FITHOU MỤC LỤC 3I) Thực trạng truyền tin qua mạng 31) Các nguy cơ tiềm ẩn 32) Các phương pháp mã hóa 3a) Mã hóa khóa đối xứng 4b) Mã hóa không đối xứng 5II) Chứng thực khóa công khai – Chứng chỉ số CA.
MỤC LỤC MỤC LỤC a)Khái niệm b)Nhiệm vụ c)Mơ hình phân cấp d)Cơ chế hoạt động 10 e)Danh sách vài CA Server 11 I) Thực trạng truyền tin qua mạng 1) Các nguy tiềm ẩn: Ngày nay, việc giao tiếp qua Internet trở thành nhu cầu cấp thiết Nhiều liệu quan trọng truyền mạng mã số tài khoản, thông tin mật… Tuy nhiên với thủ đoạn tinh vi, nguy ăn cắp thông tin qua mạng ngày gia tăng Cũng thời đại cơng nghệ thơng tin, có lẽ khơng không sở hưu địa Email riêng thường xun thơng qua để trao đổi thông tin liên lạc với đối tác kinh doanh Vấn đề đặt với tài liệu có mức độ quan trọng riêng tư cao mà ta không muốn cho người thứ biêt Tuy nhiên, biết thông tin qua Internet sử dụng giao thức TCP/IP Đây giao thức cho phép thông tin gửi từ máy tính tới máy tính khác qua hàng loạt máy trung gian mạng riêng biệt Chính điều tạo hội cho kẻ trộm cơng nghệ cao thực hành động phi pháp Các thơng tin truyền mạng bị nghe trộm (Eavesdroping), giả mạo (Tampering), mạo danh (Impersonation).v.v Các biện pháp bảo mật dùng mật khơng đảm bảo bị nghe trộm nhanh chóng dị Để giảm lo lắng nguy rị rỉ thơng tin, liệu truyền Internet ngày có xu hướng mã hóa Cơ chế sau: Ví dụ A có nội dung quan trọng muốn gửi cho B với nội dung “xxxxxxx” A mã hóa liệu việc đặt khóa Key= k tiến hành mã hóa nội dung thành “yyyyyyyyy” Khi B nhân thông tin từ A gửi cho chuỗi kí tự “yyyyyyyyy” Để giải mã, B phải có Key mà A cung cấp cho đọc nội dung Có phương pháp mã hóa giải mã mã hóa đối xứng mã hóa khơng đối xứng 2) Các phương pháp mã hóa a) Mã hóa khóa đối xứng: Phương pháp mã hóa giống chế vừa nêu Tưởng an toàn lại tồn nhược điểm lơn mà người ta khơng chọn hình thức mã hóa giải mã kiểu có Key họ đọc tồn liệu mà trước ta mã hóa Hơn thực tế A khơng có B đối tác mà có đến hàng trăm hàng nghìn đối tác khác Với đối tác A phải có Key riêng A phải lưu trữ chừng khóa mà phía đối tác cấp cho Ví dụ A gửi gói tin Data cho B mã hóa với Key=1 cho kết gói Data1 B nhận gói tin tiến hành giải mã với Key mà thu Data ban đầu A Data Encrypt (Key) B Data1 Data Decrypt (Key) Tuy nhiên lý C nhặt gói tin Data1 Key A gửi cho B Khi C tiến hành giải mã sửa thơng tin, sau lại mã hóa với Key gửi cho B Vì thơng tin mà B nhận hồn tồn sai lệch không đáng tin cậy thân B A Data B Data1 Encrypt (Key) Data1’ Edit C Decrypt (Key) Data Data’ Encrypt (Key) Trước nguy người ta đưa phương pháp mã hóa thứ hai b) Mã hóa khơng đối xứng: Người ta chứng minh tồn số P Q với P#Q mà mã hóa liệu với P, ngưới ta đem kết giải mã với Q thu liệu ban đầu ngược lại Data Encrypt (P) Data1 Decrypt (Q) Data Với quy trình này, người dùng sử dụng cơng nghệ mã hóa cần khóa mà thơi Ví dụ A sử dụng cơng nghệ mã hóa nên có: Khóa PA gọi Public Key, khóa cơng khai, người xem sử dụng khóa Khóa QA gọi Private Key, khóa bí mật có A xem sử dụng khóa Vì vậy, A gửi Data cho B dùng Private Key P B B để mã hóa cho kết Data1 Khi B nhận gói Data1 giải mã Private thu đươc liệu Data ban đầu A Encrypt (PB) Data Data1 Decrypt (QB) Data B Tuy nhiên cách chưa thực an tồn A lấy Public Key PB B sử dụng mà khơng xác minh tính xác thực có B hay khơng Khi với thủ thuật đó, C lấy Public Key P C chèn vào Public Key PB B nhằm đánh lừa A Như vậy, vơ tình thay A dùng P B để mã hóa liệu lại lấy PC để mã hóa liệu gửi cho B Như thông tin mà A gửi cho B khơng thật an tồn C - PC A Data Data Encrypt (PB) Data1 B Decrypt (QC) Microsoft cho phương pháp mã hóa bảo mật an toàn, sử dụng phổ biến áp dụng tồn giới, chứng số ( Digital Certificate) II) Chứng thực khóa cơng khai – Chứng số - CA Server 1) Khái niệm Chứng sổ tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty… Internet Nố giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, ban phải có quan Cơng An cấp Và chứng số Chứng số phải dó tổ chức đứng chứng nhận thơng tin bạn xác gọi Nhà cung cấp chứng số (CA – Certificate Authority) CA nhà phát hành chứng thực quản lý chứng thực CA phải đảm bạo độ tin cậy, tính trách nhiệm độ xác chứng số mà cấp 2) Thành phần Chứng số có thành phần chính: Dữ liệu cá nhân người cấp: bao gồm tên, quốc tịch, địa chỉ, email, tên tổ chức v.v., phần giống thông tin CMT Khóa cơng khai: giá trị CA đưa khóa mã hóa, kết hợp với khóa nhân tạo từ khóa cơng khai để tạo thành cặp mã hóa bất đối xứng Chữ kí số CA cấp: gọi chứng gốc, xác nhận CA, đảm bảo tính xác hợp lệ chứng Muốn kiểm tra chứng số, phải kiểm tra chữ kí số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Cơng An tỉnh thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra CMT, phải kiểm tra dâu để biết CMT có bị làm giả hay khơng 3) Lợi ích chứng số Mã hóa bảo mật: Khi người gửi mã hóa thơng tin khóa cơng khai bạn, chắn có bạn giải mã thơng tin để đọc Trong q trình truyền Internet, dù có đọc gói tin hóa này, kẻ xấu thơng thể biết gói tin có thơng tin Đây tính quan trọng giúp người dùng hoàn toàn tin cậy vào khả bảo mật thông tin Những liệu cần bảo mật cao giao dịch liên ngân hàng, ngân hàng điện tử, tốn thẻ tín dụng cần phải có chứng số để đảm bảo an toàn Chống giả mạo: Khi bạn gửi thơng tin, liệu Email, sử dụng chứng số, người nhận kiểm tra thơng tin bạn có bị thay đổi hay khơng Bất kì sửa đổi hay thay nội dung thông điệp bị phát Địa mail bạn, tên domain… bị làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng Chứng số khơng thể làm giả, nên việc trao đổi thơng tin có kèm chứng số ln đảm bảo an tồn Xác thực: Khi bạn gửi thơng điệp kèm chứng số, người nhận xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn qua hệ thống chứng sổ mà bạn người nhận sử dụng, người nhận biết bạn khơng phải người khác Xác thực việc quan trọng giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác định rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây tảng Chính phủ điện tử, mơi trường cho phép cơng dân giao tiếp, thực cơng việc hành với quan nhà nước hồn tồn qua mạng Có thể nói chứng số phần thiếu, phần cốt lõi Chính phủ điện tử Chống chối cãi nguồn gốc: Khi sử dụng chứng số, bạn phải hồn tồn chịu trách nhiệm thơng tin mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thông tin khơng phải gửi (chẳng hạn đơn đặt hàng quan mạng), chứng số mà người nhận có chứng khẳng định người gừi tác giả thơng tin Trong trường hợp chối cãi, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh thông tin, chứng tỏ nguồn gốc thông tin gửi 4) CA Server a)Khái niệm Certificate Authority thực thể phát hành chứng thực khóa cơng khai cho người dùng Nhà cung cấp chứng thực số đóng vai trị bên thứ ba (được hai bên tin tưởng) để hỗ trợ cho q trình trao đổi thơng tin an tồn Các nhà cung cấp chứng thực số thành phần trung tâm nhiều mơ hình hạ tầng khóa cơng khai (PKI) b)Nhiệm vụ Xác minh nhận dạng đối tượng yêu cầu chứng chỉ: CA phải thẩm định nhận dạng đối tượng đầu cuối (như người dùng, máy tính, thiết bị mạng, dịch vụ, v.v ) trước cấp chứng cho họ Điều giúp đảm bảo đối tượng phải có đủ quyền hạn cần thiết yêu cầu CA cấp cho loại chứng Ngồi ra, tổ chức quản lý chứng gặp mặt vấn trực tiếp người yêu cầu Cấp phát chứng cho đối tượng yêu cầu: sau xác minh nhận dạng đối tượng, CA cấp loại chứng yêu cầu cho đối tượng Mỗi loại chứng có nội dung mục đích sử dụng khác Ví dụ, yêu cầu cấp chứng cho IPSec kết chứng dùng máy chủ máy khách để xác thực điểm đầu cuối kênh truyền thông bảo vệ IPSec Quản lý việc thu hồi chứng chỉ: CA định kỳ phát hành CRL sau khoảng thời gian định trước CRL chứa danh sách số thứ tự (serial number) chứng bị thu hồi mã số lý (reason code) cho việc thu hồi c)Mơ hình phân cấp Root CA Nằm đỉnh cao mơ hình CA phân cấp, Root CA điểm tin cậy cho tất chứng cấp CA khác mơ hình Điều có nghĩa chứng coi tin cậy kiểm chứng xuyên qua chuỗi chứng với điểm kết thúc Root CA Root CA tự cấp chứng cho lúc trường Issuer Name Subject Name chứng có tên phân biệt (distinguished name) Cách để xác minh chứng Root CA có hợp lệ hay khơng kiểm tra xem chứng có nằm Trusted Root Store hay khơng Root CA cấp chứng cho đối tượng đầu cuối thường cấp cho CA khác Khi thực cấp chứng cho thực thể, Root CA sử dụng khóa bí mật để ký lên chứng để chống lại hành động thay đổi nội dung chứng cấp Root CA Intermediate CA Trong mơ hình CA phân cấp Intermediate CA CA cấp CA khác Nó cấp chứng cho CA cấp Intermediate CA nằm cấp độ mơ hình phân cấp ngoại trừ vị trí Root CA CA mà cấp chứng cho CA khác thường gọi parent CA Intermediate CA gọi Subordinate CA Policy CA Là dạng đặc biệt Intermediate CA, Policy CA mơ tả sách thủ tục mà tổ chức cần triển khai để xác minh nhận dạng chủ thể nắm giữ chứng bảo đảm an toàn cho CA Một Policy CA cấp chứng cho CA khác trơng mơ hình phân cấp Tất CA (ngoại trừ Root CA) cấp Policy CA tuân theo sách thủ tục định nghĩa Policy CA Issuing CA Thường nằm bậc thứ mơ hình phân cấp, Issuing CA cấp chứng cho đối tượng đầu cuối Như nói trên, Issuing CA cần tuân theo sách thủ tục định nghĩa Policy CA mà nằm Root CA Issuing CA nằm bậc thứ mơ hình phân cấp đóng vai trị Policy CA Issuing CA thơng thường Nó tự thẩm định tuân theo sách thủ tục d)Cơ chế hoạt động Với CA Server thân có Public Key & Private Key riêng Khi A,B,C muốn gởi thông tin cho phải thông qua CA Server để xin cấp giấy chứng nhận cho riêng có thơng tin bị đánh cắp hay sửa đổi nhờ có CA Server xác thực tính tin cậy liệu nhận cho người dùng biết Qui trình sau: CA Server lấy thông tin Public Key người dùng gọi CRC hay thơng tin đặc trưng người dùng Kế tiếp mã hóa CRC với Private Q cho giá trị S giá trị công khai 10 Như lúc tài khoản người dùng tồn Public Key Private Key Có B nhận thơng tin từ A đem thơng tin S giải mã với P CA Server thu CRC Nó lấy tiếp giá trị CRC vừa thu đem so sánh với CRC trung khớp cho qua Ngược lại biết nội dung khơng đáng tin cậy bị sửa đổi từ trước e)Danh sách vài CA Server VeriSign,Thawte,GeoTrust,GoDaddy GlobalSign – doanh nghiệp giới công nhận nhà cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp tất loại chứng thư,gói thư,giải pháp chứng thư số cho ngành tài – ngân hàng,y tế, giáo dục lĩnh vực kinh doanh khác Chứng thư tiêu chuẩn toàn cầu Tương thích với 99% trình duyệt 11 Cung cấp CA uy tín giới Định hướng doanh nghiệp với tất dịng sản phẩm SSL(là tiểu chuẩn an ninh cơng nghệ toàn cầu) Tiết kiệm cho doanh nghiệp với lựa chọn Wildcard,SAN Ở Việt Nam có số CA Server:BKAV,VNPT… III) Hướng dẫn cài đặt CA Server Window Server 2008 Cài đặt CA: - Nhấn Star Administrative Tools 12 -Mở Server Manager chuột phải Roles chọn Add Roles 13 - Trong mục Before You Begin, chọn Next 14 - Trong mục Select Server Roles,đánh dấu chọn Active Directoty Certificate Servers ,Chọn Next - Trong mục Introdution to Active Directory Certificate Services,chọn Next 15 - Trong mục Select Role Services,đánh dấu chọn ô Certificate Authority Web Enrollment,mục Add role services required for Certificate Authority Web Enrollment,chọn Add Required Role Services - Hộp thoại Spectify Setup Type,chọn Standalone,chọn Next 16 - Trong mục Spectity CA Type ,Chọn Root CA - Trong mục Set Up Private Key,chọn Create a new private key,chọn Next 17 - Trong mục Configure Cryptography for CA,chọn Next - Trong mục Configure CA Name,chọn Next 18 - Trong mục Set Validity Period,chọn Next - Trong mục Configure Certificate Database,chọn Next 19 - Trong mục Web Server(IIS),chọn Next - Trong mục Select Role Services,giữ nguyên lựa chọn mặc định,chọn Next 20 - Trong mục Confirm Installation Selections,chọn Install - Trong mục Installation Progress,đợi chạy hết chương trình cài đặt,chọn Close 21 - Nhấn Start,trong Administrative Tools,chọn Certification Authoity,để xem CA cài đặt xong 22 IV) Tài liêu tham khảo Ebook MCSA 70-291 http://inet.edu.vn/tin-tuc/2150/chung-chi-so-cong-cu-baomat-thong-tin-truyen-qua-internet.html https://vi.wikipedia.org/wiki/Ch%E1%BB%A9ng_th %E1%BB%B1c_kh%C3%B3a_c%C3%B4ng_khai 23 ... Root CA Intermediate CA Trong mô hình CA phân cấp Intermediate CA CA cấp CA khác Nó cấp chứng cho CA cấp Intermediate CA nằm cấp độ mơ hình phân cấp ngoại trừ vị trí Root CA CA mà cấp chứng cho CA. .. Việt Nam có số CA Server: BKAV,VNPT… III) Hướng dẫn cài đặt CA Server Window Server 2008 Cài đặt CA: - Nhấn Star Administrative Tools 12 -Mở Server Manager chuột phải Roles chọn Add Roles 13 -... bảo đảm an toàn cho CA Một Policy CA cấp chứng cho CA khác trơng mơ hình phân cấp Tất CA (ngoại trừ Root CA) cấp Policy CA tuân theo sách thủ tục định nghĩa Policy CA Issuing CA Thường nằm bậc