RE: hỏi về RSA

Hi 1'hpSky,

Chắc là phải vậy rồi, bạn có kinh nghiệm gì về Online Payment Gateway không??? Nếu có thì cùng chia sẻ cho mọi người học hỏi đi nào.

RE: hỏi về RSA

Khà Khà,
1'hpSky à, bạn chỉ biết tung thôi à, nói chung là phải đồng điệu thì mới tung hứng lâu được đấy, thôi bạn thử tung và hứng cái phần payment system đi nào

Phải từ từ đã, mình tìm hiểu E-Commerce hơn 1 năm trước, giờ viết lại thì cũng phải để xem lại tài liệu đã. Mọi cái mình đều biết nhưng không rõ ràng nữa, vả lại cũng chưa có thời gian để xem lại vì thế mình chỉ thích "tung" thôi, hihi. :P

RE: hỏi về RSA

Xin chào các bạn,

Để cho chủ đề RSA thêm phần hào hứng, tôi đề nghị chúng ta hãy lấy hai banking website một của ANZ Australia và một của ACB VN để khào sát về việc đăng ký và chọn lựa CA cho đúng

1/ ANZ: https://www.anz.com/inetbank/bankmain.asp

2/ ACB: https://online.acb.com.vn/index.jsp

Các bạn hãy thử truy cập hai website này và cho biết ý kiến sau

ACB có gì sai không khi dùng CA là VASC?

RE: hỏi về RSA

Khà khà......

Nếu ACB sai chắc là tiêu lâu rồi, tôi nghĩ chắc ACB nghèo wá wá lắm lắm nên không có tiền để mua Verisign nên mới mua của VASC thì phải, có phải vậy không ITManSG ??? Nên khi vào ACB nó báo là CA-VASC (https://vasc-ca.vasc.com.vn) này là ĐỒ DỎM hahahahahaha... Mà VASC ở Việt Nam hỏi ai cũng biết còn cái thằng Verisign gì gì đó đó mới là hàng thật, ĐAU nhỉ.

Còn ai có ý kiến nào nữa không???

RE: hỏi về RSA

Chúng ta thử tìm hiểu hoạt động của một kết nối https (SSL) một chút nhé:

1. Web browser kết nối với web server và yêu cầu một kết nối an toàn và bảo mật

2. Web server trả về cho web browser site's certificate

3. Web browser kiểm tra các thông tin trong site's certificate xem có trust được hay không (khi certificate không được trust ta sẽ thấy xuất hiện một warning dialog, và nếu muốn cố tự mình cho rằng nó có thể trust được thì click Yes để kết nối)

4. Web browser lúc này mới tạo ra một session key sau đó dùng server's public key để encrypt (asymmetric) và chuyển session key đã được encrypt này tới web server

5. Web server dùng private key của nó để decrypt (asymmetric) và lấy được session key dùng để encrypt data (symmetric) giửa web server và web browser

Chúng ta hãy phân tích bước thứ 3 kỹ hơn một chút:

Như ta đã biết Electronic certificate chứa các thông tin bao gồm public key của owner (site's server), name of owner, Algorithm ID used to sign the certificate, validity dates, name of certificate issuer… và quan trọng nhất là certificate đó phải được "ký" bởi các CA mà các entities phải hiểu (trust) được CA đó, mà các entities trong trường hợp này ở đây là ai? Đó chính là các WEB BROWSER dùng để kết nối giao dịch chứ không phải con người sử dụng web browser đang tiến hành giao dịch (vì đâu phải ai cũng am hiểu về IT khi sử dụng E-banking và biết cái CA là cái quái gì phải không?), để tránh các tình trạng giả mạo e-banking website bằng cách tạo ra một web site giả có nội dung tương tự giống như web site thật nhằm mục đích dụ users đánh vào các thông tin đăng nhập như username & password, thông tin tài khoản... sau đó xuất ra cho khác hàng những câu thông báo đại loại như server busy, hãy vui lòng đăng nhập lại vào khi khác….sau khi thu thập các sentitive information này bọn chúng sẽ truy cập vào tài khoản cá nhân của khách hàng và "what will happen then? :x ".

Biện pháp duy nhất để chống được trò giả mạo này là web browser phải 100 % trust các certificates do các trusted CA ban hành, vì các thông tin như validity dates, name of certificate issuer đều có thể giả mạo được ngoại trừ chữ ký lên các certificates, vì các trusted CA đó đã dùng private key của mình để "ký" (encrypt)

Các web browser ngày nay đều có tích hợp sẵn các certificate của các trusted root CA như Verisign, Thawte, Entrust… khi xây dựng các websites mà muốn có được các certificate của các hãng này ký thì ta phải trả tiền, ví dụ như khi sử dụng certificate cho mã hóa ssl 128-bit do Verisign ký thì chi phí một năm vào khoảng USD 900

Như vậy đến đây chắc các bạn cũng có câu trả lời cho riêng mình rồi chứ, và tại sao lại có một ngân hàng như ACB lại dùng CA của VASC cấp ? Khi không có đủ ngân sách (USD 900/ one year) để lấy một cái certificate như mọi ngân hàng khác trên thế giới đều làm thì thà tự mình build luôn một cái CA để tự mình ký cho mình (như VCB đang làm) thì có lẽ còn hay hơn là phải trả tiền cho VASC hàng năm đấy :-)

Happy weekend!

RE: hỏi về RSA

Hi ITManSG,

Build thì ai "Biêu" chả được, làm CA cho mình thì ai muốn làm thì làm còn không thì nhờ người khác làm, vấn đề mình nhờ người khác làm thì mình có tin tưởng họ không thôi. Với lại tại sao các ngân hàng khác to đùng như thế họ không "Biêu" mình mà phải đi nhờ người khác, vì công việc đó đâu nhất thiết mình phải làm, tại sao không nhờ một đối tác chuyên nghiệp và uy tín làm, với lại khi có tranh chấp hay kiện tụng xảy ra thì đối tác sẽ đứng ra hầu với ràng buộc của CA với ngân hàng, tại sao phải dấn thân vào, ngân hàng đâu có rảnh hơi đâu mà đi làm những chuyện không đúng nghiệp vụ của mình. Còn vấn đề tin tưởng VASC hay Verisign,... gì đó là quyền của của mình, tin ai thì sử dụng dịch vụ của người đó,... mệt rồi.

Chán thật, không còn ai nửa ah???

RE: hỏi về RSA

Hi Crazy,

Có lẽ bác chưa hiểu hết vấn đề về CA rồi. Thứ nhất, cái để có thể trust CA là cái máy PC (web browser) chứ không phải là con người, khi truy cập vào một banking website nào đó thì các users thông thường có biết Verisign, Thawte, Entrust… là ai đâu, người ta chỉ cần không thấy có warning message nào và thấy có cái ổ khóa khi trỏ mouse vào mà hiện lên chữ SSL 128-bit là yên tâm tiến hành giao dịch rồi phải không? Cái sai mà tôi muốn đề cập ở đây là các ngân hàng ở VN thực hiện cái gọi là E-banking với việc implement security nửa vời, có lẽ chưa hiểu hết được tầm quan trọng của các trusted CA trong việc triển khai e-banking nhằm hạn chế được tối đa các kiểu tấn công "phishing" đang hoành hành hiện nay. Thứ hai là chẳng có chuyện tranh chấp hay kiện tụng ở đây hết, hình như bác đi càng xa thì lại càng lạc đường rồi đấy Crazy

RE: hỏi về RSA

Hihi,
Thấy các pác tranh luận dui wá, nên tui xin bổ sung:
- Thứ nhất ACB không phải là không có tiền vì lợi nhuận 2004 là hơn 200 tỷ http://www.acbcard.com.vn/tintuc/0000000441/
- Thứ hai ACB không phải là nửa vời, vì ACB muốn hợp tác với 1 doanh nghiệp có uy tin trong nước là VASC.
- Thứ ba, Microsoft đã tự ý install các chain của các CA (nhu VeriSign,...) vào máy tính của người dùng và ép buộc người dùng "trusted" còn VASC thì không. Do đó chúng ta tưởng rằng cert của VASC không "hợp pháp" trên PC của mình.
- Thứ tư, giao dịch điện tử tại VN sẽ được tòa án VN thụ lý, do đó không có lý do gì phải mua cert. của nước ngoài cả.
- Thứ năm (cuối cùng!), người VN dùng hàng VN thui mà, có gì đâu phải nói nhiều.

RE: hỏi về RSA

Vui thật, cuối cùng thì người của ACB cũng lên tiếng,

Có nhiều tiền mà không biết tổ chức e-banking cho ra hồn xem như cũng vứt, ở đây chẳng có cái gì liên quan đến người VN dùng hàng VN hết mà là anh có làm cho MỌI user có trust được khi giao dịch với anh hay không qua SSL đấy mới là điều quan trọng, hiện nay hầu như mọi trình duyệt Internet từ Mozilla, Netscape, IE... đều có sẵn cái root certificate của Verisign đấy ông à, ông đang ngủ hay mơ mà nói năng lằng nhằng vậy? và khi có một user đi đâu đó chơi vào Internet cafe để tiến hành giao dịch thì phải nhở các ông support để import cái certificate vào PC hả, khi ông dủng cái CA (VASC) không được mọi cái web browser nào trust hết thì làm sao ông chống được phishing hả ông? tôi thấy ông nên từ chức đi để cho ngưởi khác tổ chức lại cái e-banking thì mới là hợp lý đó

RE: hỏi về RSA

Hic hic
Đừng nóng anh bạn trẻ. Anh nên nhìn vấn đề thoáng 1 ti'. Đúng là "MỌI" thì không nhưng khách hàng của ACB phải tuân theo quy định của ACB, cũng giống như công dân Việt Nam sẽ dùng CMND để lên xuống máy bay (nội địa) vậy! Nói như vậy có nghĩa là "policy" thôi.

Sao anh không đăt câu hỏi là "Tại sao các trình duyệt lại install sẵn các chain xuống khi người dùng không muốn?"v.v...

Nếu có gì thắc mắc về chính sách e-Banking của ACB, anh có thể đến liên hệ trực tiếp với chúng tôi. Chúng tôi sẽ săn sàng trả lời các câu hỏi của anh.

Địa chỉ liên hệ của của chúng tôi:
IT Building, tầng trệt
30 Mạc Đĩnh Chi Q1
Hochiminh

RE: hỏi về RSA

Nói chuyện với a cờ bờ chán quá, đúng là muốn làm việc cho ra hồn thì còn khó quá nhỉ, giải thích biết bao nhiêu lần mà chú củng chưa hiểu được, cứ cãi bừa là người VN dùng hàng VN, thế chú có biết là "ai" kiểm tra cái certificate đó không, web browser đấy chú ạ, web browser có phải là người VN không? và chú có biết tại sao mà hầu như tất cả mọi loại trình duyệt đều có root certificate của Verisign không? Verisign đâu có ép Microsoft, Netscape, Mozilla, hay Opera...phải nhét cái root certificate của Verisign vào các sản phẩm của họ được đâu phải không, mà họ tự nguyện đấy chú à, và mọi tổ chức ngân hàng ở nước ngoài người ta đều phải bỏ ra khoảng gần USD 1000 per year để xin cái chữ ký của Verisign lên cái certificate đặt vào banking website của họ để chống nạn phishing đấy chú có hiểu chưa?, nếu cứ nói như chú thì các ngân hàng khác ở nước ngoài người ta cũng phải dùng cái CA của nước người ta để kiểm tra công dân của họ à ?

Thật tội cho cái việc từ xưng mình là già rồi mà vẫn còn... nói hoài cũng chưa hiểu

RE: hỏi về RSA

Nói hoài cũng mệt thật! Việc chú dùng cái gì là quyền của chú nhưng không thể muốn người ta theo mình. Nếu việc dùng certificate của CA mà không có trong web browser mà sai thì chắc là họ không cho mình import thêm vào rồi, còn việc "tự nguyện" ah, chẳng qua là gì quyền lợi của họ và lượng khách hàng của Verisign mà thôi.

RE: hỏi về RSA

itmansaigon là chú nào mà nóng tính thế. Xem mấy bài viết của chú thì thấy trình độ cũng tạm được nhưng không phải là xuất sắc.

Chú nghiên cứu về CA và PKI làm gì? Chú không mong muốn rằng một ngày nào đó sẽ có CA chính hiệu của VN à? Việc của chúng ta là thúc đẩy sự phát triển nói chung của nền CNTT nước nhà chứ không phải chỉ ngồi đó mà khen mấy cái thằng VeriSign đó.

Muốn tiến xa hơn thì phải học cách điềm tĩnh và lắng nghe mọi người, chứ tuổi trẻ nóng tính như vậy thì khó lắm. Diễn đàn này là để mọi người học tập trao đổi lẫn nhau chứ không phải để nói nặng lời với nhau như vậy. Tôi đang làm cho Baltimore Technologies, ở chỗ tôi có hàng tá những cao thủ người Mỹ xuất sắc nhưng không thấy ai huyênh hoang như chú đâu.

RE: hỏi về RSA

Con người khi thấy người ta sai mà không cố vạch ra là bất nhân

Hình như tôi thấy chú trungnq76 từ khi vào diễn đàn này thì ngoài những chuyện mua bán linh tinh ra chú có đóng góp cho mọi người những kinh nghiệm hay kiến thức gì chưa vậy?, cách nói của chú sao mà mâu thuẫn và nực cười quá chú à

Khi làm kỹ thuật thì có thể "mắng" nhau là chuyện bình thường, nhưng phải dùng những lý lẽ kỹ thuật để "mắng" nhau cho ra lẽ, tham gia forum này cũng khá lâu, chú tự hỏi bản thân mình đã đưa ra được những kinh nghiệm hay kiến thức gì cho mọi người chưa hay chỉ dùng nó để mua bán và quảng cáo vặt cho lợi ích riêng chú? hãy bỏ thời gian đọc lại những bài mà chú đã post lên diễn đàn này đi chú à

Tôi cũng thông cảm cho chú mới xin được vào chỗ mấy thằng Mẽo làm nên chưa biết tánh của tụi nó, bản chất của tụi Mẽo là làm nhiều và nói nhiều đấy, cố gắng mà thích nghi với tụi nó nhé kẻo biết mà không nói ra tụi nó nghĩ là ngu đó