Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 78 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
78
Dung lượng
2,06 MB
Nội dung
LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành tới PGS TS Nguyễn Văn Tam, người thầy cho định hướng ý kiến quý báu công nghệ PKI Tôi xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè khố dìu dắt, giúp đỡ tơi tiến suốt năm học qua Xin cảm ơn gia đình bè bạn, người ln khuyến khích giúp đỡ tơi hồn cảnh khó khăn Tơi xin cảm ơn Cục Tin học nghiệp vụ tạo điều kiện cho tơi q trình học làm luận văn Được hoàn thành thời gian hạn hẹp, luận văn chắn nhiều khiếm khuyết Tôi xin cảm ơn thầy cô, bạn bè người thân có góp ý chân tình cho nội dung luận văn này, để tơi tiếp tục sâu tìm hiểu đưa PKI vào ứng dụng thực tiễn cơng tác Lương Nguyễn Hồng Hoa LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -1- MỤC LỤC MỤC LỤC Danh mục từ viết tắt Danh mục hình vẽ MỞ ĐẦU CHƯƠNG - TỔNG QUAN VỀ MẬT MÃ 10 1.1 1.2 1.3 1.4 1.5 1.6 Giới thiệu chung 10 Khái niệm hệ mật mã 11 Hệ mật mã khoá đối xứng 11 Hệ mật mã khố cơng khai 12 Chữ ký số 16 Hàm băm 20 CHƯƠNG - CHỨNG CHỈ SỐ VÀ HẠ TẦNG MÃ KHỐ CƠNG KHAI 23 2.1 Chứng số (digital certificates) 24 2.1.1 Giới thiệu .24 2.1.2 Chứng khố cơng khai X.509 26 2.1.3 Thu hồi chứng 30 2.1.4 Chính sách chứng 31 2.1.5 Công bố gửi thông báo thu hồi chứng 32 2.2 Các thành phần PKI .35 2.2.1 Tổ chức chứng thực (Certification Authority) 36 2.2.2 Trung tâm đăng ký (Registration Authorities) 37 2.2.3 Thực thể cuối ( Người giữ chứng Clients) .38 2.2.4 Hệ thống lưu trữ (Repositories) 38 2.3 Chức PKI 39 2.3.1 Chứng thực (certification) 39 2.3.2 Thẩm tra (validation) 39 2.3.3 Một số chức khác 39 2.4 Mơ hình tin cậy cho PKI 43 2.4.1 Mơ hình CA đơn 44 2.4.2 Mơ hình phân cấp 45 2.4.3 Mơ hình mắt lưới (xác thực chéo) .46 2.4.4 Mơ hình Hub Spoke (Bridge CA) 48 2.4.5 Mô hình Web (Trust Lists) 49 2.4.6 Mơ hình người sử dụng trung tâm (User Centric Model) 51 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -2- CHƯƠNG - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 53 3.1 Tổng quan hệ thống .53 3.1.1 Mơ hình hệ thống .53 3.1.2 Một số đặc tính hệ thống cung cấp chứng số 54 3.2 Chức trình khởi tạo thành phần hệ thống cung cấp chứng số MyCA 58 3.2.1 Certificate Authority - CA 58 3.2.2 Registration Authority - RA 59 3.2.3 RAO 60 3.2.4 LDAP Public Database Server .60 3.3 Qui trình đăng ký, cấp phát huỷ bỏ chứng 62 3.3.1 Qui trình đăng ký cấp chứng 62 3.3.2 Qui trình huỷ bỏ chứng 64 3.4 Thử nghiệm sản phẩm 65 3.4.1 Thử nghiệm phía quản trị 65 3.4.2 Thử nghiệm phía người dùng 65 3.5 Đánh giá chung 66 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 70 PHỤ LỤC 72 Môi trường phát triển 72 Một số chuẩn mật mã khố cơng khai (PKCS) .72 Một số hình giao diện hệ thống xây dựng 74 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -3- Danh mục từ viết tắt ARLs Authority Revocation Lists CA Certificate Authority CAO Certificate Authority Operator CMS Cryptographic Message Syntax COST Commercial of the Shelf CRLs Certificate Revocation Lists CRR Certificate Revocation Request CSP Certification Service Provider DAP Directory Access Protocol DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard ECC Elliptic Curve Cryptography HTTPS Secure Hypertext Transaction Standard IANA Internet Assigned Numbers Authority IEEE Institute of Electrical & Electronic Engineers IETF Internet Engineering Task Force ISO International Organization for Standardization ITU-T Internet Telecommumications UnionTelecommunication LDAP Lightweight Directory Access Protocol MD5 Message Digest Hash Algorithm OCSP Online Certificate Status Protocol PEM Privacy Enhanced Mail PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -4- PKI Public Key Infrastructure PKIX Extended Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensions SHA-1 Secure Hash Standard SSL Secure Socket Layer TLS Transport Layer Security Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -5- Danh mục hình vẽ Hình 1.1: Hình 1.2: Hình 1.3: Hình 1.4: Hình 1.5: Hình 1.6: Hình 1.7: Hình 1.8: Hình 1.9: Hình 1.10: Hình 2.1: Hình 2.2: Hình 2.3: Hình 2.4: Hình 2.5: Hình 2.6: Hình 2.7: Hình 2.8: Hình 2.9: Hình 2.10: Hình 2.11: Hình 2.12: Hình 3.1: Hình 3.2: Hình 3.3: Hình 3.4: Hình 3.5: Hình 3.6: Q trình mã hố giải mã 11 Mã hố thơng điệp sử dụng khố cơng khai P 13 Giải mã thơng điệp sử dụng khố riêng người nhận 13 Sơ đồ hệ mật mã RSA 14 Mã hố thơng điệp sử dụng khố bí mật S để mã thơng điệp khố cơng khai P để mã khố bí mật S 15 Giải mã thông điệp sử dụng khố bí mật S để giải mã thơng điệp khố riêng P để giải mã khố bí mật S 15 Sơ đồ chữ ký RSA 18 Sơ đồ mô tả công đoạn người A làm trước gửi thông điệp cho người B (sử dụng hàm băm ký số) 19 Sơ đồ mô tả công đoạn kiểm tra chữ ký sau người B nhận thông điệp 20 Nhiều thông điệp nguồn cho kết đích sau mã hố/ ký số 21 Chứng số 25 Khuôn dạng chứng X.509 26 Nội dung chi tiết chứng 30 Khuôn dạng danh sách chứng bị thu hồi 33 Dịch vụ kiểm tra online 35 Các thành phần PKI 36 Đường dẫn chứng chéo 43 Mơ hình CA đơn 44 Mơ hình phân cấp 45 Mơ hình mắt lưới 47 Mơ hình Hub Spoke (Bridge CA) 49 Danh sách CA tin cậy Microsoft Explorer 50 Mơ hình hệ thống cung cấp chứng số 53 Tệp yêu cầu cấp chứng 55 Chứng lưu khố cơng khai rootCA hệ thống MyCA 56 Chứng người sử dụng 57 Mơ hình mơ hệ thống MyCA phân cấp hai tầng 59 Mơ hình quan hệ trao đổi liệu thành phần hệ thống 61 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -6- Hình 3.7: Hình 3.8: Hình 3.9: Hình 3.10: Mơ hình đăng ký cấp chứng số 62 Giấy chứng nhận chứng số 64 Mơ hình huỷ bỏ chứng 64 Mơ hình kết hợp hệ thống cung cấp chứng số giải pháp đảm bảo an toàn hệ thống mạng nội 67 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -7- MỞ ĐẦU Trong vài năm lại đây, hạ tầng truyền thông IT ngày mở rộng người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông tin nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử quan văn phòng, doanh nghiệp Sự thay đổi hoạt động truyền thông đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, cơng, phá hoại vơ tình tiết lộ thơng tin Cơ sở hạ tầng mã khố cơng khai (PKI - Public Key Infrastructure) tiêu chuẩn cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đề PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng số hay ta gọi chứng thực điện tử (digital certificate) khố cơng cộng (khố cơng khai) cá nhân (khoá riêng) Sáng kiến PKI đời năm 1995, mà phủ tổ chức cơng nghiệp xây dựng tiêu chuẩn chung dựa phương pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ lý thuyết cho phép người sử dụng tổ chức (doanh nghiệp phi lợi nhuận) tạo lập, lưu trữ trao đổi thông tin cách an tồn phạm vi cá nhân cơng cộng Cho tới nay, nỗ lực hoàn thiện PKI đầu tư thúc đẩy Và để thực hoá ý tưởng tuyệt vời này, tiêu chuẩn cần phải nghiên cứu phát triển mức độ khác bao gồm: mã hố, truyền thơng liên kết, xác thực, cấp phép quản lý Nhiều chuẩn bảo mật mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) Virtual Private Network (VPN), kết sáng kiến PKI Một minh chứng thuật toán Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -8- mã hoá phi đối xứng xây dựng dựa phương pháp mã hố giải mã thơng tin sử dụng hai khố mã: khố cơng khai (public key) khố riêng (private key) Trong trường hợp này, người sử dụng mã hố tài liệu với khố riêng sau giải mã thơng tin khố cơng khai Nếu văn chứa liệu nhạy cảm cần phải truyền cách bảo mật tới cá nhân, thông thường người gửi mã hố tài liệu mã khố riêng người nhận giải mã sử dụng khố cơng khai người gửi Khố cơng khai gửi kèm theo tài liệu gửi cho người nhận trước Mặt khác, có nhiều thuật tốn phi đối xứng nên chuẩn cơng khai có thường xun nghiên cứu cải tiến để phù hợp với thuật toán Hiện Việt Nam, việc nghiên cứu, ứng dụng triển khai PKI nói chung dịch vụ cung cấp chứng số nói riêng vấn đề cịn mang tính thời Bằng việc sử dụng chứng chữ ký số, ứng dụng cho phép PKI đưa nhiều đặc tính đảm bảo an tồn thơng tin cho người sử dụng Luận văn thực với mục đích tìm hiểu nghiên cứu PKI, bao gồm khái niệm tổng quan mật mã, chứng số, khái niệm sở PKI, chức thành phần PKI Luận văn tập trung vào việc tìm hiểu mơ hình tin cậy PKI, ưu nhược điểm mơ hình này; dịch vụ, giao thức chuẩn định dạng liên quan đến việc xây dựng ứng dụng PKI, qua vận dụng để xây dựng hệ thống cung cấp chứng số có khả ứng dụng cho quan công tác số đơn vị khác Với giới hạn vấn đề tìm hiểu nghiên cứu trên, luận văn bao gồm chương: Chương 1: Tổng quan mật mã Giới thiệu khái niệm hệ mật mã đối xứng, hệ mật mã phi đối xứng hay gọi hệ mật mã khố cơng khai; ưu nhược điểm hệ mã này; khái niệm chữ ký số hàm băm, sơ đồ chữ ký số sử dụng hệ thống thử nghiệm Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -9- Chương 2: Chứng số hạ tầng mã khố cơng khai Trình bày khái niệm chứng số số vấn đề liên quan; khái niệm PKI, chức thành phần PKI; mơ hình tin tưởng PKI, ưu nhược điểm mơ hình Chương 3: Xây dựng hệ thống cung cấp chứng số thử nghiệm Phân tích xây dựng hệ thống cung cấp chứng số theo mơ hình, chức chuẩn trình bày chương chương Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 63 - Người sử dụng sinh khố (bằng trình sinh khố cấp) sinh yêu cầu cấp chứng Sau đó, gửi yêu cầu lên trung tâm (máy RA) Người quản trị máy RA thực so sánh thông tin đăng ký với thông tin gửi lên trung tâm qua đường công khai, đồng thời kiểm tra chữ ký người dùng yêu cầu cấp chứng (bằng khố cơng khai gửi đến) Nếu hồn tồn hợp lệ RA ký lên yêu cầu cấp chứng gửi yêu cầu sang máy CA Người quản trị máy CA kiểm tra chữ ký RA yêu cầu cấp chứng người sử dụng idKey sở liệu xem có bị trùng khơng, hợp lệ CA chấp nhận yêu cầu cấp chứng đó, phát hành chứng (thực ký chứng chỉ) gửi sang máy RA 5a Người sử dụng lên trung tâm đăng ký để nhận chứng số giấy chứng nhận chứng số Để chặt chẽ lên người sử dụng phải đem theo yêu cầu cấp chứng (đã có sinh yêu cầu cấp chứng chỉ) lưu tệp có dạng ID.req_txt để trung tâm so sánh thơng tin đăng ký khố cơng khai tương ứng với chứng số Đây bước đảm bảo cấp chứng số cho người sử dụng đảm bảo mặt pháp lý 5b Người quản trị máy RAO lấy chứng số máy RA cấp chứng số giấy chứng nhận cấp chứng số cho người dùng 5c Chứng số người dùng cơng nhận tồn hệ thống CA, người quản trị máy RAO đưa công khai lên máy LDAP người dùng khác truy cập máy để lấy Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 64 - Hình 3.8: Giấy chứng nhận chứng số 3.3.2 Qui trình huỷ bỏ chứng Trong trình sử dụng chứng chưa hết thời hạn sử dụng người dùng yêu cầu huỷ bỏ chứng với nhiều lý do: chuyển công tác, thay đổi địa e-mail, nghi ngờ lộ khố bí mật… Qui trình huỷ bỏ chứng mơ tả hình 3.9 RAO RA CA 4a 4b User LDAP Hình 3.9: Mơ hình huỷ bỏ chứng Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 65 - Người sử dụng gửi yêu cầu huỷ bỏ chứng lên máy RA RA kiểm tra chữ ký yêu cầu huỷ bỏ chứng chỉ, thấy ký sau chuyển sang máy CA CA kiểm tra chữ ký RA yêu cầu huỷ bỏ, ký sau chuyển sang máy LDAP 4a Người quản trị cập nhật danh sách chứng bị huỷ bỏ 4b Người dùng cấp giấy chứng nhận huỷ bỏ chứng 3.4 Thử nghiệm sản phẩm Hệ thống sau xây dựng đưa vào thử nghiệm hai phía: người quản trị người sử dụng 3.4.1 Thử nghiệm phía quản trị Nội dung thử nghiệm cho người quản trị hệ thống cung cấp chứng số : - Thiết lập CA: + Khởi tạo CA + Xử lý yêu cầu RA + Quản lý chứng + Quản lý chứng hết hiệu lực - Thiết lập RA: + Khởi tạo RA RAOs + Xử lý yêu cầu người sử dụng - Thiết lập RAO: + Sinh khoá, yêu cầu cấp chứng cho RAO + Ký yêu cầu RAO + Tạo file định dạng PKCS#12 với chứng nhận + Cài đặt PKCS#12 vào trình duyệt (trên máy RAO) 3.4.2 Thử nghiệm phía người dùng Người sử dụng sau thực đăng ký cấp phát mềm sinh khoá, sinh tệp yêu cầu chứng chỉ, chuyển đổi định dạng chứng số cấp số tiện ích khác phục vụ cho việc đăng ký sử dụng chứng Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 66 - Nội dung thử nghiệm phía người sử dụng: - Đăng ký nhận chứng chỉ: + Đăng ký + Sinh tệp khoá, tệp yêu cầu cấp chứng + Nhận chứng cấp - Cài đặt chứng cho trình duyệt IE: + Cài đặt tiện ích trợ giúp + Chuyển đổi định dạng chứng + Cài đặt chứng cho IE 3.5 - Cập nhật chứng người dùng khác - Tích hợp chứng số cấp eToken (iKey 2000, iKey 2032) - Sử dụng chứng cấp dịch vụ thư điện tử web Đánh giá chung Hệ thống cung cấp chứng số MyCA cài đặt chạy hệ điều hành Linux 7.3 Fedora Core Máy trạm sử dụng hệ điều hành Microsoft Windows 98, 2000, trình duyệt IE Netscape Các thao tác cấp chứng thực thơng qua trình duyệt Web Hệ thống quản lý số lượng lớn người dùng (240) Cho phép người sử dụng tự sinh cặp khố (cơng khai bí mật), đảm bảo khố sinh khơng bị trùng phụ thuộc vào ID người Trong trình cấp phát huỷ bỏ chứng chỉ, yêu cầu truyền ký, đảm bảo tính tồn vẹn, xác thực chống chối bỏ Khả ứng dụng hệ thống cấp chứng số MyCA: - Sử dụng cho dịch vụ web qua giao thức https - Sử dụng cho dịch vụ thư tín điện tử - Kết hợp chứng số với số công nghệ khác để vệ tài liệu điện tử - Dùng thiết bị iKey để lưu chứng khố bí mật - Có thể phối kết hợp hệ thống với giải pháp khác để đảm bảo an ninh an toàn cho hệ thống mạng nội Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 67 - Dưới mơ hình kết hợp hệ thống cung cấp chứng số số giải pháp đảm bảo an toàn cho hệ thống mạng nội Hệ thống tường lửa Hệ thống giám sát IDS hệ thống kiểm tra, diệt virus Hệ thống cấp chứng số Mạng nội Hình 3.10: Mơ hình kết hợp hệ thống cung cấp chứng số giải pháp đảm bảo an toàn hệ thống mạng nội Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 68 - KẾT LUẬN Nghiên cứu thiết kế hệ thống đảm bảo an toàn cho dịch vụ mạng vấn đề phức tạp ln cần hồn thiện Hệ thống cung cấp chứng số MyCA xây dựng dựa chuẩn cơng nghệ PKI Q trình nghiên cứu phát triển hệ thống cung cấp chứng số nói riêng PKI nói chung trình lâu dài với trình chấp nhận người sử dụng Tỷ lệ người sử dụng tăng lên chuẩn cơng nghệ trở nên hồn thiện, chứng minh khả ứng dụng thực hoá khả thi Hiện nay, việc sử dụng mật mã khố cơng khai dịch vụ cung cấp chứng số hay gọi dịch vụ chứng thực điện tử để đảm bảo an tồn thơng tin hoạt động giao dịch điện tử giải pháp nhiều quốc gia giới sử dụng Ở Việt Nam, chữ ký số dịch vụ cung cấp chứng số vấn đề chưa triển khai thực tế Trong thời gian gần đây, số đơn vị, quan có hoạt động ban đầu nghiên cứu công nghệ, xây dựng hệ thống kỹ thuật, phát triển ứng dụng thử nghiệm cung cấp dịch vụ chứng thực điện tử Việc triển khai dịch vụ cung cấp chứng thực điện tử yêu cầu đầu tư lâu dài nghiêm túc mang lại kết mong muốn Phần khó khăn triển khai dịch vụ khâu tổ chức thực thay đổi nhận thức người sử dụng Tính pháp lý chữ ký số dịch vụ chứng thực điện tử vấn đề đặt cần giải Các tổ chức, cá nhân cung cấp sử dụng dịch vụ chứng thực điện tử cần phải quản lý, đồng thời có quyền, nghĩa vụ định Chữ ký số ghi điện tử ký số theo qui định pháp luật có giá trị pháp lý văn viết thơng thường Ngồi hạ tầng sở cơng nghệ yếu, chưa có tin tưởng vào nhà cung cấp e ngại tâm lý người dùng trở ngại việc triển khai dịch vụ cung cấp chứng số cách rộng rãi Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 69 - Kết nghiên cứu Luận văn có tìm hiểu khái niệm, cơng nghệ, mơ hình tổ chức xây dựng hệ thống PKI, với việc xây dựng hệ thống cung cấp chứng số ứng dụng cho Cục Công nghệ tin học nghiệp vụ số đơn vị khác Bộ Công an Đây kết nghiên cứu ban đầu sản phẩm giai đoạn triển khai thử nghiệm Tuy nhiên, với nhận định ưu điểm PKI trước yêu cầu thực tế đặt ra, tin tâm đẩy mạnh việc nghiên cứu, xây dựng triển khai dịch vụ cung cấp chứng số để đảm bảo an tồn thơng tin theo yêu cầu đặt toàn ngành Một số vấn đề tiếp tục nghiên cứu phát triển: Tìm hiểu đường cong elliptic Cài đặt hệ chữ ký số đường cong Elliptic ECDSA Tích hợp thiết bị lưu khoá với chứng số ứng dụng VPN Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 70 - TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt Phạm Huy Điển, Hà Huy Khối (2003), Mã hố thơng tin sở toán học ứng dụng, Nhà xuất Đại học Quốc gia Hà nội Phan Đình Diệu (1999), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc Gia Hà Nội, Hà Nội Trịnh Nhật Tiến (2004), Một số vấn đề an toàn liệu, Hà Nội Tài liệu tiếng Anh Adams, C (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis Alfred Menezes (1996), Handbook of Applied Cryptography, CRC Press, LLC Andrew Nash, William Duance, Celia Joseph, and Derek Brink (2001), PKI Implementing and managing E-Security, McGraw –Hill Co Ellison, C.M (1996), “Simple Public Key Certificate” Fegghi, J.(1999), Digital Certificates and Applied Internet Security, Addison-Wesley Longman, Inc ITU-T Recommendation X.509 (2000), “The Directory: Public key and Attribute Certificates Framework” 10 NIST FIPS PUB 180 – (1994), “Secure Hash Standard” 11 NIST PKI Project Team (2001), “Certificate Issuing and Management Components Protection Profile” 12 Rivest, R.L., A.Shamir, and L.M.Adleman (1978), “A method for obtaining digital signatures and public-key cryptosystems”, Communications of the ACM Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 71 - Một số RFC 13 Boeyen, S., T.Howes and P.Richard (1999), Internet X.509 Public Key Infrastructure Operational Protocols – LDAP2, RFC 2559 14 Chokhani, S (1999), Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, RFC 2527 15 Housley, R (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459 16 Housley, R., and P.Hoffman (1999), Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP, RFC 2585 17 Myers, M (1999), Internet X.509 Certificate Request Message Format, RFC 2511 18 Myers, M (1999), X.509 Internet Public Key Infrastrure On-line Certificate Status Protocol, RFC 2560 19 Santesson, S (2001), Internet X.509 Public Key Infrastructure Qualified Certificates Profile , RFC 3039 Một số Website 20 http://www.ietf.org/ids.by.wg/pkix.html “Internet X.509 Public Key Infrastructure TimeStamp Protocols” 21 http://www.ietf.org/ids.by.wg/pkix.html “Internet X.509 Public Key Infrastructure Data Certification Server Protocols” 22 http://www.ietf.org/ids.by.wg/pkix.html “Internet X.509 Public Key Infrastructure Certificate Management Protocols” 23 http://www.ietf.org/ids.by.wg/pkix.html “Simple Certificate Validation Protocol (SCVP)” 24 http://www.rsasecurity.com 25 http://www.openca.org Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 72 - PHỤ LỤC Môi trường phát triển Hệ thống cung cấp chứng số MyCA trình bày phát triển hệ điều hành Linux, sử dụng số công cụ mã nguồn mở đây: Apache mod_ssl OpenSSL OpenLDAP Perl Một số chuẩn mật mã khố cơng khai (PKCS) PKCS - Public Key Cryptography Standards chuẩn mã hố khố cơng khai phịng thí nghiệm RSA phát triển Chuẩn PKCS cung cấp định nghĩa định dạng liệu thuật toán sở tảng việc triển khai PKI - PKCS#1 RSA Encryption Standard – Mã ký sử dụng hệ mã công khai RSA - PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khố Diffie-Hellman PKCS#3 mơ tả phương pháp thực trao đổi khoá Diffie-Hellman - PKCS#5 Password-based Encrytion Standard - Chuẩn mã hoá dựa password PKCS#5 mô tả phương pháp mã xâu bát phân sử dụng khố bí mật tính từ password để sinh xâu bát phân mã hoá PKCS # sử dụng để mã hố khố riêng việc truyền khố bí mật - PKCS#6 Extended Certificate Syntax Standard - Chuẩn cú pháp chứng mở rộng PKCS # định nghĩa cú pháp chứng X.509 mở rộng - PKCS#7 Crytographic Message Syntax Standard - Chuẩn cú pháp thông điệp mật mã PKCS#7 xác định cú pháp tổng thể liệu mã hố ví dụ chữ ký số PKCS#7 cung cấp số lựa chọn định dạng: message khơng mã hố ký số, message mã hoá, message ký số message có ký số mã hố Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 73 - - PKCS#8 Private Key Information Syntax Standard - Chuẩn cú pháp thông tin riêng PKCS#8 định nghĩa cú pháp thơng tin khố riêng cú pháp khoá riêng mã hoá - PKCS#9 Selected Attribute Types - Những loại thuộc tính lựa chọn PKCS#9 định nghĩa loại thuộc tính lựa chọn sử dụng chứng mở rộng PKCS#6, thông điệp ký số PKCS#7, thơng tin khố riêng PKCS#8 u cầu ký chứng PKCS#10 Những thuộc tính chứng rõ gồm có địa thư, loại nội dung, tóm tắt thơng điệp, thời gian ký, password yêu cầu thuộc tính chứng mở rộng - PKCS#10 Certification Request Syntax Standard - Chuẩn cú pháp yêu cầu chứng PKCS#10 định nghĩa cú pháp yêu cầu chứng Yêu cầu chứng gồm tên phân biệt, khố cơng tập thuộc tính tuỳ chọn, chữ ký thực thể yêu cầu chứng - PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ mật mã PKCS#11 xác định giao diện lập trình ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thơng tin mã hố (cũng khoá mã hoá chứng chỉ) thực chức mã hoá Smart Card thiết bị đặc trưng thực Cryptoki - PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cú pháp trao đổi thông tin cá nhân PKCS#12 định nghĩa định dạng thông tin nhận diện cá nhân bao gồm khố riêng, chứng chỉ, bí mật đặc tính khác mở rộng PKCS#12 làm cho việc truyền chứng khố bí mật gắn kèm thuận tiện, giúp người sử dụng chuyển thơng tin nhận diện cá nhân từ thiết bị sang thiết khác - PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mã đường cong elliptic PKCS#13 bao gồm việc tạo tham số đường cong elliptic kiểm tra hiệu lực, tạo khố cơng nhận giá trị, chữ ký số mã hố khố cơng khai thoả thuận khoá Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 74 - - PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số giả ngẫu nhiên Nhiều hàm mật mã sử dụng PKI tạo khố thoả thuận khố bí mật Diffie – Hellman sử dụng liệu ngẫu nhiên Tuy nhiên liệu ngẫu nhiên lại không ngẫu nhiên mà chọn từ tập giá trị tiên đốn hàm mật mã khơng bảo mật đầy đủ Do tạo số giả ngẫu nhiên an toàn điều quan trọng bảo mật PKI Một số hình giao diện hệ thống xây dựng Giao diện trang chủ Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 75 - Giao diện Khởi tạo sở liệu tạo cặp khoá cho RootCA Giao diện nhập thông tin cá nhân yêu cầu đăng ký cấp chứng Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 76 - Giao diện ký yêu cầu cấp chứng Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 77 - Giao diện tạo tệp chứng định dạng PKCS#12 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... 3: Xây dựng hệ thống cung cấp chứng số thử nghiệm Phân tích xây dựng hệ thống cung cấp chứng số theo mơ hình, chức chuẩn trình bày chương chương Xây dựng hệ thống cung cấp chứng số dựa hạ tầng. .. Model) 51 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -2- CHƯƠNG - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 53 3.1... triển 72 Một số chuẩn mật mã khố cơng khai (PKCS) .72 Một số hình giao diện hệ thống xây dựng 74 Xây dựng hệ thống cung cấp chứng số dựa hạ tầng khố cơng khai LUAN VAN CHAT LUONG