การเข้ารหัส (Encryption)

Report
278346
Electronic Commerce Management
บทที่ 8
การรักษาความปลอดภัย
สาหรับพาณิชย์ อเิ ล็กทรอนิกส์
อ.ธารารั ตน์ พวงสุวรรณ
thararat@buu.ac.th
Outline
• ภัยคุกคามต่ อพาณิชย์ อเิ ล็กทรอนิกส์
• มาตรการรักษาความปลอดภัยของข้ อมูล
สาหรับพาณิชย์ อเิ ล็กทรอนิกส์
• เทคโนโลยีการรักษาความปลอดภัยของข้ อมูล
ความปลอดภัยกับพาณิชย์ อเิ ล็กทรอนิกส์
• ความปลอดภัยทางกายภาพ (Physical Security)
• ความปลอดภัยของข้ อมูล (Information Security)
ผู้เจาะระบบรักษาความปลอดภัย
ผู้เจาะระบบรักษาความปลอดภัย คือ บุคคลที่ไม่มีสิทธิ์ในการเข้าใช้
ระบบคอมพิวเตอร์ ลักลอบทาการเจาะระบบด้วยวิธีใดวิธีหนึ่ง แบ่งเป็ น
2 ประเภทหลัก ๆ ได้แก่
– Hacker
– Cracker
4
ภัยคุกคามพาณิชย์ อเิ ล็กทรอนิกส์
•
•
•
•
•
•
•
•
•
การเข้าสู่เครื อข่ายที่ไม่ได้รับอนุญาต (Unauthorized Access)
การทาลายข้อมูลและเครื อข่าย
การเปลี่ยน การเพิ่ม หรื อการดัดแปลงข้อมูล
การเปิ ดเผยข้อมูลแก่ผทู ้ ี่ไม่ได้รับอนุญาต
การทาให้ระบบบริ การของเครื อข่ายหยุดทางาน (Denial of service)
การขโมยข้อมูล
การปฏิเสธการบริ การที่ได้รับ และข้อมูลที่ได้รับหรื อส่ ง
การอ้างว่าได้ให้บริ การทั้งๆ ที่ไม่ได้ทา และหรื อการอ้างว่าได้รับส่ ง
ไวรัสที่แอบแฝงมากับผูท้ ี่เข้ามาใช้บริ การ
มาตรการรักษาความปลอดภัยของข้ อมูล
สาหรับพาณิชย์ อเิ ล็กทรอนิกส์
สิ่ งที่องค์กร บริ ษทั ห้างร้าน และบุคคลทัว่ ไป ต้องพิจารณา ในการ
ทาธุรกรรมอิเล็กทรอนิกส์อย่างปลอดภัย คือความต้องพื้นฐาน 5 ประการ
1. Confidentiality
2. Access Control
3. Authentication
4. Data Integrity
5. Non-Repudiation
การรักษาความลับของข้ อมูล (Confidentiality)
• การรักษาความลับของข้อมูลที่เก็บไว้ หรื อส่ งผ่านทางเครื อข่าย
• โดยต้องป้ องกันข้อมูลไม่ให้ถูกเปิ ดเผยต่อบุคคลที่ไม่ได้รับอนุญาต
• เช่น การเข้ารหัส การใช้บาร์โค๊ด การใส่ รหัสลับ(password)
การใช้ Firewall เป็ นต้น
7
การควบคุมการเข้ าถึงข้ อมูล(Access Control)
• คือ มาตรการควบคุมการเขาถึงข้อมูลหรื อการระบุตวั บุคคลใหมี
อานาจหนาที่ในการเข้าถึงข้อมูลตามที่กาหนด
• เช่น การกาหนดสิ ทธิ์การเข้าถึงข้อมูลต่างๆ ใน Web site
การควบคุมการเข้ าถึงข้ อมูล(Access Control)
• ควบคุมการเข้าถึงทางกายภาพ (Physical Access Control)
• ควบคุมการเข้าถึงทางตรรกะ (Logical Access Control)
ควบคุมการเข้ าถึงทางกายภาพ
(Physical Access Control)
•
•
•
•
•
การล็อกห้องคอมพิวเตอร์อย่างแน่นหนาเมื่อไม่มีการใช้งานแล้ว
การใช้ยามเฝ้ าหรื อติดโทรทัศน์วงจรปิ ด
การใช้ Back-Up Disk
ติดตั้งระบบดับเพลิง
Biometrics
10
ควบคุมการเข้ าถึงทางตรรกะ
(Logical Access Control)
• User profiles นิยมใช้กนั มากที่สุด
• การควบคุมความปลอดภัยโดยระบบปฏิบตั ิการ
• Firewall
11
การระบุหรือยืนยันตัวบุคคล(Authentication)
• คือการระบุตวั บุคคลที่ติดตอวาเป็ นบุคคลตามที่ไดกลาวอ้างไว้จริ ง
• โดยอาจดูจากข้อมูลบางสิ่ งบางอยางที่ใช้ยนื ยันหรื อระบุตวั ตนของ
บุคคลนั้น
• เช่น รหัส pin, ลายมือชื่อดิจิตอล (Digital Signature), รหัสผาน
หรื อดูจากลักษณะเฉพาะ/ลักษณะทางกายภาพของบุคคลนั้น เช่น
ลายนิ้วมือ, ม่านตา เป็ นต้น
กลไกของการพิสูจน์ ตวั ตน (Authentication mechanisms)
การรักษาความถูกต้ องของข้ อมูล (Data Integrity)
คือ การรักษาข้อมูลที่ส่งจากผูส้ งให้เหมือนเดิม และถูกต้องทุก
ประการเมื่อไปถึงยังผูร้ ับ
• รวมถึง การป้ องกันไมให้ขอ้ มูลถูกแก้ไขโดยตรวจสอบไมได้
• ซึ่งเทคนิคที่นิยมนามาประยุกต์ใช้ในการรักษาความถูกต้องของ
ข้อมูลคือ “Hashing”
Hashing :
•
Key
Hash Function
Hash Code
การป้ องกันการปฏิเสธความรับผิดชอบ
(Non-Repudiation)
• คือการป้ องกันการปฏิเสธวาไมไดมีการรับหรื อสงขอมูลจากฝายต่างๆที่
เกี่ยวของ
• และการปองกันการอ้างที่เป็ นเท็จวาไดรับหรื อส่ งข้อมูล
• การป้ องกันการปฏิเสธความรับผิดชอบนี้ สามารถนาไปใชประโยชนใน
การปองกันการปฏิเสธการสัง่ ซื้อสิ นคาจากลูกคาได้
• ใช้เทคนิค Digital Signature, การรับรองการให้บริ การ หรื อ การแจ้งให้
ลูกค้าทราบถึงขอบเขตของการรับผิดชอบที่มีต่อสิ นค้า หรื อระหว่างการซื้อ
ขาย ไว้บนเว็บไซต์
เทคโนโลยีการรักษาความปลอดภัยของข้ อมูล
• การเข้ารหัส (Encryption)
- Symmetric encryption (กุญแจเหมือนกัน)
- Asymmetric encryption (กุญแจต่างกัน)
• Secure Socket Layer (SSL)
• Secure Electronic Transaction (SET)
• ลายเซ็นต์ดิจิตอล (Digital Signature)
• เทคโนโลยี CAPTCHA
การเข้ ารหัส (Cryptography)
Crypto ที่แปลว่า "การซ่อน"
Graph ที่แปลว่า "การเขียน"
•
•
•
•
Cryptography มีความหมายว่า “การเขียนเพื่อซ่อนข้อมูล”
โดยมีจุดประสงค์เพื่อป้ องกันไม่ให้ผอู ้ ื่นสามารถอ่านข้อมูลได้
ยกเว้นผูท้ ี่เราต้องการให้อ่านได้เท่านั้น
ซึ่งผูท้ ี่เราต้องการให้อ่านได้จะต้องทราบวิธีการถอดรหัสข้อมูลที่ซ่อนไว้
ได้
ศัพท์ ต่างๆที่ควรทราบเกีย่ วกับการเข้ าและถอดรหัส
• Plain Text
• Cipher Text
• Algorithm
•
•
•
•
Encryption
Decryption
Key
Cryptography
การเข้ ารหัส (Cryptography)
• การทาให้ขอ้ มูลที่จะส่ งผ่านไปทางเครื อข่ายอยูใ่ นรู ปแบบที่ไม่สามารถ
อ่านออกได้ ด้วยการเข้ารหัส (Encryption)
• ทาให้ขอ้ มูลนั้นเป็ นความลับ
• ผูม้ ีสิทธิ์จริ งเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ดว้ ยการถอดรหัส
(Decryption)
• ใช้สมการทางคณิ ตศาสตร์
• ใช้กญ
ุ แจซึ่งอยูใ่ นรู ปของพารามิเตอร์ที่กาหนดไว้ (มีความยาวเป็ นบิต
โดยยิง่ กุญแจมีความยาวมาก ยิง่ ปลอดภัยมากเพราะต้องใช้เวลานานใน
การคาดเดากุญแจของผูค้ ุกคาม)
19
การเข้ ารหัส (Encryption)
• ประกอบด้วยฝ่ ายผูร้ ับ และฝ่ ายผูส้ ่ ง
• ตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับให้เป็ นข้อความ
อ่านไม่รู้เรื่ อง (cipher text)
20
การเข้ ารหัส (Encryption)
1.
•
•
•
มีดว้ ยกัน 2 ลักษณะ คือ
การเข้ ารหัสแบบสมมาตร (Symmetric Encryption)
วิธีน้ ีท้ งั ผูร้ ับและผูส้ ่ งข้อมูลจะทราบ Key ที่เหมือนกัน
ใช้ Key เดียวกันในการรับ-ส่ งข้อมูล
อาจเรี ยกอีกอย่างว่า Secret Key, Single Key หรื อ กุญแจลับ
Symmetric Encryption
Secret key
ผูส้ ่ง
Plain text
Encryption Algorithm
Cipher text
Secret key
ผูร้ บั
Decryption Algorithm
Plain text
Symmetric Encryption
ข้ อดี
• การเข้า รหั ส ข้อ มู ล ท าได้ร วดเร็ ว กว่ า เมื่ อ เที ย บกับ วิ ธี Asymmetric
Encryption
ข้ อจากัด/ ข้ อควรระวัง
• Confidentiality
• Authentication / Non-Repudiation
การเข้ ารหัส (Encryption)
2. (Asymmetric Key Cryptography หรือ Public Key Cryptography)
• ใช้แนวคิดของการมี Key เป็ นคู่ ๆ โดยที่ Key แต่ละคู่จะสามารถเข้า
และถอดรหัสของกันและกันได้เท่านั้น
• Key แรกจะถูกเก็บรักษาอยู่กบั เจ้าของ Key เท่านั้น เรี ยกว่า Private
key
• และคู่ของ Private key ที่เปิ ดเผยต่อสาธารณะหรื อส่ งต่อให้ผูอ้ ื่นใช้
เรี ยกว่า Public key
• เน้ นทีผ่ ู้รับเป็ นหลัก
Asymmetric Encryption
ประโยชน์ ของวิธีการเข้ ารหัสแบบอสมมาตร มีดังนี้
• ใช้รักษาความลับของข้อความที่จะจัดส่ งไปโดยใช้วิธีการเข้ารหัส
ด้วย Public-Key
• ความเสี่ ยงของการล่วงรู ้ Private-Key จากผูอ้ ื่นเป็ นไปได้ยากเมื่อ
เทียบกับวิธี Symmetric Encryption
• แก้ปัญหาในส่ วน Authenticate / Non-Repudiation
Asymmetric Encryption
ข้อจากัด/ ข้อควรระวัง สาหรับการเข้ารหัสแบบอสมมาตร มีดงั นี้
• การเข้ า รหั ส ข้ อ มู ล ท าได้ ช้ า กว่ า เมื่ อ เที ย บกั บ วิ ธี Symmetric
Encryption
• เนื่องจาก Algorithm ที่ใช้เป็ นวิธีการคานวณทางคณิ ตศาสตร์
เปรียบเทียบข้ อดี-ข้ อเสี ย
กุญแจสมมาตร
กุญแจอสมมาตร
ข้อดี
มีความรวดเร็ วเพราะใช้การคานวณที่
น้อยกว่า
สามารถสร้างได้ง่ายโดยใช้ฮาร์ ดแวร์
ข้อดี
การบริ หารจัดการกุญแจทาได้ง่ายกว่า
เพราะ ใช้กญ
ุ แจในการเข้ารหัส และ
ถอดรหัสต่างกัน
สามารถระบุผใู ้ ช้โดยการใช้ร่วมกับ
ลายมือชื่อ อิเล็กทรอนิกส์
ข้อเสี ย
ใช้เวลาในการเข้าและถอดรหัสค่อนข้าง
นาน เพราะต้องใช้การคานวณอย่างมาก
ข้อเสี ย
การบริ หารจัดการกุญแจทาได้ยาก
เพราะกุญแจในการเข้ารหัสและถอด
รหัสเหมือนกัน
Secure Socket Layer (SSL)
• เป็ นโปรโตคอลที่ พ ฒ
ั นาโดย Netscape เพื่อใช้ในการรั กษาความ
ปลอดภัยให้กบั ข้อมูลบน World Wide Web
• ใช้ส าหรั บ ตรวจสอบและเข้า รหั ส ข้อ มู ล ในการติ ด ต่ อ สื่ อ สาร
ระหว่างเครื่ องให้บริ การ (Server) และเครื่ องรับบริ การ (Client)
• ใช้เ ทคนิ ค Cryptography
และ ใบรั บ รองดิ จิ ต อล (Digital
Certificates)
ใบรับรองดิจิตอล Digital Certificate
• ถูกนามาใช้สาหรับยืนยันในตอนทาธุรกรรมว่าเป็ นบุคคลนั้นๆจริ ง
ตามที่ได้อา้ งไว้
• ออกโดยองค์กรกลางที่เป็ นที่เชื่อถือ เรี ยกว่า องค์กรรับรองความถูกต้อง
(Certification Authority)
• มีกญ
ุ แจสาธารณะเพื่อเข้ารหัสข้อมูลที่ส่งผ่านเว็บไซต์น้ นั
• ให้ความมัน่ ใจว่าติดต่อกับ web site นั้นจริ ง
• ป้ องกันการขโมยข้อมูลลูกค้าจากเว็บไซต์อื่น (spoofing)
31
Certification Authority :CA
หรือ Certification Service Provider (CSP)
• Certification Authority หรื อผูอ้ อกใบรับรอง
• ปัจจุบนั นิยมเรี ยกว่า Certification Service Provider (CSP)
• โดย CA จะเป็ นผูต้ รวจสอบสถานะและออกใบรับรองอิเล็กทรอนิกส์
ให้แก่ผสู ้ มัครขอใบรับรองฯ
• และ เป็ นผูร้ ับรองความมีตวั ตนของทั้งผูข้ ายและผูซ้ ้ือ (หรื อผูส้ ่ งและ
ผูร้ ับ)
Certification Authority :CA
หรือ Certification Service Provider (CSP)
โดยปกติทวั่ ไปหน้าที่ของผูอ้ อกใบรับรองฯ มีดงั นี้
1. สร้างคู่กญ
ุ แจ (Key pairs) ตามคาขอของผูข้ อใช้บริ การ
2. ออกใบรับรองฯ เพื่อยืนยันตัวบุคคลของผูข้ อใช้บริ การ
3. จัดเก็บกุญแจสาธารณะ (Public Key) ในฐานข้อมูล
4. เปิ ดเผยกุญแจสาธารณะต่อสาธารณชนที่ติดต่อผ่านทางระบบเครื อข่าย
5. ยืนยันตัวบุคคลที่เป็ นเจ้าของกุญแจสาธารณะตามคาขอของบุคคลทัว่ ไป
6. เปิ ดเผยรายชื่อใบรับรองฯ ที่ถูกยกเลิกแล้ว (Certificate Revocation List หรื อ
CRL) เพื่อเป็ นการบอกแก่สาธารณชนว่าใบรับรองฯ นั้น ไม่สามารถนามาใช้
ได้อีกต่อไป
ประเภทของใบรับรองดิจิตอล
• ประเภทของใบรับรองดิจิตอล โดยทัว่ ไป แบ่ง ได้ ดังนี้
1. ใบรับรองสาหรับบุคคล
2. ใบรับรองสาหรับเครื่องแม่ ข่าย
34
ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate)
รายละเอียดของใบรับรองอิเล็กทรอนิกส์ ประกอบด้วย
• ข้อมูลระบุผทู ้ ี่ได้รับการรับรอง ได้แก่ ชื่อ องค์กร ที่อยู่
• ข้อมูลระบุผอู ้ อกใบรับรอง ได้แก่ ลายมือชื่อดิจิทลั ขององค์กรที่ออก
ใบรับรอง และหมายเลขประจาตัวของผูอ้ อกใบรับรอง
• กุญแจสาธารณะของผูท้ ี่ได้รับการรับรอง
• วันหมดอายุของใบรับรองอิเล็กทรอนิกส์
• ระดับชั้นของใบรับรองดิจิทลั ซึ่งมี 4 ระดับ ในระดับ4 เป็ นระดับที่มีการ
ตรวจสอบเข้มงวดที่สุด และต้องการข้อมูลมากที่สุด
• หมายเลขประจาตัวของใบรับรองอิเล็กทรอนิกส์
35
ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate)
ตัวอย่ าง
https เป็ นการแสดงว่ า
มีระบบเข้ ารหัสรักษา
ความปลอดภัย
คลิ๊กรู ปกุญแจ เพื่อดู
ใบรับรองอิเล็อทรอ
นิกส์
36
ใบรับรองอิเล็กทรอนิกส์ (Electronic Certificate)
ตัวอย่ าง
37
หลักการทางานของ SSL
1. เครื่ องผูใ้ ช้บ ริ ก าร (Client)
เริ่ ม กระบวนการติ ด ต่ อโดยส่ ง คาร้ อ ง
(Request) ไปยังเครื่ องผูใ้ ห้บริ การ (Web server) ที่สนับสนุนระบบ SSL
2. จากนั้นเครื่ องผูใ้ ห้บริ การ (Web server) จะส่ งใบรับรองดิจิตอล (Digital
Certificate) พร้ อมกับกุญแจสาธารณะ (Public key) ของเครื่ องผู ้
ให้บริ การ (Web server) กลับมายังเครื่ องผูใ้ ช้บริ การ (Client)
3. จากนั้ นเครื่ องผู ้ใ ช้ บ ริ การ (Client) จะตรวจสอบใบรั บ รองดิ จิ ต อล
(Digital Certificate) ที่ได้รับมา เพื่อตรวจสอบตัวตนของเครื่ องผู ้
ให้บริ การ (Web server)
หลักการทางานของ SSL (ต่ อ)
4. จากนั้ นเครื่ องผู ้ใ ช้ บ ริ การ (Client) จะสร้ า งกุ ญ แจสมมาตร
(Symmetric key) ขึ้นมา และทาการเข้ารหัส (Encryption) กุญแจ
สมมาตร (Symmetric key) ด้วยกุญแจสาธารณะ (Public key) ของ
เครื่ องผูใ้ ห้บริ การ (Web server)
5. จากนั้ นเครื่ องผู ้ ใ ช้ บ ริ การ (Client) จะส่ งกุ ญ แจสมมาตร
(Symmetric key) ที่เข้ารหัส (Encryption) แล้วกลับไปยังเครื่ องผู ้
ให้บริ การ (Web server)
หลักการทางานของ SSL (ต่ อ)
6. เมื่อเครื่ องผูใ้ ห้บริ การ (Web server) ได้รับข้อมูลแล้วจะทาการ
ถอดรหัส (Decryption) ข้อมูลด้วยกุญแจส่ วนตัว (Private key)
ก็จะได้กุญแจสมมาตร (Symmetric key) ที่สร้างขึ้นโดยเครื่ อง
ผูใ้ ช้บริ การ (Client)
7. จากนั้นเครื่ องผูใ้ ช้บริ การ (Client) และเครื่ องผูใ้ ห้บริ การ (Web
server) จะใช้กุญแจสมมาตร (Symmetric key) ในการเข้ารหัส
(Encryption) - ถอดรหัส (Decryption) ข้อมูล เพื่อติดต่อสื่ อสาร
กันได้อย่างปลอดภัย
หลักการทางานของ SSL (ต่ อ)
Request
Digital Certificate
Public-Key
Check Certificate
Encrypt
Decrypt
Public-Key
Private-Key
Symmetric-Key
Symmetric-Key
Symmetric-Key
Symmetric-Key
SSL Protocol
Secure Electronic Transaction : SET
• SET เป็ นโปรโตคอลที่ทาง Visa และ Master card คิดค้นร่ วมกับ
Microsoft และ Netscape
• เพื่อตรวจสอบการชาระเงินด้วยบัตรเครดิตผ่านเครื อข่าย
อินเทอร์เน็ตและเครื อข่ายต่าง ๆ ด้วยการสร้างรหัส SET ระดับ 128
bit
• ใช้ใบรับรองอิเล็กทรอนิกส์ (Digital Certificates) ในการระบุ
ตัวตนที่เกี่ยวข้องกับการซื้อขาย เช่น ผูถ้ ือบัตร ผูข้ าย ช่องทางการ
ชาระเงิน และ Certificate Authorization (CA)
• สามารถตรวจสอบการมีสิทธ์ ของผูเ้ กี่ยวข้องด้วยการใช้ลายเซ็นต์
ดิจิตอล (Digital Signature)
Secure Electronic Transaction : SET
ข้อดีของการรักษาความปลอดภัยด้วย โปรโตคอล SET
1. ความปลอดภัยของข้ อความ (Message Privacy)
2. ความสมบูรณ์ ของข้ อความ (Message Integrity)
3. ความน่ าเชื่อถือ ( Matual Authentication)
ลายเซ็นต์ ดิจิตอล (Digital Signature)
• หมายถึง กลุ่มของตัวเลขกลุ่มหนึ่งซึ่งแสดงความมีตวั ตนของบุคคล
คนหนึ่ง (กลุ่มตัวเลขนี้จะมีเลขที่ไม่ซ้ ากับใครเลย)
• ได้จากการเข้ารหัสข้อมูลด้วยกุญแจส่ วนตัว (Private key) ของผูส้ ่ ง
เปรี ยบเสมือนลายมือชื่อของผูส้ ่ ง และถอดรหัสด้วยกุญแจสาธารณะ
ของผูส้ ่ ง (Public key) เพื่อระบุตวั บุคคล
• จะใช้ในการแนบติดไปกับเอกสารใดๆ ก็ตามในรู ปแบบของไฟล์
• นอกจากจะสามารถระบุตวั บุคคล และเป็ นกลไกการป้ องกันการ
ปฏิเสธความรับผิดชอบแล้ว
• ยังสามารถป้ องกันข้อมูลที่ส่งไปไม่ให้ถูกแก้ไข หรื อหากถูกแก้ไขไป
จากเดิมก็สามารถล่วงรู ้ได
ลายเซ็นต์ ดิจิตอล (Digital Signature)
• การเข้า รหั ส ข้อ ความที่ ย าวนั้น ค่ อ นข้า งเสี ย เวลา เนื่ อ งจาก
ขั้นตอนการเข้ารหัสต้องใช้การคานวณเป็ นอย่างมาก
• จึ งมีการสร้ างขั้นตอนที่ คานวณได้อย่างรวดเร็ ว โดยเปลี่ยน
ข้อความทั้งหมดให้เหลื อเพียงข้อความสั้น ๆ เรี ย กว่า “Message
Digest”
• เมื่อได้ Message Digest มาแล้วก็จะนา Message Digest นี้ ไป
เข้ารหัสด้วย Private-Key เพื่อสร้างเป็ นลายเซ็นต์ดิจิตอล (Digital
Signature) ต่อไป
การสร้ างลายเซ็นต์ ดจิ ิตอล
(Creating Digital Signature)
Private-Key
[ผู ้สง่ ]
Hash Function
ข้อมูล
 Authentication
 Integrity
 Non-repudiation
Message
Digest
Digital Signature
Encryption
Algorithm
ข้ อสั งเกตุการสร้ างและลงลายมือชื่อดิจิตอล
• ลายมือชื่อดิจิทลั จะแตกต่างกันไปตามข้อมูลต้นฉบับและบุคคลที่จะลง
ลายมือชื่อ ไม่เหมือนกับลายมือชื่อทัว่ ไปที่จะต้องเหมือนกันสาหรับ
บุคคลนั้นๆ ไม่ข้ ึนอยูก่ บั เอกสาร
• กระบวนการที่ใช้จะมีลกั ษณะคล้ายคลึงกับการเข้ารหัสแบบอสมมาตร
แต่การเข้ารหัสจะใช้ กุญแจส่ วนตัวของผูส้ ่ ง และ การถอดรหัสจะใช้
กุญแจสาธารณะของผูส้ ่ ง ซึ่งสลับกันกับ การเข้าและถอดรหัสแบบ
กุญแจอสมมาตร ในการรักษาข้อมูลให้เป็ นความลับ
49
เทคโนโลยี CAPTCHA
• CAPTCHA ย่อมาจาก "Completely Automated Public Turing test to
tell Computers and Humans Apart"
• คือ การทดสอบเพื่อเข้าสู่ระบบคอมพิวเตอร์แบบโต้ตอบชนิดหนึ่ง เพื่อ
ทดสอบว่าผูใ้ ช้งานเป็ นมนุษย์จริ งหรื อว่าไม่ใช่ Bot หรื อ โปรแกรม
อัตโนมัติ)
• คิดค้นขึ้นใน ปี ค.ศ. 2000 โดย ลูอิส วอน อาห์น (Luis
von Ahn) แมนูล บลัม (Manuel Blum ) นิโคลัส เจ. ฮอป
เปอร์ (Nicholas J. Hopper) และ จอห์น แลงฟอร์ด (John
Langford) (สามคนแรกมาจากมหาวิทยาลัยคาร์เนกี
เมลลอน สหรัฐอเมริ กา ส่ วนคนสุ ดท้ายมาจากไอบีเอ็ม)
เทคโนโลยี CAPTCHA
• รู ปแบบง่ายๆที่พบ คือ การนาตัวอักษรมาแปลงให้เป็ นรู ปภาพ แล้วถาม
ผูใ้ ช้วา่ ตัวอักษรในรู ปภาพนั้นคืออะไร
• เพราะปกติมนุษย์จะอ่านตัวอักษรจากรู ปภาพได้โดยไม่รู้สึกว่าต่างอะไร
กับ ข้อมูลตัวอักษร (text) ทัว่ ๆไป
• แต่สาหรับคอมพิวเตอร์มนั จะรู ้แค่วา่ นี่เป็ นไฟล์ภาพเท่านั้น แต่ไม่รู้วา่
เป็ นภาพอะไร
เทคโนโลยี CAPTCHA
• ปัจจุบนั มีคนพัฒนาโปรแกรมประเภท OCR เพื่อช่วยแปลงอักษรในภาพมาเป็ น
ข้อมูลที่เป็ นตัวอักษร (text)
• ประโยชน์ OCR เช่น มีหนังสื อที่เป็ นกระดาษก็เอามาผ่านโปรแกรม OCR เพื่อจะ
ได้ขอ้ มูลที่เป็ นตัวอักษร (text) ซึ่ งสามารถนาไปใช้ในโปรแกรมประมวลผลคา
(word processor) ได้
• อย่างถ้าเป็ นนักศึกษาก็ scan หนังสื อเป็ นไฟล์ภาพแล้วนามาผ่านโปรแกรม OCR
ทาเป็ นรายงานใน เวิร์ดฯได้เลย
• ดังนั้นจึงมีการพยายามป้ องกันโปรแกรม OCR ให้ทางานยากขึ้น เช่น ทาให้
ตัวอักษรบิดเบี้ยว หรื อใส่ สิ่งรบกวนลงไป เช่น เส้น จุด หรื อรู ปต่างๆ เป็ นต้น
ที่มา : http://oujidee.blogspot.com/2013/06/captcha.html
http://hwan-wanwisa-ritsumret.blogspot.com/2013/06/apctcah.html

similar documents