Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA 1 MỤC LỤC LỜI MỞ ĐẦU 4 CHƯƠNG I MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KỸ SỐ 5 I Mật mã khóa công khai 5 1 Khái niệm 5 2 Các thuật toán sử dụng tr[.]
Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm Các thuật tốn sử dụng mật mã khóa cơng khai 2.1 Thuật toán RSA 2.2 Thuật tốn thỏa thuận khóa Diffie-Hellman II Chữ ký số CHƯƠNG 2: TỔNG QUAN VỀ PKI I Giới thiệu Lịch sử Khái niệm Mục tiêu chức 10 Các khía cạnh an tồn 10 II Mơ hình PKI thành phần 12 Các thành phần 12 1.1 Tổ chức chứng thực (CA) 13 1.2 Trung tâm đăng ký (RA) 14 1.3 Thực thể cuối (End Entity) 15 1.4 Hệ thống lưu trữ (Repositories) 15 Các mơ hình PKI (các loại mơ hình) 16 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA 2.1 Mơ hình phân cấp CA chặt chẽ (Strict hierachy of CAs) 16 2.2 Mơ hình phân cấp CA không chặt chẽ (loose hierarchy of CAs) 17 2.3 Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) 17 2.4 Mơ hình bên (Four – Coner Model) 19 2.5 Mơ hình Web (Web Model) 20 2.6 Mô hình tin cậy lấy người dùng làm trung tâm (User – Centric Trust) 21 Các kiểu kiến trúc 22 3.1 Kiến trúc kiểu Web of Trust 23 3.2 Kiến trúc kiểu CA đơn (Single CA) 24 3.3 Kiến trúc CA phân cấp 26 3.4 Kiến trúc kiểu chứng thực chéo (Cross – certificate) 27 3.5 Kiến trúc Bridge CA (BCA) 28 III Cơ chế làm việc 29 Khởi tạo thực thể cuối 29 Tạo cặp khóa cơng khai/ khóa riêng 29 Áp dụng chữ ký để định danh người gửi 30 Mã hóa thơng báo 30 Truyền khóa đối xứng 30 Kiểm tra định danh người gửi thông qua CA 31 Giải mã thông báo kiểm tra nội dung thông báo 31 CHƯƠNG 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA 33 I Giới thiệu OpenCA 33 II Hệ thống PKI với OpenCA 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA DANH MỤC HÌNH ẢNH Hình 1: Sơ đồ tạo kiểm tra chữ ký số Hình 2: Các thành phần PKI 13 Hình 3:Mơ hình phân cấp CA chặt chẽ 16 Hình 4: Mơ hình kiến trúc tin cậy phân tán 18 Hình 5: mơ hình bên 19 Hình 6: Mơ hình web 20 Hình 7: Mơ hình tin cậy lấy người dùng làm trung tâm 22 Hình 8: Chuỗi tin cậy 23 Hình 9: Kiến trúc kiểu Web of Trust 24 Hình 10: Kiến trúc CA đơn 25 Hình 11: Kiến trúc CA phân cấp 26 Hình 12: Kiến trúc kiểu chứng thực chéo 27 Hình 13: Kiến trúc Brigde CA 28 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA LỜI MỞ ĐẦU Trong vài năm lại đây, hạ tầng truyền thông công nghệ thông tin ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc bán hàng mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, cơng, phá hoại vơ tình tiết lộ thơng tin Cấu trúc sở hạ tầng mã khóa cơng khai tiêu chuẩn cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đền PKI trở thành phần trung tâm kiến trúc an toàn doành cho tổ chức kinh doanh PKI xem điểm trọng tâm nhiều khía cạnh quản lý an tồn Hầu hết giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa cơng khai PKI thể rõ vai trị lĩnh vực an tồn thơng tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở OpenCA Chính điều mục đích chúng em chọn đề tài “Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA” Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm - Mật mã khóa cơng khai dạng mật mã cho phép người sử dụng trao đổi thông tin mật mà khơng cần phải trao đổi khóa bí mật trước Trong mật mã khóa cơng khai sử dụng cặp khóa khóa cơng khai khóa riêng (khóa bí mật) Khóa cơng khai dùng để mã hóa cịn khóa riêng dùng để giải mã - Điều quan trọng hệ thống khơng thể tìm khóa bí mật biết khóa cơng khai - Hệ thống mật mã khóa cơng khai sử dụng với mục đích : • Mã hóa: giữ bí mật thơng tin có người có khóa bí mật giải mã • Tạo chữ kí số: cho phép kiểm tra văn có phải tạo khóa bí mật khơng • Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật bên Các thuật tốn sử dụng mật mã khóa cơng khai 2.1 Thuật tốn RSA - Thuật tốn RSA Ron Rivest, Adi Shamir Len Adleman mô tả lần vào năm 1977 học viện công nghệ Massachusetts (MIT) - RSA thuật toán mã hóa khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Đây thuật toán phù hợp với việc tạo chữ ký điện tử đồng thời với miệc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa công khai RSA sử dụng phổ biến thương mại điện tử cho đảm bảo an tồn với điều kiện độ dài khóa đủ lớn - RSA có tốc độ thực chậm đáng kể so với DES thuật tốn mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật tốn mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với văn bản) 2.2 Thuật tốn thỏa thuận khóa Diffie-Hellman - Phương thức phát minh Whitfield Diffie Matty Hellman Stanford - Đây sơ đồ khóa cơng khai Tuy nhiên, khơng phải sơ đồ mã hóa khóa cơng khai thực sự, mà dùng cho trao đổi khóa Các khóa bí mật trao đổi cách sử dụng trạm trung gian tin cậy Phương pháp cho phép khóa bí mật truyền an tồn thơng qua mơi trường khơng bảo mật - Trao đổi khóa Diffie-Hellman dựa tính hiệu tốn logarit rời rạc - Tính bảo mật trao đổi khóa Diffie-Hellman nằm chỗ: tính hàm mũ modulo số nguyên tố dễ dàng tính logarit rời rạc khó II Chữ ký số - Chữ ký số thông tin kèm theo liệu (văn bản, hình ảnh, video,… ) nhằm mục đích xác định người chủ liệu - Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu “băm” thành chuỗi, thường có độ dài cố định ngắn văn bản) sau dùng khóa bí mật người chủ khóa để mã hóa, ta chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA Khi cần kiểm tra, bên nhận giải mã với khóa cơng khai để lấy lại chuỗi gốc (được sinh qua hàm băm ban đầu) kiểm tra lại với hàm băm vừa nhận Nếu giá trị khớp bên nhận tin tưởng liệu xuất phát từ người sở hữu khóa bí mật - Chữ ký số khóa cơng khai dựa tảng mật mã khóa cơng khai Để trao đổi thơng tin mơi trường này, người sử dụng có cặp khóa: khóa cơng khai khóa bí mật Khóa cơng khai cơng bố rộng rãi cịn khóa bí mật phải giữ kín khơng thể tìm khóa bí mật biết khóa cơng khai - Tồn q trình gồm thuật tốn: • Thuật tốn tạo khóa • Thuật toán tạo chữ ký số • Thuật toán kiểm tra chữ ký số Hình 1: Sơ đồ tạo kiểm tra chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 2: TỔNG QUAN VỀ PKI I Giới thiệu Lịch sử - Việc Diffie, Hellman, Rivest, Shamir, Adleman cơng bố cơng trình nghiên cứu trao đổi khóa an tồn thuật tốn mật mã hóa khóa cơng khai vào năm 1976 làm thay đổi hoàn toàn cách thức trao đổi thông tin mật Cùng với phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thơng tin bí mật trở nên cấp thiết Thêm vào yêu cầu phát sinh việc xác định định dạng người tham gia vào q trình thơng tin Vì ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển cách mạnh mẽ - Nhiều giao thức sử dụng kỹ thuật mật mã phát triển phân tích Cùng với đời phổ biến World Wide Web, nhu cầu thơng tin an tồn nhận thực người sử dụng trở nên cấp thiết Chỉ tính riêng nhu cầu ứng dụng cho thương mại (như giao dịch điện tử hay truy cập sở liệu trình duyệt web) đủ hấp dẫn nhà phát triển lĩnh vực Taher ElGamal cộng Netscape phát triển giao thức SSL (https địa web) bao gồmthiết lập khóa, nhận thực máy chủ Sau đó, thiết chế PKI tạo để phục vụ nhu cầu truyền thơng an tồn - Các nhà doanh nghiệp kỳ vọng vào thị trường hứa hẹn thành lập công ty dự án PKI bắt đầu vận động phủ để Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA hình thành nên khung pháp lý lĩnh vực Một dự án American Bar Association xuất nghiên cứu tổng quát vấn đề pháp lý nảy sinh vận hành PKI (xem thêm: hướng dẫn chữ ký số ABA) Khơng lâu sau đó, vài tiểu bang Hoa kỳ mà đầu Utah (năm 1995) thông qua dự luật quy định Các nhóm bảo vệ quyền lợi người tiêu dùng đặt vấn đề bảo vệ quyền riêng tư trách nhiệm pháp lý - Tuy nhiên, luật quy định thông qua lại không thống giới Thêm vào khó khăn kỹ thuật vận hành khiến cho việc thực PKI khó khăn nhiều so với kỳ vọng ban đầu - Tại thời điểm đầu kỷ 21, người ta nhận kỹ thuật mật mã quy trình/giao thức khó thực xác tiêu chuẩn chưa đáp ứng yêu cầu đề - Thị trường PKI thực tồn phát triển với quy mô kỳ vọng từ năm thập kỷ 1990 PKI chưa giải số vấn đề mà kỳ vọng Những PKI thành công tới phiên phủ thực Khái niệm - Trong mật mã học, hạ tầng khóa cơng khai (tiếng Anh: public key infrastructure, viết tắt PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khóa cơng khai/khóa bí mật Các q trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Khái niệm hạ tầng khóa cơng khai (PKI) thường dùng để toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan đồng thời với toàn việc sử dụng thuật tốn mật mã hóa khóa công khai trao đổi thông tin Tuy nhiên phần sau bao gồm khơng hồn tồn xác chế PKI khơng thiết sử dụng thuật tốn mã hóa khóa cơng khai Mục tiêu chức PKI cho phép người tham gia xác thực lẫn sử dụng thông tin từ chứng thực khóa cơng khai để mật mã hóa giải mã thơng tin q trình trao đổi Thông thường, PKI bao gồm phần mềm máy khách (client), phần mềm máy chủ (server), phần cứng (như thẻ thơng minh) quy trình hoạt động liên quan Người sử dụng ký văn điện tử với khóa bí mậtcủa người kiểm tra với khóa cơng khai người PKI cho phép giao dịch điện tử diễn đảm bảo tính bí mật, tồn vẹn xác thực lẫn mà không cần phải trao đổi thơng tin mật từ trước Các khía cạnh an toàn PKI cung cấp sở hạ tầng an ninh rộng khắp Cơ sở hạ tầng dành cho mục đích an ninh phải chấp nhận quy tắc quán phải cung cấp lợi ích Cơ sở hạ tầng an ninh rộng khắp phải đảm bảo an toàn cho toàn tổ chức tất đối tượng, ứng dụng tổ Các khía cạnh an tồn mà PKI cung cấp bao gồm: a) Đăng nhập an tồn - Tiến trình đăng nhập liên quan tới người dùng nhập định danh (ID user username), xác thực thơng tin (password giá trị bí mật đó) 10 ... mã nguồn mở OpenCA Chính điều mục đích chúng em chọn đề tài ? ?Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA? ?? Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG I : MẬT MÃ... KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA 33 I Giới thiệu OpenCA 33 II Hệ thống PKI với OpenCA 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA DANH MỤC... hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa cơng khai PKI thể rõ vai trị lĩnh vực an tồn thơng tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã