public Key Infrastructure – PKI หรื อโครงสร้างพื้นฐานของระบบ
กุญแจสาธารณะมาใช้งาน ซึ่งเป็ นเทคโนโลยีที่ได้รับการพิสูจน์และ
ยอมรับโดยทัว่ ไปว่ามีความปลอดภัยสูง ทาให้การใช้งานระบบพาณิ ชย์
อิเล็กทรอนิกส์มีความน่าเชื่อถือและเกิดความมัน่ ใจในการใช้งาน
32
Company
LOGO
ระบบความปลอดภัยของพาณิชย์ อเิ ล็กทรอนิกส์
เทคโนโลยี PKI สามารถก่อให้เกิดความน่าเชื่อถือในการระบุตวั ตนระหว่างโลกแห่ ง
ความจริ ง (Real World) และโลกอิเล็กทรอนิกส์ (Cyber World) ได้
โดยใช้เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography) ซึ่ ง
ประกอบด้วยกุญแจ (Key) 2 ดอก ได้แก่
กุญแจส่ วนตัว (Private Key)
กุญแจสาธารณะ (Public Key)
บุคคลหนึ่งๆ จะถือกุญแจคนละ 2 ดอกดังกล่าวนี้ กุญแจส่ วนตัวจะถูกเก็บอยูก่ บั เจ้าของ
กุญแจไว้อย่างปลอดภัย เพื่อใช้ในการยืนยันตัวตน และกุญแจสาธารณะจะถูกนาไป
เผยแพร่ เพื่อให้บุคคลอื่นสามารถติดต่อสื่ อสารกับเจ้าของกุญแจได้
33
Company
LOGO
การเข้ ารหัส (Encryption)
การรักษาความปลอดภัยของข้อมูลที่ส่งผ่านเครื อข่ายอินเทอร์เน็ตที่
นิยมใช้งานมากที่สุดคือ “การเข้ ารหัส (Encryption)” โดยเว็บไซต์ที่ใช้
วิธีการเข้ารหัสเพื่อป้ องกันข้อมูลจะใช้ Digital Certification ร่ วมกับ
Security Protocal เพื่อทาให้มีความปลอดภัยสูงขึ้น โดยโปรโตคอลที่นิยมใช้
งานมี 3 ชนิด คือ
- Secure Socket Layer (SSL)
- Secure Hypertext Transport Protcocal S-HTTP
- Secure Electronic Transaction (SET)
34
Company
LOGO
การเข้ ารหัส (Encryption)
การเข้ารหัสเป็ นวิธีป้องกันข้อมูลจากการโจรกรรมในขณะที่มีการ
รับและส่ งข้อมูลผ่านทางเครื อข่าย โดยข้อมูลทั้งหมดจะถูกแปลงเป็ นรหัส
ที่ไม่สามารถอ่านได้ดว้ ยวิธีปกติ เรี ยกว่า การเข้ ารหัส(Encryption) ดังนั้น
แม้วา่ จะมีการโจรกรรมข้อมูลไปได้ แต่หากไม่สามารถถอดรหัส
(Decryption) ก็ไม่สามารถเข้าใจข้อมูลเหล่านั้นได้
35
Company
LOGO
Plaintext
การเข้ ารหัส (Encryption)
Encryption
Algorithm
Ciphertext
แสดงการเข้ารหัส
36
Company
LOGO
How are you
feeling today
Plain text
Encryption
Algorithm
Key
HXEOWYLP
34ACJLKLO
GDEABCQ….
Ciphertext
คริ พโตกราฟี (Cryptography)
Plain text คือ ข้อมูลต้นฉบับซึ่ งเป็ นข้อความที่สามารถอ่านแล้วเข้าใจ
Encryption Algorithm คือ ขั้นตอนวิธีในโปรแกรมคอมพิวเตอร์ ที่ใช้ในการ
แปลงข้อมูลต้นฉบับเป็ นข้อมูลที่ได้รับการเข้ารหัส
Ciphertext คือ ข้อมูลหรื อข่าวสารที่ได้รับการเข้ารหัส ทาให้อ่านไม่รู้เรื่ อง
Key คือ เป็ นกุญแจที่ใช้ร่วมกับ อัลกอริ ทึมในการเข้ารหัส และถอดรหัส
37
Company
LOGO
การเข้ ารหัส (Encryption)
มีดว้ ยกัน 2 ลักษณะ คือ
1. การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
วิธีน้ ีท้ งั ผูร้ ับและผูส้ ่ งข้อความจะทราบคียท์ ี่เหมือนกันทั้งสอง
ฝ่ ายในการรับหรื อส่ งข้อความ
2. การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ใช้แนวคิดของการมีคียเ์ ป็ นคู่ ๆ ที่สามารถเข้าและถอดรหัสของ
กันและกันเท่านั้นได้ โดยคียแ์ รกจะมีอยูท่ ี่เฉพาะเจ้าของคีย ์ เรี ยกว่า
Private key และคู่ของคียด์ งั กล่าวที่ส่งให้ผอู ้ ื่นใช้ เรี ยกว่า Public key
38
Company
LOGO
1. การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
เป็ นการใช้อลั กอลิทึม หรื อกุญแจในการเข้ารหัสดอกเดียวกัน ทั้งฝ่ ายรับ
และฝ่ ายส่ ง
วิธีน้ ี ทั้งผูร้ ับและผูส้ ่ งข้อความจะทราบคียท์ ี่เหมือนกันทั้งสองฝ่ ายในการ
รับหรื อส่ งข้อความ
ซึ่งหากมีขโมยนากุญแจดอกนี้ไปได้ ก็สามารถถอดรหัสข้อมูลของเราได้
39
Company
LOGO
การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
Encryption
Algorithm
Plaintext
Secret Key
Ciphertext
Decryption
Algorithm
แสดงการเข้ารหัสแบบทางเดียวด้วยกุญแจลับ (Secret key encryption)
40
Company
LOGO
การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
การเข้ารหัสแบบสมมาตรนี้ ก่อให้เกิดปัญหา 2 ส่ วน คือ
- ปัญหา Authentication เนื่องจากผูอ้ ื่นอาจทราบรหัสลับด้วยวิธีใด
ก็ตามแล้วปลอมตัวเข้ามาส่ งข้อความถึงเรา
- ปัญหา Non-repudiation คือ ไม่มีหลักฐานใดที่พิสูจน์ได้วา่ ผูส้ ่ งหรื อ
ผูร้ ับได้กระทารายการจริ ง ๆ
41
Company
LOGO
2. การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ใช้แนวคิดของการมีคียเ์ ป็ นคู่ ๆ ที่สามารถเข้าและถอดรหัสของกันและ
กันเท่านั้นประกอบด้วย กุญแจ 2 ดอก คือ
กุญแจสาธารณะ (Public key) ใช้สาหรับการเข้ารหัส
กุญแจส่ วนตัว (Private key ) ใช้สาหรับการถอดรหัส
ที่สาคัญกุญแจที่เข้ารหัสจะนามาถอดรหัสไม่ได้ ซึ่ ง Public key จะ
แจกจ่ายไปยังบุคคลต่างๆ ที่ตอ้ งการสื่ อสาร ส่ วน Private Key จะเก็บไว้
ส่ วนตัวไม่เผยแพร่ ให้ใคร
42
Company
LOGO
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
Public Key
Encryption
Algorithm
Ciphertext
Plaintext
Decryption
Algorithm
Private Key
แสดงการเข้ ารหัสด้ วยกุญแจสาธารณะ(Public key)
43
Company
LOGO
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
Public
Key
Private
Key
44
Company
LOGO
การเข้ ารหัสแบบไม่ สมมาตร (Asymmetric Encryption)
ประโยชน์ของระบบการเข้ารหัสแบบไม่สมมาตร มีดงั นี้
1. ใช้รักษาความลับของข้อความที่จะจัดส่ งไป
2. แก้ปัญหาการ Authenticate คือ ตรวจสอบว่าบุคคลที่ส่งข้อความเข้ามา
เป็ นผูส้ ่ งเองจริ ง ๆ ซึ่งทาได้โดยใช้วิธีการเข้ารหัสด้วยคียส์ ่ วนตัว
** การใช้คียส์ ่ วนตัวเข้ารหัสข้อความเปรี ยบได้กบั การเซ็นชื่ อของเราบน
เอกสารที่เป็ นกระดาษเพื่อรับรองว่าข้อความนี้เราเป็ นผูส้ ่ งจริ ง
45
Company
LOGO
ข้ อแตกต่ างระหว่ างการเข้ ารหัสทั้งสองประเภท
รู ปแบบการเข้ ารหัส
กุญแจสมมาตร
(Symmetric Key
Crytography)
กุญแจอสมมาตร
(Asymmetric Key
Crytography)
ข้ อดี
รวดเร็ ว เพราะใช้การ
คานวณที่นอ้ ยกว่า
สามารถสร้างได้ง่ายโดย
ใช้ฮาร์ดแวร์
การบริ หารกุญแจทาได้
ง่าย เพราะกุญแจในการ
เข้ารหัสและถอดรหัส
ต่างกัน สามารถใช้
ร่ วมกับลายมือชื่อ
อิเล็กทรอนิกส์ได้
ข้ อเสี ย
บริ หารกุญแจทาได้ยาก
เพราะใช้กุญแจในการ
เข้ารหัสและถอดรหัส
เหมือนกัน
ใช้เวลาในการเข้าและ
ถอดรหัสค่อนข้างนาน
ต้องใช้การคานวณมาก
46
Company
LOGO
โปรโตคอลที่ใช้ ในการเข้ ารหัส
เว็บไซต์ที่ใช้วิธีการเข้ารหัสเพื่อป้ องกันข้อมูลจะใช้ Digital
Certification ร่ วมกับ Security Protocal เพื่อทาให้มีความปลอดภัยสูงขึ้น
โดยโปรโตคอลที่นิยมใช้งานมี 3 ชนิด คือ
- Secure Socket Layer (SSL)
- Secure Hypertext Transport Protcocal S-HTTP
- Secure Electronic Transaction (SET)
47
Company
LOGO
SSL (Secure Socket Layer)
เป็ นโปรโตคอลที่พฒ
ั นาโดย Netscape ใช้ สาหรับตรวจสอบและ
เข้ ารหัสด้ วยกุญแจสาธารณะแก่ข้อมูล ก่อนทีข่ ้ อมูลจะถูกส่ งออกไปบน
เครือข่ ายอินเทอร์ เน็ต โดยจะนาข้ อมูลมาเข้ ารหัสและถอดรหัสด้ วยเทคนิค
Cryptography และใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) และมี
การทางานที่ TCP/IP จะใช้ SSL ในการทาระบบรักษาความปลอดภัย
ส่ วนการใช้งานในเว็บไซต์ เมื่อผูใ้ ช้ตอ้ งการติดต่อมายัง Server
ผูใ้ ช้จะต้องทาการเรี ยก Web Browser โดยในช่อง URL จะมีโปรโตคอล
เป็ น https:// แทน http:// เป็ นตัวบอกว่าต้องการใช้ SSL ในการติดต่อ
Server
48
Company
LOGO
SSL (Secure Socket Layer)
เราจะทราบได้อย่างไรว่าเว็บไซต์ที่เราเข้าไปเยีย่ มชมนั้นเป็ นระบบ SSL
หรื อไม่กค็ งต้องสังเกตจาก Icon Security หรื อ URL ที่แสดงผลอยูบ่ นเว็บ
บราวเซอร์
โดยกลไกการรักษาความปลอดภัย มีดงั นี้
1) ความปลอดภัยของข้อความ (Message Privacy)
2) ความสมบูรณ์ของข้อความ (Message Integrity)
3) ความน่าเชื่อถือ (Matual Authentication)
4) ใบรับรองดิจิตอล (Digital Certificate)
49
Company
LOGO
Secure Hypertext Transport Protocal S-HTTP
เป็ นส่ วนของโปรโตคอล HTTP ทาหน้าที่ตรวจสอบสิ ทธิผใู้ ช้
ซึ่งจะเข้ารหัสการลงลายเซ็นดิจติ อล (Digital Signature)
ระบบนี้จะอนุญาตให้ผใู้ ช้และเครื่ องให้บริ การติดต่อกันได้
เมื่อทั้ง 2 ฝ่ ายมี Digital Certificate
ระบบรักษาความปลอดภัยรู ปแบบนี้ยงุ่ ยากกว่า SSL แต่
มีความปลอดภัยมากกว่า นิยมใช้ในธุรกิจการเงิน
50
Company
LOGO
ระบบ Secure Electronic Transaction (SET)
ระบบ SET หรื อ Secure Electronic Transaction เป็ นระบบ
เพื่อใช้สาหรับตรวจสอบการชาระเงินด้วยบัตรเครดิตอย่างปลอดภัยบน
อินเทอร์เน็ต ซึ่งได้รับการสนับสนุนเริ่ มต้นโดย MasterCard, Visa,
Microsoft, Netscape และ อื่น ๆ ด้วยการสร้างรหัส SET ซึ่งเป็ นการ
เข้ารหัสด้วยกุญแจสาธารณะ
51
Company
LOGO
ระบบ Secure Electronic Transaction (SET)
ระบบ SET นี้ถูกออกแบบมาเพื่อใช้กบั กิจกรรมการทาพาณิ ชย์อิเล็กทรอนิกส์ โดยระบบนี้สามารถรักษาความลับของข้อมูลข่าวสาร
ที่ถูกส่ งผ่านระบบเครื อข่ายคอมพิวเตอร์ได้เป็ นอย่างดี และรับประกัน
ความถูกต้องโดยไม่มีการปลอมแปลงของข้อมูลที่เกี่ยวกับการเบิกจ่ายเงิน
ได้เป็ นอย่างดีดว้ ย
นอกจากนี้ยงั สามารถที่จะบ่งชี้ชดั ได้วา่ ใครเป็ นผูซ้ ้ือและผูค้ า้ ได้
อย่างถูกต้องโดยไม่มีการปลอมแปลง
52
Company
LOGO
เปรียบเทียบ SET กับ SSL
ระบบ SET
ข้ อดี
1. ใช้วิธีการเข้ารหัสลับที่ดีกว่าจึงให้ความปลอดภัยสูงกว่า
2. ร้านค้าสามารถพิสูจน์ทราบลูกค้าได้ทนั ทีวา่ เป็ นผูไ้ ด้รับอนุญาตใน
ระบบหรื อไม่และมีเครดิตเพียงพอในการซื้อหรื อไม่
3. สามารถปกปิ ดความลับหรื อข้อมูลการทาธุรกิจของลูกค้าจากร้านค้า
และจากธนาคารผูอ้ อกบัตรได้
ข้ อเสี ย
1. ยังไม่มีการทดสอบและทดลองใช้อย่างเพียงพอ
2. ยังไม่มีการนาไปใช้เชิงธุรกิจในวงกว้างมากนัก
53
Company
LOGO
ระบบ SSL
ข้ อดี
1. ลงทุนน้อยหรื อแทบไม่มีเลย เพราะปั จจุบนั ใช้ในวงกว้าง
2. สามารถควบคุมการเข้าถึงข้อมูลส่ วนต่าง ๆ ภายในระบบของผูใ้ ช้ได้ หลังจากที่ผใู้ ช้
ได้รับอนุญาตให้เข้ามาในระบบ
3. สามารถใช้ขอ้ มูลร่ วมกันได้ระหว่างสองจุด
4. มีระบบป้ องกันและตรวจสอบความถูกต้องของข้อมูลได้
ข้ อเสี ย
1. ใช้วธิ ี การเข้ารหัสที่ลา้ สมัย ความปลอดภัยไม่เพียงพอ
2. ทาการสื่ อสารอย่างปลอดภัยได้เพียงสองจุด แต่ระบบพาณิ ชย์อิเล็กทรอนิ กส์ที่ใช้บตั ร
ต้องใช้มากกว่าสองจุดในเวลาเดียวกัน
3. มีความเสี่ ยงสู งเนื่องจากไม่มีการรับรองทางอิเล็กทรอนิกส์ระหว่างทุกฝ่ ายที่ทาการซื้ อ
ขายในขณะนั้น และความเสี่ ยงในการรั่วไหลของข้อมูลลูกค้า
54
Company
LOGO
ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)
สาหรับในการทาธุรกรรมทางอิเล็กทรอนิกส์น้ นั จะใช้ ลายมือชื่อ
อิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆเช่น สิ่ งที่ระบุ
ตัวบุคคลทางชีวภาพ (ลายพิมพ์นิ้วมือ เสี ยง ม่านตา เป็ นต้น) หรื อ จะเป็ น
สิ่ งที่มอบให้แก่บุคคลนั้นๆในรู ปแบบของ รหัสประจาตัว ตัวอย่างที่
สาคัญของลายมือชื่ออิเล็กทรอนิกส์ ที่ได้รับการยอมรับกันมากที่สุด
อันหนึ่ง คือ ลายมือชื่อดิจิตอล (Digital Signature) ซึ่งจะเป็ น
องค์ประกอบหนึ่งใน โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key
Infrastructure, PKI)
55
Company
LOGO
Digital Signature คืออะไร
ลายเซ็นดิจิตอล (Digital Signature) เป็ นสิ่ งที่แสดงยืนยันตัวบุคคล เป็ น
ข้อมูลที่แนบไปกับข้อความที่ส่งไป เพื่อเป็ นการแสดงตัวตน
(Authentication) ว่าผูส้ ่ งข้อความเป็ นใคร โดยข้อมูลนั้นได้ถูกส่ งมาจาก
ผูส้ ่ งคนนั้นจริ งๆ และข้อความไม่ได้ถูกเปลี่ยนแปลงและแก้ไข
ใช้กับการพิสจ
ู นความถู
กตองของเอกสารตาม
์
้
กฎหมาย เช่น ด้านการเงิน การทาสัญญา และเอกสารอื่นๆ ว่าเป็ นของ
แท้น้ นั สามารถทาได้โดยการตรวจสอบความถูกต้องของลายเซ็นของผู ้
มีอานาจอนุมตั ิ
56
Company
LOGO
ทาไมต้ องใช้ ลายเซ็นดิจิตอล (Digital Signature)
ตัวอย่างเช่น การที่เรารับอีเมล์จากบุคคลหนึ่งๆ จะเป็ นเพื่อนหรื อ
ใครก็ตาม เราจะสามารถมัน่ ใจได้อย่างไรว่าอีเมล์ที่เราได้รับ
ไม่ได้ถูกปลอมแปลง หรื อถูกแก้ไขให้บิดเบือนไปในระหว่าง
ทางที่ส่งมาถึงเรา หรื อถูกดักอ่านข้อความระหว่างทางที่ส่งไปยัง
ผูร้ ับ
57
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
ข้อความที่ประทับลายเซ็นไปยังอีกฝ่ ายหนึ่งในลักษณะต่อไปนี้
1. ผูร้ ับสามารถพิสูจน์เอกลักษณ์ของผูท้ ี่อา้ งนั้นว่าเป็ นคนส่ ง
ข่าวสารจริ งๆ
2. ผูส้ ่ งไม่สามารถบอกปัดสิ่ งที่เขียนลงไปในข้อความ
3. ผูร้ ับไม่สามารถที่จะประกอบและเปลี่ยนแปลงข้อความที่ตน
ส่ งมาด้วยตนเองได้
58
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
การเข้ารหัสข้อความที่ยาวนั้น ค่อนข้างเสี ยเวลา เนื่องจากขั้นตอนการ
เข้ารหัสต้องใช้การคานวณเป็ นอย่างมาก จึงมีการสร้างขั้นตอนที่คานวณได้
อย่างรวดเร็ ว โดยเปลี่ยนข้อความทั้งหมดให้เหลือเพียงข้อความสั้น ๆ เรี ยกว่า
“Message digest” ซึ่งจะถูกสร้างขึ้นด้วยกระบวนการเข้ารหัสยอดนิยมที่เรี ยก
ว่า One-way hash function
จะใช้ message digest นี้ในการเข้ารหัสเพื่อเป็ นลายเซ็นดิจิตอล
(Digital Signature) โดยจะแจก Public key ไปยังผูท้ ี่ตอ้ งการติดต่อ
59
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
ลายเซ็นดิจิตอลใช้การเข้ารหัสข้อมูลแบบ Asymmetric Encryption
วิธีการ
ผูส้ ่ งแปลงข้อความที่ส่งเป็ นรหัส (message digest)
60
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ผูส้ ่ งทาการเข้ารหัสด้วย private key (จะได้ digital signature)
61
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ส่ ง message digest และ digital signature ที่ได้ไปยังผูร้ ับ
สง่ ให ้ผู ้รับ
62
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
วิธีการ
ผูร้ ับแปลงข้อความที่ได้ (message digest)
และใช้ public key ของผูส้ ่ งในการถอดรหัส digital signature
ผูร้ ับเปรี ยบเทียบ message digest กับ digital signature ที่ถอดรหัสแล้ว ถ้ า
เท่ ากัน แสดงว่าข้อความที่ได้น้ นั มาจากผูส้ ่ งตัวจริ ง ไม่ได้ถกู แก้ไขข้อความ
ใดๆ ระหว่างการส่ ง
63
Company
LOGO
64
Company
LOGO
ลายเซ็นดิจิตอล (Digital Signature)
ประโยชน์ของลายเซ็นดิจิตอล (Digital signature) มีดงั นี้
1. ยากแก่การปลอมแปลงลายเซ็น
2. ข้อความในเอกสารไม่ถูกลักลอบอ่านและแก้ไข
3. ระยะทางไม่เป็ นอุปสรรคในการตรวจสอบความถูกต้อง
4. สาเนาของเอกสารมีสถานะเทียบเท่ากับเอกสารต้นฉบับ
5. มีบุคคลที่สาม (Certifies) หรื อองค์กรกลาง [Certification Authority
(CA)] เป็ นผูร้ ับรองความถูกต้องของลายเซ็น (Certificate)
65
Company
LOGO
66
Company
LOGO
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification คืออะไร มีหน้ าที่
อย่ างไร
ด้วยการเข้ารหัสและลายมือชื่อในการทาธุรกรรม ทาให้สามารถรักษา
ความลับและความถูกต้องของข้อมูลได้ โดยสร้างความเชื่อถือมากขึ้น
ด้วยใบรับรองอิเล็กทรอนิกส์ ซึ่งออกโดยองค์กรกลางที่น่าเชือ่ ถือ
เรี ยกว่า องค์กรรับรองความถูกต้อง (CA หรื อ Certificate Authority)
67
Company
LOGO
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
รายละเอียดในใบรับรองอิเล็กทรอนิกส์ มีดังนีค้ อื
ข้อมูลระบุผทู ้ ี่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
ข้อมูลผูอ้ อกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออกใบรับรอง
กุญแจสาธารณะของผูท้ ี่ได้รับการรับรอง
วันหมดอายุของใบรับรองอิเล็กทรอนิกส์
ระดับชั้นของใบรับรองอิเล็กทรอนิ กส์ มี 4 ระดับ ในระดับ 4 จะมีการ
ตรวจสอบเข้มงวดที่สุด
หมายเลขประจาตัวของใบรับรองอิเล็กทรอนิกส์
68
Company
LOGO
ใบรับรองอิเล็กทรอนิกส์ –Digital Certification
ประเภทของใบรับรองอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์สาหรับบุคคล เป็ นใบรับรองที่ใช้ในการยืนยันตัว
บุคคลบนโลกอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์สาหรับเครื่ องให้บริ การเว็บ หรื อที่เรี ยกว่าเว็บ
เซิ ร์ฟเวอร์ ใช้สาหรับเป็ นช่องทางการสื่ อสารแบบปลอดภัยระหว่างเครื่ อง
บริ การบนเว็บ สามารถประยุกต์ใช้งานรักษาความลับของข้อมูลที่รับส่ งผ่าน
ทางเครื อข่ายอินเทอร์ เน็ต เช่น รหัสผ่าน หมายเลขเครดิต
69
Company
LOGO
ใบรับรองอิเล็กทรอนิกส์ - Certification Authority (CA)
ผู้ให้ บริการออกใบรับรอง Certification Authority (CA)
CA หรื อ Certificate Authority คือผูป้ ระกอบกิจการ ออกใบรับรอง
อิเล็กทรอนิกส์ และเป็ นที่เชื่อถือ ซึ่งเปรี ยบเสมือนบัตรประจาตัวที่ใช้ใน
การระบุตวั บุคคล
บทบาทหน้าที่หลักคือ
ให้บริ การเทคโนโลยีการเข้ารหัสโดยอาศัยเทคโนโลยีที่เรี ยกว่า เทคโนโลยี
โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure - PKI)
การให้บริ การออกใบรับรอง
บริ การเสริ มอื่นๆ ไดแก่ การตรวจสอบสัญญาต่างๆ การกูก้ ญ
ุ แจ
70
Company
LOGO
ทาไมต้ องใช้ ใบรับรองอิเล็กทรอนิกส์ Certification Authority (CA)
การใช้ใบรับรองอิเล็กทรอนิกส์ ผูใ้ ช้จะสามารถมัน่ ใจได้วา่
ข้อมูลต่างๆ ที่ได้รับมีความถูกต้อง ครบถ้วน ไม่ถูกเปลี่ยนแปลง
แก้ไข
สามารถพิสูจน์ และยืนยันตัวบุคคลได้ ว่าเป็ นบุคคลผูท
้ ี่เราติดต่อด้วย
จริ ง
สามารถรักษาความลับของข้อมูลได้ หากเป็ นข้อมูลที่ตอ
้ งการให้ผรู ้ ับ
เท่านั้นที่สามารถอ่านอีเมล์ฉบับนั้นๆได้ ซึ่งกรณี น้ ีจะต้องมีการใช้
ใบรับรองอิเล็กทรอนิกส์ในการเข้ารหัสก่อนทาการส่ งอีเมล์ไปยัง
ผูร้ ับ
71
Company
LOGO
ทาไมต้ องใช้ ใบรับรองอิเล็กทรอนิกส์ Certification Authority (CA)
ใบรับรองอิเล็กทรอนิกส์ สามารถใช้ ทาอะไรได้ บ้าง
ใบรับรองอิเล็กทรอนิกส์น้ นั สามารถนาไปประยุกต์ใช้ได้ใน 2 ลักษณะ
ดังนี้
1. การเข้ารหัส (Encryption)
2. การลงลายมือชื่อดิจิตอล (Digital Signature)
72
Company
LOGO
หากเราใช้ ใบรับรองอิเล็กทรอนิกส์ แล้วเราจะติดต่ อกับคนอืน่ ที่ไม่ ได้ ใช้
ใบรับรองอิเล็กทรอนิกส์ ได้ หรือไม่ ??
ตอบ ได้ ผูร้ ับอีเมล์ที่ไม่ได้ใช้ใบรับรองอิเล็กทรอนิกส์จะสามารถอ่าน
อีเมล์ของผูส้ ่ งที่มีการใช้ใบรับรองอิเล็กทรอนิกส์ได้ตามปกติ แต่หากผูร้ ับ
ต้องการยืนยันตัวตนของผูส้ ่ ง ว่าเป็ นผูท้ ี่ติดต่อด้วยจริ ง รวมถึงตรวจสอบ
ความถูกต้องของข้อมูลในอีเมล์ฉบับนั้นๆ ผูร้ ับจะต้องทาการให้ความ
ไว้วางใจกับหน่วยงานผูอ้ อกใบรับรองอิเล็กทรอนิกส์ที่ผสู ้ ่ งใช้บริ การอยูก่ ่อน
ซึ่งโดยทัว่ ไปผูใ้ ห้บริ การใบรับรองอิเล็กทรอนิกส์จะมีขอ้ มูล รายละเอียด ให้
คลิกได้ที่เว็บไซต์ของผูใ้ ห้บริ การ
73
Company
LOGO
ตัวอย่างองค์กรที่ใช้ CA
http://www.ca.tot.co.th/faq.php
74
Company
LOGO
ทดลองสมัครและติดตั้งใบรับรองอิเล็กทรอนิกส์ สาหรับบุคคล
http://gca.thaigov.net/
75
Company
LOGO
แบบฝึ กหัด
1. ให้นกั ศึกษาค้นหาไวรัสคอมพิวเตอร์ในปัจจุบนั มา 2 ชนิด โดยให้บอกชื่อและ
รายละเอียดการทางานของไวรัส
2. จงบอกความแตกต่างระบบการรักษาความปลอดภัยในการชาระเงิน แบบ SSL
และ SET
3. จงอธิ บายความหมายและข้อแตกต่างของ ลายมือชื่อดิจิทลั (Digital Signature)
และลายมือชื่ออิเลกทรอนิกส์ ( Electronic Signature)
4. ให้นกั ศึกษาบอกประโยชน์จากการเล่นอินเตอร์ เน็ต หรื อเล่นเกมส์ในเวลาเรี ยน
มาอย่างน้อยคนละ 3 ข้อ
76