Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 36 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
36
Dung lượng
832,26 KB
Nội dung
Mục lục Câu : An tồn thơng tin ? Đặc điểm an tồn thơng tin ? Câu Các nguy tiềm ẩn môi trường điện tử giải pháp cho nguy Câu 3: So sánh chữ ký số chứng thư số? Câu 4: Chính phủ điện tử gì? Chức năng, mục tiêu Câu 5: Chữ ký số gì? Mơ tả vẽ q trình tạo chữ ký kiểm tra chữ ký người A Giải thích lại dùng chữ ký số cho việc xác thực Câu 6: Chứng thư số Trình bày mơ hình kiến trúc tin cậy PKI (khơng chắn có câu cuối mơ hình) Câu 7: So sánh ưu nhược điểm hệ mật khóa cơng khai hệ mật khóa bí mật, vẽ mơ hình kết hợp hệ này( không đúng) .7 Câu : Vẽ mơ hình quản lý vịng đời khóa/ chứng Câu 9: Cơ sở hạ tầng khóa cơng khai PKI cần có PKI 11 Câu 10: PKI chưa làm Lợi ích .11 Câu 11: CP ( sách chứng thư) gì? CPS ( quy chế chứng thư) gì? So sánh CP CPS, đánh giá tài liệu mà chi tiết dung để đánh giá tổ chức xác 12 Câu 12: Vẽ mơ hình trình bày bước quy trình đăng ký thu hồi chứng thư số khóa PKI 13 Câu 13: Trình bày khái niệm cách thức hoạt động OCSP Nêu hạn chế, vẽ mơ hình q trình thu thập thơng tin 14 Câu 14: Xác thực gì? Trình bày dịch vụ xác thực PKI 15 Câu 15: PKI triển khai cặp khóa? Là cặp khóa ? việc lưu khóa nên khuyến cáo thực vơi cặp khóa Vì sao? 16 Câu 16: PKI có dịch vụ nào? Có dịch vụ cốt lõi Trình bày 16 Câu 17: Hỗ trợ ứng dụng: mơ hình đăng nhập lần 17 Câu 18: Ý nghĩa tem thời gian PKI .17 Câu 19: Nêu định nghĩa PKI? Vẽ mơ hình tổng thể hệ thống PKI trình bày hiểu biết thành phần hệ thống PKI 18 Câu 20: Trình bày thiết kế chi tiết kiến trúc phân cấp PKI với mức phân cấp CA 20 Câu 21: Nêu nhược điểm CRL ver1? CRL VER2 khắc phục nhược điểm Trình bày khn dạng chứng thu số X.509 VER3 21 Câu 22: Những vấn đề gặp phải triển khai hệ thống PKI? Vì lại xảy vấn đề đó? 22 Câu 23: Xác minh tính hợp lệ chứng thư số gồm bước, vẽ lược đồ mơ tả bước .23 Câu 24: Hiểu biết hộ chiếu điện tử 23 Câu 25: Chữ ký số?thuộc tính yêu cầu chữ ký số 25 Câu 26: Trong khuôn dạng CRL X.509 có trường mở rộng sau: Các trường mở rộng chung, điểm phân tán CRL, Delta-CRL, CRL gián tiếp việc treo chứng Vậy Delta-CRL gì? Việc sử dụng Delta-CRL có ý nghĩa nào? 26 Câu 27: Minh họa khuân dạng chứng X.509 ver Vì khuân dạng X.509 v1 v2 không đáp ứng tất yêu cầu? giải thích việc bổ sung số trường V3) 27 Câu 28: Tương lai PKI: nguyên nhân hướng phát triển 29 Câu 29: Trình bày hiểu biết giao thức PKI? .30 Câu 30: Yêu câu cần để triển khai hệ thống PKI? 30 Câu 31: có loại mơ hình tin cậy PKI ? slide ong thầy (bài slide5) đọc xem phản hồi ko biết hay .31 Câu : An tồn thơng tin ? Đặc điểm an tồn thơng tin ? - An tồn thơng tin hành động ngăn cản, phịng ngừa sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại phá hủy thơng tin chưa có cho phép - Đặc điểm: + Đảm bảo tính bảo mật + Đảm bảo tính tồn vẹn + Đảm bảo tính xác thực + Đảm bảo tính sẵn sàng + bảo vệ tài nguyên tính riêng tư hệ thống Câu Các nguy tiềm ẩn môi trường điện tử giải pháp cho nguy **Các nguy tiềm ẩn môi trường giao dịch điện tử: -Bảo mật => Nghe trộm -Toàn vẹn => Sửa đổi liệu -Xác thực => Giả mạo -Chống chối bỏ =>Chối bỏ trách nhiệm **Các giải pháp: -Bảo mật => Mã hóa liệu -Tồn vẹn => Hàm băm, chữ ký số -Xác thực => Chứng số, chữ ký số -Chống chối bỏ => Chữ ký số, nhật ký Câu 3: So sánh chữ ký số chứng thư số? - Chữ ký số Chữ ký số là dạng chữ ký điện tử Dùng để cam kết lời hứa điều rút lại Chữ ký số sử dụng giấy mực, gắn đặc điểm nhận dạng người ký vào cam kết Chữ ký số người sử dụng tạo sau nhà cung cấp dịch vụ cung cấp chứng thư số Chứng thư số Chứng thư số loại chứng thư điện tử tổ chức dịch vụ chứng thực chữ ký số cung cấp Có thể xem chứng thư số “chứng minh thư” doanh nghiệp dùng mơi trường internet máy tính Chứng thư số sử dụng để đối tác người sử dụng biết xác định chữ ký, chứng minh Chứng thư số bao gồm nội dung sau:Tên Tổ - chức cung cấp dịch vụ chứng thực chữ ký số ,Tên Thuê bao , Số hiệu chứng thư, thời hạn hiệu lực, chữ ký số tổ chức chứng thực, phạm vi sử dụng,… Chứng thư số sử dụng để xác định chắn danh tính đối tượng, tổ chức tham gia vào giao dịch điện tử dựa máy chủ xác thực danh tính Chứng thư số sở để đối tác xác nhận việc ký số có hay khơng chữ ký số đóng vai trị xác nhận thơng tin văn bản, cam kết cá nhân hay tổ chức Mối quan hệ chữ ký số chứng thư số mối quan hệ hỗ trợ Câu 4: Chính phủ điện tử gì? Chức năng, mục tiêu Chính phủ điện tử phủ ứng dụng công nghệ thông tin truyền thông nhằm tăng hiệu hoạt động quan phủ, phục vụ ngƣời dân doanh nghiệp tốt Chức Thứ nhất, CPĐT đưa phủ tới gần dân đưa dân tới gần phủ Thứ hai, CPĐT làm minh bạch hóa hoạt động phủ, chống tham nhũng, quan liêu, độc quyền Thứ ba, CPĐT giúp phủ hoạt động có hiệu quản lý phục vụ dân (cải cách hành nâng cao chất lƣợng dịch vụ công) Mục tiêu: - Tạo môi trường kinh doanh tốt hơn; - Khách hàng trực tuyến, xếp hàng; - Tăng cường điều hành có hiệu phủ tham gia rộng rãi người dân; - Nâng cao suất tính hiệu quan phủ; - Nâng cao chất lượng sống cho cộng đồng vùng sâu vùng xa Câu 5: Chữ ký số gì? Mơ tả vẽ q trình tạo chữ ký kiểm tra chữ ký người A Giải thích lại dùng chữ ký số cho việc xác thực - Chữ ký số là dạng chữ ký điện tử Về bản, chữ ký số giống chữ viết tay Dùng để cam kết lời hứa điều rút lại Chữ ký số sử dụng giấy mực, gắn đặc điểm nhận dạng người ký vào cam kết - Tạo chữ ký số: Dùng giải thuật băm để thay đổi thông điệp cần truyền Kết ta tóm lược Sử dụng khóa bí mật người gửi mã để mã hóa tóm lược thu bước thu chữ ký số Ghép chữ ký số vào văn gốc, thay đổi văn gốc chữ ký bị phát giai đoạn kiểm tra Ngoài ra, việc ký số đảm bảo người nhận tin tưởng văn xuất phát từ người gửi khác - Cách kiểm tra - Dùng khóa cơng khai người gửi để mã chữ ký số văn Dùng giải thuật băm để băm văn đính kèm So sánh kết bước trùng ta kết luận: liệu nhận có tính tồn vẹn ( kết băm chiều) liệu nhận người gửi gửi người gửi có khóa bí mật phù hợp với khóa cơng khai sử dụng để giải mã Vậy tính chồng chối bỏ tính xác thực kiểm tra xác nhận Giải thích Câu 6: Chứng thư số Trình bày mơ hình kiến trúc tin cậy PKI (khơng chắn có câu cuối mơ hình) - Chứng thư số loại chứng thư điện tử tổ chức dịch vụ chứng thực chữ ký số cung cấp Có thể xem chứng thư số “chứng minh thư” doanh nghiệp dùng mơi trường internet máy tính - Có mơ hình tin cậy PKI là: Mơ hình phân cấp Mơ hình mạng lưới Mơ hình danh sách tin cậy Mơ hình phân cấp Trong mơ hình này: - Cơ quan chứng thực gốc (Root CA): quan cấp chứng số cho quản chứng thực, Là điểm tin cậy cho người dung hệ thống CA Người dùng tin cậy vào Root CA, họ tin cậy vào CA cấp chứng Root CA - - Cơ quan chứng thực(CA): Là quan cấp chứng số cho người sử dụng Cơ quan đăng ký (RA – Registration Authority): Là đơn vị CA uỷ quyền thực nhiệm vụ cấp chứng Bao gồm: + Tiếp nhận hồ sơ đăng ký, + Kiểm tra tính xác hợp lệ thông tin đăng ký, Chuyển hồ sơ lên CA Người dùng: Là người cấp chứng để sử dụng cho ứng dụng Mơ hình phân cấp Có dạng hình với RootCA mức cao nhánh mở rộng xuống RootCA gốc tin cậy cho tồn thực thể bên Dưới RootCA thực thể số CA trung gian tạo thành đỉnh Các đỉnh thực thể CA Trong mơ hình RootCA cung cấp chứng cho CA thực thể Các CA lại cung cấp chứng cho thực thể nhiều CA khác Tất đối tượng phải biết khóa công khai RootCA Tất cả chứng chỉ có thể kiểm chứng cách kiểm tra đường dẫn chứng chỉ tới RootCA Tương đồng với cấu trúc phân cấp hệ thống quản lý tổ chức Gần giống với hình thức phân cấp việc tổ chức thư mục nên dễ làm quen Cách thức tìm nhánh x/thực theo hướng định, khơng có tượng vịng lặp Ưu điểm: =>Do đơn giản nhanh chóng Nhược điểm Trong phạm vi rộng, CA đảm nhận tất trình xác thực Các quan hệ kinh doanh thương mại cũ ng có dạng phân cấp Khi khóa riêng RootCA bị lộ tồn hệ thống bị nguy hiểm Mơ hình mạng lưới Trong mơ hình Các CA xác thực ngang hàng tạo nên mạng lưới tin cậy lẫn Các CA kề cấp chứng cho A xác thực B theo nhiều nhánh khác nhau. Ưu điểm: Đây mơ hình linh động, thích hợp với mối liên hệ - quan hệ tin cậy lẫn thực tế công việc kinh doanh Cho phép CA xác thực ngang hàng trực tiếp => Điều đặc biệt có lợi đối tượng sử dụng CA làm việc với thường xuyên Giúp giảm tải lượng đường truyền thao tác xử lý Khi CA bị lộ khóa cần cấp phát chứng CA tới đối tượng có thiết lập quan hệ tin cậy với CA Nhược điểm Do cấu trúc mạng phức tạp nên việc tìm kiếm đối tượng khó khăn Một đối tượng khơng thể đưa nhánh xác thực đảm bảo tất đối tượng hệ thống tin cậy Mơ hình danh sách tin cậy Ưu điểm: Trong mô hình ứng dụng trì danh sách RootCA tin cậy Đây kiến áp dụng rộng rãi với dịch vụWeb Các trình duyệt máy chủ đối tượng sử dụng tiêu biểu Đây kiến trúc đơn giản, dễ dàng triển khai, Các đối tượng sử dụng có tồn quyền với danh sách CA mà tin cậy Các đối tượng làm việc trực tiếp với CA danh sách CA tin cậy Việc quản lý danh sách CA tin cậy tổ chức khó khăn Cấu trúc chứng khơng có nhiều hỗ trợ cho việc tìm nhánh xác nhận Nhược điểm: Khơng có hỗ trợ trực tiếp cặp chứng chỉ ngang hàng hạn chế CA việc quản lý tin cậy với CA khác Nhiều ứng dụng không hỗ trợ tính tự động lấy thơng tin trạng thái hủy bỏ chứng Câu 7: So sánh ưu nhược điểm hệ mật khóa cơng khai hệ mật khóa bí mật, vẽ mơ hình kết hợp hệ này( không đúng) Ưu điểm nhược điểm : + Các thuật tốn mã hóa đối xứng có tốc độ nhanh địi hỏi sức mạnh tính tốn thấp hơn, nhược điểm sử dụng loại mã hóa cần gửi khóa Vì phương thức sử dụng khóa để mã hóa giải mã thơng tin, nên khóa phải gửi cho cần truy cập liệu, điều tự nhiên mở nguy bảo mật + Ngược lại, mã hóa bất đối xứng giải vấn đề gửi khóa phương thức sử dụng khóa cơng khai để mã hóa khóa cá nhân để giải mã Tuy nhiên, đổi lại, hệ thống mã hóa bất đối xứng có tốc độ chậm nhiều so với hệ thống đối xứng địi hỏi nhiều khả tính tốn khóa chúng có độ dài lớn nhiều - Mơ hình: Câu : Vẽ mơ hình quản lý vịng đời khóa/ chứng Mơ hình quản lý khóa vịng đời khóa B1-Giai đoạn khởi tạo Trước thực thể tham gia vào dịch vụ, chúng cần khởi tạo Việc khởi tạo bao gồm: Đăng ký thực thể cuối, Sinh cặp khóa, Tạo chứng phân phối khóa/chứng chỉ, Phổ biến chứng lưu khóa (nếu áp dụng) Q trình đăng ký: Có thể có nhiều kịch khác Là q trình định danh thực thể thiết lập kiểm tra, Mức độ kiểm tra tùy thuộc vào sách chứng Qúa trình sinh cặp khóa Tức sinh cặp khóa bí mật/cơng khai, Có thể sinh trước qtrình đăng ký trả lời trực tiếp cho qtrình đăng ký thực thể cuối Trong mơ hình PKI tồn diện, khóa sinh tại: Thực thể cuối, Trong RA, Hoặc CA Các nhân tố ảnh hưởng đến việc chọn vị trí sinh khóa bao bồm: Khả năng, Hiệu suất, Tính đảm bảo, Phân nhánh pháp lý cách sử dụng khóa định sẵn Vị trí sinh cặp khóa quan trọng: Và tất trường hợp người sử dụng phải có trách nhiệm lưu giữ đảm bảo an tồn, bí mật cho khóa riêng mình, Trường hợp CA tạo ra, CA phải có chế, phương tiện đặc biệt trách nhiệm đảm bảo bí mật tuyệt đối khóa riêng Tạo chứng phân phối khóa/chứng Trách nhiệm tạo chứng chỉ thuộc CA cấp phép, Câu 20: Trình bày thiết kế chi tiết kiến trúc phân cấp PKI với mức phân cấp CA - Thiết kế chi tiết bao gồm root CA tin tưởng toàn hệ thống Các CA hệ thống, CA thường thuộc quản lý công ty hay tổ chức thành viên, tầng CA có nhiều tầng không xuất công ty tổ chức quy mô nhỏ Các người dùng cuối: Mơ hình CA phân cấp dùng trực tiếp cho doanh nghiệp phân cấp độc lập, tổ chức phủ, quân đội Nó cho phép thực thi sách chuẩn thơng qua hạ tầng sở Đây mơ hình dễ vận hành tổ chức khác Nhược điểm sau: Có thể khơng thích hợp mơi trường mà miền khác cần có sách giải pháp PKI khác Các tổ chức khơng tự nguyện tin vào tổ chức khác Chỉ có CA gốc nên gây số vấn đề thiếu khả hoạt động Câu 21: Nêu nhược điểm CRL ver1? CRL VER2 khắc phục nhược điểm Trình bày khn dạng chứng thu số X.509 VER3 - Nhược điểm CRL ver 1: + Độ an tồn: thơng tin CRL ver1 thay không cần am hiểu CA người dung nên truyền tới người dung thơng tin khơng xác + Kích thước: CRL v1 khơng có chế để kiểm sốt hay giới hạn kích thước + Tính mềm dẻo: CRL v1 khơng cho phép mở rộng liên kết với CRL thêm thông tin bổ sung Các vấn đề giải CRL phiên CRL v2 thay đổi lớn trường mở rộng giúp cho CRL linh hoạt khả mở rộng phiên Các trường mô tả sau: +version: + chữ ký: gồm định danh thuận toán CA cấp phát + người phát hành: chứa tên phân biệt X.500 (DN) CA cấp phát + This update: trường bao gồm ngày mà CRL phát hành + Next update: chứa thông tin ngày CRL phát hành CRL bị hết hạn + List of Revoked certificate: gồm chứng thư bị thu hồi + Extendsions: bao gồm thông tin bổ sung + Digital Signature: ID thuật tốn chữ ký số Khn dạng v3 + Các khuôn dạng chứng phiên không đáp ứng tất yêu cầu Do cần phải bổ sung hem thơng tin + Giả thiết chủ thể chứng có chứng khác với khóa công khai khác giả thiết cặp khóa cần cập nhật định kỳ, cần phải có cách để phân biệt chứng khác đối tượng cách dễ dàng + Một tên X.500 trở thành tên chủ thể khơng có đầy đủ thơng tin cho người sử dụng chứng khác nhận dạng chủ thể => Cần chuyển thêm thơng tin nhận dạng chủ thể ngồi tên X.500 + Một số ứng dụng cần nhận dạng người sử dụng thông qua dạng tên xác định ứng dụng tên X.500 + Các chứng khác phát hành theo sách hoạt động chứng thực khác Các sách hoạt động chứng thực thường chi phối mức tin cậy người sử dụng chứng + Các đường dẫn chứng thực không dài tùy tiện phức tạp Khi CA (CA phát hành) chứng thực CA khác (CA chủ thể), CA phát hành muốn chấp nhận tập hợp chứng CA chủ thể phát hành Câu 22: Những vấn đề gặp phải triển khai hệ thống PKI? Vì lại xảy vấn đề đó? Mơ hình tin cậy: Thứ bậc hay phân tán? Các triển khai PKI cần dựa vào mơ hình tin cậy Trong thực tế số triển khai doanh nghiệp qui mơ lớn nhìn thấy rõ dựa vào thứ bậc Tự làm lấy hay thuê? Tự làm mà doanh nghiệp định triển khai PKI riêng mình: Tận dụng tài nguyên họ, /hoặc thuê tài nguyên bên để trợ giúp với tất hoạt động bên PKI Đi thuê quan cho phép bên cung cấp vận hành số khía cạnh Tự phát triển sản phẩm mua? Lựa chọn “Tự phát triển” kéo theo việc quan sẵn sàng đầu tư phát triển cơng nghệ PKI Lựa chọn “mua” đơn giản có nghĩa quan mua sản phẩm dịch vụ PKI,nhưng lại tự làm hay thuê Mơi trường áp dụng đóng hay mở? + Mơi trường đóng mơi trường có truyền thông miền xem xét tới + Môi trường mở môi trường mà truyền thơng miền địi hỏi hỗ trợ Khuôn dạng chứng X.509 hay khuôn dạng chứng khác? Phục vụ số ứng dụng hay giải pháp tổng thể? Các hoạt động trực tuyến hay không trực tuyến? Các yêu cầu thiết bị: thành phần bảo vệ mực Các yêu cầu nhân viên: nhân viên có trình độ cao Hủy bỏ chứng chỉ: Có thể áp dụng số kỹ thuật hủy bỏ chứng khác Khơi phục khóa: Có thể cài đặt thiết bị khơi phục khóa phần CA cài đặt thành phần khơi phục khóa riêng biệt Kho lưu trữ: Một số tùy chọn cài đặt thành phần dư thừa cực tiểu hóa mạo hiểm tương ứng với nhiều nguồn gốc rủi ro,việc xem xét kịch trường hợp tồi đảm bảo kế hoạch bất ngờ tốt có sẵn quan trọng Yếu tố giá cả: cần phần cứng, quy mô bao nhiêu, giá trị phần mềm, công cụ hỗ trợ, sở hạ tầng có khai thác được,… Câu 23: Xác minh tính hợp lệ chứng thư số gồm bước, vẽ lược đồ mơ tả bước - Bước 1: Kiểm tra chứng thư số hiệu lực hay không - Bước 2: Xác minh chứng thư CA tin tưởng cấp phát - Bước 3: Đảm bảo chứng thư số sử dụng vào mực đích - Bước 4: Kiểm tra, xác định chứng thu số có bị thu hồi hay không Sơ đồ Câu 24: Hiểu biết hộ chiếu điện tử - Hộ chiếu điện tử hộ chiếu tích hợp chip điện tử ICC (Integrated Cỉcuit Chip) có chức mã hóa lưu trữ thơng tin cá nhân người dùng. - Thông tin cá nhân người dùng phải bảo vệ chống truy nhập trái phép phải xác thực tính xác, hộ chiếu. - Một công cụ bảo vệ liệu mà thé giới sử dụng phương pháp mã hóa liệu. Chữ kí số sử dụng để kí vào liệu chúng lưu trữ chip Hộ chiếu điện tử tích hợp cơng nghệ: Nhận dạng tần số Radio (RFID) RFID cơng nghệ nhận dạng đối tượng sóng vơ tuyến Công nghệ cho phép nhận biết đối tượng thơng qua hệ thống thu phát sóng radio, từ giám sát, quản lý lưu vết đối tượng Sinh trắc (vân tay, mống mắt) Cơ sở hạ tầng khóa cơng khai PKI (Public key infrastructure). Yêu cầu hộ chiếu điện tử: + Tính chân thực: Cơ quan cấp hộ chiếu điện tử phải ghi thông tin người xin cấp hộ chiếu, đảm bảo khơng có nhầm lẫn q trình ghi thơng tin vào hộ chiếu + Tính khơng thể nhân bản: u cầu phải đảm bảo khơng thể tạo xác chip RFID lưu HCĐT + Tính nguyên vẹn xác thực: Cần chứng thực tất thông tin lưu trang liệu chip RFID không bị thay đổi từ lúc lưu thông tin quan cấp HCĐT tạo + Tính liên kết người - hộ chiếu: Cần phải đảm bảo HCĐT thuộc người mang nó, hay nói cách khác, thơng tin lưu HCĐT phải thực mô tả người sở hữu hộ chiếu + Tính liên kết hộ chiếu - chip: Cần phải đảm bảo booklet khớp với mạch RFID nhúng + Kiểm sốt truy cập: Đảm bảo truy cập thông tin lưu chip HCĐT phải đồng ý chủ sở hữu, hạn chế truy cập đến thông tin sinh trắc học nhạy cảm tránh mát thông tin Thành phần Gồm thành phần : + MRZ: hai dịng liệu liên tục thiết kế để đọc máy đọc quang học phía cuối trang liệu Mỗi dịng phải có 44 ký tự xếp theo phông OCR-B in hoa gồm bốn thông tin quan trọng: • Họ tên: Xuất dịng từ ký tự thứ đến ký tự thứ 44 • Số hộ chiếu: Xuất ký tự dịng thứ • Ngày tháng năm sinh: Xuất từ ký tự thứ 14 đến 19 dòng thứ theo định dạng YYMMDD • Ngày hết hạn: Xuất từ ký tự 22 đến 29 dòng thứ theo định dạng YYMMDD + Mạch tích hợp tần số radio RFIC: gồm chip tuân theo chuẩn ISO/IEC 14443 ăngten vòng khơng dùng để kết nối mà cịn dùng để nhận biết tín hiệu từ đầu đọc Điều giải thích HCĐT khơng có nguồn điện trong, lượng hoạt động cho chip thu nhận qua ăngten Các nguy hộ chiếu điện tử : Clandestine scanning: thông tin người dùng dễ bị scanning bị lộ Clandestine tracking: Nguy liên quan đến định danh thẻ RFID Việc xác định định danh thẻ phi tiếp xúc cho phép xác định nguồn gốc HCĐT, chẳng hạn quốc tịch người mang hộ chiếu Skimming and Cloning: Khi liệu chip RFID bị rị rỉ, cho phép nhân chip RFID để tạo HCĐT Đây nguy nghiêm trọng cần phải ý suốt trình phát hành sử dụng HCĐT. Eavesdropping: Nguy nghe thơng tin ln coi nguy có tính nguy hiểm vấn đề bảo mật hộ chiếu điện tử Biometric data-leakage: Nguy liên quan mật thiết đến vấn đề đảm bảo an toàn liệu sinh trắc nói riêng tồn liệu lưu chip nói chung Cryptographic Weeknesses: Nguy liên quan đến mơ hình bảo đảm an tồn bảo mật thông tin lưu chip RFID Các chế bảo mật thông tin HCDT: + Passive Authentication (PA): Cơ chế xác thực bị động, chế bắt buộc trình xác thực HCĐT, kiểm tra tính ngun vẹn xác thực thơng tin lưu chip RFID cách kiểm tra chữ ký quan cấp hộ chiếu để xác thực liệu lưu nhóm liệu LDS chip RFID + Basic Access Control (BAC): Cơ chế kiểm soát truy cập bản, chống lại việc nghe đọc trộm thông tin HCĐT mà chưa có đồng ý người sở hữu, ngăn chặn nguy Skimming vàEavesdropping + Active Authentication (AA): Cơ chế xác thực chủ động, đảm bảo tính xác thực chip tích hợp HCĐT cách đưa cặp khóa riêng + Extended Access Control (EAC): Cơ chế kiểm soát truy cập mở rộng, tăng cường bảo vệ thông tin sinh trắc học nhạy cảm vân tay, mống mắt… đồng thời khắc phục hạn chế trình xác thực chủ động Cơ chế gồm hai giai đoạn: + Chip Authentication: giao thức cho phép hệ thống kiểm tra xác thực tính đắn chip RFID HCĐT + Terminal Authentication: giao thức chip RFID xác minh xem hệ thống kiểm tra có quyền truy cập đến vùng liệu nhạy cảm hay không Câu 25: Chữ ký số?thuộc tính yêu cầu chữ ký số ĐN: Chữ ký số phần liệu đính kèm với tin, dùng để nhận dạng xác thực người gửi liệu tin, sử dụng mã hố khố cơng khai Người gửi sử dụng hàm hash chiều để tạo mã hash có độ dài 32 bit từ liệu tin Sau đó, người gửi mã hố mã hash đó(hash-code) khố riêng người gửi Người nhận tính tốn lại mã hash từ liệu giải mã mã hash khố cơng khai người gửi Nếu hai mã hash giống nhau, người nhận chắn liệu khơng bị sửa đổi liệu người gửi Quá trình kiểm tra chữ ký số Khi người nhận nhận thơng báo, để kiểm tra tính hợp lệ nó, người nhận dùng khố cơng khai người gửi để giải mã chữ ký số Kết trình giải mã chữ ký số tóm lược thơng báo người gửi tạo Sau đó, người nhận dùng hàm băm chiều để tính tốn tóm tắt qua nội dung thơng báo lần lấy kết đem so sánh với tóm lược thơng báo vừa giải mã trên, kết giống trình kiểm tra thành cơng Ngược lại kết luận thông báo bị giả mạo thơng tin bị thay đổi q trình gửi Các chuẩn liên quan chữ ký số: - Đảm bảo tính mở rộng hệ thống, - Đảm bảo tính tương tác thành phần PKI hệ thống PKI với hệ thống PKI khác - Chữ ký số phải tuân theo chuẩn nhà cung cấp tổ chức liên quan quy định chuẩn: Các thuật tốn mật mã, Lưu trữ khóa, Quản lý chứng CRL, Công bố chứng CRL, Hủy bỏ chứng chỉ, Dịch vụ tem thời gian, Các dịch vụ cho bên tin cậy thứ 3; CP CPS; Câu 26: Trong khn dạng CRL X.509 có trường mở rộng sau: Các trường mở rộng chung, điểm phân tán CRL, Delta-CRL, CRL gián tiếp việc treo chứng Vậy Delta-CRL gì? Việc sử dụng Delta-CRL có ý nghĩa nào? Các trường mở rộng Định danh khoá thẩm quyền (Authority Key Identifier) định danh khoá mà sử dụng để xác minh chữ ký số tính CRL Định danh khoá thẩm quyền khác biệt nhiều khoá áp dụng cho người phát hành CRL Tên khác người phát hành (Issue Alternative Name) nhiều hình thái tên khác tương ứng với người phát hành CRL Số CRL (số CRL) truyền đạt số seri cho CRL người phát hành CRL thuộc tính thư mục thẩm quyền tương ứng điểm phân phối CRL Mở rộng coi đánh dấu không quan trọng theo X.509 việc đưa trường vào bắt buộc RFC3280 Phạm vi CRL (CRL Scope), Các CRL phân loại theo nhiều cách, bao gồm kiểu chứng chỉ, mã lý huỷ bỏ chứng chỉ, số seri, định danh khoá chủ thể tên Theo phiên năm 2000 X.509, mở rộng đánh dấu quan trọng Các dẫn tới trạng thái (Status Referrals), mở rộng bao gồm CRL Scope (được bàn tới trên) cú pháp nó, hỗ trợ phân loại động theo nhiều cách khác nhau, bao gồm kiểu chứng chỉ, mã lý huỷ bỏ chứng chỉ, số seri, định danh khoá chủ thể tên Thứ hai, cho phép CA cơng bố danh sách CRL mà sử dụng để xác định chắn xem bên tin cậy vào có thơng tin huỷ bỏ cuối hay chưa Định danh dòng CRL (CRL Stream Identifier), sử dụng để “nhận dạng ngữ cảnh mà số CRL nhất” Mở rộng không quan trọng Danh sách xếp (Ordered List), xem danh sách chứng huỷ bỏ theo thứ tự tăng dựa số seri hay ngày tháng huỷ bỏ, mở rộng đánh dấu không quan trọng Thông tin Delta (Delta Information),, Delta CRLs tương ứng với CRL có thể., mở rộng đánh dấu không quan trọng Điểm phân phối phát hành (Issuing Distribution Point) tên điểm phân phối CRL (nếu có) kiểu chứng chứa CRL Mặc dù mở rộng cần phải đánh dấu quan trọng, RFC3280 không yêu cầu cài đặt tuân thủ để hỗ trợ mở rộng Báo hiệu Delta CRL (Delta CRL Indicator) CRL Delta CRL so với CRL sở tham chiếu tới Cập nhật sở (Base Update), , sử dụng Delta CRLs mà có chứa mở rộng Delta CRL Indicator để ngày/thời gian mà sau Delta CRL cung cấp cập nhật trạng thái huỷ bỏ, mở rộng đánh dấu không quan trọng CRL (Freshest CRL), mở rộng đánh dấu quan trọng khơng quan trọng Tuy nhiên, đánh dấu quan trọng, bên tin tưởng khơng có lựa chọn trừ kiểm tra thông tin CRL trước sử dụng chứng cần đánh giá Delta-CRL CRL bổ sung cung cấp vào thời điểm định bao gồm Cert hủy thời gian từ delta-CRl trước tới phát hành Delta CRL Khi khơng sử dụng delta CRL nhà phát hành buộc phải phát hành CRL bao gồm danh sách đầy đủ tất Cert hủy từ trước tới CRL vô cồng kềnh khiến Cert nhà phát hành yếu cách nhanh chóng Cịn sử dụng Delta CRL tương ứng với việc cần cung cấp cert hủy bỏ hai Distribution Point, để cập nhật vào CRL đầy đủ có tay người dùng, tất nhiên người dùng lần sử dụng buộc phải tải CRL đầy đủ địa mà nhà phát hành cung cấp Câu 27: Minh họa khuân dạng chứng X.509 ver Vì khuân dạng X.509 v1 v2 không đáp ứng tất yêu cầu? giải thích việc bổ sung số trường V3) Khuân dạng táng câu 21 vào Chứng khố cơng khai phiên ban đầu định nghĩa Khuyến cáo X.509 năm 1988, thiếu sót tính khơng mềm dẻo cố hữu, phiên khơng thể mở rộng để hỗ trợ đặc tính thêm Chứng khố công khai phiên sửa chữa nhỏ khuyết điểm đơn giản gia cố phiên với việc thêm trường lựa chọn Bởi nhu cầu cho trường khơng đáng kể khơng có khả hỗ trợ mở rộng khác, chứng khố cơng khai phiên không nhận chấp nhận rộng rãi Khuyến cáo X.509 năm 1997, giới thiệu để điều chỉnh thiếu sót tương ứng với định nghĩa phiên phiên Đặc biệt, phiên đề nghị cải tiến đáng kể phiên phiên thông qua việc thêm lựa chọn mở rộng Gần (trong tháng năm 2000), Khuyến cáo X.509 năm 2000 hoàn thành Phiên năm 2000 bao gồm nhiều thay đổi so với phiên trước, bao gồm định nghĩa hai mở rộng thêm so với chứng khoá công khai phiên Version (phiên bản) phiên chứng (hoặc 1, 3) Serial Number (Số xeri) định danh cho chứng tương người phát hành chứng Signature (chữ ký) định danh thuật toán thuật toán sử dụng để tính chữ ký số chứng Issuer (người phát hành) tên phân biệt (Distinguised Name- DN) CA mà phát hành chứng phải trình bày DN quy ước tên có cấu trúc hình định nghĩa Khuyến cáo X.509 Các DN thiết kế để giúp đảm đảo tên thực thể Validity (Tính hợp lệ) cửa sổ thời gian mà chứng cần xem hợp lệ trừ huỷ theo cách khác Subject (chủ thể) DN người chủ chứng phải khác null trừ dạng tên thay sử dụng (xem trường mở rộng sau này) Subject Public Key Info (thơng tin khố cơng khai chủ thể) khố cơng khai (và định danh thuật toán) tương ứng với chủ thể cần biểu diễn Issuer Unique ID (Định danh người phát hành) định danh không bắt buộc người phát hành chứng chỉ biểu diễn phiên phiên 3; trường sử dụng cài đặt thực tế, khơng khuyến cáo để sử dụng RFC3280 Subject Unique ID (Định danh chủ thể) định danh không bắt buộc người chủ chứng chỉ biểu diễn phiên phiên 3; Câu 28: Tương lai PKI: nguyên nhân hướng phát triển Một số khẳng định PKI khơng tồn lâu, người khác lại nói tạm lắng xuống Những người khác cảm thấy sống thực phồn vinh Tuy nhiên, đề xuất có nguyên nhân chủ yếu Nguyên nhân - Thứ nhất, với PKI có lỗ hổng tương đối lớn nhiều tình “bán” “mua”. Đặc biệt, ngày đầu, môi trường thương mại, nhà phân tích, người bán hàng tích cực thường miêu tả PKI cài đặt đơn giản giải tất vấn đề an toàn. - Trong thực tế, nhiều nhà quản trị tìm thấy cơng nghệ mà họ u cầu tương đối khó phức tạp để cài đặt giải số vấn đề an ninh an tồn. - Sự khơng so với quảng cáo thông thường dẫn tới không hài lịng, vỡ mộng, sau giận dữ, sau phê phán. Kết PKI sai thực chất giá trị cơng nghệ – làm gì- tun truyền hiểu không Một số người ủng hộ PKI nhấn mạnh khía cạnh hạ tầng sở cơng nghệ này, tảng an tồn cho nhiều dịch vụ khác xây dựng lên nhiều ứng dụng khác tích hợp với Nhưng phần lớn, người ủng hộ khơng hình dung hạ tầng sở cần hạ tầng sở Điều cho PKI Khó xây dựng khai thác cơng nghệ sở khơng có làm cho hoạt động; hạ tầng sở khác cần phải tồn trước đó. Hướng phát triển Khi nghĩ PKI, phát rằng, cần sở hạ tầng xung quanh để sống Nó cần: Một tổ chức có quyền lực cơng nhận Động lực Những người sử dụng Câu 29: Trình bày hiểu biết giao thức PKI? - Giao thức trạng thái chứng thư số trực tuyến (OCSP) – cho phép tổ chức xác mỉnh tính hợp lệ chứng thư số cách hiệu với chi phí hợp lý - Giao thức quản trị - Giao thức hoạt động Câu 30: Yêu câu cần để triển khai hệ thống PKI? Khi triển khai hệ thống PKI người ta cần lưu ý đến số vấn đề sau Mơ hình triển khai hệ thống PKI Các yêu cầu cần thiết, chức bắt buộc hệ thống PKI Mơ hình triển khai hệ thống: Mơ hình phân cấp Mơ hình mạng Mơ hình danh sách tin cậy Các u cầu hệ thống PKI: trình triển khai hệ thống PKI cần xác định chức mà hệ quản lý PKI cần phải có Những chức bắt buộc phải có là: Khởi tạo CA gốc: Khi CA tham gia vào hệ thống PKI, phải tự cấp phát chứng cho kiểu “tự ký” (self - signed) Đồng thời với việc tạo chứng mình, CA khởi tạo CRL Cập nhật CA gốc: Các khóa CA có thời gian hiệu lực định nên chúng phải cập nhật định kỳ Thời gian hiệu lực khóa tùy thuộc vào sách thiết lập hệ thống PKI Khởi tạo CA thứ cấp: Nếu xét phương diện giao thức quản lý, viêc khởi tạo CA thứ cấp guioongs với việc tạo EE Điều khác biệt CA thứ cấp phải khởi tạo CRL Tạo lập CRL: Trước phát hành gửi thẻ xác nhận, CA khởi tạo phải tạo CRL trống để chuẩn bị cho việc bổ sung thẻ xác nhận cần hủy bỏ Các CRL cập nhật thông tin định kỳ theo thời gian hiệu lực thẻ xác nhận Yêu cầu thông tin hệ thống PKI: + Khi đối tượng hệ thống PKI(CA,RA EE) muốn có thơng tin trạng thái CA đó, đối tượng gửi cho CA yêu cầu thông tin + CA nhận yêu cầu phải trả lời băng việc cung cấp thơng tin u cầu + Nếu có số trường hợp thơng tin khơng thể đáp ứng phải có thơng điệp báo lỗi gửi cho đối tượng yêu cầu Khởi tạo EE: + Cũng giống CA, EE phải khởi tạo tham gia vào hệ thống PKI Yêu cầu chứng chỉ: - Mội EE sau khởi tạo yêu cầu chứng vào thời điểm - Yêu cầu truyền tải thông điệp yêu cầu chứng đối tượng có cặp khóa để tạo chữ ký thơng điệp u cầu bảo vệ cách thực thi chữ ký số - Nếu yêu cầu chấp nhận, CA trả cho đối tượng sử dụng chứng Cập nhật khóa: Khi cặp khóa EE khơng cịn hiệu lực nữa, đối tượng u cầu cập nhật khóa Yeeuc ầu truyền tải thông điệp yeu cầu cập nhật khóa >> Nếu EE có cặp khóa tạo chữ ký thơng điệp thơng điệp yêu cầu bảo vệ qua phương thức chữ ký số Nếu yêu cầu chấp thuận CA trả thơng điệp trả lời yêu cầu cập nhật khóa có chứng cho đối tượng Câu 31: có loại mơ hình tin cậy PKI ? slide ong thầy (bài slide5) đọc xem phản hồi ko biết hay Phân cấp chặt chẽ CA (strict hierarchy of CAs) Phân cấp lỏng CA (loose hierarchy of CAs) Các phân cấp dựa sách (policy-based hierarchies) Kiến trúc tin cậy phân tán (distributed trust architecture) Mô hình góc (four-corner model) Mơ hình Web (Web model) Tin cậy lấy người sử dụng trung tâm (user-centric trust) Mơ hình phân cấp CA chặt chẽ (strict hierarchy of CAs) Trong mơ hình này, có CA đóng vai trị CA gốc cùng, phía nhánh mở rộng cuối RootCA đóng vai trị gốc tin cậy (hay cịn gọi “nguồn tin cậy”) cho toàn miền thực thể PKI Ở root CA khơng có có vài lớp intermediate CA (hay cịn gọi subCA) Hình 9: Mơ hình phân cấp CA chặt chẽ Trong mơ hình này, tất thực thể kiến trúc tin cậy rootCA Sự phân cấp thiết lập sau: RootCA xây dựng, tự cấp chứng cho (hay tự ký cho mình) RootCA chứng thực (tạo ký chứng chỉ) cho CA trực tiếp Mỗi CA lại chứng thực cho CA trực tiếp Tại mức gần cuối cùng, CA chứng thực thực thể cuối Mỗi thực thể phân cấp phải cung cấp khố cơng khai root CA Q trình tạo khố cơng khai sở cho trình chứng thực tất kết nối sau đó, đó, q trình phải thực cách an tồn Mơ hình phân cấp CA không chặt chẽ (loose hierarchy of CAs) Trong mô hình phân cấp CA khơng chặt chẽ bên chứng thực CA để giải vấn đề đường dẫn tin cậy mà không liên quan tới CA mức cao hơn, bao gồm root CA Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) Kiến trúc tin cậy phân tán phân phối tin cậy hai hay nhiều CA Nghĩa thực thể giữ khố cơng khai CA1 nguồn tin cậy mình, thực thể giữ khố cơng khai CA2 nguồn tin cậy Hình 10: Mơ hình kiến trúc tin cậy phân tán Thơng thường kiến trúc chia điểm thường xây dựng miền tổ chức trái lại, kiến trúc hình kiến trúc lai hình thành từ miền tổ chức khác Quá trình việc tạo kết nối root CA thông thường gọi chứng thực chéo (cross-certification) Mơ hình bên (four-corner model) Hình 11: Mơ hình bốn bên Trong mơ hình minh họa bốn góc mơ hình tin cậy người th bao (subscriber), bên tin cậy (relying party), thuê bao CA bên tin cậy CA (relying party’s CA) -Mô hình tin cậy bên thường triển khai giao dịch tốn điện tử Mơ hình Web (web model) Mơ hình Web – tên gọi nó, phụ thuộc vào trình duyệt Web phổ biến Netscape Navigator Microsoft Internet Explorer Trong mơ hình này, số lượng khố cơng khai CA cài đặt sẵn vào số trình duyệt Các khố định nghĩa tập hợp CA mà trình người dùng trình duyệt ban đầu tin tưởng xem root cho việc xác minh chứng Hình 12: Mơ hình Web Mỗi nhà cung cấp trình duyệt có root riêng mình, chứng thực root CA mà nhúng trình duyệt. Mơ hình Web có ưu điểm rõ rệt để thuận tiện đơn giản khả liên kết Tuy nhiên, có vài vấn đề an tồn cần quan tâm mơ hình định triển khai Ví dụ, người dùng trình duyệt tự động tin tưởng vào tập hợp khố cài sẵn trình duyệt, nên an tồn bị số rootCA “rơi vào tình trạng nguy hiểm” Một vấn đề an toàn cần phải quan tâm mơ hình Web, khơng có chế thực thu hồi kỳ khoá root nhúng trình duyệt Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust) Trong mơ hình tin cậy lấy người dùng làm trung tâm, người dùng phải chịu trách nhiệm trực tiếp toàn để định xem sử dụng chứng từ chối chứng Mỗi người dùng giữ vịng khố vịng khố đóng vai trị CA họ Vịng khố chứa khố cơng khai tin cậy người sử dụng khác cộng đồng Mơ hình Zimmerman phát triển để sử dụng chương trình phát triển phần mềm bảo mật PGP Quyết định chịu ảnh hưởng số nhân tố, ban đầu tập hợp khố tin cậy thơng thường bao gồm nhân tố bạn bè, gia đình, đồng nghiệp … Hình 13: Mơ hình tin cậy lấy người dùng làm trung tâm Mơ hình sử dụng rộng rãi phần mềm an ninh tiếng Pretty Good Privacy (PGP) [Zimm95, Garf95] Trong PGP, người dùng xây dựng mạng lưới tín nhiệm (web of trust) đóng vai trị CA (ký lên khố cơng khai cho thực thể khác) Do tín nhiệm người dùng họat động định, nên mơ hình tin cậy lấy người dùng làm trung tâm họat động cộng đồng địi hỏi kỹ thuật quan tâm cao độ, khơng thực tế cộng đồng chung Câu 25: Kiểm tra đường dẫn chứng thực ? cần kiểm tra đường dẫn chứng thực Nội dung kiểm tra đường dẫn chứng thực gồm bước Câu 26: Vị trí sinh cặp khóa phụ thuộc vào nhũng yếu tố nào? Để chống chối bỏ PKI khuyến khích người dung tự sinh cặp khóa Câu 27: So sánh kỹ thuật mật mã dùng cho đảm bảo tính tồn vẹn ... nguy hộ chiếu điện tử : Clandestine scanning: thông tin người dùng dễ bị scanning bị lộ Clandestine tracking: Nguy liên quan đến định danh thẻ RFID Việc xác định định danh thẻ phi tiếp xúc cho... thực, Là điểm tin cậy cho người dung hệ thống CA Người dùng tin cậy vào Root CA, họ tin cậy vào CA cấp chứng Root CA - - Cơ quan chứng thực(CA): Là quan cấp chứng số cho người sử dụng Cơ quan... thời gian an tồn mạng (có thể 1), Dịch vụ tem thời gian an toàn sử dụng dịch vụ cốt lõi PKI xác thực toàn vẹn, Tem thời gian bao gồm chữ ký số tổ hợp của: liệu biểu diễn thời gian, giá