An Ninh Mạng Giao thức SSL Mục lục Chương Giới thiệu giao thức SSL Hình 1.1 Vị trí SSL mơ hình TCP/IP Chương Các đặc điểm SSL 2.1 Hoạt động giao thức SSL dịch vụ 2.2 Quá trình bắt tay (Handshake) SSL .6 2.3 Mơ tả q trình kiểm tra tính xác thực Server Hình 2.1 Quá trình kiểm tra xác thực phía Server Chương Kết luận 10 Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL Danh mục hình vẽ Hình 1.1 Vị trí SSL mơ hình TCP/IP Error: Reference source not found Hình 2.1 Quá trình kiểm tra xác thực phía Server .Error: Reference source not found Hình 2.2 Quá trình kiểm tra xác thực client .Error: Reference source not found Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL Thuật ngữ viết tắt CA Certific ate Authori ty DES FTP HTTP IP MD5 SMTP TCP Thẩm quyền chứng thực Data Encryption Standard File Transfer Protocol Hyper Text Transer Protocol Internet Protocol Message-Digest Algorithm Simple Mail Transfer Protocol Transmission Control Protocol Ngơ Quang Long – M12CQDT01-B Tiêu chuẩn mã hóa liệu Giao thức truyền file Giao thức truyền siêu văn Giao thức Internet Giải thuật tiêu hóa tin Giao thức truyền mail đơn giản Giao thức điều khiển truyền thông Trang An Ninh Mạng Giao thức SSL Chương Giới thiệu giao thức SSL Bảo mật dịch vụ Web nói chung dịch vụ khác (như mail, FTP) dựa giao thức SSL (Secure Socket Layer) Trong mơ hình kiến trúc mạng TCP/IP, SSL nằm tầng ứng dụng tầng mạng Hình sau mơ tả vị trí SSL kiến trúc TCP/IP sau: Hình 1.1 Vị trí SSL mơ hình TCP/IP Giao thức SSL nằm tầng TCP/UDP nằm giao thức tầng ứng dụng HTTP, IMAP, SMTP, POP3 Đối với dịch vụ Web nói riêng giao thức SSL đảm bảo thực trình kiểm tra tính xác thực Server Client, sau thực kết nối bảo mật Client Server Để đảm bảo cho Server Client làm việc với (vì chúng sử dụng thuật toán mã hoá (Cipher) khác nhau), SSL đảm bảo tính tương thích Cipher Client Server Giao thức SSL hỗ trợ nhiều Cipher khác Các cipher sử dụng trình kiểm tra tính xác thực Serves Client, truyền Certificate, tạo secret keys phiên làm việc Thực tế Client Server sử dụng Cipher khác nhau, tập hợp Cipher phiên SSL đời hỗ trợ Cipher Một Cipher Suite hỗ trợ thuật toán sau: - DES : chuẩn mã hóa liệu đời năm 1977, phủ Mỹ phát minh sử dụng - DSA : thuật toán chữ ký điện tử phát minh sử dụng phủ Mỹ - KEA : thuật tốn trao đổi khóa, phát minh sử dụng phủ Mỹ - MD5 : thuật tốn tạo giá trị “băm” , phát minh Rivest - RC2 RC4, mã hóa Rivest, phát triển cơng ty RSA Data Security Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL - RSA : thuật tốn khóa cơng khai, cho mã hóa xác thực, phát triển Rivest, Schamir Adleman - SHA-1 : thuật tốn hàm băm an tồn, phát triển sử dụng phủ Mỹ Chương Các đặc điểm SSL 2.1 Hoạt động giao thức SSL dịch vụ SSL Server Authentication (Kiểm tra tính xác thực Server): Cho phép người sử dụng kiểm tra tính đắn server mà giao tiếp Phần mềm Client (có hỗ trợ SSL) sử dụng chuẩn kỹ thuật phương thức mã hóa khóa cơng khai kiểm tra thơng tin Certificate Server public key Server hợp lệ hay khơng việc hỏi CA mà tin cậy Kiểm tra tính xác thực Server quan trọng giao tiếp Web u cầu có tính bảo mật Ví dụ, trường hợp người sử dụng cần gửi thông tin tới Web server số Credit Card SSL Client Authentication: Là trình ngược lại, kiểm tra tính xác thực Client Với phương thức hoạt động trình kiểm tra tính xác thực Server, Web Server (có hỗ trợ SSL) kiểm tra tính đắn public ID Certificate Client việc hỏi CA mà tin cậy tính hợp lệ Client Thiết lập kết nối SSL: Yêu cầu tất thông tin trao đổi Client Server mã hóa phần mềm gửi phải giải mã phần mềm nhận, SSL giao thức xây dựng để hỗ trợ chế bảo mật khác Ngoài tất liệu truyền qua kết nối SSL bảo vệ tính tồn vẹn liệu tự động phát thay đổi nội dung liệu đường truyền Giao thức SSL bao gồm giao thức SSL record protocol SSL handshake Protocol SSL record protocol định nghĩa dạng liệu sử dụng để truyền kết nối SSL Giao thức SSL handshake sử dụng liệu định dạng theo giao thức SSL record protocol để trao đổi message SSL Server SSL Client chúng thực kết nối SSL Trao đổi message thiết kế có hoạt động sau: • Kiểm tra tính xác thực Server Client • Cho phép Client Server lựa chọn phương thức mã hóa mà thực thể sử dụng (cipher) để đảm bảo chúng làm việc với • Kiểm tra tính xác thực từ Client đến Server lựa chọn • Sử dụng kỹ thuật mã hóa public key để tạo secret key sử dụng kết nối SSL, sau đó: Ngơ Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL • Tạo kết nối SSL 2.2 Quá trình bắt tay (Handshake) SSL Giao thức SSL sử dụng kết hợp hai phương thức mã hóa dùng public-key mã hóa đối xứng (dùng secret key) Do ưu điểm phương thức mã hóa đối xứng hoạt động nhanh so với phương thức mã hóa phi đối xứng, phương thức mã hóa phi đối xứng lại có tính an toàn cao Do giao thức SSL thiết kế để tận dụng ưu điểm phương thức mã hóa Một phiên làm việc SSL bắt đầu việc trao đổi message gọi SSL handshake Handshake cho phép thực trình Authentication Server Authentication Client Sau xác thực tính đắn Server Client, SSL handshake thực việc tạo khóa đối xứng (secret key) sau kết nối SSL mã hóa giải mã khóa (để tăng tốc độ thực việc mã hóa giải mã liệu – dùng phương thức mã hóa đối xứng) Ngồi cịn có lựa chọn SSL handshake cịn cho phép kiểm tra tính xác thực phía Client Q trình thực giao thức SSL handshake mơ tả tóm tắt sau: Client gửi tới Server số version giao thức SSL mà hỗ trợ, thông tin khác thông số cấu hình cipher, chiều dài khóa để server thực kết nối với Client sử dụng SSL Sau Server gửi tham số trở lại Client để Client thực kết nối với Server sử dụng SSL, đồng thời Server cịn gửi tới Client certificate nó, phía server có cấu hình kiểm tra tính xác thực client (Authentication Client) gửi request tới Client cung cấp certificate Client tới Server Client sử dụng thông tin từ Server gửi đến để kiểm tra tính xác thực Server (bằng q trình Server Authentication - mơ tả phần sau) Nếu certificate server không hợp lệ, người sử dụng cảnh báo thông báo phiên làm việc có bảo mật khơng thiết lập Nếu q trình xác thực thành cơng, q trình diễn sau: Client sử dụng liệu từ bước ( gồm thông tin từ server cipher mà server hỗ trợ) để tạo khóa gọi premaster cho phiên làm việc đó, mã hóa khóa public key server (có có certificate server) gửi khóa premaster tới server Nếu server yêu cầu kiểm tra tính xác thực Client (chú ý option trình handshake), Client cịn thực việc ký vào phần thơng tin mà gửi đến server để đảm bảo trình handshake Ngơ Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL (không thể bị giả mạo người khác) Do trường hợp thông tin gửi từ Client tới Server bao gồm: • Chữ ký Client • Certificate Client • Premaster key mã hóa public key Server Nếu server yêu cầu kiểm tra tính xác thực Client, server thực việc xác thực Client (thơng qua q trình Authentication Client – mô tả phần sau) Nếu Client không hợp lệ, phiên làm việc bị hủy bỏ Nếu Client kiểm tra hợp lệ, server sử dụng private key để mã giải mã khóa premaster, thực bước (kết hợp với q trình thực phía Client) để tạo khóa master Cả Client Server sử dụng master key để tạo session key Khóa session khóa đối xứng sử dụng để mã hóa giải mã phiên làm việc SSL để xác nhận tính tồn vẹn liệu, kiểm tra liệu có bị thay đổi hay khơng thời gian liệu gửi thời gian nhận liệu qua kết nối SSL Client gửi message tới server thơng báo message mà gửi từ client mã hóa session key Và sau Client gửi thơng báo xác nhận trình handshake kết thúc Server gửi message tới server thông báo message mà gửi từ client mã hóa session key Và sau Server gửi thơng báo xác nhận trình handshake kết thúc 10 Quá trình handshake kết thúc Phiên làm việc SSL bắt đầu Client Server sử dụng session key để mã hóa giải mã liệu kiểm tra tính tồn vẹn liệu Một ý quan trọng q trình handshake việc kiểm tra tính xác thực Client Server thực thông qua việc sử dụng cặp khóa privatepublic key thực thể định • Trong trường hợp xác thực phía server, Client mã hóa premaster secret public key server Chỉ với khóa private key tương ứng giải mã premaster key, client đảm bảo chắn public key server gửi tới server mà kết nối tới Trong trường hợp server giải mã premaster key không tạo key đối xứng tương ứng cho phiên làm việc đó, phiên làm việc bị hủy bỏ Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng • 2.3 Giao thức SSL Trong trường hợp xác thực phía Client, Client mã liệu ngẫu nhiên private key nó- thực việc ký vào message Public key Client gửi tới Server (qua Certificate Client) đắn giải mã message ký private key tương ứng Mơ tả q trình kiểm tra tính xác thực Server Một q trình kiểm tra tính xác thực Server thành công Client nhận câu trả lời "đúng" sau: Hình 2.1 Q trình kiểm tra xác thực phía Server Q trình kiểm tra tính xác thực Server cịn đảm bảo khơng thể có tượng giả mạo Client Server Client thực công việc sau : Certificate Server cịn giá trị hay khơng? Client thực việc kiểm tra tính hợp lệ thời gian Certificate gửi từ Server Nếu thời gian hết hạn, phiên làm việc bị kết thúc Kiểm tra CA ký vào Certificate Server có phải CA mà Client tin cậy hay khơng? Mỗi phần mềm hỗ trợ SSL có danh sách CA mà tin cậy Ví dụ hình trên, Client tin cậy CA gồm thông tin: DN CA, public key CA chữ ký CA Nếu trường DN Certificate Server trùng với trường DN của Certifcate CA câu trả là CA mà tin cậy Kiểm tra public key CA có hợp lệ với chữ ký người ký Certificate Server hay không? Client sử dụng public key CA mà tìm bước để kiểm tra kiểm tra tính hợp lệ chữ ký ký Certificate Server Nếu thông tin Certificate Server bị thay đổi sau ký CA hay public key Certificate không đáp ứng tương ứng với Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL private key sử dụng để ký vào certificate Server Nếu chữ ký CA hợp lệ, trình tiếp tục diễn sau: Kiểm tra domain name certificate server có phù hợp với domain name server hay khơng Bước thực việc kiểm server có thật địa mạng hay không xác định trường domain name Certificate Chú ý bước kiểm tra chuẩn giao thức SSL, hỗ trợ việc bảo vệ trường hợp mà kẻ công mạng đứng vị trí Server Client (kẻ cơng down server thay Certificate Server) Clients phải thực bước từ chối tiếp tục thực kiểm tra tính hợp lệ server q trình khơng thành công Server xác thực Client tiếp tục trình thực giao thức SSL Nếu Client khơng đến bước việc xác thực server Certificate không đắn, Client thơng báo phiên làm việc có hỗ trợ bảo mật không thực Nếu Server yêu cầu trình kiểm tra tính xác thực Client, q trình thực phía Server diễn sau: 2.4 Q trình kiểm tra tính xác thực phía Client Hình 2.2 Quá trình kiểm tra xác thực client Khi server cấu hình yêu cầu kiểm tra xác thực Client, Client gửi tới Server gồm Certificate liệu riêng biệt ký để kiểm tra tính xác thực Server sử dụng phần liệu để xác thực public key certificate để xác thực đối tượng sở hữu certificate Giao thức SSL yêu cầu client tạo chữ ký điện tử việc dùng phương pháp mã hóa hashing để tạo message digest từ liệu ngẫu nhiên mà có Server Client biết q trình thực handshake Thuật tốn hash thực tạo message digest mã hóa message digest private key nó, private key tương ứng với publickey certificate từ client gửi đến server Ngô Quang Long – M12CQDT01-B Trang An Ninh Mạng Giao thức SSL Để kiểm tra tính đắn Client, Server phải nhận câu trả lời sau: Kiểm tra public key người sử dụng có hợp lệ với chữ ký người hay khơng? Server kiểm tra chữ ký người có hợp lệ với public key certificate client hay không Nếu xác nhận đúng, server xác nhận certificate thuộc người có private key tương ứng (private key dùng để ký vào liệu ngẫu nhiên kiểm tra tính tồn vẹn liệu không bị thay đổi) Tuy nhiên bước này, việc kết hợp public key trường DN certificate chưa thực Quá trình thực bước Kiểm tra Certificate Client có cịn giá trị hay khơng? Server kiểm tra xem Certificate cịn thời hạn hay không Nếu thời gian vượt thời gian certificate, q trình xác thực khơng tiếp tục tiến hành Nếu hợp lệ tiếp tục bước 3 Certificate Client có cấp phát từ CA mà Server tin cậy hay không? Giống trình Client; phần mềm Server có hỗ trợ SSL có danh sách CA mà Server tin cậy Dựa vào danh sách Server kiểm tra certificate Client có cấp phát từ CA mà tin cậy hay khơng Nếu trường DN Certificate trùng với trường DN CA tin cậy, trùng tiếp tục với bước 4 Kiểm tra public key CA tương ứng với chữ ký CA cấp phát Certificate Client Server sử dụng public key từ certificate CA để xác nhận tính hợp lệ chữ ký CA Certificate Client Nếu thông tin Certificate bị thay đổi kể từ ký CA hay public key CA bị thay đổi, khơng đáp ứng đắn private key sử dụng để ký certificate client, server khơng thể kiểm tra tính xác thực client Nếu đắn, SSL thông báo Client hợp lệ tiếp tục thực kết nối SSL Chương Kết luận Về mặt kỹ thuật, SSL sử dụng mã hóa cơng khai, kỹ thuật giúp cho Website trình duyệt tự thỏa thuận khóa dùng suốt q trình trao đổi thơng tin sau Trong lần giao dịch khóa thay đổi, Ngơ Quang Long – M12CQDT01-B Trang 10 An Ninh Mạng Giao thức SSL người khác khơng thể giải mã có liệu máy chủ lưu trữ chứng số nói Cho đến nay, SSL chìa khóa thống trị cơng nghệ bảo mật web, đảm bảo security, hoạt động tầng truyền tải Transport (lưu ý có HTTPS HTTP over SSL) Đặc biệt SSL ứng dụng nhiều lĩnh vực thương mại điện tử e – commerce, dịch vụ web nhạy cảm bắt buộc phải bảo mật giao dịch ngân hàng, mua hàng trực tuyến Ngô Quang Long – M12CQDT01-B Trang 11 ... liệu Giao thức truyền file Giao thức truyền siêu văn Giao thức Internet Giải thuật tiêu hóa tin Giao thức truyền mail đơn giản Giao thức điều khiển truyền thông Trang An Ninh Mạng Giao thức SSL. .. liệu đường truyền Giao thức SSL bao gồm giao thức SSL record protocol SSL handshake Protocol SSL record protocol định nghĩa dạng liệu sử dụng để truyền kết nối SSL Giao thức SSL handshake sử dụng... trí SSL kiến trúc TCP/IP sau: Hình 1.1 Vị trí SSL mơ hình TCP/IP Giao thức SSL nằm tầng TCP/UDP nằm giao thức tầng ứng dụng HTTP, IMAP, SMTP, POP3 Đối với dịch vụ Web nói riêng giao thức SSL