ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Minh Ngọc

NGHIÊN CỨU ỨNG DỤNG SINH TRẮC HỌC
TRONG VIỆC ĐẢM BẢO AN TOÀN
CHO HỆ THỐNG GIAO DỊCH ĐIỆN TỬ

LUẬN VĂN THẠC SĨ

Hà Nội - 2009


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Minh Ngọc

NGHIÊN CỨU ỨNG DỤNG SINH TRẮC HỌC
TRONG VIỆC ĐẢM BẢO AN TOÀN
CHO HỆ THỐNG GIAO DỊCH ĐIỆN TỬ

Ngành:

Công nghệ thông tin

Chuyên ngành:

Hệ thống thông tin


1.3.1 Khái niệm về mã hóa.....................................................................................10
1.3.2 Định nghĩa hệ mã hóa ...................................................................................10
1.3.3 Những yêu cầu đối với hệ mã hóa.................................................................11
1.3.4 Mã hóa khóa đối xứng...................................................................................11
1.3.5 Mã hóa khóa công khai .................................................................................12
1.3.6 Thuật toán băm ..............................................................................................14
1.4 Chữ ký số .............................................................................................................15
1.4.1 Khái niệm chữ ký số .....................................................................................15
1.4.2 Sơ đồ chữ ký số .............................................................................................16
1.4.3 Các cách tấn công chữ ký điện tử .................................................................18
1.5 Kết chƣơng ..........................................................................................................19
Chƣơng 2: CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ MẬT MÃ SINH TRẮC ....20
2.1 Cơ sở hạ tầng khóa công khai ..............................................................................20
2.1.1 Khái niệm PKI...............................................................................................20
2.1.2 Các dịch vụ và phạm vi ứng dụng của PKI...................................................20
2.1.3 Các thành phần của PKI ................................................................................20
2.1.4 Mô hình của hệ thống PKI ............................................................................21
2.1.5 Các chức năng và thuộc tính yêu cầu của PKI ..............................................21
2.1.6 Hệ thống cung cấp và quản lý chứng thƣ ......................................................26
2.1.7 Các mô hình triển khai hệ thống CA .............................................................29
2.1.8 Đánh giá và phân tích ....................................................................................34


2.2 Mật mã sinh trắc học ...........................................................................................35
2.2.1 Sinh trắc học ..................................................................................................35
2.2.2 Các khái niệm sinh trắc học về vân tay .........................................................36
2.2.3 Nhận dạng sinh trắc học ................................................................................42
2.3 Thuật toán mã hóa sinh trắc học ..........................................................................43
2.3.1 Xử lý hình ảnh nhận dạng .............................................................................43
2.3.2 Sự tƣơng quan ...............................................................................................43

DANH MỤC HÌNH
Hình 2-4. Sơ đồ tạo chữ ký ............................................................................................17
Hình 2-5. Sơ đồ xác thực chữ ký ...................................................................................17
Hình 2-7. Mô hình của hệ thống PKI ............................................................................21
Hình 2-6. Mô hình chứng thƣ số ...................................................................................23
Hình 2-8. Mô hình kiến trúc phân cấp ...........................................................................30
Hình 2-9. Mô hình kiến trúc mạng lƣới.........................................................................31
Hình 2-10. Mô hình kiến trúc Cầu liên kết ....................................................................33
Hình 2-15. Các đặc trƣng tổng thể: đƣờng chuẩn và số đếm đƣờng vân. .....................39
Hình 2-16. Đặc trƣng hƣớng của vân tay. .....................................................................39
Hình 2-17. Một số ảnh vân tay. .....................................................................................40
Hình 2-19. Biểu diễn các điểm minutiae .......................................................................42
Hình 2-20. Tổng quan quá trình đăng ký của mã hóa sinh trắc học ..............................51
Hình 2-21. Tổng quan quá trình xác thực của mã hóa sinh trắc học .............................52
Hình 2-22. Xử lý ảnh trong quá trình đăng ký ..............................................................53
Hình 2-23. Giải thuật liên kết khóa ...............................................................................54
Hình 2-24. Xử lý ảnh ở trong quá trình xác thực ..........................................................56
Hình 2-25. Giải thuật khôi phục khóa ...........................................................................57
Hình 3-1. Hệ thống PKI.................................................................................................62
Hình 3-2. Cấu trúc chứng thƣ X509 ..............................................................................63
Hình 3-3. Giải pháp tích hợp đặc trƣng sinh trắc vào X509 .........................................65
Hình 3-4. Biểu đồ làm việc của PKI khi chƣa kết hợp hệ thống sinh trắc ....................67
Hình 3-5. Biểu đồ làm việc của PKI khi kết hợp hệ thống sinh trắc .............................67
Hình 3-6. Giải pháp dùng mật mã sinh trắc để bảo vệ khóa bí mật. .............................69
Hình 3-7. Mô hình tích hợp sinh trắc vào hệ thống PKI ...............................................70
Hình 3-8. Quá trình đăng ký ..........................................................................................72
Hình 3-9. Etoken và dữ liệu lƣu trữ...............................................................................72
Hình 3-10. Sơ đồ tạo chữ ký khi sử dụng dấu vân tay để xác thực ...............................73
Hình 3-11. Sơ đồ xác thực chữ ký của BIOPKI ............................................................74
Hình 3-12. Quá trình khởi tạo CA .................................................................................76


8. 8RA

Registration Authority

9.

Rivest Shamir Adleman

RSA

10. 9Sub CA

Subordinate CA

11. 9TMĐT

Thƣơng mại điện tử


1

MỞ ĐẦU
Ngày nay, hệ thống cơ sở hạ tầng khóa công khai (PKI – Public Key
Infrastructure) đang là một cơ sở quan trọng để triển khai các giao dịch điện tử trên
mạng. PKI cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể đƣợc coi là một
giải pháp tổng hợp giải quyết bài toán đảm bảo an toàn thông tin trong xã hội hiện đại.
Tuy nhiên, nhƣợc điểm lớn của PKI chính là vấn đề đảm bảo an toàn cho khóa bí mật
của ngƣời dùng trong khi lƣu trữ cũng nhƣ sử dụng. Nền tảng của hệ thống PKI chính
là hệ thống mật mã khóa công khai: tức là một cặp khóa công khai và khóa bí mật để

VÀ CƠ SỞ LÝ THUYẾT MẬT MÃ
1.1 Thƣơng mại điện tử
1.1.1 Giới thiệu về thƣơng mại điện tử
Sự phát triển nhƣ vũ bão của CNTT đã tác động mạnh mẽ và to lớn đến mọi mặt
đời sống kinh tế xã hội. Ngày nay, CNTT đã trở thành một trong những động lực quan
trọng nhất của sự phát triển. Cùng với sự phát triển của máy tính điện tử, truyền thông
phát triển kéo theo sự ra đời của mạng máy tính, từ các mạng cục bộ, mạng diện rộng
cho tới mạng toàn cầu Internet và xa lộ thông tin. Việc thông tin chuyển sang dạng số
và nối mạng đã làm thay đổi sự chuyển hoá của nền kinh tế, các dạng thể chế, các mối
quan hệ và bản chất của hoạt động kinh tế xã hội và có ảnh hƣởng sâu sắc đến hầu hết
các lĩnh vực hoạt động và đời sống con ngƣời, trong đó có các hoạt động thƣơng mại.
Ngƣời ta đã có thể tiến hành các hoạt động thƣơng mại nhờ các phƣơng tiện điện tử,
đó chính là thƣơng mại điện tử(TMĐT).
Theo nghĩa hẹp, TMĐT là việc mua bán hàng hoá và dịch vụ thông qua các
phƣơng tiện điện tử, nhất là Internet và các mạng viễn thông khác.
Theo nghĩa rộng thì TMĐT có thể đƣợc hiểu là các giao dịch tài chính và thƣơng
mại bằng phƣơng tiện điện tử nhƣ: trao đổi dữ liệu điện tử; chuyển tiền điện tử và các
hoạt động gửi rút tiền bằng thẻ tín dụng.
Trên thực tế, chính các hoạt động thƣơng mại thông qua mạng Internet đã làm phát
sinh thuật ngữ TMĐT.
Đặc trƣng của TMĐT
 Các bên tiến hành giao dịch trong TMĐT không tiếp xúc trực tiếp với nhau và
không đòi hỏi phải biết nhau từ trƣớc.
 Các giao dịch thƣơng mại truyền thống đƣợc thực hiện với sự tồn tại của khái
niệm biên giới quốc gia, còn TMĐT đƣợc thực hiện trong một thị trƣờng không có
biên giới (thị trƣờng thống nhất toàn cầu). TMĐT trực tiếp tác động tới môi trƣờng
cạnh tranh toàn cầu.
 Trong hoạt động giao dịch TMĐT đều có sự tham ra của ít nhất ba chủ thể,
trong đó có một bên không thể thiếu đƣợc là ngƣời cung cấp dịch vụ mạng, các cơ
quan chứng thực.

mang lại hiệu quả rõ ràng cho doanh nghiệp[1].
Một trong những điểm sáng nhất về ứng dụng thƣơng mại điện tử của doanh
nghiệp là tỷ lệ đầu tƣ cho phần mềm tăng trƣởng nhanh, chiếm 46% trong tổng đầu tƣ
cho công nghệ thông tin của doanh nghiệp năm 2008, tăng gấp 2 lần so với năm 2007.
Trong khi đó, đầu tƣ cho phần cứng giảm từ 55,5% năm 2007 xuống còn 39% vào
năm 2008. Sự dịch chuyển cơ cấu đầu tƣ này cho thấy doanh nghiệp đã bắt đầu chú
trọng đầu tƣ cho các phần mềm ứng dụng để triển khai thƣơng mại điện tử sau khi ổn
định hạ tầng công nghệ thông tin. Doanh thu từ thƣơng mại điện tử đã rõ ràng và có xu
hƣớng tăng đều qua các năm. 75% doanh nghiệp có tỷ trọng doanh thu từ thƣơng mại
điện tử chiếm trên 5% tổng doanh thu trong năm 2008. Nhiều doanh nghiệp đã quan
tâm bố trí cán bộ chuyên trách về thƣơng mại điện tử.
Các con số thống kê này cho thấy, đến thời điểm cuối năm 2008 nhiều doanh
nghiệp Việt Nam đã nhận thức rõ về tầm quan trọng của thƣơng mại điện tử đối với


4
hoạt động sản xuất kinh doanh và sẵn sàng ứng dụng thƣơng mại điện tử ở mức cao
hơn trong thời gian tới.
Các tổ chức đào tạo chính quy đẩy mạnh giảng dạy thƣơng mại điện tử
Kết quả cuộc điều tra cho thấy đến thời điểm cuối năm 2008, tại Việt Nam có 49
trƣờng triển khai hoạt động đào tạo về thƣơng mại điện tử, gồm 30 trƣờng đại học và
19 trƣờng cao đẳng. Trong số 30 trƣờng đại học đã giảng dạy thƣơng mại điện tử, 1
trƣờng thành lập khoa thƣơng mại điện tử, 19 trƣờng giao cho khoa kinh tế – quản trị
kinh doanh phụ trách giảng dạy thƣơng mại điện tử và 10 trƣờng giao cho khoa công
nghệ thông tin phụ trách giảng dạy môn học này, 8 trƣờng thành lập bộ môn thƣơng
mại điện tử. Trong số 19 trƣờng cao đẳng đã giảng dạy thƣơng mại điện tử, 1 trƣờng
thành lập khoa thƣơng mại điện tử, 9 trƣờng giao cho khoa kinh tế phụ trách giảng dạy
thƣơng mại điện tử và 9 trƣờng giao cho khoa công nghệ thông tin phụ trách dạy môn
học này, có 3 trƣờng cao đẳng đã thành lập bộ môn thƣơng mại điện tử.
Vấn đề bảo vệ dữ liệu cá nhân bƣớc đầu đƣợc quan tâm

này thì năm 2008 đã có trên 50 website của các doanh nghiệp thuộc nhiều lĩnh vực
kinh doanh khác nhau nhƣ ngân hàng, hàng không, du lịch, siêu thị bán hàng tổng hợp,
v.v… triển khai thành công việc cung cấp dịch vụ thanh toán trực tuyến cho khách
hàng.
Theo Báo cáo của Ngân hàng Nhà nƣớc Việt Nam, với sự phát triển nhanh chóng
của các dịch vụ thanh toán không dùng tiền mặt, tỷ lệ thanh toán bằng tiền mặt trong
tổng phƣơng tiện thanh toán đã giảm xuống còn 14% vào thời điểm cuối năm 2008, so
với mức 18% của năm 2007.
Về mặt pháp lý, hiện tại chúng ta đang có bốn văn bản pháp lý liên quan đến hoạt
động chứng thực điện tử, đó là :
- Luật Giao dịch điện tử do Uỷ ban Khoa học Công nghệ và Môi trƣờng của Quốc
hội chủ trì ban hành năm 2005.
- Nghị định 26 của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứng thực
điện tử do Bộ Bƣu chính, Viễn thông chủ trì, ban hành ngày 15 tháng 2 năm 2007,
trong đó quy định Ban cơ yếu Chính phủ tành lập và duy trì hoạt động của Tổ chức
cung cấp dịch vụ chứng thực chữ ký ố chuyên dùng phục vụ các cơ quan thuộc hệ
thống chính trị, còn lại các hệ thống cung cấp dịch vụ chứng thực khác do Bộ Thông
tin và Truyền thông quản lý.
- Nghị định số 73/2007/NĐ-CP ngày 8 tháng 5 năm 2007 của chính phủ về hoạt
động nghiên cứu, sản xuất, kinh doanh và sử dụng mật mã để bảo vệ thông tin không
thuộc phạm vi bí mật Nhà nƣớc.
- Quyết định 59 ngày 31 tháng 12 năm 2008 của bộ Thông tin và Truyền thông
ban hành danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực
chữ ký số. Quyết định này đã đƣa ra 6 loại tiêu chuẩn trong giao dịch điện tử đƣợc quy
định bắt buộc phải áp dụng chữ ký số và chứng thực số, bao gồm:
 Chuẩn bảo mật cho HSM (thiết bị lƣu trữ bảo mật).
 Chuẩn mã hóa.
 Chuẩn yêu cầu và trao đổi chứng thƣ số.
 Chuẩn về chính sách và quy chế chứng thực chữ ký số.
 Chuẩn về lƣu trữ và truy xuất chứng thƣ số.

sau đó. Đã rất nhiều lần các thông tin về thẻ tín dụng bị đánh cắp trong các kho dữ liệu
của các hệ thống TMĐT. Những kẻ trộm 'ác' thì sử dụng thẻ tín dụng đánh cắp để thực
hiện một giao dịch nào đó nhằm rút tiền đút vào túi mình, còn một số không ít kẻ trộm
'lành' thì đƣa thông tin lên một trang web và thêm vài lời bình luận. Một trong những
kẻ trộm 'lành' có tên lóng là Curador đã làm nhƣ vậy sau khi ăn cắp đƣợc 5000 mã số
thẻ từ các website nhƣ: www.shoppingthailand.com và đăng kèm thêm một lời cám ơn
Bill Gates vì đã tạo ra phần mềm SQL Server với quyền "cho cả thế giới đọc" trong
cấu hình mặc định. Các CSDL mà Curador đột nhập đã sử dụng SQL Server mà không
sửa đổi gì cấu hình 'nguyên bản từ Bill Gates' này. Một công ty Nga đã có một pha
trình diễn ấn tƣợng trƣớc giới báo chí nƣớc ngoài khi họ dễ dàng chui lọt vào 20 trang
web TMĐT để chứng tỏ là họ có thể lấy cắp 25.000 số thẻ tín dụng và các thông tin đi


7
kèm. Những lỗ hổng mà họ lợi dụng để chui vào là do những ngƣời phát triển trang
web đã tạo ra lỗi trong chƣơng trình ứng dụng của mình. Điều này làm cho khách hàng
thực hiện giao dịch điện tử mất lòng tin trƣớc tình hình bảo mật và an toàn của TMĐT.
Mà sự tin tƣởng là nền tảng của mọi giao dịch thƣơng mại thành công, điều này
càng đúng đối với TMĐT. Nhiều cuộc điều tra cho thấy một trong những trở ngại
chính cho TMĐT chính là thiếu sự tin tƣởng giữa hai hay nhiều bên giao dịch 'ảo' trên
mạng. Sự việc còn bị làm xấu đi khi các kẻ phá hoại cố tình hạ thấp uy tín của 'cửa
hàng' TMĐT của bạn bằng đủ mọi cách khác nhau: sửa chữa nội dung trang web, đƣa
vào các thông tin xấu, tạo các trang web có địa chỉ gần giống để làm lạc hƣớng khách
hàng, đƣa các thông tin bí mật của khách hàng ra ngoài, chuyển khách hàng đến một
trang web khác khi họ định truy cập vào trang chủ của website TMĐT (kỹ thuật
Defacing), dùng kỹ thuật Cross-site scripting và tạo website giả nhằm ăn cắp thông tin
thẻ và thông tin cá nhân của khách hàng trong khi khách hàng vẫn tƣởng đang giao
dịch với trang web TMĐT của bạn...
Từ trên cho thấy, nhu cầu bảo mật và an toàn thông tin cho TMĐT là rất lớn và
chính an toàn TMĐT là một phần không thể thiếu đƣợc của TMĐT. Để bảo mật và an

1.2.2 Khảo sát thực trạng PKI ở một số nƣớc trên thế giới
Trong vài năm gần đây dịch vụ chứng thực điện tử đã ra đời và ngày càng phát
triển ở nhiều nƣớc trên thế giới. Đây là dịch vụ đƣợc cung cấp bởi các đơn vị có thẩm
quyền chứng thực. Rất nhiều quốc gia trên thế giới đã cung cấp dịch vụ chứng thực
điện tử. Một số CA nổi tiếng trên thế giới có thể kể đến nhƣ CA của các công ty
VeriSign, WISeKey, eTrust, ... có chi nhánh tại rất nhiều nƣớc trên thế giới.
Để hỗ trợ phát triển dịch vụ chứng thực điện tử, nhiều nƣớc đã ban hành các văn
bản pháp lý về hoạt động chứng thực điện tử, cấp phép cho các CA và tổ chức hệ
thống CA. Về cấu trúc hệ thống cung cấp dịch vụ chứng thực điện tử, có nƣớc tổ chức
theo sơ đồ hình cây trong đó mức cao nhất là root CA quốc gia, mức dƣới là các CA
cấp dƣới. Bên cạnh đó cũng có quốc gia không thành lập root CA mà tổ chức các CA
theo dạng mắt lƣới hoặc riêng rẽ.
Một số nƣớc trong khu vực đã phát triển khá mạnh dịch vụ chứng thực điện tử.
Nhật Bản đã ban hành Luật về chữ ký điện tử và các dịch vụ chứng thực vào năm
2001. Hàn Quốc ban hành luật chữ ký điện tử vào năm 1999 và ban hành bản sửa đổi
vào năm 2001. Hồng Kông ban hành sắc lệnh về giao dịch điện tử vào năm 2000. Đài
Loan ban hành luật chữ ký số vào năm 2001. Malaysia ban hành luật chữ ký số vào
năm 1997. Singapore ban hành luật giao dịch điện tử vào năm 1998 và Quy định về
giao dịch điện tử cho các CA vào năm 1999. Thái Lan ban hành luật giao dịch điện tử
năm 2001.
Tuy chứng thực điện tử phát triển khá nhanh và đƣợc sử dụng khá hiệu quả trong
rất nhiều ứng dụng nhƣ vậy nhƣng không phải không có những yếu tố cản trở sự phát
triển của nó. Ở đây có thể nêu lên một số yếu tố chính cản trở sự phát triển của chứng
thực điện tử, đó là :
 Còn ít phần mềm ứng dụng hỗ trợ sử dụng chứng thực điện tử.
 Giá thành hệ thống CA cũng nhƣ phí cung cấp dịch vụ cao.
 Thiếu hiểu biết về PKI.
 Có quá nhiều công nghệ đƣợc sử dụng.
 Khó sử dụng đối với ngƣời dùng.
 Khả năng kết hợp làm việc giữa các hệ thống chƣa tốt.

năm nay để từ đó chuẩn bị mở rộng hệ thống ra cả nƣớc trong năm 2010.
Về phía khối hệ thống ngân hàng, Cục CNTT NH Nhà nƣớc cũng đang phát triển,
nâng cấp và hoàn thiện phần mềm CA. Bên cạnh đó tích hợp các nghiệp vụ khác nhƣ
Kế toán giao dịch; Thị trƣờng mở và Hệ thống báo cáo thống kê. Từ đó hoàn thiện hệ
thống của khối ngân hàng theo cơ sở pháp lý.
Nhìn chung, việc phát triển PKI cũng nhƣ chứng thực điện tử đang triển khai
đúng hƣớng và bài bản. Tuy nhiên bên cạnh đó cũng không tránh khỏi những rào cản
về pháp lý, nhận thức dẫn tới việc tiến độ triển khai đại trà mô hình này vẫn còn chậm.
Trong thời gian tới, cần có sự kết hợp chặt chẽ giữa các bộ, ban ngành, các tổ chức
chính phủ và các DN để từ đó thắt chặt sự liên kết, giao dịch, hình thành một hạ tầng
vững chắc, tạo tiền đề thúc đẩy thƣơng mại điện tử và chính phủ điện tử phát triển.


10
Từ những kết quả ứng dụng PKI trong nƣớc và trên thế giới nhƣ trên, ta có thể
khẳng định PKI là một cơ sở hạ tầng về mật mã khóa công khai tin tƣởng để lựa chọn
cho mục đích xây dựng lên những hệ thống thông tin lớn an toàn.
Tóm lại, trong phần này chúng ta đã tìm hiểu tổng quan về TMĐT và nhu cầu bảo
mật và an toàn thông tin cho TMĐT. Qua đó khảo sát thực trạng các hệ thống PKI
dùng để đáp ứng nhu cầu bảo mật và an toàn thông tin trong nƣớc cũng nhƣ nƣớc
ngoài. Sau đây chúng ta sẽ đi nghiên cứu một số cơ sở lý thuyết mật mã.

1.3 Cơ sở lý thuyết mật mã
1.3.1 Khái niệm về mã hóa
Mã hóa là công cụ cơ bản của việc đảm bảo an toàn dữ liệu. Ban đầu, mật mã học
đƣợc sử dụng phổ biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò của mật mã
ngày càng quan trọng và mang lại nhiều thành quả không nhỏ nhƣ các hệ mã cổ điển
Caeser, Playfair,… Chúng đã là nền tảng cho mật mã học ngày nay.
Ngày nay, khi toán học đƣợc áp dụng cho mật mã học thì lịch sử của mật mã học
đã sang trang mới. Việc ra đời các hệ mã hóa đối xứng không làm mất đi vai trò của

Hiện nay các hệ mã hóa đƣợc phân làm hai loại chính là: Hệ mã hóa khóa đối
xứng và hệ mã hóa phi đối xứng hay còn gọi là hệ mã hóa khóa công khai.
Một số hệ mã hóa khóa đối xứng là: Caesar, IDEA, DES, Triple DES…
Một số hệ mã hóa phi đối xứng là: RSA, Elgamal, ECC…

1.3.3 Những yêu cầu đối với hệ mã hóa
Hệ mã hóa phải cung cấp một mức cao về độ tin cậy, tính toàn vẹn, sự không từ
chối và sự xác thực.
 Độ tin cậy: Cung cấp sự bí mật cho các thông báo và dữ liệu đƣợc lƣu bằng
việc che dấu thông tin sử dụng các kỹ thuật mã hóa.
 Tính toàn vẹn: Cung cấp sự bảo đảm với tất cả các bên rằng thông báo còn lại
không thay đổi từ khi tạo ra cho đến khi ngƣời nhận mở nó.
 Tính không từ chối: Có thể cung cấp một cách xác nhận rằng tài liệu đã đến từ
ai đó ngay cả khi họ cố gắng từ chối nó.
 Tính xác thực: Cung cấp hai dịch vụ: đầu tiên là nhận dạng nguồn gốc của một
thông báo và cung cấp một vài sự bảo đảm rằng nó là đúng sự thực. Thứ hai là kiểm
tra đặc tính của ngƣời đang logon một hệ thống và sau đó tiếp tục kiểm tra đặc tính của
họ trong trƣờng hợp ai đó cố gắng đột nhiên kết nối và giả dạng là ngƣời sử dụng.

1.3.4 Mã hóa khóa đối xứng
Hệ mã hóa khóa đối xứng hay là hệ mã hóa mà khóa mã hóa có thể “dễ” tính toán
ra đƣợc từ khóa giải mã và ngƣợc lại. Trong nhiều trƣờng hợp, khóa mã hóa và khóa
giải mã là giống nhau. Hệ mã hóa này còn gọi là hệ mã hóa khóa bí mật.
Khóa sử dụng trong hệ mã hóa này phải đƣợc giữ bí mật và phải đƣợc gửi đi trên
kênh an toàn. Độ an toàn của hệ mã hóa này phụ thuộc vào sự bí mật của khóa.
Có hai loại mã hóa khóa đối xứng: Mã hóa theo từng khối (DES, IDEA, RC2,…)
và mã hóa theo các bit dữ liệu (RC4).
Ưu điểm của mã hóa khóa đối xứng
 Tốc độ mã hóa nhanh.


mã thì mới có khả năng giải mã. Trong nhiều hệ thống, khóa mã hóa gọi là khóa công
khai (public key), khóa giải mã thƣờng đƣợc gọi là khóa riêng (private key).
Khóa mã hóa và khóa giải mã tƣơng ứng có quan hệ toán học với nhau và đƣợc
sinh ra sau khi thực hiện các hàm toán học. Nhƣng các hàm toán học này luôn thỏa
mãn điều kiện là nếu kẻ xấu biết Public Key và cố gắng tính toán ra Private Key, thì sẽ
phải đƣơng đầu với trƣờng hợp nan giải, không khả thi về thời gian.
Một cặp khóa gồm Public Key và Private Key đƣợc gọi là Key Pair.


13
Một thông điệp đƣợc mã hóa bằng Public Key, chỉ có thể giải mã đƣợc bằng
Private Key tƣơng ứng. Một thông điệp đƣợc mã hóa bằng Private Key, chỉ có thể giải
mã đƣợc bằng Public Key tƣơng ứng của nó.
Kẻ xấu muốn tính toán ra thông điệp ban đầu dựa vào Public Key và bản mã, thì
phải giải quyết bài toán “khó” với số phép thử là vô cùng lớn, do đó không khả thi.
Giả sử A muốn gửi cho B một thông điệp: Đầu tiên B phải sinh cặp khóa Public
Key – Private Key. Nếu A muốn gửi cho B một thông điệp đƣợc mã hóa, A yêu cầu
Public Key của B. B gửi cho A Public Key của B trên mạng không an toàn và A dùng
khóa này để mã hóa thông điệp. A gửi thông điệp đƣợc mã hóa cho B và B giải mã
bằng Private Key của B.
Để thực hiện đƣợc phƣơng thức mã hóa dùng khóa công khai, có một số vấn đề
cần giải quyết nhƣ sau:
 Làm thế nào để A có thể biết chính xác Public Key mà A sử dụng đúng là
Public Key của B ?
 Làm thế nào để B biết đƣợc chính xác là thông điệp đƣợc gửi đi từ A?
Chúng ta xem xét các tình huống có thể bị tấn công đối với phƣơng thức mã hóa
khóa công khai nhƣ sau:
 Trường hợp có kẻ nghe trộm thông tin trao đổi trên mạng:
C là một ngƣời nghe trộm, C có thể lấy đƣợc bản mã chuyển từ A đến B, nhƣng
không thể giải mã đƣợc bản mã này vì C không có Private Key của B.

Qua các phân tích trên, chúng ta thấy rằng có hai vấn đề cần phải khắc phục khi sử
dụng phƣơng thức mã hóa dựa trên nền tảng khóa công khai đó là:
 Nếu sử dụng Public Key để mã hóa một thông điệp, thì đảm bảo thông điệp đó
là hoàn toàn bảo mật, nhƣng cần phải kiểm tra tính xác thực của Public Key.
 Nếu sử dụng Private Key để mã hóa một thông điệp, thì có thể giải mã đƣợc
bởi nhiều ngƣời có đƣợc Public Key, nhƣng lại có thể sử dụng phƣơng thức này để
kiểm tra tính xác thực của ngƣời gửi thông điệp.
Nơi ứng dụng:
 Sử dụng chủ yếu trên các mạng công khai nhƣ Internet. Ví dụ sử dụng khóa
công khai trong các giao dịch điện tử.

1.3.6 Thuật toán băm
Để đảm bảo tính toàn vẹn của dữ liệu (không bị thay đổi so với dữ liệu ban đầu),
ngƣời ta đƣa ra các phƣơng thức mã hóa một chiều sử dụng các thuật toán Băm.
Hoạt động của phƣơng thức mã hóa một chiều dựa trên nguyên lý của hàm băm
(hashing function). Theo đó, đầu ra của phƣơng thức này là một đại diện thông điệp
(Message Digest) có chiều dài cố định (message này còn gọi là Digest hoặc Hash, và
thông thƣờng có kích thƣớc nhỏ hơn message ban đầu). Vì Message Digest đƣợc tạo ra
thƣờng ngắn, nên phƣơng thức này còn đƣợc gọi là phƣơng thức tóm lƣợc thông điệp.
Với mỗi đầu vào Plaintext sẽ chỉ có duy nhất 1 kết quả đầu ra tƣơng ứng và từ
Message Digest “khó” tìm ra message dạng Plaintext ban đầu. Message (dạng
Plaintext) sau khi thực hiện hàm hashing sẽ tạo ra một chuỗi các ký tự - đặc trƣng cho
message đầu vào. Giải thuật tạo Message Digest là thuật toán một chiều hay thƣờng
gọi là thuật toán hash.
Thuật toán hashing có 2 đặc điểm chính nhƣ sau:


15
 “Khó” tạo ra message ban đầu dựa trên digest của nó (nói cách khác là thuật toán
hashing phải đảm bảo có tính một chiều, “khó” thực hiện theo chiều ngƣợc lại)

này không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản. Chữ ký thể hiện
trách nhiệm đối với toàn bộ văn bản là chữ ký đƣợc ký trên từng bit văn bản.


16
Thứ hai là vấn đề về kiểm tra. Chữ ký thông thƣờng đƣợc kiểm tra bằng cách so
sánh nó với các chữ ký xác thực khác. Ví dụ, ai đó ký một tấm séc để mua hàng, ngƣời
bán phải so sánh chữ ký trên mảnh giấy với chữ ký nằm ở mặt sau của thẻ tín dụng để
kiểm tra. Dĩ nhiên, đây không phải là phƣơng pháp an toàn vì nó dễ dàng bị giả mạo.
Chữ ký số có thể đƣợc kiểm tra nhờ dùng một thuật toán kiểm tra công khai. Nhƣ
vậy, bất kỳ ai cũng có thể kiểm tra đƣợc chữ ký số.

1.4.2 Sơ đồ chữ ký số
Một sơ đồ chữ kí số thƣờng chứa hai thành phần: thuật toán kí và thuật toán xác
minh. Dƣới đây là định nghĩa hình thức của chữ kí:
Ðịnh nghĩa : Một sơ đồ chữ kí số là bộ 5 (P,A, K,S,V) thoả mãn các điều kiện
dƣới đây:
1. P là tập hữu hạn các bức điện(thông điệp) có thể.
2. A là tập hữu hạn các chữ kí có thể.
3. K không gian khoá là tập hữu hạn các khoá có thể.
4. Với mỗi K thuộc K tồn tại một thuật toán kí sigk  S và là một thuật toán xác
minh verk  V. Mỗi sigk : P  A và verk: P×a  {true,false} là những hàm sao cho
mỗi thông điệp x  P và mối chữ kí y  a thoả mãn phƣơng trình dƣới đây.
verk =

True nếu y=sig(x)
False nếu y≠sig(x)

Với mỗi k thuộc K hàm sigk và verk là các hàm có thời gian đa thức. verk sẽ là
hàm công khai, sigk là bí mật. Không thểFalse


Hình 1-1. Sơ đồ tạo chữ ký
Ngƣời nhận sẽ giải mã thông điệp và chữ ký bằng khóa Private key của mình, giả
sử thu đƣợc thông điệp D‟ và chữ ký d1‟. Sau đó, giải mã chữ ký d1‟ bằng khóa Public
key của ngƣời gửi để lấy d‟ ra. Sau đó cho thông điệp D‟ qua hàm băm để tạo ra d‟‟
mới. Đem so sánh d‟‟ này với d‟ nhận đƣợc. Nếu chúng giống nhau nghĩa là D‟ chính
là D (không bị thay đổi, và do đúng ngƣời A gửi tới). Nếu D‟ khác D có nghĩa là thông
điệp gốc đã bị thay đổi, điều này cũng có thể xảy ra khi khóa công khai và khóa bí mật
không tƣơng ứng.
Sender’s
Public Key

1

Dữ liệu nhận
được d1'

Giải mã

Kết quả d’

3

So sánh

Thuật toán
Hash

2


 Selective forgert: Kẻ tấn công có khả năng tạo ra đƣợc một tập hợp các chữ ký
cho một lớp các thông điệp nhất định, các thông điệp này đƣợc ký mà không cần phải
có khoá mật của ngƣời ký.
 Existential forgery: Kẻ tấn công có khả năng giả mạo chữ ký cho một thông
điệp, kẻ tấn công không thể hoặc có rất ít khả năng kiểm soát thông điệp đƣợc giả mạo
này.
Ngoài ra, hầu hết các chữ ký điện tử đều dựa vào cơ chế mã hoá khoá công khai,
các chữ ký điện tử dựa trên cơ chế này có thể bị tấn công theo các phƣơng thức sau:
 Key-only attacks: Kẻ tấn công chỉ biết khóa chung của ngƣời ký.
 Message attacks: ở đây kẻ tấn công có khả năng kiểm tra các chữ ký khác nhau
có phù hợp với một thông điệp có trƣớc hay không. Ðây là kiểu tấn công rất thông
dụng trong thực tế nó thƣờng đƣợc chia làm 3 lớp:
o Known-message attack: Kẻ tấn công có chữ ký cho một lớp các thông
điệp.
o Chosen-message attack: Kẻ tấn công dành đƣợc các chữ ký đúng cho
một danh sách các thông điệp trƣớc khi tiến hành hoạt động phá huỷ chữ
ký, cách tấn công này là non-adaptive (không mang tính phù hợp) bởi vì
thông điệp đƣợc chọn trƣớc khi bất kỳ một chữ ký nào đƣợc gửi đi.


19
o Adaptive-chosen message attack: Kẻ tấn công đƣợc phép sử dụng ngƣời
ký nhƣ là một bên đáng tin cậy, kẻ tấn công có thể yêu cầu chữ ký cho
các thông điệp mà các thông điệp này phụ thuộc vào khoá công khai của
ngƣời ký, nhƣ vậy kẻ tấn công có thể yêu cầu chữ ký của các thông điệp
phụ thuộc vào chữ ký và thông điệp dành đƣợc trƣớc đây và qua đó tính
toán đƣợc chữ ký.

1.5 Kết chƣơng
Trong chƣơng này chúng ta đã tìm hiểu tổng quan về TMĐT, nhu cầu bảo mật và