BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG…………… LUẬN VĂN Tìm hiểu sở hạ tầng mật mã khố cơng khai ứng dụng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU Lý chọn đề tài Chúng ta biết Nhà nƣớc ta tiến hành cải cách hành chính, việc xây dựng phủ điện tử đóng vai trị trọng tâm Nói đến phủ điện tử nói đến vấn đề nhƣ hạ tầng máy tính, ngƣời, tổ chức, sách, an tồn – an ninh thơng tin… Trong đảm bảo an tồn – an ninh thơng tin cho dịch vụ đóng vai trị quan trọng thông tin mà không đảm bảo an ninh – an tồn, đặc biệt thơng tin nhạy cảm việc xây dựng phủ điện tử, thƣơng mại điện tự trở nên vơ nghĩa lợi bất cập hại Xây dựng sách, đảm bảo an ninh – an tồn thơng tin liên quan chặt chẽ đến việc xây dựng hệ thống sở hạ tầng mật mã khố cơng khai, viết tắt PKI (Public Key Infrastrueture) Trong thời đại cơng nghệ thơng tin giấy tở cách chứng nhận thoả thuận bên Ở nhiều nƣớc tiên tiến, thoả thuận thông qua hệ thống thông tin điện tử bên đƣợc hợp pháp hố có giá trị tƣơng đƣơng với thoả thuận thông thƣờng mặt pháp lý Sự kiện đánh dấu bƣớc nhảy quan trọng việc phát triển phủ điện tử, thƣơng mại điện tử Tuy nhiên dự án chƣa đƣợc triển khai rộng rãi, nhiều nguyên nhân khác Một ngun nhân quan trọng ngƣời dùng ln cảm thấy không an tâm sử dụng hệ thống Chẳng hạn gửi mẫu tin văn bản, hình ảnh, video….ngƣời nhận có quyền nghi ngờ: Thơng tin có phải đối tác khơng, có bị xâm phạm ngƣời khác giải mã đƣợc khơng… Những vấn đề đặt thu hút ý nhiều nhà khoa học lĩnh vực nghiên cứu bảo mật thông tin Đây nguyên nhân giải thích PKI ngày đƣợc trọng nghiên cứu, phát triển Đến nƣớc tiên tiến giới ứng dụng thành công PKI Ở châu Á nhiều nƣớc có ứng dụng mức độ khác nhƣ Singapore, Hàn Quốc, Trung Quốc, Thái Lan… Trong Sigapore, Hàn Quốc sẵn sàng tài trợ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com chính, kỹ thuật, chuyên gia lĩnh vực mật mã sang giúp Việt Nam xây dựng hệ thống PKI Do vấn đề mới, nhạy cảm, gắn liền với bảo mật thơng tin nên cần tìm hiểu sâu sắc thận trọng vấn đề Đây vấn đề cấp thiết nên không tiến hành nghiên cứu Là kỹ sƣ công nghệ thơng tin tƣơng lai, có nhiệm vụ nghiên cứu, tìm hiểu sâu sắc vấn đề quan trọng cấp bách nhắm góp phần đảm bảo an ninh – an tồn thơng tin, điều có ý nghĩa hội nhập WTO, làm chủ đƣợc công nghệ giúp giữ vững an ninh quốc gia, thúc đẩy phát triển kinh tế - xã hội Xuất phát từ lý trên, đƣợc trí nhà trƣờng thầy giáo hƣớng dẫn, em chọn đề tài “Tìm hiểu sở hạ tầng mật mã khố cơng khai ứng dụng” làm đề tài khố luận tốt nghiệp Mục đích nghiên cứu - Nghiên cứu, đánh giá, phân tích giải thuật mật mã điển hình - Nghiên cứu thành phần PKI ứng dụng Đối tƣợng, phạm vi nghiên cứu - Các giải thuật mã đối xứng, phi đối xứng, hàm băm, chữ ký số Phƣơng pháp nghiên cứu - Nghiên cứu lý thuyết liên quan đến mã hoá, mật mã - Tham khảo tài liệu, tổng hợp, đánh giá Bố cục đề tài bao gồm: Mục lục, danh mục từ viết tắt, danh mục hình vẽ, mở đầu, nội dung, kết luận, danh mục tài liệu tham khảo Phần nội dung gồm phần chia làm chƣơng, phần A (chƣơng 1, 2) kiến thức chung mật mã, phần B (Chƣơng 3, 4, 5) sở hạ tầng mật mã khố cơng khai ứng dụng Chương 1: LÝ THUYẾT MẬT MÃ Giới thiệu lịch sử hình thành cảm mật mã; khái niệm mật mã; đồng thời trình bày hệ mật mã đối xứng, hệ mật mã công khai, ƣu nhƣợc LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com điểm hệ mật mã này; khái niệm hệ mật RSA, Elgamal Đây kiếm thức tảng giúp bạn hiểu đƣợc PKI Chương 2: XÁC THỰC, CHỮ KÝ SỐ VÀ HÀM BĂM Trình bày khái niệm xác thực; khái niệm chữ ký số, chữ ký số dựa RSA Elgamal; khái niệm hàm băm, số hàm băm điển hình Xác thực, chữ ký số ứng dụng cụ thể nhất, thƣờng gặp xây dựng hệ thống PKI; hàm băm kỹ thuật mã hố khơng thể thiếu nghiên cứu, xây dựng hệ thống giúp đảm bảo an ninh – an tồn thơng tin Chương 3: CƠ SỞ HẠ TẦNG MẬT MÃ KHỐ CƠNG KHAI Tổng quan PKI, sở lí luận, chức PKI Chƣơng trình bày kiến thức liên quan đến PKI giải thích lại phải xây dựng hệ thống PKI Chương 4: CHỨNG CHỈ SỐ Trình bày khái niệm liên quan, chức nhiệm vụ CA, phân loại CA Chứng số phần đặc biệt quan trọng PKI, chƣơng trình bày cụ thể chứng số CA Chương 5: ỨNG DỤNG Trình bày ứng dụng dịch vụ web, email LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN A: NHỮNG KIẾN THỨC BỔ TRỢ Chương 1: LÝ THUYẾT MẬT MÃ 1.1 GIỚI THIỆU Mật mã đƣợc ngƣời sử dụng từ lâu, nghiên cứu văn minh Ai Cập cổ đại ngƣời ta tìm đƣợc chứng chứng minh hình thức mật mã sơ khai, cách khoảng nghìn năn trƣớc Trải qua hàng nghìn năm mật mã đƣợc sử dụng rộng rãi quốc gia khác giới để giữ bí mật trình trao đổi thơng tin nhiều lĩnh vực hoạt động ngƣời, quốc gia đặc biệt lĩnh vực ngoại giao, quân sự, kinh tế Mật mã khố cơng khai (PKI) mảng quan trọng mật mã, chất PKI hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng để khởi tạo, lƣu trữ quản lý chứng số Vào năm 1995 ngƣời ta đƣa sáng kiến thiết lập PKI mà phủ nƣớc, doanh nghiệp cần chuẩn để đảm bảo liệu truyền mạng đƣợc an tồn Cho đến nay, sau 10 năm hình thành phát triển, ý tƣởng hoá PKI vào thực, nhiều chuẩn đảm bảo thông tin mạng đời Một số kết từ sáng kiến PKI nhƣ là: SSL/TLS ( Secure Sockets Layer/ Transport Layer Security) nhƣ VPN (Virtual Private Network) 1.2 CÁC KHÁI NIỆM BAN ĐẦU A muốn gửi thơng điệp cho B có nhiều cách khác nhƣ thƣ tín, email, fax… thông qua ngƣời trung gian, tức thông tin bị ngƣời khác biết đƣợc Vấn đề đặt làm thông điệp A gửi cho B có B đọc đƣợc? Để làm đƣợc điều A tiến hành mã hố thơng điệp gửi cho B đoạn mã hố, B giải mã đƣợc đoạn mã hố thơng qua quy ƣớc (Khố chung) hai ngƣời, ngƣời C nhận đƣợc thông tin Khố chung đƣợc gọi khố mật mã, ta có số khái niệm liên quan: - Mã hố: Là q trình chuyển thơng tin thơng thƣờng (văn rõ) thành dạng không đọc đƣợc (văn mã) - Giải mật mã: Là trình ngƣợc lại, phục hồi văn thƣờng từ văn mã LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Thuật toán giải mã: Ngƣợc lại để giải mã ta cần thuật tốn khố bí mật tƣơng ứng để giải mã mã 1.3 HỆ MẬT MÃ Lý thuyết mật mã khoa học nghiên cứu cách viết bí mật, rõ (plain text, clear text) đƣợc biến đổi thành mã (cipher text, cryptogram) Q trình biến đổi gọi mã hố (encipherment, encryption) Quá trình ngƣợc lại biến đổi từ mã thành rõ đƣợc gọi giải mã (decipherment, decryption) Cả hai q trình nói đƣợc điều khiển (hay nhiều) khoá mật mã Mật mã đƣợc sử dụng để bảo vệ tính bí mật thông tin thông tin đƣợc truyền kênh truyền thơng cơng cộng nhƣ kênh bƣu chính, điện thoại, mạng truyền thơng máy tính, mạng internet, … Giả sử ngƣời gửi A muốn gửi đến ngƣời nhận B văn (chẳng hạn, thƣ) p, để bảo mật A lập cho p mật mã c thay cho việc gửi p, A gửi cho B mật mã c, B nhận đƣợc c “giải mã’ c để lại đƣợc văn p nhƣ A định gửi Để A biến p thành c B biến ngƣợc lại c thành p, A B phải thoả thuận trƣớc với thuật toán lập mã giải mã đặc biệt khoá mật mã chung K để thực thuật tốn Ngƣời ngồi, khơng biết thơng tin (đặc biệt khơng biết khố K), cho dù có lấy trộm đƣợc c kênh truyền thông công cộng, khơng thể tìm đƣợc văn p mà hai ngƣời A, B muốn gửi cho Sau cho định nghĩa hình thức hệ thống mật mã cách thức thực để lập mã giải mật mã Định nghĩa Hệ mật mã đƣợc định nghĩa năm (P, C, K, E, D) đó: P tập hữu hạn rõ C tập hữu hạn mã K tập hữu hạn khố E tập hàm lập mã D tập hàm giải mã Với k Ỵ K, có hàn lập mã ek C hàm giải mã dk Ỵ D, dk: C → P cho dk(ek(x)) = x, Ỵ E, ek: P → " xỴ P LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Key k Plaintext (X) Key k Ciphertext (Y) E Y = EK(X) plaintext (X) D Hình : Q trình mã hóa giải mã 1.3.1 Hệ mã hóa khóa bí mật (hay cịn gọi Hệ mật mã khóa đối xứng) Các phƣơng pháp cổ điển đƣợc biết đến từ 4000 năm trƣớc Một số kỹ thuật đƣợc ngƣời Ai Cập cổ đại sử dụng từ nhiều kỷ trƣớc Những kỹ thuật chủ yếu sử dụng phƣơng pháp thay ký tự ký tự khác dịch chuyển ký tự, chữ đƣợc xếp theo trật tự Hệ mật mã DES đƣợc xây dựng Mỹ năm 70 theo yêu cầu văn phòng quốc gia chuẩn (NBS) DES kết hợp phƣơng pháp thay dịch chuyển DES đƣợc thực khối rõ xâu 64 bit, có khóa xâu 56 bít cho mã xâu 64 bít Hiện DES biến thể 3DES đƣợc sử dụng thành công nhiều lĩnh vực Trong hệ mật mã đối xứng có khóa đƣợc chia sẻ bên tham gia liên lạc Cứ lần truyền tin bên truyền bên nhận phải thỏa thuận trƣớc với khóa chung K, sau ngƣời gửi dùng ek để lập mã cho thông báo gửi ngƣời nhận dùng dk để giải mã Ngƣời gửi ngƣời nhận có chung khóa K, khóa đƣợc bên giữ bí mật Độ an tồn hệ mật mã bí mật phụ thuộc vào khóa K, biết đƣợc khóa K lập mã giải mã thông điệp LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com *Ƣu nhƣợc điểm hệ mật mã khóa đối xứng Ƣu điểm : Ƣu điểm hệ mật mã khóa đối xứng tốc độ mã hóa/ giải mã nhanh xác Ví dụ mật mã DES có tốc độ mã/ giải mã 35Kb/s ; IDEA 70 Kb/s Mặt khác độ an toàn hệ mật đƣợc chứng minh cao khơng gian khóa K đủ lớn Nhƣợc điểm : Tuy nhiên nhiên nhƣợc điểm hệ mật mã khóa đối xứng vấn đề phân phối khóa, trao đổi khóa phức tạp phải sử dụng đến kênh truyền tuyệt đối bí mật Điều bất lợi trung tâm muốn liên lạc với nhƣng họ lại cách q xa 1.3.2 Hệ mật mã khóa cơng khai Để khắc phục vấn đề phân phối thỏa thuận khóa mật mã khóa bí mật, năm 1976 Diffie Dellman đƣa khái niệm mật mã khóa cơng khai phƣơng pháp trao đổi khóa cơng khai để tạo khóa bí mật chung mà tính an tồn đƣợc bảo đảm độ khó tốn học tính ‘Logarit rời rạc’ Hệ mật mã cơng khai sử dụng cặp khóa, khóa dùng để mã hóa gọi khóa cơng khai (Public key), khóa dùng để giải mã gọi khóa bí mật (Private key), ngun tắc khóa cơng khai khóa bí mật khác Một ngƣời có khả sử dụng khóa cơng khai để mã hóa tin nhƣng có ngƣời có khóa bí mật giải mã đƣợc tin Mật mã khóa cơng khai (Public key) hay cịn gọi mật mã bất đối xứng mơ hình mã hóa chiều sử dụng cặp khóa khóa riêng (Private key) khóa cơng khai (Public key) Khóa cơng khai đƣợc dùng để mã hóa khóa riêng đƣợc dùng để giải mã - Hệ thống mật mã hóa khóa cơng khai sử dụng với mục đích : + Mã hóa : giữ bí mật thơng tin có ngƣời có khóa bí mật giải mã đƣợc + Tạo chữ ký số : cho phép kiểm tra văn có phải đƣợc tạo với khóa bí mật hay khơng + Thỏa thuận khóa : Cho phép thiết lập khóa dùng để trao đổi thông tin mật bên LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Directory of Public Keyss k Public ALICE key P of Bob Hi Bob Tập khóa K Asymmetric Cryptography Bản mã đƣợc mã hóa Hình : Sử dụng khóa cơng khai P để mã hóa thơng điệp Private key of Bob Hi Bob k Asymmetric Cryptography BOB Bản mã nhận đƣợc thừ ALICE Hình : Sử dụng khóa riêng để giải mã thơng điệp Các hệ mật mã khóa công khai đƣợc biết đến nhiều hệ RSA Trong hệ mật mã khóa cơng khai hệ RSA đƣợc cộng đồng quốc tế chấp nhận ứng dụng rộng rãi *Ƣu nhƣợc điểm hệ mật mã khóa cơng khai Ƣu điểm : Ƣu điểm hệ mật mã khóa cơng khai giải đƣợc vấn đề phân phối khóa trao đổi khóa thuận lợi Một số ứng dụng quan trọng phổ biến xác thực chữ ký số, mà hệ mật mã khóa đối xứng chƣa giải đƣợc Nhƣợc điểm : Nhƣợc điểm hệ mật khóa cơng khai tốc độ mã hóa/ giải mã chậm (chậm khoảng ngàn lần so với mật mã khóa đối, nhƣ mã DES chẳng hạn) phải sử dụng đến số nguyên tố lớn trƣờng hữu hạn Mặt khác, ngƣời ta tin tuân thủ theo chuẩn (của Mỹ) hệ mật LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khóa cơng khai nhƣ RSA, Elgamal… có độ an tồn mật mã cao nhƣng chƣa có tác giả chứng minh đƣợc điều Vì khóa công khai đƣợc công bố cách rộng khắp nên ta khơng biết có phải khóa ta cần không vâbs đề đƣợc giải thủ tục xác thực nhƣ X.509, Kerberos… ƣu điểm hệ mật mã khóa cơng khai ứng dụng lĩnh vực chữ ký số, với kết hàm băm, thủ tục ký để đảm bảo tính tồn vẹn văn đƣợc giải 1.4 HỆ RSA Hệ mật mã RSA, Rivest, Shamir, Adleman tìm ra, đƣợc cơng bố lần vào tháng năm 1977 tạp chí Scientific American Hệ mật mã RSA đƣợc sử dụng rộng rãi thực tiễn đặc biệt lĩnh vực bảo mật xác thực liệu số Tính bảo mật an toàn chúng đƣợc đảm bảo tốn phân tích số ngun thành thừa số nguyên tố 1.4.1 Định nghĩa Giả sử n=p.q p, q hai số nguyên tố lẻ khác Ф(n) hàm Ơle Hệ RSA đƣợc định nghĩa nhƣ sau : Cho P=C=Zn ; K= {(n,p,q,a,b) :ab ≡ mod Ф (n)} Với k=(n,p,q,a,b) xác định : y= ek(x)=xb mod n dk(y)=ya mod n (x,y Ỵ Zn) giá trị n, b công khai p, q, a bí mật 1.4.2 Kiểm tra quy tắc giải mã Do ab ≡ mod Ф (n), Ф (n)= (p-1)(q-1)= Ф (p) Ф (q) nên ab=1+t Ф (n), với t số nguyên khác Chú ý ≤ x < n *Giả sử (x,n)=1 ta có ya mod n ≡ (xb)a mod n ≡ x.1 mod n=x ** Nếu (x,n) > d=p d=n Nếu d=n x=0 đƣơng nhiên y=0 Do ya mod n=0 Giả sử d=p ≤ x < n nên x=p Ta có ya mod n = xab mod n ≡ pab mod n LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tính xác thực tính tốn vẹn liệu đƣợc đảm bảo trình truyền liệu đƣợc xác thực, kiểm tra cách sử dụng MAC Hạn chế SSL : SSL không ngăn chặn đƣợc số công đối phƣờng nhằm vào phân tích lƣu lƣợng (Địa IP nguồn đích khơng đƣợc mã hố, số cổng TCP đối tƣợng thƣờng bị cơng sở chúng xác định đƣợc bên tham gia, thông tin liên quan) 4.6.2 Công nghệ LDAP Hiện điều tối quan trọng để viết đƣợc phần mềm lớn phải biết khai thác, tích hợp liệu từ hệ thống khác Một chƣơng trình lớn có nhiều modul, modul lại đƣợc thiết kế tảng liệu khác nhƣ : có ngƣời dùng Oracle với AS Portal, có ngƣời dùng DB2 với WebSphere, MýQL với PHPnuke phải làm ? Câu trả lời sử dụng LDAP Vậy LDAP ? LDAP( Lightweight Directory Access Protocol) tạ dịch Giao thức truy cập nhanh dịch vụ thƣ mục LDAP giao thức Client/Server để truy Directory Server(Dịch vụ thƣ mục), xem Directory nhƣ sở liệu, nhiên directory thƣờng việc đọc đƣợc liệu hiệu việc ghi liệu Có nhiều cách khác để thiết lập Directory có nhiều cách để tham chiếu, truy vấn, truy nhập đến sở liệu Directory LDAP dựa mơ hình Client/Server Một nhiều LDAP server lƣu liệu tạo lên thƣ mục LDAp backed database LDAP client kết nối tới LDAP server, đƣa yêu cầu để LDAP server thực trả lại kết cho client Pulic Database Server nhiều máy cài đặt LDAP server, lƣu trữ chứng đƣợc phát hành cho ngƣời sử dụng, chứng máy server thuộc hệ thống, CRL CA server phát hành Một số chức giành cho ngƣời sử dụng truy cập đến Web Pulic Database : 51 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2 Tên mục, chức Mô tả chức Chức « Dowload CA certificase chain from LDAP » bao gồm mục : « Get CA certificate for IE & IIS Ngƣời sử dụng dùng chức để tìm kiếm tải chứng Root CA từ database server cho ngƣời sử dùng Window (Trong trƣờng hợp CA nhiều cấp tìm kiếm theo tên vủa CA có chứng trogn chuỗi chứng cần tìm) « Get CA certificate for Apache & Ngƣời sử dụng dùng chức để tìm Netscape kiếm tải chứng Root CA từ database server cho ngƣời sử dụng dùng Netscape Apache môi trƣờng Linux (Trong trƣờng hợp CA nhiều cấp tìm kiê theo tên CA bậc thấp CA có chứng chuỗi chững cần tìm Chức « Dowload certificates from LDAP » bao gồm mục : « Get Certificate for Netscape Brower, Ngƣời sử dụng dùng chức để tìm Apache server » kiếm( theo mail đƣợc đăng ký chứng cần tìm) tải chứng từ database server cho ngƣời sử dụng dùng Linux « Get Certifi for IE & IIS » Ngƣời sử dụng dùng chức để tìm kiếm (theo mail đƣợc đăng ký chứng cần tìm) tải chứng từ database server cho ngƣời sử dụng dùng Windows Chức « Update CRLs » bao gồm có mục sau : « Update current CRLs for Netscape Ngƣời sử dụng dùng chức tìm kiếm (theo tên CA phát hành CRL cần tìm) cập nhật CRL cho Netscape Linux « Get current CRLs for Apache server Ngƣời sử dụng dùng chức để tìm kiếm (theo tên CA phát hành CRL cần tìm) tải CRL cho ngƣời sử dụng để cài đặt cho IE IIS Windows « Get current CRLs for IE & IIS » Ngƣời sử dụng dùng chức để tìm kiếm (theo têncủa CA phát hành CRL cần tìm) tải CRL cho ngƣời sử dụng dùng để cài đặt cho IE IIS WIndows 52 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Là giáo thức tìm, truy cập thông tin dạng thƣ mục server - Nó giao thức dạng Client/Server dùng để truy cập dịch vụ thƣ mục - LDAP chạy TCP/IP dịch vụ hƣớng kết nối khác - Cho phép xác định cấu trúc đặc điểm thông tin thƣ mục - Một mơ hình thao tác cho phép xác định tham chiếu phân bố liệu - Là giao thức mở rộng Thƣ mục LDAP đƣợc hiểu rộng khái niệm thƣ mục Windows, bao gồm cấu trúc liệu dạng liệt kê theo thƣ mục Trong hệ thống MyCA chứng CRL ngƣời sử dụng đƣợc trung tâm phát hành lƣu trữ sở liệu cơng khai, để ngƣời sử dụng tải chứng cập nhật CRL từ sở Đồng thời đảm bảo yêu cầu việc cập nhật liệu từ máy chủ (CA server) phải nhanh chóng, xác, phù hợp với kiểu liệu có cấu trúc nhƣ chứng Để làm đƣợc điều có nhiều hệ quản trị sở đữ liệu đáp ứng, có LDAP đƣợc sử dụng phổ biến hiệu Mối quan hệ trao đổi liệu thành phần với Pulic Database Server đƣợc minh hoạ hình sau : MyCA Ca RAOs Export CRL, Cert Export user’s certificates LDAP Server Query CRLs MyCA Users Query CRL certificates Hình 18 : Mơ hình quan hệ trao đổi liệu thành phần hệ thống 53 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mối quan hệ LDAP server với máy chủ hệ thống phân làm loại : - Máy CA hệ thống phát hành CRL cập nhật CRL LDAP server Khi ngƣời sử dụng đến trung tâm nhận chứng chỉ, đồng thời với việc cấp chứng cho ngƣời sử dụng, chứng đƣợc export LDAP từ máy CA, ngƣợc lại có chứng nhận cho việc chứng ngƣời sử dụng đƣợc huỷ bỏ, từ máy CA ngƣời quản trị truy cập tới LDAP để truy vấn CRL - Ngƣời sử dụng dùng trang web riêng truy cập đến LDAP Database server lúc để tải chứng nhƣ cập nhật CRL 54 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương : ỨNG DỤNG CỦA CA 5.1 ỨNG DỤNG CA TRONG DỊCH VỤ WEB 5.1.1 Đặt vấn đề Hiện Internet đƣợc sử dụng phổ biến đời sống chúng ta, phủ nhận vai trò to lớn Internet Việc kết nối quan mạng Internet hiên chủ yêu sử dụng giao thức TCP/IP cho phép thông tin gửi từ máy tới máy khác thông qua nhiếu trạm trung gian Tuy nhiên, tính linh hoạt náy tạo điều kiện cho bên thứ : nghe trộm, giả mạo, mạo dạnh, lấy cắp thông tin cần truyền Đặc biệt lĩnh vực thƣơng mại điện tử nộ dung web cần đƣợc bảo vệ Cũng xuất phát từ thực tế nên yêu cầu cần bảo vệ thông tin web đƣợc đặt 5.1.2 Giải vấn đề Hệ mật mã khố cơng khai với chứng số giải đƣợc số vấn đề liên quan đến đảm bảo thông tin web nhƣ : - Mã hoá giải mã : Cho phép hai bên trao đổi thơng tin với nhƣng thơng tin đƣợc che giấu mà họ biết Ngƣời gửi mã hố thơng tin trƣớc gửi chúng đi, ngƣời nhận giải mx để đọc đƣợc thơng tin - Chống giả mạo : Cho phép ngƣời nhận kiểm tra thơng tin có bị thay đổi hay khơng, thay đổi bị phát - Xác thực : Cho phép ngƣời nhận xác định đƣợc bí danh ngƣời gửi - Khơng thể chối cãi nguồn gốc : ngăn chặn ngƣời gửi chối cãi nguồn gốc tài liệu gửi 5.1.3 Cài đặt chứng chi trình duyệt Internet Explorer a Các chứng hệ thống MyCA cấp cho ngƣời sử dụng dùng thuật tốn RSA với modulo 1024 bít nhƣng trình duyệt IE 5.0 cho phép cài đặt chứng có độ dài khố cơng khai khơng q 512bít Để cài đƣợc ta cần phải cài dặt phần mềm hỗ trợ trƣớc (tệp ie5dom.exe) Để cài đặt ngƣời sử dụng cần kích vào tệp ie5dom.exe làm hƣớng dẫn Sau thực xong bạn cần khởi động lại để tiện ích có hiệu lực 55 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Sau cài đặt, ngƣời sử dụng mở IE, chọn menu/Tools/Internet Options, chọn Tab ‘‘contents ’’ chọn nút lệnh ‘‘Certificate ’’ thấy xuất chứng vừa đƣợc cài thƣ mục Muốn xem lại thông tin chứng sử dụng chọn nút ‘‘ View’’, cƣar sổ thông số Cùng với việc vài đặt chứng ngƣời sử dụng, chứng CA đồng thời đƣợc cài đặt, chọn tab ‘‘ Trust Root Ceriticate Authorities ’’ xuất RootCA phát hành chứng ngƣời sử dụng Nội dung chứng RootCA đƣợc lƣu vào Registry Sau cài đặt xong chứng chỉ, ngƣời sử dụng cần thiết lập cấu hình cho IE : Chọn menu Tools/Internet Options/ Advance Trong mục Setting bạn chọn ‘‘ Use SSL 3.0 ’’ ‘‘ Use TLS 1.0 ’’ nhấn OK a Cài đặt chứng cho IE Quá trình cài đặt chứng cho Netscape tiến hành theo bƣớc sau : - Trên menu trình duyệt Netscape bạn chọn chức ‘‘ Security ’’ - Chọn ‘‘ Your ’’ thƣ mục ‘‘ Your Certificates ’’, chọn ‘‘ Import a Certificate ’’ - Ngƣời sử dụng nhập mật để truy nhập tới sở liệu lƣu chứng Netscape, chọn OK - Ngƣời sử dụng chọp tệp chứng cần cài đặt nhấp OK, sau nhập mật - Bƣớc nhập tên chứng chọn OK/ Để chứng có hiệu lực, ngƣời sử dụng cần thiết lập thuộc tính cho Netscape chấp nhận RootCA vừa cài Certificate Authority 5.2 ỨNG DỤNG CA TRONG DỊCH VỤ E-MAIL 5.2.1 Đặt vấn đề Email (Electrolic Mail) hay gọi thƣ điện tử ngày đóng vai trị quan trọng đời sống ƣu điểm nhƣ : thơng điệp gửi nhanh chóng (phổ biến qua mạng Internet) đến khách hàng, đồng nghiệp, đối tác mà giá thành rẻ, dễ thao tác Những thông tin thơng tin cá nhân (thăm hỏi sức 56 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khoẻ, thơng báo tình hình gia đình ), hợp đồng thƣơng mại, nói chung có nhiều thơng tin mang tính nhạy cảm, khơng nên để lộ để ngƣời khác biết đƣợc Vì thơng tin bị ngƣời khác đọc đƣợc, lấy đƣợc, giả mạo Đây vấn đề đặt cơng tác đảm bảo an tồn thơng tin : làm để đảm bảo thông tin truyền qua dịch vụ mail nguyên vẹn ? Một ứng dụng quan trọng chứng số mã hoá xác thực thƣ điện tử Ngƣời sử dụng cài đặt chứng số đƣợc phát hành từ Trung tâm cấp chứng số để thực trao đổi thƣ điện tử có bảo mật với ngƣời dùng khác mà chung hệ thống CA Trong chƣơng này, giới thiệu cách sử dụng chừng số đƣợc cấp hệ thống MyCA Outlook Express 5.2.2 Cài đặt chứng số Để dễ hình dung, tơi xin chọn dịch vụ Cơng ty phần mềm truyền thông VASC để mô tả trình đăng ký chứng cho email bạn Hiện tại, Cơng ty có sản phẩm cho bạn lựa chọn VASC Individual-Demo VASC Individual Class3 Với demo thời gian sử dụng 30 ngày, miễn phí nhƣng cơng ty khơng chịu trách nhiệm nội dung chƣơng trình cịn ngƣợc lại Class3 bạn phải trả phí bạn đƣợc hƣởng dịch vụ tốt Sau mô tả cách đăng ký dịch vụ VASC Individual - Ban vào camaster@vasc.com.vn đế đăng ký, bạn cần nhập đầy đủ thông tin: Thông tin cá nhân : + Họ tên + Địa email + Tổ chức + Đơn vị + Tỉnh/ Thành phố + Quận/ Huyện + Quốc tịch Mật : + Mật + Xác nhận Thơng tin thêm : Nếu có bát kỳ u cầu bạn nhập vào Sau đăng ký xong thi vào email bạn yêu cầu xác nhận thơng tin, thơng tin đƣợc xác nhận lên bảng : 57 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Qua phần trình bày trên, ta thấy tất vấn đề liên quan đến an ninh thông tin - vấn đề nhạy cảm, có liên quan mật thiết đến trị, an ninh, tình báo, kinh tế đối ngoại Hiện nƣớc ta nghiên cứu, xây dựng triển khai hệ thống PKI gồm số CA Về CA có khoa tập trung dự kiến đặt Roof CA Ban Cơ yếu thuộc Bộ nội vụ, đƣợc sử dụng chủ yếu cho quan Nhà nƣớc quan ban ngành liên quan Cịn CA khơng mang khố tập trung phục vụ cho tất lĩnh vực kinh tế - xã hội nhƣ thƣơng mại điện tử, đƣợc đặt Bộ Bƣu Viễn thơng Một câu hỏi tự nhiên đặt : chịu trách nhiệm kiểm sốt, giám sát an tồn thơng tin PKI vào hoạt động ? Em thấy không khác ngồi Bộ Cơng an Theo em đƣợc biết quan chức đƣợc Bộ giao giám sát/ kiểm sốt an ninh thơng tin Tổng cục An ninh Nhƣng em tin chƣa có đơn vị nghiên cứu vấn đề PKI Để kiếm soát, giám sát an tồn thơng tin hệ thống PKI, trƣớc hết cần nghiên cứu từ bây giờ, lỗ hổng hệ thống cách thức giám sat/kiểm soát nhƣ để đảm bảo yêu cầu đặt Theo em biết điều đáng tiếc Bởi nƣớc có hệ thống nằm dƣới đạo Có quan An ninh Quốc gia Để chủ động việc giám sát/kiểm soát PKI, em xin mạnh dạn đề xuất : Ngành Công an nên thành lập đơn vị gồm chuyên viên sâu công nghệ thông tin để tập trung nghiên cứu lỗ hổng (chắc chắn xảy ra) hệ thống PKI Cas (Certificate Authorities) Để làm việc tốt cần có mạng kiểm sốt, cho phép kết nối với Roof CA, nghiên cứu tiêu chuẩn cho PKI Việt Nam nƣớc giới Từ phát lỗ hổng lĩnh vực xác thực, chữ ký số đề xuất biện pháp gửi lên quan có thẩm quyền cao định Ngay từ bây giờ, khoa Toan-Tin học viên An ninh nhân dân có vai trị đóng góp nguồn nhân lực trẻ đƣợc đào tạo tốt cơng nghệ thơng tin nói chung, lĩnh vực an ninh, an tồn thơng tin quốc gia nói riêng 58 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Em đƣợc biết Bộ cơng an có đơn vị đảm nhiệm chức đảm bảo an ninh, an toàn thơng tin quốc gia A22(tức Cục kỹ thuật nghiệp vụ I) Nhƣng đơn vị chƣa có phịng nghiệp vụ Thƣơng mại điện tƣr, chí chƣa nghiên cứu công nghệ đầy hứa hẹn mà nƣớc xung quanh nhƣ Nhật Bản, Hàn Quốc, Singapore, Trung Quốc, Thái Lan ứng dụng công nghệ Đây nhiệm vụ khó khăn ví liên quan đến kỹ thuật cao nhƣ kiến thức tốn học sâu sắc Do nên chuẩn bị trƣớc nhƣ nhân lực, công nghệ tổ chức thực Trên vài ý kiến đề xuất em Có thể cịn nhiều vấn đề em chƣa thật sâu khuôn khổ khoa luận tốt nghiệp Đại học Em kính mong đƣợc đóng góp ý kiến, bảo các thầy, cô cũgn nhƣ bạn để em hồn thiện nội dung khoá luận Em xin chân thành crm ơn Mốt số vấn đề đƣợc tiếp tục nghiến cứu phát triển : - Tìm hiểu đƣờng cong Elliptic Cài đặt hệ chữ ký số đƣờng cong Elliptic ECDSA - Tích hợp thiết bị lƣu khố với chứng số ứng dụng VPN 59 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt : Phan Huy Điển, Hà Duy Khoái (2003), Mã hố thơng tin sở tốn học ứng dụng, Nhà xuất Đại học Quốc gia Hà Nội Phan Đình Diệu (2002), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc gia Hà Nội Trịnh Nhật Tiến (2004), Một số vấn đề an toàn liệu, Hà Nội Tài liệu tiếng Anh : Adam, C (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis NIST PKI Project Team (2001), ‘Certificate Issuing and Management Components Protection Profile’ Một số trang wed : http://en.wikipedia.org/wiki http://www.cryptography.com/ http://www.cryptography.org/ http://www.ietf.org/ids.by.wg/pkix.html http://www.openca.org 60 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn Tiến Sỹ Hồ Văn Canh, ngƣời thầy cho em định hƣớng, ý kiến quý báu công nghệ PKI Em xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè khố dìu dắt, giúp đỡ em tiến suốt năm học, ngƣời khuyến khích giúp đỡ em hồn cảnh khó khăn Đƣợc hồn thành thời gian ngắn khố luận chắn nhiều khiếm khuyết Em xin cảm ơn thầy cô, bạn bè ngƣời thân có góp ý chân tình cho nội dung khố luận này, để em tiếp tục sâu tìm hiểu đƣa PKI vào ứng dụng thực tế Em xin chân thành cảm ơn! Hải Phòng, tháng năm 2010 Sinh viên Nguyễn Văn Cương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC MỞ ĐẦU PHẦN A: NHỮNG KIẾM THỨC BỔ TRỢ Chương 1: LÝ THUYẾT MẬT MÃ 1.1 GIỚI THIỆU 1.2 CÁC KHÁI NIỆM BAN ĐẦU 1.3 HỆ MẬT MÃ 1.3.1 Hệ mã hóa khóa bí mật (hay cịn gọi Hệ mật mã khóa đối xứng) 1.3.2 Hệ mật mã khóa cơng khai 1.4 HỆ RSA 1.4.1 Định nghĩa 1.4.2 Kiểm tra quy tắc giải mã 1.4.3 Độ an toàn hệ RSA 10 1.4.4 Thực RSA 10 1.5 ELGAMAL 11 Chương 2: XÁC THỰC, CHỮ KÍ SỐ VÀ HÀM BĂM 12 2.1 XÁC THỰC 12 2.1.1 Định nghĩa .12 2.1.2 Xác thực với trung tâm .12 2.2 CHỮ KÝ SỐ 13 2.2.1 Giới thiệu 13 2.2.2 Định nghĩa .13 2.2.3 Chữ ký dựa hệ mật RSA 17 2.2.4 Chữ ký số dựa hệ mật Elgamal 17 2.3 CHUẨN CHỮ KÝ SỐ DSS 19 2.4 HÀM BĂM 21 2.4.1 Định nghĩa tính chất 21 2.4.2 Một số hàm băm điển hình .22 2.4.3 Ứng dụng hàm băm 23 PHẦN B : CƠ SỞ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI VÀ ỨNG DỤNG 24 Chương : CƠ SỞ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI 24 3.1 LỊCH SỬ HÌNH THÀNH PKI 24 3.2 CƠ SỞ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI 25 3.3 NHỮNG YÊU CẦU CỦA PKI 26 3.4 ỨNG DỤNG CỦA PKI 26 3.5 CÁC THÀNH PHẦN CỦA PKI 27 3.5.1 Tổ chức chứng thực CA .28 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.5.2 Trung tâm đăng ký (RA) 28 3.5.3 Thực thể cuối (Ngƣời giữ chứng Clients) 29 3.5.4 Hệ thống lƣu trữ (Repositories) 29 3.6 CHỨC NĂNG CỦA PKI 30 3.6.1 Chứng thực (Certification) 30 3.6.2 Thẩm tra (Verification) 30 3.6.3 Một số chức khác 30 3.7 MƠ HÌNH PKI 33 3.7.1 Mơ hình đơn 33 3.7.2 Mơ hình phân cấp 34 3.7.3 Mơ hình mắt lƣới 35 3.7.4 Mơ hình Hub Spoke 37 3.7.5 Mơ hình Web 38 3.7.6 Mơ hình ngƣời sử dụng trung tâm 39 Chương : CHỨNG CHỈ SỐ CA 40 4.1 GIỚI THIỆU 40 4.2 ĐỊNH NGHĨA 40 4.3 CHỨC NĂNG CỦA CHỨNG CHỈ 40 4.4 PHÂN LOẠI CHỨNG CHỈ SỐ 41 4.5 CHỨNG CHỈ KHĨA CƠNG KHAI X.509 41 4.5.1 Những trƣờng chứng X.509 42 4.5.2 Những trƣờng mở rộng chứng X.509 43 4.5.3 Thu hồi chứng 44 4.5.4 Chính sách chứng 45 4.5.5 Công bố gửi thông báo thu hồi chứng .46 4.6 MỘT SỐ CÔNG NGHỆ SỬ DỤNG TRONG PKI 48 4.6.1 Công nghệ SSL (Secure Socket Layer) 48 4.6.2 Công nghệ LDAP 51 Chương : ỨNG DỤNG CỦA CA .55 5.1 ỨNG DỤNG CA TRONG DỊCH VỤ WEB 55 5.1.1 Đặt vấn đề 55 5.1.2 Giải vấn đề 55 5.1.3 Cài đặt chứng chi trình duyệt Internet Explorer .55 5.2 ỨNG DỤNG CA TRONG DỊCH VỤ E-MAIL 56 5.2.1 Đặt vấn đề 56 5.2.2 Cài đặt chứng số .57 KẾT LUẬN 58 TÀI LIỆU THAM KHẢO 60 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC TỪ VIẾT TẮT ARLs: Authority Revocation Lists CA: Certificate Authority COST: Commercial of the Shelf CRLs: Certificate Revocation Lists DES: Data Encryption Standard CSP : Certification Service Provider DSS : Digital Signature Standard DAP : Directory Access Protocol LDAP : Lightweight Directory Access Protocol PGP: Pretty Good Privacy PKCS: Public Key Cryptography Standard PKI: Public Key Infrastructure: Cơ sở hạ tầng mật mã công khai PKC: Public Key Certificate RSA: Rivest Shamir Adleman RA: Registration Authorities SSL: Secure Socket Layer TLS: Transport Layer Security VPN: Virtual Private Network WWW: World Wide Web LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC HÌNH VẼ Hình 1: Q trình mã hố giải mã Hình 2: Sử dụng khố cơng khai P để mã hố thơng điệp Hình 3: Sử dụng khố riêng để giải mã thơng điệp Hình 4: Băm thơng điệp Hình 5: Ký băm Hình 6: Truyền liệu thơng tin cần gửi Hình 7: Xác minh chữ ký Hình 8: Tiến hành băm thơng điệp Hình 9: Kiểm tra tính tồn vẹn Hình 10: Sơ đồ ký thơng điệp Hình 11: Mơ hình CA đơn Hình 12: Mơ hình mắt lƣới Hình 13: Mơ hình hub spoke Hình 14: Danh sách CA tinh cậy Microsoft Explorer Hình 15: Khn dạng chứng X.509 Hình 16: Khn dạng danh sách bị thu hồi Hình 17: Giao thức SSL Hình 18: Mơ hình quan hệ trao đổi liệu thành phần hệ thống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... luanvanchat@agmail.com PHẦN B : CƠ SỞ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI VÀ ỨNG DỤNG Chương : CƠ SỞ HẠ TẦNG MẬT MÃ KHÓA CƠNG KHAI 3.1 LỊCH SỬ HÌNH THÀNH PKI Với phát triển khoa học công nghệ, hầu hết cơng việc hành... chung mật mã, phần B (Chƣơng 3, 4, 5) sở hạ tầng mật mã khố cơng khai ứng dụng Chương 1: LÝ THUYẾT MẬT MÃ Giới thiệu lịch sử hình thành cảm mật mã; khái niệm mật mã; đồng thời trình bày hệ mật mã. .. có chuẩn chung, đƣợc ứng dụng nhiều không ngừng phát triển Những PKI thành công tới phiên phủ số nƣớc thực 3.2 CƠ SỞ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI Cơ sở hạ tầng khóa cơng khai viết tắt PKI (Public