-52- CHỮ KÝ SỐ VÀ ỨNG DỤNG TRONG THƯƠNG MẠI ĐIỆN TỬ Nguyễn Xuân Huy MSV: 0320151 Email: huynx610@yahoo.com Người hướng dẫn: PGS-TS.Nguyễn Ngọc Bình 1. Giới thiệu Thương mại điện tử ra đời cho phép người tiêu dùng thực hiện việc giao dịch hàng hóa dịch vụ bằng các công cụ điện tử mà không bị giới hạn về thời gian và khoảng cách. Sự bùng nổ của internet đã kéo theo sự phát triển về thương mại điện tử. Các tiến trình thương mại điện tử diễn ra phổ biến khắp nơi, vì vậy mạng lưới không còn được tin cậy, có nhiều vấn đề về bảo mật đã liên quan. Một trong những vấn đề được đặt ra là làm thế nào để chắc chắn rằng khách hàng thực đang giao dịch với người buôn thực. Điều này được giải quyết bởi chữ ký số và xác thực số. Khóa luận này trình bày những nghiên cứu tổng thể về chữ ký số bao gồm khái niệm, phân loại và mô hình các sơ đồ chữ ký số. Sau đó, đi vào phân tích hệ mật đường cong elliptic và các sơ đồ chữ ký sử dụng hệ mật này, ưu nhược điểm của chúng. Tiếp đến khóa luận sẽ trình bày về thương mại điện tử bao gồm các vấn đề bảo mật trong thương mại điện tử, ứng dụng của chữ ký số trong các giao thức bảo mật của thương mại điện tử. Đối tượng nghiên cứu chính của khóa luận là phương thức xây dựng chữ ký số sử dụng hệ mật đường cong elliptic. Qua đó đề ra mô hình chữ ký số có thể phát triển và ứng dụng trong tương lai. Đồng thời xây dựng một phần mềm ứng dụng chạy trên máy tính cá nhân thử nghiệm mô hình trên. 2. Chữ ký số Chữ ký số đáp ứng yêu cầu về tính toàn vẹn và tính xác nhận trong thương mại điện tử. Chữ ký số được cài đặt qua PKI và được sử dụng để xác nhận nguồn gốc và nội dung của thông điệp. Thông thường thông điệp còn được đánh dấu thời gian bởi bên thứ ba, việc này đảm bảo về tính không thể khước từ. Thông thường chữ ký được sinh ra có độ dài lớn hơn thông điệp cho nên cần có cơ chế rút ngắn thông điệp. Giải pháp cho vấn đề này là sử dụng hàm băm nhanh. SHA là các hàm băm được đề xuất sử dụng cho các sơ đồ ký. Có 2 loại sơ đồ ký là sơ đồ kèm thông điệp và sơ đồ khôi phục thông điệp. Trong các sơ đồ ký hiện nay, được sử dụng phổ biến nhất là RSA và DSA. Cả 2 sơ đồ ký này đã được chấp nhận như các tiêu chuẩn của nhiều tổ chức có uy tín. 3. Thương mại điện tử và chữ ký số Sự ra đời và phát triển của internet đã góp phần thúc đẩy sự phát triển thương mại điện tử. Hai mô hình hay được nhắc đến trong thương mại điện tử là B2B-dịch vụ bán buôn và B2C- dịch vụ bán lẻ. Trong đó mô hình B2C có nhiều trở ngại hơn cả đó là phải giải quyết được nhu cầu mua hàng và thanh toán của khách hàng với công ty. Điều này đặt ra vấn đề về an toàn đối với các thông tin được trao đổi trên mạng. Thông tin trao đổi trên mạng qua một tập các quy tắc chung gọi là TCP/IP. Đây là giao thức cho phép các thông tin được gửi từ máy tính này tới máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt. Chính điều này đã tạo cơ hội những kẻ trộm công nghệ cao có thể thực hiện các hành vi phi pháp. Giải pháp kỹ thuật được sử dụng phổ biến hiện nay để ngăn chặn việc này đó là sử dụng các giao thức như SSL, SET, IKP, PGP. Trong các giao thức này ta thấy rằng đều có sử dụng chữ ký số hoặc xác thực số. Chữ ký số giúp cho việc đảm bảo an toàn trong các giao dịch điện tử. Nó cho phép duy trì tính bí mật, xác thực và toàn vẹn thông tin. Với xác thực số nó còn đáp ứng cả tính không thể từ chối thông tin. Điều này là rất quan trọng trong mua bán hàng hóa và thanh toán. 4. Đường cong elliptic: Hi ện nay, trong mật mã hóa cách tiếp cận đường cong elliptic đang được quan tâm nhất. Các hệ mật mã trên đường cong này cho thấy đảm bảo tính an toàn cao hơn các hệ mật khác. Hơn thế nó còn có thể ứng dụng trong các sơ đồ ký. Với đường cong này, độ dài khóa trong các sơ đồ ký có thể ngắn đi nhiều trong khi độ an -53- toàn vẫn được đảm bảo và tốc độ thực thi cũng nhanh hơn so với thuật toán được sử dụng phổ biến hiện tại là RSA. Vấn đề đối với hệ mật đường cong elliptic (ECC) đó là các kỹ thuật thực thi, các thuật toán, giao thức để thực hiện phức tạp hơn so với các hệ mật khác. 5. Các sơ đồ ký trên đường cong elliptic. Để có thể ký các bản rõ sử dụng đường cong elliptic, ta phải nhúng các bản rõ lên trên đường cong, Có 2 kỹ thuật để thực hiện việc này là Imbeding và Mask. Các sơ đồ chữ ký phổ biến trên đường cong elliptic là ECDSA, Nyberg-Rueppel, sơ đồ chữ ký mù và sơ đồ đa chữ ký mù Harn trên EC. Vấn đề đặt ra đối với các sơ đồ chữ ký này là phải chọn được đường cong elliptic thích hợp để cho tốc độ, tính hiệu quả, độ dài khóa và tính an toàn là cao nhất. Việc l ựa chọn đường cong phụ thuộc vào trường và dạng của đường cong đó. Có một số phương pháp để lựa chọn đường cong trong đó phổ biến là phương pháp lựa chọn đường cong ngẫu nhiên và phương pháp của Koblitz. Những tiêu chuẩn cho việc lựa chọn này đã được đưa vào như những tiêu chuẩn của nhiều tổ chức như IEEE, ISO, ANSI và NIST. 6. Cài đặt sơ đồ ký ECDSA ECDSA là sơ đồ ký đã được công nhận như một chuẩn chữ ký số và đưa ra bởi nhiều tổ chức uy tín. Cài đặt ECDSA được thực hiện trên các đường cong elliptic được NIST đề xuất cho chính phủ Mỹ sử dụng. Chương trình tôi xây dựng bao gồm việc ký và xác nhận thông tin sử dụng sơ đồ ký ECDSA và việc mã hóa cũng như giải nén thông tin sử dụng thuật toán Elgamal trên đường cong elliptic. Như vậy nó cho phép có thể sử dụng trong việc chuyển dữ liệu có ký xác nhận một cách an toàn. Với mục đích xây dựng các phương thức cài đặt sơ đồ ký có thể áp dụng ở những môi trường có bộ nhớ nhỏ, năng lực tính toán không cao như pocketPC tôi sử dụng ngôn ngữ C/C++. Các vấn đề đối với cài đặt sơ đồ ký trên ngôn ngữ này là việc biểu diễn trường hữu hạn, thực hiện phép nhân các phần tử trong trường và việc tính toán các điểm trên đường cong elliptic. Với giải pháp đề xuất đưa ra cho các vấn đề, chương trình tôi xây dựng đã đáp ứng được yêu cầu về tốc độ xử lý và bộ nhớ. Vì thế có thể áp dụng được trong những nghiên cứu tiếp theo. 5. Kết luận Với phạm vi của một khóa luận tốt nghiệp, tôi đã hoàn thành được những mục tiêu cơ bản cần nghiên cứu đó là: • Tìm hiểu các vấn đề cơ bản nhất về ký số. • Tìm hiểu, nghiên cứu hệ mật mới: Hệ mật trên đường cong elliptic. • Tìm hiểu về thương mại điện tử, các vấn đề về bảo mật và ứng dụng của chữ ký số trong thương mại điện tử. • Nghiên cứu, xây dựng phương thức cài đặt chữ ký số sử dụng ECC trên máy tính cá nhân. Với việc ứng dụng ECC, chữ ký số không chỉ có thể được thực hiện bằng các máy tính cá nhân mà còn được thực hiện bằng các thiết bị cầm tay có năng lực xử lý cũng như khả năng lưu trữ hạn chế như thẻ thông minh, điện thoại di động, … Nhờ đó, việc thực hiện các giao dịch trong thương mại điện tử trong tương lai không chỉ có thể được thực hiện bằng các máy tính các nhân thông qua internet mà còn có thể được thực hiện trên các thiết bị cầm tay nhỏ gọn. Đến lúc đó người ta có thể thực hiện hoạt động buôn bán, trao đổi ở mọi lúc, mọi nơi. Từ kết quả của khóa luận, hướng phát triển tiếp theo là nghiên cứu cách triển khai ECC trên các thiết bị nhúng, ví dụ như trên điện thoại di động, thực hiện ký số và xác nhận đối với dữ liệu được truyền giữa 2 thiết bị với nhau. Khi đó ta sẽ xây dựng được một API sử dụng ECC cho các chương trình và giao thức trên các thiết bị nhúng. Điều này giúp cho việc giao dịch thương mại điện tử trên các thiết bị cầm tay nhỏ gọn có thể được thực hiện dễ dàng và mang tính bảo mật cao hơn. Tài liệu tham khảo [1] Bijan Ansari - M.Anwar Hasan, High Performance Architecture of Elliptic Curve Scalar Multiplication, Department of Electrical and Computer Engineering University of Waterloo - Canada, 2004. [2] Ian F.Blake - Gadiel Seroussi - Nigel P.Smart, Advances in Elliptic Curve Cryptography, Cambridge University Press, 2005. . thử nghiệm mô hình trên. 2. Chữ ký số Chữ ký số đáp ứng yêu cầu về tính toàn vẹn và tính xác nhận trong thương mại điện tử. Chữ ký số được cài đặt qua PKI. điện tử, ứng dụng của chữ ký số trong các giao thức bảo mật của thương mại điện tử. Đối tượng nghiên cứu chính của khóa luận là phương thức xây dựng chữ ký