Bài thi cuối kỳ môn An ninh mạng 1 Nhóm 14 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I BÁO CÁO TIỂU LUẬN MÔN HỌC AN NINH MẠNG THÔNG TIN ĐỀ TÀI CHỨNG THƯ X509 VÀ MÔ HÌNH HẠ TẦNG KHÓA CÔNG[.]
Bài thi cuối kỳ môn An ninh mạng HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I BÁO CÁO TIỂU LUẬN MÔN HỌC: AN NINH MẠNG THÔNG TIN ĐỀ TÀI: CHỨNG THƯ X509 VÀ MƠ HÌNH HẠ TẦNG KHĨA CƠNG KHAI PKI Giảng viên hướng dẫn: Phạm Anh Thư Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng MỤC LỤC MỤC LỤC BẢNG PHÂN CÔNG CƠNG VIỆC LÝ DO CHỌN ĐỀ TÀI DANH MỤC HÌNH ẢNH NỘI DUNG KHÁI QUÁT VỀ CHỨNG THƯ SỐ…………………………………………….6 1.1 Khái niệm chứng thư số…………………………………………………… 1.2 Phân loại chứng thư số……………………………………………………….7 1.3 Hoạt động chứng thư số…………………………………………………7 1.4 Quy định nội dung chứng thư số nay………………………………….8 CHỨNG THƯ X.509………………………………… ……….……… …… 2.1 Giới thiệu chứng thư X.509………………… ……………….…… …… 2.2 Các phiên chứng thư X.509…………………….………… ………… 2.2.1 X.509 version 1…………………………….…… …………………… 2.2.2 X.509 version 2……………………………………………………… 10 2.2.3 X.509 version 3……………………………………………………… 11 2.3 Vòng đời chứng thư X.509…………………………………………………15 2.4 Thu hồi chứng thư………………………………………………………….16 2.5 Hủy bỏ tạo chứng thư…………………………………………… 17 ƯU ĐIỂM VÀ ỨNG DỤNG CỦA CHỨNG THƯ………………….…………18 3.1 Ưu điểm chứng thư…………………………………………………….18 3.2 Ứng dụng chứng thư X.509……………………………………………18 MƠ HÌNH HẠ TẦNG KHĨA CƠNG KHAI PKI…………………………….19 4.1 Mơ hình PKI……………………………………………………………… 19 4.2 Các thành phần khóa cơng khai PKI…………………………………19 4.3 Các mơ hình hạ tầng khóa cơng khai PKI……………………………20 TỔNG KẾT TÀI LIỆU THAM KHẢO Bài thi cuối kỳ môn An ninh mạng Bảng phân cơng cơng việc Nhóm 14 Nguyễn Văn Nam - Tìm hiểu Chứng thư X509 Đỗ Phan Ngọc Khánh - Tìm hiểu Mơ hình hạ tầng khóa cơng khai PKI Tổng kết Tổng hợp hồn thiện Word - Bài thi cuối kỳ mơn An ninh mạng LÝ DO CHỌN ĐỀ TÀI Ngày nay, với phát triển mạnh mẽ Internet mạng máy tính giúp cho việc trao đổi thơng tin trở nên nhanh gọn, dễ dàng Email cho phép việc nhận gửi thư thiết bị có kết nối Internet, E-business cho phép thực giao dịch buôn bán mạng,…Tuy nhiên, thông tin quan trọng nằm kho liệu hay đường truyền bị trộm cắp, bị làm sai lệch, bị giả mạo gây ảnh hưởng lớn tới tổ chức, công ty hay quốc gia Đặc biệt, giao dịch điện tử có nguy xảy an toàn dẫn đến hậu tiềm ẩn lớn Do vậy, để bảo mật thông tin truyền Internet xu hướng mã hóa sử dụng thường xuyên Trước truyền qua Intenet, thông tin phải mã hóa, kẻ trộm có chặn thơng tin q trình truyền khơng thể đọc nội dung thơng tin mã hóa Khi tới đích, thơng tin người nhận giải mã Trước phát triển mạnh mẽ cơng nghệ thơng tin nhu cầu cho phiên giao dịch trao đổi thông tin điện tử cần bảo mật ngày tăng nên sinh vấn đề an toàn sau: bảo mật, tính tồn vẹn, xác thực, khơng chối bỏ Để giải vấn đề này, báo cáo tiểu luận Nhóm 14 chúng em lựa chọn đề tài Chứng thư X.509 sở hạ tầng khóa cơng khai (PKI) Đặc biệt, tìm hiểu đưa giải pháp chứng thư X509 để giải vấn đề thực liên kết, phối hợp hệ thống PKI độc lập với nhằm tạo mối quan hệ tin tưởng PKI điển hình triển khai Chính phủ điện tử dịch vụ cơng trực tuyến Bài thi cuối kỳ môn An ninh mạng DANH MỤC HÌNH ẢNH Hình 1.1: Cấu trúc chung chứng thư Hình 1.2: Ví dụ chứng thư số Hình 1.3: Sơ đồ hoạt động chứng thư Hình 2.1: Khn dạng X.509 v1 Hình 2.2: Khn dạng X.509 v2 Hình 2.3: Khn dạng X.509 v3 Hình 2.4: Vịng đời chứng thư X.509 Hình 2.5: Thu hồi chứng thư Hình 2.6: Khn dạng thu hồi chứng thư X.509 v3 Hình 4.1 : Mơ hình PKI Hình 4.2 : Mơ hình PKI ứng dụng cho tổ chức lớn Hình 4.3 : Mơ hình Mesh PKI Bài thi cuối kỳ môn An ninh mạng TỔNG QUAN CHỨNG THƯ SỐ 1.1 Khái niệm chứng thư số Để đảm bảo an tồn khóa cơng khai tránh vi phạm an ninh liên quan tới việc giả mạo sửa đổi khóa quan trọng Vì thế, cần có kỹ thuật tồn vẹn liệu để đảm bảo an tồn khóa cơng khai Tuy nhiên, có kỹ thuật tồn vẹn liệu chưa đủ để bảo đảm khóa cơng khai thuộc chủ sở hữu tuyên bố Một kỹ thuật yêu cầu để gắn kết khóa cơng khai với chủ sở hữu tuyên bố theo cách đáng tin cậy mà đảm bảo danh tính tính xác thực khóa cơng khai Kỹ thuật định nên thực hai tiêu chí sau : Thiết lập tính tồn vẹn khóa cơng khai Gắn kết khóa cơng khai thơng tin kết hợp tới chủ sở hữu theo cách tin cậy Trong môi trường PKI chứng thư số kỹ thuật đảm bảo hai tiêu chí Chứng thư số dạng chứng thư điện tử giúp nhận dạng đại diện cho người dùng, tổ chức, máy tính, thiết bị mạng dịch vụ Nó phát hành Certification Authority (CA) liên kết với cặp khóa cơng khai khóa bí mật CA tạo chứng thư cho khóa cơng khai CA phải bảo đảm nhận dạng đối tượng yêu cầu xác thực trước cấp chứng thư Việc xác minh nhận dạng thực dựa giấy phép an ninh (security credential) đối tượng thông qua gặp mặt trao đổi trực tiếp với người yêu cầu Sau nhận dạng kiểm chứng hợp lệ, CA cấp chứng thư ký số khóa bí mật cho họ Chữ ký số cho biết nguồn gốc chứng (do CA cấp), đảm bảo khóa cơng khai thuộc chủ thể chứng thư giúp phát thay đổi, giả mạo có nội dung chứng thư Một chứng thư số có ba thành phần chính: thơng tin cá nhân người cấp khóa cơng khai(Public Key) người cấp chữ ký số sở cấp chứng Hình 1.1: Cấu trúc chung chứng thư Bài thi cuối kỳ môn An ninh mạng Hình 1.2: Ví dụ chứng thư số 1.2 Phân loại chứng thư số Gồm loại chứng thư: Chứng thư số cho cá nhân: Là chứng thư số cấp cho chức danh nhà nước, người có thẩm quyền quan, tổ chức theo quy định pháp luật quản lý sử dụng dấu, cấp cho cán bộ, công chức, viên chức quan nhà nước có nhu cầu giao dịch điện tử Chứng thư số cho quan, tổ chức: Là chứng thư số cấp cho quan nhà nước giao cho người có thẩm quyền quan theo quy định pháp luật quản lý sử dụng dấu để sử dụng để ký số văn điện tử thay cho dấu quan Chứng thư số cho thiết bị, dịch vụ, phần mềm: Là chứng thư số cấp cho thiết bị, dịch vụ phần mềm thuộc sở hữu, quản lý quan nhà nước 1.3 Hoạt động chứng thư số Quá trình tạo chữ ký số: Đầu tiên, sử dụng hàm băm để tạo mã băm từ phần thông tin Unsigned Certificate (bao gồm ID, khóa cơng khai User thơng tin CA ) Tiếp theo, mã hóa mã băm với khóa bí mật CA để tạo chữ ký số Chữ ký số tạo gắn thông tin ban đầu để tạo chứng thư chứa khóa cơng khai User Bài thi cuối kỳ môn An ninh mạng Hình 1.3: Sơ đồ hoạt động chứng thư Quá trình xác thực: Thực lấy mã băm H0 phần thông tin ban đầu cách đưa phần thơng tin qua hàm băm Thực lấy mã băm H1 phần thơng tin mã hóa phần a), cách giải mã chữ ký số khóa cơng khai CA Sau đó, so sánh mã băm H0 H1, trùng thơng tin ban đầu xác thực 1.4 Quy định nội dung chứng thư số Hiện nay, chứng thư số Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng quan, tổ chức cấp phải bao gồm đầy đủ nội dung sau: ➢ Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số Tên thuê bao ➢ Số hiệu chứng thư số ➢ Thời hạn có hiệu lực chứng thư số Khóa công khai thuê bao ➢ Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số Các hạn chế mục đích, phạm vi sử dụng chứng thư số ➢ Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số ➢ Thuật toán mật mã ➢ Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông Bài thi cuối kỳ môn An ninh mạng CHỨNG THƯ X.509 2.1 Giới thiệu chứng thư X.509 ITU-T đưa khuyến nghị X.509 phần tập tiêu chuẩn X.500 nhằm định nghĩa dịch vụ thư mục Các thư mục trì sở liệu thơng tin người dùng bao gồm ánh xạ từ tên người sử dụng, địa mạng, thuộc tính khác thơng tin người sử dụng X.509 định nghĩa khung làm việc cho dịch vụ chứng thực Các thư mục phục vụ kho lưu trữ khóa cơng khai chứng Ngoài ra, X.509 định nghĩa giao thức xác thực khác dựa việc sử dụng giấy chứng nhận khóa cơng khai Khn dạng chứng thư số X.509 thay đổi qua version để tăng tính xác thực bảo mật, xong phiên đảm bảo đủ ba thành phần chính: thơng tin cá nhân người cấp; khóa cơng khai(Public Key) người cấp; chữ ký số sở cấp chứng Chi tiết trường khuôn dạng chứng thư X.509 rõ phiên chứng thư X.509 2.2 Các phiên chứng thư X 509 2.2.1 X.509 version1 Được định nghĩa vào năm 1988, X.509 version khơng cịn sử dụng Định dạng loại chứng thể hình đây: Hình 2.1: Khuôn dạng X.509 v1 Một chứng X.509 version bao gồm trường sau: Version: chứa giá trị cho biết chứng X.509 version Serial Number: cung cấp mã số nhận dạng cho chứng phát hành CA CA Signature Algorithm: tên thuật toán mà CA sử dụng để ký lên nội dung Bài thi cuối kỳ môn An ninh mạng chứng số Issuer Name: tên phân biệt (distinguished name) CA phát hành chứng Thường tên phân biệt biểu diễn theo chuẩn X.500 định dạng theo đặc tả X.509 RFC 3280 Validity Period: khoảng thời gian mà chứng xem hiệu lực, bao gồm trường là: Valid From Valid To Subject Name: tên máy tính, người dùng, thiết bị mạng sở hữu chứng Thường tên chủ thể biểu diễn theo chuẩn X.500 định dạng theo đặc tả X.509, bao gồm định dạng tên khác mô tả RFC 822 Subject Public Key Info: khóa cơng khai đối tượng nắm giữ chứng Khóa cơng khai gửi tới CA thông điệp yêu cầu cấp chứng (certificate request) bao gồm nội dung chứng phát hành sau Trường chứa nhận dạng thuật toán dùng để tạo cặp khóa cơng khai khóa bí mật liên kết với chứng Signature Value: chứa giá trị chữ ký Các trường Issukk Name Subject Name cấu trúc để chứng tổ chức thành chuỗi chứng mà bắt đầu chứng cấp cho người dùng, máy tính, thiết bị mạng, dịch vụ kết thúc chứng gốc CA 2.2.2 X.509 version2 Mặc dù chứng X.509 version cung cấp đầy đủ thông tin người nắm chứng lại có thơng tin tổ chức cấp phát chứng bao gồm Issuer Name, CA Signature Algorithm Signature Value Điều khơng giúp dự phịng trường hợp CA thay Khi chứng CA thay mới, trường Issuer Name chứng cũ Tương tự, có tổ chức khác muốn tạo CA có trường Issuer Name chứng giống Giải vấn đề để sử dụng lại Issuer Name chứng X.509 version giới thiệu vào năm 1993 Trong định dạng có thêm trường thể hình đây: Hai trường bổ sung là: Issuer Unique ID: trường không bắt buộc, chứa chuỗi giá trị hệ 16, mang tính dành để nhận dạng CA Khi CA thay chứng nó, Issuer Unique ID khởi tạo cho chứng 10 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng Hình 2.2: Khn dạng X.509 v2 Subject Unique ID: trường không bắt buộc, chứa chuỗi giá trị hệ 16, mang tính dùng để nhận dạng chủ thể chứng Nếu chủ thể CA trường giống với Issuer Unique ID Ngồi việc đưa vào trường trường Version chứng X.509 version có giá trị để phiên chứng Các trường Issuer Unique ID Subject Unique ID cải tiến trình xâu chuỗi chứng Giờ việc tìm kiếm chứng của CA so khớp Issuer Name chứng cấp phát với Subject Name chứng CA thực thêm bước kiểm tra thứ hai so khớp Issuer Unique ID chứng cấp phát với Subject Unique ID chứng CA Bước so khớp thứ hai cho phép phân biệt chứng CA CA làm lại chứng Cách giúp phân biệt CA khác trùng Subject Name Mặc dù định dạng X.509 version có cải tiến version chuẩn khơng cịn áp dụng rộng rãi Và thực tế RFC 3280 khuyến cáo bỏ qua việc sử dụng trường X.509 version lo ngại có xung đột xảy hai chứng có Subject Name Subject Unique ID 2.2.3 X.509 version Được đời vào năm 1996, định dạng X.509 version bổ sung thêm phần mở rộng (extension) để khắc phục vấn đề liên quan tới việc so khớp Issuer Unique ID Subject Unique ID vấn đề xác thực chứng Một chứng 11 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng X.509 version co thể chứa nhiều extension, thể hình dười đâytrong hình đây: Hình 2.3: Khn dạng X.509 v3 Mỗi extension chứng X.509 version gồm phần: Extension Identifier: mã nhận dạng đối tượng (Object Identifier– OID) cho biết kiểu định dạng định nghĩa extension Criticality Flag: dấu hiệu cho biết thơng tin extension có quan trọng (critical) hay không Nếu ứng dụng nhận diện trạng thái critical extension extension không chứa giá trị chứng khơng thể chấp nhận sử dụng Nếu mục criticality flag khơng thiết lập sử dụng chứng ứng dụng không nhận diện extension Extension Value: giá trị gán cho extension Nó phụ thuộc vào extension cụ thể Trong chứng X.509 version 3, extension sau có là: Authority Key Identifier: extension chứa hai giá trị, chúng là: • Subject Name CA Serial Number chứng CA mà cấp phát chứng • Giá trị băm khóa cơng khai chứng CA mà cấp phát chứng 12 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng Subject Key Identifier: extension chứa giá trị băm khóa cơng khai chứng Key Usage: CA, người dùng, máy tính, thiết bị mạng dịch vụ sở hữu nhiều chứng Extension định nghĩa dịch vụ bảo mật mà chứng cung cấp như: • Digital Signature: khóa cơng khai dùng để kiểm tra chữ ký Khóa sử dụng để xác thực máy khách xác minh nguồn gốc liệu • Non-Repudiation: khóa cơng khai dùng để xác minh nhận dạng người ký, ngăn chặn người ký từ chối họ không ký lên thông điệp đối tượng • Key Encipherment: khóa cơng khai dùng để trao đổi khóa, vú dụ đối xứng (hoặc khóa phiên) Giá trị dùng khóa RSA dùng cho việc quản lý khóa • Data Encipherment: khóa cơng khai dùng để mã hóa liệu cách trực tiếp thay phải trao đổi khóa đối xứng (hay khóa phiên) để mã hóa liệu • Key Agreement: khóa cơng khai dùng để trao đổi khóa, ví dự khóa đối xứng Giá trị dùng khóa Diffie-Hellman dùng cho việc quản lý khóa • Key Cert Sign: khóa cơng khai dùng để kiểm tra chữ ký chứng số • CRL Sign: khóa cơng khai dùng để kiểm tra chữ ký CRL (danh sách chứa chứng bị thu hồi) • Encipher Only: giá trị dùng kết hợp với extension Key Agreement Key Usage Kết khóa đối xứng dùng để mã hóa liệu • Decipher Only: giá trị dùng kết hợp với extension Key Agreement Key Usage Kết khóa đối xứng dùng để mã hóa liệu Private Key Usage Period: extension cho phép khóa bí mật có khoảng thời gian hiệu lực khác so với khoảng thời gian hiệu lực chứng Giá trị đặt ngắn so với khoảng thời gian hiệu lực chứng Điều giúp khóa 13 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng bí mật dùng để ký lên tài liệu khoảng thời gian ngắn (ví dụ, năm) khóa cơng khai dùng để xác minh chữ ký khoảng thời gian hiệu lực chứng năm Certificate Policies: extension mơ tả sách thủ tục dùng để xác minh chủ thể chứng trước chứng cấp phát Các sách chứng đại diện OID Ngồi ra, sách chứng bao gồm đường dẫn (URL) tới trang web mơ tả nội dung sách thủ tục Policy Mappings: extension cho phép chuyển dịch thơng tin sách hai tổ chức Ví dụ, thử tưởng tượng tổ chức định nghĩa sách chứng có tên Management Signing mà chứng dùng để ký lên lượng lớn đơn đặt hàng Một tổ chức khác có sách chứng tên Large Orders mà dùng để ký lên lượng lớn đơn đặt hàng Khi đó, Policy Mapping cho phép hai sách chứng đánh giá ngang Subject Alternative Name: extension cung cấp danh sách tên thay cho chủ thể chứng Trong định dạng cho Subject Name thường tuân theo chuẩn X.500 Subject Alternative Name cho phép thể theo dạng khác User Principal Name (UPN), địa email, địa IP tên miền (DNS) Issuer Alternative Name: extension cung cấp danh sách tên thay cho CA Mặc dù thường không áp dụng extension chứa địa email CA Subject Dir Attribute: extension bao gồm thuộc tính từ danh mục LDAP X.500 tổ chức, ví dụ, thuộc tính country Extension chứa nhiều thuộc tinh với thuộc tính phải gồm OID giá trị tương ứng Basic Constraints: extension cho biết chứng có phải CA hay chủ thể người dùng, máy tính, thiết bị, dịch vụ Ngồi ra, extension bao gồm buộc độ dài đường dẫn mà giới hạn số lượng CA thứ cấp (subordinate CA) tồn bên CA mà cấp phát chứng Name Constraints: extension cho phép tổ chức định không gian tên (namespace) phép không phép sử dụng chứng Policy Constraints: extension có chứng CA Nó ngăn cấm Policy Mapping CA yêu cầu chứng chuỗi chứng phải bao gồm OID sách chứng Enhanced Key Usage: extension cho biết khóa cơng khai chứng sử dụng Những khơng có extension Key Usage Ví dụ, Client Authentication (có OID 1.3.6.1.5.5.7.3.2), Server Authentication (có OID 14 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng 1.3.6.1.5.5.7.3.1), Secure E-mail (có OID 1.3.6.1.5.5.7.3.4) Khi ứng dụng nhận chứng chỉ, yêu cầu có mặt OID OID kể CRL Distribution Points: extension chứa nhiều URL dẫn tới tập tin chứa danh sách chứng bị thu hồi (CRL) phát hành CA Nếu việc kiểm tra trạng thái thu hồi chứng cho phép ứng dụng sử dụng URL để tải phiên cập nhật CRL Các URL sử dụng giao thức HTTP, LDAP, FTP, File Authority Information Access: extension chứa nhiều URL dẫn tới chứng CA Một ứng dụng sử dụng URL để tải chứng CA xây dựng chuỗi chứng khơng có sẵn nhớ đệm ứng dụng Freshest CRL: extension chứa nhiều URL dẫn tới delta CRL CA phát hành Delta CRL chứa chứng bị thu hồi kể từ lần cuối base CRl phát hành Nếu việc kiểm tra trạng thái thu hồi chứng cho phép ứng dụng sử dụng URL để tải phiên cập nhật delta CRL Các URL sử dụng giao thức HTTP, LDAP, FTP, File Subject Information Access: extension chứa thông tin cho biết cách thức để truy cập tới các chi tiết khác chủ thể chứng Nếu chứng CA thơng tin bao gồm chi tiết dịch vụ xác minh chứng hay sách CA Nếu chứng cấp cho người dùng, máy tính, thiết bị mạng, dịch vụ extension chứa thơng tin dịch vụ chủ thể cung cấp cách thức để truy cập tới dịch vụ Ngồi việc giới thiệu thêm extension nêu thường Version chứng X.509 version có giá trị biết phiên chứng 2.3 Vịng đời chứng thư X.509 Hình 2.4: Vịng đời chứng thư X.509 15 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng Trước phát hành chứng thư, cặp khóa bí mật/ cơng khai phát sinh Trong chứng thư có hiệu lực sử dụng, chứng thư hết hạn khóa bí mật người sử dụng bị tổn thương (bị lộ khóa) Trong trường hợp chứng thư hết hạn, cặp khóa khơng cịn hiệu lực người sử dụng yêu cầu gia hạn chứng thư cho họ Trong trường hợp khóa bí mật bị tổn thương, chứng thư thu hồi để phát hành chứng thư cho cặp khóa khác 2.4 Thu hồi chứng thư Hình 2.5: Thu hồi chứng thư CA ký chứng thư số gắn kết khóa cơng khai với nhận dạng người dùng Tuy nhiên, số trường hợp chứng thư số có khóa bị xâm hại, người sở hữu chứng thư số thay đổi nơi làm việc, địa điểm, người sở hữu khơng tn thủ u cầu, sách bên cấp chứng thư số,…thì chứng thư số cấp khơng cịn tin cậy Do cần phải có chế cho phép người sử dụng chứng thư số kiểm tra trạng thái thu hồi chứng thư số Cơ chế cảnh báo PKI gọi thu hồi chứng thư số (Certificate Revocation) Chứng thư số phục hồi bị thu hồi Chứng thư số X.509 cho phép kiểm tra chứng thư số trường hợp sau: • Chứng thư số khơng bị thu hồi • Chứng thư số bị CA cấp thu hồi • Chứng thư số tổ chức có thẩm quyền mà CA ủy thác có trách nhiệm thu hồi chứng thư số 16 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng Hình 2.6: Khn dạng thu hồi chứng thư X.509 v3 Danh sách thu hồi chứng thư: Danh sách thu hồi chứng thư số (CRL -Certificate Revocation Lists) danh sách chứng thư số (hoặc cụ thể danh sách số thứ tự nối tiếp cho chứng thư số) bị thu hồi Khi đó, chứng thư số khơng cịn tin cậy Một CRL sinh xuất định kỳ, thường khoảng thời gian định Một CRL cơng bố sau có chứng thư số bị thu hồi CRL ln cấp CA nơi cấp chứng thư số tương ứng Tất CRL có vịng đời mà có hiệu lực, khoảng thời gian thường 24h Để ngăn chặn giả mạo công từ chối dịch vụ, CRL thường mang theo chữ ký kỹ thuật gắn liền với CA công bố 2.5 Huỷ bỏ tạo lại chứng thư Tạo lại chứng thư : Đối tác muốn tạo lại chứng thư nhiều lý do: giấy chứng thư hết hạn, thêm thông tin vào chứng thư, xác nhận lại khóa cơng khai có, xác nhận khóa Khi tổ chức CA đáp ứng yêu cầu tạo lại này, phát hành cho đối tác giấy chứng thư xuất giấy chứng thư vào kho lưu trữ Khi CA nhận yêu cầu chứng thư, phải xác minh tồn đối tác Nhưng đối tác gửi yêu cầu tạo lại, họ bao gồm giấy chứng thư có chữ ký sử dụng khóa bí mật tương ứng với chứng thư Điều xem 17 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng tồn chứng thư đối tác Do đó, việc tạo lại chứng nhận dễ cho CA đáp ứng Huỷ bỏ chứng thư : Tất chứng thư có thời hạn sử dụng chúng cuối bị hết hạn Tuy nhiên, cần phải hủy bỏ chứng thư trước bị hết hạn Lý chung để hủy chứng thư nhận diện xác nhận CA thay đổi ƯU ĐIỂM VÀ ỨNG DỤNG CỦA CHỨNG THƯ 3.1 Ưu điểm chứng thư • Mã hóa: người mã hóa thơng tin mã cơng khai bạn chắn có bạn giải mã thơng tin để đọc • Chống giả: Chứng số khơng thể làm giả nên việc trao đổi thơng tin có kèm chứng số ln đảm bảo an tồn • Xác thực: gửi thông tin kèm chứng số, người nhận đối tác kinh doanh, tổ chức quan quyền… xác thực danh tính bạn • Chống chỗi cãi nguồn gốc: sử dụng chứng số, bạn phải chịu trách nhiệm hồn tồn thơng tin mà chứng số kèm • Chữ kí điện tử: với chứng số cá nhân, bạn tạo thêm chữ kí điện tử email chứng xác thực • Bảo mật website: sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thơng tin trao đổi bạn khách hàng bị lộ • Đảm bảo phần mềm: chứng số “những tem chống hàng giả” cho phần mềm thông qua chứng số bạn đảm bảo tính hợp pháp ngồn gốc xuất sử sản phẩm 3.2 Ứng dụng chứng thư X.509 Chứng thư số chứng minh thư doanh nghiệp Chứng thư số xác minh danh tính người sử dụng chữ ký số đăng nhập vào hệ thống Khơng vậy, cịn hỗ trợ ký số loại văn bản, tài liệu, hợp đồng, hóa đơn, … file doc, pdf tệp tài liệu; mã hóa thơng tin để đảm bảo bí mật người gửi người nhận thơng qua mạng internet Ngồi ra, chứng thư số thực kênh liên lạc trao đổi thơng tin bí mật với thực thể khác mạng, ví dụ thực kênh liên lạc bí mật người dùng với webserver Hiện nay, chứng thư số ngày triển khai rộng rãi quan nhà nước nhằm nâng cao 18 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng hiệu lực văn điện tử, hiệu xử lý cơng việc, tiết kiệm thời gian, chi phí, đảm bảo an tồn bảo mật thơng tin trao đổi văn điện tử Một số ứng dụng cụ thể chứng thư X.509: • TLS / SSL HTTPS sử dụng cấu hình RFC 5280 X.509, S / MIME (Tiện ích mở rộng thư Internet đa an toàn) phương pháp EAPTLS để xác thực WiFi Bất kỳ giao thức sử dụng TLS, chẳng hạn SMTP, POP, IMAP, LDAP, XMPP nhiều giao thức khác, vốn sử dụng X.509 • IPSec sử dụng cấu hình RFC 4945 để xác thực đồng nghiệp Đặc tả bảo mật OpenCable xác định cấu hình riêng cho X.509 để sử dụng ngành cáp Các thiết bị thẻ thông minh TPM (Trusted Platform Module) thường mang theo chứng để nhận dạng họ chủ sở hữu họ Các chứng dạng X.509 Tiêu chuẩn WS-Security xác định xác thực thông qua TLS thông qua hồ sơ chứng Cả hai phương pháp sử dụng X.509 Hệ thống ký mã Microsoft Authenticode sử dụng X.509 để xác định tác giả chương trình máy tính Tiêu chuẩn truyền thơng tự động hóa cơng nghiệp OPC UA (OPC Unified Architecture) sử dụng X.509 SSH thường sử dụng mơ hình bảo mật Trust On First Use không cần chứng Tuy nhiên, việc triển khai OpenSSH phổ biến không hỗ trợ mô hình nhận dạng có chữ ký CA dựa định dạng chứng khơng phải X.509 MƠ HÌNH HẠ TẦNG KHĨA CƠNG KHAI PKI 4.1 Mơ hình PKI • Dựa tảng mật mã khóa cơng khai, PKI hệ thống bao gồm phần mềm, dịch vụ, chuẩn định dạng, giao thức, quy trình, sách để giúp đảm bảo an tồn, tin cậy cho phiên truyền thơng • PKI đáp ứng yêu cầu xác thực, bảo mật, toàn vẹn, chống chối từ cho thông điệp trao đổi 4.2 Các thành phần khóa cơng khai PKI 19 Nhóm 14 Bài thi cuối kỳ mơn An ninh mạng Ngoài thành phần chứng số, chữ ký số mật mã PKI tạo nên thành phần chức chuyên biệt sau: • Certificate Authority • Registration Authority • Certificate Repository Archive • Security Server • PKI-enabled applications PKI users - Certificate Authority (CA): bên thứ tin cậy có trách nhiệm tạo, quản lý, phân phối, lưu trữ thu hồi chứng số CA nhận yêu cầu cấp chứng số cấp cho xác minh nhận dạng họ - Registration Authority (RA): đóng vai trị trung gian CA người dùng Khi người dùng cần chứng số mới, họ gửi yêu cầu tới RA RA xác nhận tất thông tin nhận dạng cần thiết trước chuyển tiếp yêu cầu tới CA để CA thực tạo ký số lên chứng gửi cho RA gửi trực tiếp cho người dùng - Certificate Repository Archive: có kho chứa quan trọng kiến trúc PKI Đầu tiên kho công khai lưu trữ phân phối chứng CRL (chứa danh sách chứng khơng cịn hiệu lực) Cái thứ sở liệu CA dùng để lưu khóa sử dụng lưu trữ khóa hết hạn, kho cần bảo vệ an tồn CA - Security Server: máy chủ cung cấp dịch vụ quản lý tập trung tất tài khoản người dùng, sách bảo mật chứng số, mối quan hệ tin cậy (trusted relationship) CA PKI, lập báo cáo nhiều dịch vụ khác - PKI-enabled applications PKI users: bao gồm người dùng sử dụng dịch vụ PKI phần mềm có hỗ trợ cài đặt sử dụng chứng số trình duyệt web, ứng dụng email chạy phía máy khách 4.3 Các mơ hình hạ tầng khóa cơng khai PKI SINGLE CA Hình 4.1 : Mơ hình PKI 20 Nhóm 14 ... gia hạn chứng thư cho họ Trong trường hợp khóa bí mật bị tổn thư? ?ng, chứng thư thu hồi để phát hành chứng thư cho cặp khóa khác 2.4 Thu hồi chứng thư Hình 2.5: Thu hồi chứng thư CA ký chứng thư. .. thư, cặp khóa bí mật/ cơng khai phát sinh Trong chứng thư có hiệu lực sử dụng, chứng thư hết hạn khóa bí mật người sử dụng bị tổn thư? ?ng (bị lộ khóa) Trong trường hợp chứng thư hết hạn, cặp khóa. .. với CA công bố 2.5 Huỷ bỏ tạo lại chứng thư Tạo lại chứng thư : Đối tác muốn tạo lại chứng thư nhiều lý do: giấy chứng thư hết hạn, thêm thông tin vào chứng thư, xác nhận lại khóa cơng khai có,