Show TOT CA ช่วยให้คุณมั่นใจในการทำธุรกรรมด้วยใบรับรองอิเล็กทรอนิกส์ใบรับรองอิเล็กทรอนิกส์ทำธุรกรรมผ่านอินเทอร์เน็ตได้อย่างมั่นใจ ให้ ทีโอที ดูแลคุณTOT CA (Certificate Authority) บริการออกใบรับรองอิเล็กทรอนิกส์ ให้แก่บุคคลทั่วไป นิติบุคคล และ องค์กรต่าง ๆ โดยการใช้เทคโนโลยี PKI (Public Key Infrastructure) เพื่อความมั่นใจในการรักษาความปลอดภัย ในการธุรกรรมของคุณ ประเภทการให้บริการ
รายละเอียดสินค้าและบริการของ TOT CA
ความมั่นคงปลอดภัยของระบบ TOT CA มาตรฐานที่ใช้ในระบบ TOT CA งานนำเสนอเรื่อง: "องค์กรออกใบรับรองอิเล็กทรอนิกส์ Certificate Authority"— ใบสำเนางานนำเสนอ:
1
องค์กรออกใบรับรองอิเล็กทรอนิกส์ Certificate Authority 2 จุดอ่อนของเทคโนโลยี PKI
3 จากรูป สมมุติถ้านายดำต้องการติดต่อกับนายแดงเพื่อทำธุรกรรมทางอิเล็กทรอนิกส์ ทั้งนายดำและนายแดงต่างตกลงกันว่าจะมีแค่เราสองคนเท่านั้นที่อ่านข้อมูลที่รับส่งกันได้
แต่นายเหลืองต้องการที่จะรู้ว่าข้อความที่นายดำและนายแดงติดต่อกันคืออะไร ก่อนอื่นนายดำจะต้องส่งกุญแจสาธารณะของตนไปให้กับนายแดงก่อน เพื่อที่จะให้นายแดงใช้กุญแจนี้ทำการเข้ารหัสข้อมูลของตนเอง ก่อนที่จะส่งไปให้นายดำ นายเหลือง คนที่จ้องจะเข้ามาแอบอ่านข้อมูลที่ติดต่อกันระหว่างนายดำกับนายแดง รู้ว่านายดำจะต้องส่งกุญแจสาธารณะของตนให้กับนายแดง และนายแดงก็ต้องกุญแจสาธารณะของตนให้กับนายดำด้วย (นายเหลืองรู้จุดอ่อนของเทคโนโลยี Public Key คือไม่มีหน่วยงานรับรอง
ที่ใครก็ได้จะไปตรวจสอบว่าใครคือเจ้าของกุญแจสาธารณะ) นายเหลืองจึงจ้องดักจับกุญแจสาธารณะของทั้งนายดำและนายแดงเอาไว้ก่อน
4 หลังจากที่นายเหลืองดักจับกุญแจสาธารณะของนายดำได้แล้ว นายเหลืองก็สร้างกุญแจคู่ใหม่ขึ้นมา 1 คู่ สมมุติว่าชื่อเหลืองดำ (ประกอบด้วยกุญแจส่วนตัวเหลืองดำ และกุญแจสาธารณะเหลืองดำ)
เพื่อเอาไว้ใช้งานแทนกุญแจคู่จริงของนายดำ ดังนั้น ขณะนี้ กุญแจสาธารณะอันจริงของนายดำ ถูกนายเหลืองเก็บไว้แล้ว นายเหลืองส่งกุญแจสาธารณะเหลืองดำไปให้นายแดง นายแดง เมื่อได้รับกุญแจสาธารณะเหลืองดำจากนายเหลือง ก็คิดว่ากุญแจสาธารณะที่ได้รับมานี้เป็นกุญแจสาธารณะของนายดำจริง ๆ นายเหลือง ซึ่งคอยดักจับกุญแจสาธารณะของนายแดงเอาไว้ด้วย สร้างกุญแจคู่ใหม่อีก 1 คู่ สมมุติชื่อ เหลืองแดง (ประกอบด้วยกุญแจส่วนตัวเหลืองแดง และกุญแจสาธารณะเหลืองแดง) เหมือนเดิม
คือนายเหลืองส่งกุญแจสาธารณะเหลืองแดงไปให้นายดำ นายดำ เมื่อได้รับกุญแจสาธารณะเหลืองแดงจากนายเหลือง ก็คิดว่ากุญแจสาธารณะที่ได้รับมานี้เป็นกุญแจสาธารณะของนายแดงจริง ๆ
5 จากรูปต่อไปนี้
จะเห็นว่าตอนนี้กุญแจสาธารณะของทั้งนายดำและนายแดง ถูกดักจับเอาไว้อยู่ที่นายเหลืองคนเดียว ส่วนนายดำก็จะมีกุญแจสาธารณะเหลืองแดงที่นายเหลืองสร้างขึ้น ซึ่งนายดำก็ไม่รู้ว่าจะไปตรวจสอบได้ที่ใดว่ากุญแจสาธารณะที่ตนถืออยู่นี้ เป็นของนายแดงจริง ๆ หรือไม่ ส่วนนายแดงเองก็จะมีกุญแจสาธารณะเหลืองดำที่นายเหลืองสร้างขึ้น ซึ่งนายแดงก็ไม่รู้ว่าจะไปตรวจสอบได้ที่ใดว่า กุญแจสาธารณะที่ตนถืออยู่นี้ เป็นของนายดำจริง ๆ หรือไม่ จากรูป เรามาดูกันว่า
นายเหลืองสามารถแอบอ่านข้อมูลลับที่ติดต่อกันระหว่างนายดำกับนายแดงได้อย่างไร 6
7 นายดำส่งข้อมูล HELLO ไปให้นายแดง โดยก่อนส่ง นายดำได้ทำการเข้ารหัสข้อมูลเพื่อป้องกันไม่ให้คนอื่นดักรับและแอบอ่านข้อมูลระหว่างทางได้ นายดำจึงเอากุญแจสาธารณะเหลืองแดง
(ซึ่งนายดำคิดว่ากุญแจสาธารณะเหลืองแดง เป็นกุญแจสาธารณะของนายแดง) สมมุติว่า HELLO เมื่อเข้ารหัสแล้ว ได้คำว่า ออกมาแทน นายดำส่งข้อมูลที่เข้ารหัสแล้วไปให้นายแดง นายเหลืองซึ่งคอยดักรับข้อมูลของนายดำกับนายแดงอยู่ก่อนหน้านี้แล้ว ก็ดักจับข้อมูลที่เข้ารหัสไว้ได้ และใช้กุญแจส่วนตัวเหลืองแดงที่ตัวเองสร้างขึ้นถอดรหัส ออกมาเป็นคำว่า HELLO หลังจากที่นายเหลืองรู้แล้วว่าข้อมูลลับที่นายดำต้องการส่งให้นายแดงคือคำว่า HELLO นายเหลืองก็จะส่งข้อมูลนี้ไปให้นายแดงต่อไป
โดยก่อนที่จะส่ง นายเหลืองต้องเข้ารหัสข้อมูลนี้เสียก่อนด้วยกุญแจส่วนตัวเหลืองดำที่ตนได้สร้างไว้ก่อนหน้านี้ (สมมุติว่า HELLO เมื่อถูกเข้ารหัสด้วยกุญแจส่วนตัวเหลืองดำแล้ว ได้คำว่า ออกมา)
8 นายเหลืองส่งข้อมูลที่เข้ารหัสแล้วไปให้นายแดง
9 ทำไมนายเหลืองถึงสามารถแอบอ่านข้อมูลความลับที่ใช้ติดต่อกันระหว่างนายดำกับนายแดง โดยที่ทั้งสองคนนั้นไม่ทราบเลยว่าข้อมูลความลับของตนเองได้ถูกนายเหลืองเข้ามาแอบอ่าน และทำอย่างไร เราจึงสามารถป้องกันนายเหลืองได้ วิธีแก้ไข คือจะต้องทำให้กุญแจสาธารณะทั้งของนายดำและนายแดง
สามารถพิสูจน์ได้ว่าเป็นของนายดำและนายแดงจริง กล่าวคือหากนายแดงได้รับกุญแจสาธารณะมาจากนายดำ นายแดงต้องพิสูจน์ได้ว่ากุญแจสาธารณะที่ได้มานั้นเป็นกุญแจสาธารณะของนายดำจริง ๆ ไม่ได้เป็นของนายเหลืองที่ทำหลอกขึ้นมา วิธีที่ใช้สำหรับตรวจสอบกุญแจสาธารณะนั้น จะต้องตั้งองค์กรหนึ่งขึ้นมาเพื่อทำหน้าที่รับรองกุญแจสาธารณะให้กับนายดำและนายแดง โดยองค์กรที่ทำหน้าที่ลักษณะนี้จะถูกรู้จักในนามว่าองค์กรให้บริการออกใบรับรอง (Certification Authority) หรือ CA เมื่อมีองค์กรนี้ขึ้นมา
นายแดงก็สามารถพิสูจน์ได้ว่ากุญแจสาธารณะของนายดำเป็นของนายดำจริง ๆ โดยการสอบถามมาที่องค์กร CA นี้ได้โดยตรง
10 วิธีการที่ใช้ในการตรวจสอบกุญแจสาธารณะ คือการตั้งองค์กรขึ้นมาทำหน้าที่รับรองกุญแจสาธารณะให้กับคู่กรณี
โดยองค์กรที่ทำหน้าที่ลักษณะนี้ รู้จักกันในนามว่า องค์กรให้บริการออกใบรับรอง (Certification Authority) หรือ CA ซึ่งทำหน้าที่เก็บกุญแจสาธารณะไว้ในฐานข้อมูล และเปิดเผยกุญแจสาธารณะต่อสาธารณะชนเพื่อเข้ามาตรวจสอบว่าใครเป็นเจ้าของกุญแจได้ สรุปได้ว่า โครงสร้างของเทคโนโลยีกุญแจสาธารณะ (PKI) ที่จะนำมาใช้ในการทำธุรกรรมอิเล็กทรอนิกส์ได้นั้น จะต้องมีบุคคลที่เกี่ยวข้องประกอบไปด้วย ลายมือชื่อดิจิทัล ซึ่งได้มาจากการนำเอาเทคโนโลยีการเข้ารหัสแบบ Public Key กับเทคโนโลยี Message Digest มาใช้ร่วมกัน
จากนั้นต้องมีองค์กรให้บริการออกใบรับรองหรือ CA มาใช้เพื่อรับรองความสัมพันธ์ของผู้ลงลายมือชื่อกับเจ้าของตัวจริง และสุดท้ายก็คือคู่กรณีที่เกี่ยวข้อง (Relaying Party) ในการทำธุรกรรมอิเล็กทรอนิกส์ด้วย สรุปสิ่งที่เกี่ยวข้องกัน ดังรูปต่อไปนี้
11 รูปตัวอย่างสิ่งที่เกี่ยวข้องกับเทคโนโลยี่กุญแจสาธารณะ (PKI) ที่จะต้องมีองค์กรรับรองกุญแจสาธารณะ
12 เทคโนโลยี PKI
และผู้ประกอบการออกใบรับรอง
13 ใบรับรอง (Certificate)
14 หน้าที่หลักของ CA คือออกใบรับรองดิจิทัล (Digital Certificate) ซึ่งในใบรับรองดิจิทัลจะมีกุญแจสาธารณะของผู้ส่งเก็บอยู่ในนี้ด้วย
ทำให้ผู้รับสามารถที่จะตรวจสอบกุญแจสาธารณะที่อยู่ในใบรับรองดิจิทัลอันนี้กลับไปยังองค์กรที่ออกใบรับรองฉบับนี้ ก็จะทำให้ผู้รับ ทราบได้ทันทีว่ากุญแจสาธารณะนี้เป็นของบุคคลคนนั้นจริงๆ นอกเหนือจากกุญแจสาธารณะ ใบรับรองดิจิทัลยังเก็บข้อมูลอื่น ๆ ตามมาตรฐาน X.509 version 3
15 หมายเลขของใบรับรอง (serial number)
ต้องไม่ซ้ำกัน 16
17 ประเภทของใบรับรองที่ออกโดย CA
18 นอกจากนี้ยังสามารถใช้รับประกันช่องทางสื่อสารแบบปลอดภัยระหว่างเว็บไซต์กับบุคคลทั่วไปด้วย
19 หรือเครื่องแม่ข่ายได้ 20
ผู้ประกอบการรับรอง (Certification Authority) 21 ขั้นตอนการขอ
และออกใบรับรอง 22 23 24
25
การให้บริการของหน่วยงานออกใบรับรอง (Services provided by CA)
26 1. บริการที่เกี่ยวข้องกับการออกใบรับรอง (Certification Management Service)
27 1.4
การเก็บต้นฉบับใบรับรอง(Certificate Archiving) คือบริการที่ CA ทำการเก็บต้นฉบับของใบรับรองทั้งหมดของบุคคลทั่วไป เพราะใบรับรองของแต่ละบุคคลจะมีวันหมดอายุด้วย ดังนั้นกรณีที่ใบรับรองหมดอายุ บุคคลที่ต้องการจะใช้ใบรับรองของตนต่อไป จะต้องทำการต่ออายุใบรับรองใหม่ ซึ่ง CA จะต้องการเก็บข้อมูลของใบรับรองเดิมและใบรับรองใหม่ด้วย เพื่อให้เอกสารที่เคยลงลายมือชื่อดิจิทัลกำกับอยู่ซึ่งใช้ใบรับรองเดิมที่หมดอายุไปแล้ว ยังสามารถเชื่อถือได้อยู่เหมือนเดิม 1.5 กำหนดนโยบายการออกและอนุมัติใบรับรอง(Policy
Creation/Approval) คือบริการที่ CA ทำการกำหนดนโยบายหรือกฎเกณฑ์ต่างๆว่าในการออกหรือการอนุมัติใบรับรอง เพื่อให้ใบรับรองที่ตรงตามมาตรฐานและเป็นที่น่าเชื่อถือ 28
2. บริการเสริมต่าง ๆ (Ancillary Services) 29 30 แนวปฏิบัติตามมาตรา 27 และมาตรา 28 31 แนวปฏิบัติตามมาตรา 29 บทบัญญัติในมตรา 29 กำหนดเกี่ยวกับระบบ วิธีการ
และบุคคลากรที่เชื่อถือได้ขององค์กรที่ทำหน้าที่ออกใบรับรอง ทั้งนี้ มาตรา 29 ได้บัญญัติหลักเกณฑ์ที่ใช้ในการพิจารณาความน่าเชื่อถือ (Trustworthiness) ของผู้ประกอบการออกใบรับรอง ดังรายการต่อไปนี้ สถานภาพทางการเงิน บุคคลากร และสินทรัพย์ที่มีอยู่ คุณภาพของฮาร์ดแวร์ และซอฟต์แวร์ที่ใช้ วิธีการออกใบรับรอง การขอใบรับรอง และการเก็บรักษาข้อมูลของผู้ขอใช้บริการ การจัดให้มีข้อมูลเกี่ยวกับเจ้าของลายมือชื่อที่ปรากฏในใบรับรอง ของคู่กรณีทั้ง 2 ฝ่าย
การบริการเสริม ที่ผู้ประกอบการออกใบรับรองต้องจัดให้มี เช่นวิธีการต่ออายุใบรับรอง การยกเลิกใบรับรอง เป็นต้น 32 แนวปฏิบัติตามมาตรา 30 บทบัญญัติในมาตรา 30
กำหนดเกี่ยวกับแนวปฏิบัติของคู่กรณี โดยมีหลักการสำคัญที่ว่า คู่กรณีต้องใช้ความระมัดระวังตามสมควรในการตรวจสอบความน่าเชื่อถือของลายมือชื่ออิเล็กทรอนิกส์ เช่นการตรวจสอบความสมบูรณ์ การพักใช้ หรือการเพิกถอนใบรับรอง (กล่าวคือ คู่กรณีสามารถตรวจสอบรายละเอียดอะไรได้บ้าง และควรจะต้องตรวจสอบด้วย)
33 การรับรองใบรับรอง และลายมือชื่ออิเล็กทรอนิกส์ต่างประเทศ (มาตรา 31)
34 การรับรองใบรับรอง และลายมือชื่ออิเล็กทรอนิกส์ต่างประเทศ (มาตรา 31)
35 สรุปคำอธิบายการให้บริการออกใบรับรองอิเล็กทรอนิกส์
36 ก่อนการให้บริการ ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำหน้าที่ตรวจสอบตัวตนของผู้ใช้บริการเสียก่อนว่าเป็นบุคคลนั้นจริงหรือไม่ จากนั้นจึงให้ผู้ใช้บริการสร้างข้อมูลอิเล็กทรอนิกส์ด้วยเทคโนโลยี PKI ขึ้นมาชุดหนึ่ง
เรียกว่ากุญแจคู่ ประกอบด้วย “กุญแจส่วนตัว” ซึ่งผู้ใช้บริการต้องเก็บรักษาไว้เป็นความลับเพื่อใช้ในการสร้างลายมือชื่อดิจิทัล หรือนำไปใช้ถอดรหัสข้อความใดก็ตามที่มีการเข้ารหัสเพื่อรักษาความลับของข้อความนั้นไว้ “กุญแจสาธารณะ” ซึ่งสามารถนำไปใช้ในการตรวจสอบลายมือชื่อดิจิทัล หรือนำไปใช้ในการเข้ารหัสข้อความที่ต้องการรักษาความลับ หลังจากนั้น ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ก็จะนำข้อมูลส่วนบุคคลเท่าที่สามารถเปิดเผยได้
และกุญแจสาธารณะของผู้ใช้บริการไปบันทึกไว้ในใบรับรองอิเล็กทรอนิกส์และออกให้กับผู้ใช้บริการเพื่อใช้ในการยืนยันตัวตน
37 ด้วยเหตุนี้ ในการให้บริการของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ จึงต้องจัดทำแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) รวมทั้งมาตรการต่างๆ
ไว้เป็นจำนวนมาก และเพื่อสร้างความน่าเชื่อถือยิ่งขึ้นให้กับการให้บริการออกใบรับรองอิเล็กทรอนิกส์
38 บทสรุป ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เป็นบุคคลที่สาม ที่ทำหน้าที่ สร้างกุญแจคู่ตามคำขอของผู้ขอใช้บริการ ออกใบรับรองอิเล็กทรอนิกส์ ยืนยันตัวบุคคลของผู้ขอใช้บริการ จัดเก็บกุญแจสาธารณะในฐานข้อมูล เปิดเผยกุญแจสาธารณะต่อสาธารณชนที่ติดต่อทางเครือข่าย
ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะตามคำขอของบุคคลทั่ว ๆ ไป ให้บริการอื่น
39 ตัวอย่าง ขั้นตอนการขอใบรับรองจาก
CA 40 6. เมื่อผู้ขอใบรับรองเข้าไปในเว็บไซต์ตามที่ผู้ประกอบการแจ้งมา และใส่ PIN CODE แล้ว ซอฟต์แวร์จะทำการสร้าง กุญแจส่วนตัวและกุญแจสาธารณะ โดยก่อนทำการสร้าง ซอฟต์แวร์จะให้ผู้ใช้ใส่ password เพื่อใช้ในการป้องกันกุญแจส่วนตัว
จากนั้นซอฟต์แวร์จะทำการส่งกุญแจสาธารณะไปยังผู้ประกอบการออกใบรับรองอิเล็กทรอนิกส์ เพื่อให้ผู้ประกอบการออกใบรับรองฯทำการรับรองกุญแจสาธารณะนั้น และออกใบรับรองให้แก่ผู้ขอ
41 การประกอบธุรกิจบริการ “ผู้ออกใบรับรอง” (Certificate Authority) |