1 / 25

การพิสูจน์ตัวตน (Authentication)

การพิสูจน์ตัวตน (Authentication). อาจารย์ คร.มห ศักดิ์ เกตุฉ่ำ คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยพระจอมเกล้าพระนครเหนือ. การพิสูจน์ตัว จริง.

kenyon-hunt
Download Presentation

การพิสูจน์ตัวตน (Authentication)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การพิสูจน์ตัวตน (Authentication) อาจารย์ คร.มหศักดิ์ เกตุฉ่ำ คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยพระจอมเกล้าพระนครเหนือ

  2. การพิสูจน์ตัวจริง • เป็นขั้นตอนพื้นฐานที่สำคัญของการควบคุมความปลอดภัยในกระบวนการ โดยวิธีการพิสูจน์ตัวจริงจะนำหลักฐานของผู้ใช้งานมาตรวจสอบว่าบุคคลหรือผู้ใช้งานที่อ้างตัวนั้นเป็นใครและได้รับอนุญาตให้สามารถเข้ามาใช้ทรัพยากรภายในระบบได้หรือไม่ การพิสูจน์ตัวจริงมีหลายประเภทที่ใช้อยู่ในปัจจุบัน เช่น การพิสูจน์ตัวจริงโดยใช้รหัสผ่านลักษณะเฉพาะทางชีวภาพของแต่ละบุคคล หรือโดยใช้รหัสผ่านที่ใช้เพียงครั้งเดียว เป็นต้น แต่ละชนิดนั้นจะมีข้อดีข้อเสียแตกต่างกันไปขึ้นอยู่กับความจำเป็นในการใช้งาน ในระบบเครือข่ายแบบเปิดหรืออินเทอร์เน็ตนั้นการพิสูจน์ตัวจริงถือได้ว่าเป็นกระบวนการเริ่มต้นและมีความสำคัญที่สุดในการปกป้องเครือข่ายให้ปลอดภัย

  3. การพิสูจน์ตัวจริงของผู้ใช้งาน(User Authentication) • การยืนยันตัวตนจากสิ่งของที่ตนมีอยู่ (Possession Factor) เป็นการที่ผู้ใช้งานยืนยันตัวตนโดยใช้สิ่งของที่มีอยู่ติดตัวเพื่อยืนยันสำหรับการเข้าใช้งานระบบ เช่น บัตรแม่เหล็ก (magnetic card) หรือบัตรสมาร์ตการ์ด (smart card) • การยืนยันตัวตนจากสิ่งที่ตนรู้ (Knowledge Factor) เป็นการที่ผู้ใช้งานยืนยันตัวตนโดยใช้ข้อมูลที่รู้มาเพื่อใช้สำหรับการเข้าใช้งานระบบ เช่น รหัสผ่าน (password) รหัสประจำตัว (Personal Identification Number: PIN)

  4. การพิสูจน์ตัวจริงของผู้ใช้งาน(User Authentication) (ต่อ) • การยืนยันตัวตนจากสิ่งที่ตนเป็นอยู่ (Biometric Factor) เป็นวิธีที่ใช้ลักษณะทางกายภาพที่แตกต่างกันของมนุษย์แต่ละคนเพื่อใช้ยืนยันสำหรับการเข้าใช้งานระบบ วิธีการนี้ใช้ลักษณะทางกายภาพของมนุษย์มาเป็นเครื่องมือเพื่อใช้ในการตรวจสอบ เรียกว่า ชีวะมิติ (biometrics) โดยทำการสแกนข้อมูลของบุคคลแต่ละคนไปเทียบกับข้อมูลที่ได้ทำการเก็บไว้ในระบบ พบว่าหากข้อมูลทั้งสองมีความใกล้เคียงกัน อาจสรุปได้ว่า เป็นการยืนยันตัวบุคคลที่มีความถูกต้องสูง วิธีชีวะมิตินั้น สามารถแบ่งได้เป็น 2 ประเภท

  5. การยืนยันตัวตนจากสิ่งที่ตนเป็นอยู่ (Biometric Factor) • ชีวะมิติทางสรีรวิทยา (Physiological Biometrics) เป็นระบบพิสูจน์ตัวจริงแบบหนึ่งที่ใช้คุณลักษณะเฉพาะทางกายภาพของร่างกายมนุษย์มาใช้งาน ได้แก่ • การสแกนลายพิมพ์นิ้วมือ (Fingerprint Scan) เป็นการตรวจสอบจากลายพิมพ์นิ้วมือของผู้ใช้งาน ซึ่งลายพิมพ์นิ้วมือเป็นลักษณะเฉพาะที่แตกต่างกันของแต่ละบุคคล • การสแกนฝ่ามือ (Palm Scan)เป็นการสแกนเก็บตัวอย่างค่าของเส้นบนทั้งฝ่ามือของผู้ใช้งาน วิธีการนี้มีความถูกต้องสูงมากเพราะว่าเส้นบนฝ่ามือของแต่ละบุคคลจะแตกต่างกันและสามารถที่จะวัดความเหมือนของจำนวนจุดตัวอย่างบนฝ่ามือได้มากกว่าจำนวนจุดตัวอย่างบนนิ้วมือใดนิ้วมือหนึ่ง ดังนั้น การสแกนฝ่ามือเป็นการสแกนลายพิมพ์นิ้วมือทั้งหมดและฝ่ามือไว้ จึงมีความถูกต้องมากกว่าการสแกนเพียงลายพิมพ์นิ้วมือเพียงนิ้วมือเดียว

  6. การยืนยันตัวตนจากสิ่งที่ตนเป็นอยู่ (Biometric Factor)(ต่อ) • การตรวจสอบลักษณะทางเรขาคณิตของมือ (Hand Geometry) เป็นการตรวจสอบลักษณะรูปร่างของมือและนิ้ว เช่น ความยาว ความกว้างของนิ้วและมือ โดยแต่ละบุคคลจะมีลักษณะของรูปมือที่ต่างกัน สามารถที่จนำมาใช้ในการพิสูจน์ตัวจริงที่แท้จริงได้เช่นกัน • การรู้จำใบหน้า (Face Recognition) เป็นการตรวจลักษณะความแตกต่างของรูปหน้าของแต่ละบุคคล เช่น ระยะห่างระหว่างริมฝีปากจนถึงคาง ระยะห่างจากขอบตาจนถึงใบหู เป็นต้น • การสแกนจอตา (Retina Scan) เป็นการตรวจลักษณะความแตกต่างของจอตาของแต่ละบุคคล

  7. การยืนยันตัวตนจากสิ่งที่ตนเป็นอยู่ (Biometric Factor)(ต่อ) • การสแกนม่านตา (Iris Scan) เป็นการตรวจลักษณะความแตกต่างของม่านตาของแต่ละบุคคล โดยใช้กล้องถ่ายภาพตาดำและบันทึกภาพของตาดำเอาไว้ แล้วนำมาเปรียบเทียบกับข้อมูลที่มีอยู่ข้อดีของการพิสูจน์ตัวจริงด้วยวิธีชีวะมิติ ได้แก่ สามารถตรวจสอบได้อย่างรวดเร็ว มีความถูกต้องและความปลอดภัยสูงมาก เช่น การสแกนลายนิ้วมือ หรือสแกนม่านตา มีความเฉพาะเจาะจงสูงในการกำหนดตัวบุคคลข้อเสียของการพิสูจน์ตัวจริงด้วยวิธีชีวะมิติ ได้แก่ ระบบที่ใช้ตรวจสอบมีความซับซ้อนสูง และมีค่าใช้จ่ายสำหรับอุปกรณ์มีราคาสูง

  8. ชีวะมิติเชิงพฤติกรรม (Behavioral Biometrics) • เป็นระบบการพิสูจน์ตัวจริงที่ใช้พฤติกรรมจากลักษณะการแสดงออกทางท่าทางที่แตกต่างกันของแต่ละบุคคล ได้แก่ • ลายเซ็น (Handwritten Signature) เป็นการพิสูจน์ตัวจริงโดยการเปรียบเทียบลายเซ็นของผู้ใช้งาน • การรู้จำจากการพูด (Speech Recognition) เป็นการพิสูจน์ตัวจริงโดยใช้การรู้จำเสียงพูดกลไกการพิสูจน์ตัวจริงนั้นจะนำ 3 ลักษณะข้างต้นมาใช้ในการยืนยันหลักฐานที่นำมากล่าวอ้าง ทั้งนี้ขึ้นอยู่กับระบบ วิธีการที่นำมาใช้เพียงลักษณะอย่างใดอย่างหนึ่ง (single-factor authentication) นั้นมีข้อจำกัดในการใช้ ตัวอย่างเช่น สิ่งที่คุณมี (possession factor) เช่น บัตรแม่เหล็กนั้นอาจจะสูญหายหรือถูกขโมยได้ สิ่งที่คุณรู้ (knowledge factor) เช่น รหัสผ่านอาจจะถูกดักฟัง เดา หรือขโมยจากเครื่องคอมพิวเตอร์ สิ่งที่คุณเป็น (biometric factor) เช่น ลายนิ้วมือ ม่านตา จัดได้ว่าเป็นวิธีที่มีความปลอดภัยสูง แต่เครื่องมือที่ใช้ตรวจสอบมีราคาสูงและมีความซับซ้อนอย่างไรก็ตาม การที่จะใช้เทคโนโลยีนี้ได้นั้นจำเป็นต้องมีการลงทุนที่สูง เป็นต้น

  9. การพิสูจน์ตัวจริงของข้อความ (Message Authentication) • เป็นการพิสูจน์ว่า ผู้ใช้งานเป็นผู้สร้างข้อความนั้นๆ และเป็นผู้ส่งข้อความนี้ไปยังผู้ใช้งานรายอื่นๆ จริง สามารถกล่าวได้อีกนัยหนึ่งว่า ข้อมูลที่มีการส่งผ่านเครือข่ายจะไม่ถูกแก้ไข (เป็นคุณสมบัติที่เกี่ยวกับความคงสภาพของข้อมูล) หรือถ้ามีการแก้ไขจะสามารถตรวจจับได้ว่าข้อมูลมีการแก้ไข โดยที่ผู้รับข้อความสามารถพิสูจน์ได้ว่า ใครเป็นผู้สร้างข้อความ วิธีที่เป็นที่นิยม ได้แก่ การใช้ลายเซ็นดิจิทัล(digital signature)

  10. คือ เครื่องหมายหรือสัญลักษณ์ที่ใช้ในการรักษา ความมั่นคงปลอดภัยแบบอิเล็กทรอนิกส์ที่สามารถเพิ่มเข้าไปในไฟล์ข้อมูลได้ ซึ่งจะช่วยให้ผู้รับข้อความหรือไฟล์สามารถตรวจสอบได้ว่า ข้อความหรือไฟล์ข้อมูลไม่ได้ถูกเปลี่ยนแปลงหลังจากที่ผู้ส่งข้อความมีการเซ็นชื่อแบบดิจิทัลแล้ว และการเซ็นชื่อแบบดิจิทัลจะเป็นตรวจสอบคุณสมบัติที่เกี่ยวข้องกับการไม่สามารถปฏิเสธได้ว่าบุคคลนั้นๆ ไม่ได้เป็นผู้กระทำใดๆ ตามที่ได้กล่าวอ้าง หรือเรียกว่า การไม่สามารถโต้แย้งได้ (non-repudiation) ตัวอย่างเช่น การเขียนอีเมล์และแนบลายเซ็นดิจิทัลไปด้วย โดยลายเซ็นนี้เป็นหลักฐานระบุตัวผู้เขียนอีเมล์ฉบับนี้

  11. การใช้งานการพิสูจน์ตัวตัวการใช้งานการพิสูจน์ตัวตัว • การพิสูจน์ตัวจริง เป็นคุณสมบัติที่ใช้ในการยืนยันตัวตนต่อระบบที่ต้องการเข้าใช้งานหรือการยืนยันตัวเองต่อผู้อื่น โดยประเภทของการพิสูจน์ตัวจริง (authentication types) นั้นสามารถแบ่งได้ตามส่วนประกอบพื้นฐานของการพิสูจน์ตัวจริงสมบูรณ์แบ่งได้เป็น 3 ส่วน ได้แก่

  12. การใช้งานการพิสูจน์ตัวตัว (ต่อ) • การพิสูจน์ตัวจริง (Authentication) คือ ส่วนที่สำคัญที่สุดเพราะเป็นขั้นตอนแรกของการเข้าใช้ระบบ ผู้เข้าใช้ระบบต้องถูกยอมรับ จากระบบว่าสามารถเข้าสู่ระบบได้ การพิสูจน์ตัวจริงเป็นการตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลนั้นจริง • การกำหนดสิทธิ์(Authorization) คือ ข้อจำกัดของบุคคลที่เข้ามาในระบบ ว่าบุคคลคนนั้นสามารถทำอะไรกับระบบได้บ้าง • การบันทึกการใช้งาน (Accountability) คือ การบันทึกรายละเอียดของการใช้ระบบและรวมถึงข้อมูลต่างๆ ที่ผู้ใช้กระทำลงไปในระบบ เพื่อผู้ตรวจสอบจะได้ตรวจสอบได้ว่า ผู้ใช้ที่เข้ามาใช้บริการได้เปลี่ยนแปลงหรือแก้ไขข้อมูลในส่วนใดบ้างการพิสูจน์ตัวจริงมีความสำคัญที่สุดกับการเข้าใช้ระบบ จึงแจกแจงชนิดของการพิสูจน์ตัวจริงใช้กันอยู่ในปัจจุบัน ว่ามีอะไรบ้างและแต่ละชนิดมีลักษณะอย่างไรดังนี้

  13. การบันทึกการใช้งาน (Accountability) • ไม่มีการพิสูจน์ตัวจริงลักษณะที่ไม่มีการพิสูจน์ตัวจริง (no authentication) ตามหลักการแล้วการพิสูจน์ตัวจริงไม่มีความจำเป็น ถ้าเงื่อนไขต่อไปนี้เป็นจริง ข้อมูลเหล่านั้นเป็นข้อมูลสาธารณะ ที่อนุญาตให้ทุกคนเข้าใช้บริการและเปลี่ยนแปลงได้ หรือ ข้อมูลข่าวสารหรือแหล่งของข้อมูลนั้นๆ สามารถเข้าถึงได้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น

  14. การบันทึกการใช้งาน (Accountability)(ต่อ) • การพิสูจน์ตัวจริงโดยใช้รหัสผ่านคือการใช้รหัสผ่าน (authentication by passwords) เป็นวิธีการที่ใช้มานานและนิยมใช้กันแพร่หลาย รหัสผ่านควรจำกัดให้เฉพาะผู้ใช้ที่มีสิทธิเท่านั้นที่ทราบ แต่ว่าในปัจจุบันนี้ การใช้แค่รหัสผ่านไม่มีประสิทธิภาพมากพอที่จะรักษาความมั่นคงปลอดภัยให้กับระบบคอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ เนื่องจากการตั้งรหัสผ่านที่ง่ายเกินไป และวิทยาการและความรู้ที่ก้าวหน้าทำให้รหัสผ่านอาจจะถูกขโมยระหว่างการสื่อสารผ่านเครือข่ายได้

  15. การบันทึกการใช้งาน (Accountability)(ต่อ) • การพิสูจน์ตัวจริงโดยใช้พิน(Personal Identification Number: PIN) เป็นรหัสลับส่วนบุคคลที่ใช้เป็นรหัสผ่านเพื่อเข้าสู่ระบบ ซึ่ง PIN ใช้อย่างแพร่หลายโดยเฉพาะการทำธุรกรรมทางด้านธนาคาร เช่น บัตรเอทีเอ็ม และเครดิตการ์ดต่างๆ การใช้PIN ทำให้มีความปลอดภัยในการสื่อสารข้ามระบบเครือข่ายสาธารณะมากขึ้น เนื่องจาก PIN จะถูกเข้ารหัสเอาไว้ และจำเป็นต้องมีเครื่องมือที่สามารถถอดรหัสนี้ออกมาได้ เช่น ฮาร์ดแวร์ที่ออกแบบมาโดยเฉพาะ และถูกติดตั้งไว้ในเครื่องของผู้รับและผู้ส่งเท่านั้น

  16. การบันทึกการใช้งาน (Accountability)(ต่อ) • การพิสูจน์ตัวจริงโดยใช้เครื่องสร้างรหัสผ่านที่เปลี่ยนแปลงได้การพิสูจน์ตัวจริงโดยใช้เครื่องสร้างรหัสผ่านที่เปลี่ยนแปลงได้ (authentication by password authenticators or tokens) โดยโทเคนเป็นฮาร์ดแวร์พิเศษที่ใช้สร้าง “รหัสผ่านซึ่งเปลี่ยนแปลงได้” (dynamic password) ในขณะที่กำลังเข้าสู่ระบบเครือข่าย โดยมี 2 วิธี คือ แบบซิงโครนัส (synchronous) และแบบอะซิงโครนัส (asynchronous)

  17. การพิสูจน์ตัวจริงแบบซิงโครนัส (synchronous) • การพิสูจน์ตัวจริงแบบซิงโครนัสโดยขึ้นอยู่กับสถานการณ์ (Event-Synchronous Authentication) เมื่อผู้ใช้ต้องการที่จะเข้าสู่ระบบ ผู้ใช้จะต้องกดโทเคนเพื่อให้โทเคนสร้างรหัสผ่านให้ จากนั้นผู้ใช้นำรหัสผ่านที่แสดงหลังจากกดโทเคนใส่ลงในฟอร์ม เพื่อเข้าสู่ระบบ ระบบจะทำการตรวจสอบกับเซิร์ฟเวอร์ก่อน ว่ารหัสผ่านที่ใส่มีอยู่ในเซิร์ฟเวอร์จริง จึงจะยินยอมให้ผู้ใช้เข้าสู่ระบบ • การพิสูจน์ตัวจริงแบบซิงโครนัสโดยขึ้นอยู่กับเวลา (Time-Synchronous Authentication) เป็นวิธีการที่สร้างรหัสผ่านโดยมีการกำหนดช่วงระยะเวลาการใช้งาน โดยปกติแล้วรหัสผ่านจะถูกเปลี่ยนทุกๆ หนึ่งนาที การสร้างรหัสผ่านจะเป็นไปอย่างต่อเนื่อง ทำให้บางครั้งรหัสผ่านที่สร้างออกมาอาจจะซ้ำกันกับรหัสผ่านตัวอื่นที่เคยสร้างมาแล้วก็ได้เมื่อผู้ใช้ต้องการเข้าสู่ระบบก็ใส่รหัสผ่านและเวลาที่รหัสผ่านตัวนั้นถูกสร้างขึ้นมาจากโทเคน ลงในฟอร์มเพื่อเข้าสู่ระบบ ระบบจะทำการตรวจสอบเวลาและรหัสผ่านที่ผู้ใช้ใส่ลงไปกับเซิร์ฟเวอร์ว่ารหัสผ่านที่ใส่ตรงกับเวลาที่โทเคนสร้างและมีอยู่ในเซิร์ฟเวอร์จริง จึงยินยอมให้ผู้ใช้เข้าสู่ระบบ

  18. การพิสูจน์ตัวจริงแบบอะซิงโครนัส (asynchronous) • การพิสูจน์ตัวจริงแบบอะซิงโครนัส (asynchronous) หรือเรียกอีกอย่างหนึ่งว่า “challenge-response” ถูกพัฒนาขึ้นเป็นลำดับแรกๆ ของระบบการใช้ “รหัสผ่านซึ่งเปลี่ยนแปลงได้” เนื่องจากว่าเมื่อผู้ใช้ต้องการจะเข้าสู่ระบบ ผู้ใช้จะต้องทำการร้องขอไปยังเซิร์ฟเวอร์ จากนั้นเซิร์ฟเวอร์ก็จะส่ง challenge string มาให้ผู้ใช้ เพื่อให้ผู้ใช้ใส่ลงในโทเคนที่ผู้ใช้ถืออยู่ จากนั้นโทเคนจะทำการคำนวณรหัสผ่านออกมาให้ผู้ใช้ ผู้ใช้จึงสามารถนำรหัสผ่านนั้นใส่ลงในฟอร์มเพื่อเข้าสู่ระบบได้

  19. การบันทึกการใช้งาน (Accountability) (ต่อ) • การพิสูจน์ตัวจริงโดยใช้ลักษณะเฉพาะทางชีวภาพของแต่ละบุคคล คือ การพิสูจน์ตัวจริงโดยใช้ลักษณะเฉพาะทางชีวภาพของแต่ละบุคคล (authentication by biometric traits) ลักษณะทางชีวภาพของแต่ละบุคคลเป็นลักษณะเฉพาะและลอกเลียนแบบกันไม่ได้ การนำมาใช้ในการพิสูจน์ตัวจริงจะเพิ่มความน่าเชื่อถือได้มากขึ้น เช่น การใช้ลายนิ้วมือ เสียง ม่านตา เป็นต้น จึงมีการน าเทคโนโลยีนี้มาช่วยในการพิสูจน์ตัวจริง เพื่อเพิ่มความปลอดภัยก่อนเข้าสู่ระบบ เช่น การใช้ควบคู่กับการใช้รหัสผ่าน ตัวอย่างการใช้งานของการพิสูจน์ตัวจริงโดยใช้ลักษณะเฉพาะทางชีวภาพร่วมกับสมาร์ตการ์ด เช่น การพิสูจน์ตัวจริงโดยใช้การอ่านม่านตาร่วมกับการใช้สมาร์ตการ์ดในการใช้งานตู้เอทีเอ็ม

  20. การบันทึกการใช้งาน (Accountability) (ต่อ) • การพิสูจน์ตัวจริงโดยใช้รหัสผ่านที่ใช้เพียงครั้งเดียว (One-Time Password: OTP) ถูกพัฒนาขึ้นเพื่อหลีกเลี่ยงปัญหาที่เกิดจากการใช้รหัสผ่านเพียงตัวเดียวซ้ำ ๆ กัน OTP จะทำให้ระบบมีความปลอดภัยมากขึ้น เพราะรหัสผ่านจะถูกเปลี่ยนทุกครั้งก่อนที่ผู้ใช้จะเข้าสู่ระบบ การท างานของ OTP คือเมื่อผู้ใช้ต้องการจะเข้าใช้ระบบ ผู้ใช้จะทำการร้องขอไปยังเซิร์ฟเวอร์ จากนั้นเซิร์ฟเวอร์จะส่ง challenge string กลับมาให้ผู้ใช้ จากนั้นผู้ใช้จะนำ challenge string และรหัสลับที่มีอยู่กับตัวของผู้ใช้นำไปเข้าแฮชฟังก์ชันแล้วออกมาเป็นค่าตอบสนอง (response) ผู้ใช้ก็จะส่งค่านั้นกลับไปยังเซิร์ฟเวอร์ แล้วเซิร์ฟเวอร์ จะทำการตรวจสอบค่าที่ผู้ใช้ส่งมาเปรียบเทียบกับค่าที่เซิร์ฟเวอร์เองคำนวณได้ โดยเซิร์ฟเวอร์ก็ใช้วิธีการคำนวณเดียวกันกับผู้ใช้ เมื่อได้ค่าที่ตรงกันเซิร์ฟเวอร์ก็จะยอมรับให้ผู้ใช้เข้าสู่ระบบ

  21. การบันทึกการใช้งาน (Accountability) (ต่อ) • การพิสูจน์ตัวจริงโดยการเข้ารหัสโดยใช้กุญแจสาธารณะ (public-key cryptography) เป็นการรักษาความมั่นคงปลอดภัยของข้อมูลระหว่างการส่งข้ามเครือข่ายวิธีหนึ่งที่นิยมใช้กันอยู่ในปัจจุบัน การเข้ารหัสแบบคู่รหัสกุญแจนี้จะมีความปลอดภัยมากกว่าการเข้ารหัสข้อมูลแบบธรรมดา แต่ก็ไม่ได้หมายความว่าการเข้ารหัสแบบคู่รหัสกุญแจนี้จะเป็นวิธีที่เหมาะสมที่สุดของวิธีการเข้ารหัส ทั้งนี้ขึ้นอยู่กับประเภทงานของแต่ละองค์กรหรือบุคคล การเข้ารหัสโดยใช้กุญแจสาธารณะ ประกอบไปด้วยกุญแจ 2 ชนิด ที่ต้องใช้คู่กันเสมอในการเข้ารหัสและถอดรหัสคือ กุญแจสาธารณะ (public key) เป็นกุญแจที่ผู้สร้างจะส่งออกไปให้ผู้ใช้อื่นๆ ทราบหรือเปิดเผยได้และ กุญแจส่วนตัว (private key) เป็นกุญแจที่ผู้สร้างจะเก็บไว้ โดยไม่เปิดเผยให้คนอื่นรู้กระบวนการของการเข้ารหัสแบบคู่รหัสกุญแจ มีดังนี้

  22. การบันทึกการใช้งาน (Accountability) (ต่อ) • 1. ผู้ใช้แต่ละคนจะสร้างคู่รหัสกุญแจของตัวเองขึ้นมา เพื่อใช้สำหรับการเข้ารหัสและการถอดรหัส • 2. กุญแจสาธารณะจะถูกส่งออกไปยังผู้ใช้คนอื่นๆ แต่กุญแจส่วนตัวจะถูกเก็บที่ตนเอง • 3. เมื่อจะส่งข้อมูลออกไปหาผู้ใช้คนใด ข้อมูลที่ส่งจะถูกเข้ารหัสด้วยกุญแจสาธารณะ ก่อนถูกส่งออกไป • 4. เมื่อผู้รับได้รับข้อความแล้วจะใช้กุญแจส่วนตัวซึ่งเป็นคู่รหัสกันถอดรหัสออกมาการเข้ารหัสโดยใช้กุญแจสาธารณะสามารถใช้ได้ทั้งในการเข้ารหัส (encryption) และการพิสูจน์ตัวจริง (authentication) จะถอดรหัสออกมาด้วยกุญแจส่วนตัว จึงจะเห็นได้ว่ามีเพียงผู้รับเท่านั้นที่จะสามารถถอดรหัสออกมาได้

  23. การบันทึกการใช้งาน (Accountability) (ต่อ) • การพิสูจน์ตัวจริงโดยการใช้ลายเซ็นอิเล็กทรอนิกส์ (digital signature) เป็นการนำหลักการของการทำงานของระบบการเข้ารหัสแบบใช้คู่รหัสกุญแจเพื่อการพิสูจน์ตัวจริงมาประยุกต์ใช้ ระบบลายเซ็นดิจิทัล สามารถแบ่งเป็นขั้นตอน

  24. การบันทึกการใช้งาน (Accountability) (ต่อ) • 1) เมื่อผู้ใช้ต้องการจะส่งข้อมูลไปยังผู้รับ ข้อมูลนั้นจะถูกนำไปเข้าฟังก์ชันทางคณิตศาสตร์ที่เรียกว่า “แฮชฟังก์ชัน (hash function)” ได้เมสเซจไดเจสต์(message digest) ออกมา • 2) การใช้กุญแจส่วนตัวเข้ารหัสข้อมูล หมายถึง ผู้ส่งได้ลงลายเซ็นดิจิทัลยินยอมที่จะให้ผู้รับสามารถทำการตรวจสอบด้วยกุญแจสาธารณะของผู้ส่งเพื่อพิสูจน์ตัวตนของผู้ส่งได้ • 3) การตรวจสอบข้อมูลว่าถูกส่งมาจากผู้ส่งคนนั้นจริงในด้านผู้รับ โดยการนำข้อมูลมาผ่านแฮชฟังก์ชันเพื่อคำนวณหาค่าเมสเซจไดเจสต์และถอดรหัสลายเซ็นอิเล็กทรอนิกส์ด้วยกุญแจสาธารณะของผู้ส่ง ถ้าสามารถถอดได้อย่างถูกต้อง เป็นการยืนยันข้อมูลจากผู้ส่งคนนั้นจริง และถ้าข้อมูลเมสเซจไดเจสต์ที่ได้จากการถอดรหัสเท่ากันกับค่าเมสเซจไดเจสต์ในตอนต้นที่ทำการคำนวณได้จะถือว่าข้อมูลดังกล่าวนั้นถูกต้อง ลายเซ็นอิเล็กทรอนิกส์นิยมนำไปใช้ในระบบรักษาความปลอดภัยในการชำระเงินผ่านระบบอินเทอร์เน็ต ซึ่งในปัจจุบันนี้การทำธุรกรรมการเงินอิเล็กทรอนิกส์ได้รับความนิยมเป็นอย่างมาก

  25. การบันทึกการใช้งาน (Accountability) (ต่อ) • เป็นวิธีการพิสูจน์ตัวจริงโดยใช้การถาม–ตอบ (zero-knowledge proofs) ตัวอย่างเช่น นาย ก กับนาย ข รู้จักกันมานานและสนิทกัน นาย ก และ นาย ข ย่อมมีความสนิทกันเป็นส่วนตัว เมื่อนาย ก และนาย ข ใช้โปรแกรมพูดคุยผ่านอินเทอร์เน็ต เช่น MSN ต่างฝ่ายต่างจะแน่ใจได้อย่างไรว่าคนที่ตนคุยอยู่เป็นบุคคลเดียวกันกับที่ตนรู้จัก เพราะว่านาย ก หรือ นาย ข อาจจะทำการเข้าระบบทิ้งไว้ หรืออาจจะมีบุคคลอื่นสามารถดักจับหลักฐานและข้อมูลที่สามารถเข้าสู่ระบบของคนใดคนหนึ่งไว้ได้ แล้วทำการสวมรอยแทน นั่นก็คือการใช้คำถามและคำตอบที่มีเพียงนาย ก และ นาย ข เท่านั้นที่ทราบวิธีการพิสูจน์ตัวจริงวิธีนี้ เป็นวิธีการที่ต้องใช้ความรู้ขั้นสูงในการนำมาใช้ เนื่องจากระบบจะใช้การเรียนรู้จากข้อมูลที่ได้รับนั่นเอง

More Related