วิชาการพัฒนาระบบพาณิชย์อิเลคทรอนิคส์ : หน่วยที่ 4 ระบบการรักษาความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์

การซื้อขายสินค้าบนระบบอิเล็กทรอนิกส์ มีวิธีการชำระเงินผ่านทางระบบอิเล็กทรอนิกส์หลายรูปแบบ ดังที่ได้กล่าวมาในเนื้อหาบทที่แล้ว ซึ่งการชำระเงินผ่านทางอินเทอร์เน็ต ลูกค้าจำเป็นต้องป้อนข้อมูลส่วนตัว บางอย่างที่เกี่ยวข้องการเงิน หากร้านค้าหรือผู้ประกอบการรายได้ ที่ทำการขายสินค้าบนระบบอินเทอร์เน็ต แล้วเว็บไซต์ที่เปิดขายสินค้านั้นจำเป็นต้องมีระบบรักษาความปลอดภัยและระบบการชำระเงินที่มี ประสิทธิภาพอย่างยิ่ง เพื่อป้องการการถูกโจรกรรมข้อมูล และยิ่งช่วยสร้างความน่าเชื่อถือ สร้างความเชื่อมั่น ให้กับลูกค้าได้มากยิ่งขึ้น ในบทนี้จึงนำเสนอ แนวคิดของระบบรักษาความปลอดภัย ภัยคุกคามประเภทต่างๆ ประเภทของรูปแบบการรักษาความปลอดภัย เช่น ระบบการเข้ารหัส ระบบการตรวจสอบชีวลักษณะ ระบบ ลายมือชื่ออิเล็กทรอนิกส์ ใบรับรองอิเล็กทรอนิกส์ ผู้ให้บริการใบรับรองอิเล็กทรอนิกส์ ระบบ SSL และ ระบบ SET เป็นต้น

แนวคิดของระบบรักษาความปลอดภัย

องค์กร บริษัท ห้างร้าน และผู้ประกอบการต่างๆ ในธุรกิจพาณิชย์อิเล็กทรอนิกส์ ต่างก็ต้องการที่จะ หาวิธีการที่จะป้องกันไม่ให้ข้อมูลต่างๆ ที่ถูกส่งผ่านทางระบบเครือข่ายถูกโจรกรรมหรือนาไปดัดแปลง แก้ไข ระหว่างเส้นทางการส่งข้อมูล ซึ่งจะก่อให้เกิดความเสียหายแก่ลูกค้า และเป็นการลดความเชื่อมั่นในการทา ธุรกรรมขององค์กรลงได้ จึงต้องมีแนวทางในการป้องกันความปลอดภัย โดยแบ่งออกเป็น 2 ส่วน คือ การ รักษาความปลอดภัยด้านข้อมูล(Information Assurance) และการรักษาความปลอดภัยด้านผู้ใช้ (User Assurance) โดยมีวัตถุประสงค์ของการรักษาความปลอดภัย ดังนี้

1. เพื่อรักษาความลับของข้อมูล (Confidentiality) หมายถึง การป้องกันข้อมูลไม่ให้ถูกเปิดเผยต่อ บุคคลที่ไม่ได้รับอนุญาต และถ้ามีการขโมยข้อมูลไปแล้วก็ไม่สามารถอ่านหรือทำความเข้าใจได้ โดย การเข้ารหัส (Encryption) ข้อมูลทาให้ข้อมูลอยู่ในรูปแบบของรหัสซึ่งนาไปใช้ประโยชน์ไม่ได้ เว้นแต่ จะรู้วิธีแปลงรหัส (Decryption)เครื่องมือที่นิยมใช้คือ การเข้ารหัสข้อมูล (Data Encryption)

2. เพื่อป้องกันการปลอมแปลงข้อมูล (Integrity) คือ การรักษาความถูกต้องของข้อมูลและป้องกันไม่ให้ มีการเปลี่ยนแปลงแก้ไขข้อมูลโดยมิได้รับอนุญาตซึ่งการที่จะสามารถทาเช่นนี้ได้ ต้องมีระบบควบคุม ว่าผู้ใดจะสามารถเข้าถึงข้อมูลได้และเข้าถึงแล้วทาอะไรได้บ้าง หรือกล่าวได้ว่าเป็นการรักษาข้อมูลที่ส่ง จากผู้ส่งให้เหมือนเดิม และถูกต้องทุกประการเมื่อไปถึงยังผู้รับ รวมถึงการป้องกันไม่ให้ข้อมูลถูก แก้ ไขโดยตรวจสอบไม่ได้ เครื่องมือที่นิยมใช้คือ ลายเซ็นดิจิตอล (Digital Signature)และการใช้ระบบ Hashing

รูปที่ 4.1 แสดงการทางานของระบบ Hashing

3. เพื่อทำให้ระบบนั้นสามารถที่จะทำงานได้ตามปกติและเต็มประสิทธิภาพ ( Availability) ระบบ จะต้องสามารถทำงานได้อย่างดีตามจุดมุ่งหมายในการใช้งานและมีขีดความสามารถปฏิบัติงานได้ใน ปริมาณตามที่ต้องการได้ภายในเวลาที่กาหนด ซึ่งจะช่วยสร้างความเชื่อมั่นให้กับผู้ใช้งานว่าจะเข้าถึง ข้อมูลในเว็บไซต์ ได้จริง และทุกเมื่อที่ต้องการ

4. เพื่อระบุอำนาจหน้าที่ (Authorization) เป็นการควบคุมเข้าถึง (AccessControl)กระบวนการ ตรวจสอบและควบคุมให้อำนาจในการเข้าทำการ เพิ่มเติม เปลี่ยนแปลง แก้ไขข้อมูล ตามหน้าที่ของ แต่ละบุคคล เช่น การกำหนดสิทธิ์การเข้าถึงข้อมูลต่างๆ ในWeb site ระหว่าง Web master และ User ทั่วไปจะแตกต่างกัน โดย Web master สามารถปรับปรุง แก้ไขข้อมูลภายใน Web site ได้ ในขณะที่ User ทั่วไปนั้นไม่สามารถทำได้ เป็นต้น เครื่องมือที่นิยมใช้ คือ การกำหนดรหัสผ่าน การใช้ Firewall หรือใช้เครื่องมือตรวจวัดทางชีวลักษณะ (Biometrics)

5. เพื่อระบุตัวบุคคล (Authentication) เป็นการรับรองตัวตนของบุคคลว่าเป็นผู้นั้นจริงและป้องกัน บุคคลอื่นเข้ามาแอบอ้าง เช่น มีผู้เจตนานร้ายแอบอ้างใช้สิทธิ์ในบัตรเครดิต เป็นต้น โดยอาจดูจาก ข้อมูลบางอย่างที่ใช้ยืนยันหรือระบุตัวตนของบุคคลนั้น เช่น รหัสpin, ลายมือชื่อดิจิตอล (Digital Signature),รหัสผ่าน หรือดูจากลักษณะเฉพาะ/ลักษณะทางกายภาพของบุคคลนั้น เช่น ลายนิ้วมือ, ม่านตา เป็นต้นเครื่องมือที่นิยมใช้คือ การกาหนดรหัสผ่าน ลายเซ็นดิจิตอล และการใช้เครื่องมือ ตรวจวัดทางชีวลักษณะ(Biometrics)

6. การปฏิเสธความรับผิดชอบ (Non-Repudiation) เป็นการป้องกันไม่ยอมให้ปฏิเสธได้ว่าตนไม่ใช่ผู้ส่ง ข้อมูลนั้นการป้องกันการปฏิเสธความรับผิดชอบนี้สามารถนาไปใช้ประโยชน์ในการป้องกันการปฏิเสธ การสั่งซื้อสินค้าจากลูกค้าได้เครื่องมือที่นิยมใช้คือ ลายเซ็นดิจิตอล การบันทึกเวลา การออกใบ รับประกันสินค้า

ระบบการรักษาความปลอดภัยที่มีขีดความสามารถสูงอาจทำให้ขีดความสามารถและความสะดวกในการทำงานของระบบทั้งในด้านปริมาณงานและประสิทธิภาพลดลง ดังนั้น ต้องพิจารณาว่าระดับความปลอดภัยใดจึงจะเหมาะสมกับความสะดวก ปริมาณงาน และประสิทธิภาพของงานที่ต้องการ

ภัยคุมคามที่มีต่อระบบต่างๆ

ภัยคุกคามที่มีต่อระบบ แบ่งออกเป็น 3 ด้าน ดังนี้

1. ภัยต่อระบบฮาร์ดแวร์ได้แก่ ภัยต่อระบบการจ่ายไฟฟ้าแก่คอมพิวเตอร์ภัยที่เกิดจากการทำลายทาง กายภาพภัยจากการลักขโมยโดยตรง

2. ภัยที่มีต่อระบบซอฟต์แวร์ได้แก่การลบซอฟต์แวร์การขโมยซอฟต์แวร์การเปลี่ยนแปลงแก้ไข ซอฟต์แวร์

3. ภัยที่มีต่อระบบข้อมูล ได้แก่ การที่ข้อมูลอาจถูกเปิดเผยโดยมิได้รับอนุญาตหรือเปลี่ยนแปลงแก้ไข เพื่อผลประโยชน์บางอย่าง

ภัยคุมคามที่มีต่อพาณิชย์อิเล็กทรอนิกส์

ภัยคุกคามที่มีต่อพาณิชย์อิเล็กทรอนิกส์ที่พบบ่อยๆ 9 ประการดังนี้

1. การเข้าสู่เครือข่ายที่ไม่ได้รับอนุญาต

2. การทำลายข้อมูลและเครือข่าย

3. การเปลี่ยนการเพิ่มหรือการดัดแปลงข้อมูล

4. การเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต

5. การทาให้ระบบบริการของเครือข่ายหยุดชะงัก

6. การขโมยข้อมูล

7. การปฏิเสธการบริการที่ได้รับและข้อมูลที่ได้รับหรือส่ง

8. การอ้างว่าได้ให้บริการทั้งๆ ที่ไม่ได้ทา และหรือการอ้างว่าได้รับส่ง

9. ไวรัสที่แอบแฝงมากับผู้ที่เข้ามาใช้บริการ

ภัยคุมคามด้านความปลอดภัยของระบบเครือข่าย

1. Denial of service ส่งผลให้เครื่องคอมพิวเตอร์หรือระบบหยุดทำงานโดยไม่ทราบสาเหตุ ด้วยกันหลายวิธี เช่นSpamming, E-mail Bombing,Viruses , Worms, Trojan Horses

อาจมี

2. Unauthorized Access เป็นภัยคุกคามด้วยการเข้าไปยังเครือข่ายโดยไม่ได้รับอนุญาต ซึ่งอาจมี จุดประสงค์ในการโจรกรรมข้อมูล

3. Theft and Fraud คือ การโจรกรรมและการปลอมแปลงข้อมูล

ภัยคุกคามต่างๆ ข้างต้น มีผลทำให้ลูกค้าขาดความเชื่อมั่นต่อองค์กร และส่งผลให้ธุรกิจขององค์กรเกิด ความเสียหาย ซึ่งสามารถแบ่งประเภทของผู้โจมตี และรูปแบบการโจมตีเครือข่าย ได้หลายประเภท ดังต่อไปนี้

ประเภทของผู้โจมตี

สามารถแบ่งผู้โจมตี หรือ Attrackerในระบบเครือข่ายออกเป็น 4 ประเภท ดังนี้

1. แฮกเกอร์(Hacker) เป็นผู้เชี่ยวชาญด้านระบบเครือข่าย และการใช้งานคอมพิวเตอร์ โดยสามารถเจาะ ระบบเข้าไปอ่านหรือขโมยข้อมูลที่สำคัญ และโจมตีระบบคอมพิวเตอร์ขององค์กรต่างๆ ได้

2. อาชญากรทางคอมพิวเตอร์ มีหลายลักษณะ เช่น การขโมยหมายเลขบัตรเครดิตไปใช้ซื้อสินค้า หรือ ขโมยข้อมูลที่เป็นความลับทางการค้าไปขายให้กับคู่แข่ง เป็นต้น

3. ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นการใช้ประโยชน์จากระบบเครือข่ายเป็นเครื่องมือในการก่อการร้าย เช่น การเจาะระบบเครือข่ายเพื่อแก้ไขข้อมูลสำคัญของประเทศ หรือขโมยข้อมูลที่เป็นความลับทาง การทหาร เป็นต้น

4. พนักงานหรือลูกจ้างในองค์กร ซึ่งมีความรู้ด้านระบบเครือข่ายเป็นอย่างดี แต่เกิดทุจริตหรือไม่พอใจ องค์กร จึงทาการขโมยข้อมูล การโจมตีด้วยวิธีนี้จะทาให้เกิดความเสียหายที่ร้ายแรงกว่าการโจมตีจาก บุคคลภายนอกองค์กร

รูปแบบการโจมตี

รูปแบบการโจมตีเครือข่ายที่สำคัญๆ ดังนี้

1. การโจมตีเซิร์ฟเวอร์ (Server) เซิร์ฟเวอร์เป็นคลังเก็บข้อมูลที่สำคัญและเป็นแหล่งให้บริการที่ หลากหลายแก่ผู้ใช้งาน ดังนั้น ข้อมูลและบริการต่างๆ บน Server จึงมักตกเป็นเป้าสำคัญในการ โจมตี

2. การโจมตี Client ข้อมูลที่เก็บไว้ในเครื่องไคลเอนต์ที่แฮกเกอร์ต้องการมีมากมาย เช่นPassword หมายเลขบัตรเครดิต และข้อมูลสำคัญอื่นๆ ซึ่งแฮกเกอร์สามารถนาข้อมูลพวกนี้ไปใช้ ประโยชน์กับตนเองได้ เช่น ใช้ Password เพื่อเข้าสู่ระบบไปแก้ไขข้อมูลบางอย่างใน Server หรือนาหมายเลขบัตรเครดิตไปทำธุรกรรมออนไลน์ เป็นต้น

3. การดักจับ Packet หรือที่เรียกว่า “PacketSniffer” เป็นวิธีโจมตีเครือข่ายโดยดักจับ Packet ข้อมูลที่ส่งผ่าน และนำมาเปิดดูข้อมูลที่อยู่ภายใน เนื่องจาก Packet ข้อมูลบางประเภทไม่มีการ เข้ารหัสไว้ และยังเป็นข้อมูลแบบ Clear Text ที่สามารถอ่านและเข้าใจได้ง่าย ดังนั้น ผู้บุกรุกจึง สามารถนำข้อมูลไปใช้ได้ นอกจากนี้การดักจับ Packet จะใช้แอปพลิเคชันที่ทำงานในด้านนี้ โดยเฉพาะ ผู้บุกรุกจึงไม่จาเป็นต้องมีความรู้ในระดับสูง ก็สามารถดูข้อมูลต่างๆ ภายใน Packet ที่ ดักจับได้

4. การโจมตีแบบ Denial of Service Attacks (DoS) คือ การทำให้เป้าหมายหรือระบบเครือข่ายที่ ถูกโจมตีล่ม จนไม่สามารถให้บริการกับไคลเอนต์เครื่องอื่นได้ โดยลักษณะของการโจมตีมี 3 รูปแบบดังนี้

4.1 การโจมตีโดยส่ง Message หรือ Packet จำนวนมากไปยังเป้าหมาย เพื่อให้เซิร์ฟเวอร์ ต้องจัดการกับ Message มากจนไม่สามารถให้บริการกับไคลเอนต์อื่นได้

4.2 การโจมตีโดยส่ง Message หรือ Packet เดียว คล้ายกับวิธีข้างต้น แต่วิธีนี้จะใช้เพียง Message เดียวสำหรับทำลายระบบการทำงานของเซิร์ฟเวอร์ Message ดังกล่าวจึงต้อง มีประสิทธิภาพมากพอที่จะทาให้ระบบล่มได้

4.3 การโจมตีแบบ Distributed Denial of Service (DoS) เป็นการโจมตีที่รุนแรงกว่า 2 วิธี แรก เนื่องจากจะใช้คอมพิวเตอร์มากกว่าหนึ่งเครื่องโจมตีพร้อมกัน โดยส่งMessage จากหลายเครื่องพร้อมกัน ทำให้มี Message จำนวนมหาศาล ระบบเครือข่ายจึงล่มได้ อย่างรวดเร็ว

5. การโจมตีจาก Virus, Worm, Trojan Horse และ Spam

5.1 Virus เป็นชุดคำสั่งที่มีการทำงานหลายแบบ เช่น ลบไฟล์ เปลี่ยนแปลง แก้ไขข้อมูล เป็น

ต้น ซึ่ง Virus สามารแพร่กระจายไปยังโปรแกรมต่างๆ ในเครื่องคอมพิวเตอร์และทำสำเนาตัวเองเพิ่มขึ้น รวมทั้งแพร่กระจายไปยังเครื่องอื่นๆ ผ่านโปรแกรม หรือไฟล์ข้อมูล ต่างๆ

5.2 Worm เป็นโปรแกรมที่สามารถแพร่กระจายภายในระบบเครือข่ายโดยทำสำเนาตัวเอง ซึ่งจะแตกต่างจาก Virus คือ Worm จะแพร่กระจายโดยอาศัยเพียงระบบเครือข่าย คอมพิวเตอร์เท่านั้น ไม่จำเป็นต้องไปเกาะติดกับโปรแกรมหรือไฟล์ข้อมูลใดๆ

5.3 Trojan Horse เป็นโปรแกรมที่ซ่อนตัวหรือแฝงตัวอยู่กับโปรแกรมอื่นๆ โดยเฉพาะ โปรแกรมที่ดาวน์โหลดมาจากอินเทอร์เน็ต ซึ่งมีจุดประสงค์ที่แตกต่างกัน เช่น การทำลายระบบคอมพิวเตอร์หรือการขโมยข้อมูลต่างๆ เป็นต้น

5.4 Spam หรือ e-Mail Bombing เป็นอีเมล์ที่มีจุดประสงค์เพื่อโฆษณาสินค้า แต่มีการแอบ แฝง Virus หรือ Worm ติดมากับอีเมล์เหล่านั้นด้วย นอกจากนี้ Spam อาจมาใน รูปแบบของการส่งอีเมล์จำนวนมากในคราวเดียวกัน จนทำให้เกิดปัญหาเมล์บ็อกซ์เต็มก็ ได้

จากที่กล่าวมา ดังจะเห็นได้ว่ารูปแบบการโจมตีระบบเครือข่ายมีหลายรูปแบบ องค์กรใดที่ต้องการ พัฒนาระบบพาณิชย์อิเล็กทรอนิกส์ จึงจำเป็นต้องหาวิธีการรักษาความปลอดภัยที่มีประสิทธิภาพเพื่อ ประโยชน์แก่องค์กรและลูกค้าขององค์กรด้วย

ระบบรักษาความปลอดภัย

ระบบรักษาความปลอดภัยแบ่งออกเป็น 2 รูปแบบ คือ ระบบรักษาความปลอดภัยของเครือข่ายและ ระบบรักษาความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์

1. ระบบรักษาความปลอดภัยของเครือข่าย

ระบบรักษาความปลอดภัยของเครือข่ายองค์กรมีการควบคุมความปลอดภัยอยู่ 2 ด้านคือควบคุมการ เข้าถึงทางกายภาพ (Physical Access Control) และควบคุมการเข้าถึงทางตรรกะ (Logical Access Control)

1.1 ควบคุมการเข้าถึงทางกายภาพ (Physical Access Control)

- การล็อคห้องคอมพิวเตอร์อย่างแน่นหนาเมื่อไม่มีการใช้งานแล้ว

- การใช้ยามเฝ้าหรือติดโทรทัศน์วงจรปิด

- การใช้ Back-Up Disk สาหรับการทาข้อมูลสารองอย่างสม่าเสมอและไม่เก็บไว้ในที่

เดียวกันกับระบบคอมพิวเตอร์นั้น ๆ

- ติดตั้งระบบดับเพลิง

1.2 ควบคุมการเข้าถึงทางตรรกะ (Logical Access Control)

- User profiles นิยมใช้กันมากที่สุด ข้อมูลผู้ใช้ประกอบด้วย ชื่อผู้ใช้,รหัสผ่าน และสิทธิการใช้งาน

- การควบคุมความปลอดภัยโดยระบบปฏิบัติการ(Operating System)

- Firewall เป็นการติดตั้งโปรแกรมคอมพิวเตอร์บนคอมพิวเตอร์หรือเครื่องเราท์เตอร์ที่มีหน้าที่จัดการ ควบคุมการเชื่อมต่อจากภายนอกสู่ภายในองค์กร และจากภายในองค์กรสู่ภายนอกองค์กร

- การใช้เครื่องมือทางชีวลักษณะ (Biometrics) เช่น การพิสูจน์บุคคลด้วยลายนิ้วมือ, การ

พิสูจน์บุคคลด้วยเรตินา, การพิสูจน์บุคคลด้วยลายเซ็น, การพิสูจน์บุคคลด้วยอุณหภูมิ,

การพิสูจน์บุคคลด้วยเสียง

- นโยบายองค์กร หน่วยงานใช้นโยบายในการควบคุมต้องกำหนดให้แน่นอนว่าผู้ใช้ใด สามารถเข้าถึงข้อมูลส่วนใดได้บ้าง ใครมีสิทธิที่จะเปลี่ยนแปลงแก้ไขข้อมูล รวมถึงต้องกำหนดแผนป้องกันและกู้ภัยที่อาจเกิดขึ้นได้ด้วย

2. ระบบรักษาความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์ รูปแบบระบบรักษาความปลอดภัยในธุรกิจพาณิชย์อิเล็กทรอนิกส์ มีดังนี้

2.1 การเข้ารหัส (Encryption) การทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทาให้ข้อมูลนั้นเป็นความลับ ผู้มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption) ใช้สมการทางคณิตศาสตร์ และใช้กุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กำหนดไว้ (มีความยาว เป็นบิต โดยยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมากเพราะต้องใช้เวลานานในการคาดเดากุญแจของผู้ คุกคาม)ประกอบด้วยฝ่ายผู้รับ และฝ่ายผู้ส่งตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับให้เป็น ข้อความอ่านไม่รู้เรื่อง (cipher text) โดยใช้สมการหรือสูตรทางคณิตศาสตร์ที่ซับซ้อน เช่น กฎการเพิ่มค่า 13, แฮชฟังก์ชัน (Hash function) เป็นต้น มี 2 ลักษณะ ดังนี้

ตัวอย่างการเข้ารหัสโดยใช้กฎการเพิ่มค่า 13
การเข้ารหัสจะทำโดยการเปลี่ยนตัวอักษร จากตำแหน่งเดิมเป็นตัวอักษรตำแหน่งที่ 13 ของชุด ตัวอักษรนั้น

- การเข้ารหัสแบบสมมาตร (Symmetric encryption)

วิธีนี้ทั้งผู้รับและผู้ส่งข้อความจะทราบคีย์ที่เหมือนกันทั้งสองฝ่ายและใช้คีย์เดียวกันในการรับหรือส่ง ข้อความ อาจเรียกอีกอย่างว่า Secret Key, Single Key หรือ กุญแจลับ

รูปที่ 4.2 แสดงการเข้ารหัสแบบสมมาตร (Symmetric encryption)

รูปที่ 4.3 แสดงข้อความที่มีการเข้ารหัสแบบสมมาตร

ข้อดี

การเข้ารหัสข้อมูลทำได้รวดเร็วกว่าเมื่อเทียบกับวิธี AsymmetricEncryption

ข้อเสีย
- Confidentiality : ผู้อื่นนอกเหนือจากผู้รับและผู้ส่งอาจรู้ Key ด้วยวิธีใดก็ตามแล้วใช้Key ใน การถอดรหัส (Decryption) เพื่ออ่านข้อมูล ซึ่งทาให้ข้อมูลไม่เป็นความลับอีกต่อไป
- Authentication / Non-Repudiation: ไม่มีหลักฐานใดที่พิสูจน์หรือยืนยันได้ว่าผู้ส่งหรือผู้รับ ได้กระทำรายการจริงๆ เพราะใครก็ตามที่รู้ Key ก็สามารถเข้ารหัสข้อความได้เช่นเดียวกัน

- การเข้ารหัสแบบอสมมาตร (Asymmetric encryption)

ใช้แนวคิดของการมี Key เป็นคู่ ๆ โดยที่ Key แต่ละคู่จะสามารถเข้าและถอดรหัสของกันและกันได้ เท่านั้น Key แรกจะถูกเก็บรักษาอยู่กับเจ้าของ Key เท่านั้น เรียกว่า Private key และคู่ของ Private key ที่ เปิดเผยต่อสาธารณะหรือส่งต่อให้ผู้อื่นใช้ เรียกว่า Public keyเน้นที่ผู้รับเป็นหลัก คือ จะใช้กุญแจสาธารณะ ของผู้รับซึ่งเป็นที่เปิดเผยในการเข้ารหัส และจะใช้กุญแจส่วนตัวของผู้รับในการถอดรหัส

รูปที่ 4.3 แสดงการเข้ารหัสแบบอสมมาตร (Asymmetric encryption)

รูปที่ 4.4 แสดงข้อความที่มีการเข้ารหัสแบบอสมมาตร

ข้อดี

- ใช้รักษาความลับของข้อความที่จะจัดส่งไปโดยใช้วิธีการเข้ารหัสด้วย Public-Key

- ความเสี่ยงของการล่วงรู้ Private-Key จากผู้อื่นเป็นไปได้ยากเมื่อเทียบกับวิธี Symmetric Encryption เนื่องจาก Private-Key จะถูกเก็บรักษาโดยเจ้าของคนเดียวเท่านั้น

- แก้ปัญหาในส่วน Authenticate / Non-Repudiation เนื่องจากสามารถพิสูจน์ได้ว่าบุคคลที่ ส่งข้อมูลนั้นเป็นผู้ส่งเองจริงๆ ซึ่งทำได้โดยใช้วิธีการเข้ารหัสด้วย Private-Key

ข้อเสีย

การเข้ารหัสข้อมูลทำได้ช้ากว่าเมื่อเทียบกับวิธี SymmetricEncryption เนื่องจากAlgorithm ที่ใช้ เป็นวิธีการคำนวณทางคณิตศาสตร์ในขณะที่ Algorithm ของวิธีSymmetricEncryption นั้นจะใช้การแทนที่ (Substitution) และการสลับที่ (Permutation

2.2 การพิสูจน์ด้านชีวลักษณะ (Biometrics Authentication)

การพิสูจน์ด้านชีวลักษณะ เป็นการพิสูจน์ตัวตนในการเข้าถึงข้อมูล โดยใช้อวัยวะต่างๆ ของร่างกาย รวมถึงการเคลื่อนไหวของผู้ใช้ ดังนี้

- การพิสูจน์ตัวตนจากลายนิ้วมือ (Fingerprint Identification) เนื่องจากลายนิ้วมือของแต่ละ บุคคลมีความแตกต่าง จึงสามารถนำมาใช้เป็นเครื่องมือพิสูจน์ตัวตนได้ วิธีนี้ยังเป็นที่นิยมใช้ กันมากที่สุดเนื่องจากมีต้นทุนต่ำ

- การพิสูจน์ตัวตนจากม่านตา (Iris Identification) เป็นวิธีระบุตัวตนของผู้ใช้โดยการตรวจ จากแบบแผนของม่านตา (Iris Pattern) ซึ่งสามารถบ่งบอกตัวตนของแต่ละคนได้ดีกว่าการ ตรวจจากลายนิ้วมือ เนื่องจากม่านตาจะมีลักษณะที่ซับซ้อนกว่าลายนิ้วมือ การพิสูจน์ตัวตน วิธีนี้ยังช่วยลดข้อจำกัดจากการปลอมแปลงลายนิ้วมืออีกด้วย จึงนิยมนาไปใช้กับองค์กรขนาด ใหญ่ที่ต้องการความปลอดภัยสูงแต่ไม่นิยมใช้ในองค์กรทั่วไป เพราะมีต้นทุนสูง

- การพิสูจน์ตัวตนโดยการจดจาใบหน้า (Face Recognition) แต่รูปหน้าของบางคนอาจมี ลักษณะใกล้เคียงกันได้ ดังนั้นการพิสูจน์แบบนี้จะนาไปใช้เพื่อตรวจสอบขั้นต้นเท่านั้น

- การพิสูจน์ตัวตนโดยวิธีการอื่นๆ เช่น เสียง (Voice Identification) หรือ ลายมือชื่อ (Signature Identification) เป็นต้น โดยอาจนำวิธีเหล่านี้มาใช้ร่วมกัน เพื่อให้ได้ผลลัพธ์ที่ มั่นใจมากยิ่งขึ้นก็ได้

2.3 ลายเซ็นดิจิตอล (Digital Signature)

การส่งข้อมูลผ่าน ระบบเครือข่ายนั้น นอกจากจะทำให้ข้อมูลที่ส่งนั้นเป็นความลับสำหรับผู้ไม่มีสิทธิ์ เปิดดูข้อมูลโดยการใช้เทคโนโลยีการเข้ารหัสแล้ว สาหรับการทำนิติกรรมสัญญาโดยทั่วไป ลายมือชื่อจะเป็นสิ่ง ที่ใช้ในการระบุตัวบุคคล (Authentication) และ ยังมีแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้นๆซึ่ง รวม ถึงการป้องกันการปฏิเสธความรับผิดชอบ(Non-repudiation) สำหรับในการทำธุรกรรมทาง อิเล็กทรอนิกส์จะใช้ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature) ซึ่งมีรูปแบบต่างๆ เช่น สิ่งที่ระบุตัว บุคคลทางชีวภาพ(ลายพิมพ์นิ้วมือ เสียง ม่านตา เป็นต้น) หรือจะเป็นสิ่งที่มอบให้แก่บุคคลนั้นๆ ในรูปแบบของ รหัสประจำตัว

ลายมือชื่อดิจิตอล (Digital Signature) คือ ข้อมูลอิเล็กทรอนิกส์ที่ได้จากการเข้ารหัสข้อมูลด้วยกุญแจ ส่วนตัวของผู้ส่งซึ่งเปรียบเสมือนเป็นลายมือชื่อของผู้ส่ง คุณสมบัติของลายมือชื่อดิจิตอล นอกจากจะสามารถ ระบุตัวบุคคล และเป็นกลไกการป้องกันการปฏิเสธความรับผิดชอบแล้ว ยังสามารถป้องกันข้อมูลที่ส่งไปไม่ให้ ถูกแก้ไข หรือ หากถูกแก้ไขไปจากเดิมก็สามารถล่วงรู้ได้ กระบวนการสร้างและ ลงลายมือชื่อดิจิตอลมีขั้นตอน แสดงดังนี้ คือ

1. นำข้อมูลอิเล็กทรอนิกส์ต้นฉบับที่จะส่งไปนั้นมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชัน ย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้นๆ ที่เรียกว่า ข้อมูลที่ย่อยแล้ว (Digest) ก่อนที่จะทำการ เข้ารหัส เนื่องจากข้อมูลต้นฉบับมักจะมีความยาวมากซึ่งจะทำให้กระบวนการเข้ารหัสใช้เวลานานมาก

ทำการเข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่งเอง ซึ่งจุดนี้เปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้น ที่มีกุญแจส่วนตัวของผู้ส่งเอง และ จะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่า ลายมือชื่อดิจิตอล

2. ทำการส่ง ลายมือชื่อไปพร้อมกับข้อมูลต้นฉบับ ไปยังผู้รับ ผู้รับก็จะทำการตรวจสอบว่าข้อมูลที่ ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยการนำข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อย ข้อมูล จะได้ข้อมูลที่ย่อยแล้วอันหนึ่ง
3. นำลายมือชื่อดิจิตอล มาทำการถอดรหัสด้วย กุญแจสาธารณะของผู้ส่ง ก็จะได้ข้อมูลที่ย่อยแล้วอีก อันหนึ่ง แล้วทำการเปรียบเทียบ ข้อมูลที่ย่อยแล้วทั้งสองอัน ถ้าหากว่าเหมือนกัน ก็แสดงว่าข้อมูลที่ได้รับนั้น ไม่ได้ถูกแก้ไข แต่ถ้าข้อมูลที่ย่อยแล้ว แตกต่างกัน ก็แสดงว่า ข้อมูลที่ได้รับถูกเปลี่ยนแปลงระหว่างทาง

ข้อสังเกตของลายมือชื่อดิจิตอล

- ลายมือชื่อดิจิตอลจะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลงลายมือชื่อ ไม่เหมือนกับ ลายมือชื่อทั่วไปที่จะต้องเหมือนกันสำหรับบุคคลนั้นๆ ไม่ขึ้นอยู่กับเอกสาร

- กระบวนการที่ใช้จะมีลักษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร แต่การเข้ารหัสจะใช้ กุญแจ ส่วนตัวของผู้ส่ง และ การถอดรหัสจะใช้ กุญแจสาธารณะของผู้ส่ง ซึ่งสลับกันกับ การเข้าและ ถอดรหัสแบบกุญแจอสมมาตร ในการรักษาข้อมูลให้เป็นความลับ

รูปที่ 4.5 แสดงการทำงานของระบบลายมือชื่อดิจิตอล

จากรูปที่ 4.5 แสดงการทางานของระบบลายมือชื่อดิจิตอล โดยอธิบายขั้นตอนจากภาพได้ดังนี้

1. นำเอาข้อมูลอิเล็กทรอนิกส์ที่เป็นต้นฉบับมาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่าHash Function จะได้ข้อมูลที่ย่อยแล้ว (Digest)

2. เข้ารหัสด้วยกุญแจส่วนตัว (Private key) ของผู้ส่งเอง เปรียบเสมือนการลงลายมือชื่อของผู้ส่ง จะได้ ลายมือชื่ออิเล็กทรอนิกส์

3. ส่งลายมือชื่ออิเล็กทรอนิกส์ไปพร้อมกับข้อมูลอิเล็กทรอนิกส์ต้นฉบับไปยังผู้รับ

4. ผู้รับทำการตรวจสอบว่าข้อมูลที่ได้รับถูกแก้ไขระหว่างทางหรือไม่ โดยใช้วิธี Digest (แยกแยะ)

5. นำรายมือชื่อมาถอดรหัสด้วยกุญแจสาธารณะของผู้ส่ง จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง

6. เปรียบเทียบข้อมูลที่ย่อยแล้วทั้งสองโดยถ้าเหมือนกันแสดงว่าข้อมูลไม่ได้ถูกแก้ไขแต่ถ้าต่างกันแสดงว่าข้อมูลถูกเปลี่ยนแปลงระหว่างทาง

ปัญหาในการสร้างลายมือชื่อดิจิตอล โดยถึงแม้จะสามารถสร้างและตรวจสอบลายมือชื่อได้ แต่จะ

มั่นใจได้อย่างไรในเมื่อกุญแจคู่สร้างขึ้นโดยอยู่ในความรู้เห็นของผู้ใช้ลายมือชื่อดิจิตอลเท่านั้นใครจะเป็นผู้ดูแล การจัดการกับกุญแจสาธารณะซึ่งมีเป็นจานวนมาก

2.4 ใบรับรองดิจิตอล (Digital Certificate)

ด้วยเทคนิคการเข้ารหัสและลายมือชื่อดิจิตอลที่ใช้ในการทาธุรกรรม ทาให้เราสามารถรักษาความลับ ของข้อมูล (Confidentiality) สามารถรักษาความถูกต้องของข้อมูล (Integrity) และสามารถระบุตัวบุคคล (Authentication) ได้ระดับหนึ่ง เพื่อเพิ่มระดับความปลอดภัยในการระบุตัวบุคคลโดยสร้างความเชื่อถือมาก ขึ้นด้วยใบรับรองดิจิตอล (Digital Certificate) ซึ่งออกโดยองค์กรกลางที่เป็นที่น่าเชื่อถือ เรียกว่า องค์กร รับรองความถูกต้อง(Certification Authority) จะถูกนำมาใช้สำหรับยืนยันในตอนทำธุรกรรมว่าเป็นบุคคล นั้นๆ จริง ตามที่ได้อ้างไว้ สำหรับรายละเอียดในใบรับรองดิจิตอลทั่วไปมีดังต่อไปนี้

- ข้อมูลระบุผู้ที่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่

- ข้อมูลระบุผู้ออกใบรับรอง ได้แก่ ลายมือชื่อดิจิตอลขององค์กรที่ออกใบรับรอง หมายเลขประจำตัวของผู้ออกใบรับรอง

- กุญแจสาธารณะของผู้ที่ได้รับการรับรอง

- วันหมดอายุของใบรับรองดิจิตอล

- ระดับชั้นของใบรับรองดิจิตอล ซึ่งมีทั้งหมด 4 ระดับ ในระดับ 4 จะมีกระบวนการตรวจสอบเข้มงวดที่สุด และ ต้องการข้อมูลมากที่สุด

- หมายเลขประจำตัวของใบรับรองดิจิตอลเพื่อรับรองความเป็นเจ้าของเว็บไซต์

เมื่อเริ่มการเชื่อมต่อระบบรักษาความปลอดภัยกับเว็บไซต์ โปรแกรมเบราว์เซอร์ (Browser) จะเรียก สำเนาของใบรับรองดิจิตอลจากเว็บเซิร์ฟเวอร์ (Web Server) โดยมีกุญแจสาธารณะเพื่อเข้ารหัสข้อมูลที่ ส่งผ่านเว็บไซต์นั้นเพื่อเป็นการให้ความมั่นใจว่าได้ติดต่อกับเว็บไซต์นั้นจริงและป้องกันการขโมยข้อมูลลูกค้า จากเว็บไซต์อื่น (spoofing) อีกทั้งยังยืนยันในการทาธุรกรรมว่าเป็นบุคคลนั้น จริงๆ

ประเภทของใบรับรองดิจิตอล

ประเภทของใบรับรองดิจิตอล โดยทั่วไป แบ่งไดเ้ป็น 2 ประเภท ดังนี้

รูปที่ 4.6 แสดงใบรับรองสำหรับบุคคลทั่วไป ที่มา : http://www.docstoc.com

2. ใบรับรองสำหรับเครื่องแม่ข่าย เหมาะสำหรับหน่วยงานที่ต้องการสร้างความเช่ือมั่นในการเผยแพร่ ข้อมูลแก่บุคคลทั่วไป หรือการทำธุรกรรม E-Commerce เครื่องแม่ข่ายในท่ีนี้คือเครื่องเว็บเซิร์ฟเวอร์ (Web Server)

รูปที่ 4.7 แสดงใบรับรองสาหรับเครื่องแม่ข่าย ที่มา :http://www.krungsrionline.com

โปรโตคอล HTTPS (Hypertext Transfer Protocol Security) เป็นโปรโตคอลที่ใช้ในการเข้ารหัส ข้อมูล (Encryption) และตรวจสอบสิทธิ์ ซึ่งทำงานอยู่บนพอร์ต 443 ภายในชั้น HTTP กับ TCP พัฒนาโดย บริษัท Netscape และได้รับการรับรองจากบริษัทรักษาความปลอดภัยขนาดใหญ่ เช่น VeriSign Inc. ว่าเป็น โปรโตคอลที่สามารถรักษาความลับของข้อมูล ทำให้ผู้มีเจตนาร้ายสามารถขโมยข้อมูลที่ส่งมาจากผู้ซื้อสินค้าไป ยังร้านค้าออนไลน์ได้

รูปที่ 4.8 แสดงโปรโตคอล HTTPS ที่มา :http://www.krungsrionline.com

ผู้ให้บริการออกใบรับรอง (Certification Authority : CA)

ผู้ให้บริการออกใบรับรอง คือ หน่วยงานที่ออกใบรับรอง CA ให้กับบุคคลหรือองค์กรที่ต้องการใช้หน้าที่หลักคือการรับรอง (ความถูกต้อง) ตัวบุคคลหรือองค์กรเพื่อใช้ในโลกอิเล็กทรอนิกส์ ผู้ให้บริการออกใบรับรองต้องมีระบบรักษาความปลอดภัยของข้อมูลในระดับสูง ผูู่้ให้บริการออกใบรับรองมีทั้งในและต่างประเทศซึ่งแต่ละองค์กรจะมีการมาตรฐานการตรวจสอบแตกต่างกันไป ผู้ให้บริการออกใบรับรอง ที่มีชื่อเสียงระดับสากลมี หลายบริษัท เช่น Verisign , Entrust , Globalsign, Thawte เป็นต้น

ปัจจุบันผู้ให้บริการ CA ในไทย มี 3 หน่วยงานได้แก่

1. G-CA (Government Certification Authority) ดาเนินงานภายใต้สานักบริการเทคโนโลยี สารสนเทศภาครัฐ(สบทร.) ซึ่งเป็นหน่วยงานหนึ่งของศูย์เทคโนโลยีอิเล็กทรอนิกส์และ คอมพิวเตอร์แห่งชาติ (เนคเทค) โดยมีเว็บไซต์ชื่อhttps://gca.thaigov.net/signin.php

2. บริษัท Thai Digital ID (www.thaidigitalid.com)

3. บริษัท Acerts จำกัด (www.acerts.com)

บทบาทของผู้ให้บริการออกใบรับรองประกอบด้วย

1. การให้บริการเทคโนโลยีการเข้ารหัส

การสร้างกุญแจสาธารณะ (Public Key) กุญแจส่วนตัว (Private Key) แก่ผู้ขอใช้บริการ (ลงทะเบียน) การส่งมอบกุญแจที่ได้สร้างให้ การสร้างและการรับรองลายมือชื่อดิจิตอล

2. การให้บริการเกี่ยวกับการออกใบรับรองเพื่อสร้างความน่าเชื่อถือบนโลกอินเทอร์เน็ต

3. บริการเสริมอื่นๆ เช่นการตรวจสอบสัญญาต่างๆ การกู้กุญแจเป็นต้น

4. เป็นบุคคลที่สาม ซึ่งมีหน้าที่

- สร้างกุญแจคู่ (กุญแจส่วนตัว และกุญแจสาธารณะ) ตามคำขอของผู้ขอใช้บริการ

- ตรวจสอบสถานะและออกใบรับรองดิจิตอลเพื่อยืนยันตัวผู้ขอใช้บริการ

- จัดเก็บกุญแจสาธารณะของผู้ขอใช้บริการในฐานข้อมูล

- เปิดเผยกุญแจสาธารณะต่อสาธารณชนที่ติดต่อทางเครือข่าย

- เปิดเผยรายชื่อใบรับรองที่ถูกเพิกถอนต่อสาธารณชน

- ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะตามคำขอของบุคคลทั่ว ๆ ไป

- ตรวจสอบระบบการทำงานภายในของตนเองอย่างปลอดภัย ด้วยบุคคลที่มีอำนาจเฉพาะเท่านั้น

- มีระบบจัดเก็บ สร้าง และกู้ กุญแจสาหรับถอดรหัส เพื่อป้องกันปัญหากุญแจหายอย่าง

ถาวร โดยเป็นไปอย่างเป็นความลับและปลอดภัย

- สร้างกุญแจใหม่แทนกุญแจเก่าโดยอัตโนมัติ (หากต้องการ) พร้อมจัดเก็บประวัติทั้งหมด ที่ผ่านมาของกุญแจสาหรับถอดรหัส

- ควบคุมดูแลระบบกุญแจที่ถูกเพิกถอนได้อย่างถูกต้องคงเส้นคงวา

- มีระบบจัดเก็บจัดเก็บใบรับรองดิจิตอลแยกต่างหาก ตามมาตรฐานLightweight

Directory Access Protocol (LDAP)

- มีระบบรองรับ Non-repudiation (ไม่อาจปฏิเสธความรับผิดชอบได้)

- สามารถใช้กับ Smart cards, Token keys, Button keys ฯลฯ ควบคู่กับStrong

password

- สามารถเชื่อมต่อกับระบบของผู้ให้บริการออกใบรับรองดิจิตอลอื่น

ฯลฯ

ขั้นตอนการออกใบรับรอง

1. สมัครขอใช้บริการกับผู้ออกใบรับรอง (CA) ผ่านทางหน่วยงานรับลงทะเบียนของผู้ออกใบรับรอง (Registration Authority : RA)

2. RA ตรวจสอบสถานะของผู้สมัครว่าเป็นผู้สมัครที่แท้จริง (ตรวจสอบเอกสารที่กาหนดโดยผู้สมัครอาจ ต้องเดินทางมายืนยันตัวตนต่อหน้า RA ขึ้นอยู่กับประเภทของใบรับรอง)

3. ชำระค่าบริการ

4. RA ออกใบรับรองดิจิตอลและผู้ขอใบรับรองเข้าไปหยิบใบรับรองดิจิตอลและกุญแจคู่ด้วยตนเองผ่าน ทางเว็บไซต์ของ CA แล้วเก็บไว้ในเครื่องคอมพิวเตอร์, แผ่น Diskette,Smart Card,USB Token ฯลฯ
5. ผู้ขอใบรับรองนำใบรับรองและกุญแจคู่ไปใช้ในการทำธุรกรรมกับผู้อื่น

2.5 Secure Socket Layer (SSL)

เป็นโปรโตคอลที่พัฒนาโดยบริษัท Netscape เพื่อใช้ในการรักษาความปลอดภัยให้กับข้อมูลของ ไคลเอนต์และเซิร์ฟเวอร์ โดย SSL เป็นระบบรักษาความปลอดภัยในด้านการชำระเงินออนไลน์ที่นิยมใช้กันทั่วโลก โดยสามารถจ่ายด้วยบัตรเครดิต ผ่านทางเว็บไซต์ซึ่ง ระบบ SSL จะช่วยสร้างความมั่นใจในความ ปลอดภัยของข้อมูลให้กับผู้ซื้อและผู้ขายในการส่งข้อมูลบัตรเครดิตผ่านเครือข่ายอินเทอร์เน็ตไปยังธนาคารหรือ บริษัทบัตรเครดิต และเพื่อให้แน่ใจว่าข้อมูลที่ส่งระหว่างกันนั้น จะไม่มีผู้ลักลอบนำข้อมูลไปใช้ได้ โดยเนื้อความ ในส่วนของลูกค้าสามารถตรวจสอบได้ว่า ณ เวลานั้นนั้นข้อมูลที่ส่งให้กับผู้ขายมีการเข้ารหัส เพื่อรักษาความ ปลอดภัย ซึ่งสามารถสังเกตได้จาก

1. ช่องแสดงชื่อเว็บไซต์จะแสดงโปรโตคอล HTTPS ตามด้วยชื่อเว็บไซต์ แทนที่จะเป็นHTTP ตามปกติ

2. ในกรอบด้านล่างของโปรแกรมเบราว์เซอร์ จะมีรูปกุญแจล็อกอยู่ ผู้ซื้อ สามารถตรวจสอบตัวตนของผู้ขายก่อนได้โดยดูจากใบรับรองอิเล็กทรอนิกส์ที่ผู้ขายขอจาก CA แต่ส่วนใหญ่ ผู้ขายไม่สามารถตรวจสอบตัวตนของผู้ซื้อได้เพราะผู้ซื้อไม่มีบัตรรับรองอิเล็กทรอนิกส์ เมื่อมีการเข้ารหัสข้อมูล ที่ผู้ซื้อส่งให้กับผู้ขายผ่านเครือข่ายอินเทอร์เน็ต ดังนั้น จึงมีเฉพาะผู้ขายเท่านั้นที่อ่านข้อความนั้นได้ เพราะมี กุญแจในการถอดรหัส ซึ่งจะเห็นว่าระบบ SSL นั้นสามารถสร้างความมั่นใจให้กับลูกค้าได้ว่าข้อมูลที่ส่งไปนั้น จะถูกอ่านได้โดยเจ้าของเว็บไซต์ตัวจริงเท่านั้น โดยจะใช้วิธีการด้วยดังนี้

1. การเข้ารหัส (Encryption)
2. ลายเซ็นดิจิตอล (DigitalSignature)

3. ใบรับรองอิเล็กทรอนิกส์ (DigitalCertification) คือข้อมูลอิเล็กทรอนิกส์ที่ออกโดยองค์กรออก ใบรับรอง (CA) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกอิเล็กทรอนิกส์ กล่าวคือ ใบรับรอง อิเล็กทรอนิกส์จะบอกรายละเอียด เช่น ผู้ใช้คือใคร มีข้อมูลส่วนตัวหรือข้อมูลขององค์กรใดบ้าง และ Public Key ที่ใช้ในการถอดรหัสคืออะไร เป็นต้นไคลเอนต์และเซิร์ฟเวอร์สามารถร้องขอใบรับรอง ดิจิตอล เพื่อตรวจสอบตัวตนของแต่ละฝ่ายก่อนที่จะมีการติดต่อสื่อสารเพื่อทาธุรกรรมได้ อันจะทาให้ ทั้งสองฝ่ายมีความมั่นใจมากยิ่งขึ้น

รูปที่ 4.9 แสดงวิธีการส่งข้อมูลด้วย SSL

อย่างไรก็ตามความเสี่ยงจากการทำธุรกรรมก็ยังคงมีอยู่ซึ่งอาจเกิดจากสาเหตุ 2 ประการ คือ

1. เว็บไซต์ของร้านค้านั้นถูกบุกรุก และผู้บุกรุกสามารถนำไฟล์ข้อมูลต้นฉบับทั้งหมดที่ลูกค้าส่งมาให้ ผู้ขายไปอ่านได้ เพราะถูกถอดรหัสไว้เรียบร้อยแล้ว

2. พนักงานของร้านค้าออนไลน์นั้นทุจริตโดยนาข้อมูลของลูกค้าไปใช้ในทางมิชอบ
วิธีแก้ไขคือ ร้านค้าพาณิชย์อิเล็กทรอนิกส์ไม่ควรเก็บข้อมูลสำคัญที่เป็นความลับของลูกค้า เช่น

หมายเลขบัตรเครดิตไว้บนเครื่องคอมพิวเตอร์ของตนเพราะแม้จะมีการป้องกันแน่นหนาเพียงใด ก็อาจเกิดช่อง โหวได้สาหรับร้านค้าพาณิชย์อิเล็กทรอนิกส์ที่ใช้ระบบชำระเงินด้วยบัตรเครดิตเชื่อมกับเครือข่ายของ VISA มักจะส่งข้อมูลหมายเลขบัตรเครดิตไปตรวจสอบกับธนาคารเท่านั้นเมื่อผ่านแล้วจะเก็บเฉพาะเลขลำดับรายการ และรหัสอนุมัติของธนาคาร ( Approval Code) ต่อบัตรเครดิตนี้เท่านั้นไว้บนเครื่องคอมพิวเตอร์ของตน ซึ่ง เป็นการป้องกันความเสี่ยงได้อีกทางหนึ่ง

จากสถานการณ์ปัจจุบันการทำธุรกรรมผ่านอินเทอร์เน็ตมีความเสี่ยงมากขึ้น การเข้ารหัสข้อมูลผ่าน SSL จึงเป็นส่วนสำคัญ ที่จะช่วยสร้างความน่าเชื่อถือ และความมั่นใจในความปลอดภัย ให้ทั้งเจ้าของเว็บไซต์ และผู้ใช้งานเว็บไซต์ด้วย ซึ่งระบบ SSL จะทาให้ การรับ - ส่งข้อมูลสำคัญ เช่น ข้อมูลส่วนตัว ข้อมูลบัตรเครดิต Password รหัสผ่านต่าง ๆ ไม่ถูกเปิดเผย หรือถูกขโมยได้ สร้างความปลอดภัยให้กับผู้ใช้งาน

บริการนี้เหมาะสำหรับเว็บไซต์ e-commerce (ขายของออนไลน์) ที่มีการชำระเงินผ่านบัตรเครดิต , เว็บไซต์การเงินการธนาคาร และเว็บไซต์ที่ให้ความสำคัญในการรับ – ส่งข้อมูลสูง มีระบบ Login Username & Password เช่น Web E-Mail , Intranet , เว็บที่มีข้อมูลสำคัญ , ข้อมูลที่เป็นความลับ ที่ต้องการความปลอดภัยสูง หรือการใช้งานภายในองค์กร เป็นต้น ตัวอย่างของร้านค้าบนเว็บที่ใช้ SSL ได้แก่amazon.com ซึ่งเป็นร้าน ขายหนังสือที่ใหญ่ที่สุดบนเว็บในขณะนี้ อย่างไรก็ตาม เนื่องจากSSL ได้ถูกใช้งานมาเป็นเวลา หลายปี

2.6 Secure Electronic Transaction (SET)

ระบบ SET ปัจจุบันมีใช้กันอยู่ใน 34 ประเทศ ซึ่งระบบนี้ จะมีความปลอดภัยกว่าระบบที่ใช้กันอยู่ใน ปัจจุบัน ระบบ SET จะแตกต่างจากระบบ SSL ตรงที่ระบบ SET จะมีหน่วยงานกลางที่ถูกจัดตั้งขึ้นมาเพื่อ ยืนยันการทาธุรกรรม (Certification Authority : CA) SET พัฒนาขึ้นในปี ค.ศ. 1997 โดย Visa และ MasterCard ด้วยความร่วมมือจาก Microsoft และNetscape โดยที่ SET เป็นโปรโตคอลที่ใช้รักษาความ ปลอดภัยในระบบการชาระเงินด้วยบัตรเครดิตผ่านทางเครือข่ายอินเทอร์เน็ต โดยกำหนดให้ใช้รับรอง อิเล็กทรอนิกส์ (Digital Certificates) เพื่อพิสูจน์ตัวตนของบุคคลที่เกี่ยวข้องกับการซื้อขายทุกฝ่าย โดยมีผู้ที่ เกี่ยวข้องคือ ผู้ออกบัตร, ผู้ถือบัตร, สถาบันผู้ประมวลผล, Payment Gateway และ Certificate Authority

วัตถุประสงค์หลักของการนำ SET มาใช้งาน คือ เพื่อแก้ไขปัญหาร้านค้าทราบข้อมูลที่สำคัญทาง การเงินของลูกค้า ในกรณีที่ลูกค้าชาระเงินโดยใช้บัตรเครดิต ยกตัวอย่างเช่น ข้อมูลหมายเลขบัตรเครดิตที่ ลูกค้ากรอกในแบบฟอร์ม เป็นต้น แม้ว่าเราจะสามารถใช้ SSL เข้ารหัสข้อมูลในการแลกเปลี่ยนข้อมูลบน แบบฟอร์ม ป้องกันผู้ที่มีเจตนาร้ายไม่ให้สามารถขโมย หรืออ่านข้อมูลที่ถูกเข้ารหัสได้ก็ตาม แต่ SSL ก็ไม่ สามารถป้องกันร้านค้านำข้อมูลไปใช้ในทางที่ผิดได้ ดังนั้นจึงต้องนา SET มาใช้ร่วมด้วย

ในการดำเนินธุรกรรมทางอิเล็กทรอนิกส์ ผู้ถือบัตรจะทาการสั่งซื้อสินค้าจากผู้ ประกอบการตาม รายการที่ต้องการ ผู้ประกอบการจะส่งรายการไปยัง สถาบันผู้ประมวลผล ( Acquirer) ผ่าน Payment Gateway และทำการตรวจสอบกลับไปที่ผู้ออกบัตร และ CA ที่เกี่ยวข้องเพื่อยืนยันสถานะและกุญแจ ( Key) ของผู้ประกอบการว่าถูกต้องหรือไม่

การเข้ารหัสโดยใช้กุญแจสาธารณะ มีขั้นตอนการดาเนินการดังนี้

1. การเข้ารหัสในคำสั่งการชำระเงิน เพื่อให้เกิดความ มั่นใจว่าจะไม่มีอะไรเปลี่ยนแปลงระหว่างการ ส่งคำสั่ง

2. การตรวจสอบความถูกต้องของผู้ถือบัตรและ Acquirer เพื่อกันการแอบอ้างและการขโมยบัตร ผู้อื่นมาใช้โดยมิชอบ

3. การตรวจสอบความถูกต้องของบรรดาผู้ ประกอบการโดยผู้ถือบัตร เพื่อป้องกันผู้ประกอบ การที่ ทุจริตหรือหลอกลวง

4. การตรวจสอบผู้ประมวลผล (Acquirer) โดยผู้ประกอบการและผู้ถือบัตรเพื่อป้องกันการ ถอดรหัสสั่งซื้อ จากผู้ที่ปลอมเป็นผู้ประมวลผลโดยมิชอบ ทำการถอดรหัสแทน
5. เพื่อป้องกันผู้บุกรุกเข้ามาดักรับข้อมูลระหว่างทางในการส่งคำสั่งซื้อ