เทคโนโลยี PKI (Public Key Infrastructure)

จากพื้นฐานของการเข้ารหัสแบบ อสมมาตรโดยอาศัยกุญแจคู่ ที่ไม่เหมือนกันใน การเข้ารหัส และ ถอดรหัส และ การใช้ “กุญแจส่วนตัว” ในการเข้ารหัสนี้เอง จะเป็นส่วนสำคัญ ในการสร้างลายมือชื่ออิเล็กทรอนิกส์ ประเภทหนึ่งที่นิยมใช้กันทั่วไปเรียกว่า “ลายมือชื่ออิเล็กทรอนิกส์ (Digital Signature)” เพื่อยืนยันตัวบุคคล และ ใช้กุญแจอีกข้างหนึ่งที่เรียกว่า “กุญแจสาธารณะ” ในการถอดรหัสซึ่งทำหน้าที่สำคัญ ในการตรวจสอบตัวบุคคล จนกลายเป็นที่มาของการเรียก เทคโนโลยีนี้ว่า “เทคโนโลยี PKI” ทั้งนี้ กลไกการ ทำงานของ“เทคโนโลยี PKI” ในระบบรหัสแบบอสมมาตร ประกอบด้วยขั้นตอน ดังนี้

(1) การสร้างลายมือชื่ออิเล็กทรอนิกส์

(ก) การสร้างกุญแจคู่ (Key Pairs) ก่อนการสร้างลายมือชื่ออิเล็กทรอนิกส์นั้น ต้องมีการสร้างกุญแจคู่ขึ้นมาเสียก่อน ด้วยกระบวนการทางคณิตศาสตร์ โดยเจ้าของกุญแจคู่ จะต้องเก็บกุญแจแรกที่เรียกว่า “กุญแจส่วนตัว” ไว้เป็นความลับเพื่อให้ตนเองเท่านั้น สามารถใช้กุญแจส่วนตัวได้แต่ผู้เดียว
ยกเว้นในกรณีของการมอบอำนาจให้บุคคลอื่นใช้ หรือ ในกรณีของนิติบุคคลซึ่งต้อง กระทำการผ่านบุคคลผู้มีอำนาจกระทำการแทน และ โดยปกติการเก็บรักษา “กุญแจส่วนตัว” นั้นก็มักจะบันทึก และ เก็บไว้ในสมาร์ทการ์ด ส่วน “กุญแจสาธารณะ” ก็จะเปิดเผยไว้ในระบบ ฐานข้อมูล ของผู้ประกอบการรับรอง (Certificaton Authority) เพื่อให้สามารถตรวจสอบตัวบุคคลได้โดยง่าย

(ข) ขั้นตอนการแฮชหรือย่อย (Hash Function) ในการสร้างลายมือชื่ออิเล็กทรอนิกส์นั้น นอกจากจะต้องมีกุญแจคู่แล้ว ก่อนสร้างลายมือชื่ออิเล็กทรอนิกส์ ก็มีขั้นตอนสำคัญ ในการนำ ข้อมูลอิเล็กทรอนิกส์ ที่ผู้ส่งข้อมูลประสงค์จะส่งให้แก่ผู้รับข้อมูล นำมาคำนวณด้วยกระบวนการทางคณิตศาสตร์ (Algorithm) ที่เรียก ว่า “ขั้นตอนการแฮช (Hash Function)” หรือ One-way cryptography หรือ One-way hash function เพื่อย่อย หรือ ทำให้ข้อมูลอิเล็กทรอนิกส์นั้น มีขนาดเล็กลงอัน จะทำให้ง่ายต่อการคำนวณทางคณิตศาสตร์ และ การจัดส่งให้ผู้รับข้อมูล ในขั้นตอนต่อไป ผลลัพธ์ที่ได้จากขั้นตอนการแฮช จะทำให้ได้ข้อมูลที่ย่อย (Message Digest) ซึ่งมีขนาดเล็กลง และ คงที่ (Fixed Length)

(ค) การสร้างลายมือชื่ออิเล็กทรอนิกส์ หลังจากนั้นก็นำกุญแจส่วนตัวมาทำการเข้ารหัสกับข้อมูลที่แฮช หรือ ย่อย (Message Digest) ซอฟต์แวร์ก็จะ ทำการแปลงข้อมูลอิเล็กทรอนิกส์เหล่านั้น ให้เป็นลายมือชื่ออิเล็กทรอนิกส์ (Digital Signature) และ ลายมือชื่ออิเล็กทรอนิกส์นั้นก็จะมีลักษณะเฉพาะ ที่สัมพันธ์กับข้อมูลแฮช และ กุญแจส่วนตัว กล่าวคือ ทุกครั้งที่ข้อมูลแฮช หรือ กุญแจส่วนตัวเปลี่ยนแปลงไปจากเดิม ลายมือชื่ออิเล็กทรอนิกส์ที่ ได้ก็จะเปลี่ยนแปลงตามไปด้วย ลายมือชื่ออิเล็กทรอนิกส์จึงไม่มีโอกาสซ้ำกันเลย

หลังจากสร้างลายมือชื่ออิเล็กทรอนิกส์แล้ว ซอฟต์แวร์ก็จะทำการนำลายมือชื่ออิเล็กทรอนิกส์ที่ได้นั้น ไปแนบไว้ท้ายข้อความที่อยู่ใน รูปของข้อมูลอิเล็กทรอนิกส์ เพื่อใช้ส่งให้กับผู้รับข้อมูลต่อไป และ เพื่อประโยชน์ในการตรวจสอบตัวบุคคล โดยปกติซอฟต์แวร์ก็จะถูกตั้ง โปรแกรมให้แนบกุญแจสาธารณะ และ ใบรับรองกุญแจสาธารณะของผู้ส่งข้อมูล ไปกับข้อมูลอิเล็กทรอนิกส์ พร้อมด้วยลายมืออิเล็กทรอนิกส์ด้วย เพื่อความสะดวกของผู้รับข้อมูล ในการตรวจสอบลายมือชื่ออิเล็กทรอนิกส์นั้น ดังนั้น ในการส่งข้อมูลอิเล็กทรอนิกส์โดยแนบลายมือชื่ออิเล็กทรอนิกส์ไปด้วยนั้น ก็จะประกอบด้วย ข้อมูลอิเล็กทรอนิกส์ถึง 3 ส่วน ได้แก่

(1) ส่วนแรก คือ ข้อมูลอิเล็กทรอนิกส์ที่มีข้อความเดิม ซึ่งใช้ในการติดต่อสื่อสารระหว่างบุคคล อันเป็นข้อความที่อ่านออก และ เข้าใจได้ (2) ส่วนที่สอง เป็นลายมือชื่ออิเล็กทรอนิกส์ และ (3) ส่วนสุดท้าย จะเป็นกุญแจสาธารณะ พร้อมใบรับรองกุญแจสาธารณะของผู้ลงลายมือชื่ออิเล็กทรอนิกส์

(2) การตรวจสอบลายมือชื่ออิเล็กทรอนิกส์

เมื่อผู้รับข้อมูลได้ข้อมูลอิเล็กทรอนิกส์ ที่มีการใช้ลายมือชื่ออิเล็กทรอนิกส์ เพื่อยืนยันตัวผู้ส่งข้อมูลมาด้วย หากผู้รับข้อมูลประสงค์ จะตรวจสอบข้อมูล ก็ทำได้โดยนำกุญแจสาธารณะของผู้ส่งข้อมูล มาเข้ารหัสกับลายมือชื่ออิเล็กทรอนิกส์ และ เนื่องจากกุญแจสาธารณะนั้น มีความสัมพันธ์กับ กุญแจส่วนตัว เมื่อดำเนินการตามกระบวนการทางคณิตศาสตร์ ก็จะถอดรหัสออกมา และได้ผลลัพธ์ในรูปของ “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” ในขณะเดียวกัน ข้อความที่ส่งมาในรูปของข้อมูลอิเล็กทรอนิกส์นั้น ก็จะถูกย่อยด้วย กระบวนการทางคณิตศาสตร์เช่นกัน ซึ่งจะได้ผลลัพธ์เช่นกัน คือ “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” และหากว่า “ข้อมูลแฮช” หรือ “ข้อมูลที่ย่อย” ออกมา ตรงกันก็เป็นบทพิสูจน์ว่า บุคคลที่ส่งมาเป็นเจ้าของกุญแจส่วนตัว ซึ่งตรวจสอบได้ว่าเป็นผู้นั้นจริง

นอกจากประโยชน์ในการระบุตัวบุคคล และ ตรวจสอบตัวบุคคลข้างต้นแล้ว ประโยชน์อีกประการในการใช้เทคโนโลยีชนิดนี้ ก็คือ การตรวจสอบได้ว่ามีการแก้ไข เปลี่ยนแปลงข้อมูลอิเล็กทรอนิกส์ที่ส่งมา เนื่องจากการทำงานของกุญแจคู่นั้นจะมีความ สัมพันธ์กันในเชิงตรรกะ ดังนั้น เมื่อใช้กุญแจส่วนตัวเข้ารหัสกับข้อมูลที่ย่อย ก็จะได้ลายมือชื่ออิเล็กทรอนิกส์ที่มีค่าออกมาคงที่ ในการตรวจสอบตัวบุคคล ด้วยกุญแจสาธารณะซึ่งมีความสัมพันธ์กัน ในเชิงตรรกะ ก็จะได้ผลลัพธ์เป็นข้อมูลที่ย่อย ซึ่งใช้ในการสร้างลายมือชื่ออิเล็กทรอนิกส์เดิมนั้น ดังนั้น ในขั้นตอนของการตรวจสอบ ซึ่งจะต้องมีขั้นตอนในการย่อยข้อความที่อ่านออก และ เข้าใจได้ เพื่อให้ได้ข้อมูลที่ย่อย และ นำมาเปรียบเทียบกับข้อมูลที่ย่อย ซึ่งเกิดจากการใช้กุญแจสาธารณะ เข้ารหัสกับลายมือชื่ออิเล็กทรอนิกส์นั้นต้องได้ข้อมูลที่ย่อยเหมือนกัน เสมอหากได้ค่าไม่เหมือนกัน แสดงว่ามีการเปลี่ยนแปลงแก้ไขข้อความนั้น

ดังนั้น การใช้ระบบกุญแจคู่เพื่อสร้างลายมือชื่ออิเล็กทรอนิกส์ และ ตรวจสอบลายมือชื่ออิเล็กทรอนิกส์ จึงมีประโยชน์อีกประการหนึ่ง ในการตรวจสอบได้ว่ามีการแก้ไขเปลี่ยนแปลงข้อความ ที่ส่งมาให้แก่ผู้รับข้อมูลหรือไม่

(3) สรุปกระบวนการสร้างและตรวจสอบลายมือชื่ออิเล็กทรอนิกส์

1. สร้างกุญแจคู่



2. เตรียมข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่ง เช่น อาจอยู่ในรูปของ e-mail



3. เตรียมข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่งให้อยู่ในรูปของข้อมูลที่ถูกย่อย (message digest) โดยผ่านกระบวนการแฮช (hash function)



4. ผู้ส่งเข้ารหัสข้อมูลที่ถูกย่อยด้วยกุญแจส่วนตัว โดยผ่านกระบวนการทางคณิตศาสตร์ ออกมาเป็นลายมือชื่ออิเล็กทรอนิกส์ ดังนั้น ลายมือชื่ออิเล็กทรอนิกส์จึงประกอบด้วย ข้อมูลที่ถูกย่อยที่นำมาเข้ารหัสกับกุญแจส่วนตัว



5. นำลายมือชื่ออิเล็กทรอนิกส์มาแนบท้าย หรือ แนบติดกับข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่ง



6. ผู้ส่งทำการส่งลายมือชื่ออิเล็กทรอนิกส์ และ ข้อมูลอิเล็กทรอนิกส์ ไม่ว่าข้อมูลอิเล็กทรอนิกส์นั้น จะมีการเข้ารหัสลับหรือไม่ก็ตาม ไปให้กับผู้รับโดยผ่านทางสื่ออิเล็กทรอนิกส์



7. ผู้รับใช้กุญแจสาธารณะของผู้ส่ง ในการตรวจสอบลายมือชื่ออิเล็กทรอนิกส์ของผู้ส่ง ซึ่งการตรวจสอบโดยการใช้กุญแจสาธารณะของผู้ส่งนั้น เป็นการรับรองในทางเทคนิคในระดับหนึ่ง ว่าข้อมูลอิเล็กทรอนิกส์มาจากผู้ส่งจริง



8. ผู้รับนำข้อมูลอิเล็กทรอนิกส์ที่ได้รับ มาผ่านกระบวนการย่อย เพื่อให้ออกมาเป็นข้อมูลที่ถูกย่อย (message digest)



9. ผู้รับนำข้อมูลที่ถูกย่อยทั้ง 2 ข้อมูลมาเปรียบเทียบกัน ถ้าข้อมูลที่ถูกย่อยทั้งสองข้อมูลเหมือนกัน แสดงว่าข้อมูลอิเล็กทรอนิกส์ตั้งแต่ต้น ไม่มีการเปลี่ยนแปลงนับแต่เวลาที่ลงลายมือชื่อแล้ว แต่หากที่การเปลี่ยนแปลงข้อมูลอิเล็กทรอนิกส์ดังกล่าว แม้เพียง 1 บิต (bit) นับแต่เวลาที่ลงลายมือชื่อแล้ว ข้อมูลย่อยที่ผู้รับสร้างขึ้นจะแตกต่างจากข้อมูลที่ถูกย่อยที่ผู้ส่งสร้างขึ้น



10. ในกรณีที่มีการใช้กระบวนการการรับรอง (certification process) ผู้รับได้รับใบรับรองจากผู้ประกอบการรับรอง (CA) (หรือจากผู้ส่งหรือจากที่อื่น) ซึ่งใช้ยืนยันลายมือชื่ออิเล็กทรอนิกส์ในข้อมูลอิเล็กทรอนิกส์ของผู้ส่ง

(4) การเข้ารหัสลับข้อมูล (Encryption)

ในกรณีต้องการส่งข้อมูลไปยังผู้รับ โดยไม่ต้องการให้ผู้อื่นสามารถเปิดอ่านข้อความได้ ก็สามารถใช้เทคโนโลยีการ เข้ารหัสลับ (Encryption Technology) เพื่อรักษาความลับของข้อมูลอิเล็กทรอนิกส์ โดยการนำกุญแจสาธารณะของผู้รับข้อมูล มาเข้ารหัสกับข้อมูลอิเล็กทรอนิกส์ที่ต้องการส่งไป เมื่อผู้รับได้รับข้อมูลนั้นแล้ว ก็สามารถถอดรหัสได้แต่เพียงผู้เดียว โดยใช้กุญแจส่วนตัวที่ตนเก็บไว้เป็นความลับ แม้จะมีผู้อื่นในระบบได้รับข้อความนั้นด้วยก็ตาม เนื่องจากกุญแจส่วนตัวจะถูกเก็บไว้เป็นความลับ ไม่เปิดเผยให้ผู้อื่นทราบ เรียกวิธีการเช่นนี้ว่า การเข้ารหัสลับข้อมูล (Data Message encryption)

ที่มา : www.ictlaw.thaigov.net