Digital ID
(Digital Signature - ลายมือชื่อดิจิตอล, Digital Certificate - ใบรับรองดิจิตอล) & CA (Certification Authority ผู้ให้บริการออกใบรับรองดิจิตอล)
ACERTs Co., Ltd. บริษัท เอเซิร์ทส์ จากัด
�พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
มีผลบังคับใช้วันที่ 3 เมษายน 2545 หลักการของกฎหมาย : รับรองสถานะของข้อมูลอิเล็กทรอนิกส์ให้มีผลตามกฎหมายเช่น เดียวกับทาโดยลายลักษณ์อักษร กล่าวถึง ความหมายของลายมือชื่ออิเล็กทรอนิกส์และลายมือชื่อ อิเล็กทรอนิกส์ที่เชื่อถือได้ กล่าวถึง ลักษณะและบทบาทของผู้ให้บริการออกใบรับรองเพื่อ สนับสนุนลายมือชื่ออิเล็กทรอนิกส์
�ลายมือชื่ออิเล็กทรอนิกส์ (Electroinc Signatures) & ลายมือชื่อดิจิตอล (Digital Signatures)
ข้อมูล อิเล็กทรอนิกส์
+
อักษร, อักขระ, ตัวเลข, เสียง, สัญลักษณ์
ลายมือชื่อ อิเล็กทรอนิกส์
ลายมือชื่ออิเล็กทรอนิกส์ = สิ่งใดๆ ก็ตามในรูปแบบอิเล็กทรอนิกส์ ที่ได้นามา ใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ อันเป็นการแสดงความสัมพันธ์ ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์นั้น เพื่อระบุตัวบุคคล และ แสดงว่าบุคคลนั้นเห็นชอบกับข้อความในข้อมูลอิเล็กทรอนิกส์นั้น
�ลายมือชื่ออิเล็กทรอนิกส์ (Electroinc Signatures) & ลายมือชื่อดิจิตอล (Digital Signatures)
ข้อมูล อิเล็กทรอนิกส์
+
อักษร, อักขระ, ตัวเลข, เสียง, สัญลักษณ์
ลายมือชื่อ อิเล็กทรอนิกส์
ข้อมูล อิเล็กทรอนิกส์
ชุดรหัสดิจิตอล
5F8E045AB7F8DFE1 2BCF6D78GAC9054 DEF5E6G8E2AE67 DE9F5A6543
+
ลายมือชื่อดิจิตอล (Digital Signatures, Digital IDs, Digital Certificates) เป็นลายมือชื่ออิเล็กทรอนิกส์ประเภทหนึ่งที่สร้างโดยวิธการแบบปลอดภัย ี
�ตัวอย่าง : ลายมือชื่ออิเล็กทรอนิกส์
e-mail e-mail
�ตัวอย่าง : ลายมือชื่อดิจิตอลเมื่อดูจาก e-mail Client
�มีอะไรในใบรับรองดิจิตอล
X509 version
Version: 3 Serial Number: 8391037 Signature: RSA Issuer: o=ACERTs, c=TH Validity: 1/5/02 1:02 - 1/5/03 1:02 Subject: cn=Somsak Thaitae, o=ACERTs, c=TH Subject Public Key Info:
Unique serial number Name of issuing CA Period of validity Unique Distinguished Name
Public key
Extensions
SubjectAltName: somsak@abc.com CRL DP:cn=CRL2, o=ACERTs, c=TH
Revocation information Signed by a Certification Authority
�ประเภทของใบรับรองดิจิตอล
ใบรับรองดิจิตอลสาหรับบุคคล (Digital ID)
ออกให้กับบุคคลทั่วไป ยีนยันตัวตนของผู้ถือครองใบรับรองฯบนอินเตอร์เน็ต
ใบรับรองดิจิตอลสาหรับ Web Server ( SSL)
ออกให้กับเว็บไซต์ ยีนยันว่าเว็บไซต์นั้นเปิดดาเนินการโดยบริษัทที่จดทะเบียนถูกต้อง หรือ โดยบุคคลที่มีตัวตนอยู่จริง
�ตัวอย่างใบรับรองฯสาหรับเว็ปไซด์ SSL
�ตัวอย่างใบรับรองฯสาหรับบุคคลทั่วไป
�การเชื่อถือผ่านบุคคลที่ 3 (Trusted Third Party)
CA (Certification Authority)
Trust Anchor Trust Trust
Third-party Trust น.ส. หญิง
นาย ชาย
�บทบาทของผู้ให้บริการออกใบรับรองดิจิตอล (CA - Certification Authority) ได้รับความเชื่อถือจากคู่กรณีที่ทาธุรกรรมต่อกัน เสมือนเป็นผู้ออกพาสปอร์ตบนโลกอินเทอร์เน็ต เป็นบุคคลที่สาม ซึ่งมีหน้าที่ 1. สร้างกุญแจคู่ (กุญแจส่วนตัว และกุญแจสาธารณะ) ตามคาขอของผู้ขอใช้ บริการ 2. ตรวจสอบสถานะและออกใบรับรองดิจิตอลเพื่อยืนยันตัวผู้ขอใช้บริการ 3. จัดเก็บกุญแจสาธารณะของผู้ขอใช้บริการในฐานข้อมูล 4. เปิดเผยกุญแจสาธารณะต่อสาธารณชนที่ติดต่อทางเครือข่าย 5. เปิดเผยรายชื่อใบรับรองที่ถูกเพิกถอนต่อสาธารณชน 6. ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะตามคาขอของบุคคลทั่ว ๆ ไป 7. ตรวจสอบระบบการทางานภายในของตนเองอย่างปลอดภัย ด้วยบุคคลที่มี อานาจเฉพาะเท่านั้น (มีต่อ)
�บทบาทของผู้ให้บริการออกใบรับรองดิจิตอล (CA - Certification Authority) (ต่อ) 8. มีระบบจัดเก็บ สร้าง และกู้ กุญแจสาหรับถอดรหัส เพื่อป้องกันปัญหากุญแจ หายอย่างถาวร โดยเป็นไปอย่างเป็นความลับและปลอดภัย 9. สร้างกุญแจใหม่แทนกุญแจเก่าโดยอัตโนมัติ (หากต้องการ) พร้อมจัดเก็บ ประวัติทั้งหมดที่ผ่านมาของกุญแจสาหรับถอดรหัส 10. ควบคุมดูแลระบบกุญแจที่ถูกเพิกถอนได้อย่างถูกต้องคงเส้นคงวา 11. มีระบบจัดเก็บจัดเก็บใบรับรองดิจิตอลแยกต่างหาก ตามมาตรฐาน Lightweight Directory Access Protocol (LDAP) 12. มีระบบรองรับ Non-repudiation (ไม่อาจปฏิเสธความรับผิดได้) 13. สามารถใช้กับ Smart cards, Token keys, Button keys ฯลฯ ควบคู่กับ Strong password 14. สามารถเชื่อมต่อกับระบบของผู้ให้บริการออกใบรับรองดิจิตอลอื่นๆ ฯลฯ
�มาตรฐานระบบและความปลอดภัยของผู้ออกใบรับรอง
Infrastructure Standards Physical Infrastructure HSM (High Security Module) ระบบ Key Protection ด้วย Token Card , CCTV ระบบโทรทัศน์วงจรปิด, FM-200 ระบบป้องกันอัคคีภัยที่ไม่มีผลกระทบต่อคอมพิวเตอร์, Access Control, Air ควบคุมความชื้น, Water Leak ระบบตรวจจับน้ารั่วซึม UPS ระบบสารองไฟ , FBI ระบบเตือนภัยเมื่อระบบ ฯ เกิดเหตุขัดข้อง Software Infrastructure Network Software FireWall, Antivirus, IDS (Intrusion Detection System) CA Software Authority, Registration Authority (RA), Directory Security Policy แนวนโยบาย (Certificate Policy- CP) & แนวปฏิบัติ (Certification Practice Statement-CPS) จะต้องมีการกาหนดกฎเกณฑ์การทางาน และหรือวิธีการออก Certificate ตามมาตรฐานสากล
�ขั้นตอนการขอออกใบรับรองดิจิตอล
1. สมัครขอใช้บริการกับผู้ออกใบรับรอง (CA) ผ่านทางหน่วยงานรับ ลงทะเบียนของผู้ออกใบรับรอง (Registration Authority : RA) 2. RA ตรวจสอบสถานะของผู้สมัครว่าเป็นผู้สมัครที่แท้จริง (ตรวจสอบ เอกสารที่กาหนด โดยผู้สมัครอาจต้องเดินทางมายืนยันตัวตนต่อหน้า RA ขึ้นอยู่กับประเภทของใบรับรอง) 3. ชาระค่าบริการ 4. RA ออกใบรับรองดิจิตอลและผู้ขอใบรับรองเข้าไปหยิบใบรับรอง ดิจิตอลและกุญแจคู่ด้วยตนเองผ่านทางเว็บไซต์ของ CA แล้วเก็บไว้ใน เครื่องคอมพิวเตอร์, แผ่น Diskette, Smart Card, USB Token ฯลฯ 5. ผู้ขอใบรับรองนาใบรับรองและกุญแจคู่ไปใช้ในการทาธุรกรรมกับผู้อื่น
�ตัวอย่างการขอรับใบรับรองจากเว็บไซต์ CA
�การประยุกต์ใช้ใบรับรองดิจิตอลสาหรับบุคคล
การส่งจดหมายอิเล็กทรอนิกส์ (E-mail) อย่างปลอดภัย
Online Banking, Trading, Shopping ( B2B, B2C )
E-Government Web Based Application
VPN
�การใช้งานใบรับรองฯกับ E-Mail
Signing (ใช้ใบรับรองฯ ของผู้ส ่ง) Encryption (ใช้ใบรับรองฯ ของผู้รับ)
Signing & Encryption (ใช้ใบรับรองฯ ของทั้งผู้ส่งและผู้รับ)
�การตรวจเช็คความถูกต้องของใบรับรองฯสาหรับ E-Mail
Certification Authority
1
Expired ? Revoked?
3 2
เอก
Send
โท
�ตัวอย่าง : การส่ง E-mail พร้อมลงลายมือชื่อดิจิตอล (Signing)
�ตัวอย่าง : การรับ E-mail ที่มีการลงลายมือชื่อดิจิตอล
�ตัวอย่าง : E-mail ที่มีการลงลายมือชื่อดิจิตอลมา
�ตัวอย่าง : E-mail ที่มีการลงลายมือชื่อดิจิตอลมา
�การส่ง E-Mail แบบเข้ารหัสข้อมูล (Encryption)
�การรับ E-Mail ที่ได้มีการเข้ารหัสข้อมูล (Encryption)
�กรณีผู้รับ E-Mail มีใบรับรองฯที่ถูกต้องติดตั้งอยู่
�กรณีผู้รับ E-Mail ไม่มีใบรับรองฯที่ถูกต้องติดตั้งอยู่
�การส่ง E-Mail แบบ Sign & Encrypt
�คาเตือนเมื่อมีสิ่งผิดปกติเกิดขึ้นกับ E-Mail
? Message has been tampered with ? You have not yet made a decision about whether to trust the digital ID used to sign this message ? The digital ID has expired
? The sender and digital ID did not have the same mail address
? The certificate has been revoked ? There are some problems with this certificate
�ขอบคุณ
บริษัท เอเซิร์ทส์ จากัด โทร. 02 682-6414
�