291351 Electronic Commerce

1. 291351 Electronic Commerce บทที่ 8 การรักษาความปลอดภัย สำหรับพาณิชย์อิเล็กทรอนิกส์ อ.ธารารัตน์ พวงสุวรรณ thararat@buu.ac.th

2. Outline • ภัยคุกคามต่อพาณิชย์อิเล็กทรอนิกส์ • มาตรการรักษาความปลอดภัยของข้อมูลสำหรับพาณิชย์อิเล็กทรอนิกส์ • เทคโนโลยีการรักษาความปลอดภัยของข้อมูล

3. ความปลอดภัยกับพาณิชย์อิเล็กทรอนิกส์ความปลอดภัยกับพาณิชย์อิเล็กทรอนิกส์ • ความปลอดภัยทางกายภาพ (Physical Security) • ความปลอดภัยของข้อมูล (Information Security) • สำหรับพาณิชย์อิเล็กทรอนิกส์จะเน้นถึงความปลอดภัยของข้อมูลเป็นหลัก • ประเด็นในเรื่องความปลอดภัยสำหรับพาณิชย์อิเล็กทรอนิกส์ เป็นอุปสรรคของการพัฒนาพาณิชย์อิเล็กทรอนิกส์

4. ผู้เจาะระบบรักษาความปลอดภัยผู้เจาะระบบรักษาความปลอดภัย ผู้เจาะระบบรักษาความปลอดภัยคือ บุคคลที่ไม่มีสิทธิ์ในการเข้าใช้ระบบคอมพิวเตอร์ ลักลอบทำการเจาะระบบด้วยวิธีใดวิธีหนึ่ง แบ่งเป็น 2 ประเภทหลัก ๆ ได้แก่ • Hacker • Cracker

5. ภัยคุกคามพาณิชย์อิเล็กทรอนิกส์ภัยคุกคามพาณิชย์อิเล็กทรอนิกส์ • การเข้าสู่เครือข่ายที่ไม่ได้รับอนุญาต (Unauthorized Access) • การทำลายข้อมูลและเครือข่าย • การเปลี่ยน การเพิ่ม หรือการดัดแปลงข้อมูล • การเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต • การทำให้ระบบบริการของเครือข่ายหยุดทำงาน (Denial of service) • การขโมยข้อมูล • การปฏิเสธการบริการที่ได้รับ และข้อมูลที่ได้รับหรือส่ง • การอ้างว่าได้ให้บริการทั้งๆ ที่ไม่ได้ทำ และหรือการอ้างว่าได้รับส่ง • ไวรัสที่แอบแฝงมากับผู้ที่เข้ามาใช้บริการ

6. มาตรการรักษาความปลอดภัยของข้อมูลสำหรับพาณิชย์อิเล็กทรอนิกส์มาตรการรักษาความปลอดภัยของข้อมูลสำหรับพาณิชย์อิเล็กทรอนิกส์ สิ่งที่องค์กร บริษัท ห้างร้าน และบุคคลทั่วไป ต้องพิจารณา ในการทำธุรกรรมอิเล็กทรอนิกส์อย่างปลอดภัย คือความต้องพื้นฐาน 5 ประการ1. Confidentiality 2. Access Control 3. Authentication 4. Data Integrity 5. Non-Repudiation

7. การรักษาความลับของข้อมูล (Confidentiality) • การรักษาความลับของข้อมูลที่เก็บไว้ หรือส่งผ่านทางเครือข่าย • โดยต้องป้องกันข้อมูลไม่ให้ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาต • เช่น การเข้ารหัส การใช้บาร์โค๊ด การใส่รหัสลับ(password)การใช้ Firewall เป็นต้น

8. การควบคุมการเข้าถึงข้อมูล(Access Control) คือ มาตรการควบคุมการเขาถึงข้อมูลหรือการระบุตัวบุคคลใหมีอํานาจหนาที่ในการเข้าถึงข้อมูลตามที่กำหนด เช่น การกําหนดสิทธิ์การเข้าถึงข้อมูลต่างๆ ใน Web site

9. การควบคุมการเข้าถึงข้อมูล(Access Control) • ควบคุมการเข้าถึงทางกายภาพ (Physical Access Control) • ควบคุมการเข้าถึงทางตรรกะ (Logical Access Control)

10. การระบุหรือยืนยันตัวบุคคล(Authentication)การระบุหรือยืนยันตัวบุคคล(Authentication) คือการระบุตัวบุคคลที่ติดตอวาเป็นบุคคลตามที่ไดกลาวอ้างไว้จริง โดยอาจดูจากข้อมูลบางสิ่งบางอยางที่ใช้ยืนยันหรือระบุตัวตนของบุคคลนั้น เช่น ลายมือชื่อดิจิตอล (Digital Signature), รหัสผาน หรือดูจากลักษณะเฉพาะ/ลักษณะทางกายภาพของบุคคลนั้น

11. กลไกของการพิสูจน์ตัวตน (Authentication mechanisms)

12. การรักษาความถูกต้องของข้อมูล (Data Integrity) Key Hash Function Hash Code คือ การรักษาข้อมูลที่ส่งจากผู้สงให้เหมือนเดิม และถูกต้องทุกประการเมื่อไปถึงยังผู้รับ รวมถึง การป้องกันไมให้ข้อมูลถูกแก้ไขโดยตรวจสอบไมได้ ซึ่งเทคนิคที่นิยมนำมาประยุกต์ใช้ในการรักษาความถูกต้องของข้อมูลคือ “Hashing” Hashing :

13. การป้องกันการปฏิเสธความรับผิดชอบ(Non-Repudiation)การป้องกันการปฏิเสธความรับผิดชอบ(Non-Repudiation) คือการป้องกันการปฏิเสธวาไมไดมีการรับหรือสงขอมูลจากฝายต่างๆที่เกี่ยวของ และการปองกันการอ้างที่เป็นเท็จวาไดรับหรือส่งข้อมูล ใช้เทคนิค Digital Signature, การรับรองการให้บริการ หรือ การแจ้งให้ลูกค้าทราบถึงขอบเขตของการรับผิดชอบที่มีต่อสินค้า หรือระหว่างการซื้อขาย ไว้บนเว็บไซต์

14. เทคโนโลยีการรักษาความปลอดภัยของข้อมูลเทคโนโลยีการรักษาความปลอดภัยของข้อมูล • การเข้ารหัส (Encryption) - Symmetric encryption (กุญแจเหมือนกัน) - Asymmetric encryption (กุญแจต่างกัน) • Secure Socket Layer (SSL) • Secure Electronic Transaction (SET) • ลายเซ็นต์ดิจิตอล (Digital Signature) • เทคโนโลยี CAPTCHA

15. การเข้ารหัส (Cryptography) Cryptoที่แปลว่า "การซ่อน" Graph ที่แปลว่า "การเขียน" • Cryptography มีความหมายว่า “การเขียนเพื่อซ่อนข้อมูล” • โดยมีจุดประสงค์เพื่อป้องกันไม่ให้ผู้อื่นสามารถอ่านข้อมูลได้ • ยกเว้นผู้ที่เราต้องการให้อ่านได้เท่านั้น • ซึ่งผู้ที่เราต้องการให้อ่านได้จะต้องทราบวิธีการถอดรหัสข้อมูลที่ซ่อนไว้ได้

16. ศัพท์ต่างๆที่ควรทราบเกี่ยวกับการเข้าและถอดรหัสศัพท์ต่างๆที่ควรทราบเกี่ยวกับการเข้าและถอดรหัส • Plain Text • Cipher Text • Algorithm • Encryption • Decryption • Key • Cryptography

17. การเข้ารหัส (Cryptography) • การทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) • ทำให้ข้อมูลนั้นเป็นความลับ • ผู้มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) • ใช้สมการทางคณิตศาสตร์ • ใช้กุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กำหนดไว้ (มีความยาวเป็นบิต)

18. การเข้ารหัส (Encryption) • ประกอบด้วยฝ่ายผู้รับ และฝ่ายผู้ส่ง • ตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับให้เป็นข้อความอ่านไม่รู้เรื่อง (cipher text)

19. การเข้ารหัส (Encryption) มีด้วยกัน 2 ลักษณะ คือ การเข้ารหัสแบบสมมาตร (Symmetric Encryption) วิธีนี้ทั้งผู้รับและผู้ส่งข้อมูลจะทราบ Key ที่เหมือนกัน ใช้ Key เดียวกันในการรับ-ส่งข้อมูล

20. Secret key Secret key Plain text Plain text Cipher text Encryption Algorithm Decryption Algorithm Symmetric Encryption ผู้ส่ง ผู้รับ

22. Symmetric Encryption ข้อดี การเข้ารหัสข้อมูลทำได้รวดเร็วกว่าเมื่อเทียบกับวิธี AsymmetricEncryption ข้อจำกัด/ ข้อควรระวัง Confidentiality Authentication / Non-Repudiation

23. การเข้ารหัส (Encryption) (Asymmetric Key Cryptography หรือ Public Key Cryptography) ใช้แนวคิดของการมี Key เป็นคู่ ๆ โดยที่ Key แต่ละคู่จะสามารถเข้าและถอดรหัสของกันและกันได้เท่านั้น Key แรกจะถูกเก็บรักษาอยู่กับเจ้าของ Key เท่านั้น เรียกว่า Private key และคู่ของ Private key ที่เปิดเผยต่อสาธารณะหรือส่งต่อให้ผู้อื่นใช้ เรียกว่า Public key เน้นที่ผู้รับเป็นหลัก คือ จะใช้กุญแจสาธารณะของผู้รับซึ่งเป็นที่เปิดเผยในการเข้ารหัส และจะใช้กุญแจส่วนตัวของผู้รับในการถอดรหัส

25. Asymmetric Encryption ประโยชน์ของวิธีการเข้ารหัสแบบอสมมาตร มีดังนี้ • ใช้รักษาความลับของข้อความที่จะจัดส่งไปโดยใช้วิธีการเข้ารหัสด้วย Public-Key • ความเสี่ยงของการล่วงรู้ Private-Key จากผู้อื่นเป็นไปได้ยาก • แก้ปัญหาในส่วน Authenticate / Non-Repudiation

26. Asymmetric Encryption ข้อจำกัด/ ข้อควรระวัง สำหรับการเข้ารหัสแบบอสมมาตร มีดังนี้ • การเข้ารหัสข้อมูลทำได้ช้ากว่าเมื่อเทียบกับวิธี SymmetricEncryption

28. Secure Socket Layer (SSL) เป็นโปรโตคอลที่พัฒนาโดย Netscape เพื่อใช้ในการรักษาความปลอดภัยให้กับข้อมูลบน World Wide Web ใช้สำหรับตรวจสอบและเข้ารหัสข้อมูลในการติดต่อสื่อสารระหว่างเครื่องให้บริการ (Server) และเครื่องรับบริการ (Client) ใช้เทคนิค Cryptography และ ใบรับรองดิจิตอล (Digital Certificates) ผู้ซื้อสามารถตรวจสอบตัวตนของผู้ขายก่อนได้จากใบรับรองอิเล็กทรอนิกส์ที่ผู้ขายขอจาก CA แต่ส่วนใหญ่ผู้ขายไม่สามารถตรวจสอบตัวตนของผู้ซื้อได้เพราะผู้ซื้อไม่มีใบรับรองอิเล็กทรอนิกส์

29. ใบรับรองดิจิตอล Digital Certificate • ถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆจริง ตามที่ได้อ้างไว้ • ออกโดยองค์กรกลางที่เป็นที่เชื่อถือ เรียกว่า องค์กรรับรองความถูกต้อง (Certification Authority) • มีกุญแจสาธารณะเพื่อเข้ารหัสข้อมูลที่ส่งผ่านเว็บไซต์นั้น • ให้ความมั่นใจว่าติดต่อกับ web site นั้นจริง • ป้องกันการขโมยข้อมูลลูกค้าจากเว็บไซต์อื่น (spoofing)

30. Certification Authority :CA หรือ Certification Service Provider (CSP) • Certification Authority หรือผู้ออกใบรับรอง • ปัจจุบันนิยมเรียกว่า Certification Service Provider (CSP) หมายถึง บุคคลที่สาม ที่ได้รับความเชื่อถือและไว้วางใจจากบุคคลหรือองค์กรโดยทั่วไป • CA จะเป็นผู้ตรวจสอบสถานะและออกใบรับรองอิเล็กทรอนิกส์ให้แก่ผู้สมัครขอใบรับรองฯ • CA เป็นผู้รับรองความมีตัวตนของทั้งผู้ขายและผู้ซื้อ (หรือผู้ส่งและผู้รับ)

31. ประเภทของใบรับรองดิจิตอลประเภทของใบรับรองดิจิตอล • ประเภทของใบรับรองดิจิตอล โดยทั่วไป แบ่ง ได้ ดังนี้ 1. ใบรับรองสำหรับบุคคล 2. ใบรับรองสำหรับเครื่องแม่ข่าย

32. ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate) รายละเอียดของใบรับรองอิเล็กทรอนิกส์ ประกอบด้วย • ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่ • ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิทัลขององค์กรที่ออกใบรับรอง และหมายเลขประจำตัวของผู้ออกใบรับรอง • กุญแจสาธารณะของผู้ที่ได้รับการรับรอง • วันหมดอายุของใบรับรองอิเล็กทรอนิกส์ • ระดับชั้นของใบรับรองดิจิทัล ซึ่งมี 4 ระดับ ในระดับ4 เป็นระดับที่มีการตรวจสอบเข้มงวดที่สุด และต้องการข้อมูลมากที่สุด • หมายเลขประจำตัวของใบรับรองอิเล็กทรอนิกส์

33. คลิ๊กรูปกุญแจ เพื่อดู ใบรับรองอิเล็อทรอนิกส์ ใบรับรองอิเล็กทรอนิกส์ (ElectronicCertificate) ตัวอย่าง https เป็นการแสดงว่ามีระบบเข้ารหัสรักษาความปลอดภัย

34. ใบรับรองอิเล็กทรอนิกส์ (ElectronicCertificate) ตัวอย่าง

35. Digital Certificate Decrypt Private-Key Encrypt Public-Key Public-Key Symmetric-Key Symmetric-Key Symmetric-Key หลักการทำงานของ SSL(ต่อ) Request Check Certificate Symmetric-Key SSL Protocol

36. Secure Electronic Transaction : SET SET เป็นโปรโตคอลที่ทาง Visa และ Master card คิดค้นร่วมกับ Microsoft และ Netscape เพื่อตรวจสอบการชำระเงินด้วยบัตรเครดิตผ่านเครือข่ายอินเทอร์เน็ตและเครือข่ายต่าง ๆ ด้วยการสร้างรหัส SET ระดับ 128 bit ใช้ใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) ในการระบุตัวตนที่เกี่ยวข้องกับการซื้อขาย เช่น ผู้ถือบัตร ผู้ขาย ช่องทางการชำระเงิน และ Certificate Authorization (CA) สามารถตรวจสอบการมีสิทธ์ ของผู้เกี่ยวข้องด้วยการใช้ลายเซ็นต์ดิจิตอล (Digital Signature)

37. Secure Electronic Transaction : SET ข้อดีของการรักษาความปลอดภัยด้วย โปรโตคอล SET ความปลอดภัยของข้อความ (Message Privacy) ความสมบูรณ์ของข้อความ (Message Integrity) ความน่าเชื่อถือ ( Matual Authentication)

38. ลายเซ็นต์ดิจิตอล (Digital Signature) หมายถึง กลุ่มของตัวเลขกลุ่มหนึ่งซึ่งแสดงความมีตัวตนของบุคคลคนหนึ่ง (กลุ่มตัวเลขนี้จะมีเลขที่ไม่ซ้ำกับใครเลย) ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่วนตัว (Private key) ของผู้ส่ง เปรียบเสมือนลายมือชื่อของผู้ส่ง และถอดรหัสด้วยกุญแจสาธารณะของผู้ส่ง (Public key) เพื่อระบุตัวบุคคล จะใช้ในการแนบติดไปกับเอกสารใดๆ ก็ตามในรูปแบบของไฟล์ นอกจากจะสามารถระบุตัวบุคคล และเป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรือหากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได

39. ลายเซ็นต์ดิจิตอล (Digital Signature) การเข้ารหัสข้อความที่ยาวนั้นค่อนข้างเสียเวลา เนื่องจากขั้นตอนการเข้ารหัสต้องใช้การคำนวณเป็นอย่างมาก จึงมีการสร้างขั้นตอนที่คำนวณได้อย่างรวดเร็ว โดยเปลี่ยนข้อความทั้งหมดให้เหลือเพียงข้อความสั้นๆ เรียกว่า “Message Digest” เมื่อได้ Message Digest มาแล้วก็จะนำ Message Digest นี้ไปเข้ารหัสด้วย Private-Key เพื่อสร้างเป็นลายเซ็นต์ดิจิตอล (Digital Signature) ต่อไป

40. Message Digest ข้อมูล Digital Signature การสร้างลายเซ็นต์ดิจิตอล(Creating Digital Signature) Private-Key[ผู้ส่ง] Hash Function Encryption Algorithm • Authentication • Integrity • Non-repudiation

43. ข้อสังเกตุการสร้างและลงลายมือชื่อดิจิตอลข้อสังเกตุการสร้างและลงลายมือชื่อดิจิตอล • ลายมือชื่อดิจิทัลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร • กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้ กุญแจส่วนตัวของผู้ส่ง และ การถอดรหัสจะใช้ กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบกุญแจอสมมาตร ในการรักษาข้อมูลให้เป็นความลับ

44. เทคโนโลยี CAPTCHA • CAPTCHA ย่อมาจาก  "Completely Automated Public Turing test to tell Computers and  Humans Apart" • คือ การทดสอบเพื่อเข้าสู่ระบบคอมพิวเตอร์แบบโต้ตอบชนิดหนึ่ง เพื่อทดสอบว่าผู้ใช้งานเป็นมนุษย์จริงหรือว่าไม่ใช่ Bot  หรือ โปรแกรมอัตโนมัติ)   • คิดค้นขึ้นใน ปี ค.ศ. 2000  โดย  Luis onAhn , Manuel Blum, Nicholas J. Hopperและ  John Langford

45. เทคโนโลยี CAPTCHA • รูปแบบง่ายๆที่พบ คือ การนำตัวอักษรมาแปลงให้เป็นรูปภาพ แล้วถามผู้ใช้ว่าตัวอักษรในรูปภาพนั้นคืออะไร • เพราะปกติมนุษย์จะอ่านตัวอักษรจากรูปภาพได้โดยไม่รู้สึกว่าต่างอะไรกับ ข้อมูลตัวอักษร (text) ทั่วๆไป • แต่สำหรับคอมพิวเตอร์มันจะรู้แค่ว่านี่เป็นไฟล์ภาพเท่านั้น แต่ไม่รู้ว่าเป็นภาพอะไร

46. เทคโนโลยี CAPTCHA • ปัจจุบันมีคนพัฒนาโปรแกรมประเภท OCR เพื่อช่วยแปลงอักษรในภาพมาเป็นข้อมูลที่เป็นตัวอักษร (text) • ดังนั้นจึงมีการพยายามป้องกันโปรแกรม OCR ให้ทำงานยากขึ้น เช่น ทำให้ตัวอักษรบิดเบี้ยว หรือใส่สิ่งรบกวนลงไป เช่น เส้น จุด หรือรูปต่างๆ เป็นต้น ที่มา : http://oujidee.blogspot.com/2013/06/captcha.html http://hwan-wanwisa-ritsumret.blogspot.com/2013/06/apctcah.html