เทคโนโลยการรกษาความปล อดภยของขอมล 1 หวข อบรรยาย ศพทตางๆ

เทคโนโลยการรกษาความปล อดภยของขอมล 1

หวข อบรรยาย • ศพทตางๆ ทเกยวของกบ การเขาและ ถอด รหส • รป แบบของการโจมตระบบ • การเขา รหสเพอการรกษาความป ลอดภยทางคอมพวเตอร • ระบบคย (Keys System) • SSL (Secure Socket Layer) 2 • SET (Secure Electornics

างๆ ทเกยวของกบการเขา และถอดรหส 3

ศพทตางๆ ทเกยวของกบการเขาและถอ 1. Plain Text หมายถง ขอความหรอขอมลตางๆ วธการเขารหส 2. Cipher Text หมายถง ขอความ หรอขอมลตาง รหสแลว และทำใหรปแบบของขอมลเปลยนแปล 3. Algorithm หมายถง แนวความคดหรอลำดบคว ทสามารถนำไปประมวลผลทางคอมพวเตอรไดโดย 4

4. Encryption หมายถง กระบวนการหรอขนตอน ขอมล ทเปลยนแปลงไปจากเดม 5. Decryption หมายถง กระบวนการหรอขนตอนใ ขอมล เพอให ขอมลทเขารหสไวคนสสภาพ 6. Cryptography หมายถง ระบบการรกษาความป ดวย Encryption และ Decryption 5

7. Cryptanalysis หมายถง การพยายามวเคราะหเพ ตางๆ ทเกยวของกบ Cryptography 8. Sensitive Data หมายถง ขอมลสำคญทถอวาเปน สามารถแพรงพรายออกสภายนอกได 6

รป แบบของการโจมตระบบ 7

รปแบบของการโจมตระบบ 1. Interruption หมายถง การโจมตทเนนกา ทรพยากรของระบบเปนหลก ทำใหระบบไมเสถยร ไมได เชน การลบโปรแกรมทสำคญเพอทำลายระ 2. Interception หมายถง การโจมตซงไมเน ความเสยหายใหกบระบบ เชน การลกลอบเข คดลอกแฟมขอมล 8

3. Modification หมายถง การโจมตทเนนส เปลยนแปลงใหกบระบบ เชน การแกไข Co ระบบ 4. Fabrication หมายถง การโจมตแบบนเน แปลกปลอมเขาสระบบ เชน การเพมขอมลทไม ขอมลของระบบ 5. Replay Attack หมายถง เปนการโจมตท แอบบนทกการสนทนาหรอการโตตอบกนระหวาง Server และเมอ Hacker เขาส Server ได บนทกไวมาแสดง 9

6. Clear Text Attack หมายถง ความพยาย รหสขอมลโดยทรขอมลบางอยางของขอมลชดนนแ 7. Brute Force Attack หมายถง เปนการโ คนหาคยทถกตอง ทใชในการถอดรหสข วธการใดๆ กตามทเปนไปได 10

การเขารหสเพอการรกษา ความปลอดภยทางคอมพวเตอร 11

การเขารหสเพอการรกษาความปลอ 1. การเขารหสแบบซซาร (Caesar Cipher) วธการเขารหสของขอมลทอยในรปขอความ ขอมล 1 ตวอกษรจะเขารหสสรางผลลพธ เปรยบเทยบในตาราง ซงกำหนดสตรไวคอ 3 ตว เชน A ในตารางจะแปลงเปน D 12

เขยนเปนสตรไดดงน CI = E(Pi) = PI + 3 โดยกำหนดให I คอ หมายเลขกำกบ CI คอ Cipher Text ตวท I (Pi) คอ Plaint 13

14

ระบบคย (Keys Syste 15

ระบบคย คย (Keys System) (Keys) คอขอมลอกชดหนง นอ (Plain Text) ซงผทำการเขารหสหรอถอดรหสเปนผส ใชรวมกบ Algorithm เพอรกษาความปลอดภยให ทเปนความลบอยางทสดของแตละบคคลเพราะ แบบมาเพอใชคยในการเขาหรอถอดรหสขอมล 16

1. Prime Number เทคโนโลยการเขารหสโดยใชฟงกชนทางค โดยนำตวเลข Prime Number (จำนวนเฉพา และ 11 เปนตน เมอนำ Primeสองจำนวน ทถกหารดวย ตวใดตวหนง เชน 5 x ของPrime Number ไดคอ 5 และ 7 เปนตน 17

การเขารหสทใชผลคณของ Prime Number ทเปนเลข จำนวนมาก ๆ นนคอมพวเตอรสามารถสรางเลขไดง ายและ รวดเรวโดยสรางคยคหนงทเป นเลขไมซำกน คยเขารหสจะเปนการสรางแบบสาธา รณะ (Public, Public Key) 18

2. RSA (R = Rivest, S = Shamir และ A = Adelman เปนรหสทตงตา 19

ในป ค. ศ. 1993 นกวชาการกวา 600 สถาบ สมครเลนทวโลกพยายามทจะถอดรหสจาก R สามารถทำไดสำเรจ ในเวลาไมถงหนงป Prime Number สองตวสำเรจ ตวหนงม 6 65 หลก นนคอ คยสาธารณะระบบ 129 หลก รหสขอมลทสำคญ ๆ ได 20

3. คยสวนบคคลหรอคยเด ยว (Private Keys หรอ Symmetric Keys) ผสงจะทำการเขารหสขอมลดวยคยตวใดต กำหนดขนเมอผรบไดรบขอมลกจะตองถอดรหสขอมล ทสงมาจากผสงทตนทาง ซงเปนคยเดยว ดงนนถามการดกจบคยทผสงตองสงใหกบในผรบ เปนความลบอกตอไป 21

ธารณะ (Public Keys หรอ Asymmetric ระบบนออกแบบมาเพอแกปญหาของคยสวนบ เพราะจะไมมการสงคยกบใครทงสน ใหแตละคนมคย 1 ค ประกอบดวย Pub Keys โดย Public Keys นนใครจะรกได แ ตองรกษาเปนความลบ ผสงจะเขารหสขอมลต สาธารณะ (Public Keys) จากนนผรบจะใชคยข (Private Keys) ในการถอดรหสใหไดขอมลตนฉ ครงหนง 22

SSL (Secure Socket Layer) 23

SSL หมายถง Protocol ทไดรบการพฒน Protocol คอมความสามารถทง Encrypt Protocol ทคลายกบ SSL มากทสด Hyper Text Transfer Protocol) ซงนำเอาระ มาใช 24

การประยกตการเขารหสกบการพฒนา ประยกต SSLและ HTTPS กร ำ SSL มาช ร ก ค มปล ดภ ย อ ข อ ลน าน ใ ษา วา อ ข ง ม ใ กร อเ ก ร น ก าคา ล ทอ ส ซ ง ตอ อากนะ ว า W b ตด ส สร รห ง e Bo se กบW Sererน น ท Sererจตอท กร ต ง rw r eb v า v ะ ง ำ าตด ง แ ะห บ กร SSL กอ สว Br ser ขง ซ อะช ลใ ร า น น ow อผ จใ โปรโตคอล HTTPS เช น https: /bucc 3. buu. ac. th/ / 25

การทำงานของ SSL นน เปนโปรโตค ปลอดภยในการสอสารทเปนการเชอมโยงระดบ จะใชโดย IIS ในการจดตง Secure Conne กบ Server ในเรองนเราเรยกวา Serv 26

Secure Sockets Layer (SSL) / SSL คดคนขนมาโดยบรษท Netscape / จดประสงคการทำงานของ SSL - เพอรกษาความลบของขอมล สามารถระบผสงและผรบขอมลไ ด 27

Secure Sockets Layer (SSL) SSL ประกอบดวย Protocol 2 ระดบ / SSL Handshake Protocol สรางกระบวนการรบสงขอมล แลกเปลยน / SSL Record Protocol ทำหนาทจดแบงบลอกของขอมลทไดจาก ระดบเหนอขนไป ให เปน record ทำการ รหสของขอมล หรอดำเนนการ เขา รหสข 28

คณสมบตของ / / SSL การรกษา ความลบของขอมล การระบตวตนทางฝงเซรฟเวอร การระบตวตนทางฝงไคลเอนต คงความแนนอนของขอมล (Se (Client 29

30

SET (Secure Electornics Tr 31

SET (Secure Electronics Transaction) เปนโครงสรางทพฒนา รวมกน โดยบรษทเจาของบตรเครดต VISA และ Master Card เพอสนบสนนการคาแบบ Online 32

โครงสรางของระบบ SET. 1. 2. 3. 4. 5. 6 ผออกบตร ผถอบตร ผประกอบการ สถาบนผประมวลผล Payment Gateway Certificate Authority 33

การเขารหสโดยใชกญแจสาธาร ณะสามารถดำเนนการในขนตอ นตางๆ ไดดงน. 1 มการเขารหสในคำสงชำระเง น เพอใหมนใจวาไมมการเปล ยนแปลงระหวางการสงคำสงไป. 2 34

. 3 ตรวจสอบความถกตองของผปร ะกอบการ กนการทจรตหลอกลวง. 4ตรวจสอบผประมวลผล โดยผประกอบการและผถอบ ตร เพอปองกนการถอดรหสสง ซอจากผทปลอมเปนผป ระมวลผล 35

การรกษาความปลอดภ ยใหกบธรกจอเล กทรอนกส 36

. 1หลกการรกษาความปลอดภย อาศยหลกการของ 3 A คอ Account เปนการสรางและระบตวบคคลในเครอขาย Authorization เปนการสรางและกำหนดสทธใหกบบคคล นนๆ กระทำการใดๆ ตามสทธทไดรบ 37

ตวอยางรปแบบการสอสารผา นเครอขายคอมพวเตอร ประชม 10 น. สมชาย MODEM ผสง เครอขาย คอมพวเตอร MODEM ผรบ 38

ตวอยางการแอบอางชอและลอ บแกไขขอมล (1( ประชม 10 น. สมชาย MODEM ผสง เครอขาย คอมพวเตอร MODEM ผรบ 39

ตวอยางการแอบอางชอและลอ กแกไขขอมล (2( ประชม 9 น. มานพ MODEM เครอขาย คอมพวเตอร MODEM ผสง ผรบ ผลกลอบแกไขขอมล 40

E-mail address Hotmail. com ดฉน ชอ ดำ คมขำ ผมชอ ขาว Yahoo. com เขยวเข ม ผมชอ Chaiyo. com ชอ หน แดง ชอ Frccmail. com นารก สมโอ สเขยว ผมชอ Jim Siammail. com Smith Who am I ? 41

Cyber World Authentication Real Wold 42

ประเดน เรอง ความปลอดภยของ ขอมล (1( หากทานตองการสง ขอ ความทป กปดห รอเปนความลบผานเครอขาย ทานจะมนใจ ได อยางไรวา บคคลททานประสงคจะสงถงหรอ ทไดรบอนญาตเทานน การรกษา ขอ ความได ควา ทอาน มลบ )Confidential ity) 43

ประเดน เรอง ความปลอดภยของ ขอมล (2( • หากทานไดรบ ขอ ความทสงมาถง ทานฝานทางเครอขาย ทานจะแนใจ ได อยางไรวา เปนขอความทสงมาจากบคคลทอ างวาเปนผสงนนจรง การระบตวบ คคล )Authenticati on) 44

ประเดน เรอง ความปลอดภยของ ขอมล (3( หากทานไดรบ ขอ ความทสงมาถงท านผานทางเครอขาย ทานจะแนใจ ได อยางไรวา ขอ ความททานไดรบเปน ขอ ความ ทถกตองแทจรง ความแทจรง ไมไดถกเปลยนแปลงแกไขระหวางทา ของขอมล ง )Integrity) 45

ประเดน เรอง ความปลอดภยของ ขอมล (4( หากทานไดรบ ขอ ความทางเครอขาย เกยวกบการดำเนนการอยางใด อยา งหนง หรอเปนขอผกพนทางสญญา แตตอมาผ สง ปฏเสธวาไมไดสง ขอ ความนน การหามปฏเสธ คว ทานจะใชอะไรอางองเพอไม ให ป ามรบผด ฏเสธ )Non 46 repudiation)

ความมนใจในการทำธรกจอเ ลกทรอนกส การกษาความลบ )Confidentiality( การระบตวบคค ล )Authentication) ความแทจรง )Integrity) การหามปฏเสธ ค วามรบผด )Non- 47

โครงสรางรองรบการประยกตใช งาน ดานการ รกษาความ ปลอดภยของข อมล 48

กญแจสวนตว Private Key ใบรบรอง Digital Signature กญแจสาธารณะ Certification Authority CA E-mail Public Key Encrypti on 49

การสรางลายมอ ช อดจ ทล ก. การสรางกญแจค (Key Pairs) • กอนการสรางลายมอ ช อดจ ทล น น ตองมการสรางกญแจคขนมาเสย กอนดวยกระบวนการทางคณตศาสตร • เจาของกญแจจะตองเกบกญแจแรกท เรยกวา “กญแจสวนตว ” ไวเปนความลบเพอใหตนเองเทาน นสามารถใชกญแจสวนตวไดแตผ เดยว • การเกบรกษา “กญแจสวนตว ” จะบนทกและเกบไวใน สมารท การด 50

ข. ขนตอนการแฮช หรอยอย (hash function) • เปนขนตอนสำคญในการนำขอมล อเลกทรอนกสทผสงขอมลปร ะสงคจะสงใหแกผรบขอมลนำ มาคำนวณดวยกระบวนการทางคณตศาสต ร (Algorithm) ทเรยกวา “ขนตอนการแฮช (Hash Function) ” หรอ one-way cryptography หรอ one -way hash function • เพอทำการยอยหรอทำใหขอมล 51

ขนตอนการ ยอย อความกอนการแฮช / ยอย “เรยน คณสมหญง ขอสงซอผลไม 20 กก. เปน จาก นายสมชาย ” แฮช 123234“sglggkhk, v d” (ผลของการ แฮชหรอย อย ) 52

ค. การสรางลายมอ ช อดจ ทล • หลงจากนนกนำกญแจสวนตวมา ทำการเขารหสกบขอมลทแฮช หรอ ยอย (Message Disgest) ซอฟตแวรกจะทำการแปลขอมลอเล กทรอนกสเหลานน ใหเปนลายมอ ช อดจทล (Digital Signature) และลายมอ ช อดจ ทล นนกจะมล กษณะเฉพาะทสมพนธกบขอมล แฮช และกญแจสวนตว กลาวคอ ทกครงทขอมล แฮชหรอกญแจส 53

เทคโนโลย ระบบรหสแบบอสมมาตร (เทคโนโลย Public Key( • คำวา อสมมาตร แสดงถง ความไมเหมอนกนสองขางซ งในทน คอการใชกญแจตางกน เรยกวากญแจคประกอบดวยกญแจเปนขอมลในร สวนตว (Private Key) ปอเลกทรอนกส และกญแจสาธารณะ (Public Key) ตวอยาง ซงใชในการเขารหสแ ในขางผสง และขางผรบ 00: bc: 73: d 4: ce: 01: 1 b: b 9 ละถอดรหส : 0 c: 00: 15: c 7: 56 54

เทคโนโลย Public Key • กญแจสวนตวตองอยกบผเปนเ จาของเพยงทเดยวและผเปนเจา ของตองไมใหผอนลวงรถงก ญแจสวนตวน • กญแจสาธารณะควร จะอยในทซงบ คคลทวไปคนหาไดโดยสะดวกและไม จำเปนตองเกบเปนความลบ แต อย างใด 55

ระบบรหสแบบอสมมาตร (เทคโนโลย Public Key( การรกษา ความลบ )Confidentiality) การเขา รหส )Encryption) ลายมอชอดจ ทล การหาม ปฏเสธ )Digital Signatrue) ความรบผดชอบ การระบ ตว บคคล ความแทจรง )Authentication) )Integrity) )Non-repudiation) 56

ตวอยางการเขา /ถอดรหส เพอ ก รกษา ความลบ นาย ข ซอ FE 84 F กญแจ สาธารณะ ของนายข 10 ชน D 125 HG ซอ 10 ชน D 125 HG 3 AHEF กญแจ สวนตว ของนายข 57

ตวอยางวธการสรางและตรวจส อบลายมอชอดจ ทล นาย ก นาย ข ซอ 10 ชน S 84 F 909 Hash AD 8 F 3 AHEF กญแจ สวนตว ของนายก S 84 F 909 ซอ 10 ชน S 84 F 909 Hash FE 84 F กญแจ สาธารณะ ของนายก AD 8 F ขอมลทถกยอยตรงกน 58

ตวอยางลายมอชอดจทล (ขอ นาย ก ความถกเปลยนแปลง นาย ข ซอ 10 ชน S 84 F 909 Hash AD 8 F 3 AHEF กญแจ สวนตว ของนายก S 84 F 909 ซอ ( 10 ชน S 84 F 909 Hash FE 84 F กญแจ สาธารณะ ของนายก J 4 FA AD 8 F ขอมลทถกยอยตาง กน 59

การบรหารจดการกญแจ (Key Management( • ผใชกญแจสาธารณะ (Public Key) ในการตรวจสอบลายมอชอดจทล (Digital Signature) หรอใชในการเขารหสขอมล (Encryption) จะมนใจ ได อยางไรวากญแจสาธารณ ะนนเปนของบคคลทอางถงจรง • ถาจำนวนผใชมมาก จะจดการกบกญแจจำนวนมากๆ ได 60

Trusted Third Party Mechanism ผประกอบการรบรอง Certification Authority (CA) • ยนยนและรบรองตวบคคล ซงเปนเจาของกญแจสาธารณะ • บรหารจดการกญแจสาธารณะ 61

ผประกอบการรบรอง (Certification Authority) • เปนบคคลฝายทสามทำหนาทสร างกญแจ ค ตามคำขอของ ผ ขอใชบร การ • ออกใบรบรองยนยนตวบคคลผขอใช บรหาร • จดเกบกญแจสาธารณะในฐานขอมล • เปดเผยกญแจสาธารณะตอสาธารณะชนท ตดตอทางเครอขาย • ยนยนตวบคคลทเปนเจาของกย 62

ใบรบรอง (Certificates) • ลายมอชออเลกทรอนกสทสราง จากเทคโนโลยการเขารหสแบบอสมมาตร โดยอาศยโครงสรางพนฐานของกญแจ สาธารณะทเรยกวาลายมอ ช อดจ ทล นน เมอสงขอความทอยในรปขอม ลอเลกทรอนกสพรอมลายมอ ช อ ดจ ทล ไปยงผรบจะสามารถตรวจสอ บความถกตองของขอมลความดงกลา 63 ว

มาตรฐานใบรบรอง • รปแบบใบรบรองทกำหนดมาตรฐานโด ย ITU (International Telecommunication Union) คอมาตรฐาน x. 509 • เนองจากกำหนดรายละเอยดตาง ๆจงนยมใชกนอยางแพรหลาย และสามารถประยกตใชกบโปรแกรม หรอสามารถนำมาประยกตใชในการแ ลกเปลยนใบรบรอง • ปจจบนมาตรฐานทไดรบความนย มอยางแพรหลายคอ มาตรฐาน x. 509 Version 3 ซงมรายละเอยดตาง ๆ อาท หมายเลขของใบรบรอง 64

รายการตาง ๆ ทกำหนดไวมาตรฐาน x. 509 Version 3 ของ versionl mumber certificate serial mumber signature algorihm identifer issuer’s name and uniqure identifer validity (or operational) period subject’ s nam 4 e and unique identifier subject public key information standard extensions certificate appropriate use definition key usage limitation definition certificate policy information other extensions Application – specific CA – specific 65

รายการหลกในใบรบรอง • ชอของผถอใบรบรอง • ชอของผประกอบการรบรอง • วธการใชในการสรางลายมอชอดจ ทล • กญแจสาธารณะของผถอใบรบรอง • วนเวลาทเรมและสนสดของการใช ใบรบรอง • ลายมอชอดจ ทล ของผประกอบการ 66 รบรอง

ตวอยางใบรบรองอเลกทรอน กส a (1/4( C o n C e r t i f i c t e C t e n t : C e r t i f i c a t e : D a t a : V e rs io n : v 3 ( 0 x 2 X ) S e ria l N u m b e r: 1 6 ( 0 x 1 0 ) S ig nature Alg orithm: P KC S # S HA-1 With R S A E nc ryption Issuer: C N=PKI-C A, OU=C S , O=BUU, C =TH V a l l i d i t y Not Before: Fri Aug 18 13: 01: 46 2001 Not After: S at Feb 17 13 : 01: 46 2002 S ubject: E =s e@ b u u. ac. t h, C N=S eree h i n o d o m, 67 UID=cmi, OU=C S , O=BUU, C =TH

ตวอยางใบรบรองอเลกทรอน Subject Publicกส Info: Key (2/4( Algorithm: PKCS # 1 RSA Encryption Public Key Modulus: 00: 03: 73: d 4: ce: 01: 1 b: b 9: 0 c: 00: 15: c 7: 5 6: ca: ff: 9 e: e 2: 64: d 4: 47: b 0: cd: 7 b: 8 b: 15: 26: bf: 88: ac: 0 9: e 9: 11: 50: 41: 08: ab: e 4: cb: f 7: 95: 96: bc: b 1: 78: b 1: 6 d: 68: b e: 05: 21: e 1: 39: d 5: a 7: e 4: 75: b 6: 0 e: f 9: 72: 43: 2 f: 7 b: 5 b: 2 f: a 4 : ba: b 9: 62: 13: 2 b: 68

ตวอยางใบรบรองอเลกทรอน กส (3/4( Extensions: Identifier: Certificate Type Critical: no Certified Usage: SSL Client Secure E-mail Object Signing Identifier: Authority Key Identifier Critical: no Key Identifier: 75: b 0: 6 d: 14: d 2: 7 f: 9 f: f 6: d 7: 18: 00: 91: 22: fe: f 3: 4 69

ต วอยางใบรบรองอเลกทรอน กส (4/4( Signature: Algorithm: PKCS #1 SHA-1 With RSA Encryp Signature: 82: 03: 9 f: 35: 5 a: f 6: d 5: d 6: 70: 04: 74: 55: 22: f 5: d 2: 42 59: 33: 68: 19: 21: 85: ab: cb: a 2: 77: 8 e: 97: f 0: 2 e: 52: 28 52: 11: 9 f: 4 b: 1 e: 10: d 5: 96: 2 e: 9 f: 17: 48: 3 b: 62: 6 b: b 6 f 5: a 3: fa: 80: bf: 01: 5 c: 42: 4 a: de: bf: b 3: 12: 2 f: 8 b: c 0: 6 ae: 52: b 8: 0 b: f 4: 86: 5 d: 09: 43: bd: 39: 35: 63: 60: 35: 7 ac: af: 6 c: da: 98: 69: 13: 31: ba: 7 b: 01: f 9: 57: 71: 27 09: 24 70

ประเภทของบรการใบรบรองอเล กทรอนกส • การแบงประเภทหรอระดบของใบรบรอง นน โดยทวไปเปนกรณทผประกอบกา รรบรอง (CA) แตละรายจะเปนผกำหนดเอง ก. บรการใบรบรองอเลกทรอนกสสวน ตว เหมาะสำหรบบคคลทวไปทตองกา รตดตอสอสารผานเครอขายคอมพ 71

ประเภทของบรการใบรบรองอเล กทรอนกส ข. บรการใบรบรองอเลกทรอนกสสำห รบเวบไซต – เหมาะสำหรบหนวยงานทตองการสราง ความเชอมนในการเผยแพรขอมลแก บคคลทวไปผานเครอขายคอมพวเตอร วาขอมลดงกลาวมาจากเวบ ไซด ของหน วยงานนนจรง – นอกจากนยงสามารถใชในการสรางชอง ทางสอสารแบบปลอดภยระหวางเวบไซต 72

ประเภทของบรการใบรบรองอเล กทรอนกส ค. บรการบรหารจดการใบรบอรองอเลก ทรอนกสสวนตวสำหรบองคกร – เหมาะสำหรบองคกรทตองการใชเทคโ นโลยกญแจสาธารณะในการรกษาความปลอด ภยของขอมลทสอสารผานเครอขา ยคอมพวเตอร เชน อน เทอร เนต ( Internet) อนทราเนต ( Intranet) หรอ เอกซท ราเนต (Extranet) โดยทองคกรสามารถออกใบรบรองอเลก 73

1ผ ขนตอนทเกยวของกบการ 3. ขอ/ออกใบรบรอง RA สงคำขอใบรบรอง CA เกบใบรบรอง 5. ตอไปยง ใน Directory Reposit Registration Certification ory Authority )Direct ory(. 2 RA ตรวจสอบและ ยนยนตวบคคล Subscriber CA 4. CA ออกใบรบรอง ใช บรการขอใบรบรอง 74