1 / 25

เทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมทางอินเตอร์เน็ต

เทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมทางอินเตอร์เน็ต. สิรักข์ แก้วจำนงค์. ภัยคุกคามทางอินเตอร์เน็ต. การใช้อินเตอร์เน็ตเป็นสื่อในการหลอกลวง หรือล่อลวงผู้อื่น การเผยแพร่ข่าวสารที่ไม่เป็นจริง การล่วงละเมิดความเป็นส่วนตัวผู้อื่น การลักลอบเข้าใช้ระบบ การขโมยข้อมูล ลักลอบเปลี่ยนแปลงข้อมูล

taryn
Download Presentation

เทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมทางอินเตอร์เน็ต

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. เทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมทางอินเตอร์เน็ตเทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมทางอินเตอร์เน็ต สิรักข์ แก้วจำนงค์

  2. ภัยคุกคามทางอินเตอร์เน็ตภัยคุกคามทางอินเตอร์เน็ต • การใช้อินเตอร์เน็ตเป็นสื่อในการหลอกลวง หรือล่อลวงผู้อื่น • การเผยแพร่ข่าวสารที่ไม่เป็นจริง • การล่วงละเมิดความเป็นส่วนตัวผู้อื่น • การลักลอบเข้าใช้ระบบ • การขโมยข้อมูล ลักลอบเปลี่ยนแปลงข้อมูล • การปลอมแปลงเป็นผู้อื่น • ไวรัสคอมพิวเตอร์ • ฯลฯ

  3. วิธีแก้ปัญหาการบุกรุก และการแก้ไขข้อมูล • การลักลอบเข้ามาขโมย และแก้ไขข้อมูล แก้โดยการเก็บข้อมูลโดยใช้การเข้ารหัส (Encryption) ข้อมูล • การปลอมตัวเข้ามา และทำธุรกรรมปลอม แก้ไขโดยใช้ระบบการยืนยันตัวบุคคล (Authentication) • การลักลอบเข้าใช้ระบบโดยไม่มีสิทธิ และการใช้ระบบเป็นทางผ่านในการลักลอบใช้ระบบอื่น แก้ไขโดยการใช้ Firewall ตรวจสอบ และกรองข้อมูลของการติดต่อจากเครือข่าย

  4. มาตรการรักษาความปลอดภัยบนอินเตอร์เน็ตมาตรการรักษาความปลอดภัยบนอินเตอร์เน็ต • การระบุตัวบุคคลและอำนาจหน้าที่ (Authentication & Authorization) คือการระบุตัวว่าบุคคลที่ติดต่อ เป็นบุคคลตามที่กล่าวอ้างไว้จริง • การรักษาความลับของข้อมูล (Confidentiality)คือการรักษาความลับของข้อมูลที่เก็บไว้หรือส่งผ่านทางเครือข่ายโดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ • การรักษาความถูกต้องของข้อมูล (Integrity)คือการป้องกันไม่ให้ข้อมูลถูกแก้ใขโดยตรวจสอบไม่ได้ • การป้องกันการปฎิเสธหรืออ้างความรับผิดชอบ (Non-repudiation)

  5. เทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรมเทคโนโลยีรักษาความปลอดภัยในการทำธุรกรรม • การเข้ารหัสข้อมูล คือการทำให้ข้อมูลที่เก็บ หรือที่จะส่งผ่าน อยู่ในรูปที่ไม่สามารถอ่านออกได้ ซึ่งผู้ที่มีสิทธิจริง จึงจะสามารถถอดรหัสเพื่ออ่านข้อมูลนั้นได้ • การใช้ระบบ Digital Signature เป็นเสมือนลายมือชื่อของผู้ส่ง เป็นกลไกป้องกันการปฏิเสธความรับผิดชอบจากผู้ส่ง และป้องกันการแก้ไขข้อมูล

  6. การเข้ารหัสข้อมูล การเข้ารหัส จะประกอบด้วยสองส่วนสำคัญ คือ • Algorithm ในการเข้ารหัส เช่นแบบ RSA , IDEA, MD5,Lucus ซึ่งจะเป็นตัวบอกความซับซ้อนในการเข้ารหัส และความยากง่ายในการถอดรหัส • กุญแจรหัส (key) ใช้ในการเข้า และถอดรหัส

  7. การเข้ารหัสแบบสมมาตร • การเข้ารหัสแบบ Single key หรือแบบสมมาตรใช้หลักการคณิตศาสตร์มาผสมรวมทั้งการเข้าถึงข้อมูลในระดับ bit บวกเข้ากับแนวคิดของการเข้ารหัสแบบ Classic โดยนำข้อมูลที่ต้องการเข้ารหัสเป็นตัวตั้งจากนั้นก็ให้นิยามกุญแจซึ่งเป็นตัวเลขหรือตัวอักษรหลายบิตรวมกันเป็นกุญแจ (key) จากนั้นก็เอาไปเข้าสูตรผสมผลลัพธ์ออกมาเป็นก้อนข้อมูลรหัสที่ไม่มีใครอ่านเข้าใจเมื่อถึงปลายทางใช้กุญแจตัวเดิมเข้าผสมกับก้อนข้อมูลรหัสเมื่อเข้าสูตรอีกทีผลลัพธ์ที่ได้ก็จะออกมาเป็นข้อมูลต้นฉบับ

  8. การเข้ารหัสแบบสมมาตร

  9. การเข้ารหัสแบบสมมาตร • ข้อดี- มีความรวดเร็วเพราะใช้เวลาในการคำนวณที่น้อยกว่า- สามารถสร้างได้ง่าย • ข้อเสีย- การบริหารจัดการกุญแจทำได้ยากเพราะกุญแจในการเข้ารหัสและถอดรหัสเหมือนกัน

  10. การเข้ารหัสแบบอสมมาตรการเข้ารหัสแบบอสมมาตร • หลักการคือ มีกุญแจรหัส 2 ตัว เอาข้อมูลไปผสมกับกุญแจตัวใดตัวหนึ่งเมื่อได้ออกมาเป็นข้อมูลรหัสที่อ่านไม่รู้เรื่องแล้วเมื่อเวลาถอดรหัสไม่สามารถใช้กุญแจตัวเดิมได้ต้องใช้กุญแจอีกตัวหนึ่งมาถอดรหัสเข้าด้วย 1 ต้องถอดด้วย 2 หรือเข้าด้วย 2 จะต้องถอดด้วย 1 • กุญแจทั้งสอง เรียกว่า private key ซึ่งเจ้าของจะต้องเก็บรักษาไว้ ห้ามให้ผู้อื่นเด็ดขาด และ public key ซึ่งเป็นกุญแจที่แจกให้กับผู้อื่น

  11. การเข้ารหัสแบบอสมมาตรการเข้ารหัสแบบอสมมาตร • ก่อนการใช้งาน ต้องมีการขอ public key ของผู้ที่เราต้องการจะส่งข้อความ • การใช้การเข้ารหัสแบบนี้ ผู้ส่ง จะเข้ารหัสข้อความที่ต้องการส่ง โดยใช้ public key ของผู้รับ ซึ่งหลังการเข้ารหัส แม้แต่ผู้ส่งก็ไม่สามารถถอดรหัสข้อความได้ • เมื่อผู้รับได้รับข้อความ ก็จะถอดรหัสโดยใช้ private key ของตัวเอง

  12. การเข้ารหัสแบบอสมมาตรการเข้ารหัสแบบอสมมาตร

  13. การเข้ารหัสแบบอสมมาตรการเข้ารหัสแบบอสมมาตร • ข้อดี- การบริหารจัดการกุญแจทำได้ง่ายกว่าเพราะใช้กุญแจในการเข้ารหัสและถอดรหัสต่างกัน- สามารถระบุผู้ใช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์ • ข้อเสีย- ใช้เวลาในการเข้าและถอดรหัสค่อนข้างนานเพราะต้องใช้การคำนวณอย่างมาก

  14. ลายมือชื่ออิเล็กทรอนิกส์: Digital Signature • การทำธุรกรรมโดยทั่วไปนั้นหากผู้ใดลงลายมือชื่อ (Signature) ในกระดาษที่ปรากฏข้อความการลงลายมือชื่อนั้นจะก่อให้เกิดความผูกพันระหว่างลงลายมือชื่อกับข้อความในกระดาษ • เมื่อมีการทำธุระกรรมทางอิเล็กทรอนิกส์เกิดขึ้นลายมือชื่อทางอิเล็กทรอนิกส์เป็นเครื่องแสดงความสัมพันธ์ระหว่างบุคคลกับข้อความที่ปรากฏในรูปอิเล็กทรอนิกส์ • ความสำคัญของลายมือชื่ออิเล็กทรอนิกส์มีด้วยกันสองประการคือ • เป็นสิ่งที่ระบุตัวบุคคลผู้เป็นเจ้าของข้อมูลอิเล็กทรอนิกส์นั้นๆ • ใช้เป็นเครื่องแสดงความเห็นชอบของผู้ใช้ลายมือชื่ออิเล็กทรอนิกส์เพื่อผูกพันกับข้อมูลอิเล็กทรอนิกส์อีกด้วย

  15. การใช้ลายมือชื่ออิเล็กทรอนิกส์การใช้ลายมือชื่ออิเล็กทรอนิกส์ • เกิดขึ้นจากการสร้างโดยไม่ใช้เทคโนโลยีลายมือชื่ออิเล็กทรอนิกส์แบบนี้บุคคลทั่วไปสามารถสร้างได้โดยง่ายยกตัวอย่างแดงตกลงกับเพื่อนๆว่าหากเขาใช้สัญลักษณ์ */# ลงท้าย E-Mail • ประเภทเทคโนโลยีระบบกุญแจคู่ (Public Key Infrastructure) ใช้โครงสร้างพื้นฐานของระบบกุญแจคู่

  16. การใช้งานลายมือชื่ออิเล็กทรอนิกส์การใช้งานลายมือชื่ออิเล็กทรอนิกส์ • เริ่มจากการนำเอาข้อมูลต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่าฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆที่เรียกว่าข้อมูลที่ย่อยแล้ว (Digest) ก่อนที่จะทำการเข้ารหัสเนื่องจากข้อมูลต้นฉบับมักจะมีความยาวมากซึ่งจะทำให้กระบวนการเข้ารหัสใช้เวลานานมาก • จากนั้นจึงทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเองซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนตัวของผู้ส่งเองและจะได้ข้อมูลที่เข้ารหัสแล้วเรียกว่าลายมือชื่อดิจิทัล

  17. การใช้งานลายมือชื่ออิเล็กทรอนิกส์การใช้งานลายมือชื่ออิเล็กทรอนิกส์ • จากนั้นก็ทำการส่งลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับไปยังผู้รับผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่โดยการนำข้อมูลต้นฉบับที่ได้รับมาผ่านกระบวนการย่อยด้วยฟังก์ชันย่อยข้อมูลจะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง • นำลายมือชื่อดิจิทัลมาทำการถอดรหัสด้วยกุญแจสาธารณะของผู้ส่งก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่งแล้วทำการเปรียบเทียบข้อมูลที่ย่อยแล้วทั้งสองอันถ้าหากว่าเหมือนกันก็แสดงว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไขแต่ถ้าข้อมูลที่ย่อยแล้วแตกต่างกันก็แสดงว่าข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง

  18. การใช้งานลายมือชื่ออิเล็กทรอนิกส์การใช้งานลายมือชื่ออิเล็กทรอนิกส์ • ลายมือชื่อดิจิทัลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อไม่เหมือนกับลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆไม่ขึ้นอยู่กับเอกสาร • กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตรแต่การเข้ารหัสจะใช้กุญแจส่วนตัวของผู้ส่งและการถอดรหัสจะใช้กุญแจสาธารณะของผู้ส่งซึ่งสลับกันกับการเข้าและถอดรหัสแบบกุญแจอสมมาตร

  19. การใช้งานลายมือชื่ออิเล็กทรอนิกส์การใช้งานลายมือชื่ออิเล็กทรอนิกส์

  20. ใบรับรองดิจิทัล (Digital Certificate) • ด้วยการรหัสและลายมือชื่อดิจิทัลในการทำธุรกรรมสามารถรักษาความลับของข้อมูลและรักษาความถูกต้องของข้อมูลแต่สามารถระบุตัวบุคคลได้ระดับหนึ่งเท่านั้น • เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมากขึ้นด้วยใบรับรองดิจิทัล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่เชื่อถือเรียกว่าองค์กรรับรองความถูกต้อง(Certification Authority) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคลนั้นๆจริงตามที่ได้อ้างไว้

  21. ประเภทของใบรับรองดิจิทัลประเภทของใบรับรองดิจิทัล ประเภทของใบรับรองดิจิทัลแบ่งออกเป็น 3 ประเภทคือ • ใบรับรองเครื่องแม่ข่าย • ใบรับรองตัวบุคคล • ใบรับรองสำหรับองค์รับรองความถูกต้อง

  22. ระดับการรับรอง • ใบรับรองชั้นที่หนึ่งเป็นระดับที่ออกใบรับรองที่ง่ายสุดเพราะจะตรวจสอบเพียงแค่ชื่อของผู้ถือใบรับรองและ e-mail address ว่าถูกต้องจริงเท่านั้น • ใบรับรองชั้นที่สองจะตรวจสอบเลขประจำตัวประชาขนเลขที่ประกันสังคม (Social Security Number) และวันเดือนปีเกิด • ใบรับรองชั้นที่สามจะมีการตรวจสอบเพิ่มเติมเกี่ยวกับประวัติการใช้เครดิตและการชำระเงิน • ใบรับรองชั้นที่สี่เป็นชั้นที่ยังไม่มีการออกมาตรฐานอย่างแน่ชัดแต่จะมีการตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับตำแหน่งงานในองค์กรด้วย

  23. รายละเอียดในใบรับรองดิจิทัลรายละเอียดในใบรับรองดิจิทัล • ข้อมูลระบุผู้ที่ได้รับการรับรองได้แก่ชื่อองค์กรที่อยู่ • ข้อมูลระบุผู้ออกใบรับรองได้แก่ลายมือชื่อดิจิทัลขององค์กรที่ออกใบรับรองหมายเลขประจำตัวของผู้ออกใบรับรอง • กุญแจสาธารณะของผู้ที่ได้รับการรับรอง • วันหมดอายุของใบรับรองดิจิทัล • ระดับชั้นของใบรับรองดิจิทัลซึ่งมีทั้งหมด 4 ระดับในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุดและต้องการข้อมูลมากที่สุด • หมายเลขประจำตัวของใบรับรองดิจิทัล

  24. จะขอใบรับรองดิจิทัลได้จากไหน ? • สำหรับในประเทศไทย อาจขอได้จากหน่วยงาน G-CA หรือ Government Certification Authority ซึ่งเป็นหน่วยงานภายใต้สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ซึ่งเป็นหน่วยงานหนึ่งของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (เนคเทค) • ขอจากบริษัทผู้ออกในรับรองในต่างประเทศ เช่น บริษัท Verisign , Cybertrust และ Nortel

  25. ข้อมูลเพิ่มเติม • http://www.ecommerce.or.th/ • ขอใบรับรอง digitalhttps://gca.thaigov.net/signin.php • Verisign http://www.verisign.com • PGPhttps://www.pgp.com/ • การชำระเงินผ่านอินเตอร์เน็ต http://www.exd.mof.go.th/skc/it14.html • แนะนำเกี่ยวกับการทำธุรกรรมบนอินเตอร์เน็ต http://www.tradepointthailand.com/e_guru/e_trend_d.html • ลงทะเบียน secure mail http://www.verisign.com/products/class1/index.html

More Related