Ch4 e-Commerce Security

1. Ch4 e-Commerce Security MK424 Introduction to e-Commerce By Kulachatr Chatrakul Na Ayudhya

2. การรักษาความปลอดภัยในระบบ e-Commerce • หลักการรักษาความปลอดภัยในการสื่อสาร • Digital Signature • ระบบรักษาความปลอดภัย SSL • ระบบ CAs

3. หลักการรักษาความปลอดภัยในการสื่อสารหลักการรักษาความปลอดภัยในการสื่อสาร • ต้องสามารถระบุตัวตนผู้ส่งสารได้ (Authentication) • ต้องสามารถรักษาความเป็นส่วนตัวได้ (Privacy) • เนื้อหาต้องถูกต้อง ครบถ้วน (Integrity) • ผู้ส่งไม่สามารถปฏิเสธความรับผิดชอบภายหลังได้ (Non-repudiation)

4. Public Key Infrastructure ; PKI • Asymmetric encryption หรือ Public key encryption (ระบบรหัสกุญแจคู่แบบอสมมาตร)คือการเข้ารหัสและถอดรหัสด้วยกุญแจคนละดอกกัน กุญแจดอกแรก คือ กุญแจรหัสลับ(Private key) ส่วนอีกดอกหนึ่งเรียกว่ากุญแจสาธารณะ (Public key) ซึ่งสามารถมอบให้ผู้มีอำนาจผู้ใดผู้หนึ่งทำการถอดรหัสได้ เรียกว่า PKI โดยมี CA เป็นผู้สร้างกุญแจนี้ให้ เรียกว่าระบบรหัสกุญแจคู่แบบอสมมาตร นิยมใช้ในการชำระเงินแบบ EDI Internet Sender Receiver Cipher text Plaintext be Encrypted Cipher text be Decrypted With Private key A With Public key A CA 4560 2310 8704 2153 92 @#*7^FgP>1! 68+$ 4560 2310 8704 2153 E.Turban Electronic Commerce 2002. New Jersey , Prentice Hall. Withman & Mattord Principle of Information Security Massachusetts,Thomson.

5. Digital Signature • คือการใช้เทคนิค PKI กุญแจสาธารณะ โดยมี CA หรือผู้ดูแลเว็บไซต์เป็นผู้สร้างรหัสหรือกุญแจให้ 2 ดอก คือ Private Key และ Public Key • Private key จะติดตั้งอยู่บนเครื่องคอมพิวเตอร์ที่ใช้ส่งข้อมูลPublic key จะติดตั้งอยู่ที่ Host หรือเครื่องผู้ให้บริการ หรือ CAs • เอกสารหรือลายมือชื่อจะถูกย่อยด้วยสมการคณิตศาสตร์ Hash Function เรียกว่า Hashed Message Internet Sender Receiver Signature :Hashed Message Plaintext be encryptedby private key of sender with Hash Function Signature with hashed message be decryptedwith public key of sender CA Plaintext+ Hash Function +encryption (Private key) Hash Function + decryption (Public key)+ Plaintext 92 @#*7^FgP>1! 68+$ E.Turban Electronic Commerce 2002. New Jersey , Prentice Hall. Withman & Mattord Principle of Information Security Massachusetts,Thomson.

6. Digital Signature Process

8. Security Policy https://www.... Double click here ทดสอบการใช้งานระบบ SSL และการ Certified Site

9. Security Policy

10. Security Policy

11. ความเสี่ยงจากการค้า • ถ้าเว็บไซต์ร้านค้าถูกบุกรุก (Threat of fraud) • ผู้บุกรุก (Fraud) สามารภคัดลอกไฟล์ทั้งหมดของลูกค้าที่ส่งมาให้ผู้ขายไปใช้อ่านได้ เพราะถูกถอดรหัสไว้หมดแล้ว • พนักงานของร้านค้าทุจริต • กรณีนี้สุดวิสัยที่สุดแล้ว ถ้าหากพนักงานในร้านเป็นเสียเอง เพราะสามารถนำข้อมูลทั้งหมดของลูกค้าเช่น เลขที่บัตรเครดิตไปใช้งานได้ • ไม่ควรเก็บเลขที่บัตรเครดิตของลูกค้าไว้ในเครื่องที่ร้านค้า ควรให้เป็นภาระกิจของธนาคารเจ้าของบัตร • ความเสี่ยงของร้านค้า • ร้านค้าไม่สามารถตรวจสอบได้ว่าลูกค้าที่ส่งคำสั่งซื้อเข้ามาเป็นตัวจริงหรือไม่ ทางที่ดีถ้ายอดสั่งซื้อมีมูลค่าสูง ควรตรวจสอบกลับไปยังลูกค้ารายนั้นก่อนทำธุรกรรมเสมอ