Internet đã
và đang trở thành diễn trường tiềm năng và hứa hẹn hỗ trợ cho thương
mại điện tử. Trong nhiều năm qua, các ứng dụng cơ bản chủ yếu trên
Internet chủ yếu là e-mail (SMTP), telnet (remote login), news (NNTP),
fpt (file transfer protocol), .v.v.v và gần đây là WWW với giao thức
HTTP (hypertext transfer protocol). Từ năm 1993, một số các tổ chức
quốc tế hoặc công ty như WWW consortium, NSCA, Netscape Comm. Corp. đưa
ra hàng loạt các "chuẩn" về bảo mật như SSL (secure socket layer),
S-HTTP (secure hypertext transfer protocol), SET (secure electronic
transactions),... làm cơ sở tăng cường cho các ứng dụng thương mại điện
tử trên Internet. Tuy nhiên, câu hỏi đặt ra là: "Làm thế nào để thanh
toán?" hoặc "Việc thanh toán thế nào là an toàn?", vvv.
Mô hình tổng quát về thanh toán điện tử bao gồm ba mô hình chủ yếu [1]:
1 - Mô hình Tiền điện tử (electronic currency): E-cash, Net-cash.
2 - Mô hình Séc điện tử (electronic cheque): Net-cheque, Netbill.
3 - Mô hình Thẻ điện tử thông minh (credit-card, deposit card): smart card.
Một
hệ thanh toán điện tử được gọi là tốt nếu nó thoả mãn các yêu cầu về
"tính bảo mật, độ tin cậy, tính quy mô (scalability), tính vô danh
(anonymity), tính chấp nhận được, tính mềm dẻo, tính chuyển đổi được,
tính hiệu quẩ, tính dễ kết hợp với ứng dụng và dễ sử dụng"[3]. Một mô
hình thanh toán điện tử tốt phi đáp ứng càng cao càng tốt các yêu cầu
nêu trên, trong đó tính bảo mật đóng vai trò tối thượng. Trong các mô
hình thanh toán kể trên, mô hình thẻ điện tử có tiềm năng to lớn bởi
tính đơn giản và có lâu năm lịch sử thành công của thẻ tín dụng
(credit-card) tại các nước tiên tiến (Mỹ, Pháp, Anh, úc,...).
Từ
năm 1994, IBM Research đưa ra một họ các giao thức thanh toán điện tử
gọi là Internet Keyed Protocol (iKP) gii quyết việc thanh toán giao tác
đa phưng trên Internet (secure multi-party transactions), dựa trên mô
hình thẻ điện tử. iKP gồm 3 giao thức dùng thuật toán RSA (mật mã công
khai) thực hiện kết hợp phần mềm và/hoặc phần cứng. iKP mô phỏng các
người chơi chủ yếu của các giao tác thương mại trên Internet là Người
mua, Người bán và Nhà băng. Mục tiêu của iKP là đặt cơ sở cho các thanh
toán điện tử trong tương lai dùng công nghệ credit-card truyền thống.
iKP được sự ủng hộ của rất nhiều hãng tài chính thế lực và hiện trên
quá trình xây dựng và hoàn chỉnh [2].
Các đe doạ (threats) chủ yếu trên Internet:
1
- Xem trộm (eavesdropping, interception), loại tấn công thụ động gây
ảnh hưởng đến tính riêng tư (privacy) của thông tin (e-mails,
messages,...), tuy nhiên, không ảnh hưởng trực tiếp đến nội dung thông
tin.
2
- Phá hoại-thay đổi thông tin (hackers), là loại tấn công tích cực gây
ảnh hưởng đến tính chân thực (authentication), tính toàn vẹn
(integrity), tính kh dụng (availability),... của thông tin truyền trên
Internet. Các kỹ thuật (cryptanalysis) cơ bản của hackers bao gồm:
a. Tấn công dùng từ điển (dictionary attack)
b. Tấn công bằng thay thế (substitution attack)
c. Tấn công lặp lại (replay attack)
d. Tấn công dùng xác xuất (birthday attack, meet-in-the middle attack)
e. Tấn công "vét cạn" dựa trên việc duyệt mọi khả năng của khoá (brute-force attack)
...
3
- Đe doạ của Người nội bộ hay tay trong (insiders), là loại tấn công
nội bộ có trợ giúp của người bên trong của một mạng cục bộ, một mạng
máy tính như mạng Intranet hoặc như sự gian lận của Người bán muốn trộm
tiền từ Người mua một cách phi pháp.