10 security system n.
Download
Skip this Video
Download Presentation
บทที่ 10 ระบบความปลอดภัย (Security System)

Loading in 2 Seconds...

play fullscreen
1 / 74

บทที่ 10 ระบบความปลอดภัย (Security System) - PowerPoint PPT Presentation


  • 109 Views
  • Uploaded on

บทที่ 10 ระบบความปลอดภัย (Security System). 1. เนื้อหา. การเข้ารหัสลับ ลายมือชื่อดิจิตอล ใบรับรองดิจิตอล ระบบความปลอดภัย. 2. Security System. ระบบรักษาความปลอดภัยเป็นเรื่องสำคัญ โดยเฉพาะการพาณิชย์อิเล็กทรอนิกส์ที่

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'บทที่ 10 ระบบความปลอดภัย (Security System)' - ursa-schmidt


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
10 security system

บทที่ 10ระบบความปลอดภัย (Security System)

1

slide2
เนื้อหา
  • การเข้ารหัสลับ
  • ลายมือชื่อดิจิตอล
  • ใบรับรองดิจิตอล
  • ระบบความปลอดภัย

2

security system
Security System

ระบบรักษาความปลอดภัยเป็นเรื่องสำคัญ โดยเฉพาะการพาณิชย์อิเล็กทรอนิกส์ที่

มีการแลกเปลี่ยนข้อมูลระหว่างผู้ส่งและผู้รับ ซึ่งในระบบจะต้องหาวิธีการดูแล

ความปลอดภัยของระบบผ่านเครือข่ายต่าง ๆ หรือระบบอินเทอร์เน็ต

ในปัจจุบันการใช้งานเต็มไปด้วยการคุกคามจากผู้ไม่ประสงค์ดีที่สร้างความเสียหาย

แก่ระบบหลายหลายวิธีการ ดังนั้นเพื่อความปลอดภัยของระบบเราควรออกแบบ

และพัฒนาระบบพาณิชย์อิเล็กทรอนิกส์ที่คำนึงความปลอดภัยด้วย

3

slide4
ภัยคุกคาม
  • เช่น hacker , crackers , Denial-of-service attack ฯลฯ
  • ในปี ค.ศ. 1999 cracker ชาวสวีเดนได้บุกเข้าไปในเว็บไซต์ Microsoft’s Hotmail และได้เข้าไปสร้าง mirror site ที่อนุญาตให้ผู้ใดก็ได้สามารถพิมพ์ชื่อของผู้ใช้ Hotmail แล้วสามารถเข้าไปอ่านข้อความอีเมล์ของผู้นั้นได้ราวกับเป็นเจ้าของเสียเอง
  • ในอีกกรณีหนึ่ง cracker ที่เป็นเด็กอายุ 19 ปีชาวรัสเซียชื่อว่า Maxim ได้บุกเข้าไปในเว็บไซต์ e-commerce แห่งหนึ่งและขโมยหมายเลขเครดิตการ์ดไปกว่า 300,000 ใบ จากนั้นจึงได้เข้าไปในเว็บไซต์ของเจ้าของเว็บไซต์ดังกล่าวเพื่อเรียกร้องเงินเป็นจำนวน 100,000 เหรียญเป็นค่าไถ่สำหรับเครดิตการ์ดที่เขาขโมยไปได้ เจ้าของเว็บไซต์ปฏิเสธที่จะจ่ายเงินทำให้ Maxim โกรธและนำหมายเลขเครดิตการ์ดทั้ง 300,000 ใบออกประกาศทั่วอินเทอร์เน็ตทำให้ผู้เคราะห์ร้ายคือเจ้าของบัตรเครดิตต้องสูญเสียเงินเป็นจำนวนมาก

4

slide5
ภัยคุกคามทางอินเทอร์เน็ตภัยคุกคามทางอินเทอร์เน็ต
  • ตัวอย่างของการคุกคามได้แก่
    • การเข้าถึงระบบเครือข่ายจากผู้ที่ไม่มีสิทธิ์
    • การเข้ามาทำลาย เปลี่ยนแปลง หรือ ขโมยข้อมูล
    • การนำข้อมูลไปเปิดเผยแก่ผู้อื่นที่ไม่เกี่ยวข้อง
    • การทำให้การทำงานของระบบหยุดชะงัก
    • การปฏิเสธความรับผิดชอบในการทำธุรกรรม หรือ การอ้างว่าได้รับ หรือ ให้บริการ/ข้อมูล ของ ผู้ซื้อ หรือ ผู้ขาย
  • ซึ่งถ้าข้อมูลเหล่านั้นเกี่ยวข้องกับ ข้อมูลทางการเงิน เช่น หมายเลขบัตรเครดิต ข้อมูลลับของบริษัท (Corporate Secret) หรือ ข้อมูลที่เป็นทรัพย์สินทางปัญญา (Intellectual Property) จะก่อให้เกิดความเสียหายอย่างมาก

5

slide6
วิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหาวิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหา
  • วิธีการบุกรุก
    • เข้ามาขโมยและแก้ไขข้อมูลในระบบ
  • การแก้ไขปัญหา
    • เก็บข้อมูลโดยการเข้ารหัสลับ (Encryption)
  • การทำงาน
    • เข้ารหัสข้อมูลเพื่อป้องกันการลักลอบดูจากผู้ที่ไม่มีสิทธิ
  • ใช้เทคโนโลยี
    • สามารถใช้วิธีการเข้ารหัสแบบต่าง ๆ

6

slide7
วิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหาวิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหา
  • วิธีการบุกรุก
    • ปลอมตัวเข้ามาใช้ระบบและทำรายการปลอม
  • การแก้ไขปัญหา
    • ให้ระบบตรวจสอบว่าบุคคลนั้นมีสิทธิจริงหรือไม่(Authentication)
  • การทำงาน
    • ใช้หลักการตรวจสอบข้อมูลทั้งผู้ส่งและผู้รับข้อมูล
  • ใช้เทคโนโลยี
    • การใช้ลายมือชื่อดิจิตอล

7

slide8
วิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหาวิธีบุกรุกเข้าเครือข่ายและการแก้ปัญหา
  • วิธีการบุกรุก
    • เข้าใช้ระบบโดยไม่มีสิทธิและใช้ระบบนี้เพื่อเข้าใช้ระบบอื่น
  • การแก้ไขปัญหา
    • ด่านกันบุกรุก (Firewall)
  • การทำงาน
    • ตรวจสอบและกรองข้อมูลของการติดต่อจากเครือข่ายหรือเครื่องบริการของระบบเพื่อป้องกันข้อมูลเข้าและออกจากระบบจากการไม่มีสิทธิ
  • ใช้เทคโนโลยี
    • Firewall และการวางเครือข่ายเสมือน (VPN-Virtual Private Network) ของตนเองซ้อนในอินเทอร์เน็ตอีกชั้นหนึ่ง

8

slide9
- ความปลอดภัยของข้อมูลเพื่อการทำธุรกรรมผ่านเครือข่ายอินเทอร์เน็ตนั้นจะหมายถึง

การที่ข้อมูลมีความถูกต้อง ครบถ้วน มีความน่าเชื่อถือ และสามารถส่งถึงผู้รับได้อย่าง

สมบูรณ์

- ในทางปฏิบัตินั้นสามารถกำหนดลักษณะของการควบคุมความมั่นคงปลอดภัย (Security Controls) ได้ 5 ระดับตามรูป

9

security controls 1 authentication
Security Controls1. การพิสูจน์ตัวตน (Authentication)

การพิสูจน์ตัวตน คือขั้นตอนการยืนยันความถูกต้องของหลักฐาน (Identity) ที่

แสดงว่าเป็นบุคคลที่กล่าวอ้างจริง ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ

  • การระบุตัวตน (Identification) คือขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใครเช่น ชื่อผู้ใช้ (username)
  • การพิสูจน์ตัวตน (Authentication) คือขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง

10

slide11
แผนผังแสดงกระบวนการการพิสูจน์ตัวตนแผนผังแสดงกระบวนการการพิสูจน์ตัวตน
  • หลักฐานที่ผู้ใช้นำมากล่าวอ้างที่เกี่ยวกับเรื่องของความปลอดภัยนั้นสามารถจำแนกได้ 2 ชนิด

- Actual identity คือหลักฐานที่สามารถบ่งบอกได้ว่าในความเป็นจริงบุคคลที่กล่าวอ้างนั้นเป็นใคร

- Electronic identity คือหลักฐานทางอิเล็กทรอนิกส์ซึ่งสามารถบ่งบอกข้อมูลของบุคคลนั้นได้ แต่ละบุคคลอาจมีหลักฐานทางอิเล็กทรอนิกส์ได้มากกว่า 1 หลักฐาน ตัวอย่างเช่น บัญชีชื่อผู้ใช้

11

authentication mechanisms
กลไกของการพิสูจน์ตัวตน (Authentication mechanisms)
  • กลไกของการพิสูจน์ตัวตน สามารถแบ่งออกได้เป็น 3 คุณลักษณะคือ
    • สิ่งที่คุณมี (Possession factor) เช่น กุญแจหรือเครดิตการ์ด เป็นต้น
    • สิ่งที่คุณรู้ (Knowledge factor) เช่น รหัสผ่าน (passwords) หรือการใช้พิน (PINs) เป็นต้น
    • สิ่งที่คุณเป็น (Biometric factor) เช่น ลายนิ้วมือ รูปแบบเรตินา (retinal patterns) หรือใช้รูปแบบเสียง (voice patterns) เป็นต้น

12

slide13
กลไกของการพิสูจน์ตัวตนกลไกของการพิสูจน์ตัวตน
  • ข้อจำกัดในการใช้ เช่น
    • สิ่งที่คุณมี (Possession factor) นั้นอาจจะสูญหายหรือถูกขโมยได้
    • สิ่งที่คุณรู้ (Knowledge factor) อาจจะถูกดักฟัง เดา หรือขโมยจากเครื่องคอมพิวเตอร์
    • สิ่งที่คุณเป็น (Biometric factor) จัดได้ว่าเป็นวิธีที่มีความปลอดภัยสูง แต่การที่จะใช้เทคโนโลยีนี้ได้นั้นจำเป็นต้องมีการลงทุนที่สูง เป็นต้น

** ดังนั้นจึงได้มีการนำแต่ละคุณลักษณะมาใช้ร่วมกัน ช่วยเพิ่มประสิทธิภาพในการรักษาความปลอดภัยของข้อมูล

13

security controls 2 authorization
Security Controls2. การกำหนดสิทธิ์ (Authorization)
  • การกำหนดสิทธิ์

การกำหนดสิทธิ์ คือขั้นตอนในการอนุญาตให้แต่ละบุคคลสามารถเข้าถึงข้อมูลหรือระบบใดได้บ้าง ก่อนอื่นต้องทราบก่อนว่าบุคคลที่กล่าวอ้างนั้นคือใครตามขั้นตอนการพิสูจน์ตัวตนและต้องให้แน่ใจด้วยว่าการพิสูจน์ตัวตนนั้นถูกต้อง

14

security controls 3 encryption
Security Controls3. การเข้ารหัสลับ(Encryption)
  • การเข้ารหัสลับคือการเปลี่ยนข้อความที่สามารถอ่านได้ (plain text) ไปเป็นข้อความที่ไม่สามารถอ่านได้ (cipher text)
  • การเข้ารหัสลับมีความสำคัญคือ
    • การตรวจสอบเพื่อยืนยันข้อมูลที่ส่ง (authentication) โดยตรวจสอบการแสดงตนว่าคนส่งเป็นตัวจริงหรือไม่
    • การพิสูจน์หลักฐานว่าได้กระทำรายการจริง (Non-Repudiation) เพื่อป้องกันการปฏิเสธภายหลังว่าไม่ได้เป็นผู้กระทำ
    • การรักษาสิทธิความเป็นส่วนตัว ปกป้องข้อมูลจากผู้ไม่มีสิทธิ

15

security controls 4 integrity
Security Controls4. การรักษาความสมบูรณ์ (Integrity)
  • การรักษาความสมบูรณ์
  • การรักษาความสมบูรณ์ คือการรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไปจากต้นฉบับ (source) ไม่ว่าจะเป็นโดยบังเอิญหรือดัดแปลงโดยเจตนาที่อาจส่งผลเสียต่อข้อมูล การคุกคามความสมบูรณ์ของข้อมูลคือการที่บุคคลที่ไม่ได้รับอนุญาตสามารถที่จะเข้าควบคุมการจัดการของข้อมูลได้

16

security controls 5 audit
Security Controls5. การตรวจสอบ (Audit)
  • การตรวจสอบ
  • การตรวจสอบ คือการตรวจสอบหลักฐานทางอิเล็กทรอนิกส์ ซึ่งสามารถใช้ในการติดตามการดำเนินการเพื่อตรวจสอบความถูกต้องและแม่นยำ ตัวอย่างเช่นการตรวจสอบบัญชีชื่อผู้ใช้ โดยผู้ตรวจบัญชี ซึ่งการตรวจสอบความถูกต้องของการดำเนินการเพื่อให้แน่ใจว่าหลักฐานทางอิเล็กทรอนิกส์นั้นได้ถูกสร้างและสั่งให้ทำงานโดยบุคคลที่ได้รับอนุญาต และในการเชื่อมต่อเหตุการณ์เข้ากับบุคคลจะต้องทำการตรวจสอบหลักฐานของบุคคลนั้นด้วย ซึ่งถือเป็นหลักการพื้นฐานของขั้นตอนการทำงานของการพิสูจน์ตัวตนด้วย

17

slide18
สรุป การควบคุมความปลอดภัย
  • การพิสูจน์ตัวตนจัดเป็นการตรวจสอบหลักฐานขั้นพื้นฐานที่สำคัญที่สุดใน 5 ระดับชั้นของการควบคุมความปลอดภัย ดังนั้นการพิสูจน์ตัวตนดีจะช่วยเพิ่มความมั่นคงปลอดภัยขั้นพื้นฐานให้กับระบบมากยิ่งขึ้น
  • ส่วนประกอบพื้นฐานของการพิสูจน์ตัวตนสมบูรณ์แบ่งได้เป็น 3 ส่วน คือ
    • การพิสูจน์ตัวตน (Authentication) คือส่วนที่สำคัญที่สุดเพราะเป็นขั้นตอนแรกของการเข้าใช้ระบบ ผู้เข้าใช้ระบบต้องถูกยอมรับจากระบบว่าสามารถเข้าสู่ระบบได้ การพิสูจน์ตัวตนป็นการตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลนั้นจริง
    • การกำหนดสิทธิ์ (Authorization) คือข้อจำกัดของบุคคลที่เข้ามาในระบบ ว่าบุคคลคนนั้นสามารถทำอะไรกับระบบได้บ้าง
    • การบันทึกการใช้งาน (Accountability) คือการบันทึกรายละเอียดของการใช้ระบบและรวมถึงข้อมูลต่างๆที่ผู้ใช้กระทำลงไปในระบบ เพื่อผู้ตรวจสอบจะได้ตรวจสอบได้ว่า ผู้ใช้ที่เข้ามาใช้บริการได้เปลี่ยนแปลงหรือแก้ไขข้อมูลในส่วนใดบ้าง

18

slide19
พื้นฐานของระบบความปลอดภัยพื้นฐานของระบบความปลอดภัย
  • การพิสูจน์ตัวตนและการให้อำนาจ (Authentication and Authorization)
    • การยืนยันความถูกต้องว่าเป็นคนที่กล่าวอ้างจริง และการอนุญาตให้แต่ละบุคคลสามารถเข้าถึงข้อมูลหรือระบบใดได้บ้าง
  • การรักษาความลับ (Confidentiality)
    • การรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้นจึงจะเข้าถึงข้อมูลนั้นได้
  • การรักษาความถูกต้อง/สมบูรณ์ (Integrity)
    • การรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา
  • การป้องกันการปฏิเสธหรือการไม่ยอมรับ (Non-Repudiation)
    • วิธีการสื่อสารซึ่งผู้ส่งข้อมูลได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้รับการยืนยันว่าผู้ส่งเป็นใคร ดังนั้นทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าวในภายหลัง

19

cryptography
กระบวนการเข้ารหัสและถอดรหัส(cryptography)กระบวนการเข้ารหัสและถอดรหัส(cryptography)
  • จุดประสงค์หลักของการเข้ารหัสและถอดรหัส คือ ผู้ที่ไม่ได้รับอนุญาตในการเข้าถึงข้อมูลเข้าถึงข้อมูลได้ยากและให้เพียงแค่บุคคลที่อนุญาตให้เข้าถึงข้อมูลเข้าถึงข้อมูลได้เท่านั้น ไม่ใช่ทั้งหมดที่ผู้ที่ไม่ได้รับอนุญาตจะไม่สามารถเข้าถึงข้อมูลได้ผู้ที่ไม่ได้รับอนุญาตอาจเข้าถึงข้อมูลได้แต่ไม่สามารถเข้าใจความหมายของข้อมูลนั้นนั้นได้
  • การเข้ารหัส เป็นการใช้ อัลกอริทึม ที่ซับซ้อนในการเปลี่ยน ข้อมูลเดิม(plaintext) ด้วยการเข้ารหัส เปลี่ยนเป็น ข้อมูลมีผ่านการเข้ารหัสแล้ว(ciphertext)
  • อัลกอริทึมที่ใช้ในการ เข้ารหัส และ ถอดรหัส ข้อมูลแล้วส่งผ่านกันในระบบเน็กเวิร์คนั้น มี 2 แบบ คือ การเข้ารหัสแบบสมมาตร และ การเข้ารหัสแบบอสมมาตร

20

slide21

ตัวอย่างการเข้ารหัสสมัยก่อน (Classic cryptography)

Caesar cipher

การเข้ารหัสข้อมูลแบบ Caesar cipher มีขึ้นในราว 50-70 ปีก่อนคริสตกาลสร้างโดยกษัตริย์ Julius Caesar แห่งโรมัน เพื่อใช้เข้ารหัสข้อความในสารที่ส่งในระหว่างการทำศึกสงคราม เพื่อป้องกันไม่ให้ศัตรูสามารถอ่านข้อความในสารนั้นได้หากสารนั้นถูกแย่งชิงไป การเข้ารหัสแบบ Caesar cipher จะใช้วิธีการแทนที่ตัวอักษรต้นฉบับด้วยตัวอักษรที่อยู่ห่างออกไปข้างหน้าสามตัวเช่น แทนที่ตัว A ด้วยตัว D และแทนที่ตัว B ด้วยตัว E เป็นต้น ดังนั้นการเข้ารหัสแบบ Caesar cipher จึงเป็นการเลื่อนตัวอักษรโดยจำนวนครั้งของการเลื่อนเท่ากับสาม (Shiftment, n = 3)

21

caesar cipher
การแม็ปของตัวอักษรในการเข้ารหัสแบบ Caesar cipher สามารถเขียนได้ดังนี้

หากใช้การเข้ารหัสข้อมูลแบบ Caesar cipher เข้ารหัส จะได้ดังนี้

  • Plaintext: the quick brown fox jumps over the lazy dog
  • Ciphertext: WKH TXLFN EURZQ IRA MXPSV RYHU WKH ODCB GRJ

ประโยค คือ “the quick brown fox jumps over the lazy dog”

ซึ่งเป็นประโยคสั้น ๆ ที่มีตัวอักษรภาษาอังกฤษครบทั้ง 26 ตัว

ต่อมา Augustus (ผู้เป็น Caesar องค์ที่สองจากทั้งหมด 12 Caesars) ซึ่งเป็นหลานของ Julius Caesar ได้เปลี่ยนสูตรให้แทนที่ตัว A ด้วยตัว C และแทนที่ตัว B ด้วยตัว D

ดังนั้นจึงกลายเป็นการเลื่อนตัวอักษรที่มีจำนวนครั้งของการเลื่อนเท่ากับสอง (Shiftment, n = 2)

Plain: ABCDEFGHIJKLMNOPQRSTUVWXYZ

Cipher: DEFGHIJKLMNOPQRSTUVWXYZABC

22

caesar cipher1
Caesar cipher

- การเข้ารหัสทั้งสองวิธีนี้สามารถถูกเบรค (Break) ได้โดยง่าย (การเบรคในที่นี้หมายถึงการถอดรหัสข้อมูลออกมาได้ ถึงแม้จะไม่ทราบวิธีการเข้ารหัสและไม่มีกุญแจที่ใช้ถอดรหัสก็ตาม)

- การเบรคการเข้ารหัสข้อมูลแบบ Caesar cipher ทำได้โดยการทดลองทำการเลื่อนตัวอักษรทุกตัว โดยทดลองเลื่อนด้วยจำนวน Shiftment ที่ต่างกันคือ n=1, n=2, n=3, ... ไปจนถึง n=26 ซึ่งจะใช้การจำนวนครั้งในการทดสอบสูงสุดเพียง 26 ครั้ง (สำหรับภาษาอังกฤษซึ่งมีเพียง 26 ตัวอักษร) ก็จะสามารถทำการเบรคได้ในที่สุด

23

scytale
Scytale
  • Scytale เป็นอุปกรณ์ที่ทำขึ้นจากไม้ที่มีด้านสมมาตรเท่ากันทุกด้าน ในสมัยที่ยังไม่มีคอมพิวเตอร์ ใช้เพื่อเข้ารหัส และ ถอดรหัสลับ
  • วิธีการเข้ารหัสก็ คือ นํากระดาษมาพันรอบ Scytale แล้วเขียนข้อความลับตามแนวนอน ขนานกับไม้ไป แล้วหลังจากนั้นก็นํากระดาษนี้ไปส่งให้กับผู้รับ ซึ่งถ้าระหว่างทาง ข้อความลับ (CipherText) โดนแย่งไป คนที่แย่งไปถ้าไม่มี Scytale ที่มีขนาดเดียวกันกับ ที่ใช้เขียนขึ้นมาก็จะไม่สามารถอ่านข้อความนั้นได้
  • วิธีการถอดรหัส คือ ผู้รับจําเป็นจะต้องมีตัว Scytale ที่สามารถถอดรหัสได้ (Scytale แบบเดียวกัน) แต่วิธีการก็จะเหมือนกับการเข้ารหัส โดยการนํากระดาษมาพันรอบ Scytale แล้วหลังจากนั้นก็อ่านตามแนวนอน ก็จะได้ ข้อความปกติ (PlainText) ออกมา

อ่านตามแนวนอนจะได้เป็น

“Help me I am under attack”

(ตัวอย่างอยู่ในสมัยของ  Spartan)

24

modern cryptography
การเข้ารหัสสมัยใหม่ (Modern cryptography)
  • การเข้ารหัสสมัยใหม่มีเรื่องของ กุญแจ( key) เข้ามาเกี่ยวข้อง กุญแจ( key) หมายถึง ชุดตัวเลข หรือ ตัวอักษร กลุ่มนึงที่ถูก ‘สุ่ม’ ขึ้นมาเพื่อใช้ในการ เข้ารหัส หรือ ถอดรหัส
  • เริ่มในช่วงปี 1970: DES (Data Encryption Standard)เป็นการเข้ารหัสที่พัฒนามาจากอัลกอริทึม Lucifer ของ IBM โดย Lucifer ได้รับการพัฒนาเพิ่มความสามารถและเปลี่ยนชื่อเป็น DES แล้วได้รับการนำเสนอต่อ US NIST (US National Institute of Standards and Technology) ให้กลายเป็นมาตราฐานการเข้ารหัสของ สหรัฐอเมริกา
  • AES (Advance Encryption Standard) เป็นการเข้ารหัสที่พัฒนาขึ้นมาเพื่อใช้ทดแทน DES หลังจากที่ DES ถูกเบรคได้ โครงการพัฒนา AES ได้เริ่มต้นเมื่อปี 1997

25

slide26
1. การสร้างขั้นตอนวิธี (Algorithm)

1.1 อัลกอริทึมแบบสมมาตร (Symmetric key algorithms)

1.2 อัลกอริทึมแบบอสมมาตร (Asymmetric key algorithms)

ขั้นตอนการเข้ารหัสลับการเข้ารหัสลับมีส่วนสำคัญของ 2 ส่วนคือ

2. การหา Key ที่เหมาะสมสำหรับการเข้ารหัสและถอดรหัส

26

1 1 symmetric key algorithms
1.1 อัลกอริทึมแบบสมมาตร (Symmetric key algorithms)
  • จะใช้กุญแจตัวเดียวกันสำหรับการเข้าและถอดรหัส อัลกอริทึมที่ได้รับความนิยมได้แก่ DES, AES, IDEA
  • ตัวอย่าง :การเข้ารหัสของ Caesar cipher เช่น ต้องการเข้ารหัสคำว่า CAT

โดยมี Key คือ 3วิธีเข้ารหัสทำได้โดย นับขึ้นไป 3 ตัวอักษร ดังนั้น

Encryption

Decryption

C กลายเป็น D E F

A กลายเป็น B C D

T กลายเป็น U V W

F กลายเป็น E D C

D กลายเป็น C B A

W กลายเป็น V U T

ผลลัพธ์จากการเข้ารหัสคือ คำว่า FDW

ผลลัพธ์จากการถอดรหัสคือ คำว่า CAT

27

symmetric key algorithms1
อัลกอริทึมแบบสมมาตร (Symmetric key algorithms)

เข้ารหัสลับ

ข้อความที่เข้ารหัสแล้ว

ข้อความเดิม

ก่อนการเข้ารหัส

Internet

ถอดรหัสด้วยคีย์ลับเดิม

ข้อความเดิม

หลังถอดรหัส

ข้อความที่เข้ารหัสแล้ว

29

slide30
ปัญหาของอัลกอริทึมแบบสมมาตรปัญหาของอัลกอริทึมแบบสมมาตร
  • ผู้ส่งข้อมูลและผู้รับจะจำเป็นต้องแลกเปลี่ยนกุญแจลับกันก่อน (ซึ่งอาจหมายถึงส่งมอบกุญแจลับให้กันก่อน) การแลกเปลี่ยนกุญแจนั้นอาจทำได้อย่างยุ่งยากและไม่สะดวก
  • ผู้ส่งข้อมูลและผู้รับจะต้องรักษากุญแจลับนั้นไว้เป็นอย่างดี ห้ามเปิดเผยให้ผู้อื่นล่วงรู้โดยเด็ดขาด การที่กุญแจถูกเปิดเผยออกไปสู่ผู้อื่น
  • สำหรับสองกลุ่มที่ต้องการติดต่อกัน จำเป็นต้องใช้กุญแจลับเป็นจำนวน 1 กุญแจเพื่อติดต่อกัน ซึ่งจะเห็นได้ว่าจำนวนกุญแจมีมากมาย ซึ่งอาจก่อให้เกิดปัญหาด้านการรักษาความปลอดภัยให้กับกุญแจเหล่านี้

30

1 2 asymmetric key algorithms
1.2 อัลกอริทึมแบบอสมมาตร (Asymmetric key algorithms)
  • อาจใช้คำว่า Asymmetric Key Encryption หรือ Public Key Encryption หรือใช้คำว่า Public Key Infrastructure (PKI)
  • จะใช้กุญแจตัวหนึ่งสำหรับการเข้ารหัส และกุญแจอีกตัวหนึ่งสำหรับการถอดรหัส
  • กุญแจที่ใช้เข้ารหัสเป็นกุญแจที่เปิดเผยสู่สาธารณชน (ใครๆก็สามารถใช้กุญแจนี้เพื่อเข้ารหัสได้) แต่ถ้าการถอดรหัสจะต้องใช้กุญแจอีกดอกหนึ่งที่ไม่เปิดเผย
  • อัลกอริทึมที่ได้รับความนิยมได้แก่ RSA (ตั้งแต่คิดค้นมายังไม่มีใครสามารถเบรคอัลกอริทึมนี้ได้ และ RSA ได้ถูกนำมาใช้อย่างแพร่หลายในด้าน e-commerce )
  • การประยุกต์ใช้งานทำได้โดย เก็บ Key อันหนึ่งไว้กับตัวเองเรียกว่า Private Key ส่วนอีก Key หนึ่งสามารถที่จะแจกจ่ายให้ผู้อื่นได้ดังนั้น Key นี้จึงถูกเรียกว่า Public Key
    • เมื่อผู้อื่นต้องการที่จะส่งข้อมูลที่เป็นความลับมายังเจ้าของ Private Key จะต้องทำการเข้ารหัสข้อมูลนั้นด้วย Public Key ของผู้รับ ดังนั้นจึงทำให้ผู้ที่มี Private Key เท่านั้นที่จะถอดรหัสข้อมูลได้
    • ส่วนการส่งข้อมูลที่เข้ารหัสด้วย Private Key ไปยังผู้อื่น ผู้ใดก็ตามที่มี Public Key (ซึ่งมีอยู่หลายคน) จะสามารถถอดรหัสข้อมูลได้

31

slide32

ให้นับตามเข็มนาฬิกาไป 7 ครั้ง -- จาก 4 นับ 5, 6, 7, 8, 9, 10, 11

11 คือเลขที่ถูกเข้ารหัสแล้ว

  • ตัวอย่าง ให้นึกถึงหน้าปัดนาฬิกาที่มีเลข 12 ตัวเรียงกันเป็นวงกลม ต้องการส่งเลข 4 ไปให้เพื่อนโดยการเข้ารหัสโดยใช้ Key เท่ากับ 7

การถอดรหัส ให้นำ 11 มานับตามเข็มนาฬิกา 5 ครั้ง -- จาก 11 นับ 12, 1, 2, 3, 4

ก็จะได้เลข 4 กลับมาเหมือนเดิม ซึ่งคีย์ในที่นี้คือ 7 และ 5 นั่นเอง

มีความสัมพันธ์กันคือ 7+5 = 12 ตามจำนวนตัวเลขในนาฬิกา

เขียนแบบคณิตศาสตร์ : plain text = 4

เข้ารหัสเลข4 ด้วยคีย์ตัวแรกคือ 7 ได้แก่ 4+7 mod 12 = 11

คำนวณคีย์ตัวที่สอง คือ 12 - 7 = 5

ถอดรหัสเลข11 ด้วยคีย์ตัวที่สองคือ 5 ได้แก่ 11+5 mod 12 = 4

32

asymmetric key algorithms1
อัลกอริทึมแบบอสมมาตร (Asymmetric key algorithms)

เข้ารหัสลับ

Public Key

ข้อความที่เข้ารหัสแล้ว

(Cipher text)

ข้อความเดิม

ก่อนการเข้ารหัส

Internet

ถอดรหัสด้วยคีย์

Private Key

ข้อความที่เข้ารหัสแล้ว

(Cipher text)

ข้อความเดิม

หลังการถอดรหัส

34

slide35
ความแข็งแกร่งของอัลกอริทึมสำหรับการเข้ารหัสความแข็งแกร่งของอัลกอริทึมสำหรับการเข้ารหัส

หมายถึงความยากในการที่ผู้บุกรุกจะสามารถถอดรหัสข้อมูลได้โดยปราศจากกุญแจที่ใช้ในการเข้ารหัส ซึ่งจะขึ้นอยู่กับปัจจัยต่างๆ เช่น

  • การเก็บกุญแจเข้ารหัสไว้อย่างเป็นความลับ : ผู้เป็นเจ้าของกุญแจลับหรือส่วนตัวต้องระมัดระวังไม่ให้กุญแจสูญหายหรือล่วงรู้โดยผู้อื่น
  • ความยาวของกุญแจเข้ารหัส : ปกติกุญแจเข้ารหัสจะมีความยาวเป็นบิต ยิ่งจำนวนบิตของกุญแจยิ่งมาก ยิ่งทำให้การเดาเพื่อสุ่มหากุญแจที่ถูกต้องเป็นไปได้ยากยิ่งขึ้น
  • ความไม่เกรงกลัวต่อการศึกษาหรือดูอัลกอริทึมเพื่อหารูปแบบของการเข้ารหัส : อัลกอริทึมที่ดีต้องเปิดให้ผู้รู้ทำการศึกษาในรายละเอียดได้

35

slide36
คำแนะนำในการเลือกใช้อัลกอริทึมคำแนะนำในการเลือกใช้อัลกอริทึม
  • คือให้ใช้อัลกอริทึมที่ได้มีการใช้งานมาเป็นระยะเวลานานแล้ว ทั้งนี้เนื่องจากหากปัญหาของอัลกอริทึมนี้มีจริง ก็คงเกิดขึ้นมานานแล้วและก็คงเป็นที่ทราบกันแล้ว นั่นคืออย่างน้อยที่สุดจวบจนกระทั่งถึงปัจจุบัน ก็ยังไม่มีการบุกรุกที่ทำให้อัลกอริทึมนั้นไม่สามารถใช้งานได้อย่างปลอดภัยเป็นที่ประจักษ์ ดังนั้นจึงไม่ควรใช้อัลกอริทึมใหม่ๆ ที่เพิ่งได้มีการนำเสนอกันสู่สาธารณะ เพราะอาจมีช่องโหว่แฝงอยู่และยังไม่เป็นที่ทราบในขณะนี้

36

slide37
ความยาวของกุญแจที่ใช้ในการเข้ารหัสความยาวของกุญแจที่ใช้ในการเข้ารหัส
  • ความยาวของกุญแจเข้ารหัสมีหน่วยนับเป็นบิต
  • เมื่อเพิ่มความยาวของกุญแจทุกๆ 1 บิต ค่าที่เป็นไปได้ของกุญแจจะเพิ่มขึ้นเป็นสองเท่าตัว หรือจำนวนกุญแจที่เป็นไปได้จะเพิ่มขึ้นเป็น 2 เท่าตัวนั่นเอง (1bit=0,1)
  • ฉะนั้นจะเห็นได้ว่ากุญแจยิ่งมีความยาวมาก โอกาสที่ผู้บุกรุกจะสามารถคาดเดากุญแจที่ตรงกับหมายเลขที่ถูกต้องของกุญแจจะยิ่งยากมากขึ้นตามลำดับ
  • ทฤษฎีได้กล่าวไว้ว่าการลองผิดลองถูกนี้โดยเฉลี่ยจะต้องทดลองกับกุญแจเป็นจำนวนครึ่งหนึ่งของกุญแจทั้งหมดก่อนที่จะพบกุญแจที่ถูกต้อง
  • ความยาวของกุญแจที่มีขนาดเหมาะสมจึงขึ้นอยู่กับความเร็วในการค้นหากุญแจของผู้บุกรุกและระยะเวลาที่ต้องการให้ข้อมูลมีความปลอดภัย

37

slide38
ความยาวของกุญแจที่ใช้ในการเข้ารหัสความยาวของกุญแจที่ใช้ในการเข้ารหัส
  • ตัวอย่างเช่น
    • ถ้าผู้บุกรุกสามารถลองผิดลองถูกกับกุญแจเป็นจำนวน 10 กุญแจภายในหนึ่งวินาทีแล้ว กุญแจที่มีความยาว 40 บิต จะสามารถป้องกันข้อมูลไว้ได้ 3,484 ปี
    • ถ้าผู้บุกรุกสามารถลองได้เป็นจำนวน 1 ล้านกุญแจในหนึ่งวินาที (เทคโนโลยีปัจจุบันสามารถทำได้) กุญแจที่มีความยาว 40 บิตจะสามารถป้องกันข้อมูลไว้ได้เพียง 13 วันเท่านั้น (ซึ่งอาจไม่เพียงพอสำหรับในบางลักษณะงาน)
    • ด้วยเทคโนโลยีในปัจจุบันหากผู้บุกรุกสามารถทดลองได้เป็นจำนวน 1,000 ล้านกุญแจในหนึ่งวินาที กุญแจขนาด 128 บิตจะสามารถป้องกันข้อมูลไว้ได้ 1022 ปี
    • ดังนั้นด้วยลักษณะงานทั่วไปกุญแจขนาด 128 บิตจะพอเพียงต่อการรักษาความลับของข้อมูลเอาไว้ได้

38

digital signature
ลายมือชื่อดิจิตอล(Digital Signature)
  • ลายมือชื่อจะเป็นสิ่งที่ใช้ในการระบุตัวบุคคล (Authentication) และ ยังแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้นๆ ซึ่งเชื่อมโยงถึง การป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation)
  • สำหรับในการทำธุรกรรมทางอิเล็กทรอนิกส์นั้นจะใช้ ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆ เช่น สิ่งที่ระบุตัวบุคคลทางชีวภาพ (ลายพิมพ์นิ้วมือ เสียง ม่านตา เป็นต้น) หรือ จะเป็นสิ่งที่มอบให้แก่บุคคลนั้นๆ ในรูปแบบของ รหัสประจำตัว

39

slide40

ข้อมูล

อิเล็กทรอนิกส์

+

ลายมือชื่อ

อิเล็กทรอนิกส์

อักษร, อักขระ, ตัวเลข,

เสียง, สัญลักษณ์

ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signatures)

ข้อมูล

อิเล็กทรอนิกส์

+

5F8E045AB7F8DFE12BCF6D78GAC9054DEF5E6G8E2AE67DE9F5A6543

ลายมือชื่อดิจิตอล (Digital Signatures)

ชุดรหัสดิจิตอล

ลายมือชื่อดิจิตอล (Digital Signatures, Digital IDs, Digital Certificates)

เป็นลายมือชื่ออิเล็กทรอนิกส์ประเภทหนึ่งที่สร้างโดยวิธีการแบบปลอดภัย

40

slide41

e-mail

ตัวอย่าง : ลายมือชื่ออิเล็กทรอนิกส์

e-mail

41

digital signature1
ลายมือชื่อดิจิตอล(Digital Signature)
  • ลายมือชื่อดิจิตอล (Digital Signature) คือ ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของผู้ส่งซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิตอล นอกจากจะสามารถ ระบุตัวบุคคล และ เป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้

42

e mail client
ตัวอย่าง : ลายมือชื่อดิจิตอลเมื่อดูจาก e-mail Client

43

slide44
กระบวนการสร้างและลงลายมือชื่อดิจิตอลกระบวนการสร้างและลงลายมือชื่อดิจิตอล
  • เริ่มจากการนำเอาข้อมูลอิเล็กทรอนิกส์ต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆ ที่เรียกว่า ข้อมูลที่ย่อยแล้ว (Digest)
  • ทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเอง ซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนตัวของผู้ส่งเอง และ จะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่า ลายมือชื่อดิจิตอล
  • จากนั้นก็ทำการส่ง ลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับ ไปยังผู้รับ ผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยการนำข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล จะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง และ
  • นำลายมือชื่อดิจิตอล มาทำการถอดรหัสด้วย กุญแจสาธารณะของผู้ส่ง ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง แล้วทำการเปรียบเทียบ ข้อมูลที่ย่อยแล้วทั้งสองอัน ถ้าหากว่าเหมือนกัน ก็แสดงว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไข แต่ถ้าข้อมูลที่ย่อยแล้ว แตกต่างกัน ก็แสดงว่า ข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง

44

digital signature2
การพิสูจน์ตัวตนโดยการใช้ลายเซ็นดิจิตอล (Digital Signature)
  • เป็นการนำหลักการของการทำงานของระบบการเข้ารหัสแบบใช้คู่รหัสกุญแจเพื่อการพิสูจน์ตัวตนมาประยุกต์ใช้ ระบบของลายเซ็นดิจิตอลสามารถแบ่งเป็นขั้นตอนได้ดังนี้
  • เมื่อผู้ใช้ต้องการจะส่งข้อมูลไปยังผู้รับ ข้อมูลนั้นจะถูกนำไปเข้าฟังก์ชั่นทาง
  • คณิตศาสตร์ที่เรียกว่า "แฮชฟังก์ชัน" ได้เมสเซสไดเจสต์ (Message Digest) ออกมา

45

digital signature3
การพิสูจน์ตัวตนโดยการใช้ลายเซ็นดิจิตอล (Digital Signature)

2. การใช้กุญแจส่วนตัวเข้ารหัสข้อมูล หมายถึงว่าผู้ส่งได้ลงลายเซ็นดิจิตอล ยินยอมที่

จะให้ผู้รับ สามารถทำการตรวจสอบด้วยกุญแจสาธารณะของผู้ส่งเพื่อพิสูจน์ตัวตน

ของผู้ส่งได้

46

digital signature4
การพิสูจน์ตัวตนโดยการใช้ลายเซ็นดิจิตอล (Digital Signature)

3. การนำเมสเซจไดเจสต์มาเปรียบเทียบกัน ถ้าเหมือนกันก็แสดงว่าข้อความนั้น

ยืนยันได้ว่าถูกส่งมาจากผู้ส่งคนนั้นจริง

47

slide48

ผู้ส่ง (นายดี)

ผู้รับ (นายมาก)

ลายมือชื่ออิเล็กทรอนิกส์ของนายดีสำหรับข้อมูล

ข้อความต้นฉบับ ก.

ข้อมูลต้นฉบับ ก.

…จำนวนเงิน800 บาท...

…จำนวนเงิน800 บาท

ส่ง

OpMAFOP

กุญแจสาธารณะของผู้ส่ง(นายดี)

256148934147256...

ฟังก์ชั่นย่อยข้อมูล

ฟังก์ชั่นย่อยข้อมูล

การถอดรหัส

ไ ฉ ” ฅ ข7

กุญแจส่วนตัว ของผู้ส่ง (นายดี)

ไ ฉ ” ฅ ข7

ไ ฉ ” ฅ ข7

123451457824784…

การเข้ารหัส

เปรียบเทียบ

ลายมือชื่ออิเล็กทรอนิกส์ของ นายดีสำหรับข้อมูล

ถ้าเหมือนกัน ข้อมูลไม่ถูกเปลี่ยนแปลง

ถ้าต่างกัน ข้อมูลถูกเปลี่ยนแปลง

OpMAFOP

48

e mail signing
ตัวอย่าง : การส่ง E-mail พร้อมลงลายมือชื่อดิจิตอล (Signing)

49

slide50
การสร้างและลงลายมือชื่อดิจิตอลการสร้างและลงลายมือชื่อดิจิตอล
  • ด้วยการเข้ารหัส และ ลายมือชื่อดิจิตอล ในการทำธุรกรรม เราสามารถ รักษาความลับของข้อมูล สามารถรักษาความถูกต้องของข้อมูลและ สามารถระบุตัวบุคคลได้ระดับหนึ่ง
  • เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วย ใบรับรองดิจิตอล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่าองค์กรรับรองความถูกต้อง (Certification Authority) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆ จริงตามที่ได้อ้างไว้

50

digital certificate
ใบรับรองดิจิตอล (Digital Certificate)
  • สำหรับรายละเอียดในใบรับรองดิจิตอลทั่วไปมีดังต่อไปนี้
    • ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
    • ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออกใบรับรอง หมายเลขประจำตัวของผู้ออกใบรับรอง
    • กุญแจสาธารณะของผู้ที่ได้รับการรับรอง
    • วันหมดอายุของใบรับรองดิจิตอล
    • ระดับชั้นของใบรับรองดิจิตอล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด
    • หมายเลขประจำตัวของใบรับรองดิจิตอล

51

slide52
ประเภทของใบรับรองดิจิตอลประเภทของใบรับรองดิจิตอล

ประเภทของใบรับรองดิจิตอล โดยทั่วไป แบ่ง ได้ ดังนี้

  • ใบรับรองดิจิตอลสำหรับบุคคล (Digital ID)
    • ออกให้กับบุคคลทั่วไป
    • ยีนยันตัวตนของผู้ถือครองใบรับรองฯบนอินเทอร์เน็ต
  • ใบรับรองดิจิตอลสำหรับ Web Server ( SSL)
    • ออกให้กับเว็บไซต์
    • ยีนยันว่าเว็บไซต์นั้นเปิดดำเนินการโดยบริษัทที่จดทะเบียนถูกต้องหรือโดยบุคคลที่มีตัวตนอยู่จริง

52

3 trusted t hird party

CA (Certification

Authority)

Trust Anchor

Trust

Trust

Third-party Trust

น.ส. หญิง

นาย ชาย

การเชื่อถือผ่านบุคคลที่ 3 (Trusted Third Party)

55

certification authority ca
ผู้ให้บริการออกใบรับรอง (Certification Authority : CA)
  • บทบาทหน้าที่หลักขององค์กรรับรองความถูกต้อง ได้แก่ การให้บริการเทคโนโลยีการเข้ารหัส ได้แก่ การสร้างกุญแจสาธารณะ และ กุญแจลับสำหรับผู้จดทะเบียน การส่งมอบกุญแจลับ การสร้าง และการรับรองลายมือชื่อดิจิตอล เป็นต้น
  • การให้บริการเกี่ยวกับการออกใบรับรอง ได้แก่ การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิตอล รวมทั้งการกำหนดนโยบายการออกและอนุมัติใบรับรอง เป็นต้น
  • บริการเสริมอื่นๆ ได้แก่ การตรวจสอบสัญญาต่างๆ การทำทะเบียน การกู้กุญแจ เป็นต้น
  • สำหรับในประเทศไทยนั้นยังไม่มีองค์กรรับรองความถูกต้อง แต่เริ่มมีการเคลื่อนไหวที่เกี่ยวเนื่องบ้างแล้ว ทั้งในภาครัฐ และ เอกชน เช่น NECTEC (www.nectec.or.th), Thai Digital ID (www.thaidigitalid.com), และ ACERTS (www.acerts.com) เทคโนโลยีการรักษาความปลอดภัยของข้อมูลในการทำธุรกรรมอิเล็กทรอนิกส์นั้น
  • ในปัจจุบันนี้โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure) เป็นที่ยอมรับอย่างกว้างขวางซึ่งสามารถตอบสนองมาตรการพื้นฐานของการรักษาความปลอดภัย

56

slide57
เทคโนโลยี และ มาตรการการรักษาความปลอดภัยของข้อมูล

57

slide58
ขั้นตอนการขอออกใบรับรองดิจิตอลขั้นตอนการขอออกใบรับรองดิจิตอล

ชื่อ ที่อยู่ e-mail สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ฯลฯ

ผู้ขอใช้บริการ

ยื่นคำขอ

ผู้ประกอบการ

ออกใบรับรอง

58

slide59
ขั้นตอนการขอออกใบรับรองดิจิตอลขั้นตอนการขอออกใบรับรองดิจิตอล
  • สมัครขอใช้บริการกับผู้ออกใบรับรอง (CA) ผ่านทางหน่วยงานรับลงทะเบียนของผู้ออกใบรับรอง (Registration Authority : RA)
  • RA ตรวจสอบสถานะของผู้สมัครว่าเป็นผู้สมัครที่แท้จริง (ตรวจสอบเอกสารที่กำหนด โดยผู้สมัครอาจต้องเดินทางมายืนยันตัวตนต่อหน้า RA ขึ้นอยู่กับประเภทของใบรับรอง)
  • ชำระค่าบริการ
  • RA ออกใบรับรองดิจิตอลและผู้ขอใบรับรองเข้าไปหยิบใบรับรองดิจิตอลและกุญแจคู่ด้วยตนเองผ่านทางเว็บไซต์ของ CA แล้วเก็บไว้ในเครื่องคอมพิวเตอร์, แผ่น Diskette, Smart Card, USB Token ฯลฯ
  • ผู้ขอใบรับรองนำใบรับรองและกุญแจคู่ไปใช้ในการทำธุรกรรมกับผู้อื่น

59

slide61
มาตรฐานของระบบความปลอดภัยในอินเทอร์เน็ตมาตรฐานของระบบความปลอดภัยในอินเทอร์เน็ต

ในการทำพาณิชย์อิเล็กทรอนิกส์ หรือการทำธุรกรรมต่างๆผ่านอินเทอร์เน็ตนั้นสิ่ง

สำคัญที่จะขาดเสียไม่ได้เลย ได้แก่ระบบรักษาความปลอดภัยที่ดีในเว็บไซต์นั้นๆ ซึ่ง

ในปัจจุบันมี อยู่ 2 แบบที่ใช้กันคือ

- SSL (Secure Sockets Layer)

- SET (Secure Electronic Transaction)

SSL นั้นจะใช้เพื่อเข้ารหัส (encrypt) ข้อมูลตัวมันเองนั้น ใช้เพียงแค่การตรวจสอบหรือยืนยันได้เฉพาะฝั่งผู้ขายเท่านั้น ว่ามีตัวตนจริงไม่สามารถยืนยันตัวผู้ซื้อได้

61

ssl secure sockets layer
SSL (Secure Sockets Layer)
  • การทำงานจะเริ่มจาก ผู้ใช้งานเริ่มกระบวนการติดต่อ ไปยังเว็บเซิร์ฟเวอร์ที่มีระบบ SSL หลังจากนั้นเซิร์ฟเวอร์จะส่งใบรับรอง (Server Certificate) กลับมาพร้อมกับเข้ารหัส ด้วยกุญแจสาธารณะ (Public Key) ของเซิร์ฟเวอร์

62

ssl secure sockets layer1
SSL (Secure Sockets Layer)
  • ขั้นตอนต่อมาคอมพิวเตอร์ฝั่งผู้รับจะทำการตรวจสอบใบรับรองนั้นอีกทีเพื่อตรวจสอบตัวตนของฝั่งผู้ค้าหลังจากนั้นจะทำการสร้างกุญแจสมมาตร (Symmetric Key) โดยการสุ่มและทำการเข้ารหัสกุญแจสมมาตรด้วยกุญแจสาธารณะของเซิร์ฟเวอร์ที่ได้รับมา เพื่อส่งกลับไปยังเซิร์ฟเวอร์

63

ssl secure sockets layer2
SSL (Secure Sockets Layer)
  • เมื่อเซิร์ฟเวอร์ได้รับแล้วก็จะทำการถอดรหัสด้วยกุญแจส่วนตัว (Private Key) ก็จะได้กุญแจสมมาตรของลูกค้ามาไว้ใช้ในการติดต่อสื่อสาร หลังจากนั้นในการติดต่อสื่อสารกันก็ใช้การเข้ารหัสติดต่อสื่อสารกันได้อย่างปลอดภัย

64

set secure electronic transaction
SET (Secure Electronic Transaction)
  • Secure Electronic Transaction (SET) เป็นระบบสำหรับทำให้มั่นใจ ถึงความปลอดภัยของทรานแซคชันทางการเงินบนอินเตอร์เน็ต ซึ่งได้รับการสนับสนุนเริ่มต้นโดย MasterCard, Visa, Microsoft, Netscape และ อื่น ๆ
  • SET ผู้ใช้จะได้รับ electronic wallet และทรานแซคชันที่นำและตรวจสอบโดยการใช้ส่วนประกอบของ digital certificate และ digital signature ในระหว่างผู้ซื้อ ผู้ขาย และ ธนาคารของผู้ซื้อ ในวิธีที่ทำให้มั่นใจว่า มีความเป็นส่วนบุคคลและมั่นใจได้ SET ใช้ Netscape Secure Socket Layer (SSL), Microsoft Secure Transaction Technology (STT) และ Terisa System Secure Hypertext Transfer Protocol (S-HTTP)
  • SET ใช้บางส่วน แต่ไม่ใช่รูปแบบทั้งหมดของ public key infrastructure

65

slide66
การทำงานของ SET
  • สมมุติให้ลูกค้ามี browser ที่ใช้ SET ได้ เช่น Netscape หรือ Microsoft Internet Explorer และ ผู้ให้ทรานแซคชัน (ธนาคาร , ร้านค้า) มี Set-enable server         

1. ลูกค้าเปิดบัญชี MasterCard หรือ Visa          2. ลูกค้าได้รับ digital certificate ไฟล์อีเลคโทรนิคส์ทำงานเหมือนบัตรเครดิตสำหรับการซื้อสินค้า online หรือทรานแซคชันอื่น ซึ่งจะรวม key สาธารณะซึ่งมีวันหมดอายุ และมี digital switch โดยธนาคารรับประกันการใช้งาน          3. ผู้ขายสินค้าฝ่ายที่ 3 จะได้รับ certificate จากธนาคาร certificate มี key สาธารณะของผู้ขายสินค้าและธนาคาร          4. ลูกค้าวางใบสั่งซื้อผ่านเว็บเพจ          5. browser ของลูกค้า ได้รับและการยืนยันจาก certificate ของผู้ขายสินค้าว่าถูกต้องตามกฎหมาย

66

slide67
การทำงานของ SET (ต่อ)

6. browser ส่งสารสนเทศของใบสั่งของ ข่าวสารนี้จะ encrypt ด้วย key สาธารณะของผู้ขาย รายละเอียดการชำระเงิน จะ encrypt ด้วย key สาธารณะของธนาคาร (ผู้ขายสินค้าไม่สามารถอ่านได้) และสารสนเทศที่ประกันการจ่าย สามารถใช้เฉพาะใบสั่งซื้อนี้          7. ผู้ขายตรวจสอบลูกค้าโดยการตรวจสอบ digital signature บน customer's certificate อาจจะทำโดยการอ้างถึง certificate ไปที่ธนาคาร หรือฝ่ายที่ 3 (third-party) ตรวจสอบเอง          8. ผู้ขายส่งข่าวสารของใบสั่งซื้อไปที่ธนาคาร รวมถึง key สาธารณะของธนาคาร สารสนเทศการชำระเงินของลูกค้า และ certificate ของผู้ขายสินค้า          9. ธนาคารตรวจสอบผู้ขายและข่าวสาร ธนาคารใช้ digital signature บน certificate กับข่าวสารและตรวจสอบส่วนการชำระเงิน          10. ธนาคาร digitally sign และส่งอำนาจให้กับผู้ขายสินค้า

67

firewall
Firewall
  • Firewall คือ ฮาร์ดแวร์และซอฟต์แวร์ที่องค์กรต่างๆ มีไว้เพื่อป้องกันเครือข่ายคอมพิวเตอร์ภายในของตนจากอันตรายที่มาจากเครือข่ายคอมพิวเตอร์ภายนอก เช่น ผู้บุกรุก หรือ Hacker
  • Firewall จะอนุญาตให้เฉพาะข้อมูลที่มีคุณลักษณะตรงกับเงื่อนไขที่กำหนดไว้ผ่านเข้าออกระบบเครือข่ายภายในเท่านั้น อย่างไรก็ดี Firewall นั้นไม่สามารถป้องกันอันตรายที่มาจากอินเทอร์เน็ตได้ทุกรูปแบบ ไวรัสก็เป็นหนึ่งในนั้น ดังนั้นจึงไม่สามารถรับรองได้ว่าความปลอดภัยหรือความลับของข้อมูลจะมีอยู่ร้อยเปอร์เซ็นต์ถึงแม้ว่าจะมีการใช้ Firewall แล้วก็ตาม

68

slide69
ซอฟต์แวร์ป้องกันไวรัสซอฟต์แวร์ป้องกันไวรัส

ซอฟต์แวร์ป้องกันไวรัสเป็นสิ่งที่จะขาดไม่ได้เลยสำหรับระบบป้องกันเว็บไซต์และ

คอมพิวเตอร์ทุกระบบ หน้าที่ของซอฟต์แวร์ประเภทนี้คือการทำลายไวรัส ซึ่งทำได้

เฉพาะไวรัสที่ตรวจพบในเครื่องคอมพิวเตอร์เท่านั้น อีกนัยหนึ่งก็คือซอฟต์แวร์

ประเภทนี้ไม่สามารถป้องกันไวรัสไม่ให้เข้าสู่เครื่องคอมพิวเตอร์ได้ ดังนั้นไม่ว่าจะซื้อ

ซอฟต์แวร์นี้จากบริษัทใดก็ตาม ประสิทธิภาพสูงสุดจะมีอยู่เพียงชั่วระยะเวลาหนึ่ง

เท่านั้น เมื่อมีไวรัสตัวใหม่เกิดขึ้น ซอฟต์แวร์เดิมที่มีอยู่ก็ไม่สามารถตรวจพบและ

ทำลายได้ ดังนั้นการปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอจึงเป็นสิ่งสำคัญที่สุด

ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียงและเป็นที่นิยมในอันดับต้นๆ ของโลกได้แก่

Norton Antivirus ของ Symantec (http://www.symantec.com) และ McAfee ของ Network Associates, Inc. (http://www.macafee.com)

69

slide70
จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไรจะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

1.ชื่อเสียงของเว็บไซต์

- เว็บไซต์ที่มีชื่อเสียง ไม่ว่าจะทำอะไร ย่อมต้องคำนึงถึงภาพพจน์ของตนเองอยู่

เสมอ การสังเกตชื่อเสียงของเว็บไซต์ดูได้จากความนิยมของเว็บไซต์ ระยะเวลาที่เปิด

ดำเนินการมา หรือจากบริษัทที่เป็นเจ้าของเว็บไซต์นั้นว่าเป็นอย่างไร

- รายละเอียดประเภทนี้ สามารถหาดูได้บนเว็บไซต์นั้นเอง ภายใต้หัวข้อที่เกี่ยวกับ

ประวัติของเว็บไซต์ เช่น About Us หรือ Company Profile หรือในหัวข้อเกี่ยวกับ

ความปลอดภัยอื่นๆ เช่น Term of Use, Security Information และ Privacy Policy

- สำหรับเว็บไซต์พาณิชย์อิเล็กทรอนิกส์ อย่างไรก็ดี หากไม่พบรายละเอียดดังกล่าว

ผู้บริโภคควรสอบถามไปยังเว็บไซต์โดยตรงได้ด้วยอีเมล์ หรือ โทรศัพท์ก่อนจะตัดสินใจใดๆ

70

slide71
จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไรจะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

2.เว็บไซต์จะต้องสนับสนุนระบบ SSL (Secure Socket Layer) - ในระหว่างการเลือกชมสินค้าบนเว็บไซต์อยู่นั้น การสังเกตว่าเว็บไซต์นั้น

สนับสนุนระบบ SSL หรือไม่ สังเกตได้จาก 2 จุดบนบราวเซอร์

- แห่งแรกคือ URL ปกติการเข้าถึงเว็บไซต์ใดๆ นั้นจะมี URL ที่เป็น HTTP (Hypertext Transmission Protocol) เป็นมาตรฐาน แต่หากว่ากำลังเข้าสู่โหมด(Mode) รักษาความปลอดภัยของ SSL URL จะเปลี่ยนเป็น HTTPS (Hyper Text Transmission Protocol, Secure)

- ส่วนอีกแห่งหนึ่งก็คือที่ Title Bar ด้านล่าง ในระบบ SSL จะมีรูปแม่กุญแจสีเหลืองปรากฏอยู่ด้านซ้ายมือ สำหรับ Internet Explorer ส่วน Netscape Communicator จะเป็นรูปกุญแจที่สมบูรณ์ (ไม่แตกหัก) สีเหลืองปรากฏอยู่ที่ด้านขวามือ

71

slide72
จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไรจะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

3.เว็บไซต์ควรจะได้รับการรับรองเรื่องความปลอดภัย- อีกปัจจัยหนึ่งที่สามารถเสริมสร้างความมั่นใจในตัวเว็บไซต์ให้กับผู้บริโภคได้

คือการได้รับการรับรองเรื่องความปลอดภัยจากองค์กรผู้ให้บริการด้านความปลอดภัย

ที่มีชื่อเสียง ก่อนที่จะตัดสินใจซื้อสินค้าจากเว็บไซต์ใด ผู้บริโภคควรมองหาสัญลักษณ์

ขององค์กรนั้นๆ เสียก่อน เช่น เครื่องหมาย Verisign’s Secure Site ซึ่งจะพบได้ตาม

เว็บไซต์พาณิชย์อิเล็กทรอนิกส์ชั้นนำต่างๆ อย่างไรก็ดีหากไม่มีสัญลักษณ์ประเภท

ดังกล่าวปรากฏอยู่ เราอาจทำการสอบถามไปทางเว็บไซต์โดยตรงเลยก็ได้

72

slide73
จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไรจะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

4.นโยบายส่งเสริมความมั่นใจหลังการขาย- โดยทั่วไปแล้วเว็บไซต์ที่ดี เชื่อถือได้ จะต้องระบุนโยบายหลังการขายอย่างละเอียดไว้บนเว็บไซต์เพื่อให้ลูกค้าทราบ นโยบายหลังการขายที่สำคัญได้แก่

- นโยบายตรวจสอบข้อมูลสินค้าที่สั่งซื้อ

- นโยบายคืนสินค้าและคืนเงินที่ชำระไปแล้ว

- บางเว็บไซต์ยังมีการแสดงข้อมูลเกี่ยวกับการตรวจดูสถานะสินค้าที่อยู่ในระหว่างการจัดส่งด้วยว่าอยู่ ณ ที่ใด ซึ่งผู้บริโภคที่สั่งซื้อสินค้าหรือบริการไว้ สามารถตรวจสอบข้อมูลดังกล่าวได้จากทางเว็บไซต์หรือโทรศัพท์ จนกว่าสินค้าจะถึงมือ

- ผู้บริโภคควรเลือกร้านที่มีตัวแทนหรือผู้จัดส่งภายในประเทศ เพื่อสะดวกในการติดต่อข้อมูลการจัดส่ง และเมื่อสินค้าที่ได้รับชำรุดหรือไม่ตรงกับที่สั่งไว้ ก็จะสามารถติดต่อเพื่อส่งคืนได้โดยง่าย

73

slide74
จะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไรจะสังเกตความปลอดภัยของเว็บไซต์ได้อย่างไร

4.นโยบายส่งเสริมความมั่นใจหลังการขาย (ต่อ)

- เงื่อนไขเรื่องการจัดส่งสินค้าคืน และการเรียกคืนเงินที่ชำระแล้วมักระบุวิธีการและระยะเวลาไว้อย่างชัดเจน ในกรณีที่ผู้บริโภคยังไม่ได้รับสินค้าหรือบริการตามสัญญาหรือสินค้าเสียหาย ไม่ถูกต้องตามที่สั่งซื้อไว้ ผู้ขายหรือร้านค้าหลายแห่งจะยินยอมรับผิดชอบค่าใช้จ่ายทั้งหมด เนื่องจากไม่ใช่ความผิดของผู้บริโภค ร้านค้าอาจเสนอให้เก็บเงินจำนวนนั้นไว้เพื่อสั่งซื้อสินค้าอื่นหรืออาจคืนเงินสดด้วยเช็ค หรือโอนเงินเข้าบัญชีของผู้บริโภคตามมูลค่าที่หักไป (ในกรณีที่ชำระด้วยบัตรเครดิต)

74