BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG  - BÁO CÁO TIỂU LUẬN AN NINH MẠNG THÔNG TIN Đề tài: CHỨNG THƯ X509 VÀ ỨNG DỤNG THỰC TẾ Giảng viên : T.s Phạm Anh Thư Hà Nội, tháng 06 năm 2021 Bài tập tiểu luận mơn ANM PHÂN CƠNG CƠNG VIỆC NHĨM: Page Bài tập tiểu luận môn ANM MỤC LỤC LỜI MỞ ĐẦU I CHỨNG THƯ X.509 Tổng quan chứng thư số Chứng thư X.509 2.1 Ưu điểm chứng thư số .7 2.2 Khuôn dạng chứng thư X509 2.3 Các phiên chứng thư X509 Thu hồi chứng thư số 15 II ỨNG DỤNG CỦA CHỨNG THƯ SỐ 16 Một số ứng dụng 16 Ứng dụng hạ tầng khóa cơng khai PKI .17 Kết luận 21 Page Bài tập tiểu luận môn ANM LỜI MỞ ĐẦU Lời chúng em xin gửi lời cảm ơn đến cô Phạm Anh Thư giảng viên môn An ninh Mạng thông tin - Học viện Cơng nghệ Bưu Viễn thơng Trong q trình học tập tìm hiểu học phần này, giúp chúng em tiếp thu dễ dàng tiểu hiểu sâu mơn học Cơ nhiệt tình giảng dạy để chúng em có thêm kiến thức cần thiết, chuẩn bị hành trang cho tương lai Do chưa có nhiều kinh nghiệm khả cịn hạn chế, báo cáo tiểu luận chắn khơng tránh khỏi thiếu sót Rất mong nhận nhận xét, ý kiến đóng góp, phê bình từ phía để chúng em xem lại chỉnh sửa lỗi sai để tiểu luận hoàn chỉnh Cuối chúng em xin kính chúc có nhiều sức khỏe để tiếp tục giảng dạy tiếp cho khóa sau, gặp nhiều niềm vui, thành công sống! Em xin chân thành cảm ơn ! Nhóm 14.N6 Page Bài tập tiểu luận mơn ANM DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình sử dụng chứng thư số Hình 2.1 Khn dạng chứng thư số X509 Hình 2.2 Khn dạng X.509 version Hình 2.3 Khn dạng X.509 version Hình 2.4 Khn dạng X.509 version Hình 3.1 Thu hồi chứng thư X509 version Hình 4.1 Cơ sở hạ tầng khóa cơng khai DANH MỤC VIẾT TẮT CA Certification Authority Chứng nhận thẩm quyền SC security credential Giấy phép an ninh OID Object Identifier Định danh Đối tượng EE End Entity Thực thể cuối RA Registration Authority Cơ quan đăng ký UPN User Principal Name Tên người dùng CRL Certificate Revocatio Lists Danh sách thu hồi chứng PKI Public Key Infrastructure Cơ sở hạ tầng mã hóa cơng khai VA Validation Authority Cơ quan xác thực Page Bài tập tiểu luận môn ANM Page Bài tập tiểu luận môn ANM I CHỨNG THƯ X.509 TỔNG QUAN CHỨNG THƯ SỐ Chứng thư số dạng chứng thư điện tử giúp nhận dạng đại diện cho người dùng, tổ chức, máy tính, thiết bị mạng dịch vụ Nó phát hành quan có thẩm quyền (Certification Authority-CA) liên kết với cặp khóa cơng khai khóa bí mật CA tạo chứng thư cho khóa cơng khai CA phải đảm bảo danh tính người yêu cầu xác thực trước chứng thư cấp Việc kiểm tra danh tính thực dựa loại giấy phép an ninh (security credential) đối tượng khuôn mặt, gặp gỡ trao đổi trực tiếp với người yêu cầu Ngay sau danh tính xác minh, CA cấp chứng thư ký điện tử khóa bí mật cho đối tượng u cầu Chữ ký số cho biết nguồn gốc chứng thư (do bên CA cấp), đảm bảo khóa cơng khai thuộc chủ thể chứng thư giúp xác định thay đổi nội dung chứng thư Một chứng thư số có ba thành phần chính: - Thơng tin cá nhân người cấp - Khóa công khai(Public Key) người cấp - Chữ ký số sở cấp chứng Ngày chứng thư X.509 loại chứng thư số sử dụng rộng rãi Hình 1.1 Mơ hình sử dụng chứng thư số Page Bài tập tiểu luận môn ANM CHỨNG THƯ X.509 ITU-T đề xuất chứng thư X.509 phần Bộ tiêu chuẩn X.500 để xác định dịch vụ thư mục Các thư mục trì sở liệu thơng tin người dùng có chứa ánh xạ tên người dùng, địa mạng, thuộc tính thơng tin khác người sử dụng X509 xác định khung làm việc cho dịch vụ xác thực Thư mục dùng kho lưu trữ khóa cơng khai Ngồi ra, X.509 định nghĩa giao thức xác thực khác dựa việc sử dụng chứng nhận khóa cơng khai Các phiên khác X.509 hiển thị bên 2.1 Ưu điểm chứng thư số Mã hóa: Nếu mã hóa thơng tin khóa cơng khai bạn, chắn bạn giải mã thông tin để đọc Chống giả mạo: Không thể giả mạo chứng số, việc trao đổi thông tin bao gồm chứng số đảm bảo an ninh Xác thực: Khi gửi thông tin chứng số, người nhận đối tác kinh doanh, tổ chức quan có thẩm quyền Danh tính bạn xác minh Chống chối cãi nguồn gốc: Khi sử dụng chứng số, bạn hồn tồn chịu trách nhiệm thơng tin kèm với chứng số Chữ ký điện tử: Với chứng số cá nhân, bạn tạo thêm chữ ký điện tử e-mail làm chứng nhận dạng Bảo mật trang web: Được sử dụng cho thương mại điện tử mục đích quan trọng khác, thơng tin trao đổi bạn khách hàng bị lộ Đảm bảo phần mềm: chứng số dấu "chống hàng giả" cho phần mềm Với chứng thư số, bạn đảm bảo tính hợp pháp nguồn gốc xuất sứ sản phẩm Page Bài tập tiểu luận môn ANM 2.2 Khuôn dạng chứng thư X509 Hình 2.1 Khn dạng chứng thư X.509 Khuôn dạng chứng thư số X.509 thay đổi theo phiên để tăng tính xác thực bảo mật, phiên đảm bảo đủ ba thành phần chính: - Dữ liệu cá nhân người thụ hưởng; - Khóa cơng khai (public key) người thụ hưởng; - Chữ ký số quan cấp chứng Chi tiết trường cho khuôn dạng chứng X.509 cung cấp phiên chứng X509 Page Bài tập tiểu luận môn ANM 2.3 Các phiên chứng thư X509 2.3.1 X509 version Version X.509 xác định vào năm 1988 khơng cịn sử dụng Khn dạng loại chứng hiển thị hình bên dưới: Hình 2.2 Khn dạng X.509 version Chứng X.509 version chứa trường sau: Version: chứa giá trị cho biết chứng X.509 phiên Serial Number: cung cấp mã định danh cho chứng CA cấp CA Signature Algorithm: tên thuật toán mà CA sử dụng để ký nội dung chứng số Issuser Name: Tên CA cấp chứng Nói chung, tên phân biệt thể tiêu chuẩn X.500 định dạng theo thông số kỹ thuật X.509 RFC 3280 Validity Period: Khoảng thời gian mà chứng coi hợp lệ, bao gồm trường: Có giá trị từ (Valid From) Hợp lệ đến (Valid To.) Subject name: Tên máy tính, người dùng thiết bị mạng sở hữu chứng Thông thường, tên chủ đề thể theo tiêu chuẩn X.500 định dạng theo đặc điểm kỹ thuật X.509, chứa định dạng tên khác, mô tả RFC 822 Subject Public Key Info: Khóa cơng khai chủ sở hữu chứng Khóa cơng khai gửi đến CA thông báo yêu cầu chứng bao gồm phần nội dung chứng cấp sau Trường chứa mã định Page Bài tập tiểu luận môn ANM danh thuật toán sử dụng để tạo cặp khóa cơng khai khóa riêng tư liên kết với chứng Signature Value: chứa giá trị chữ ký Các trường Tên người phát hành Tên chủ đề cấu trúc để chứng tổ chức thành loạt chứng bắt đầu chứng cấp cho người dùng, máy tính, thiết bị mạng dịch vụ kết thúc chứng gốc AC 2.3.2 X.509 version Mặc dù chứng X.509 version chứa đủ thông tin chủ sở hữu chứng chỉ, chứa thơng tin tổ chức cấp phát chứng chứa Issuer Name, CA Signature Algorithm Signature Value Điều không giúp dự phịng trường hợp CA thay Hình 2.3 Khuôn dạng X.509 version Trường hợp cấp đổi chứng tổ chức cung cấp dịch vụ chứng thực chữ ký số trường issuer name (tổ chức cung cấp dịch vụ chứng thực chữ ký số) chứng chứng cũ giống Tương tự, tổ chức khác muốn tạo quan cấp chứng có trường cho tên tổ chức phát hành chứng Để sử dụng lại tên nhà phát hành (issuer name), chứng X.509 phiên giới thiệu vào năm 1993 Có trường định dạng nó, thể hình sau: Issuer Unique ID: trường tùy chọn, chứa chuỗi 16 giá trị nhằm xác định CA Khi CA gia hạn chứng nó, Issuer Unique ID tạo cho chứng P a g e 10 Bài tập tiểu luận môn ANM Subject Unique ID: trường tùy chọn, chứa chuỗi giá trị hệ 16, sử dụng để xác định đối tượng chứng Nếu chủ thể quan cấp chứng (CA), trường tương ứng với Issuer Unique ID Ngoài hai trường trên, trường version chứng 509 Phiên có giá trị để phiên chứng Các trường Issuer Unique ID Subject Unique ID cải thiện quy trình chuỗi chứng Khi tìm kiếm chứng CA, Issuer Name chứng cấp so sánh với Subject Name chứng CA thực thi Thêm bước xác minh thứ hai so sánh Issuer Unique ID chứng cấp với Subject Unique ID chứng CA Với bước so sánh thứ hai này, bạn phân biệt chứng CA CA gia hạn chứng mình, điều cho phép bạn phân biệt CA có Subject Name Mặc dù định dạng X.509 version cải tiến so với version 1, tiêu chuẩn khơng cịn sử dụng rộng rãi RFC 3280 thực khuyến nghị hai trường bỏ qua phiên X.509 Lo ngại xung đột tiềm ẩn hai chứng có Subject Name Subject Unique ID 2.3.3 X.509 version Định dạng X.509 version 3, phát hành vào năm 1996 bổ sung thêm phần mở rộng (extension) để khắc phục vấn đề liên quan tới việc so khớp Issuer Unique ID Subject Unique ID vấn đề xác thực chứng Chứng X.509 version chứa nhiều extension, thể hình P a g e 11 Bài tập tiểu luận mơn ANM Hình 2.4 Khn dạng X.509 version Mỗi phần mở rộng(extension) chứng X.509 version bao gồm ba phần:  Extension Identifier: mã định danh đối tượng (Object Identifier – OID) cho biết kiểu định dạng định nghĩa extension  Criticality Flag: Nó cho biết liệu thơng tin Extension có quan trọng hay khơng Nếu ứng dụng phát trạng thái Critical Extension Extension khơng có giá trị, chứng cấp, chấp nhận sử dụng Nếu mục Criticality flag không thiết lập, chứng sử dụng ứng dụng không nhận diện Extension  Extension Value: giá trị gán cho Extension Nó phụ thuộc vào Extension cụ thể Trong chứng X.509 version 3, Extension có là:  Authority Key Identifie: Extension chứa hai giá trị o Subject Name CA Serial Number chứng CA mà cấp phát chứng o Giá trị băm khóa cơng khai chứng CA mà cấp phát P a g e 12 Bài tập tiểu luận môn ANM chứng  Subject Key Identifier: Extension chứa hàm băm khóa công khai chứng  Key Usage: Cơ quan cấp chứng (CA), người dùng, máy tính, thiết bị mạng dịch vụ có nhiều chứng Extension xác định dịch vụ bảo mật mà chứng cung cấp, chẳng hạn như: o Digital Signature: Khóa cơng khai sử dụng để xác minh chữ ký Khóa sử dụng để xác thực máy khách xác minh nguồn gốc liệu o Non-Repudiation: Khóa cơng khai sử dụng để xác minh danh tính khách hàng, người ký, ngăn người ký từ chối họ không ký vào thông điệp đề mục o Key Encipherment: khóa cơng khai sử dụng để trao đổi khóa, chẳng hạn đối xứng (hoặc khóa phiên) Giá trị sử dụng khóa RSA sử dụng để quản lý khóa o Data Encipherment: Khóa cơng khai sử dụng để mã hóa liệu trực tiếp thay phải trao đổi khóa đối xứng (hoặc khóa phiên) để mã hóa liệu o Key Agreement: Khóa cơng khai sử dụng để trao đổi khóa, ví dụ khóa đối xứng Giá trị sử dụng khóa DiffieHellman sử dụng để quản lý khóa o Key Cert Sign: Khóa cơng khai sử dụng để xác minh chữ ký chứng số o CRL Sign: Khóa cơng khai sử dụng để kiểm tra chữ ký CRL (danh sách chứa chứng bị thu hồi) o Encipher Only: Giá trị sử dụng với extension Key Agreement Key Usage , khóa đối xứng sử dụng để mã hóa liệu o Decipher Only: Giá trị sử dụng với extension Key Agreement Key Usage Do đó, khóa đối xứng sử dụng để mã hóa liệu  Private Key Usage Period: Extension cho phép khóa bí mật có thời hạn hiệu lực khác với chứng Giá trị đặt ngắn thời hạn hiệu lực chứng Khóa riêng sử dụng để ký tài liệu thời gian ngắn (ví dụ: năm), khóa cơng khai sử dụng để xác minh chữ ký thời hạn hiệu lực chứng năm  Certificate Policies: Extension mô tả hướng dẫn thủ tục sử dụng để xác minh người nộp đơn xin chứng trước chứng cấp Các nguyên tắc chứng thể OID Chính sách chứng chứa liên kết (URL) đến trang web mô tả nội dung sách thủ tục P a g e 13 Bài tập tiểu luận môn ANM  Policy Mappings: Extension cho phép chuyển dịch thông tin sách hai tổ chức Ví dụ, thử tưởng tượng tổ chức định nghĩa sách chứng có tên Management Signing mà chứng dùng để ký lên lượng lớn đơn đặt hàng Một tổ chức khác có sách chứng tên Large Orders mà dùng để ký lên lượng lớn đơn đặt hàng Khi đó, Policy Mapping cho phép hai sách chứng đánh giá ngang  Subject Alternative Name: extension cung cấp danh sách tên thay cho chủ đề chứng Mặc dù định dạng Subject Name thường X.500, Subject Alternative Name cho phép định dạng khác, chẳng hạn User Principal Name (UPN), địa e-mail địa IP tên miền (DNS)  Issuer Alternative Name: Extension cung cấp danh sách tên thay cho CA Mặc dù extension thường không áp dụng, chứa địa email tổ chức chứng nhận  Subject Dir Attribute: Extension chứa thuộc tính từ thư mục LDAP X.500 tổ chức, ví dụ thuộc tính country Thuộc tính mở rộng chứa nhiều thuộc tính phải chứa OID giá trị tương ứng  Basic Constraints: extension định xem chứng thuộc CA hay đối tượng người dùng, máy tính, thiết bị dịch vụ Extension bao gồm giới hạn độ dài đường dẫn, số lượng CA phụ tồn bên CA cấp chứng  Name Constraints: Extension cho phép tổ chức định không gian tên (namespace) phép không phép sử dụng chứng  Policy Constraints: extension bao gồm chứng CA Nó ngăn cấm Policy Mapping CA yêu cầu chứng chuỗi chứng phải bao gồm OID sách chứng  Enhanced Key Usage: Extension hiển thị cách khóa cơng khai chứng sử dụng Chúng khơng bao gồm Extension Key Usage Ví dụ: xác thực máy khách( Client Authentication) (với OID 1,2), Xác thực máy chủ (Server Authentication) (với OID 1,1) Secure E-mail (với OID 4) Khi ứng dụng nhận chứng chỉ, ứng dụng yêu cầu diện OID OID trước  CRL Distribution Points: Phần mở rộng chứa nhiều URL dẫn đến tệp chứa danh sách chứng bị thu hồi (CRL) CA cấp Việc kiểm tra trạng thái thu hồi chứng hoàn tất, ứng dụng dùng URL để tải phiên cập nhật CRL Các URL sử dụng giao thức HTTP, LDAP, FTP, File  Authority Information Access: extension chứa nhiều URL cho chứng CA Ứng dụng sử dụng URL để tải xuống chứng từ CA tạo chuỗi chứng khơng có sẵn đệm ứng dụng P a g e 14 Bài tập tiểu luận môn ANM  Freshest CRL: Extension chứa nhiều URL tới Delta CRL CA cấp CRL delta chứa chứng bị thu hồi kể từ base CRl cuối phát hành Nếu trạng thái thu hồi chứng phép kiểm tra, người dùng ứng dụng sử dụng URL để tải xuống phiên cập nhật delta CRL URL giao thức HTTP, LDAP, FTP, File sử dụng  Subject Information Access: Extension chứa thơng tin cho biết cách bạn truy cập chi tiết khác chủ đề chứng Nếu chứng CA, thơng tin bao gồm chi tiết dịch vụ xác minh chứng thân bạn Khi chứng cấp cho người dùng, máy tính, thiết bị mạng dịch vụ, extension chứa thơng tin dịch vụ mà thực thể cung cấp cách truy cập dịch vụ Ngồi việc giới thiệu cải tiến khác đề cập trên, phiên chứng X.509 phiên thường có giá trị để phiên chứng THU HỒI CHỨNG THƯ SỐ CA ký chứng thư số liên kết khóa cơng khai với danh tính người dùng Tuy nhiên, số trường hợp, ví dụ: chứng số có khóa bị xâm phạm chủ sở hữu chứng số thay đổi nơi làm việc, vị trí quyền sở hữu Nếu chủ sở hữu không tuân theo yêu cầu hướng dẫn tổ chức cấp chứng thư số, chứng thư số cấp không đáng tin cậy Điều cần thiết chế cho phép người dùng chứng số xác minh Trạng thái thu hồi chứng số Cơ chế cảnh báo gọi thu hồi chứng số P a g e 15 Bài tập tiểu luận mơn ANM Hình 3.1 Thu hồi chứng thư X509 version Chứng thư số phục hồi bị thu hồi - - - Danh sách thu hồi chứng CRL (Certificate Revocation Lists) danh sách chứng số (hay xác danh sách số sê-ri chứng số) bị thu hồi Sau đó, chứng số khơng cịn đáng tin cậy CRL tạo xuất định kỳ, thường khoảng thời gian định CRL xuất sau chứng số bị thu hồi CRL cấp CA cấp chứng số tương ứng Tất CRL có vịng đời hợp lệ, thường 24 Để tránh giả mạo từ chối dịch vụ, CRL thường có chữ ký số liên kết với quan cấp chứng (CA) công bố II ỨNG DỤNG CỦA CHỨNG THƯ SỐ MỘT SỐ ỨNG DỤNG Các ứng dụng tiêu biểu chứng thư X509 là: a, SSL /TLS HTTPS để duyệt web xác thực mã hóa P a g e 16 Bài tập tiểu luận môn ANM Trong chế bảo mật SSL TLS sử dụng giao thức HTTPS trình hoạt động chế trình duyệt gửi yêu cầu gửi phiên làm việc an toàn tới máy chủ, máy trả chứng chứng sử dụng X509 Dùng cho xác thực lẫn b, Email ký mã hóa thơng qua S/MIME giao thức Về chứng X509 phần áp dụng chế SSL sử dụng S/MIME X509 phần hạ tầng khóa cơng khai sử dụng S/MIME c, Ký mã Để ký số phần mềm, phân phối cách an tồn, q trình cài đặt không gặp rắc rôi đảm bảo tuân thủ sách bảo mật hệ điều hành chứng nhận X509 sử dụng d, Ký văn Văn ký xác nhận X509 e, Xác thực ứng dụng khách Trong ứng dụng chứng X509 dùng để xác thực người dùng f, ID điện tử phủ cấp Chính phủ quốc gia giới sử dụng thông qua chứng số xác minh danh tính ỨNG DỤNG TRONG HẠ TẦNG KHĨA CƠNG KHAI PKI a Giới thiệu Cơ sở hạ tầng mã hóa cơng khai viết tắt PKI (Public Key Infrastructure), PKI hệ thống (phần cứng, phần mềm) có nhiệm vụ bảo mật giao dịch điện tử, cho việc trao đổi thông tin bí mật, thơng tin Bằng cách sử dụng mã hóa khóa xác thực PKI cho phép: Đảm bảo độ tin cậy, quản lý truy cập, đảm bảo tính tồn vẹn thơng tin, xác thực người dùng, bảo vệ chống lại giao dịch thương mại điện tử hỗ trợ ứng dụng CNTT PKI sử dụng để quản lý việc tạo phân phối cặp khóa cơng khai riêng tư để xuất khóa (cùng với danh tính người dùng).được sử dụng) làm chứng người dùng trang web Thuật ngữ PKI thường sử dụng để toàn hệ thống, bao gồm nhà cung cấp chứng số (CA) chế liên quan, đồng thời tận dụng tối đa toàn hệ thống Các thuật tốn mật mã khóa cơng khai việc trao đổi thông tin PKI không thiết phải sử dụng thuật tốn mật mã cơng khai b Cấu trúc hạ tầng khóa cơng khai - Về PKI gồm chứng số, chữ ký số mật mã : P a g e 17 Bài tập tiểu luận môn ANM o Mật mã đảm bảo bảo mật toàn vẹn cho thông điệp, nhận dạng xác thực đối tượng tham gia vào phiên truyền thông o Chữ ký số tạo sử dụng kết hợp hàm băm mật mã khóa cơng khai để đảm bảo tính tồn vẹn, giúp xác thực nguồn gốc thông điệp đồng thời bên gửi chối từ việc tạo thông điệp o Chứng sốgiúp chắn khóa cơng khai thuộc thực thể người dùng, tổ chức, máy tính điều xác minh bên thứ ba đáng tin cậy thường gọi CA (Certificate Authorities) Chứng số chứa thông tin nhận dạng thực thể tên, địa chỉ, khóa cơng khai (cùng nhiều thơng tin khác) ký số khóa bí mật CA  Thực thể cuối(End Entity – EE):là đối tượng có nhu cầu sử dụng chứng nhận số thường tổ chức,một người,  Tổ chức phát hành chứng (Certificate Authority –CA): Cấp thu hồi chứng Chịu trách nhiệm phát hành, quản lý thu hồi chứng kỹ thuật số Một đơn vị quan trọng PKI mà đơn vị cuối tin tưởng Bao gồm tập hợp người hệ thống máy tính bảo mật cao  Cơ quan đăng ký (RA): Liên kết khóa cơng khai danh tính chủ sở hữu chứng Hỗ trợ phần nhiệm vụ CA Xác thực người, chủ thể đăng ký chứng thư số Kiểm tra tính hợp lệ thơng tin chủ thể cung cấp Xác nhận quyền chủ thể thuộc tính chứng số yêu cầu Đảm bảo chủ thể thực sở hữu khóa cá nhân đăng ký (xác nhận quyền sở hữu) Tạo cặp khóa cơng khai khóa riêng tư (Nếu đối tượng yêu cầu) Phân phối bí mật chia sẻ cho thực thể cuối (ví dụ: khóa cơng khai CA) Thay mặt cho thực thể cuối, người đăng ký bắt đầu trình đăng ký với CA Bắt đầu q trình khơi phục khóa.Phân phối thẻ vật lý (thẻ thơng minh) lưu trữ khóa riêng  Clients: Người dùng chứng PKI (hoặc xác định thực thể cuối(End Entity – EE) Người dùng cuối hệ thống chủ thể chứng PKI  Repository:Một hệ thống (có thể tập trung phân tán) lưu trữ chứng danh sách thu hồi chứng Cung cấp chế phân phối chứng danh sách thu hồi chứng (CRLs - Certificate Revocatio Lists) P a g e 18 Bài tập tiểu luận mơn ANM Hình 4.1 : Cơ sở hạ tầng khóa cơng khai  Bước 1: Người dùng gửi yêu cầu tới RA để cấp thẻ chứng thư số khóa cơng khai  Bước 2: Sau xác thực danh tính người dùng, RA gửi yêu cầu đến CA  Bước 3: CA cấp thẻ chứng số cho người dùng  Bước 4: Người dùng sau "ký" thơng điệp trao đổi thẻ chứng thư số vừa nhận từ CA sử dụng (thẻ chứng thư số + chữ ký số) giao dịch  Bước 5: Định danh người dùng thông qua hỗ trợ VA(validation authority) (Cơ quan xác thực) Cơ quan xác thực bên thứ ba cung cấp thơng tin pháp nhân thay mặt cho CA  Bước 6: Nếu chứng số người dùng xác thực, đối tác tin tưởng người dùng bắt đầu trao đổi thơng tin với (VA) Nhận thông tin thẻ chứng thứ số CA cấp c Một số ứng dụng - Đối với hệ thống PKI khác có chức khác nhứng tóm lại PKI đáp ứng chức :Chứng thực thẩm tra P a g e 19 Bài tập tiểu luận môn ANM +Chứng thực (Certification): Chứng thực chức quan trọng PKI Đây trình ràng buộc khóa cơng khai với danh tính thực thể CA thực thể PKI thực chức chứngthực Hiện có hai phương pháp chứng thực :  Cách thứ tổ chức phát hành chứng (CA).) Tạo cặp khóa cơng khai khóa riêng tư để tạo chứng cho phần khóa cơng khai cặp khóa  Phương pháp thứ hai người dùng tự tạo cặp khóa chuyển khóa cơng khai cho CA để CA tạo chứng cho khóa cơng khai Chứng đảm bảo tính tồn vẹn khóa công khai thông tin liên quan + Thẩm tra (Verification): Quá trình xác minh việc chứng đưa sử dụng mục đích hợp lý hay khơng, điều xem q trình kiểm tra tính hiệu lực chứng  Quá trình bao gồm số bước: Kiểm tra xem CA đáng tin cậy ký số vào chứng (được xử lý thông qua đường dẫn chứng chỉ) Kiểm tra chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số chứng để xác minh tính tồn vẹn Xác định xem chứng có cịn hiệu lực hay không Xác định xem chứng bị thu hồi hay chưa Xác định xem chứng sử dụng cho mục đích, sách hạn chế định (bằng cách xem xét trường tiện ích mở rộng cụ thể, chẳng hạn phần mở rộng sách chứng phần mở rộng sử dụng khóa) Ngồi chức PKI cịn cung cấp số chức khác như: - Đăng ký - Khởi tạo ban đầu - Khơi phục cặp khóa - Tạo khóa - Xâm hại khóa - Thu hồi chứng - Xác thực chéo Mục đích PKI cung cấp khóa cơng khai xác định mối quan hệ khóa danh tính người dùng Do đó, người dùng sử dụng số ứng dụng như: -Mã hóa email xác thực người gửi email (OpenPGP) S / MIME ) - Xác thực mã hóa văn (tiêu chuẩn chữ ký XML * mã hóa XML văn hiển thị dạng XML) - Xác thực người dùng (đăng nhập SmartCard).Cơ chế cho phép gán cặp công khai / riêng tư cho người dùng hệ thống Các quy trình thường thực cách sử dụng phần mềm đặt trung tâm P a g e 20 Bài tập tiểu luận môn ANM phần mềm khác đặt sở người dùng Khóa cơng khai trở thành khóa phân phối chung xác thực khóa cơng khai  Các mơ hình hạ tầng sơ khóa cơng khai: Vì tính an tồn bảo mật PKI triển khai nhiều tổ chức, doanh nghiệp hay phủ nước giới Tùy vào mức độ yêu cầu đưa phù hợp với tình hình triển khai có hệ thống mơ hình PKI sử dụng quan trọng phải giữ cốt lõi kiến trúc tín nhiệm Dưới số mơ hình đề xuất sử dụng hạ tầng mã hóa bất đối xứng PKI dựa X.509 - Mơ hình CA đơn (Single CA Model); - Mơ hình phân cấp (Hierarchical Model); - Mơ hình mắt lưới- xác thực chéo (Mesh Model); - Mơ hình web (Web Model - Trust List); - Mơ hình cầu CA (Hub and Spoke (Birdge CA) d Ứng dụng chứng thư số PKI Để khóa cơng khai chứng nhận, bên đối tác phải tạo cặp khóa bất đối xứng gửi cặp khóa cho tổ chức CA Bên đối tác phải gửi kèm thông tin thân tên địa Khi tổ chức CA kiểm tra tính xác thực thơng tin bên đối tác, CA phát hành giấy chứng nhận khóa cơng khai cho bên đối tác Giấy chứng nhận tập tin nhị phân dễ dàng chuyển đổi qua mạng máy tính Tổ chức CA áp dụng chữ ký điện tử cho giấy chứng nhận khóa cơng khai mà CA phát hành Một tổ chức CA chứng nhận khóa cơng khai cách ký nhận chúng Nếu phía đối tác bên tin tưởng vào tổ chức CA họ tin vào chữ ký CA Một số loại giấy chứng nhận khóa cơng khai phát hành chứng nhận X.509, chứng nhận chất lượng chứng nhận thuộc tính Chứng nhận X.509 chứng nhận khóa cơng khai phổ biến KẾT LUẬN PKI cho phép giao dịch điện tử diễn đảm bảo tính cẩn mật, tồn vẹn, xác thực phủ nhận mà không cần phải trao đổi thông tin mật từ trước Ngày hệ thống khóa cơng khai ngày an tồn bảo mật với nhiều mơ hình tiến khoa học Nhưng chứng X.509 cốt lõi mơ hình PKI gắn liền với X509 Nhóm 14.N6 P a g e 21 Bài tập tiểu luận môn ANM TÀI LIỆU THAM KHẢO [1] MH Themes - Tổng quan chứng thư số (2020) [2] Hạ tầng sở khóa cơng khai - Trần Tuấn Tồn, Khoa Tốn Tin - Đại học Thăng Long (2015) [3] https://esign.misa.vn/1401/chung-thu-so-lagi/?fbclid=IwAR2a2mMdxpQCpOesh_SCYCRXnzAOWWCLW1prnryNpN6o57Sc4 pJkg-UcJHA [4].https://vi.wikipedia.org/wiki/H%E1%BA%A1_t%E1%BA%A7ng_kh%C3%B3a_ c%C3%B4ng_khai?fbclid=IwAR3yF4yHks0rGC5nv1b0LwzcscboTTMfNebCdhKjkghSwbVIwcWSMVm-LE [5] https://cer.vn/news/kien-thuc/cac-phien-ban-cua-chung-chi-so-x509/?fbclid=IwAR10iyJ9_QPXgtozygiFdHVdJ1ueQoxHIQFAs0KMhe7WFpGb8Qvg MrCalzw [6] https://1dtt.wordpress.com/2016/07/21/pki-phan-2-2-chung-chi-so-x-509/ Nhóm 14.N6 P a g e 22 ... I CHỨNG THƯ X.509 Tổng quan chứng thư số Chứng thư X.509 2.1 Ưu điểm chứng thư số .7 2.2 Khuôn dạng chứng thư X509 2.3 Các phiên chứng thư X509. .. hành chứng nhận X509 sử dụng d, Ký văn Văn ký xác nhận X509 e, Xác thực ứng dụng khách Trong ứng dụng chứng X509 dùng để xác thực người dùng f, ID điện tử phủ cấp Chính phủ quốc gia giới sử dụng. .. kết với quan cấp chứng (CA) công bố II ỨNG DỤNG CỦA CHỨNG THƯ SỐ MỘT SỐ ỨNG DỤNG Các ứng dụng tiêu biểu chứng thư X509 là: a, SSL /TLS HTTPS để duyệt web xác thực mã hóa P a g e 16 Bài tập tiểu