1

ระบบร�กษาความปลอดภั�ยสำ�าหร�บพาณิ�ชย�อ�เล�กทรอนิ�กสำ�

2

จุ�ดประสำงค�ของระบบการร�กษาความปลอดภั�ย เพื่��อรั�กษาความลั�บของข�อม�ลั (Confidentiality)

หมายถึ�ง การัปกป�องข�อม�ลัไม�ให�ถึ�กเป�ดเผยต่�อบ"คคลัที่$�ไม�ได�รั�บอนุ"ญาต่อย�างถึ�กต่�อง แลัะถึ�าม$การัขโมยข�อม�ลัไปแลั�วก*ไม�สามารัถึอ�านุหรั�อที่,าความเข�าใจได�

เพื่��อป�องก�นุการัปลัอมแปลังข�อม�ลั (Integrity) ค�อ การัรั�กษาความถึ�กต่�องของข�อม�ลัแลัะป�องก�นุไม�ให�ม$การัเปลั$�ยนุแปลังแก�ไขข�อม�ลัโดยม.ได�รั�บอนุ"ญาต่ซึ่��งการัที่$�จะสามารัถึที่,าเช่�นุนุ$1ได� ต่�องม$รัะบบควบค"มว�าผ��ใดจะสามารัถึเข�าถึ�งข�อม�ลัได�แลัะเข�าถึ�งแลั�วที่,าอะไรัได�บ�าง

3

จุ�ดประสำงค�ของระบบการร�กษาความปลอดภั�ย(ต่"อ)

เพื่��อที่,าให�รัะบบนุ�1นุสามารัถึที่$�จะที่,างานุได�ต่ามปกต่.แลัะเต่*มปรัะส.ที่ธิ.ภาพื่ (Availability) รัะบบจะต่�องสามารัถึที่,างานุได�อย�างด$ต่ามจ"ดม"�งหมายในุการัใช่�แลัะม$ข$ดความสามารัถึปฏิ.บ�ต่.งานุได�ในุปรั.มาณต่ามที่$�ต่�องการัได�ภายในุเวลัาที่$�ก,าหนุดด�วย

รัะบบการัรั�กษาความปลัอดภ�ยที่$�ม$ข$ดความสามารัถึส�งอาจที่,าให�ข$ดความสามารัถึแลัะความสะดวกในุการัที่,างานุของรัะบบที่�1งในุด�านุ

ปรั.มาณงานุแลัะปรัะส.ที่ธิ.ภาพื่ลัดลัง ด�งนุ�1นุ ต่�องพื่.จารัณาว�ารัะด�บความ

ปลัอดภ�ยใดจ�งจะเหมาะสมก�บความสะดวก ปรั.มาณงานุ แลัะปรัะส.ที่ธิ.ภาพื่ของงานุที่$�

ต่�องการั

4

ภั�ยค�กคามท#$ม#ต่"อระบบต่"าง ๆ ภ�ยต่�อรัะบบฮารั7ดแวรั7

ภ�ยต่�อรัะบบการัจ�ายไฟฟ�าแก�คอมพื่.วเต่อรั7 ภ�ยที่$�เก.ดจากการัที่,าลัายที่างกายภาพื่ ภ�ยจากการัลั�กขโมยโดยต่รัง

ภ�ยที่$�ม$ต่�อรัะบบซึ่อฟต่7แวรั7 การัลับซึ่อฟต่7แวรั7 การัขโมยซึ่อฟต่7แวรั7 การัเปลั$�ยนุแปลังแก�ไขซึ่อฟต่7แวรั7

ภ�ยที่$�ม$ต่�อรัะบบข�อม�ลั ได�แก� การัที่$�ข�อม�ลัอาจถึ�กเป�ดเผยโดยม.ได�รั�บอนุ"ญาต่หรั�อ

เปลั$�ยนุแปลังแก�ไขเพื่��อผลัปรัะโยช่นุ7บางอย�าง

5

ผู้()เจุาะระบบร�กษาความปลอดภั�ยผู้()เจุาะระบบร�กษาความปลอดภั�ย ค�อบ"คคลัที่$�ไม�ม$ส.ที่ธิ.9ในุการัเข�าใช่�รัะบบคอมพื่.วเต่อรั7 ลั�กลัอบที่,าการัเจาะรัะบบด�วยว.ธิ$ใดว.ธิ$หนุ��ง แบ�งเป:นุ 2 ปรัะเภที่หลั�ก ๆ ได�แก� Hacker

ม$ว�ต่ถึ"ปรัะสงค7เพื่��อที่ดสอบข$ดความสามารัถึของรัะบบ Cracker

ม$ว�ต่ถึ"ปรัะสงค7เพื่��อบ"กรั"กรัะบบเพื่��อขโมยข�อม�ลัหรั�อที่,าลัายข�อม�ลัผ��อ��นุโดยผ.ดกฎหมาย

6

ภั�ยค�กคามพาณิ�ชย�อ�เล�กทรอนิ�กสำ� การัเข�าส��เครั�อข�ายที่$�ไม�ได�รั�บอนุ"ญาต่ การัที่,าลัายข�อม�ลัแลัะเครั�อข�าย การัเปลั$�ยนุ การัเพื่.�ม หรั�อการัด�ดแปลังข�อม�ลั การัเป�ดเผยข�อม�ลัแก�ผ��ที่$�ไม�ได�รั�บอนุ"ญาต่ การัที่,าให�รัะบบบรั.การัของเครั�อข�ายหย"ดช่ะง�ก การัขโมยข�อม�ลั การัปฏิ.เสธิการับรั.การัที่$�ได�รั�บ แลัะข�อม�ลัที่$�ได�รั�บหรั�อส�ง การัอ�างว�าได�ให�บรั.การัที่�1งๆ ที่$�ไม�ได�ที่,า แลัะหรั�อการัอ�างว�าได�รั�บ

ส�ง ไวรั�สที่$�แอบแฝงมาก�บผ��ที่$�เข�ามาใช่�บรั.การั

7

การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce

รั�กษาความปลัอดภ�ยให�ก�บเครั�อข�ายองค7กรั ม$ 2 ว.ธิ$ ได�แก� ควบค"มการัเข�าถึ�งที่างกายภาพื่ (Physical Access Control) ควบค"มการัเข�าถึ�งที่างต่รัรักะ (Logical Access Control)

ต่รัวจสอบการัเข�าถึ�งเครั�อข�ายโดยไม�ได�รั�บอนุ"ญาต่ (Detecting Unauthorized Access)

ป�องก�นุภ�ยค"กคามจากไวรั�ส การัใช่�นุโยบายในุการัควบค"ม (Policies) การัป�องก�นุภ�ยค"กคามในุเครั�อข�ายไรั�สาย (Wireless

Security)

8

ควบค�มการเข)าถึ,งทางกายภัาพ (Physical Access Control)

การัลั*อกห�องคอมพื่.วเต่อรั7อย�างแนุ�นุหนุาเม��อไม�ม$การัใช่�งานุแลั�ว การัใช่�ยามเฝ�าหรั�อต่.ดโที่รัที่�ศนุ7วงจรัป�ด การัใช่� Back-Up Disk ส,าหรั�บการัที่,าข�อม�ลัส,ารัองอย�าง

สม,�าเสมอแลัะไม�เก*บไว�ในุที่$�เด$ยวก�นุก�บรัะบบคอมพื่.วเต่อรั7นุ�1นุ ๆ ต่.ดต่�1งรัะบบด�บเพื่ลั.ง Biometrics

การัพื่.ส�จนุ7บ"คคลัด�วยลัายนุ.1วม�อ การัพื่.ส�จนุ7บ"คคลัด�วยเรัต่.นุา การัพื่.ส�จนุ7บ"คคลัด�วยลัายเซึ่*นุ การัพื่.ส�จนุ7บ"คคลัด�วยอ"ณหภ�ม. การัพื่.ส�จนุ7บ"คคลัด�วยเส$ยง

9

ควบค�มการเข)าถึ,งทางต่รรกะ (Logical Access Control)

User profiles นุ.ยมใช่�ก�นุมากที่$�ส"ด ข�อม�ลัผ��ใช่�ปรัะกอบด�วย ช่��อผ��ใช่� รัห�สผ�านุ ส.ที่ธิ.การัใช่�งานุ

การัควบค"มความปลัอดภ�ยโดยรัะบบปฏิ.บ�ต่.การั Firewall เป:นุการัต่.ดต่�1งโปรัแกรัมคอมพื่.วเต่อรั7บนุ

คอมพื่.วเต่อรั7หรั�อเครั��องเรัาที่7เต่อรั7ที่$�ม$หนุ�าที่$�จ�ดการั ควบค"มการัเช่��อมต่�อจากภายนุอกส��ภายในุองค7กรั แลัะจากภายในุองค7กรัส��ภายนุอกองค7กรั

10

การใช)นิโยบายในิการควบค�ม (Policies)

หนุ�วยงานุต่�องก,าหนุดให�แนุ�นุอนุว�า ผ��ใช่�ใดสามารัถึเข�าถึ�งข�อม�ลัส�วนุใดได�บ�าง ใครัม$ส.ที่ธิ.ที่$�จะเปลั$�ยนุแปลังแก�ไขข�อม�ลั รัวมถึ�งต่�องก,าหนุดแผนุป�องก�นุแลัะก��ภ�ยที่$�อาจเก.ดข�1นุได�

ด�วย

11

การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce (ต่"อ)

รั�กษาความปลัอดภ�ยให�ก�บข�อม�ลัที่$�ส�งผ�านุเครั�อข�าย การัรั�กษาความลั�บของข�อม�ลั (Confidentiality)

ใช่�เที่คนุ.คการั Encryption การัรั�กษาความถึ�กต่�องของข�อม�ลั (Integrity)

ใช่�เที่คนุ.คที่$�เรั$ยกว�า Hashing การัรัะบ"ต่�วบ"คคลั (Authentication)

Digital Signature Password เครั��องม�อต่รัวจว�ดที่างกายภาพื่

12

การควบค�มและร�กษาความปลอดภั�ยสำ�าหร�บ E-commerce (ต่"อ)

รั�กษาความปลัอดภ�ยให�ก�บข�อม�ลัที่$�ส�งผ�านุเครั�อข�าย (ต่�อ) การัป�องก�นุการัปฏิ.เสธิ หรั�ออ�างความรั�บผ.ดช่อบ(Non-

Repudiation) Digital Signature การับ�นุที่�กเวลัา การัรั�บรัองการัให�บรั.การั

การัรัะบ"อ,านุาจหนุ�าที่$� (Authorization) Password Firewall เครั��องม�อต่รัวจว�ดที่างกายภาพื่

13

การระบ�ต่�วบ�คคล Authentication

แลัะกรัะบวนุการัก,าหนุดลั�กษณะส�วนุบ"คคลัของผ��ใช่�ที่��วไป แจ�งช่��อผ��ใช่� แลัะรัห�สผ�านุ เม��อผ��ใช่�ต่�องการัเข�ารัะบบ ให�รัะบ"ช่��อผ��ใช่� แลัะรัห�สผ�านุ ถึ�าข�อม�ลัต่รังก�บแฟ�มของ Server ก*จะได�รั�บอนุ"ญาต่.เข�าถึ�ง

เว*บเพื่จต่�อไปได� เปรั$ยบเหม�อนุการัแสดงต่�วด�วยบ�ต่รัปรัะจ,าต่�วซึ่��งม$รั�ปต่.ดอย��

ด�วย หรั�อ การัลั?อคซึ่��งผ��ที่$�จะเป�ดได�จะต่�องม$ก"ญแจเที่�านุ�1นุ หรั�อ บ�ต่รัเข�าออกอาคารั, เจ�าหนุ�าที่$�รั �กษาความปลัอดภ�ย

14

การระบ�อ�านิาจุหนิ)าท#$ (Authorization)

อ,านุาจในุการัจ�ายเง.นุ การัอนุ"ม�ต่.วงเง.นุที่$�จะเรั$ยกเก*บจากธินุาคารัที่$�ออกบ�ต่รั

เครัด.ต่ ต่รัวจสอบวงเง.นุในุบ�ญช่$ว�าม$เพื่$ยงพื่อไหม

15

การร�กษาความล�บของข)อม(ล (Confidentiality)

การัรั�กษาความลั�บของข�อม�ลัที่$�เก*บไว� หรั�อส�งผ�านุที่างเครั�อข�าย

เช่�นุการัเข�ารัห�ส, การัใช่�บารั7โค?ด, การัใส�รัห�สลั�บ(password), Firewall

ป�องก�นุไม�ให�ผ��อ��นุที่$�ไม�ม$ส.ที่ธิ.9ลั�กลัอบด�ได� เปรั$ยบเหม�อนุการัป�ดผนุ�กซึ่องจดหมาย หรั�อ การัใช่�ซึ่องจดหมายที่$�ที่�บแสง หรั�อ การัเข$ยนุหม�กที่$�มองไม�เห*นุ

16

การร�กษาความถึ(กต่)องของข)อม(ล (Integrity)

การัป�องก�นุไม�ให�ข�อม�ลัถึ�กแก�ไข เปรั$ยบเหม�อนุก�บการัเข$ยนุด�วยหม�กซึ่��งถึ�าถึ�กลับแลั�ว

จะก�อให�เก.ดรัอยลับ หรั�อ การัใช่�โฮโลัแกรัมก,าก�บบนุบ�ต่รัเครัด.ต่ หรั�อ ลัายนุ,1าบนุธินุบ�ต่รั

17

การป/องก�นิการปฏิ�เสำธ หร2ออ)างความร�บผู้�ดชอบ(Non-repudiation)

การัป�องก�นุการัปฏิ.เสธิว�าไม�ได�ม$การัส�ง หรั�อรั�บข�อม�ลัจากฝ@ายต่�าง ๆ ที่$�เก$�ยวข�อง

การัป�องก�นุการัอ�างที่$�เป:นุเที่*จว�าได�รั�บ หรั�อส�งข�อม�ลั เช่�นุในุการัขายส.นุค�า เรัาต่�องม$การัแจ�งให�ลั�กค�าที่รัาบ

ถึ�งขอบเขต่ของการัรั�บผ.ดช่อบที่$�ม$ต่�อส.นุค�า หรั�อรัะหว�างการัซึ่�1อขาย โดยรัะบ"ไว�บนุ web

หรั�อการัส�งจดหมายลังที่ะเบ$ยนุ

18

สำ�ทธ�สำ"วนิบ�คคล (Privacy)

การัรั�กษาส.ที่ธิ.ส�วนุต่�วของข�อม�ลัส�วนุต่�ว เพื่��อปกป�องข�อม�ลัจากการัลัอบด�โดยผ��ที่$�ไม�ม$ส.ที่ธิ.9ในุ

การัใช่�ข�อม�ลั ข�อม�ลัที่$�ส�งมาถึ�กด�ดแปลังโดยผ��อ��นุก�อนุถึ�งเรัาหรั�อไม�

19

ภั�ยค�กคามด)านิความปลอดภั�ยของเคร2อข"าย Denial of service ส�งผลัให�เครั��องคอมพื่.วเต่อรั7หรั�อรัะบบ

หย"ดที่,างานุโดยไม�ที่รัาบสาเหต่" อาจม$ด�วยก�นุหลัายว.ธิ$ เช่�นุ Spamming or E-mail Bombing Viruses , Worms, Trojan Horses

Unauthorized Access เป:นุภ�ยค"กคามด�วยการัเข�าไปย�งเครั�อข�ายโดยไม�ได�รั�บอนุ"ญาต่ ซึ่��งอาจม$จ"ดปรัะสงค7ในุการัโจรักรัรัมข�อม�ลั

Theft and Fraud ค�อ การัโจรักรัรัมแลัะการัปลัอมแปลังข�อม�ลั

20

Spam Mail

Mail Bomb

A lot of Mail

Mail

21

การัค"กคาม

I LOVE YOU, Mellissa, MyDoom

22

การค�กคาม-การบ�กร�กว�ธ#การ

การัเข�ามาที่,าลัายเปลั$�ยนุแปลังหรั�อขโมยข�อม�ลั

ปลัอมต่�วเข�ามาใช่�รัะบบแลัะที่,ารัายการัปลัอม

การัเข�าถึ�งรัะบบเครั�อข�ายของผ��ไม�ม$ส.ที่ธิ.9

แก)ป3ญหาโดยการัเข�ารัห�สข�อม�ลั

ลัายเซึ่*นุด.จ.ต่อลั

Firewall

23

การรห�สำ (Cryptography)

การัที่,าให�ข�อม�ลัที่$�จะส�งผ�านุไปที่างเครั�อข�ายอย��ในุรั�ปแบบที่$�ไม�สามารัถึอ�านุออกได� ด�วยการัเข�ารัห�ส (Encryption)

ที่,าให�ข�อม�ลันุ�1นุเป:นุความลั�บ ผ��ม$ส.ที่ธิ.9จรั.งเที่�านุ�1นุจะสามารัถึอ�านุข�อม�ลันุ�1นุได�ด�วยการั

ถึอดรัห�ส (Decryption) ใช่�สมการัที่างคณ.ต่ศาสต่รั7 ใช่�ก"ญแจซึ่��งอย��ในุรั�ปของพื่ารัาม.เต่อรั7ที่$�ก,าหนุดไว� (ม$ความ

ยาวเป:นุบ.ต่ โดยย.�งก"ญแจม$ความยาวมาก ย.�งปลัอดภ�ยมากเพื่รัาะต่�องใช่�เวลัานุานุในุการัคาดเดาก"ญแจของผ��ค"กคาม)

24

การเข)ารห�สำ (Encryption)

ปรัะกอบด�วยฝ@ายผ��รั �บ แลัะฝ@ายผ��ส�ง ต่กลังกฎเกณฑ์7เด$ยวก�นุ ในุการัเปลั$�ยนุข�อความ

ต่�นุฉบ�บให�เป:นุข�อความอ�านุไม�รั� �เรั��อง (cipher text) ใช่�สมการั หรั�อส�ต่รัที่างคณ.ต่ศาสต่รั7ที่$�ซึ่�บซึ่�อนุ

กฎการัเพื่.�มค�า 13 แฮช่ฟCงก7ช่�นุ (Hash function)

25

สำ"วนิประกอบของการเข)ารห�สำ1. ข�5นิต่อนิการเข)ารห�สำ ใช่�ฟCงก7ช่��นุการัค,านุวณที่างคณ.ต่ศาสต่รั72. ค#ย�ท#$ใช)ในิการเข)ารห�สำ หร2อ ถึอดรห�สำ ใช่�ช่"ดต่�วเลัข หรั�อ อ�กขรัะที่$�

นุ,ามาเข�ารัห�ส ม$หนุ�วยเป:นุบ.ต่ (8 บ.ต่ = 1 ไบต่7 = 1 อ�กขรัะ) เช่�นุ 00000001 = 1

00000010 = 2

ส�ต่รั 2n ; n ค�อ จ,านุวนุบ.ต่ ( อย�างต่,�า 8 บ.ต่) 28 = 256 ค$ย7 ( 256 ช่"ดข�อม�ลั) 2128 = ??? (เป:นุค$ย7ของโปรัโต่คอลั SET ที่$�ใช่�อย��ในุปCจจ"บ�นุ)

26

ระยะเวลาใช)ในิการถึอดรห�สำ ความยาว 40 บ.ต่ 8 ปD ความยาว 128 บ.ต่ ลั�านุลั�านุ ปD

*****

จ,านุวนุบ.ต่มากเที่�าไหรั� ความปลัอดภ�ยของข�อม�ลัย.�งมากข�1นุ เนุ��องจากผ��บ"กรั"กต่�องใช่�เวลัาเดามากย��งข�1นุ

27

ต่�วอย"างโปรแกรมการเข)ารห�สำ โดยใช)กฎ 13

การัเข�ารัห�สจะที่,าโดยการัเปลั$�ยนุต่�วอ�กษรั จากต่,าแหนุ�งเด.มเป:นุต่�วอ�กษรัต่,าแหนุ�งที่$� 13 ของช่"ดต่�วอ�กษรันุ�1นุ เช่�นุ

เช่�นุ เข�ารัห�ส I LOVE YOU ----> V YBIR LBH HARRY POTTER ---> UNEEL CBGGRE

A B C D E F G H I G K L M N O P Q R S T U V W X Y Z

N O P Q R S T U V W X Y Z A B C D E F G H I G K L M

28

ทดสำอบ BURAPHA UNIVERSITY = ? SAKAEO = ?

29

การเข)ารห�สำ (Encryption)

ม$ด�วยก�นุ 2 ลั�กษณะ ค�อ การเข)ารห�สำแบบสำมมาต่ร (Symmetric Encryption)

ว.ธิ$นุ$1ที่� 1งผ��รั �บแลัะผ��ส�งข�อความจะที่รัาบค$ย7ที่$�เหม�อนุก�นุที่�1งสองฝ@ายในุการัรั�บหรั�อส�งข�อความ

การเข)ารห�สำแบบไม"สำมมาต่ร (Asymmetric Encryption) ใช่�แนุวค.ดของการัม$ค$ย7เป:นุค�� ๆ ที่$�สามารัถึเข�าแลัะถึอดรัห�สของก�นุ

แลัะก�นุเที่�านุ�1นุได� โดยค$ย7แรักจะม$อย��ที่$�เฉพื่าะเจ�าของค$ย7 เรั$ยกว�าPrivate key แลัะค��ของค$ย7ด�งกลั�าวที่$�ส�งให�ผ��อ��นุใช่� เรั$ยกว�า Public key

30

การเข)ารห�สำแบบสำมมาต่ร (Symmetric encryption)

ข)อด# ม$ความรัวดเรั*วเพื่รัาะใช่�การัค,านุวณที่$�นุ�อยกว�า สามารัถึสรั�างได�ง�ายโดยใช่�ฮารั7ดแวรั7

ข)อเสำ#ย ไม�สามารัถึต่รัวจสอบว�าเป:นุผ��ส�งข�อความจรั.ง ถึ�าม$ผ��ปลัอมต่�ว

เข�ามาส�งข�อความ ไม�ม$หลั�กฐานุที่$�จะพื่.ส�จนุ7ได�ว�าผ��ส�งหรั�อผ��รั �บกรัะที่,ารัายการัจรั.ง การับรั.หารัการัจ�ดการัก"ญแจที่,าได�ยากเพื่รัาะก"ญแจในุการัเข�า

รัห�ส แลัะถึอดรัห�ส เหม�อนุก�นุ

31

ข�อความเด.มก�อนุการัเข�ารัห�ส

ข)อความท#$เข)ารห�สำแล)ว

ข�อความเด.มหลั�งถึอดรัห�ส

ข)อความท#$เข)ารห�สำแล)ว

เข�ารัห�สลั�บ

ถึอดรัห�สด�วยค$ย7ลั�บเด.ม

Internet

การเข)ารห�สำแบบสำมมาต่ร (Symmetric encryption) (ต่"อ)

32

การเข)ารห�สำแบบอสำมมาต่ร (Asymmetric encryption)

Private Key ก"ญแจส�วนุต่�ว ใช่�ในุการัถึอดรัห�ส

Public Key ก"ญแจส��ธิารัณะ ใช่�ในุการัเข�ารัห�ส

33

ข�อความเด.มก�อนุการัเข�ารัห�ส

ข)อความท#$เข)ารห�สำแล)ว

(Cipher text)

ข�อความเด.มหลั�งการัถึอดรัห�ส

ข)อความท#$เข)ารห�สำแล)ว(Cipher text)

เข)ารห�สำล�บPublic Key

ถึอดรห�สำด)วยค#ย�Private Key

Internet

การเข)ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)

34

การเข)ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)

ข)อด# การับรั.หารัการัจ�ดการัก"ญแจที่,าได�ง�ายกว�า เพื่รัาะก"ญแจในุ

การัเข�ารัห�ส แลัะถึอดรัห�ส ต่�างก�นุ สามารัถึรัะบ"ผ��ใช่�โดยการัใช่�รั�วมก�บลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7

ข)อเสำ#ย ใช่�เวลัาในุการัเข�า แลัะถึอดรัห�สค�อนุข�างนุานุ เพื่รัาะต่�องใช่�

การัค,านุวณอย�างมาก

35

บนุ web จะใช่�ก"ญแจสาธิารัณะ แลัะก"ญแจส�วนุต่�ว บรัาวเซึ่อรั7ใช่�ก"ญแจสาธิารัณะเพื่��อเข�ารัห�สรัายการั

ข�อม�ลับนุเครั��องคอมพื่.วเต่อรั7ลั�กค�า เว*บเซึ่.รั7ฟเวอรั7เที่�านุ�1นุม$ก"ญแจส�วนุต่�ว

การเข)ารห�สำแบบอสำมมาต่ร (Asymmetric encryption) (ต่"อ)

36

เทคโนิโลย#ท#$สำ�าค�ญสำ�าหร�บการร�กษาความปลอดภั�ยบนิระบบ e-commerce

ลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7 (Electronic Signature) ลัายม�อช่��อด.จ.ต่อลั (Digital Signature)

ใบรั�บรัองด.จ.ต่อลั (Digital Certificate) องค7กรัรั�บรัองความถึ�กต่�อง(Certification

Authority ; CA)

37

ลายม2อช2$ออ�เล�กทรอนิ�กสำ� (Electronic Signature)

ลายม2อช2$อลายม2อช2$ออ�เล�กทรอนิ�กสำ�

ลายม2อช2$อด�จุ�ต่อล

38

ลายม2อช2$ออ�เล�กทรอนิ�กสำ� (Electronic Signature) (ต่"อ)

หมายถึ,ง อ�กขรัะ ต่�วเลัข เส$ยง หรั�อส�ญลั�กษณ7อ��นุใด ที่$�สรั�างข�1นุโดยว.ธิ$ที่างอ.เลั*กที่รัอนุ.กส7

ว�ธ#การ นุ,ามาปรัะกอบก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7 เพื่��อแสดงความส�มพื่�นุธิ7 รัะหว�างบ"คคลัก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7

ว�ต่ถึ�ประสำงค� เพื่��อรัะบ"ต่�วบ"คคลัผ��เป:นุเจ�าของ (Authentication) เพื่��อแสดงว�าบ"คคลัยอมรั�บแลัะผ�กพื่�นุก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7

หรั�อเพื่��อป�องก�นุการัปฏิ.เสธิความรั�บผ.ช่อบ (Non-Repudiation)

39

USA

ลายม2อช2$ออ�เล�กทรอนิ�กสำ�

Thaiต่.ดต่�อ

ที่,าส�ญญ

า

ป3ญหา ?•ค��ส�ญญาไม�เคยเห*นุหนุ�าก�นุมาก�อนุ• ไม�แนุ�ใจว�าใช่�นุาย Tom หรั�อไม�• ใครัจะเป:นุผ��รั �บผ.ด หากผ.ดส�ญญา

Tom

ลั,าใย

ม��นุใจเพื่รัาะย�นุย�นุได�ว�าผ��ที่$ต่.ดต่�อค�อ

ใครั

ต่รัวจสอบได�ว�าส�ญญาม$การัเปลั$�ยนุแปลัง

ม$ผ��รั �บผ.ดต่ามส�ญญา

40

ต่�วอย"างลายม2อช2$ออ�เล�กทรอนิ�กสำ� รัห�สปรัะจ,าต่�ว (ID) , รัห�สลั�บ (Password) Biometrics ลัายม�อช่��อด.จ.ที่�ลั (Digital Signature)

ใช่�รัะบบรัห�สแบบอสมมาต่รั (private key & public key) E-Mail Address

41

รห�สำล�บ (Password)

ป�ด-เป�ด mailbox เก*บรั�กษาก"ญแจส�วนุต่�ว

ข)อจุ�าก�ด ไม�สามารัถึนุ,าไปใช่�แนุบที่�ายข�อม�ลัอ.เลั*กที่รัอนุ.กส7 ไม�สามารัถึนุ,าไปลังในุหนุ�งส�อ ควรัปกป�ดไว�เป:นุความลั�บ

42

Biometrics

ลั�กษณะที่างช่$วภาพื่ ลัายพื่.มพื่7นุ.1วม�อ เส$ยง ม�านุต่า ใบห� กลั"�มต่�วเลัขซึ่��งนุ,าไปใช่�ในุการัรัะบ"ต่�วบ"คคลั

43

จุดหมายอ�เล�กทรอนิ�กสำ� (E-mail)

To : tomboy@bus.ubu.ac.th

from : lady@hotmail.com

message : ขอซึ่�1อรัถึยนุต่7ที่$�ค"ณปรัะกาศ ขายรัาคา 50,000 บาที่

จากลั,าใย

ลายม2อช2$ออ�เล�กทรอนิ�กสำ�

44

ลายม2อช2$อด�จุ�ต่อล (Digital Signature)

ข�อม�ลัอ.เลั*กที่รัอนุ.กส7ที่$�ได�จากการัเข�ารัห�สข�อม�ลัด�วยก"ญแจส�วนุต่�ว (Private key) ของผ��ส�ง เปรั$ยบเสม�อนุลัายม�อช่��อของผ��ส�ง ถึอดรัห�สด�วยก"ญแจสาธิารัณะของผ��ส�ง (Public key) เพื่��อรัะบ"ต่�วบ"คคลั

กลัไกการัป�องก�นุการัปฏิ.เสธิความรั�บผ.ดช่อบ ป�องก�นุข�อม�ลัไม�ให�ถึ�กแก�ไข สามารัถึที่$�จะที่รัาบได� หากถึ�กแก�ไข

45

…จุ�านิวนิเง�นิ800 บาท...

ฟั3งก�ช�$นิย"อยข)อม(ล

ไไ”ไไ

การเข)ารห�สำ

ก�ญแจุสำ"วนิต่�ว ของผู้()สำ"ง (นิายด#)123451457824784… ลายม2อช2$อ

อ�เล�กทรอนิ�กสำ�ของ นิายด#สำ�าหร�บข)อม(ล

ผู้()สำ"ง (นิายด#)ข)อความ

ต่)นิฉบ�บ ก.

…จุ�านิวนิเง�นิ800

บาท

ฟั3งก�ช�$นิย"อยข)อม(ล

ไไ”ไไ ไไ”ไไ

เปร#ยบเท#ยบ

การถึอดรห�สำ

256

148

934

147

256...

ก�ญแจุสำาธารณิะ

ของผู้()สำ"ง(นิายด#)

ถึ)าเหม2อนิก�นิ ข)อม(ลไม"ถึ(กเปล#$ยนิแปล

ง

ถึ)าต่"างก�นิ ข)อม(ลถึ(ก

เปล#$ยนิแปลง

ข)อม(ลต่)นิฉบ�บ ก.

ลายม2อช2$ออ�เล�กทรอนิ�กสำ�

ของนิายด#สำ�าหร�บข)อม(ล

ผู้()ร�บ (นิายมาก)

ส�ง

46

ข�5นิต่อนิการสำร)างและลงลายม2อช2$อด�จุ�ต่อล1. นุ,าเอาข�อม�ลัอ.เลั*กที่รัอนุ.กส7ที่$�เป:นุต่�นุฉบ�บมาผ�านุกรัะบวนุการัที่าง

คณ.ต่ศาสต่รั7ที่$�เรั$ยกว�า Hash Function จะได�ข�อม�ลัที่$�ย�อยแลั�ว (Digest)

2. เข�ารัห�สด�วยก"ญแจส�วนุต่�ว (Private key) ของผ��ส�งเอง เปรั$ยบเสม�อนุการัลังลัายม�อช่��อของผ��ส�ง จะได� ลัายม�อช่��ออ.เลั*กที่รัอนุ.กส7

3. ส�งลัายม�อช่��ออ.เลั*กที่รัอกนุ.กส7ไปพื่รั�อมก�บข�อม�ลัอ.เลั*กที่รัอนุ.กส7ต่�นุฉบ�บไปย�งผ��รั �บ

4. ผ��รั �บที่,าการัต่รัวจสอบว�าข�อม�ลัที่$�ได�รั�บถึ�กแก�ไขรัะหว�างที่างหรั�อไม� โดยใช่�ว.ธิ$ Digest

5. นุ,ารัายม�อช่��อมาถึอดรัห�สด�วยก"ญแจสาธิารัณะของผ��ส�ง จะได�ข�อม�ลัที่$�ย�อยแลั�วอ$กอ�นุหนุ��ง

6. เปรั$ยบเที่$ยบข�อม�ลัที่$�ย�อยแลั�วที่�1งสอง เหม�อนุก�นุแสดงว�าข�อม�ลัไม�ได�ถึ�กแก�ไข ต่�างก�นุแสดงว�าข�อม�ลัถึ�กเปลั$�ยนุแปลังรัะหว�างที่าง

47

ข)อสำ�งเกต่�การสำร)างและลงลายม2อช2$อด�จุ�ต่อล ลัายม�อช่��อด.จ.ที่�ลัจะแต่กต่�างก�นุไปต่ามข�อม�ลัต่�นุฉบ�บ

แลัะบ"คคลัที่$�จะลังลัายม�อช่��อ ไม�เหม�อนุก�บลัายม�อช่��อที่��วไปที่$�จะต่�องเหม�อนุก�นุส,าหรั�บบ"คคลันุ�1นุๆ ไม�ข�1นุอย��ก�บเอกสารั

กรัะบวนุการัที่$�ใช่�จะม$ลั�กษณะคลั�ายคลั�งก�บการัเข�ารัห�สแบบอสมมาต่รั แต่�การัเข�ารัห�สจะใช่� ก"ญแจส�วนุต่�วของผ��ส�ง แลัะ การัถึอดรัห�สจะใช่� ก"ญแจสาธิารัณะของผ��ส�ง ซึ่��งสลั�บก�นุก�บ การัเข�าแลัะถึอดรัห�สแบบก"ญแจอสมมาต่รั ในุการัรั�กษาข�อม�ลัให�เป:นุความลั�บ

48

ป3ญหาการสำร)างและลงลายม2อช2$อด�จุ�ต่อล ถึ�งแม�จะสามารัถึสรั�างแลัะต่รัวจสอบลัายม�อช่��อได� แต่�

จะม��นุใจได�อย�างไรัในุเม��อก"ญแจค��สรั�างข�1นุโดยอย��ในุความรั� �เห*นุของผ��ใช่�ลัายม�อช่��อด.จ.ต่�ลัเที่�านุ�1นุ

ใครัจะเป:นุผ��ด�แลัการัจ�ดการัก�บก"ญแจสาธิารัณะซึ่��งม$เป:นุจ,านุวนุมาก

49

ที่างแก�ปCญหาการัย�นุย�นุต่�วบ"คคลั

กลัไกที่างเที่คโนุโลัย$

เช่��อม��นุ บ"คคลัที่$� 3

ที่,าหนุ�าที่$�ต่รัวจสอบปรัะว�ต่.

ส�วนุต่�วของผ��สรั�างลัายม�อช่��อ

50

ใบร�บรองด�จุ�ต่อล Digital Certificate

ออกแบบโดยองค7กรักลัางที่$�เป:นุที่$�เช่��อถึ�อ เรั$ยกว�า องค7กรัรั�บรัองความถึ�กต่�อง (Certification Authority)

เลัขปรัะจ,าต่�วด.จ.ต่�ลัที่$�รั�บรัองความเป:นุเจ�าของ web site เม��อเรั.�มการัเช่��อมต่�อที่$�ม$รัะบบรั�กษาความปลัอดภ�ยก�บ web

site เบรัาว7เซึ่อรั7ที่$�ใช่�จะเรั$ยกส,าเนุาของใบรั�บรัองด.จ.ต่�ลัจาก web

server ม$ก"ญแจสาธิารัณะเพื่��อเข�ารัห�สข�อม�ลัที่$�ส�งผ�านุไซึ่ต่7นุ�1นุ ให�ความม��นุใจว�าต่.ดต่�อก�บ web site นุ�1นุจรั.ง ป�องก�นุการัขโมยข�อม�ลัลั�กค�าจากไซึ่ต่7อ��นุ (spoofing) ย�นุย�นุในุการัที่,าธิ"รักรัรัมว�าเป:นุบ"คคลัจรั.ง

51

ประเภัทของใบร�บรองด�จุ�ต่อล ปรัะเภที่ของใบรั�บรัองด.จ.ต่อลั โดยที่��วไป แบ�ง ได� ด�งนุ$1

1. ใบร�บรองสำ�าหร�บบ�คคล เหมาะส,าหรั�บบ"คคลัที่��วไปที่$�ต่�องการัส��อสารัอ.นุเที่อรั7เนุ*ต่ปลัอดภ�ย

2. ใบร�บรองสำ�าหร�บเคร2$องแม"ข"าย เหมาะส,าหรั�บหนุ�วยงานุที่$�ต่�องการัสรั�างความเช่��อม��นุในุการัเผยแพื่รั�ข�อม�ลัแก�บ"คคลั ที่��วไป หรั�อการัที่,าธิ"รักรัรัม E-Commerce

52

ใบร�บรองอ�เล�กทรอนิ�กสำ� (Electronic Certificate)

รัายลัะเอ$ยดของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7 ปรัะกอบด�วย ข�อม�ลัรัะบ"ที่$�ได�รั�บการัรั�บรัอง ได�แก� ช่��อ องค7กรั ที่$�อย�� ข�อม�ลัรัะบ"ผ��ออกใบรั�บรัอง ได�แก� ลัายม�อช่��อด.จ.ที่�ลัขององค7กรั

ที่$�ออกใบรั�บรัอง แลัะหมายเลัขปรัะจ,าต่�วของผ��ออกใบรั�บรัอง ก"ญแจสาธิารัณะของผ��ที่$�ได�รั�บการัรั�บรัอง ว�นุหมดอาย"ของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7 รัะด�บช่�1นุของใบรั�บรัองด.จ.ที่�ลั ซึ่��งม$ 4 รัะด�บ ในุรัะด�บ4 เป:นุ

รัะด�บที่$�ม$การัต่รัวจสอบเข�มงวดที่$�ส"ด แลัะต่�องการัข�อม�ลัมากที่$�ส"ด

หมายเลัขปรัะจ,าต่�วของใบรั�บรัองอ.เลั*กที่รัอนุ.กส7

53

ใบร�บรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)

ต่�วอย"าง

คล�:กร(ปก�ญแจุ เพ2$อด( ใบร�บ

รองอ�เล�อทรอนิ�กสำ�

https เป;นิการแสำดงว"าม#ระบบเข)า

รห�สำร�กษาความปลอดภั�ย

54

ใบร�บรองอ�เล�กทรอนิ�กสำ�(Electronic Certificate)

ต่�วอย"าง

55

SSL ระบบการเข)ารห�สำเพ2$อร�กษาความปลอดภั�ยของข)อม(ลบนิเคร2อข"ายอ�นิเทอร�เนิ�ต่ พื่�ฒนุาจากรั�ปแบบ PKI โดย Netscape เรั$ยกว�า

Secure Socket Layer (SSL) ผ��ซึ่�1อสามารัถึต่รัวจสอบต่�วต่นุของผ��ขายก�อนุได�จาก

ใบรั�บรัองอ.เลั*กที่รัอนุ.กส7ที่$�ผ��ขายขอจาก CA แต่�ส�วนุใหญ�ผ��ขายไม�สามารัถึต่รัวจสอบต่�วต่นุของผ��ซึ่�1อได�เพื่รัาะผ��ซึ่�1อไม�ม$ใบรั�บรัองอ.เลั*กที่รัอนุ.กส7

ม$การัเข�ารัห�สข�อม�ลัที่$�ผ��ซึ่�1อส�งให�ก�บผ��ขายผ�านุเครั�อข�ายอ.นุเที่อรั7เนุ*ต่ ด�งนุ�1นุจ�งม$เฉพื่าะผ��ขายที่$�อ�านุข�อความนุ�1นุได�

56

ต่�วอย"างหนิ)าจุอท#$แสำดงว"าผู้()ใช)งานิก�าล�งใช)ระบบ SSL อย ��

จุะแสำดงข)อความ SSL

Secured (128 Bits)

https เป;นิการแสำดงว"าม#ระบบเข)า

รห�สำร�กษาความปลอดภั�ย

57

ต่�วอย"างหนิ)าจุอท#$แสำดงว"าต่�วต่นิของผู้()ขาย

58

ผู้()ให)บร�การออกใบร�บรอง (Certification Authority : CA)

หนุ�าที่$�หลั�ก ค�อการัรั�บรัอง(ความถึ�กต่�อง)ต่�วบ"คคลัหรั�อองค7กรัเพื่��อใช่�ในุโลักอ.เลั*กที่รัอนุ.กส7

ผ��ให�บรั.การัออกใบรั�บรัอง ต่�องม$รัะบบรั�กษาความปลัอดภ�ยของข�อม�ลัในุรัะด�บส�ง

ผ��ให�บรั.การัออกใบรั�บรัอง ม$ที่�1งในุแลัะต่�างปรัะเที่ศ ซึ่��งแต่�ลัะองค7กรัจะม$การัมาต่รัาฐานุการัต่รัวจสอบแต่กต่�างก�นุไป

ผ��ให�บรั.การัออกใบรั�บรัอง ที่$�ม$ช่��อเส$ยงรัะด�บโลักม$หลัายบรั.ษ�ที่ เช่�นุ Verisign , Entrust , Globalsign เป:นุต่�นุ

59

บทบาทของผู้()ให)บร�การออกใบร�บรอง (Certification Authority : CA) (ต่"อ)

1. การัให�บรั.การัเที่คโนุโลัย$การัเข�ารัห�ส- การัสรั�างก"ญแจสาธิารัณะ (Public Key) ก"ญแจส�วนุต่�ว (Private Key) แก�ผ��ขอใช่�บรั.การั (ลังที่ะเบ$ยนุ)

- การัส�งมอบก"ญแจที่$�ได�สรั�างให�- การัสรั�างแลัะการัรั�บรัองลัายม�อช่��อด.จ.ที่�ลั

2. การัให�บรั.การัเก$�ยวก�บการัออกใบรั�บรัอง3. บรั.การัเสรั.มอ��นุๆ เช่�นุ การัต่รัวจสอบส�ญญาต่�างๆ

การัก��ก"ญแจ เป:นุต่�นุ

60

การัขอใบรั�บรัองจาก CA

ผ��ขอใช่�บรั.การั

ช่��อ ที่$�อย�� e-mail ส,าเนุา บ�ต่รัปรัะช่าช่นุ ส,าเนุา ที่ะเบ$ยนุบ�านุ ฯลัฯ

ผ��ปรัะกอบการั

ย2$นิค�าขอ

ออกใบร�บรอง

61

หลั�งต่รัวจสอบปรัะว�ต่.

กลัไกที่างเที่คโนุโลัย$

เก*บไว�เป:นุความลั�บ

CA

เก*บไว�บนุเครั�อข�าย

ก�ญแจุค("

ก"ญแจสาธิารัณะ

ก"ญแจส�วนุต่�ว

ผู้()ขอใช)

62

เทคโนิโลย#และมาต่รการร�กษาความปลอดภั�ยของข)อม(ล

มาต่รฐานิ/เทคโนิโลย#

การร�กษาความล�บ

การระบ�ต่�ว

บ�คคล

การร�กษาความถึ(ก

ต่)อง

การป/องก�นิการปฏิ�เสำธความร�บผู้�ด

ชอบการัรัห�ส หลั�ก รัองลัายม�อช่��อด.จ.ต่อลั รัอง 1 รัอง 2 หลั�ก

ใบรั�บรัองด.จ.ต่อลั แลัะองค7กรัรั�บรัองความถึ�กต่�อง

หลั�ก