เทคโนโลยี PKI (Public Key Infrastructure)

เทคโนโลยี PKI (Public Key Infrastructure)

จากพื้นฐานของการเข้ารหัสแบบ อสมมาตรโดยอาศัยกุญแจคู่ ที่ไม่เหมือนกันใน การเข้ารหัส และ ถอดรหัส และ การใช้ “กุญแจส่วนตัว” ในการเข้ารหัสนี้เอง จะเป็นส่วนสำคัญ ในการสร้างลายมือชื่ออิเล็กทรอนิกส์ ประเภทหนึ่งที่นิยมใช้กันทั่วไปเรียกว่า “ลายมือชื่อดิจิทัล (Digital Signature)” เพื่อยืนยันตัวบุคคล และ ใช้กุญแจอีกข้างหนึ่งที่เรียกว่า “กุญแจสาธารณะ” ในการถอดรหัสซึ่งทำหน้าที่สำคัญ ในการตรวจสอบตัวบุคคล จนกลายเป็นที่มาของการเรียก เทคโนโลยีนี้ว่า “เทคโนโลยี PKI” ทั้งนี้ กลไกการ ทำงานของ“เทคโนโลยี PKI” ในระบบรหัสแบบอสมมาตร ประกอบด้วยขั้นตอน ดังนี้

(1) การสร้างลายมือชื่อดิจิทัล

(ก) การสร้างกุญแจคู่ (Key Pairs) ก่อนการสร้างลายมือชื่อดิจิทัลนั้น ต้องมีการสร้างกุญแจคู่ขึ้นมาเสียก่อน ด้วยกระบวนการทางคณิตศาสตร์ โดยเจ้าของกุญแจคู่ จะต้องเก็บกุญแจแรกที่เรียกว่า “กุญแจส่วนตัว” ไว้เป็นความลับเพื่อให้ตนเองเท่านั้น สามารถใช้กุญแจส่วนตัวได้แต่ผู้เดียว
ยกเว้นในกรณีของการมอบอำนาจให้บุคคลอื่นใช้ หรือ ในกรณีของนิติบุคคลซึ่งต้อง กระทำการผ่านบุคคลผู้มีอำนาจกระทำการแทน และ โดยปกติการเก็บรักษา “กุญแจส่วนตัว” นั้นก็มักจะบันทึก และ เก็บไว้ในสมาร์ทการ์ด ส่วน “กุญแจสาธารณะ” ก็จะเปิดเผยไว้ในระบบ ฐานข้อมูล ของผู้ประกอบการรับรอง (Certificaton Authority) เพื่อให้สามารถตรวจสอบตัวบุคคลได้โดยง่าย

(ข) ขั้นตอนการแฮชหรือย่อย (Hash Function) ในการสร้างลายมือชื่อดิจิทัลนั้น นอกจากจะต้องมีกุญแจคู่แล้ว ก่อนสร้างลายมือชื่อดิจิทัล ก็มีขั้นตอนสำคัญ ในการนำ ข้อมูลอิเล็กทรอนิกส์ ที่ผู้ส่งข้อมูลประสงค์จะส่งให้แก่ผู้รับข้อมูล นำมาคำนวณด้วยกระบวนการทางคณิตศาสตร์ (Algorithm) ที่เรียก ว่า “ขั้นตอนการแฮช (Hash Function)” หรือ One-way cryptography หรือ One-way hash function เพื่อย่อย หรือ ทำให้ข้อมูลอิเล็กทรอนิกส์นั้น มีขนาดเล็กลงอัน จะทำให้ง่ายต่อการคำนวณทางคณิตศาสตร์ และ การจัดส่งให้ผู้รับข้อมูล ในขั้นตอนต่อไป ผลลัพธ์ที่ได้จากขั้นตอนการแฮช จะทำให้ได้ข้อมูลที่ย่อย (Message Digest) ซึ่งมีขนาดเล็กลง และ คงที่ (Fixed Length)

(ค) การสร้างลายมือชื่อดิจิทัล หลังจากนั้นก็นำกุญแจส่วนตัวมาทำการเข้ารหัสกับข้อมูลที่แฮช หรือ ย่อย (Message Digest) ซอฟต์แวร์ก็จะ ทำการแปลงข้อมูลอิเล็กทรอนิกส์เหล่านั้น ให้เป็นลายมือชื่อดิจิทัล (Digital Signature) และ ลายมือชื่อดิจิทัลนั้นก็จะมีลักษณะเฉพาะ ที่สัมพันธ์กับข้อมูลแฮช และ กุญแจส่วนตัว กล่าวคือ ทุกครั้งที่ข้อมูลแฮช หรือ กุญแจส่วนตัวเปลี่ยนแปลงไปจากเดิม ลายมือชื่อดิจิทัลที่ ได้ก็จะเปลี่ยนแปลงตามไปด้วย ลายมือชื่อดิจิทัลจึงไม่มีโอกาสซ้ำกันเลย

หลังจากสร้างลายมือชื่อดิจิทัลแล้ว ซอฟต์แวร์ก็จะทำการนำลายมือชื่อดิจิทัลที่ได้นั้น ไปแนบไว้ท้ายข้อความที่อยู่ใน รูปของข้อมูลอิเล็กทรอนิกส์ เพื่อใช้ส่งให้กับผู้รับข้อมูลต่อไป และ เพื่อประโยชน์ในการตรวจสอบตัวบุคคล โดยปกติซอฟต์แวร์ก็จะถูกตั้ง โปรแกรมให้แนบกุญแจสาธารณะ และ ใบรับรองกุญแจสาธารณะของผู้ส่งข้อมูล ไปกับข้อมูลอิเล็กทรอนิกส์ พร้อมด้วยลายมือดิจิทัลด้วย เพื่อความสะดวกของผู้รับข้อมูล ในการตรวจสอบลายมือชื่อดิจิทัลนั้น ดังนั้น ในการส่งข้อมูลอิเล็กทรอนิกส์โดยแนบลายมือชื่อดิจิทัลไปด้วยนั้น ก็จะประกอบด้วย ข้อมูลอิเล็กทรอนิกส์ถึง 3 ส่วน ได้แก่

(1) ส่วนแรก คือ ข้อมูลอิเล็กทรอนิกส์ที่มีข้อความเดิม ซึ่งใช้ในการติดต่อสื่อสารระหว่างบุคคล อันเป็นข้อความที่อ่านออก และ เข้าใจได้ (2) ส่วนที่สอง เป็นลายมือชื่อดิจิทัล และ (3) ส่วนสุดท้าย จะเป็นกุญแจสาธารณะ พร้อมใบรับรองกุญแจสาธารณะของผู้ลงลายมือชื่อดิจิทัล

(2) การตรวจสอบลายมือชื่อดิจิทัล

เมื่อ ผู้รับข้อมูลได้ข้อมูลอิเล็กทรอนิกส์ ที่มีการใช้ลายมือชื่อดิจิทัล เพื่อยืนยันตัวผู้ส่งข้อมูลมาด้วย หากผู้รับข้อมูลประสงค์ จะตรวจสอบข้อมูล ก็ทำได้โดยนำกุญแจสาธารณะของผู้ส่งข้อมูล มาเข้ารหัสกับลายมือชื่อดิจิทัล และ เนื่องจากกุญแจสาธารณะนั้น มีความสัมพันธ์กับ กุญแจส่วนตัว เมื่อดำเนินการตามกระบวนการทางคณิตศาสตร์ ก็จะถอดรหัสออกมา และได้ผลลัพธ์ในรูปของ “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” ในขณะเดียวกัน ข้อความที่ส่งมาในรูปของข้อมูลอิเล็กทรอนิกส์นั้น ก็จะถูกย่อยด้วย กระบวนการทางคณิตศาสตร์เช่นกัน ซึ่งจะได้ผลลัพธ์เช่นกัน คือ “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” และหากว่า “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” ออกมา ตรงกันก็เป็นบทพิสูจน์ว่า บุคคลที่ส่งมาเป็นเจ้าของกุญแจส่วนตัว ซึ่งตรวจสอบได้ว่าเป็นผู้นั้นจริง

นอก จากประโยชน์ในการระบุตัวบุคคล และ ตรวจสอบตัวบุคคลข้างต้นแล้ว ประโยชน์อีกประการในการใช้เทคโนโลยีชนิดนี้ ก็คือ การตรวจสอบได้ว่ามีการแก้ไข เปลี่ยนแปลงข้อมูลอิเล็กทรอนิกส์ที่ส่งมา เนื่องจากการทำงานของกุญแจคู่นั้นจะมีความ สัมพันธ์กันในเชิงตรรกะ ดังนั้น เมื่อใช้กุญแจส่วนตัวเข้ารหัสกับข้อมูลที่ย่อย ก็จะได้ลายมือชื่อดิจิทัลที่มีค่าออกมาคงที่ ในการตรวจสอบตัวบุคคล ด้วยกุญแจสาธารณะซึ่งมีความสัมพันธ์กัน ในเชิงตรรกะ ก็จะได้ผลลัพธ์เป็นข้อมูลที่ย่อย ซึ่งใช้ในการสร้างลายมือชื่อดิจิทัลเดิมนั้น ดังนั้น ในขั้นตอนของการตรวจสอบ ซึ่งจะต้องมีขั้นตอนในการย่อยข้อความที่อ่านออก และ เข้าใจได้ เพื่อให้ได้ข้อมูลที่ย่อย และ นำมาเปรียบเทียบกับข้อมูลที่ย่อย ซึ่งเกิดจากการใช้กุญแจสาธารณะ เข้ารหัสกับลายมือชื่อดิจิทัลนั้นต้องได้ข้อมูลที่ย่อยเหมือนกัน เสมอหากได้ค่าไม่เหมือนกัน แสดงว่ามีการเปลี่ยนแปลงแก้ไขข้อความนั้น

ดังนั้น การใช้ระบบกุญแจคู่เพื่อสร้างลายมือชื่อดิจิทัล และ ตรวจสอบลายมือชื่อดิจิทัล จึงมีประโยชน์อีกประการหนึ่ง ในการตรวจสอบได้ว่ามีการแก้ไขเปลี่ยนแปลงข้อความ ที่ส่งมาให้แก่ผู้รับข้อมูลหรือไม่

(3) สรุปกระบวนการสร้างและตรวจสอบลายมือชื่อดิจิทัล

1. สร้างกุญแจคู่


2. เตรียมข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่ง เช่น อาจอยู่ในรูปของ e-mail


3. เตรียมข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่งให้อยู่ในรูปของข้อมูลที่ถูกย่อย (message digest) โดยผ่านกระบวนการแฮช (hash function)


4. ผู้ ส่งเข้ารหัสข้อมูลที่ถูกย่อยด้วยกุญแจส่วนตัว โดยผ่านกระบวนการทางคณิตศาสตร์ ออกมาเป็นลายมือชื่อดิจิทัล ดังนั้น ลายมือชื่อดิจิทัลจึงประกอบด้วย ข้อมูลที่ถูกย่อยที่นำมาเข้ารหัสกับกุญแจส่วนตัว


5. นำลายมือชื่อดิจิทัลมาแนบท้าย หรือ แนบติดกับข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่ง


6. ผู้ ส่งทำการส่งลายมือชื่อดิจิทัล และ ข้อมูลอิเล็กทรอนิกส์ ไม่ว่าข้อมูลอิเล็กทรอนิกส์นั้น จะมีการเข้ารหัสลับหรือไม่ก็ตาม ไปให้กับผู้รับโดยผ่านทางสื่ออิเล็กทรอนิกส์


7. ผู้ รับใช้กุญแจสาธารณะของผู้ส่ง ในการตรวจสอบลายมือชื่อดิจิทัลของผู้ส่ง ซึ่งการตรวจสอบโดยการใช้กุญแจสาธารณะของผู้ส่งนั้น เป็นการรับรองในทางเทคนิคในระดับหนึ่ง ว่าข้อมูลอิเล็กทรอนิกส์มาจากผู้ส่งจริง


8. ผู้รับนำข้อมูลอิเล็กทรอนิกส์ที่ได้รับ มาผ่านกระบวนการย่อย เพื่อให้ออกมาเป็นข้อมูลที่ถูกย่อย (message digest)


9. ผู้ รับนำข้อมูลที่ถูกย่อยทั้ง 2 ข้อมูลมาเปรียบเทียบกัน ถ้าข้อมูลที่ถูกย่อยทั้งสองข้อมูลเหมือนกัน แสดงว่าข้อมูลอิเล็กทรอนิกส์ตั้งแต่ต้น ไม่มีการเปลี่ยนแปลงนับแต่เวลาที่ลงลายมือชื่อแล้ว แต่หากที่การเปลี่ยนแปลงข้อมูลอิเล็กทรอนิกส์ดังกล่าว แม้เพียง 1 บิต (bit) นับแต่เวลาที่ลงลายมือชื่อแล้ว ข้อมูลย่อยที่ผู้รับสร้างขึ้นจะแตกต่างจากข้อมูลที่ถูกย่อยที่ผู้ส่งสร้าง ขึ้น


10. ในกรณีที่มีการใช้กระบวนการการ รับรอง (certification process) ผู้รับได้รับใบรับรองจากผู้ประกอบการรับรอง (CA) (หรือจากผู้ส่งหรือจากที่อื่น) ซึ่งใช้ยืนยันลายมือชื่อดิจิทัลในข้อมูลอิเล็กทรอนิกส์ของผู้ส่ง

(4) การเข้ารหัสลับข้อมูล (Encryption)

ในกรณีต้องการส่งข้อมูลไปยังผู้รับ โดยไม่ต้องการให้ผู้อื่นสามารถเปิดอ่านข้อความได้ ก็สามารถใช้เทคโนโลยีการ เข้ารหัสลับ (Encryption Technology) เพื่อรักษาความลับของข้อมูลอิเล็กทรอนิกส์ โดยการนำกุญแจสาธารณะของผู้รับข้อมูล มาเข้ารหัสกับข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่งไป เมื่อผู้รับได้รับข้อมูลนั้นแล้ว ก็สามารถถอดรหัสได้แต่เพียงผู้เดียว โดยใช้กุญแจส่วนตัวที่ตนเก็บไว้เป็นความลับ แม้จะมีผู้อื่นในระบบได้รับข้อความนั้นด้วยก็ตาม เนื่องจากกุญแจส่วนตัวจะถูกเก็บไว้เป็นความลับ ไม่เปิดเผยให้ผู้อื่นทราบ เรียกวิธีการเช่นนี้ว่า การเข้ารหัสลับข้อมูล (Data Message encryption)

ที่มา : www.ictlaw.thaigov.net

Share on Facebook Share on Twitter Share on Google Plus

About Surapong Suksang

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.