ความปลอดภัยในการทำธุรกรรมเป็นหัวใจของการพาณิชย์อิเล็กทรอนิกส์  ในบทนี้ผู้วิจัยจะกล่าวถึงการรักษาความปลอดภัยในการพาณิชย์ อิเล็กทรอนิกส์ เทคโนโลยีและโครงสร้างพื้นฐานที่เกี่ยวข้องกับการรักษาความปลอดภัยดังกล่าว

1.1 ความปลอดภัยในการพาณิชย์อิเล็กทรอนิกส์และเทคโนโลยีที่เกี่ยวข้อง

ความปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์เป็นสิ่งสำคัญที่จะสร้างความเชื่อมั่นให้เกิดขึ้นกับการพาณิชย์อิเล็กทรอนิกส์ ทั้งการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจและผู้บริโภค (B-to-C E-Commerce) และการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจและธุรกิจ (B-to-B E-Commerce) ธุรกรรมอิเล็กทรอนิกส์ที่มีความปลอดภัยอย่างแท้จริงจะต้องเกิดขึ้นในระบบที่มีความสามารถใน 4 ด้านคือการระบุตัวบุคคล (authenticity) การรักษาความลับ (confidentiality) การรักษาความถูกต้อง (integrity)  และการป้องกันการปฏิเสธความรับผิดชอบ (non-repudiation) ดังตารางที่ 1.1

ตารางที่ 1.1 ความสามารถของระบบการพาณิชย์อิเล็กทรอนิกส์ที่ปลอดภัย  

ตัวอย่างของเทคโนโลยีที่ช่วยในการรักษาความปลอดภัยในการพาณิชย์อิเล็กทรอนิกส์ที่มีความสามารถครบทั้ง 4 ประการดังที่กล่าวมาข้างต้นคือ เทคโนโลยีการเข้ารหัสที่ใช้กุญแจลับ (secret key) คู่กับกุญแจสาธารณะ (public key) หรือที่จะเรียกสั้นๆ ว่า “เทคโนโลยีการเข้ารหัส ด้วยกุญแจสาธารณะ” ซึ่งเป็นเทคโนโลยีที่ใช้กุญแจดอกหนึ่งในการเข้ารหัสและใช้อีกดอกหนึ่งในการถอดรหัส

นอกจากเทคโนโลยีการเข้ารหัสด้วยกุญแจสาธารณะแล้ว เทคโนโลยีอื่นๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยในการพาณิชย์อิเล็กทรอนิกส์ ได้แก่ เทคโนโลยีการเข้ารหัสด้วยกุญแจลับเพียงดอกเดียว ซึ่งมีความสามารถครบทั้ง 4 ประการแต่ไม่สะดวกที่จะใช้ในสภาพแวดล้อม แบบเปิดเช่นเครือข่ายอินเทอร์เน็ต   ส่วนเทคโนโลยีอื่นๆ เช่นการใช้รหัสผ่าน (password) และการใช้หมายเลขประจำตัวบุคคล (PINS) จะมีความสามารถในการระบุตัวบุคคลแต่ไม่มีความสามารถอื่นๆ ที่เหลือ  ในขณะที่การใชัลักษณะทางชีวภาพ (biometrics) เช่นลายนิ้วมือ หรือเสียงจะสามารถระบุตัวบุคคลและการป้องกันการปฏิเสธความรับผิดชอบได้เท่านั้น แต่ไม่มีความสามารถอื่นๆ

1.2 ลายมือชื่อและใบรับรองอิเล็กทรอนิกส์

ลายมือชื่ออิเล็กทรอนิกส์เป็นการประยุกต์ใช้เทคโนโลยีต่างๆ ดังกล่าวข้างต้นในการระบุตัวบุคคล  ลายมือชื่ออิเล็กทรอนิกส์ที่สร้างจาก เทคโนโลยีเข้ารหัสด้วยกุญแจสาธารณะเรียกว่า “ลายมือชื่อดิจิตัล” (digital signature) ในการลงลายมือชื่อดิจิตัลกำกับข้อความที่ต้องการ ส่งผ่านทางเครือข่าย ผู้ส่งข้อความจะใช้กุญแจลับของตนในการลงลายมือชื่อโดยผ่านกระบวนการคำนวณทางคณิตศาสตร์   ผู้รับจะสามารถ ตรวจสอบความถูกต้องของลายมือชื่อดังกล่าวได้โดยใช้กุญแจสาธารณะของผู้ส่งที่แสดงอยู่ใน “ใบรับรองดิจิตัล” (digital certificate) ซึ่งมักจัดเก็บโดยบุคคลหรือองค์กรซึ่งเป็นผู้ออกใบรับรองนั้น  นอกจากช่วยในการระบุตัวผู้ส่งข้อมูลแล้วการลงลายมือชื่อดิจิตัลยังป้องกัน ข้อมูลให้มีความถูกต้องไม่ถูกแก้ไขโดยไม่ทิ้งร่องรอยไว้ได้อีกด้วย

นอกเหนือไปจากกุญแจสาธารณะแล้ว ใบรับรองดิจิตัลยังแสดงข้อมูลอื่นๆ อีกหลายอย่างเช่นใบรับรองดิจิตัลที่ออกตามมาตรฐาน X.509 v3 ซึ่งเป็นมาตรฐานที่แพร่หลายที่สุดจะมีข้อมูลดังต่อไปนี้

• หมายเลขของใบรับรอง (serial number)
• วิธีการที่ใช้ในการเข้ารหัสข้อมูล (algorithm)
• หน่วยงานที่ออก (issuer)
• เวลาที่ใบรับรองเริ่มใช้ได้ (starting time)
• เวลาที่ใบรับรองหมดอายุ (expiring time)
• ผู้ได้รับการรับรอง (subject)
• กุญแจสาธารณะของผู้ได้รับการรับรอง (subject’s public key)
• ลายมือชื่อดิจิตัลของหน่วยงานที่ออกใบรับรอง (CA signature)

 ใบรับรองดิจิตัลสามารถแบ่งตามลักษณะการใช้งานออกเป็นกลุ่มๆ ได้ดังนี้คือ

• ใบรับรองเครื่องแม่ข่าย (server certificate)  เช่นใบรับรองเครื่องแม่ข่าย SSL ที่ใช้ทั่วไปในการพาณิชย์อิเล็กทรอนิกส์  ซึ่งจะมีชื่อของ บริษัทที่เกี่ยวข้อง ชื่อโดเมนของเครื่อง กุญแจสาธารณะของเครื่อง เป็นต้น
• ใบรับรองบุคคล (personal certificate) หรือใบรับรองเครื่องลูกข่าย (client certificate) ซึ่งจะระบุชื่อบุคคลนั้นและข้อมูลอื่นๆ เช่น รหัสไปรษณีย์อิเล็กทรอนิกส์หรือที่อยู่
• ใบรับรององค์กรออกใบรับรอง (certification authority certificate) ซึ่งจะมีชื่อองค์กรออกใบรับรองที่ได้รับการรับรอง และกุญแจสาธารณะขององค์กรนั้น และลายมือชื่อดิจิตัลขององค์กรออกใบรับรองที่ให้การรับรอง ซึ่งอาจเป็นการรับรองตนเอง (self-certified) ก็ได้ในกรณีที่องค์กรออกใบรับรองทั้งสองเป็นหน่วยงานเดียวกัน

ภาคผนวกที่ 1 แสดงขั้นตอนการขอใบรับรองดิจิตัลสำหรับเครื่องแม่ข่ายแบบ SSL  ซึ่งนิยมใช้ในการพาณิชย์อิเล็กทรอนิกส์และการขอใบรับรอง ดิจิตัลสำหรับเครื่องลูกข่าย

1.3 องค์กรออกใบรับรอง

การระบุตัวบุคคลโดยใช้ใบรับรองดิจิตัลอาจทำได้โดยการออกใบรับรองให้แก่บุคคลอื่นซึ่งรู้จักกันในลักษณะการแนะนำกันต่อเป็นทอดๆ ในลักษณะของ “สายใยแห่งความเชื่อถือ” (web of trust)   อย่างไรก็ตามการตรวจสอบการระบุตัวบุคคลในลักษณะดังกล่าวเป็นสิ่งที่มี ความยุ่งยากมากและมีความน่าเชื่อถือต่ำ เนื่องจากเป็นการรับรองกันเป็นทอดๆ โดยผู้รับรองแต่ละคนมีมาตรฐานในการรับรองที่แตกต่างกัน

โครงสร้างพื้นฐานซึ่งจะช่วยให้สามารถระบุตัวบุคคลได้อย่างสะดวกและมีความน่าเชื่อถือสูงคือหน่วยงานที่เรียกว่า “องค์กรออกใบรับรอง” (Certification Authority หรือ CA) หรือที่เรียกกันว่า “โครงสร้างพื้นฐานของระบบกุญแจสาธารณะ” (Public Key Infrastructure หรือ PKI) ซึ่งจะเป็นตัวกลางในการตรวจสอบและออกใบรับรองให้แก่ผู้อื่น   ตามแนวทางนี้จะมีบุคคลต่างๆ ที่เกี่ยวข้องกัน 3 ฝ่าย (three-party model) คือ ผู้ถือใบรับรอง (certificate holder) ซึ่งเราอาจเรียกว่าเป็นบุคคลที่หนึ่ง  ผู้ใช้ใบรับรองในการระบุตัวผู้ถือใบรับรอง (relying party) ซึ่งอาจเรียกว่าเป็นบุคคลที่สอง  และองค์กรออกใบรับรองซึ่งอาจเรียกว่าบุคคลที่สาม หรือที่นิยมเรียกกันว่า “บุคคลที่สามที่เชื่อถือได้” (trusted third party)

องค์กรออกใบรับรองโดยทั่วไปจะมีบทบาทในการให้บริการใน 3 ด้านใหญ่ๆ คือ การให้บริการเทคโนโลยีเข้ารหัส (cryptographic service)  บริการที่เกี่ยวข้องกับการออกใบรับรอง (certification management service) และบริการเสริม (ancillary service) ต่างๆ    ดังมีรายละเอียดดังต่อไปนี้ (ดูภาพที่  1.1)¹

ภาพที่ 1.1 บริการต่างๆ ขององค์กรออกใบรับรอง

ที่มา: Certification Authority Working Group, ECOM

1. บริการเทคโนโลยีเข้ารหัสซึ่งจะประกอบไปด้วยการผลิตกุญแจลับ (generation of private key)  การส่งมอบกุญแจลับ (distribution of private key) การผลิตกุญแจสาธารณะและกุญแจลับ  (generation of public/private key)    การผลิตลายมือชื่อดิจิตัล (generation of digital signature) และการรับรองลายมือชื่อดิจิตัล  (validation of digital signature)
2. บริการที่เกี่ยวข้องกับการออกใบรับรองซึ่งประกอบไปด้วยการออกใบรับรอง (certificate issuance)  การยกเลิกใบรับรอง (certificate revocation)  การตีพิมพ์ใบรับรองเผยแพร่แก่บุคคลทั่วไป (certificate publishing)  การเก็บต้นฉบับใบรับรอง (certificate archiving) และการกำหนดนโยบายการออกและอนุมัติใบรับรอง (policy creation/approval) เช่นขั้นตอนในการปฏิบัติงานในการออกใบรับรอง
3. บริการเสริมซึ่งได้แก่การบันทึก (registration) ข้อมูลต่างๆ ที่จำเป็นต้องใช้ในการออกหรือยกเลิกใบรับรอง    การเก็บต้นฉบับข้อมูล (data archiving) เพื่อการตรวจสอบในระยะยาว      การตรวจสอบสัญญาต่างๆ  (notarial authentiation)  การกู้กุญแจ (key recovery) ในกรณีที่ผู้ใช้ทำกุญแจของตนหาย   การทำทะเบียน (directory) ข้อมูลต่างๆ ที่เกี่ยวข้องกับผู้ใช้บริการเช่น ที่อยู่ หมายเลขโทรศัพท์

1.4 สภาพแวดล้อมแบบเปิดและสภาพแวดล้อมแบบปิด

เราอาจแบ่งสภาพแวดล้อมในการออกใบรับรองออกเป็นสภาพแวดล้อมแบบเปิด (open PKI) และสภาพแวดล้อมแบบปิด (closed PKI)  ในสภาพแวดล้อมแบบเปิดซึ่งพบมากในการค้าปลีกผ่านเครือข่ายอินเทอร์เน็ตและการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจและผู้บริโภคอื่นๆ ฝ่ายต่างๆ ที่เกี่ยวข้องมักไม่รู้จักกันมาก่อนและไม่มีความสัมพันธ์ในเชิงสัญญา (contractual relationship) กันล่วงหน้า   ในสภาพแวดล้อมนี้ บทบาทขององค์กรออกใบรับรองคือ การออกใบรับรองตัวบุคคล (identity certificate) เพื่อให้ทั้งสองฝ่ายสามารถระบุตัวบุคคลอีกฝ่ายหนึ่งได้

ส่วนในสภาพแวดล้อมแบบปิด  ฝ่ายต่างๆ ที่เกี่ยวข้องจะรู้จักกันและมักมีความสัมพันธ์ในเชิงสัญญากันอยู่แล้ว   ซึ่งพบบ่อยในการพาณิชย์ อิเล็กทรอนิกส์ระหว่างธุรกิจ-ธุรกิจ เช่น การซื้อขายสินค้าผ่านเครือข่ายเอ็กซ์ทราเน็ต (extranet) หรือเครือข่ายอีดีไอ (EDI) การติดต่อระหว่าง บุคคลต่างๆ ในองค์กรเดียวกันผ่านเครือข่ายอินทราเน็ต (intranet) หรือแม้กระทั่งการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจและผู้บริโภค ในบางรูปแบบ เช่น การทำธุรกรรมด้านการเงินระหว่างธนาคารและลูกค้าของธนาคาร เป็นต้น   ในบางกรณีบุคคลที่สองและบุคคลที่สาม อาจเป็นบุคคลเดียวกัน ทำให้เหลือเพียงฝ่ายต่างๆ ที่เกี่ยวข้องเพียงสองฝ่าย (two-party model) เช่น ธนาคารเป็นผู้ออกใบรับรองให้แก่ลูกค้า และใช้ใบรับรองนั้นในการระบุตัวลูกค้าของตนในการทำธุรกรรม  หรือบริษัทเป็นผู้ออกใบรับรองให้แก่พนักงานและใช้ใบรับรองนั้น ในการกำหนดสิทธิในการใช้เครื่องคอมพิวเตอร์   ในสภาพแวดล้อมนี้บทบาทขององค์กรออกใบรับรองอาจเปลี่ยนจากการออกใบรับรอง ตัวบุคคลไปสู่การออกใบรับรองสิทธิหรืออำนาจหน้าที่ (authority certificate) แทน เช่น การออกใบรับรองว่าผู้สั่งซื้อสินค้าเป็นเจ้าหน้าที่ ซึ่งมีอำนาจในการสั่งซื้อจริง

ลักษณะเฉพาะของการออกใบรับรองในสภาพแวดล้อมทั้งสองแบบนี้เป็นประเด็นที่มีความสำคัญในการกำหนดนโยบายและออกกฎหมาย ที่เกี่ยวข้องดังที่จะกล่าวถึงในบทที่ 4  

1.5 ข้อจำกัดในการระบุตัวบุคคลด้วยใบรับรองดิจิตัล

แม้ว่าการใช้ใบรับรองดิจิตัลจะช่วยแก้ปัญหาความปลอดภัยในการทำธุรกรรมทางการพาณิชย์อิเล็กทรอนิกส์ได้ในระดับหนึ่ง  จากการช่วยให้ ฝ่ายต่างๆ สามารถระบุตัวบุคคลอื่นที่ติดต่อด้วยได้ก็ตาม วิธีการตรวจสอบและออกใบรับรองในปัจจุบันยังมีข้อจำกัดที่สำคัญหลายประการคือ

• การระบุตัวบุคคลด้วยใบรับรองดิจิตัลยึดหลักในการระบุตัวบุคคลด้วยกุญแจลับซึ่งเป็นสิ่งที่บุคคลนั้นมีในครอบครอง  ในทางปฏิบัติผู้ครอบครองกุญแจลับอาจไม่ใช่เจ้าของใบรับรองนั้นก็ได้ซึ่งแตกต่างจากการระบุตัวบุคคลด้วยลักษณะทางชีวภาพ (biometrics)
• ใบรับรองตามมาตรฐาน X. 509 v3 ซึ่งเป็นมาตรฐานหลักไม่มีข้อมูลที่เพียงพอในการระบุตัวบุคคลในบางสถานการณ์ เช่น ไม่ระบุอายุหรือเพศของผู้ถือใบรับรอง ซึ่งอาจจำเป็นต้องใช้ในเว็บไซต์บางแห่งเช่นเว็บไซต์ที่ให้บริการเฉพาะผู้ที่มีอายุเกิน 20 ปีขึ้นไป หรือเว็บไซต์ที่ให้บริการเฉพาะผู้หญิง
• ในการใช้ใบรับรองตามมาตรฐาน X. 509 v3 ผู้ถือใบรับรองไม่สามารถเลือกเปิดเผยข้อมูลบางส่วนในใบรับรองได้แต่ต้องเปิดเผยทั้งหมด ทั้งที่ในบางสถานการณ์ข้อมูลอื่นในใบรับรองอาจไม่เกี่ยวข้องในการใช้เลยก็ตามเช่น ในการใช้เว็บไซต์ที่จำกัดเพียงอายุของผู้ใช้ ผู้ใช้อาจไม่ต้องการเปิดเผยชื่อและที่อยู่
• การตรวจสอบหลักฐานว่าบุคคลนั้นเป็นบุคคลตามที่กล่าวอ้างหรือไม่นั้นมักใช้วิธีง่ายๆ เพื่อประหยัดต้นทุนในการตรวจสอบ ทำให้ผู้ใช้ใบรับรองในการระบุตัวผู้อื่นไม่มีความมั่นใจอย่างเต็มที่²
• การออกใบรับรองตัวบุคคลในการพาณิชย์อิเล็กทรอนิกส์ระหว่างธุรกิจกับผู้บริโภคส่วนใหญ่ยังเป็นการออกใบรับรองให้แก่เฉพาะธุรกิจ หรือการรับรองเครื่องแม่ข่ายแบบ SSL  ซึ่งทำให้ผู้บริโภคสามารถระบุตัวผู้ขายได้ แต่ผู้ขายยังไม่สามารถระบุตัวผู้ซื้อได้   ทั้งนี้เนื่องจากผู้ซื้อยังไม่มีแรงจูงใจในการขอใบรับรองดังกล่าว

จะเห็นได้ว่าข้อจำกัดเหล่านี้บางข้อเป็นเพียงข้อจำกัดที่เกิดจากมาตรฐานหรือวิธีการในการออกใบรับรองในปัจจุบัน ในขณะที่บางข้อเป็นข้อจำกัด ที่แท้จริงของเทคโนโลยีใบรับรองดิจิตัล  เทคโนโลยีและวิธีการในการระบุตัวบุคคลที่ใช้ในการพาณิชย์อิเล็กทรอนิกส์ในอนาคต จึงอาจแตกต่างจากเทคโนโลยีและวิธีการที่ใช้ในปัจจุบันเป็นอย่างมาก  ซึ่งผู้กำหนดนโยบายหรือผู้ยกร่างกฎหมายที่เกี่ยวข้องจะต้องพิจารณา ถึงพัฒนาการดังกล่าวด้วย