ภัยคุกคามและการรักษาความปลอดภัยบนระบบคอมพิวเตอร์
(Threats and Security on computer system)
หัวข้อ (Topic)
7.1 ประเภทของภัยคุกคาม
7.2 การรักษาความปลอดภัยบนระบบคอมพิวเตอร์
วัตถุประสงค์การเรียนรู้ (Learning Objective)
1. จำแนกประเภทของภัยคุกคามได้
2. เสนอแนะวิธีในการป้องกันภัยบนระบบคอมพิวเตอร์ได้
3. อธิบายมาตรการในการรักษาความปลอดภัยของข้อมูลได้
4. บอกความแตกต่างระหว่าง Hacker กับ Cracker ได้
5. บอกความแตกต่างระหว่าง Virus กับ Worm ได้
6. บอกความหมายของ Spam และข้อเสียของ Spam ได้
7. อธิบายภัยคุกคามบน E-Commerce และภัยคุกคามรูปแบบอื่น ๆ บน Internet ได้
8. บอกประโยชน์และโทษของ Cookie ได้
9. แนะนำวิธีการสังเกตุความปลอดภัยในการเลือกซื้อสินค้าบน Web Site ได้
7.1 ประเภทของภัยคุกคาม
ภัยภิบัติที่เกิดขึ้นกับระบบ (Disaster) เป็นความเสียหายทั้งทางด้านกายภาพและด้านข้อมูล ที่เกิดขึ้นกับระบบคอมพิวเตอร์ Hardware Programs แฟ้มข้อมูล และอุปกรณ์อื่น ๆ ถูกทำลายให้ให้เกิดความเสียหาย ซึ่งที่ร้ายแรงที่สุดอาจก็คือการที่ภัยนั้นทำให้ระบบล่มไม่สามารถใช้งานได้
ประเภทของภัยคุกคามที่เกิดขึ้นกับระบบคอมพิวเตอร์และเครือข่ายนั้น สามารถจำแนกได้ 2 ประเภท
หลัก ๆ ดังนี้
1. ภัยคุกคามทางตรรกะ (Logical) หมายถึง ภัยคุกคามทางด้านข้อมูล
2. ภัยคุกคามทางกายภาพ (Physical) หมายถึง ภัยที่เกิดกับตัวเครื่องและอุปกรณ์ เช่น ภัยภิบัติจากธรรมชาติ และภัยจากการกระทำของมนุษย์ที่ทำความเสียหายให้กับตัวเครื่องและอุปกรณ์
ภัยคุกคามทางด้านข้อมูล
Hacker คือ ผู้ที่แอบเข้าใช้งานระบบคอมพิวเตอร์ของหน่วยงานหรือองค์กรอื่น โดยมิได้รับอนุญาต แต่ไม่มีประสงค์ร้าย หรือไม่มีเจตนาที่จะสร้างความเสียหายหรือสร้างความเดือดร้อนให้แก่ใครทั้งสิ้น แต่เหตุผลที่ทำเช่นนั้นอาจเป็นเพราะต้องการทดสอบความรู้ความสามารถของตนเองก็เป็นไปได้
Cracker คือ ผู้ที่แอบเข้าใช้งานระบบคอมพิวเตอร์ของหน่วยงานหรือองค์กรอื่น โดยมีเจตนาร้ายอาจจะเข้าไปทำลายระบบ หรือสร้างความเสียหายให้กับระบบ Network ขององค์กรอื่น หรือขโมยข้อมูลที่เป็นความลับทางธุรกิจ
Note : ไม่ว่าจะเป็น Hacker หรือ Cracker ถ้ามีการแอบเข้าใช้งานระบบคอมพิวเตอร์เครือข่ายของผู้อื่น แม้ว่าจะไม่ประสงค์ร้ายก็ถือว่าไม่ดีทั้งสิ้น เพราะขาดจริยธรรมด้านคอมพิวเตอร์
ไวรัส (Viruses) คือ โปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่เขียนขึ้นโดยความตั้งใจของ Programmer ถูกออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ ไวรัสจะแพร่กระจายตัวเองอย่างรวดเร็วไปยังทุกไฟล์ภายในคอมพิวเตอร์ หรืออาจจะทำให้ไฟล์เอกสารติดเชื้ออย่างช้าๆ แต่ไวรัสจะไม่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวมันเอง โดยทั่วไปแล้วจะเกิดจากการที่ผู้ใช้ใช้สื่อจัดเก็บข้อมูล เช่น Diskette คัดลอกไฟล์ข้อมูลลง Disk และติดไวรัสเมื่อนำไปใช้กับเครื่องอื่น หรือไวรัสอาจแนบมากับไฟล์เมื่อมีการส่ง E-mail ระหว่างกัน
หนอนอินเตอร์เน็ต (Worms) มีอันตรายต่อระบบมาก สามารถทำความเสียหายต่อระบบได้จากภายใน เหมือนกับหนอนที่กัดกินผลไม้จากภายใน หนอนร้ายเป็นโปรแกรมคอมพิวเตอร์ที่ถูกออกแบบมาให้สามารถแพร่กระจายตัวเองจากเครื่องคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยอาศัยระบบเน็ตเวิร์ค (ผ่านสาย Cable) ซึ่งการแพร่กระจายสามารถทำได้ด้วยตัวของมันเองอย่างรวดเร็วและรุนแรงกว่าไวรัส เมื่อไรก็ตามที่คุณสั่ง Share ไฟล์ข้อมูลผ่าน Network เมื่อนั้น Worms
Spam mail คือ การส่งข้อความที่ไม่เป็นที่ต้องการให้กับคนจำนวนมาก ๆ จากแหล่งที่ผู้รับไม่เคยรู้จักหรือติดต่อมาก่อน โดยมากมักอยู่ในรูปของ E-mail ทำให้ผู้รับรำคาญใจและเสียเวลาในการลบข้อความเหล่านั้นแล้ว Spam mail ยังทำให้ประสิทธิภาพการขนส่งข้อมูลบนอินเทอร์เน็ตลดลงด้วย
ในการทำธุรกิจบนระบบพาณิชย์อิเล็กทรอนิกส์ อาจจะเกิดภัยคุกคามต่อเว็บไซต์ได้ จึงเป็นสิ่งสำคัญที่เราทุกคนควรจะรู้ว่ามีภัยคุกคามใดบ้างที่อาจเกิดขึ้นกับระบบ เพื่อเตรียมพร้อมสำหรับการป้องกันล่วงหน้า ตัวอย่างภัยคุกคามที่ควรระวังสำหรับพาณิชย์อิเล็กทรอนิกส์ เช่น
1. การเข้าสู่เครือข่ายโดยไม่ได้รับอนุญาต เช่น มีบุคคลอื่นแอบอ้างในการใช้ชื่อ Login Name และ Password ในการเข้าไปทำธุรกรรมซื้อขายบน Web site แทนตัวเราเอง
2. การทำลายข้อมูลและเครือข่าย เช่น Cracker เจาะระบบเข้าไปทำลาย file และข้อมูลภายในเครื่อง Server ของ Web site ผู้ขาย ทำให้ข้อมูลสมาชิกหรือลูกค้าของระบบเกิดความเสียหาย
3. การเปลี่ยนแปลง การเพิ่ม หรือการดัดแปลงข้อมูล เช่น การส่ง Order หรือจดหมายอิเล็กทรอนิกส์ในการสั่งซื้อสินค้า หรือการที่จดหมายถูกเปิดอ่านระหว่างทาง ทำให้ข้อมูลไม่เป็นความลับ และผู้เปิดอ่านอาจเปลี่ยนแปลง แก้ไข หรือเพิ่มเติมข้อความในจดหมาย เช่น การแก้ไขจำนวนยอดของการสั่งซื้อสินค้า เป็นต้น
4. การเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต เมื่อเราสมัครเป็นสมาชิกไว้ใน Web site ใด ๆ Server ของเจ้าของ Web site จะเก็บข้อมูลส่วนตัวของเราไว้ หากเจ้าของ Web Site ขาดจริยธรรมในการทำธุรกิจอาจนำข้อมูลส่วนตัวของเราไปขายให้องค์กรอื่น เช่น ขายข้อมูลให้กับบริษัทบัตร Credit เป็นต้น
5. การทำให้ระบบบริการของเครือข่ายหยุดชะงัก เช่น การที่ Cracker เข้ามาทำลายระบบเครือข่าย และส่งผลให้เครื่อง Server ของเจ้าของ Web site ไม่สามารถให้บริการแก่ลูกค้าของเขาได้จนกว่าระบบนั้นจะถูกแก้ไข ดังนั้น เมื่อระบบล่มเป็นระยะเวลานานหลายชั่วโมง หรืออาจจจะนานหลายวันก็จะส่งผลต่อยอดขายสินค้าบน Web ด้วย
6. การขโมยข้อมูล เมื่อตัวเราเองเป็นผู้ให้ข้อมูลไว้กับ Web site ที่เราจะซื้อขายสินค้า ข้อมูลนั้นอาจถูกขโมยจากเจ้าของ Web site จากผู้ดูแล Web หรือจาก Cracker ที่นำไปใช้ประโยชน์ต่อเขาเหล่านั้น แต่ส่งผลเสียกับตัวเรา เพราะการเปิดเผยข้อมูลส่วนตัวเขาของเราโดยไม่ได้รับอนุญาตถือเป็นการขโมย
7. การปฏิเสธการบริการที่ได้รับ เช่น ปฏิเสธว่าไม่ได้เข้าไปกรอกรายการสั่งซื้อที่ Web site โดยใช้ชื่อนี้หรืออ้างว่าสั่งซื้อสินค้าแล้วแต่ไม่ได้รับการจัดส่งสินค้าจาก web site ดังกล่าวเพื่อใช้เป็นข้ออ้างในการชำระเงินค่าสินค้าส่วนที่เหลือ
8. การอ้างว่าได้ให้บริการ หรือ อ้างว่าได้ส่งมอบสินค้าและบริการแล้ว
9. Virus ที่แอบแฝงมากับผู้ที่เข้ามาใช้บริการ ส่งผลทำให้เครื่อง Server ของเจ้าของ web site ได้รับความเสียหาจากการที่ Virus ทำลายข้อมูลและ file ต่าง ๆ ภายในระบบ
2. การทำลายข้อมูลและเครือข่าย เช่น Cracker เจาะระบบเข้าไปทำลาย file และข้อมูลภายในเครื่อง Server ของ Web site ผู้ขาย ทำให้ข้อมูลสมาชิกหรือลูกค้าของระบบเกิดความเสียหาย
3. การเปลี่ยนแปลง การเพิ่ม หรือการดัดแปลงข้อมูล เช่น การส่ง Order หรือจดหมายอิเล็กทรอนิกส์ในการสั่งซื้อสินค้า หรือการที่จดหมายถูกเปิดอ่านระหว่างทาง ทำให้ข้อมูลไม่เป็นความลับ และผู้เปิดอ่านอาจเปลี่ยนแปลง แก้ไข หรือเพิ่มเติมข้อความในจดหมาย เช่น การแก้ไขจำนวนยอดของการสั่งซื้อสินค้า เป็นต้น
4. การเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต เมื่อเราสมัครเป็นสมาชิกไว้ใน Web site ใด ๆ Server ของเจ้าของ Web site จะเก็บข้อมูลส่วนตัวของเราไว้ หากเจ้าของ Web Site ขาดจริยธรรมในการทำธุรกิจอาจนำข้อมูลส่วนตัวของเราไปขายให้องค์กรอื่น เช่น ขายข้อมูลให้กับบริษัทบัตร Credit เป็นต้น
5. การทำให้ระบบบริการของเครือข่ายหยุดชะงัก เช่น การที่ Cracker เข้ามาทำลายระบบเครือข่าย และส่งผลให้เครื่อง Server ของเจ้าของ Web site ไม่สามารถให้บริการแก่ลูกค้าของเขาได้จนกว่าระบบนั้นจะถูกแก้ไข ดังนั้น เมื่อระบบล่มเป็นระยะเวลานานหลายชั่วโมง หรืออาจจจะนานหลายวันก็จะส่งผลต่อยอดขายสินค้าบน Web ด้วย
6. การขโมยข้อมูล เมื่อตัวเราเองเป็นผู้ให้ข้อมูลไว้กับ Web site ที่เราจะซื้อขายสินค้า ข้อมูลนั้นอาจถูกขโมยจากเจ้าของ Web site จากผู้ดูแล Web หรือจาก Cracker ที่นำไปใช้ประโยชน์ต่อเขาเหล่านั้น แต่ส่งผลเสียกับตัวเรา เพราะการเปิดเผยข้อมูลส่วนตัวเขาของเราโดยไม่ได้รับอนุญาตถือเป็นการขโมย
7. การปฏิเสธการบริการที่ได้รับ เช่น ปฏิเสธว่าไม่ได้เข้าไปกรอกรายการสั่งซื้อที่ Web site โดยใช้ชื่อนี้หรืออ้างว่าสั่งซื้อสินค้าแล้วแต่ไม่ได้รับการจัดส่งสินค้าจาก web site ดังกล่าวเพื่อใช้เป็นข้ออ้างในการชำระเงินค่าสินค้าส่วนที่เหลือ
8. การอ้างว่าได้ให้บริการ หรือ อ้างว่าได้ส่งมอบสินค้าและบริการแล้ว
9. Virus ที่แอบแฝงมากับผู้ที่เข้ามาใช้บริการ ส่งผลทำให้เครื่อง Server ของเจ้าของ web site ได้รับความเสียหาจากการที่ Virus ทำลายข้อมูลและ file ต่าง ๆ ภายในระบบ
อันตรายหนึ่งที่คาดไม่ถึงจากอินเทอร์เน็ตที่ส่งผลกระทบโดยตรงต่อเยาวชนไทย เพราะอินเทอร์เน็ตยังเป็นสื่อ Electronic ที่มาตรการการควบคุมสิทธิเสรีภาพของผู้ใช้ยังไม่ดีนัก ดังนั้น การกระทำใด ๆ ในห้องสนทนา (Chat) และ เว็บบอร์ด (Web board) จึงเกิดขึ้นได้อย่างไร้ขอบเขต จนกลายเป็นที่ระบายออกซึ่งอารมณ์และความรู้สึกของผู้ใช้
ในห้องสนทนา ทุกคนสามารถคุยอะไรกับใครก็ได้ รายละเอียดต่างๆไม่มีการเปิดเผย รู้เพียงแต่ชื่อที่ใช้ในการสนทนาเท่านั้น ดังนั้นจึงไม่มีทางรู้ได้เลยว่า เรากำลังพูดคุยอยู่กับใคร สิ่งที่คนนั้นพูดอยู่เป็นความจริงหรือไม่ ดังจะเห็นตามหน้าหนังสือพิมพ์ที่อาชญากรรมที่เกิดกับวัยรุ่นสมัยนี้บางครั้งมีจุดเริ่มต้นมาจากการพูดคุยกันในห้องสนทนา (Chat Room) บนอินเทอร์เน็ต
Case1: หญิงสาวผู้นี้ได้แอบอ้างว่า เธอคือ นาเดีย นิมิตรวานิช
ชายหนุ่มและหญิงสาว สนทนากันบนโลก Cyber โดยหญิงสาวผู้นี้ได้แอบอ้างว่า เธอคือ นาเดีย นิมิตรวานิช ดาราสาวและดีเจชื่อดังของรายการ Channel V Thailand ซึ่งทำให้ชายหนุ่มผู้นั้นเชื่อว่าเป็นเรื่องจริง ทั้งๆที่ยังไม่เคยเห็นหน้ามาก่อน จากนั้นจึงติดต่อกันเรื่อยมาทางโทรศัพท์ จนในที่สุดเวลาผ่านไป ฝ่ายชายที่คาดว่าน่าจะหลงไหลในหญิงสาวผู้แอบอ้างเป็นอย่างมากจึงขอฝ่ายหญิงแต่งงาน โดยที่ยังไม่เคยเห็นหน้าแม้แต่ครั้งเดียว โดยตกลงกันว่าฝ่ายชายจะนำเงินค่าสินสอดไปฝากไว้กับเคาน์เตอร์ของโรงแรมชื่อดังแห่งหนึ่ง แล้วให้รอการติดต่อกลับ หลังจากนั้นแล้ว ฝ่ายหญิงก็เงียบหายเข้ากลีบเมฆไป ฝ่ายชายจึงรู้ว่าตนถูกหลอกแน่จึงเข้าแจ้งความ ในที่สุดตำรวจก็สามารถจับตัวสาวนักต้มตุ๋นผู้นี้ได้ ซึ่งพบว่าเธอมีเสียงที่เหมือนกับนาเดียตัวจริงมาก จึงทำให้ชายหนุ่มหลงเชื่อสนิทใจ
Case2: วิศวกรนายหนึ่ง เข้าไปโพสท์ในเว็บบอร์ดของ Pantip.com ว่า ตนได้ข่มขืนหญิงรับใช้ภายในบ้าน
สำหรับเว็บบอร์ดก็สามารถสร้างความปั่นป่วนให้แก่สังคมได้ ดังตัวอย่างที่เคยมีวิศวกรนายหนึ่ง เข้าไปโพสท์ในเว็บบอร์ดของ Pantip.com ว่า ตนได้ข่มขืนหญิงรับใช้ภายในบ้าน ทำให้เธอมีเลือดออกมาก แต่เขาไม่กล้าพาไปหาหมอ เพราะกลัวจะเป็นเรื่องราวใหญ่โตจึงอยากรู้ว่ามีวิธีช่วยเหลืออะไรบ้าง ปรากฏว่ามีผู้หวังดีอ่านพบจึงอีเมล์ไปบอก Webmaster ของ Pantip.com Webmaster จึงนำเรื่องไปแจ้งตำรวจ หลังจากตำรวจเช็ควันเวลาที่โพสท์และ IP Address กับทางเว็บไซต์แล้ว จึงติดต่อไปยัง ISP ที่วิศวกรผู้นั้นใช้บริการอยู่ ซึ่ง ISP ก็สามารถบอกเบอร์โทรศัพท์ของวิศวกรที่ใช้ต่ออินเทอร์เน็ตเข้ามาได้ โชคดีที่วิศวกรรายนี้ไม่ได้ใช้อินเทอร์เน็ตตามอินเทอร์เน็ตคาเฟ่แต่ใช้จากคอนโดมิเนี่ยมของเขาเอง ตำรวจจึงสามารถหาที่อยู่ได้ไม่ยาก แต่เมื่อไปถึงแล้วปรากฏว่าไม่มีอะไรเกิดขึ้นเลย เหตุการณ์ทั้งหมดเป็นเพียงเรื่องแต่งขึ้นเพื่อความสนุกเท่านั้น
คือการที่ Web Server จดจำข้อมูลของผู้ใช้ที่เคยกรอกไว้เมื่อเข้าไปทำธุรกรรมซื้อขายบน web site โดยเก็บรายละเอียดของข้อมูลลงในไฟล์ “คุกกี้” ซึ่งผู้ใช้เป็นผู้ให้ข้อมูลด้วยตนเอง การจดจำข้อมูลลงใน file cookie มีทั้งข้อดีและข้อเสีย ซึ่งข้อดีก็คือ ทำให้สะดวกเมื่อเราต้องการจะกรอกข้อมูลชุดเดิมซ้ำอีกครั้ง web browser จะจดจำข้อมูลเดิมที่เราเคยกรอกไว้และเรียกข้อมูลนั้นขึ้นมาให้ทำให้เราทำงานได้สะดวกและรวดเร็วขึ้น แต่ในทางกลับกันข้อมูลของเราก็ไม่เป็นความลับ หากเป็นข้อมูลที่สำคัญและมีผู้แบบนำไปใช้ในทางที่ผิดก็กระทบกับตัวเราได้
Errors
คือข้อผิดพลาดของโปรแกรม เป็นสาเหตุหลักที่ทำให้คอมพิวเตอร์เกิดความยุ่งเหยิงและทำลายข้อมูลที่ถูกเก็บไว้ ตลอดจนส่งผลต่อการทำงานของโปรแกรม
Bugs
คือชุดคำสั่ง (code) ของโปรแกรมที่มีข้อบกพร่องหรือมีข้อผิดพลาด ซึ่ง Bugs กับ Errors มีความแตกต่างกันกล่าวคือ Errors ของโปรแกรมอาจเกิดขึ้นค่อนข้างบ่อยครั้ง และสามารถแก้ไขข้อผิดพลาดนั้นได้เรื่อย ๆ แต่ Bugs ของโปรแกรมนั้นเมื่อพัฒนาโปรแกรมเสร็จ นำโปรแกรมนั้นไปใช้สักระยะ Bugs นั้นอาจโผล่ขึ้นมาภายหลัง เป็นข้อผิดพลาดที่ค่อนข้างรุนแรง อาจต้องแก้ไข (Modify) โปรแกรมใหม่
ภัยคุกคามทางกายภาพ (Physical)
ภัยจากธรรมชาติ มีหลายรูปแบบ เช่น
1. น้ำท่วม
2. แผ่นดินไหว
3. คลื่นซึนามิ
4. พายุ โคลนถล่ม
5. ฟ้าผ่า
6. ภัยธรรมชาติรูปแบบอื่น ๆ
ภัยจากการกระทำของมนุษย์ มีหลายรูปแบบ เช่น
1. การขโมยเครื่องและอุปกรณ์
2. การทำลายอุปกรณ์ Hardware
3. ไฟฟ้าดับ
4. ไฟใหม้
7.2. การรักษาความปลอดภัยบนระบบคอมพิวเตอร์
จำแนกการรักษาความปลอดภัยออกเป็น 2 ด้าน ได้แก่
1. ความปลอดภัยของข้อมูล (Information Security) ข้อมูลจัดเป็นทรัพย์สินประเภทหนึ่งขององค์กร และเป็นหัวใจหลักสำหรับการดำเนินธุรกิจ ดังนั้นจำเป็นต้องให้ความสำคัญในการรักษาความปลอดภัยของข้อมูล เช่นเดียวกับการรักษาความปลอดภัยของตัวเครื่องและอุปกรณ์ หรืออาจให้ความสำคัญมากกว่าด้วยซ้ำไป
2. ความปลอดภัยทางกายภาพ (Physical Security) ได้แก่ ทรัพย์สินหรืออุปกรณ์ต่าง ๆ
มาตรการการรักษาความปลอดภัยของข้อมูล
1. การระบุตัวบุคคลและอำนาจหน้าที่ (Authentication & Authorization) เพื่อระบุตัวบุคคลที่ติดด่อ หรือทำธุรกรรมร่วมด้วย
2.การรักษาความลับของข้อมูล (Confidentiality) เพื่อรักษาความลับในขณะส่งผ่านทางเครือข่ายไม่ให้ความลับถูกเปิดโดยบุคคลอื่นที่ไม่ใช่ผู้รับ
3.การรักษาความถูกต้องของข้อมูล (Integrity) เพื่อการป้องกันไม่ให้บุคคลอื่นที่ไม่ใช่ผู้รับแอบเปิดดู และแก้ไขเปลี่ยนแปลงข้อมูล
4. การป้องกันการปฏิเสธ หรือ อ้างความรับผิดชอบ (None-Repudiation) เพื่อป้องกันการปฎิเสธความรับผิดในการทำธุรกรรมระหว่างกัน เช่น การอ้างว่าไม่ได้ส่งหรือไม่ได้รับข้อมูล ข่าวสาร
การรักษาความปลอดภัยของข้อมูล
การเข้ารหัส (Cryptography)
คือ การทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทำให้ข้อมูลนั้นเป็นความลับ ซึ่งผู้ที่มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส (Decryption)
ลายมือชื่อดิจิตอล (Digital Signature) หรือเรียกอีกอย่างว่า ลายเซ็นดิจิตอล ใช้ในการระบุตัวบุคคลเพื่อแสดงถึงเจตนาในการยอมรับเนื้อหาในสัญญานั้น ๆ และป้องกันการปฏิเสธความรับผิดชอบ เพิ่มความน่าเชื่อถือในการทำธุรกรรมร่วมกัน
กระบวนการสร้างและลงลายมือชื่อดิจิทัล
1. นำเอาข้อมูลอิเล็กทรนอิกส์ต้นฉบับ (ในรูปแบบของ file) ที่จะส่งไปนั้น มาผ่านกระบวนการทางคณิตศาสตร์ที่เรียกว่า ฟังก์ชันย่อยข้อมูล (Hash Function) เพื่อให้ได้ข้อมูลที่สั้น เช่นเดียวกับการเข้ารหัสข้อมูลอีกชั้นหนึ่ง ซึ่งข้อมูลจะอ่านไม่รู้เรื่อง จากนั้นก็นำข้อมูลดังกล่าวมาทำการเข้ารหัส (Encryption) อีกที
2. จากนั้นทำการ “ข้ารหัสด้วยกุญแจส่วนตัวของผู้ส่ง” เรียกขั้นตอนนี้ว่า “Digital Signature”
3. ส่ง Digital Signature ไปพร้อมกับข้อมูลต้นฉบับตามที่ระบุในข้อ 1 เมื่อผู้รับ ๆ ก็จะตรวจสอบว่าข้อมูลนั้นถูกแก้ไขระหว่างทางหรือไม่ โดยนำข้อมูลต้นฉบับที่ได้รับ มาผ่านกระบวนการย่อยด้วย ฟังก์ชันย่อยข้อมูล (Hash Function) จะได้ข้อมูลที่ย่อยแล้ว เช่นเดียวกับการคลายข้อมูลที่ถูกบีบอัดอยู่ และ
4. นำ Digital Signature มาทำการถอดรหัสด้วย “กุญแจสาธารณะของผู้ส่ง (Public Key) ก็จะได้ข้อมูลที่ย่อยแล้วอีกอันหนึ่ง จากนั้นเปรียบเทียบข้อมูลที่ย่อยแล้ว ที่อยู่ในข้อ3 และข้อ 4 ถ้าข้อมูลเหมือนกันก็แสดงว่าข้อมูลไม่ได้ถูกแก้ไขระหว่างการส่ง
ใบรับรองดิจิทัล (Digital Certificate)
การขออนุญาตใช้ใบรับรองดิจิทัล (Digital Certificate) ก็เพื่อเพิ่มความน่าเชื่อถือในการทำธุรกรรมร่วมกันบนเครือข่าย Internet ซึ่งหน่วยงานที่สามารถออกใบรับรองดิจิทัล (Digital Certificate) นี้ได้จะเป็น “องค์กรกลาง” ที่มีชื่อเสียงเป็นที่น่าเชื่อถือ เรียกองค์กรกลางนี้ว่า “Certification Authority: CA”
Digital Certificate จะถูกนำมาใช้สำหรับยืนยันในการทำธุรกรรม ว่าเป็นบุคคลนั้นจริงตามที่ได้อ้างไว้ ซึ่งสามารถจำแนกประเภทของใบรับรองดิจิตอล ได้ 3 ประเภท ได้แก่
1. ใบรับรองเครื่องแม่ข่าย (Server)
2. ใบรับรองตัวบุคคล
3. ใบรับรองสำหรับองค์กรรับรองความถูกต้อง
Certification Authority (CA)
CA คือ องค์กรรับรองความถูกต้อง ในการออกใบรับรองดิจิตอล (Digital Certificate ) ซึ่งมีการรับรองความถูกต้องสำหรับบริการต่อไปนี้
1. การให้บริการเทคโนโลยีการรหัส ประกอบด้วย
- การสร้างกุญแจสาธารณะ
- กุญแจลับสำหรับผู้จดทะเบียน
- การส่งมอบกุญแจลับ การสร้างและการรับรองลายมือชื่อดิจิตอล
2. การให้บริการเกี่ยวกับการออกใบรับรอง ประกอบด้วย
- การออก การเก็บรักษา การยกเลิก การตีพิมพ์เผยแพร่ ใบรับรองดิจิตอล - การกำหนดนโยบายการออกและอนุมัติใบรับรอง
3. บริการเสริมอื่น เช่น การตรวจสอบสัญญาต่าง ๆ การทำทะเบียน การกู้กุญแจ
สำหรับประเทศไทย ยังไม่มีองค์กร “CA” ซึ่งปัจจุบันหน่วยงานที่ต้องการความน่าเชื่อถือในการทำธรรมบน Web จำเป็นต้องใช้บริการเทคโนโลยีดังที่กล่าวมาจากต่างชาติ แต่คงไม่นานคาดว่าหน่วยงานในภาครัฐอย่างเช่น NECTEC (www.nectec.or.th) คงสามารถพัฒนาเทคโนโลยีต่าง ๆ ดังกล่าวเพื่อให้ใช้บริการภายในประเทศได้
ขั้นตอนการขอ Digital Certificates
ไม่มีความคิดเห็น:
แสดงความคิดเห็น