Bài tập tiểu luận An Ninh Mạng BỘ THÔNG TIN VÀ TRUYỀN THƠNG HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG  BÁO CÁO MÔN HỌC: AN NINH MẠNG VIỄN THÔNG Đề tài: “Cơ sở hạ tầng kháo cơng khai (PKI)” Nhóm11 Bài tập tiểu luận An Ninh Mạng Bảng phân công nhiệm vụ: Nội dung tìm hiểu Nội dung triển khai Thành viên thực 1.1 Lịch sử phát triển PKI Chương 1: Tổng quan 1.2 Thực trạng PKI Việt Nam tình hình khóa cơng khai PKI triển khai giới 1.3 Các định nghĩa sở hạ tầng khóa cơng khai khái niệm có liên quan 2.1; Các thành phần khóa PKI Chương 2: Hạ tầng khóa 2.2; Cách thức hoạt động cơng khai khóa PKI 2.3; Các tiến trình PKI 2.4; Mơ hình kiến trúc hệ thống PKI 3.1 Chứng thực chéo (Cross-certification) Chương 3: Chứng thực chéo mạng sách 3.1.1 Tổng quan chứng PKI thực chéo 3.1.2 PKI Policy Networking 3.2 Ứng dụng PKI 3.3 Kết luận Bài tập tiểu luận An Ninh Mạng Mục Lục CHƯƠNG 1: TỔNG QUAN VỀ KHĨA CƠNG KHAI (PKI) 1.1 Lịch sử phát triển PKI 1.2 Thực trạng PKI Việt Nam tình hình triển khai giới 1.3 Các định nghĩa sở hạ tầng khóa cơng khai khái niệm có liên quan 13 Chương 2: Hạ tầng khóa cơng khai PKI Error! Bookmark not defined 2.1; Các thành phần khóa PKI 24 2.1.1 ; Chứng số 24 2.1.2; Cơ quan chứng nhận (CA) 25 2.1.3; Hệ thống quản lý chứng (CMS) 26 2.1.4; Mã thơng báo khóa cá nhân 27 2.2; Cách thức hoạt động khóa PKI 27 2.2.1 ; Khởi tạo thực thể cuối 28 2.2.2 ; Tạo cặp khóa cơng khai/khóa riêng 28 2.2.3; Áp dụng chữ ký số để định danh người gửi 29 2.2.4; Mã hóa thơng báo 29 2.2.5; Truyền khóa đối xứng 29 2.2.6; Kiểm tra danh tính người gửi thơng qua CA 29 2.2.7; Giải mã thông báo kiểm tra nội dung thông báo 30 2.3; Các tiến trình PKI 30 2.3.1 Yêu cầu chứng thư số 31 2.3.2 Hủy bỏ chứng thư số 32 2.4; Mơ hình kiến trúc hệ thống PKI 32 2.4.1; Hệ thống phân cấp CA 33 2.4.2 Mơ hình danh sách tin cậy 35 2.4.3 Mơ hình Hub and Spoke 35 2.4.4 Mơ hình CA đơn 37 Chương 3: Chứng thực chéo mạng sách PKI Error! Bookmark not defined 3.1 Chứng thực chéo (Cross-certification) 38 3.1.1 Tổng quan chứng thực chéo 38 3.1.2 PKI Policy Networking 44 Bài tập tiểu luận An Ninh Mạng 3.2 Ứng dụng PKI 49 3.3 Kết luận 50 Bài tập tiểu luận An Ninh Mạng LỜI MỞ ĐẦU Với phát triển mạnh mẽ Internet mạng máy tính giúp cho việc trao đổi thơng tin trở nên nhanh gọn, dễ dàng Email cho phép việc nhận gửi thư thiết bị có kết nối Internet, E-business cho phép thực giao dịch buôn bán mạng,…Tuy nhiên, thông tin quan trọng nằm kho liệu hay đường truyền bị trộm cắp, bị làm sai lệch, bị giả mạo gây ảnh hưởng lớn tới tổ chức, công ty hay quốc gia Đặc biệt, giao dịch điện tử có nguy xảy an toàn dẫn đến hậu tiềm ẩn lớn Do vậy, để bảo mật thông tin truyền Internet xu hướng mã hóa sử dụng thường xuyên Trước truyền qua Intenet, thông tin phải mã hóa, kẻ trộm có chặn thơng tin q trình truyền khơng thể đọc nội dung thơng tin mã hóa Khi tới đích, thơng tin người nhận giải mã Trước phát triển mạnh mẽ cơng nghệ thơng tin nhu cầu cho phiên giao dịch trao đổi thông tin điện tử cần bảo mật ngày tăng nên sinh vấn đề an toàn sau: bảo mật, tính tồn vẹn, xác thực, khơng chối bỏ Cơ sở hạ tầng khóa cơng khai giải vấn đề này, Đặc biệt, nghiên cứu giải pháp chứng thực chéo xây dựng ứng dụng sử dụng giải pháp chứng thực chéo để giải vấn đề thực liên kết, phối hợp hệ thống PKI độc lập với nhằm tạo mối quan hệ tin tưởng PKI Lý chọn đề tài phạm vi tiểu luận Vì nhu cầu bảo mật thơng tin liên lạc tăng lên đáng kể ngày Cùng với nhu cầu này, nhiều kỹ thuật đề xuất để đạt bảo mật tối đa Kỹ thuật sử dụng phổ biến mã hóa với hai loại mật mã Đầu tiên gọi khóa riêng mật mã đối xứng; áp dụng nhanh khó quản lý khóa người dùng có khóa Bất chấp vấn đề này, đóng vai trị hầu hết hệ thống mã hóa Loại mật mã khác đề xuất để khắc phục vấn đề tên khóa cơng khai mật mã khơng đối xứng người dùng cung cấp cặp khóa: khóa cơng khai khóa riêng tư Vì khóa cơng khai khơng phải bí mật, nên vấn đề quản lý Bài tập tiểu luận An Ninh Mạng khóa giải vấn đề tương đương đặt vấn đề xác thực quản lý tên Cơ sở hạ tầng khóa cơng khai (PKI) phát triển để giải vấn đề hỗ trợ mật mã khóa cơng khai Xác thực trình sử dụng tất PKI Nội dung chia thành chương: Chương 1: Tổng quan khóa cơng khai PKI Chương tập trung tìm hiểu định nghĩa khóa cơng khai, chứng thư X.509 Chương 2: Hạ tầng khóa cơng khai Chương tìm hiểu sở hạ tầng khóa cơng khai, thực trạng việc sử dụng hệ thống PKI, thành phần hệ thống PKI, kiến trúc trung tâm chứng thực CA, hoạt động hệ thống PKI Chương 3: Chứng thực chéo mạng sách PKI Chương tìm hiểu chứng thực chéo, mạng sách PKI ứng dụng PKI Bài tập tiểu luận An Ninh Mạng DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1 Thời điểm ban hành luật liên quan PKI quốc gia giới Hình 1.2 Ví dụ chứng thư số Hình 1.3: Chứng thư X.509 Hình 2.1 Quá trình lấy chứng số Hình 2.2 Hệ thống phân cấp CA Hình 2.3 Mơ hình Hub and Spoke (Bridge CA) Hình 2.4 Mơ hình CA đơn ưu điểm Hình 3.1 : Chứng thực chéo phân cấp root CA (tự trị) CA cấp phụ thuộc Hình 3.2 Chứng thực chéo ngang hàng Hình 3.3 Hình minh họa Hình 3.4 Hình minh họa Hình 3.5 Ràng buộc đường dẫn CA ngang hàng chứng thực chéo Hình 3.6 Ràng buộc đường dẫn CA phân cấp chứng thực chéo Hình 3.7 Ràng buộc tên chứng thực chéo Hình 3.8 Ràng buộc sách chứng thực chéo Bài tập tiểu luận An Ninh Mạng DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT Từ viết tắt Từ viết đầy đủ PKI Public Key Infrastructure: Hạ tầng khóa cơng khai SSL Secure Sockets Layer: Giao thức bảo mật SSL CA Certification Authority: Tổ chức chứng thực RA Rigistration Authority: Tổ chức đăng ký CRL Certificate Revocation List: Danh sách hủy bỏ chứng nhận Extensible Markup Language: Ngôn ngữ đánh dấu mở rộng XML Bài tập tiểu luận An Ninh Mạng CHƯƠNG 1: TỔNG QUAN VỀ KHĨA CƠNG KHAI (PKI) 1.1 Lịch sử phát triển PKI Việc Diffie, Hellman, Rivest, Shamir, Adleman cơng bố cơng trình nghiên cứu trao đổi khóa an tồn thuật tốn mật mã hóa khóa cơng khai vào năm 1976 làm thay đổi hồn tồn cách thức trao đổi thơng tin mật Cùng với phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thơng tin bí mật trở nên cấp thiết Vì vậy, ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển cách mạnh mẽ Nhiều giao thức sử dụng kỹ thuật mật mã phát triển phân tích Cùng với đời phổ biến World Wide Web, nhu cầu thông tin an toàn nhận thức người sử dụng trở nên cấp thiết Taher ElGamal cộng Netscape phát triển giao thức SSL nhằm thực nhiệm vụ xác thực server, xác thực client, mã hóa kết nối Sau đó, thiết chế PKI tạo để phục vụ nhu cầu truyền thơng an tồn Tới nay, PKI đầu tư thúc đẩy Và để thực hóa ý tưởng tuyệt vời này, tiêu chuẩn cần phải nghiên cứu phát triển mức độ khác bao gồm: mã hóa, truyền thơng liên kết, xác thực, cấp phép quản lý Nhiều chuẩn bảo mật mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) Virtual Private Network (VPN), kết sáng kiến PKI Quá trình nghiên cứu phát triển PKI trình lâu dài với nó, mức độ chấp nhận người dùng tăng lên cách chậm chạp Cũng giống với nhiều tiêu chuẩn công cộng khác, tỷ lệ người dùng chấp nhận tăng lên chuẩn trở nên hồn thiện, chứng minh khả thực nó, khả ứng dụng thực hóa khả thi (cả khía cạnh chi phí lẫn thực hiện) 1.2 Thực trạng PKI Việt Nam tình hình triển khai giới Bài tập tiểu luận An Ninh Mạng Hiện nay, Việt Nam có hai hệ thống PKI là: Dịch vụ chứng thực điện tử cho hoạt động quan thuộc hệ thống trị (PKI Chính phủ) Ban Cơ yếu Chính phủ đảm nhiệm Dịch vụ chứng thực điện tử cho hoạt động công cộng Bộ Thông tin truyền thông quản lý - Đối với dịch vụ chứng thực điện tử cho hoạt động quan thuộc hệ thống trị (PKI Chính phủ): Việc triển khai PKI cho hoạt động quan thuộc hệ thống trị quan tâm Đảng Nhà nước thể hai khía cạnh thúc đẩy ứng dụng dịch vụ chứng thực điện tử quan thuộc hệ thống trị đầu tư xây dựng hạ tầng PKI đủ mạnh để đáp ứng nhu cầu cung cấp chứng thực số an toàn cho hoạt động Tuy nhiên, thực tế việc triển khai dịch vụ chữ ký số gặp nhiều khó khăn Hiện nay, nước có khoảng vài ngàn chứng thực số lưu hành Cấp Trung ương, tính đến thời điểm tháng 12/2014 có 76% quan trung ương ứng dụng chữ ký số, địa phương 71% ứng dụng chữ ký số Do đặc thù nên hoạt động PKI Chính phủ có u cầu cao bảo đảm độ an toàn mật mã, an tồn thơng tin Đối với quốc gia giới triển khai PKI Chính phủ cần phải làm chủ công nghệ cán quản trị vận hành hạ tầng PKI cần phải có trình độ cao Mã nguồn tùy biến phần mềm lõi CA có chứa module mật mã phải làm chủ để đảm bảo mật mã sử dụng an tồn khơng bị cài kênh ngầm phá hoại Ngồi ra, cịn có u cầu an tồn, an ninh tăng cường dịch vụ phi mật mã khác dịch vụ tem thời gian, dịch vụ cung cấp trạng thái chứng thư trực tuyến Hiện nay, theo quy định Nhà nước hạ tầng PKI Ban Cơ yếu Chính phủ quản lý điều hành tồn diện Root CA Chính phủ sub CA Chính phủ - Đối với dịch vụ chứng thực điện tử cho hoạt động công cộng: Bộ Thông tin Truyền thông cấp phép cho doanh nghiệp cung cấp dịch vụ chữ ký số công cộng dành cho doanh nghiệp giao địch điện tử là: • Tập đồn Bưu Viễn thơng Việt Nam (VNPT-CA) 10 Bài tập tiểu luận An Ninh Mạng Khó khăn việc thiết lập bridge CA làm việc với CA khác hạ tầng sở để CA hoạt động với 2.4.4 Mơ hình CA đơn Đây mơ hình tổ chức CA đơn giản Trong mơ hình CA đơn có CA xác nhận tất thực thể cuối miền PKI Mỗi người sử dụng miền nhận khố cơng khai CA gốc (Root CA) theo số chế Trong mơ hình khơng có u cầu xác thực chéo Chỉ có điểm để tất người sử dụng kiểm tra trạng thái thu hồi chứng thư cấp Mơ hình mở rộng cách có thêm RA xa CA gần nhóm người dùng cụ thể Hình 2.4 Mơ hình CA đơn ưu điểm Mơ hình dễ để triển khai giảm tối thiểu vấn đề khả tương tác Nhược điểm Mô hình khơng thích hợp cho miền PKI lớn số người sử dụng miền có yêu cầu khác người miền khác Nhiều tổ chức không muốn vận hành không tin tưởng vào người vận hành cho Nhóm11 37 Bài tập tiểu luận An Ninh Mạng CA đơn việc quản trị khối lượng công việc kỹ thuật việc vận hành CA đơn cao cộng đồng PKI lớn.Nếu có CA gây thiếu khả hoạt động CA trở thành mục tiêu công Kết chương: Nội dung chương tìm hiểu sở hạ tầng khóa cơng khai Trong đó, trước tiên phải khái qt sở hạ tầng khóa cơng khai, thực trạng việc sử dụng hệ thống PKI, thành phần hệ thống PKI, kiến trúc trung tâm chứng thực CA Tìm hiểu hoạt động hệ thống PKI Đặc biệt, chương tập trung nghiên cứu, tìm hiểu chứng thực chéo để giải vấn đề chứng thực PKI CHƯƠNG 3: CHỨNG THỰC CHÉO VÀ MẠNG CHÍNH SÁCH PKI 3.1 Chứng thực chéo (Cross-certification) 3.1.1 Tổng quan chứng thực chéo Thuật ngữ chứng thực chéo nói đến hoạt động: - Hoạt động đầu tiên, việc thiết lập mối quan hệ tin cậy hai CA thơng qua việc ký kết khóa cơng khai CA khác chứng thực gọi “chứng thực chéo” - Hoạt động thứ hai, thực thường xuyên ứng dụng khách, bao gồm việc kiểm tra độ tin cậy chứng thư số sử dụng chữ ký số CA mạng PKI Các hoạt động thường gọi “đại diện chuỗi tin cậy” Chuỗi dùng để danh sách chứng thư chứng thực chéo đại diện (hoặc bắt nguồn) từ khóa Root CA “nguồn tin cậy”của người sử dụng xác nhận vào khóa CA yêu cầu xác nhận chứng người sử dụng khác Nhóm11 38 Bài tập tiểu luận An Ninh Mạng Một “nguồn tin cậy” khóa xác thực CA sử dụng ứng dụng khách điểm khởi đầu cho tất xác thực chứng thư số Chứng thực chéo phân cấp phân biệt với chứng thực chéo ngang hàng vị trí nguồn tin cậy người dùng với người dùng Nếu nguồn tin cậy người dùng CA cục người dùng, CA cục người dùng CA cấp hệ thống phân cấp CA Nguồn tin cậy người dùng khóa công khai Root CA hệ thống phân cấp CA cấp thực chứng thực chéo ngang hàng với CA khác thực với sách thêm CA cấp cho hệ thống phân cấp bên Tất xác nhận chứng thư số máy khách hệ thống phân cấp bắt đầu với khóa công khai Root CA Dưới kiến trúc phân cấp chứng thực chéo Hình 3.1: Chứng thực chéo phân cấp Root CA (tự trị) CA cấp phụ thuộc Nếu nguồn tin cậy người dùng CA cục người dùng, CA cục người dùng CA tự trị Tự trị dùng để CA không dựa CA cấp hệ thống phân cấp Một CA tự trị thực chứng thực chéo ngang Nhóm11 39 Bài tập tiểu luận An Ninh Mạng hàng với CA tự trị khác, hoạt động Root CA hệ thống phân cấp CA Tất chứng thư số xác nhận cho máy khách phạm vi CA tự trị bắt đầu với CA cục tự ký chứng thư số a, Lợi ích chứng thực chéo phân cấp Chứng thực chéo phân cấp ý tưởng tổ chức có nhiều CA điều cần thiết đòi hỏi tổ chức phải kiểm soát tối đa tất CA hệ thống phân cấp Tính lợi ích chứng thực chéo phân cấp: - Root CA kiểm sốt sách CA cấp bao gồm việc bổ sung CA vào hệ thống phân cấp CA cấp - Root CA thu hồi CA cấp có u cầu - Root CA kiểm sốt mối quan hệ chứng thực chéo ngang hàng với CA tự trị khác - Bởi root CA nguồn tin cậy cho tất người dùng CA hệ thống phân cấp, sách bảo mật vật lý thực bắt buộc root CA, cho tất CA hệ thống phân cấp - Chỉ sử dụng root CA để xác nhận ban hành sách cho CA cấp nâng cao tính bảo mật root CA b, Lợi ích chứng thực chéo ngang hàng Chứng thực chéo ngang hàng ý tưởng tổ chức nơi mà tổ chức muốn kiểm sốt tối đa tổ chức riêng Chứng thực chéo ngang hàng phải xảy CA tự trị, nơi mà CA tự trị root CA hệ thống phân cấp CA ngược lại CA độc lập Nhóm11 40 Bài tập tiểu luận An Ninh Mạng Tính lợi ích chứng thực chéo ngang hàng: - Các CA tự trị thiết lập hủy bỏ mối quan hệ chứng thực chéo ngang hàng với CA tự trị khác Điều cung cấp linh hoạt chứng thực chéo phân cấp từ hệ thống phân cấp CA phải tạo cách tạo root CA đầu tiên, sau tạo CA cấp sau tạo CA cấp CA cấp - Một CA tự trị khơng dựa CA nguồn khác Điều hợp lý so với hệ thống phân cấp mối quan hệ tổ chức khác nhau, riêng lẻ Hình 3.2 Chứng thực chéo ngang hàng c, Ví dụ chứng thực chéo Giả sử chứng thực chéo ngang hàng nơi mà CA2 đơn phương chứng thực chéo với CA1 CA1 đơn phương chứng thực chéo với CA3 (hình 3.3) CA2 tự ký chứng thực nguồn tin cậy cho User2 CA3 tự ký chứng thực nguồn tin cậy User3 Nguồn tin cậy miêu tả vòng tròn với mũi tên Điều có nghĩa Nhóm11 41 Bài tập tiểu luận An Ninh Mạng để minh họa khóa cơng khai xác CA ký khóa riêng ký tương ứng Nói cách khác, giấy chứng nhận xác minh CA chứng CA tự ký Giả sử User2 nhận tin nhắn có chữ ký User3 User2 xác minh chữ ký Giả sử tất chứng có giá trị, chữ ký xác minh thành cơng CA nguồn tin cậy User2, cụ thể CA2, chữ ký khóa cơngmkhai xác CA1, tạo chứng thực chéo; CA1 ký khóa cơng khai xác minh CA3, tạo chứng thực chéo CA3 ký khóa cơng khai xác minh User3, tạo chứng thư số xác minh User3 Vấn đề quan trọng để User2 tin tưởng User3, chuỗi tin cậy phải tồn từ nguồn CA tin cậy, cụ thể CA2, để xác minh chứng User3 Chuỗi tin cậy hình thành nguồn tin cậy CA2, hai chứng thực chéo xác minh chứng User2 Hình 3.3 Hình minh họa Nhóm11 42 Bài tập tiểu luận An Ninh Mạng Một cấu trúc chứng thực chéo phân cấp bao gồm root CA hệ thống phân cấp CA nhánh phía gốc sơ đồ hình 3.4 Hệ thống phân cấp làm tùy ý chiều rộng sâu Chỉ CA với khóa cơng khai xác minh tự ký CA hoạt động root CA chứng thực chéo phân cấp Mũi tên đại diện cho mối quan hệ tin tưởng nơi mà root CA ký khóa cơng khai xác minh CA tất CA phía gốc Những CA ký khóa cơng khai xác minh CA tất CA phía Các điểm để phân biệt chứng thực chéo phân cấp với chứng thực chéo ngang hàng vị trí nguồn tin cậy CA Chú ý sơ đồ hình 3.4 tất mũi tên từ root CA tới tất CA cấp dưới, cụ thể CA1 CA2 Nguyên nhân nguồn tin cậy CA tất CA cấp User root CA xác minh khóa cơng khai Đây đặc điểm quan trọng mô tả chứng thực chéo phân cấp từ chứng thực chéo ngang hàng Hình 3.4 Hình minh họa Nhóm11 43 Bài tập tiểu luận An Ninh Mạng Trong chứng thực chéo phân cấp, đăng ký với PKI, người dùng nhận khóa cơng khai xác minh root CA nguồn tin cậy CA, lưu trữ an tồn hồ sơ người dùng Ví dụ, User2 đăng ký với CA2, User2 tải an tồn khóa cơng khai xác minh root CA chữ ký xác minh chứng CA2 root CA Để xác minh chứng chỉ, cách sử dụng hệ thống phân cấp ví dụ trên, giả sử User2 nhận tin nhắn có chữ ký từ User3 User2 xác minh chữ ký Giả sử tất chứng có giá trị, chữ ký xác minh thành cơng nguồn tin cậy CA User 2, cụ thể root CA xác minh khóa cơng khai, ký xác minh khóa công khai CA3, tạo chứng CA cấp CA3, CA3 ký xác minh khóa cơng khai User3, tạo chứng xác nhận User3 Chú ý kiểm tra chứng người dùng từ CA cục bộ, chứng xác nhận nguồn tin cậy root CA Chứng thực chéo ngang hàng kết hợp mối quan hệ công việc tổ chức 3.1.2 PKI Policy Networking Chứng thực chéo dùng để mở rộng tin tưởng cho CA Bằng cách mở rộng tin cậy này, người dùng CA sử dụng chứng thư số tin cậy thuộc chứng thực chéo CA Đối với tổ chức lớn triển khai nhiều CA lý mở rộng, tin cậy hoàn toàn chứng thực chéo CA phù hợp Tuy nhiên, tổ chức khác mà có mối quan hệ kinh doanh riêng biệt ràng buộc, xây dựng tin cậy hoàn toàn CA thường khơng thích hợp Có cách để ràng buộc tin tưởng CA: độ dài đường dẫn(path length), tên(name) sách (policy) Chứng thực chéo hai CA (chứng thực chéo ngang hàng) chứng thư CA cấp (chứng thực chéo phân cấp) sử Nhóm11 44 Bài tập tiểu luận An Ninh Mạng dụng để truyền tải hạn chế, ứng dụng khách tự động thực thi ràng buộc xác nhận chứng thư số a, Ràng buộc độ dài đường dẫn (Path Length Constraints) Cùng với chứng thực chéo ngang hàng, ràng buộc độ dài đường dẫn sử dụng để kiểm sốt tin tưởng bắc cầu Đó là, bạn kiểm soát việc CA bạn nên tin cậy vào chứng thực chéo thành lập CA với người mà có chứng thực chéo Ví dụ, hình 3.5, CA1 đơn phương chấm dứt chứng thực chéo với CA2 CA2 chứng thực chéo với CA3 Hình 3.5 Ràng buộc đường dẫngiữa CA chứng thực chéo ngang hàng Trong chứng thực chéo phân cấp, ràng buộc độ dài đường dẫn sử dụng để kiểm soát việc bổ sung CA cấp Việc kiểm soát quan trọng chứng thực chéo phân cấp tất thành biên hệ thống phân cấp tin tưởng lẫn Nhóm11 45 Bài tập tiểu luận An Ninh Mạng Hình 3.6 Ràng buộc đường dẫngiữa CA chứng thực chéo phân cấp b, Ràng buộc tên (Name constraints) Trong chứng thực chéo ngang hàng, ràng buộc tên sử dụng để ràng buộc tin tưởng cho nhóm nhỏ chứng thực chéo CA dựa tên phân biệt chúng Ví dụ, giả sử tất nhân viên Acme Crop tổ chức đơn vị tổ chức mà DN người sử dụng bao gồm đơn vị tổ chức họ Người dùng phận tài có DNS “cn=Jonh Smith, ou=Finance, o=ABC, c=US” người sử dụng để bán hàng có DNS “cn=Alice Jones, ou=Sales, o=ABC, c=US” Vì vậy, cơng ty ABC thiết lập mối quan hệ chứng thực chéo với Acme Corp ngược lại, giới hạn với tập đồn tài với CA tin cậy lẫn (Hình 3.7) Nhóm11 46 Bài tập tiểu luận An Ninh Mạng Hình 3.7 Ràng buộc tên chứng thực chéo Trong chứng thực chéo phân cấp, ràng buộc tên sử dụng để hạn chế việc bổ sung CA cấp người dùng họ dựa việc giới hạn DNS Ví dụ, root CA Acme Corp hạn chế CA cấp để DNS tổng công ty Acme cách bắt buộc tất CA cấp người sử dụng với tất CA cấp phải có DNS bên khơng gian tên “o=Acme, c=US” c, Ràng buộc sách (Policy Constraints) Ràng buộc sách sử dụng để hạn chế tin cậy tới người dùng CA khác, người có giá trị sách định chứng thư số Một ví dụ việc sử dụng mức độ đảm bảo Sự đảm bảo mức độ mà người sử dụng thực chứng nhận anh Một tổ chức có đảm bảo khác tùy thuộc vào cách thức mà người dùng chứng thực trước ban hành sử dụng chứng Một sách đảm bảo thấp gắn với người dùng yêu cầu kích hoạt qua mã điện thoại Một sách đảm bảo cao gắn với người dung u cầu mã kích hoạt qua chứng thư nhân dân Tùy thuộc vào nhu cầu tổ chức sách, chứng thư số cấp cho người Nhóm11 47 Bài tập tiểu luận An Ninh Mạng sử dụng với hai mức độ đảm bảo, tùy thuộc vào yêu cầu quyền kiểm soát truy cập người sử dụng Trong chứng thực chéo ngang hàng, giả sử người dùng CA ABC Corp thuộc hai nhóm đảm bảo cao, người dùng gắn thẻ thuộc một nhóm người dùng khác thơng qua sách đặc biệt OID chứng thư số người sử dụng tiếp theo, giả sử Acme Corp muốn chứng thực chéo với ABC Corp muốn hạn chế mối quan hệ tin cậy cho người dùng bảo đảm cao ABC Corp Điều thực thơng qua việc sử dụng sách hạn chế Hình 3.8 Ràng buộc sách chứng thực chéo Sử dụng ràng buộc sách để hạn chế tin cậy tới người dùng có chứng thư số bảo đảm cao sử dụng chứng thực chéo phân cấp để cấm CA cấp thêm người sử dụng có đảm bảo thấp hệ thống phân cấp Trong trường hợp này, CA cấp cấp chứng cho CA cấp đặc biệt ngăn cấm việc sử dụng chứng thư số có chứa sách bảo đảm thấp OIDs Một ví dụ khác chứng thực chéo ngang hàng liên quan đến việc sử dụng rang buộc sách để hạn chế tin cậy đến nhóm tùy ý CA tên miền Nhóm11 48 Bài tập tiểu luận An Ninh Mạng khác, độc lập với DNS người dùng Ví dụ, giả sử nhóm nhân viên ABC Corpthỏa thuận thường xuyên với nhóm nhân viên Acme Corp, nhóm qua nhiều ranh giới chức không tương quan với cấu trúc DN cụ thể Trong trường hợp sách ODIs đặt vào chứng thư số nhân viên để truyền đạt nhu cầu họ để giải với công ty hạn chế sách sử dụng để giới hạn tin cậy hai tổ chức để nhân viên với những sách OID cụ thể 3.2 Ứng dụng PKI Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa định dạng người dùng Nhờ người dùng sử dụng số ứng dụng như: Mã hóa thơng điệp email xác thực thông điệp người gửi email (sử dụng OpenPGP S/MIME) Mã hóa xác thực văn (tiêu chuẩn chữ ký XML mã hóa XML văn nhung dạng XML) Xác thực người dùng cho ứng dụng (ví dụ thẻ thơng minh, xác thực máy khách với SSL) Ngồi thử nghiệm sử dụng để xác thực chữ ký số HTTP Các giao thức truyền thơng an tồn dùng kỹ thuật Bootstrapping (IKE, SSL) Trong hai giao thức này, bước đầu thiết lập kênh an toàn sử dụng khóa bất đối xứng giao tiếp thực tế sử dụng khóa đối xứng Chữ ký điện thoại di động chữ ký điện tử tạo cách sử dụng thiết bị di động dịch vụ dựa chữ ký cấp giấy chứng nhận vị trí mơi trường viễn thơng độc lập Nhóm11 49 Bài tập tiểu luận An Ninh Mạng 3.3 Kết luận Chứng nhận chéo cho phép thực thể sở hạ tầng khóa cơng khai (PKI) tin cậy thực thể PKI khác Mối quan hệ tin cậy lẫn thường hỗ trợ thỏa thuận chứng nhận chéo tổ chức chứng nhận (CA) PKI Thỏa thuận thiết lập trách nhiệm nghĩa vụ bên Chứng nhận chéo phân cấp phù hợp cách lý tưởng tổ chức lớn muốn CA gốc họ có quyền kiểm sốt tối đa tất CA cấp hệ thống phân cấp tổ chức Bằng cách ngược lại, chứng nhận chéo ngang hàng phù hợp lý tưởng tổ chức nơi tối đa Mạng sách PKI cung cấp linh hoạt kiểm soát cần thiết để thiết lập thực thi mối quan hệ tin cậy phản ánh mối quan hệ kinh doanh tổ chức KẾT LUẬN CHUNG Vì bảo mật trở thành nhu cầu thiết yếu hệ thống để đảm bảo giao tiếp an toàn người dùng, kỹ thuật để bảo mật kênh trở thành nhu cầu cấp thiết Cơ sở hạ tầng khóa cơng khai cung cấp nhiều cách để bảo mật thông tin liên lạc tùy thuộc vào loại mức độ bảo mật cần thiết Bài tiểu luận trình bày thành phần PKI chúng sử dụng cho hoạt động Bên cạnh tìm hiểu chứng nhận chéo (CrossCertification) Chứng nhận chéo cho phép thực thể sở hạ tầng khóa cơng khai (PKI) tin cậy thực thể PKI khác Mối quan hệ tin cậy lẫn thường hỗ trợ thỏa thuận chứng nhận chéo tổ chức chứng nhận (CA) PKI Thỏa thuận thiết lập trách nhiệm nghĩa vụ bên Mối quan hệ tin cậy lẫn hai CA yêu cầu CA phải cấp chứng cho CA khác để thiết lập mối quan hệ theo hai hướng Đường dẫn tin cậy Nhóm11 50 Bài tập tiểu luận An Ninh Mạng khơng mang tính phân cấp (cả CA quản lý không cấp CA khác) PKI riêng biệt phân cấp chứng Sau hai CA thiết lập định điều khoản tin cậy cấp chứng cho nhau, thực thể PKI riêng biệt tương tác theo sách định chứng TÀI LIỆU THAM KHẢO Cross-Certification and PKI Policy Networking Public Key Infrastructure: A Survey Bùi Doãn Khanh, Nguyễn Đình Thúc (2004), Giáo trình mã hóa thơng tin – Lý thuyết ứng dụng, NXB LĐXH Lê Quang Tùng, Giải pháp liên thông hệ thống chứng thực điện tử PKI: Concepts, Standards, and Deployment Considerations, Second Edition” IETF Public-Key Infrastructure X.509 (PKIX) Working Group Jim Turnbull (2000), Cross-Certification and PKI Policy Networking "Public Key Infrastructure Implementation and Design", M&T Books Nhóm11 51 ... khác Cơ sở hạ tầng khóa cơng khai (PKI) Cơ sở hạ tầng khóa cơng khai (PKI) có cách tích hợp để xác nhận tất đầu tương đương với đầu vào Mọi thay đổi liệu phát ngăn chặn Khơng từ chối: Cơ sở hạ tầng. .. khai PKI Chương tập trung tìm hiểu định nghĩa khóa cơng khai, chứng thư X.509 Chương 2: Hạ tầng khóa cơng khai Chương tìm hiểu sở hạ tầng khóa cơng khai, thực trạng việc sử dụng hệ thống PKI, thành... lưu trữ, phân phối thu hồi chứng khóa cơng khai dựa mật mã khóa công khai 13 Bài tập tiểu luận An Ninh Mạng -Trong mật mã khóa cơng khai, sở hạ tầng khóa cơng khai chế bên thứ (thường nhà cung cấp