บทที่ 5elearning.psru.ac.th/courses/85/บทที่ 5.pdf · 2013-05-27 ·...

บทท 5

ระบบการรกษาความปลอดภยของพาณชยอเลกทรอนกส

การซอขายสนคาบนระบบอเลกทรอนกส มวธการช าระเงนผานทางระบบอเลกทรอนกสหลายรปแบบ ดงทไดกลาวมาในเนอหาบททแลว ซงการช าระเงนผานทางอนเทอรเนต ลกคาจ าเปนตองปอนขอมลสวนตวบางอยางทเกยวของการเงน หากรานคาหรอผประกอบการรายได ทท าการขายสนคาบนระบบอนเทอรเนตแลวเวบไซตทเปดขายสนคานนจ าเปนตองมระบบรกษาความปลอดภยและระบบการช าระเงนทมประสทธภาพอยางยง เพอปองการการถกโจรกรรมขอมล และยงชวยสรางความนาเชอถอ สรางความเชอมนใหกบลกคาไดมากยงขน ในบทนจงน าเสนอ แนวคดของระบบรกษาความปลอดภย ภยคกคามประเภทตางๆ ประเภทของรปแบบการรกษาความปลอดภย เชน ระบบการเขารหส ระบบการตรวจสอบชวลกษณะ ระบบลายมอชออเลกทรอนกส ใบรบรองอเลกทรอนกส ผใหบรการใบรบรองอเลกทรอนกส ระบบ SSL และ ระบบ SET เปนตน

แนวคดของระบบรกษาความปลอดภย

องคกร บรษท หางราน และผประกอบการตางๆ ในธรกจพาณชยอเลกทรอนกส ตางกตองการทจะหาวธการทจะปองกนไมใหขอมลตางๆ ทถกสงผานทางระบบเครอขายถกโจรกรรมหรอน าไปดดแปลง แกไข ระหวางเสนทางการสงขอมล ซงจะกอใหเกดความเสยหายแกลกคา และเปนการลดความเชอมนในการท าธรกรรมขององคกรลงได จงตองมแนวทางในการปองกนความปลอดภย โดยแบงออกเปน 2 สวน คอ การรกษาความปลอดภยดานขอมล (Information Assurance) และการรกษาความปลอดภยดานผใช (User Assurance) โดยมวตถประสงคของการรกษาความปลอดภย ดงน

1. เพอรกษาความลบของขอมล (Confidentiality) หมายถง การปองกนขอมลไมใหถกเปดเผยตอบคคลทไมไดรบอนญาต และถามการขโมยขอมลไปแลวกไมสามารถอานหรอท าความเขาใจได โดยการเขารหส (Encryption) ขอมลท าใหขอมลอยในรปแบบของรหสซงน าไปใชประโยชนไมได เวนแตจะรวธแปลงรหส (Decryption)เครองมอทนยมใชคอ การเขารหสขอมล (Data Encryption)

2. เพอปองกนการปลอมแปลงขอมล (Integrity) คอ การรกษาความถกตองของขอมลและปองกนไมใหมการเปลยนแปลงแกไขขอมลโดยมไดรบอนญาตซงการทจะสามารถท าเชนนได ตองมระบบควบคมวาผใดจะสามารถเขาถงขอมลไดและเขาถงแลวท าอะไรไดบางหรอกลาวไดวาเปนการรกษาขอมลทสงจากผสงใหเหมอนเดม และถกตองทกประการเมอไปถงยงผรบ รวมถงการปองกนไมใหขอมลถก แกไขโดยตรวจสอบไมได เครองมอทนยมใชคอ ลายเซนดจตอล (Digital Signature)และการใชระบบ Hashing

รปท 5.1 แสดงการท างานของระบบ Hashing

3. เพอท าใหระบบนนสามารถทจะท างานไดตามปกตและเตมประสทธภาพ (Availability) ระบบจะตองสามารถท างานไดอยางดตามจดมงหมายในการใชงานและมขดความสามารถปฏบตงานไดในปรมาณตามทตองการไดภายในเวลาทก าหนด ซงจะชวยสรางความเชอมนใหกบผใชงานวาจะเขาถงขอมลในเวบไซต ไดจรง และทกเมอทตองการ

4. เพอระบอ านาจหนาท (Authorization) เปนการควบคมเขาถง (Access Control)กระบวนการตรวจสอบและควบคมใหอ านาจในการเขาท าการ เพมเตม เปลยนแปลง แกไขขอมล ตามหนาทของแตละบคคล เชน การก าหนดสทธการเขาถงขอมลตางๆ ใน Web site ระหวาง Web master และ User ทวไปจะแตกตางกน โดย Web master สามารถปรบปรง แกไขขอมลภายใน Web site ได ในขณะท User ทวไปนนไมสามารถท าได เปนตน เครองมอทนยมใช คอ การก าหนดรหสผาน การใช Firewall หรอใชเครองมอตรวจวดทางชวลกษณะ (Biometrics)

5. เพอระบตวบคคล (Authentication) เปนการรบรองตวตนของบคคลวาเปนผนนจรง และปองกนบคคลอนเขามาแอบอาง เชน มผเจตนานรายแอบอางใชสทธในบตรเครดต เปนตน โดยอาจดจากขอมลบางอยางทใชยนยนหรอระบตวตนของบคคลนน เชน รหส pin, ลายมอชอดจตอล (Digital Signature),รหสผาน หรอดจากลกษณะเฉพาะ/ลกษณะทางกายภาพของบคคลนน เชน ลายนวมอ , มานตา เปนตนเครองมอทนยมใชคอ การก าหนดรหสผาน ลายเซนดจตอล และการใชเครองมอตรวจวดทางชวลกษณะ (Biometrics)

6. การปฏเสธความรบผดชอบ (Non-Repudiation) เปนการปองกนไมยอมใหปฏเสธไดวาตนไมใชผสงขอมลนนการปองกนการปฏเสธความรบผดชอบนสามารถน าไปใชประโยชนในการปองกนการปฏเสธการสงซอสนคาจากลกคาไดเครองมอทนยมใชคอ ลายเซนดจตอล การบนทกเวลา การออกใบรบประกนสนคา

ระบบการรกษาความปลอดภยทมขดความสามารถสงอาจท าใหขดความสามารถและความสะดวกในการท างานของระบบทงในดานปรมาณงานและประสทธภาพลดลง ดงนน ตองพจารณาวาระดบความปลอดภยใดจงจะเหมาะสมกบความสะดวก ปรมาณงาน และประสทธภาพของงานทตองการ

ภยคมคามทมตอระบบตางๆ

ภยคกคามทมตอระบบ แบงออกเปน 3 ดาน ดงน

1. ภยตอระบบฮารดแวรไดแก ภยตอระบบการจายไฟฟาแกคอมพวเตอรภยทเกดจากการท าลายทางกายภาพภยจากการลกขโมยโดยตรง

2. ภยทมตอระบบซอฟตแวร ไดแก การลบซอฟตแวรการขโมยซอฟตแวรการเปลยนแปลงแกไขซอฟตแวร

3. ภยทมตอระบบขอมล ไดแก การทขอมลอาจถกเปดเผยโดยมไดรบอนญาตหรอเปลยนแปลงแกไขเพอผลประโยชนบางอยาง

ภยคมคามทมตอพาณชยอเลกทรอนกส

ภยคกคามทมตอพาณชยอเลกทรอนกสทพบบอยๆ 9 ประการดงน

1. การเขาสเครอขายทไมไดรบอนญาต 2. การท าลายขอมลและเครอขาย 3. การเปลยน การเพม หรอการดดแปลงขอมล 4. การเปดเผยขอมลแกผทไมไดรบอนญาต 5. การท าใหระบบบรการของเครอขายหยดชะงก 6. การขโมยขอมล 7. การปฏเสธการบรการทไดรบ และขอมลทไดรบหรอสง 8. การอางวาไดใหบรการทงๆ ทไมไดท า และหรอการอางวาไดรบสง 9. ไวรสทแอบแฝงมากบผทเขามาใชบรการ

ภยคมคามดานความปลอดภยของระบบเครอขาย

1. Denial of service สงผลใหเครองคอมพวเตอรหรอระบบหยดท างานโดยไมทราบสาเหต อาจมดวยกนหลายวธ เชนSpamming, E-mail Bombing,Viruses , Worms, Trojan Horses

2. Unauthorized Access เปนภยคกคามดวยการเขาไปยงเครอขายโดยไมไดรบอนญาต ซงอาจมจดประสงคในการโจรกรรมขอมล

3. Theft and Fraud คอ การโจรกรรมและการปลอมแปลงขอมล

ภยคกคามตางๆ ขางตน มผลท าใหลกคาขาดความเชอมนตอองคกร และสงผลใหธรกจขององคกรเกดความเสยหาย ซงสามารถแบงประเภทของผโจมต และรปแบบการโจมตเครอขาย (ทวศกด กาญจนสวรรณ . 2552)ไดหลายประเภท ดงตอไปน

ประเภทของผโจมต

สามารถแบงผโจมต หรอ Attrackerในระบบเครอขายออกเปน 4 ประเภท ดงน

1. แฮกเกอร(Hacker) เปนผเชยวชาญดานระบบเครอขาย และการใชงานคอมพวเตอร โดยสามารถเจาะระบบเขาไปอานหรอขโมยขอมลทส าคญ และโจมตระบบคอมพวเตอรขององคกรตางๆ ได

2. อาชญากรทางคอมพวเตอร มหลายลกษณะ เชน การขโมยหมายเลขบตรเครดตไปใชซอสนคา หรอขโมยขอมลทเปนความลบทางการคาไปขายใหกบคแขง เปนตน

3. ผกอการรายทางคอมพวเตอร เปนการใชประโยชนจากระบบเครอขายเปนเครองมอในการกอการราย เชน การเจาะระบบเครอขายเพอแกไขขอมลส าคญของประเทศ หรอขโมยขอมลทเปนความลบทางการทหาร เปนตน

4. พนกงานหรอลกจางในองคกร ซงมความรดานระบบเครอขายเปนอยางด แตเกดทจรตหรอไมพอใจองคกร จงท าการขโมยขอมล การโจมตดวยวธนจะท าใหเกดความเสยหายทรายแรงกวาการโจมตจากบคคลภายนอกองคกร

รปแบบการโจมต

รปแบบการโจมตเครอขายทส าคญๆ ดงน

1. การโจมตเซรฟเวอร (Server) เซรฟเวอรเปนคลงเกบขอมลทส าคญและเปนแหลงใหบรการทหลากหลายแกผใชงาน ดงนน ขอมลและบรการตางๆ บน Server จงมกตกเปนเปาส าคญในการโจมต

2. การโจมต Client ขอมลทเกบไวในเครองไคลเอนตทแฮกเกอรตองการมมากมาย เชน Password หมายเลขบตรเครดต และขอมลส าคญอนๆ ซงแฮกเกอรสามารถน าขอมลพวกนไปใชประโยชนกบตนเองได เชน ใช Password เพอเขาสระบบไปแกไขขอมลบางอยางใน Server หรอน าหมายเลขบตรเครดตไปท าธรกรรมออนไลน เปนตน

3. การดกจบ Packet หรอทเรยกวา “Packet Sniffer” เปนวธโจมตเครอขายโดยดกจบ Packet ขอมลทสงผาน และน ามาเปดดขอมลทอยภายใน เนองจาก Packet ขอมลบางประเภทไมมการเขารหสไว และยงเปนขอมลแบบ Clear Text ทสามารถอานและเขาใจไดงาย ดงนน ผบกรกจงสามารถน าขอมลไปใชได นอกจากนการดกจบ Packet จะใชแอปพลเคชนทท างานในดานนโดยเฉพาะ ผบกรกจงไมจ าเปนตองมความรในระดบสง กสามารถดขอมลตางๆ ภายใน Packet ทดกจบได

4. การโจมตแบบ Denial of Service Attacks (DoS) คอ การท าใหเปาหมายหรอระบบเครอขายทถกโจมตลม จนไมสามารถใหบรการกบไคลเอนตเครองอนได โดยลกษณะของการโจมตม 3 รปแบบดงน

4.1 การโจมตโดยสง Message หรอ Packet จ านวนมากไปยงเปาหมาย เพอใหเซรฟเวอรตองจดการกบ Message มากจนไมสามารถใหบรการกบไคลเอนตอนได

4.2 การโจมตโดยสง Message หรอ Packet เดยว คลายกบวธขางตน แตวธนจะใชเพยง Message เดยวส าหรบท าลายระบบการท างานของเซรฟเวอร Message ดงกลาวจงตองมประสทธภาพมากพอทจะท าใหระบบลมได

4.3 การโจมตแบบ Distributed Denial of Service (DoS) เปนการโจมตทรนแรงกวา 2 วธแรก เนองจากจะใชคอมพวเตอรมากกวาหนงเครองโจมตพรอมกน โดยสง Message จากหลายเครองพรอมกน ท าใหม Message จ านวนมหาศาล ระบบเครอขายจงลมไดอยางรวดเรว

5. การโจมตจาก Virus, Worm, Trojan Horse และ Spam 5.1 Virus เปนชดค าสงทมการท างานหลายแบบ เชน ลบไฟล เปลยนแปลง แกไขขอมล เปน

ตน ซง Virus สามารแพรกระจายไปยงโปรแกรมตางๆ ในเครองคอมพวเตอรและท าส าเนาตวเองเพมขน รวมทงแพรกระจายไปยงเครองอนๆ ผานโปรแกรม หรอไฟลขอมลตางๆ

5.2 Worm เปนโปรแกรมทสามารถแพรกระจายภายในระบบเครอขายโดยท าส าเนาตวเอง ซงจะแตกตางจาก Virus คอ Worm จะแพรกระจายโดยอาศยเพยงระบบเครอขายคอมพวเตอรเทานน ไมจ าเปนตองไปเกาะตดกบโปรแกรมหรอไฟลขอมลใดๆ

5.3 Trojan Horse เปนโปรแกรมทซอนตวหรอแฝงตวอยกบโปรแกรมอนๆ โดยเฉพาะโปรแกรมทดาวนโหลดมาจากอนเทอรเนต ซงมจดประสงคทแตกตางกน เชน การท าลายระบบคอมพวเตอรหรอการขโมยขอมลตางๆ เปนตน

5.4 Spam หรอ e-Mail Bombing เปนอเมลทมจดประสงคเพอโฆษณาสนคา แตมการแอบแฝง Virus หรอ Worm ตดมากบอเมลเหลานนดวย นอกจากน Spam อาจมาในรปแบบของการสงอเมลจ านวนมากในคราวเดยวกน จนท าใหเกดปญหาเมลบอกซเตมกได

จากทกลาวมา ดงจะเหนไดวารปแบบการโจมตระบบเครอขายมหลายรปแบบ องคกรใดทตองการพฒนาระบบพาณชยอเลกทรอนกส จงจ าเปนตองหาวธการรกษาความปลอดภยทมประสทธภาพเพอประโยชนแกองคกรและลกคาขององคกรดวย

ระบบรกษาความปลอดภย

ระบบรกษาความปลอดภยแบงออกเปน 2 รปแบบ คอ ระบบรกษาความปลอดภยของเครอขายและระบบรกษาความปลอดภยของพาณชยอเลกทรอนกส

1. ระบบรกษาความปลอดภยของเครอขาย

ระบบรกษาความปลอดภยของเครอขายองคกรมการควบคมความปลอดภยอย 2 ดานคอควบคมการเขาถงทางกายภาพ (Physical Access Control) และควบคมการเขาถงทางตรรกะ (Logical Access Control)

1.1 ควบคมการเขาถงทางกายภาพ (Physical Access Control) - การลอคหองคอมพวเตอรอยางแนนหนาเมอไมมการใชงานแลว - การใชยามเฝาหรอตดโทรทศนวงจรปด - การใช Back-Up Disk ส าหรบการท าขอมลส ารองอยางสม าเสมอและไมเกบไวในท

เดยวกนกบระบบคอมพวเตอรนน ๆ - ตดตงระบบดบเพลง 1.2 ควบคมการเขาถงทางตรรกะ (Logical Access Control) - User profiles นยมใชกนมากทสด ขอมลผใชประกอบดวย ชอผใช,รหสผา และสทธ

การใชงาน - การควบคมความปลอดภยโดยระบบปฏบตการ(Operating System) - Firewall เปนการตดตงโปรแกรมคอมพวเตอรบนคอมพวเตอรหรอเครองเราทเตอรทม

หนาทจดการ ควบคมการเชอมตอจากภายนอกสภายในองคกร และจากภายในองคกรสภายนอกองคกร

- การใชเครองมอทางชวลกษณะ (Biometrics)เชน การพสจนบคคลดวยลายนวมอ, การพสจนบคคลดวยเรตนา, การพสจนบคคลดวยลายเซน, การพสจนบคคลดวยอณหภม, การพสจนบคคลดวยเสยง

- นโยบายองคกร หนวยงานใชนโยบายในการควบคมตองก าหนดใหแนนอนวาผใชใดสามารถเขาถงขอมลสวนใดไดบาง ใครมสทธทจะเปลยนแปลงแกไขขอมล รวมถงตองก าหนดแผนปองกนและกภยทอาจเกดขนไดดวย

1. ระบบรกษาความปลอดภยของพาณชยอเลกทรอนกส รปแบบระบบรกษาความปลอดภยในธรกจพาณชยอเลกทรอนกส มดงน

1.1 การเขารหส (Encryption)

การท าใหขอมลทจะสงผานไปทางเครอขายอยในรปแบบทไมสามารถอานออกได ดวยการเขารหส(Encryption) ท าใหขอมลนนเปนความลบ ผมสทธจรงเทานนจะสามารถอานขอมลนนไดดวยการถอดรหส (Decryption) ใชสมการทางคณตศาสตร และใชกญแจซงอยในรปของพารามเตอรทก าหนดไว (มความยาวเปนบต โดยยงกญแจมความยาวมาก ยงปลอดภยมากเพราะตองใชเวลานานในการคาดเดากญแจของผคกคาม)ประกอบดวยฝายผรบ และฝายผสงตกลงกฎเกณฑเดยวกน ในการเปลยนขอความตนฉบบใหเปนขอความอานไมรเรอง (cipher text) โดยใชสมการหรอสตรทางคณตศาสตรทซบซอน เชน กฎการเพมคา 13,แฮชฟงกชน (Hash function) เปนตน ม 2 ลกษณะ ดงน

ตวอยางการเขารหสโดยใชกฎการเพมคา 13

การเขารหสจะท าโดยการเปลยนตวอกษร จากต าแหนงเดมเปนตวอกษรต าแหนงท 13ของชดตวอกษรนน

เชน เขารหส I LOVE YOU ----> V YBIR LBH

HARRY POTTER ----> UNEEL CBGGRE

- การเขารหสแบบสมมาตร (Symmetric encryption)

วธนทงผรบและผสงขอความจะทราบคยทเหมอนกนทงสองฝายและใชคยเดยวกนในการรบหรอสงขอความ อาจเรยกอกอยางวา Secret Key, Single Key หรอ กญแจลบ

รปท 5.2 แสดงการเขารหสแบบสมมาตร (Symmetric encryption)

A B C D E F G H I G K L M

N O P Q R S T U V W X Y Z

N O P Q R S T U V W X Y Z

A B C D E F G H I G K L M

รปท 5.3 แสดงขอความทมการเขารหสแบบสมมาตร

ขอด

การเขารหสขอมลท าไดรวดเรวกวาเมอเทยบกบวธ AsymmetricEncryption

ขอเสย

- Confidentiality : ผอนนอกเหนอจากผรบและผสงอาจร Key ดวยวธใดกตามแลวใช Key ในการถอดรหส (Decryption) เพออานขอมล ซงท าใหขอมลไมเปนความลบอกตอไป

- Authentication / Non-Repudiation: ไมมหลกฐานใดทพสจนหรอยนยนไดวาผสงหรอผรบไดกระท ารายการจรงๆ เพราะใครกตามทร Key กสามารถเขารหสขอความไดเชนเดยวกน

- การเขารหสแบบอสมมาตร (Asymmetric encryption)

ใชแนวคดของการม Key เปนค ๆ โดยท Key แตละคจะสามารถเขาและถอดรหสของกนและกนไดเทานน Key แรกจะถกเกบรกษาอยกบเจาของ Key เทานน เรยกวา Private key และคของ Private key ทเปดเผยตอสาธารณะหรอสงตอใหผอนใช เรยกวา Public keyเนนทผรบเปนหลก คอ จะใชกญแจสาธารณะของผรบซงเปนทเปดเผยในการเขารหส และจะใชกญแจสวนตวของผรบในการถอดรหส

รปท 5.4แสดงการเขารหสแบบอสมมาตร (Asymmetric encryption)

รปท 5.3 แสดงขอความทมการเขารหสแบบอสมมาตร

ขอด - ใชรกษาความลบของขอความทจะจดสงไปโดยใชวธการเขารหสดวย Public-Key - ความเสยงของการลวงร Private-Key จากผอนเปนไปไดยากเมอเทยบกบวธ Symmetric

Encryption เนองจาก Private-Key จะถกเกบรกษาโดยเจาของคนเดยวเทานน - แกปญหาในสวน Authenticate / Non-Repudiation เนองจากสามารถพสจนไดวาบคคลท

สงขอมลนนเปนผสงเองจรงๆ ซงท าไดโดยใชวธการเขารหสดวย Private-Key ขอเสย

การเขารหสขอมลท าไดชากวาเมอเทยบกบวธ SymmetricEncryption เนองจาก Algorithm ทใชเปนวธการค านวณทางคณตศาสตรในขณะท Algorithm ของวธ SymmetricEncryption นนจะใชการแทนท (Substitution) และการสลบท (Permutation

1.2 การพสจนดานชวลกษณะ (Biometrics Authentication) (ทวศกด กาญจนสวรรณ, 2552)

การพสจนดานชวลกษณะ เปนการพสจนตวตนในการเขาถงขอมล โดยใชอวยวะตางๆ ของรางกายรวมถงการเคลอนไหวของผใช ดงน

- การพสจนตวตนจากลายนวมอ (Fingerprint Identification) เนองจากลายนวมอของแตละบคคลมความแตกตาง จงสามารถน ามาใชเปนเครองมอพสจนตวตนได วธนยงเปนทนยมใชกนมากทสดเนองจากมตนทนต า

- การพสจนตวตนจากมานตา (Iris Identification) เปนวธระบตวตนของผใชโดยการตรวจจากแบบแผนของมานตา (Iris Pattern) ซงสามารถบงบอกตวตนของแตละคนไดดกวาการตรวจจากลายนวมอ เนองจากมานตาจะมลกษณะทซบซอนกวาลายนวมอ การพสจนตวตนวธนยงชวยลดขอจ ากดจากการปลอมแปลงลายนวมออกดวย จงนยมน าไปใชกบองคกรขนาดใหญทตองการความปลอดภยสงแตไมนยมใชในองคกรทวไป เพราะมตนทนสง

- การพสจนตวตนโดยการจดจ าใบหนา (Face Recognition) แตรปหนาของบางคนอาจมลกษณะใกลเคยงกนได ดงนนการพสจนแบบนจะน าไปใชเพอตรวจสอบขนตนเทานน

- การพสจนตวตนโดยวธการอนๆ เชน เสยง (Voice Identification) หรอ ลายมอชอ (Signature Identification) เปนตน โดยอาจน าวธเหลานมาใชรวมกน เพอใหไดผลลพธทมนใจมากยงขนกได 1.3 ลายเซนดจตอล (Digital Signature)

การสงขอมลผาน ระบบเครอขายนน นอกจากจะท าใหขอมลทสงนนเปนความลบส าหรบผไมมสทธเปดดขอมลโดยการใชเทคโนโลยการเขารหสแลว ส าหรบการท านตกรรมสญญาโดยทวไป ลายมอชอจะเปนสงทใชในการระบตวบคคล (Authentication) และ ยงมแสดงถงเจตนาในการยอมรบเนอหาในสญญานนๆซงรวม ถงการปองกนการปฏเสธความรบผดชอบ (Non-repudiation) ส าหรบในการท าธรกรรมทางอเลกทรอนกสจะใชลายมอชออเลกทรอนกส (Electronic Signature) ซงมรปแบบตางๆเชน สงทระบตวบคคลทางชวภาพ (ลายพมพนวมอ เสยง มานตา เปนตน) หรอจะเปนสงทมอบใหแกบคคลนนๆในรปแบบของรหสประจ าตว

ลายมอชอดจตอล (Digital Signature) คอ ขอมลอเลกทรอนกสทไดจากการเขารหสขอมลดวยกญแจสวนตวของผสงซงเปรยบเสมอนเปนลายมอชอของผสง คณสมบตของลายมอชอดจตอล นอกจากจะสามารถ ระบตวบคคล และเปนกลไกการปองกนการปฏเสธความรบผดชอบแลว ยงสามารถปองกนขอมลทสงไปไมใหถกแกไข หรอ หากถกแกไขไปจากเดมกสามารถลวงรได กระบวนการสรางและ ลงลายมอชอดจตอลมขนตอนแสดงดงน คอ

1. น าขอมลอเลกทรอนกสตนฉบบทจะสงไปนนมาผานกระบวนการทางคณตศาสตรทเรยกวา ฟงกชนยอยขอมล (Hash Function) เพอใหไดขอมลทสนๆ ทเรยกวา ขอมลทยอยแลว (Digest) กอนทจะท าการเขารหส เนองจากขอมลตนฉบบมกจะมความยาวมากซงจะท าใหกระบวนการเขารหสใชเวลานานมาก

ท าการเขารหสดวยกญแจสวนตวของผสงเอง ซงจดนเปรยบเสมอนการลงลายมอชอของผสงเพราะผสงเทานนทมกญแจสวนตวของผสงเอง และ จะไดขอมลทเขารหสแลว เรยกวา ลายมอชอดจตอล

2.ท าการสง ลายมอชอไปพรอมกบขอมลตนฉบบ ไปยงผรบ ผรบกจะท าการตรวจสอบวาขอมลทไดรบถกแกไขระหวางทางหรอไม โดยการน าขอมลตนฉบบทไดรบ มาผานกระบวนการยอยดวย ฟงกชนยอยขอมล จะไดขอมลทยอยแลวอนหนง

3.น าลายมอชอดจตอล มาท าการถอดรหสดวย กญแจสาธารณะของผสง กจะไดขอมลทยอยแลวอกอนหนง แลวท าการเปรยบเทยบ ขอมลทยอยแลวทงสองอน ถาหากวาเหมอนกน กแสดงวาขอมลทไดรบนนไมไดถกแกไข แตถาขอมลทยอยแลว แตกตางกน กแสดงวา ขอมลทไดรบถกเปลยนแปลงระหวางทา ขอสงเกตของลายมอชอดจตอล

- ลายมอชอดจตอลจะแตกตางกนไปตามขอมลตนฉบบและบคคลทจะลงลายมอชอ ไมเหมอนกบลายมอชอทวไปทจะตองเหมอนกนส าหรบบคคลนนๆ ไมขนอยกบเอกสาร

- กระบวนการทใชจะมลกษณะคลายคลงกบการเขารหสแบบอสมมาตร แตการเขารหสจะใช กญแจสวนตวของผสง และ การถอดรหสจะใช กญแจสาธารณะของผสง ซงสลบกนกบ การเขาและถอดรหสแบบกญแจอสมมาตร ในการรกษาขอมลใหเปนความลบ

รปท 5.4 แสดงการท างานของระบบลายมอชอดจตอล

จากรปท 5.4 แสดงการท างานของระบบลายมอชอดจตอล โดยอธบายขนตอนจากภาพไดดงน

1. น าเอาขอมลอเลกทรอนกสทเปนตนฉบบมาผานกระบวนการทางคณตศาสตรทเรยกวา Hash Function จะไดขอมลทยอยแลว (Digest)

2. เขารหสดวยกญแจสวนตว (Private key) ของผสงเอง เปรยบเสมอนการลงลายมอชอของผสง จะได ลายมอชออเลกทรอนกส

3. สงลายมอชออเลกทรอนกสไปพรอมกบขอมลอเลกทรอนกสตนฉบบไปยงผรบ 4. ผรบท าการตรวจสอบวาขอมลทไดรบถกแกไขระหวางทางหรอไม โดยใชวธ Digest (แยกแยะ) 5. น ารายมอชอมาถอดรหสดวยกญแจสาธารณะของผสง จะไดขอมลทยอยแลวอกอนหนง 6. เปรยบเทยบขอมลทยอยแลวทงสอง โดยถาเหมอนกนแสดงวาขอมลไมไดถกแกไข แตถาตางกนแสดง

วาขอมลถกเปลยนแปลงระหวางทาง

ปญหาในการสรางลายมอชอดจตอล โดยถงแมจะสามารถสรางและตรวจสอบลายมอชอได แตจะมนใจไดอยางไรในเมอกญแจคสรางขนโดยอยในความรเหนของผใชลายมอชอดจตอลเทานนใครจะเปนผดแลการจดการกบกญแจสาธารณะซงมเปนจ านวนมาก

1.4 ใบรบรองดจตอล (Digital Certificate)

ดวยเทคนคการเขารหสและลายมอชอดจตอลทใชในการท าธรกรรม ท าใหเราสามารถรกษาความลบของขอมล (Confidentiality) สามารถรกษาความถกตองของขอมล (Integrity) และสามารถระบตวบคคล(Authentication) ไดระดบหนง เพอเพมระดบความปลอดภยในการระบตวบคคลโดยสรางความเชอถอมากขนดวยใบรบรองดจตอล (Digital Certificate) ซงออกโดยองคกรกลางทเปนทนาเชอถอ เรยกวา องคกรรบรองความถกตอง(Certification Authority) จะถกน ามาใชส าหรบยนยนในตอนท าธรกรรมวาเปนบคคลนนๆจรง ตามทไดอางไว ส าหรบรายละเอยดในใบรบรองดจตอลทวไปมดงตอไปน

- ขอมลระบผทไดรบการรบรอง ไดแก ชอ องคกร ทอย - ขอมลระบผออกใบรบรอง ไดแก ลายมอชอดจตอลขององคกรทออกใบรบรอง หมายเลขประจ าตว

ของผออกใบรบรอง - กญแจสาธารณะของผทไดรบการรบรอง - วนหมดอายของใบรบรองดจตอล - ระดบชนของใบรบรองดจตอล ซงมทงหมด 4 ระดบ ในระดบ 4 จะมกระบวนการตรวจสอบเขมงวด

ทสด และ ตองการขอมลมากทสด - หมายเลขประจ าตวของใบรบรองดจตอลเพอรบรองความเปนเจาของเวบไซต

เมอเรมการเชอมตอระบบรกษาความปลอดภยกบเวบไซต โปรแกรมเบราวเซอร(Browser) จะเรยกส าเนาของใบรบรองดจตอลจากเวบเซรฟเวอร (Web Server) โดยมกญแจสาธารณะเพอเขารหสขอมลทสงผานเวบไซตนน เพอเปนการใหความมนใจวาไดตดตอกบเวบไซตนนจรงและปองกนการขโมยขอมลลกคาจากเวบไซตอน (spoofing) อกทงยงยนยนในการท าธรกรรมวาเปนบคคลนน จรงๆ

ประเภทของใบรบรองดจตอล ประเภทของใบรบรองดจตอล โดยทวไป แบงไดเปน 2 ประเภท ดงน 1. ใบรบรองส าหรบบคคล เหมาะส าหรบบคคลทวไปทตองการสอสารอนเทอรเนตปลอดภย

รปท 5.5 แสดงใบรบรองส าหรบบคคลทวไป ทมา : http://www.docstoc.com

2. ใบรบรองส าหรบเครองแมขาย เหมาะส าหรบหนวยงานทตองการสรางความเชอมนในการเผยแพรขอมลแกบคคลทวไป หรอการท าธรกรรม E-Commerce เครองแมขายในทนคอเครองเวบเซรฟเวอร (Web Server)

รปท 5.6 แสดงใบรบรองส าหรบเครองแมขาย ทมา :http://www.krungsrionline.com

โปรโตคอล HTTPS (Hypertext Transfer Protocol Security) เปนโปรโตคอลทใชในการเขารหสขอมล (Encryption) และตรวจสอบสทธ ซงท างานอยบนพอรต 443 ภายในชน HTTP กบ TCP พฒนาโดยบรษท Netscape และไดรบการรบรองจากบรษทรกษาความปลอดภยขนาดใหญ เชน VeriSign Inc. วาเปนโปรโตคอลทสามารถรกษาความลบของขอมล ท าใหผมเจตนารายสามารถขโมยขอมลทสงมาจากผซอสนคาไปยงรานคาออนไลนได

รปท 5.7 แสดงโปรโตคอล HTTPS ทมา :http://www.krungsrionline.com

ผใหบรการออกใบรบรอง (Certification Authority : CA)

� ผใหบรการออกใบรบรอง คอ หนวยงานทออกใบรบรอง CA ใหกบบคคลหรอองคกรทตองการใช�หน

าทหลกคอการรบรอง(ความถกตอง)ตวบคคลหรอองคกรเพอใชในโลกอเลกทรอนกส�ผใหบรการออกใบรบรองต

องมระบบรกษาความปลอดภยของขอมลในระดบสง�ผใหบรการออกใบรบรองมทงในและตางประเทศซงแตละ

องคกรจะมการมาตรฐานการตรวจสอบแตกตางกนไป �ผใหบรการออกใบรบรอง ทมชอเสยงระดบสากลม

หลายบรษท เชนVerisign , Entrust , Globalsign, Thawteเปนตน

ปจจบนผใหบรการ CA ในไทย ม 3 หนวยงานไดแก

1. G-CA (Government Certification Authority) ด าเนนงานภายใตส านกบรการเทคโนโลยสารสนเทศภาครฐ(สบทร.) ซงเปนหนวยงานหนงของศนยเทคโนโลยอลกทรอนกสและคอมพวเตอรแหงชาต (เนคเทค) โดยมเวบไซตชอ https://gca.thaigov.net/signin.php

2. บรษท Thai Digital ID (www.thaidigitalid.com) 3. บรษท Acertsจ ากด (www.acerts.com)

หากตองการทดลองใชใบรบรองอเลกทรอนกส สามารถทดลองไดฟร ทเวบไซตhttps://freecert.gits.net

บทบาทของผใหบรการออกใบรบรองประกอบดวย

1. การใหบรการเทคโนโลยการเขารหส

คลกเพอดใบรบรอง

อเลกทรอนกส

การสรางกญแจสาธารณะ (Public Key) กญแจสวนตว (Private Key) แกผขอใชบรการ(ลงทะเบยน) การสงมอบกญแจทไดสรางให การสรางและการรบรองลายมอชอดจตอล

2. การใหบรการเกยวกบการออกใบรบรองเพอสรางความนาเชอถอบนโลกอนเทอรเนต 3. บรการเสรมอนๆเชนการตรวจสอบสญญาตางๆ การกกญแจเปนตน 4. เปนบคคลทสาม ซงมหนาท

- สรางกญแจค (กญแจสวนตว และกญแจสาธารณะ) ตามค าขอของผขอใชบรการ - ตรวจสอบสถานะและออกใบรบรองดจตอลเพอยนยนตวผขอใชบรการ - จดเกบกญแจสาธารณะของผขอใชบรการในฐานขอมล - เปดเผยกญแจสาธารณะตอสาธารณชนทตดตอทางเครอขาย - เปดเผยรายชอใบรบรองทถกเพกถอนตอสาธารณชน - ยนยนตวบคคลทเปนเจาของกญแจสาธารณะตามค าขอของบคคลทว ๆ ไป - ตรวจสอบระบบการท างานภายในของตนเองอยางปลอดภย ดวยบคคลทมอ านาจเฉพาะ

เทานน - มระบบจดเกบ สราง และก กญแจส าหรบถอดรหส เพอปองกนปญหากญแจหายอยาง

ถาวร โดยเปนไปอยางเปนความลบและปลอดภย - สรางกญแจใหมแทนกญแจเกาโดยอตโนมต (หากตองการ) พรอมจดเกบประวตทงหมด

ทผานมาของกญแจส าหรบถอดรหส - ควบคมดแลระบบกญแจทถกเพกถอนไดอยางถกตองคงเสนคงวา - มระบบจดเกบจดเกบใบรบรองดจตอลแยกตางหาก ตามมาตรฐานLightweight

Directory Access Protocol (LDAP) - มระบบรองรบ Non-repudiation (ไมอาจปฏเสธความรบผดชอบได) - สามารถใชกบ Smart cards, Token keys, Button keys ฯลฯ ควบคกบStrong

password - สามารถเชอมตอกบระบบของผใหบรการออกใบรบรองดจตอลอน

ฯลฯ

ขนตอนการออกใบรบรอง 1. สมครขอใชบรการกบผออกใบรบรอง (CA) ผานทางหนวยงานรบลงทะเบยนของผออกใบรบรอง

(Registration Authority : RA) 2. RA ตรวจสอบสถานะของผสมครวาเปนผสมครทแทจรง (ตรวจสอบเอกสารทก าหนด โดยผสมครอาจ

ตองเดนทางมายนยนตวตนตอหนา RA ขนอยกบประเภทของใบรบรอง) 3. ช าระคาบรการ

4. RA ออกใบรบรองดจตอลและผขอใบรบรองเขาไปหยบใบรบรองดจตอลและกญแจคดวยตนเองผานทางเวบไซตของ CA แลวเกบไวในเครองคอมพวเตอร, แผน Diskette,Smart Card,USB Token ฯลฯ

5. ผขอใบรบรองน าใบรบรองและกญแจคไปใชในการท าธรกรรมกบผอน ตารางท 5.1 การเปรยบเทยบหนาทของประเภทการรกษาความปลอดภย

มาตรฐาน/เทคโนโลย การรกษาความลบ การระบตวบคคล การรกษาความ

ถกตอง

การปองกนการปฏเสธความรบผดชอบ

การเขารหส หลก รอง

ลายมอชอดจตอล รอง 1 รอง 2 หลก

ใบรบรองดจตอล

และองคกรรบรอง

ความถกตอง

หลก

1.5 Secure Socket Layer (SSL)

� เปนโปรโตคอลทพฒนาโดยบรษท Netscape เพอใชในการรกษาความปลอดภยใหกบขอมลของ

ไคลเอนตและเซรฟเวอร โดย SSL เปนระบบรกษาความปลอดภยในดานการช าระเงนออนไลนทนยมใชกนทวโลก โดยสามารถจายเงนดวยบตรเครดต ผานทางเวบไซต ซงระบบ SSL จะชวยสรางความมนใจในความปลอดภยของขอมลใหกบผซอและผขายในการสงขอมลบตรเครดตผานเครอขายอนเทอรเนตไปยงธนาคารหรอบรษทบตรเครดต และเพอใหแนใจวาขอมลทสงระหวางกนนน จะไมมผลกลอบน าขอมลไปใชได โดยเนอความในสวนของลกคาสามารถตรวจสอบไดวา ณ เวลานนนนขอมลทสงใหกบผขายมการเขารหส เพอรกษาความปลอดภย ซงสามารถสงเกตไดจาก 1. ชองแสดงชอเวบไซตจะแสดงโปรโตคอล HTTPS ตามดวยชอเวบไซตแทนทจะเปน HTTP ตามปกต 2. ในกรอบดานลางของโปรแกรมเบราวเซอร จะมรปกญแจลอกอย ผซอสามารถตรวจสอบตวตนของผขายกอนไดโดยดจากใบรบรองอเลกทรอนกสทผขายขอจาก CA แตสวนใหญผขายไมสามารถตรวจสอบตวตนของผซอไดเพราะผซอไมมบตรรบรองอเลกทรอนกส เมอมการเขารหสขอมลทผซอสงใหกบผขายผานเครอขายอนเทอรเนต ดงนน จงมเฉพาะผขายเทานนทอานขอความนนได เพราะมกญแจในการถอดรหส ซงจะเหนวาระบบ SSL นนสามารถสรางความมนใจใหกบลกคาไดวาขอมลทสงไปนนจะถกอานไดโดยเจาของเวบไซตตวจรงเทานน โดยจะใชวธการดวยดงน

1. การเขารหส (Encryption) 2. ลายเซนดจตอล (Digital Signature)

3. ใบรบรองอเลกทรอนกส (Digital Certification) คอ ขอมลอเลกทรอนกสทออกโดยองคกรออกใบรบรอง (CA) เพอใชบงบอกถงความมตวตนทแทจรงในโลกอเลกทรอนกส กลาวคอ ใบรบรองอเลกทรอนกสจะบอกรายละเอยด เชน ผใชคอใคร มขอมลสวนตวหรอขอมลขององคกรใดบาง และ Public Key ทใชในการถอดรหสคออะไร เปนตนไคลเอนตและเซรฟเวอรสามารถรองขอใบรบรองดจตอล เพอตรวจสอบตวตนของแตละฝายกอนทจะมการตดตอสอสารเพอท าธรกรรมได อนจะท าใหทงสองฝายมความมนใจมากยงขน

รปท 5.8 แสดงวธการสงขอมลดวย SSL

ทมา : https://ssl.in.th/tools/about-ssl

อยางไรกตามความเสยงจากการท าธรกรรมกยงคงมอยซงอาจเกดจากสาเหต 2 ประการ คอ

1. เวบไซตของรานคานนถกบกรก และผบกรกสามารถน าไฟลขอมลตนฉบบทงหมดทลกคาสงมาใหผขายไปอานได เพราะถกถอดรหสไวเรยบรอยแลว

2. พนกงานของรานคาออนไลนนนทจรตโดยน าขอมลของลกคาไปใชในทางมชอบ วธแกไขคอ รานคาพาณชยอเลกทรอนกสไมควรเกบขอมลส าคญทเปนความลบของลกคา เชน

หมายเลขบตรเครดตไวบนเครองคอมพวเตอรของตนเพราะแมจะมการปองกนแนนหนาเพยงใด กอาจเกดชองโหวไดส าหรบรานคาพาณชยอเลกทรอนกสทใชระบบช าระเงนดวยบตรเครดตเชอมกบเครอขายของ VISA มกจะสงขอมลหมายเลขบตรเครดตไปตรวจสอบกบธนาคารเทานนเมอผานแลวจะเกบเฉพาะเลขล าดบรายการ และรหสอนมตของธนาคาร ( Approval Code) ตอบตรเครดตนเทานนไวบนเครองคอมพวเตอรของตน ซงเปนการปองกนความเสยงไดอกทางหนง

จากสถานการณปจจบนการท าธรกรรมผานอนเทอรเนตมความเสยงมากขน การเขารหสขอมลผาน SSL จงเปนสวนส าคญ ทจะชวยสรางความนาเชอถอ และความมนใจในความปลอดภย ใหทงเจาของเวบไซต และผใชงานเวบไซตดวย ซงระบบ SSL จะท าให การรบ -สงขอมลส าคญ เชน ขอมลสวนตว ขอมลบตรเครดต Password รหสผานตาง ๆ ไมถกเปดเผย หรอถกขโมยได สรางความปลอดภยใหกบผใชงาน

บรการนเหมาะส าหรบเวบไซต e-commerce (ขายของออนไลน) ทมการช าระเงนผานบตรเครดต , เวบไซตการเงนการธนาคาร และเวบไซตทใหความส าคญในการรบ – สงขอมลสง มระบบ Login Username & Password เชน Web E-Mail , Intranet , เวบทมขอมลส าคญ , ขอมลทเปนความลบ ทตองการความ

ปลอดภยสง หรอการใชงานภายในองคกร เปนตน ตวอยางของรานคาบนเวบทใช SSL ไดแก amazon.com ซงเปนราน ขายหนงสอทใหญทสดบนเวบในขณะน อยางไรกตาม เนองจาก SSL ไดถกใชงานมาเปนเวลาหลายป

1.6 Secure Electronic Transaction (SET)

ระบบ SET ปจจบนมใชกนอยใน 34 ประเทศ ซงระบบน จะมความปลอดภยกวาระบบทใชกนอยในปจจบน ระบบ SET จะแตกตางจากระบบ SSL ตรงทระบบ SET จะมหนวยงานกลางทถกจดตงขนมาเพอยนยนการท าธรกรรม (Certification Authority : CA) SET พฒนาขนในป ค.ศ. 1997 โดย Visa และ MasterCard ดวยความรวมมอจาก Microsoft และ Netscape โดยท SET เปนโปรโตคอลทใชรกษาความปลอดภยในระบบการช าระเงนดวยบตรเครดตผานทางเครอขายอนเทอรเนต โดยก าหนดใหใชรบรองอเลกทรอนกส (Digital Certificates) เพอพสจนตวตนของบคคลทเกยวของกบการซอขายทกฝาย โดยมผทเกยวของคอ ผออกบตร, ผถอบตร, สถาบนผประมวลผล, Payment Gateway และ Certificate Authority

วตถประสงคหลกของการน า SET มาใชงาน คอ เพอแกไขปญหารานคาทราบขอมลทส าคญทางการเงนของลกคา ในกรณทลกคาช าระเงนโดยใชบตรเครดต ยกตวอยางเชน ขอมลหมายเลขบตรเครดตทลกคากรอกในแบบฟอรม เปนตน แมวาเราจะสามารถใช SSL เขารหสขอมลในการแลกเปลยนขอมลบนแบบฟอรม ปองกนผทมเจตนารายไมใหสามารถขโมย หรออานขอมลทถกเขารหสไดกตาม แต SSL กไมสามารถปองกนรานคาน าขอมลไปใชในทางทผดได ดงนนจงตองน า SET มาใชรวมดวย

ในการด าเนนธรกรรมทางอเลกทรอนกส ผถอบตรจะท าการสงซอสนคาจากผ ประกอบการตามรายการทตองการ ผประกอบการจะสงรายการไปยง สถาบนผประมวลผล ( Acquirer) ผาน Payment Gateway และท าการตรวจสอบกลบไปทผออกบตร และ CA ทเกยวของเพอยนยนสถานะและกญแจ ( Key) ของผประกอบการวาถกตองหรอไม

การเขารหสโดยใชกญแจสาธารณะ มขนตอนการด าเนนการดงน

1. การเขารหสในค าสงการช าระเงน เพอใหเกดความ มนใจวาจะไมมอะไรเปลยนแปลงระหวางการสงค าสง

2. การตรวจสอบความถกตองของผถอบตร และ Acquirer เพอกนการแอบอางและการขโมย บตรผอนมาใชโดยมชอบ

3. การตรวจสอบความถกตองของบรรดาผ ประกอบการโดยผถอบตร เพอปองกนผประกอบ การททจรตหรอหลอกลวง

4. การตรวจสอบผประมวลผล (Acquirer) โดยผประกอบการและผถอบตร เพอปองกนการถอดรหสสงซอ จากผทปลอมเปนผประมวลผลโดยมชอบ ท าการถอดรหสแทน

5. เพอปองกนผบกรกเขามาดกรบขอมลระหวางทางในการสงค าสงซอ

ตารางท 5.2 แสดงขอแตกตางของ SSL และ SET (ทวศกด กาญจนสวรรณ, 2552)

รายละเอยด SSL SET วตถประสงคในการท างาน เพอใชเขารหสขอมลใหมความปลอดภยใน

การตดตอสอสาร ใชเปนกลไกรกษาความปลอดภยของขอมลเกยวของกบการช าระเงนในระบบ e-Commerce

ผมสวนเกยวของ 2 ฝาย ไดแก ผซอและรานคา 3 ฝาย ไดแก ผถอบตรเครดต รานคา และสถาบนการเงนทเปน Payment Gateway

ใบรบรองอเลกทรอนกส มการแลกเปลยนใบรบรองระหวางไคลเอนตและเซรฟเวอร

ทกฝายจะตองแลกเปลยนใบรบรองอเลกทรอนกสทออกโดยองคกรทไดรบความเชอถอ

การพสจนตวตน มการพสจนตวตน แตไมเครงครดมากนก มการพสจนตวตนทเครงครด ความเสยงตอการฉอโกงของรานคา อาจเกดขนได เพราะลกคาจะตองสงขอมล

ทางการเงนไปยงรานคาโดยตรง ไมเกดขน เพราะขอมลทางการเงนของลกคาจะสงตรงไปยง Payment Gateway รานคาจงไมรขอมล

ความเสยงตอการฉอโกงของลกคา อาจเกดขนได เพราะไมมกลไกในการปฏเสธความรบผดชอบของลกคา

ไมเกดขน เพราะใชลายเซนดจตอลเปนกลไกปองกนการปฏเสธความรบผดชอบของลกคา

ผรบผดชอบตอการฉอโกง รานคาเพยงฝายเดยว สถาบนการเงนทเปน Payment Gateway

การน าไปใชในทางปฏบต น าไปใชงานเปนจ านวนมาก

สรป

ระบบความปลอดภยของขอมล ในบทนแบงเปน 2 ลกษณะ คอ ความปลอดภยของระบบเครอขายและความปลอดภยของพาณชยอเลกทรอนกส ซงในการท าธรกรรมบนระบบอนเทอรเนตมความเสยงเปนอยางมากตอการถกโจรกรรมขอมลในขณะทมการรบสงขอมลระหวางกน จงมมาตรการการปองกนความเสยหายทอาจจะเกดดวยรปแบบของระบบความปลอดภยตางๆ เชน การพสจนดานชวลกษณะ (Biometrics Authentication) การเขารหส (Encryption) ลายเซนดจตอล (Digital Signature) การตดตง Firewall เปนตน ซงโดยเฉพาะการด าเนนธรกจพาณชยอเลกทรอนกส (e-Commerce) ดวยแลว ระบบการช าระเงน (Payment System) ตองอาศยเทคโนโลยทมความปลอดภยและนาเชอถอเปนอยางยง ซงเทคโนโลยทนยมใชในการรกษาความปลอดภยของระบบการช าระเงน คอ การใชโปรโตคอลรกษาความปลอดภยในการรบสงขอมล ไดแก ระบบ Secure Socket Layer (SSL) และ ระบบ Secure Electronic Transaction (SET) นนเอง