Rủi ro & Biện pháp phòng tránh rủi ro trong thương mại điện tử

Rủi ro về dữ liệu đối với người bán:

Thay đổi địa chỉ nhận đối với chuyển khoản ngân hàng và do vậy chuyển khoản này sẽ được chuyển tới một tài khoản khác của người xâm nhập bất chính .

Nhận được những đơn đặt hàng giả mạo . Trong trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán hàng trực tuyến thườn không có cách nào để xác định rằng thực chất hàng hóa đã được giao đến tay khách hàng hay chưa và chủ thẻ tín dụng có thức sự là người đã thực hiện đơn đặt hàng hay không.

Rủi ro về dữ liệu đối với người mua:

Thông tin bí mật về tài khoản bị đánh cắp khi tham gia giao dịch thương mại điện tử. Thông tin cá nhân của họ có thể bị chặn và đánh cắp khi họ gửi đi một đơn đặt hàng hay chấp nhận chào hàng

Hiện tượng các trang web giả mạo, giả mạo địa chỉ Internet (IP Spoofing), phong tỏa dịch vụ (DOS – denial of service), và thư điện tử giả mạo của các tổ chức tài chính ngân hàng

Tin tặc tấn công và các website thương mại điện tử, truy cập các thông tin về thẻ tín dụng đã không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm quyền riêng tư đối với các thông tin cá nhân của khách hàng.

Theo tạp chí bưu chính viễn thông tháng 4 năm 2000, ở Mỹ hiện có đến 60% số người chưa nối mạng Internet tỏ ý muốn nối mạng nếu như các bí mật riêng của họ được bảo vệ . Trên 50% số người nối mạng, song chưa mua hàng trên Internet là do họ lo ngại về sự xâm phạm đến các dữ liệu về họ

Rủi ro về dữ liệu đối với chính phủ

Các hacker có nhiều kỹ thuật tấn công các trang web này nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh “sập” khiến các trang web này ngừng hoạt động.

Đặc biệt một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc tương tự như vậy. Điển hình là vụ tấn công của tin tặc Hàn Quốc vào các website của Bộ giáo dục Nhật Bản (tháng 4 – 2001) nhằm phản đối những cuốn sách giáo khoa phản ánh sai lịch sử do Nhật Bản xuất bản.

Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)

Tin tặc hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy cập trái phép vào một website hay hệ thống máy tính. Thực chất mục tiêu của các hacker rất đa dạng. Có thể là hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ website trên phạm vi toàn cầu. Thí dụ như ngày 1-4-2001, tin tặc đã sử dụng chương trình phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như hãng hoạt hình Walt Disney, Nhật báo phố Wall …đã phải gánh chịu hậu quả.

Rủi ro về gian lận thẻ tín dụng

Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống. Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”(hay bị lộ) các thông tin liên quan đến thẻ tín dụng hoặc các thông tin giao dịch sử dụng thẻ tín dụng trong quá trình diễn ra giao dịch.

Sự khước từ phục vụ (DOS – Denial of Service, DDoS)

Sự khước từ phục vụ (DOS-Denial of Service) của một website là hậu quả của việc tin tặc sử dụng những giao thông vô ích làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng (dưới dạng yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ.

Những cuộc tấn công DOS có thể là nguyên nhân khiến cho mạng máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các website thương mại điện tử náo nhiệt như eBay.com hay Buy.com, những tấn công này cũng đồng nghĩa với những khoản chi phí vô cùng lớn vì trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch mua bán.

Tháng 2-2000, các vụ tấn công DOS từ bọn tin tặc là nguyên nhân dẫn đến ngừng hoạt động của hàng loạt website trên thế giới trong nhiều giờ như eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3.5 giờ, E-Trade gần 3 giờ, Yahoo và Buy.com và ZDNet cũng ngừng hoạt động 3 đến 4 giờ. Ngay cả người khổng lồ Microsoft cũng đã từng phải gánh chịu hậu quả của những cuộc tấn công này. Cho đến nay, cả thế giới đang hi vọng tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.

DdoS : Sử dụng số lượng lớn các máy tính tấn công vào một mạng từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ

Tấn công DDoS

Kẻ trộm trên mạng (sniffer)

Kẻ trộm trên mạng (sniffer) là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện ra những yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phạm tội, nó sẽ trở thành các mối hiểm hoạ lớn và rất khó có thể phát hiện.

Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu.

Rủi ro vì mất cơ hội kinh doanh

Nhãn hiệu Cà phê Trung Nguyên của Việt Nam khó không được giao dịch trên mạng Internet bởi vì đã có người đăng ký bản quyền. Hay tên giao dịch của sàn giao dịch hàng thủ công  Mỹ nghệ của VCCI lúc đầu là www.handivn.com.vn đã phải thay đổi lại thành vn.craft.com.vn vì tên ban đầu đã trùng với tên giao dịch của một trang web thuộc một công ty trên thế giới cũng đang kinh doanh trên mạng.

Sở du lịch tỉnh Quảng Ninh không đăng ký được www.halongbay.com vì đã bị đăng ký mất tên miền này, do đó phải đăng ký Vịnh Hạ Long với một địa chỉ rất dàihttp:halongbay.halong.net

Rủi ro do sự thay đổi của công nghệ

Năm 2002, khi Internet Explorer 6.0 của Microsoft ra đời công việc kinh doanh trên mạng của www.VideoHome.com ngưng trệ do phầm mềm để download phim của hãng không tương thích với trình duyệt mới này. Ước tính từ lúc IE 6.0 ra đời cho đến khi công ty thay thế phần mềm tải phim mới thiệt hại lên tới 1,2 triệu USD. Ngược lại, FireFox ra đời với chuẩn khác với IE cũng là nguy cơ cho các website thương mại điện tử vốn chạy tốt trên IE nhưng chưa chắc đã chạy tốt trên Firefox và ngược lại

Rủi ro liên quan đến thông tin cá nhân

Một số tin tặc còn có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Năm 1999, cô Sarah Clarson ở bang California đã bị bắt giam vì một lý do mà cô không hề làm. Số chứng minh cũng như các dấu hiệu định dạng của cô đã bị thay đổi và gán cho một nữ tội phạm đang bị truy nã.

Tấn công quá khích

Tháng 2/2000, một tin tặc 15 tuổi tự xưng là Mafiaboy tấn công các địa chỉ Internet của Yahoo, Dell, CNN, Amazon.com và eBay. Virus của người này đã tấn công máy tính của những hãng trên bằng cách tạo ra lệnh gửi các yêu cầu giả liên tục trong suốt 6 ngày, làm tê liệt hệ thống trong 16 giờ liền. Theo ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, đó còn chưa kể những thiệt hại về mặt uy tín của hãng đối với khách hàng

Các hacker khai thác các lỗ hổng của các hệ điều hành như Windows2000, Windows Server 2000 và các bộ Office nổi tiếng của hãng để tạo ra các virus có sức công phá và mức độ lây lan kinh khủng. Vì các phần mềm của hãng Microsoft được sử dụng rộng rãi nên hậu quả đối với các mạng máy tính trên toán thế giới là rất lớn.  Chẳng hạn như vào tháng 7/2001, Virus CodeRed tấn công phần mềm mạng của Microsoft. Con bọ này phát hiện điểm yếu trong hệ thống máy tính và tự nhân bản trong quá trình truy nhập. Tổng thiệt hại trong sự cố mà nó gây ra lên đến 2,6 tỷ

Các giải pháp không mang tính kỹ thuật

Hiện nay các hãng bảo hiểm chỉ nhận bảo hiểm một số lượng rủi ro hạn chế trong TMĐT. Ví dụ như AIG NetAdvantage Suite^TM hạn chỉ nhận bảo hiểm 15 loại rủi ro. Vì vậy các doanh nghiệp luôn phải tự lực và chủ động trong việc phòng tránh rủi ro cho chính mình và khách hàng của mình. (Theo www.aig.com) Tuy nhiên, theo sản phẩm AIG NetAdvantage SuiteTMthì những rủi ro sau là những rủi ro Thương mại điện tử được hãng AIG nhận bảo hiểm.1.   Nội dung trang web (Web Content Liability): Các rủi ro về nội dung của Websites trên mạng Internet bao gồm những rủi ro về vi phạm bản quyền, thương hiệu, sở hữu trí tuệ, xâm phạm các thông tin cá nhân và gây ảnh hưởng xấu tới uy tín mà xuất phát từ những nội dung được trình bày trên trang web Thương mại điện tử. 2.    Rủi ro dịch vụ Internet chuyên nghiệp (Internet Professional Liability): Những rủi ro do mắc lỗi trong các dịch vụ Internet chuyên nghiệp như cung cấp dịch vụ ứng dụng Internet-ASP (Application Service Providers), cung cấp dịch vụ Internet-ISP (Internet Service Providers), dịch vụ quản lí và an ninh mạng, dịch vụ thuê máy chủ, đăng kí tên miền, các dịch vụ về triển khai giao dịch Thương mại điện tử, dịch vụ tìm kiếm trên mạng và cho thuê cổng web điện tử. 3.  Rủi ro an ninh mạng (Network Security Liability) Những rủi ro an ninh mạng máy tính được bảo hiểm bị xâm phạm như những truy cập và sử dụng trái  phép, mất cắp hoặc tiết lộ thông tin cá nhân, lây lan virus máy tính hoặc bị tấn công từ chối phục vụ. Những tổn thất được bồi thường chỉ bao gồm tổn thất do bên thứ ba kiện đòi bồi thường

4.  Rủi ro bị mất tài sản thông tin (Information Assets Theft) bao gồm những rủi ro gây ra những tổn thất về dữ liệu, các nguồn hệ thống máy tính và tài sản thông tin như số thẻ tín dụng, các thông tin về khách hàng, kể cả băng thông của đường truyền do những cuộc tấn công trên mạng

5.   Rủi ro bị đánh cắp  danh phận(Indenty theft), rủi ro thường do các hacker tiến hành thâm nhập vào máy tính cá nhân phá khoá mã bí mật và dùng danh phận của người bị đánh cắp vào các mục đích xấu. Nạn nhân thường là những người nổi tiếng và giàu có

6. Rủi ro về gián đoạn kinh doanh (Business Interruption)do mạng máy tính của người được bảo hiểm ngừng hoạt động hoặc hoạt động đình trệ, do một nguyên nhân an ninh mạng bị phá vỡ. Công ty Bảo hiểm sẽ bồi thường cho người được bảo hiểm những thu nhập bị mất và các chi phí phát sinh khác như  chi phí kiện tụng và chi phí điều tra cũng như các thiệt hại gián đoạn kinh doanh khác liên quan. Ngoài ra, các chi phí nhằm khôi phục hoạt động của doanh nghiệp được công ty Bảo hiểm bồi thường tối đa thêm 100.000$

7. Rủi ro bị tống tiền (Cyber Exortion) qua mạng bao gồm các rủi ro bị đe doạ tấn công mạng hay trang web, truyền virus, tiết lộ thông tin về số thẻ tín dụng, thông tin cá nhân...Công ty Bảo hiểm sẽ bồi thường các chi phí  dàn xếp với bọn tống tiền và chi phí điều tra

8.  Rủi ro khủng bố máy tính (Cyber Terrorism) được quy định rõ trong luật chống khủng bố của Hoa Kì và theo Luật bảo hiểm rủi ro khủng bố 2002 do tống thống Bush kí. Công ty Bảo hiểm sẽ bồi thường các thiệt hại cho cả bên thứ nhất và bên thứ ba bao gồm các thiệt hại về dữ liệu, gián đoạn kinh doanh. 9. Rủi ro về mất uy tín (Reputation) do các nguyên nhân như tấn công từ chối dịch vụ, bị lộ thông tin cá nhân của khách hàng...Công ty Bảo hiểm sẽ hỗ trợ một khoản tiền 50.000$ mà không cần một điều kiện nào cả

10. Rủi ro bị phạt (Punitive, Examplary risks) hoặc buộc phải bồi thường do

Các phán quyết của tòa án hay trọng tài

11. Rủi ro do bị khiếu nại (Claim Risks) đòi bồi thường vật chất hoặc phi vật chất như công khai xin lỗi, huấn thị…

12. Rủi ro bị tấn công (Computer Attacks Risks)vào trang web hay mạng máy tính như truy cập hoặc sử dụng trái phép hệ thống máy tính của doanh nghiệp, tấn công từ chối dịch vụ, nhiễm các loại virus hoặc sâu máy tính. 13. Rủi ro bị mất cắp (Physical Theft of Data) bị mất cắp các hệ thống maý tính hay phần cứng có chứa các thông tin quan trọng, các hệ thống xử lý giao dịch... 14.  Rủi ro thưởng tiền (Crimminal Rewards Risk)cho những thông tin hay việc truy bắt hay buộc tội những kẻ tội phạm tin học…Công ty Bảo hiểm sẽ trả tối đa 50.000$ cho rủi ro này một cách vô điều kiện. Hiện nay, sản phẩm bảo hiểm AIG NetAdvantage SuiteTM  chia ra làm 7 loại sản phẩm với các loại rủi ro được bảo hiểm khác nhau. Trường hợp của Five Partners Asset Management: Joe Oquendo là một chuyên gia bảo mật máy tính của collegeboardwalk.com, người được phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five Partners Asset Management, một nhà đầu tư của collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi collegeboardwalk.com phá sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này.             Từ trường hợp này cho thấy, nguy cơ đe doạ lộ bí mật thông tin từ phía trong doanh nghiệp rất lớn. Trong bất kỳ trường hợp nào, các công ty tham gia thương mại điện tử đều phải có biện pháp thiết thực nhằm bảo vệ những thông tin không bị đánh cắp từ cả bên ngoài và trong nội bộ nhân viên công ty. Trường hợp của công ty Tower Insurance (www.tower.co.nz)

Công ty Tower Insurance (www.tower.co.nz) là công ty tài chính đầu tiên ở New Zealand mở trang Web. Mới đầu công ty chỉ mới giới thiệu về những hoạt động bảo hiểm và tài chính của công ty mình cho đối tác. Vài tháng sau, công ty AMP (www.amp.co.nz) cũng giới thiệu trang Web của mình. Bên cạnh những nội dung giống Website của công ty Tower, AMP còn cung cấp những dịch vụ tài chính “trực tuyến” cho khách hàng cho nên đã thu hút được đông đảo khách hàng. AMP đã trở thành công ty đầu tiên ở New Zealand bán bảo hiểm ô tô qua mạng. Giờ đây Tower - người từng đi tiên phong trong thương mại điện tử lại phải đuổi theo công ty AMP

Ví dụ này cho thấy nếu không biết phát triển một cách hợp lý và nhanh chóng cập nhật những công nghệ mới, các công ty đi sau trong lĩnh vực thương mại điện tử hoàn toàn có thể đuổi kịp và vượt xa hơn những công ty đi tiên phong. Giải pháp sử dụng phần mềm AntiFraud, doanh nghiệp hoàn toàn có thể sử dụng với chi phí là dưới 10 USD một tháng, nhưng phần mềm này rất hạn chế. Phần mềm này cung cấp:

- Một chương trình cung cấp tự động miễn phí các địa chỉ chuyển tiếp thư điện tử hay địa chỉ web. AntiFraud cung cấp cho khách hàng chương trình cho phép tự động kiểm tra địa chỉ thư điện tử của người mua dựa vào danh sách “cờ đỏ” (“Red Flag”). Hiện nay danh sách này có khoảng 2000 địa chỉ đã được đăng ký và được cập nhật thường xuyên

- Một chương trình theo dõi IP (IP tracking) sẽ tự động ghi lại các địa chỉ IP của những máy tính mà các đơn đặt hàng được thiết lập trên đó. Tuy nhiên có một điểm hạn chế vì đối với một nhà cung cấp dịch vụ Internet điển hình, họ có thể tạo ra các địa chỉ IP khác nhau cho mỗi lần khách hàng vào máy và thực hiện giao dịch chính vì vậy, nhà cung cấp dịch vụ Internet (Internet Service Provider) mới là người kết thúc việc theo dõi của doanh nghiệp chứ không phải người sử dụng. - Một chương trình cảnh báo gian lận tức thời sẽ cho phép các thành viên phát hiện ra sự gian lận của nhau.

- Một bản tin được gửi đều đặn : Giải pháp hệ thống kiểm tra IP (IVS) của nhà cung cấp nổi tiếng CyberSource (bao gồm cả khả năng xử lý thanh toán) với chi phí thiết lập là 1495 USD, phí cho từng giao dịch là 0,39 USD, cùng với phí duy trì hàng tháng là 195 USD

CyberSource tuyên bố rằng hệ thống IVS của họ có khả năng giảm mức độ gian lận xuống còn 0,5% trị giá các giao dịch.IVS được xây dựng dựa trên động cơ “trí khôn nhân tạo” và hoạt động nhờ và sự phân tích những nét đặc trưng của mỗi giao dịch bao gồm: thời gian đặt hàng, địa chỉ IP, vị trí địa lý, nơi giao hàng và rất nhiều yếu tố khác … Nó bao gồm tất cả 150 giao dịch với hàng loạt các chương trình kiểm tra dữ liệu, phân tích sự tương quan, phân tích độ nhạy cảm của các giao dịch hiện thời so với các giao dịch đã từng có gian lận. Sau đó, hệ thống IVS sẽ cân nhắc đưa ra kết quả và so sánh chúng với kết quả dự đoán trước của các nhà kinh doanh để từ đó khẳng định giao dịch có thể thực hiện hay huỷ bỏ. Các doanh nhân có thể xác định được mức độ rủi ro mà họ có thể chấp nhận. Họ có thể thoả mãn được thái độ mua hàng của khách hàng đối với những sản phẩm đặc biệt. Tuy nhiên, chi phí sẽ là hơi cao so với các doanh nghiệp nhỏ, giải pháp CyberSource cung cấp những lợi ích sau:

- Nhanh và tiện lợi, chỉ trong vòng 5 giây kết quả sẽ được chuyển tới khách hàng.

- Phát hiện ra sự gian lận trước khi nó xảy ra bởi việc định giá mỗi đơn đặt hàng, và sử dụng hàng triệu kết quả của các giao dịch thành công cũng như không thành công để khắc phục hiện trạng giả mạo của những giao dịch thẻ tín dụng có gian lận trong tương lai.

-  Gián tiếp hay trực tiếp giảm chi phí của các giao dịch có sự gian lận (ví dụ như chi phí hoàn trả, tiền phạt, tỷ lệ chiết khấu cao) và hơn thế nữa là chi phí hàng tháng cho các nhân viên thực hiện công việc kiểm tra chống gian lận. - Hỗ trợ thương mại điện tử 24 giờ trong ngày, 7 ngày trong tuần. - Dễ dàng khắc phục được gian lận ngay cả khi khối lượng đơn đặt hàng lớn. - Hệ thống “trí khôn nhân tạo” phát triển phù hợp với từng giao dịch, giúp các nhà kinh doanh trên Internet sẽ tăng được hiểu biết từ mỗi giao dịch. - Kết quả - gian lận đã giảm dưới 1% và trong nhiều trường hợp hơn 5%, và thậm chí có thể giảm xuống dưới mức có thể đạt được bằng những phương tiện thủ công và hệ thống kiểm tra địa chỉ AVS

Mặc dù chi phí sử dụng phần mềm này tương đối cao, tuy nhiên giá cả không phải là yếu tố quan trọng. Đối với nhiều website, lợi ích mà CyberSource đem lại còn lớn hơn nhiều chi phí sử dụng nó. Vì vậy, nếu sản phẩm hay dịch vụ của doanh nghiệp có “sức hấp dẫn” đối với những “kẻ trộm trực tuyến”, đây là một giải pháp hữu hiệu.

Mã hóa dữ liệu

- Mã hoá khoá bí mật (Secret key Crytography): Mã hoá khoá bí mật hay còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá” và “giải mã”. Khoá này phải được giữ bí mật.

Mã hóa khóa bí mật

Ưu điểm:

+ Đáp ứng yêu cầu về tính xác thực: xác định bên đối tác vì đã trao đổi chìa khóa với họ, chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa khóa

+ Đáp ứng yêu cầu về tính toàn vẹn: Không ai có thể thay đổi nội dung thông điệp nếu không biết chìa khóa

+ Đáp ứng yêu cầu về tính không thể chối bỏ: Bằng chứng đồng ý với nội dung thông điệp đã ký

+ Đáp ứng tính riêng tư: Không ai khác có thể đọc nội dung thông điệp nếu không biết chìa khóa

Nhược điểm:

+ Khó trao đổi chìa khóa giữa người gửi và người nhận

+ Mỗi khách hàng phải có một chìa khóa riêng -> việc tạo và quản lý khóa khó khăn

+ Dễ “giải mã” hơn : brute –force

- Mã hoá công khai (Public key Crytography): Mã hoá công khai hay còn gọi là mã hoá không đối xứng. Phương pháp này người ta sử dụng hai khoá khác nhau, khoá công khai (Public key) và khoá bí mật (Private key). Khoá công khai được công bố, khoá bí mật được giữ kín.

Khóa bằng chìa khóa công khai

Khóa bằng chía khóa bí mật

Chữ ký điện tử

Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ ký điện tử là một công cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai khác. Không những thế, khi chữ ký điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng thông tin trên đường chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu. Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng.

Chữ ký điện tử có thể là chữ ký tự đánh từ bàn phím, một bản quét của chữ viết tay; một âm thanh, biểu tượng; một thông điệp được mã hoá hay dấu vân tay, giọng nói...

Phong bì số (Digital Envelope)

Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật (chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận và phải được chuyển cho người nhận để người nhận dùng giải mã những thông tin.

Cơ quan chứng thực (Certificate Authority – CA)

Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò là người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân của người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về lai lịch của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất quan trọng trong giao dịch điện tử. Cơ quan chứng thực có vai trò quan trọng, bởi trong thương mại điện tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi không quen biết nhau nên rất cần có sự đảm bảo của người thứ 3. Hệ thống bảo mật hiện nay đảm bảo độ an toàn rất cao, gần như là tuyệt đối, song việc thực hiện phụ thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng tin học của các bên.