電子商務安全主講人張真誠教授逢甲大學講座教授中正大學

電子商務安全主講人 : 張真誠教授逢甲大學講座教授中正大學榮譽教授

綱要 1. 密碼學 2. 電子商務 3. 資訊保密技術 4. 數位簽章 5. 識別系統之設計 6. 電子交易 2

一、密碼學 ¡ 密碼學：有關研究秘密通訊的學問 1. 如何達成秘密通訊 2. 如何破譯秘密通訊 3

傳統加密系統收方送方明文加密密文解密明文不安全通訊線金鑰安全通訊線 4

公開金鑰加密系統收方送方明文加密密文解密明文不安全通訊線公開金鑰 A B 金鑰 B … … 5

二、電子商務 ¡ 何謂電子商務所有利用電腦網路所從事的商業行為 ¡ 電子商務之架構 ¡ 電子商務型態 6

電子商務之架構電子商務應用公共政策法律及隱私權的問題供應鏈的管理線上行銷及廣告隨選視訊遠端金融服務上網購物採購和購買一般商業服務架構 (安全 /身分識別、電子付款、電話黃頁 /型錄 ) 訊息和資訊收發的基礎架構 (EDI、 E-mail、 HTTP) 多媒體內容和網路出版基礎架構 (HTML、 JAVA、 WWW) 技術標準文件、安全及網路協定的技術標準網路基礎架構（電話、有線電視、無線通訊、網際網路） 7

電子商務型態 ¡ 企業內部 ¡ 企業對企業(B 2 B) ¡ 企業對顧客(B 2 C) 8

電子商務型態 ¡ 企業內部電腦網路資源共享 ¡ B 2 B 電子資料交換供應鏈管理(SCM) ¡ QR(Quick Response) ¡ ECR(Efficient Consumer Response) 9

電子商務型態 ¡ B 2 C 網路購物 ¡ 市場調查/需求分析 ¡ 電子商店 ¡ 廣告線上交易 ¡ SET(Secure Electronic Transaction) 10

三、資訊保密技術 ¡ 秘密金鑰加密法送方明文加密收方密文解密明文金匙 11

三、資訊保密技術 ¡ 公開金鑰加密法送方明文收方加密解密密文明文公開金匙金匙張三金匙A 李四金匙B … … 金匙 12

三、資訊保密技術 ¡ RSA加密法 1. 張三選 2個大質數p和q，令N=pxq。 2. 張三選 1個與(p-1)x(q-1)互質數e。 3. (e, N)即為張三的公開金鑰; 加密法為C=Me mod N 4. 張三選 1個數d, 滿足e．d 1 mod (p-1)(q-1) 5. d 即為張三的解密金匙; 解密法為 M=Cd mod N 13

三、資訊保密技術 ¡ RSA加密法-例子張三選p=3，q=11; 此時N=pxq=3 x 11=33。 2. 張三選出 1個與(p-1)x(q-1)=(3 -1)(11 -1) =2 x 10=20互質數e=3。 3. (e, N)=(3, 33)即為張三的公開金鑰 4. 張三選 1個數d=7當作解密金匙, 滿足e．d 1 mod 20，亦即，7 x 3 1 mod 20。令明文 M=19 加密: C=Me mod N=193 mod 33=28. 解密: M=Cd mod N=287 mod 33=19. 1. 14

三、資訊保密技術 ¡ 數位簽章張三李四 C=(M張 d mod 張 N)李 e mod 李 N M=(C李 d mod 李 N)張 e mod 張 N 15

三、資訊保密技術 ¡ 數位浮水印張三李四 16

三、資訊保密技術 ¡ ¡ 視覺密碼學憑証(Certificate) 版特方參發初截使方參公數本定法數文始止用法數開字編者時時者密簽號間間鑰章方法識別有效期公開密鑰資料 X. 509証明文件格式~此由CA產生 17

四、數位簽章 The Model of Digital Signature Signer’s secret key Verification Function Signature Message Signer’s public key Message Check Message=? Message 18

RSA Public Key Cryptosystem and Digital Signature Scheme q RSA Digital Signature Scheme v Sign Function: Signature S=Md mod N. v Verification Function: M=Se mod N. q Example 1. P=11, Q=13, N=143, and (143)=120. 2. e=103, then d=7 (for 103× 7 mod 120=1 ). 3. Sign for M=3: S=37 mod 143=42. 4. Verification: M= Se mod N = 42103 mod 143=3. 19

Blind Signature q D. Chaum proposed in 1983 q D. Chaum’s Blind Signature Scheme ◆ It uses the RSA algorithm. Security Basis: Factorization Problem ◆ Construction: Bob has a public key, e, a private key, d, and a public modulus, N. Alice wants Bob to sign message M blindly. 1. Alice chooses a random integer k between 1 and N. Then she blinds M by computing t = Mke mod N. 2. Bob signs t, td=(Mke)d mod N. 3. Alice unblinds td by computing s=td/k mod N = Md mod N. s is the signature of message M. 20

Blind Signature Property: Untraceable Applications: Blind signature can be used in electronic cash system. Bank 1. t=SN×ke mod N SN: Serial # k: random number 2. t Consumer 4. s=(td)/k mod N=SNd mod N Coin: (SN, s) 3. td mod N 5. Coin -signs coins -database 7. Coin Merchant 6. Verify the signature s 21

五、識別系統之設計 ¡ 通行碼識別系統 ¡ 指紋識別系統 ¡ 語音識別系統 22

通行碼識別系統 ¡ 傳統式使用者名稱 ID 1 ID 2. . . IDn 通行碼表 PW 1 PW 2. . . PWn 23

IDi 否！拒絕 ID 格式是否正確是 PWi ID 1 ID 2. . . IDn 1 2. . . n 通行碼表取出比較 PWi = I ? 否！拒絕通關是！接受通關 24

六、付款協定與付款系統 Consumer Browser Payment Merchant Acquirer/ Processor Credit Card Certificate Request Financial Network Debit 1 OF BILL’S DOLLARS IN EXCEL WE TRUST E-Cash E-Check WALLET Merchant WWW Server POS Terminal Gateway Financial Host Internet GATE Merchant Solution 25

電子現金交易系統 5. 運送貨物消費者 1. 要求取得電子現金 4. 使用電子現金商家 3. 送出電子現金 E-Mint 6. 兌領現金 7. 付款至商家帳戶 2. 轉送現金與消費者往來的銀行與商家往來的銀行 26

電子支票交易系統消費者 1. 瀏覽商家提供之物品資訊 2. 選擇物品並使用電子支票 4. 結束交易 3. 確認支票 7. 消費者帳戶資料更新商家 5. 將電子支票送交銀行票據交換所與消費者往來的銀行 6. 將電子支票送交清算中心，與消費者所屬銀行結算後，將錢匯入商家帳戶。與商家往來的銀行 27

電子信用卡系統消費者商家 1. 瀏覽物品資訊 2. 選擇物品並使用電子信用卡 4. 結束交易 7. 更新消費者帳戶資料 3. 要求並取得信用授權 5. 提供信用消費資訊 6. 要求取得消費金額發卡銀行與商家往來的銀行 28

認證單位在付款系統上的關係商家的系統消費者認證單位與消費者往來的銀行系統與商家往來的銀行系統 29

SET付款交易程序　持　　卡　　人 1. 確認電子商店之合法性 2. 提示電子商店証書 3. 訂單數位簽章及電子証書　特約電子商店 6. 訂單確認完成交易交貨給消費者 4. 請求交易授權 5. 交易授權回覆 7. 請款要求　收　單　銀　行 8. 請款回覆與發卡銀行之授權與清算 30

John 1. 使用映碎函式產生訊息摘要明文訊息摘要 2. 使用 John的私密金鑰產生數位簽章數位信封明文、簽章、電子證書 3. 使用對稱金鑰產生加密資料 4. 使用 Alice的公開金鑰將對稱金鑰加密，產生數位信封加密資料 5. 傳送數位信封和加密資料加密資料數位信封 6. 使用 Alice的私密金鑰將數位信封解密，得到對稱金鑰 7. 使用對稱金鑰將加密資料解密，得到明文、John的簽章和電子證書 8. 使用 John的公開金鑰將數位簽章解密，得訊息到訊息摘要摘要 Alice 10. 比較是否相同 SET應用對稱與非對稱金鑰系統運作圖訊息摘要 9. 使用相同的映碎函式對明文產生訊息摘要明文、簽章、電子證書數位簽章明文 31

七、授權度 § 檔案使用者程式檔案系統 File System 檔案庫查表 32

七、授權度使用者檔案 0 : No access 1 : Execute 2 : Read 3 : Write 4 : Own 33

八、電腦犯罪 ¡ 資訊時代的新威脅犯案時間縮短犯案區域擴增犯罪方法新穎資產型態改變犯案環境單純 34

八、電腦犯罪 ¡ 入侵電腦系統方式摧毀實體摧毀資訊竄改資訊偷用服務偷窺偷用資料 35

八、電腦犯罪 ¡ 犯案新方法清道夫混水摸魚社會心理篡改資料線路竊聽積少成多 n n n 建立陷井邏輯炸彈木馬藏兵異步攻擊超級指令模擬 36

九、結論 ¡ 10 Commandments of Commercial Security Today Don’t aim for perfect security. So, be realistic, and do the best you can within your limits. Roughly, you should double security expenditure to halve risk. Don’t solve the wrong problem. For example, note that US banks lose 10 billion dollars a year in check fraud but only 5 million in online 37

九、結論 Don’t sell security bottom-up ( in terms of the personnel hierarchy). Don’t use cryptographic overkill. Even bad crypto is usually the strong part of the system. Don’t make it complicated. This yields more places to attack the system, and it encourages users to find ways to bypass security. Don’t make it expensive. 38

九、結論 Don’t use a single line of defense. Have several layers so security can be maintained without expensive replacement of the primary line. Don’t forget the “mystery attack”. Be able to regenerate security even when you have no idea what’s going wrong. For example, smart cards are attackable but are great for quick cheap recovery. Don’t trust systems. Don’t trust people. 39

電子商務安全 主講人 張真誠 教授 逢甲大學 講座教授 中正大學

電子商務安全主講人張真誠教授逢甲大學講座教授中正大學