HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG 1 ※※※ BÀI TẬP TIỂU LUẬN AN NINH MẠNG VIỄN THÔNG Chủ đề CHỨNG THƯ X 509 Giảng viên Phạm Anh Thư Bài tập An ninh mạng i BẢNG PHÂN CÔNG CÔNG VIỆC N[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG ※※※ BÀI TẬP TIỂU LUẬN AN NINH MẠNG VIỄN THÔNG Chủ đề: CHỨNG THƯ X.509 Giảng viên: Phạm Anh Thư Bài tập An ninh mạng BẢNG PHÂN CÔNG CƠNG VIỆC Nội dung tìm hiểu Cơng việc thực Tổng quan chứng thư số Tìm kiếm, chọn lọc tài liệu, làm slide Tổng quan chứng thư X.509 Tìm kiếm, chọn lọc tài liệu X.509 version 1,2 X509 version Vòng đời chứng thư X.509 Thu Hồi chứng thư Ứng dụng chứng thứ X.509 Tạo lại chứng thư Ưu điểm chứng thư Sinh viên thực Tìm kiếm, chọn lọc tài liệu, soạn thảo Word Tìm kiếm chọn lọc tài liệu Tìm kiếm, chọn lọc tài liệu i Bài tập An ninh mạng Mục Lục BẢNG PHÂN CÔNG CÔNG VIỆC i Mục Lục ii Danh mục hình ảnh iii CHƯƠNG 1: TỔNG QUAN CHỨC THƯ SỐ 1.1 Khái niệm chứng thư số 1.2 Phân loại chứng thư số 1.3 Hoạt động chứng thư số 1.4 Quy định nội dung chứng thư số CHƯƠNG 2: CHỨNG THƯ X.509 2.1 Giới thiệu chứng thư X.509 2.2 Các phiên chứng thư X 509 2.2.1 X.509 version1 2.2.2 X.509 version2 2.2.3 X.509 version 2.3 Vòng đời chứng thư X.509 10 2.4 Thu hồi chứng thư 11 2.5 Huỷ bỏ tạo lại chứng thư 12 CHƯƠNG 3: ƯU ĐIỂM VÀ ỨNG DỤNG CỦA CHỨNG THƯ 14 3.1 Ưu điểm chứng thư 14 3.2 Ứng dụng chứng thư X.509 14 ii Bài tập An ninh mạng Danh mục hình ảnh Tên hình Hình 1.1: Cấu trúc chung chứng thư Hình 1.2: Ví dụ chứng thư số Hình 1.3: Sơ đồ hoạt động chứng thư Hình 2.1: Khn dạng X.509 v1 Hình 2.2: Khn dạng X.509 v2 Hình 2.3: Khn dạng X.509 v3 Hình 2.4: Vịng đời chứng thư X.509 Hình2.5: Thu hồi chứng thư Hình 2.6: Khn dạng thu hồi chứng thư X.509 v3 Trang 10 11 12 iii Bài tập An ninh mạng Chương 1: Tổng quan chứng thư số CHƯƠNG 1: TỔNG QUAN CHỨC THƯ SỐ 1.1 Khái niệm chứng thư số Để đảm bảo an tồn khóa cơng khai tránh vi phạm an ninh liên quan tới việc giả mạo sửa đổi khóa quan trọng Vì thế, cần có kỹ thuật tồn vẹn liệu để đảm bảo an tồn khóa cơng khai Tuy nhiên, có kỹ thuật tồn vẹn liệu chưa đủ để bảo đảm khóa cơng khai thuộc chủ sở hữu tuyên bố Một kỹ thuật yêu cầu để gắn kết khóa cơng khai với chủ sở hữu tuyên bố theo cách đáng tin cậy mà đảm bảo danh tính tính xác thực khóa cơng khai Kỹ thuật định nên thực hai tiêu chí sau: Thiết lập tính tồn vẹn khóa cơng khai Gắn kết khóa cơng khai thơng tin kết hợp tới chủ sở hữu theo cách tin cậy Trong môi trường PKI chứng thư số kỹ thuật đảm bảo hai tiêu chí Chứng thư số dạng chứng thư điện tử giúp nhận dạng đại diện cho người dùng, tổ chức, máy tính, thiết bị mạng dịch vụ Nó phát hành Certification Authority (CA) liên kết với cặp khóa cơng khai khóa bí mật CA tạo chứng thư cho khóa cơng khai CA phải bảo đảm nhận dạng đối tượng yêu cầu xác thực trước cấp chứng thư Việc xác minh nhận dạng thực dựa giấy phép an ninh (security credential) đối tượng thông qua gặp mặt trao đổi trực tiếp với người yêu cầu Sau nhận dạng kiểm chứng hợp lệ, CA cấp chứng thư ký số khóa bí mật cho họ Chữ ký số cho biết nguồn gốc chứng (do CA cấp), đảm bảo khóa cơng khai thuộc chủ thể chứng thư giúp phát thay đổi, giả mạo có nội dung chứng thư Một chứng thư số có ba thành phần chính: thơng tin cá nhân người cấp; khóa cơng khai(Public Key) người cấp chữ ký số sở cấp chứng Hình 1.1: Cấu trúc chung chứng thư Bài tập An ninh mạng Chương 1: Tổng quan chứng thư số Hình 1.2: Ví dụ chứng thư số 1.2 Phân loại chứng thư số Gồm loại chứng thư: Chứng thư số cho cá nhân: Là chứng thư số cấp cho chức danh nhà nước, người có thẩm quyền quan, tổ chức theo quy định pháp luật quản lý sử dụng dấu, cấp cho cán bộ, công chức, viên chức quan nhà nước có nhu cầu giao dịch điện tử Chứng thư số cho quan, tổ chức: Là chứng thư số cấp cho quan nhà nước giao cho người có thẩm quyền quan theo quy định pháp luật quản lý sử dụng dấu để sử dụng để ký số văn điện tử thay cho dấu quan Chứng thư số cho thiết bị, dịch vụ, phần mềm: Là chứng thư số cấp cho thiết bị, dịch vụ phần mềm thuộc sở hữu, quản lý quan nhà nước 1.3 Hoạt động chứng thư số Quá trình tạo chữ ký số: Đầu tiên, sử dụng hàm băm để tạo mã băm từ phần thông tin Unsigned Certificate (bao gồm ID, khóa cơng khai User thơng tin CA ) Tiếp theo, mã hóa mã băm Bài tập An ninh mạng Chương 1: Tổng quan chứng thư số với khóa bí mật CA để tạo chữ ký số Chữ ký số tạo gắn thông tin ban đầu để tạo chứng thư chứa khóa cơng khai User Hình 1.3: Sơ đồ hoạt động chứng thư Quá trình xác thực: Thực lấy mã băm H0 phần thông tin ban đầu cách đưa phần thông tin qua hàm băm Thực lấy mã băm H1 phần thơng tin mã hóa phần a), cách giải mã chữ ký số khóa cơng khai CA Sau đó, so sánh mã băm H0 H1, trùng thơng tin ban đầu xác thực 1.4 Quy định nội dung chứng thư số Hiện nay, chứng thư số Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng quan, tổ chức cấp phải bao gồm đầy đủ nội dung sau: Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số Tên thuê bao Số hiệu chứng thư số Thời hạn có hiệu lực chứng thư số Khóa cơng khai th bao Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số Các hạn chế mục đích, phạm vi sử dụng chứng thư số Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số Thuật toán mật mã Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông Chương 2: Chứng thư X.509 Bài tập An ninh mạng CHƯƠNG 2: CHỨNG THƯ X.509 2.1 Giới thiệu chứng thư X.509 ITU-T đưa khuyến nghị X.509 phần tập tiêu chuẩn X.500 nhằm định nghĩa dịch vụ thư mục Các thư mục trì sở liệu thông tin người dùng bao gồm ánh xạ từ tên người sử dụng, địa mạng, thuộc tính khác thơng tin người sử dụng X.509 định nghĩa khung làm việc cho dịch vụ chứng thực Các thư mục phục vụ kho lưu trữ khóa cơng khai chứng Ngồi ra, X.509 định nghĩa giao thức xác thực khác dựa việc sử dụng giấy chứng nhận khóa cơng khai Khuôn dạng chứng thư số X.509 thay đổi qua version để tăng tính xác thực bảo mật, xong phiên đảm bảo đủ ba thành phần chính: thơng tin cá nhân người cấp; khóa cơng khai(Public Key) người cấp; chữ ký số sở cấp chứng Chi tiết trường khuôn dạng chứng thư X.509 rõ phiên chứng thư X.509 2.2 Các phiên chứng thư X 509 2.2.1 X.509 version1 Được định nghĩa vào năm 1988, X.509 version khơng cịn sử dụng Định dạng loại chứng thể hình đây: Hình 2.1: Khn dạng X.509 v1 Một chứng X.509 version bao gồm trường sau: Version: chứa giá trị cho biết chứng X.509 version 1.Serial Number: cung cấp mã số nhận dạng cho chứng phát hành CA Bài tập An ninh mạng Chương 2: Chứng thư X.509 CA Signature Algorithm: tên thuật toán mà CA sử dụng để ký lên nội dung chứng số Issuer Name: tên phân biệt (distinguished name) CA phát hành chứng Thường tên phân biệt biểu diễn theo chuẩn X.500 định dạng theo đặc tả X.509 RFC 3280 Validity Period: khoảng thời gian mà chứng xem hiệu lực, bao gồm trường là: Valid From Valid To Subject Name: tên máy tính, người dùng, thiết bị mạng sở hữu chứng Thường tên chủ thể biểu diễn theo chuẩn X.500 định dạng theo đặc tả X.509, bao gồm định dạng tên khác mơ tả RFC 822 Subject Public Key Info: khóa cơng khai đối tượng nắm giữ chứng Khóa công khai gửi tới CA thông điệp yêu cầu cấp chứng (certificate request) bao gồm nội dung chứng phát hành sau Trường chứa nhận dạng thuật tốn dùng để tạo cặp khóa cơng khai khóa bí mật liên kết với chứng Signature Value: chứa giá trị chữ ký Các trường Issukk Name Subject Name cấu trúc để chứng tổ chức thành chuỗi chứng mà bắt đầu chứng cấp cho người dùng, máy tính, thiết bị mạng, dịch vụ kết thúc chứng gốc CA 2.2.2 X.509 version2 Mặc dù chứng X.509 version cung cấp đầy đủ thông tin người nắm chứng lại có thơng tin tổ chức cấp phát chứng bao gồm Issuer Name, CA Signature Algorithm Signature Value Điều khơng giúp dự phịng trường hợp CA thay Khi chứng CA thay mới, trường Issuer Name chứng cũ Tương tự, có tổ chức khác muốn tạo CA có trường Issuer Name chứng giống Giải vấn đề để sử dụng lại Issuer Name chứng X.509 version giới thiệu vào năm 1993 Trong định dạng có thêm trường thể hình đây: Hai trường bổ sung là: Bài tập An ninh mạng Chương 2: Chứng thư X.509 Issuer Unique ID: trường không bắt buộc, chứa chuỗi giá trị hệ 16, mang tính dành để nhận dạng CA Khi CA thay chứng nó, Issuer Unique ID khởi tạo cho chứng Hình 2.2: Khn dạng X.509 v2 Subject Unique ID: trường không bắt buộc, chứa chuỗi giá trị hệ 16, mang tính dùng để nhận dạng chủ thể chứng Nếu chủ thể CA trường giống với Issuer Unique ID Ngoài việc đưa vào trường trường Version chứng X.509 version có giá trị để phiên chứng Các trường Issuer Unique ID Subject Unique ID cải tiến trình xâu chuỗi chứng Giờ việc tìm kiếm chứng của CA so khớp Issuer Name chứng cấp phát với Subject Name chứng CA thực thêm bước kiểm tra thứ hai so khớp Issuer Unique ID chứng cấp phát với Subject Unique ID chứng CA Bước so khớp thứ hai cho phép phân biệt chứng CA CA làm lại chứng Cách giúp phân biệt CA khác trùng Subject Name Mặc dù định dạng X.509 version có cải tiến version chuẩn khơng cịn áp dụng rộng rãi Và thực tế RFC 3280 khuyến cáo bỏ qua việc sử dụng trường X.509 version lo ngại có xung đột xảy hai chứng có Subject Name Subject Unique ID 2.2.3 X.509 version Bài tập An ninh mạng Chương 2: Chứng thư X.509 Được đời vào năm 1996, định dạng X.509 version bổ sung thêm phần mở rộng (extension) để khắc phục vấn đề liên quan tới việc so khớp Issuer Unique ID Subject Unique ID vấn đề xác thực chứng Một chứng X.509 version co thể chứa nhiều extension, thể hình dười đâytrong hình đây: Hình 2.3: Khuôn dạng X.509 v3 Mỗi extension chứng X.509 version gồm phần: Extension Identifier: mã nhận dạng đối tượng (Object Identifier– OID) cho biết kiểu định dạng định nghĩa extension Criticality Flag: dấu hiệu cho biết thông tin extension có quan trọng (critical) hay khơng Nếu ứng dụng nhận diện trạng thái critical extension extension khơng chứa giá trị chứng khơng thể chấp nhận sử dụng Nếu mục criticality flag không thiết lập sử dụng chứng ứng dụng khơng nhận diện extension Extension Value: giá trị gán cho extension Nó phụ thuộc vào extension cụ thể Trong chứng X.509 version 3, extension sau có là: Bài tập An ninh mạng Chương 2: Chứng thư X.509 Authority Key Identifier: extension chứa hai giá trị, chúng là: • Subject Name CA Serial Number chứng CA mà cấp phát chứng • Giá trị băm khóa cơng khai chứng CA mà cấp phát chứng Subject Key Identifier: extension chứa giá trị băm khóa công khai chứng Key Usage: CA, người dùng, máy tính, thiết bị mạng dịch vụ sở hữu nhiều chứng Extension định nghĩa dịch vụ bảo mật mà chứng cung cấp như: • Digital Signature: khóa cơng khai dùng để kiểm tra chữ ký Khóa sử dụng để xác thực máy khách xác minh nguồn gốc liệu • Non-Repudiation: khóa cơng khai dùng để xác minh nhận dạng người ký, ngăn chặn người ký từ chối họ không ký lên thơng điệp đối tượng • Key Encipherment: khóa cơng khai dùng để trao đổi khóa, vú dụ đối xứng (hoặc khóa phiên) Giá trị dùng khóa RSA dùng cho việc quản lý khóa • Data Encipherment: khóa cơng khai dùng để mã hóa liệu cách trực tiếp thay phải trao đổi khóa đối xứng (hay khóa phiên) để mã hóa liệu • Key Agreement: khóa cơng khai dùng để trao đổi khóa, ví dự khóa đối xứng Giá trị dùng khóa Diffie-Hellman dùng cho việc quản lý khóa • Key Cert Sign: khóa cơng khai dùng để kiểm tra chữ ký chứng số • CRL Sign: khóa cơng khai dùng để kiểm tra chữ ký CRL (danh sách chứa chứng bị thu hồi) • Encipher Only: giá trị dùng kết hợp với extension Key Agreement Key Usage Kết khóa đối xứng dùng để mã hóa liệu • Decipher Only: giá trị dùng kết hợp với extension Key Agreement Key Usage Kết khóa đối xứng dùng để mã hóa liệu Private Key Usage Period: extension cho phép khóa bí mật có khoảng thời gian hiệu lực khác so với khoảng thời gian hiệu lực chứng Giá trị đặt Nhóm 10 Bài tập An ninh mạng Chương 2: Chứng thư X.509 ngắn so với khoảng thời gian hiệu lực chứng Điều giúp khóa bí mật dùng để ký lên tài liệu khoảng thời gian ngắn (ví dụ, năm) khóa cơng khai dùng để xác minh chữ ký khoảng thời gian hiệu lực chứng năm Certificate Policies: extension mô tả sách thủ tục dùng để xác minh chủ thể chứng trước chứng cấp phát Các sách chứng đại diện OID Ngồi ra, sách chứng bao gồm đường dẫn (URL) tới trang web mơ tả nội dung sách thủ tục Policy Mappings: extension cho phép chuyển dịch thông tin sách hai tổ chức Ví dụ, thử tưởng tượng tổ chức định nghĩa sách chứng có tên Management Signing mà chứng dùng để ký lên lượng lớn đơn đặt hàng Một tổ chức khác có sách chứng tên Large Orders mà dùng để ký lên lượng lớn đơn đặt hàng Khi đó, Policy Mapping cho phép hai sách chứng đánh giá ngang Subject Alternative Name: extension cung cấp danh sách tên thay cho chủ thể chứng Trong định dạng cho Subject Name thường tuân theo chuẩn X.500 Subject Alternative Name cho phép thể theo dạng khác User Principal Name (UPN), địa email, địa IP tên miền (DNS) Issuer Alternative Name: extension cung cấp danh sách tên thay cho CA Mặc dù thường khơng áp dụng extension chứa địa email CA Subject Dir Attribute: extension bao gồm thuộc tính từ danh mục LDAP X.500 tổ chức, ví dụ, thuộc tính country Extension chứa nhiều thuộc tinh với thuộc tính phải gồm OID giá trị tương ứng Basic Constraints: extension cho biết chứng có phải CA hay chủ thể người dùng, máy tính, thiết bị, dịch vụ Ngồi ra, extension cịn bao gồm buộc độ dài đường dẫn mà giới hạn số lượng CA thứ cấp (subordinate CA) tồn bên CA mà cấp phát chứng Name Constraints: extension cho phép tổ chức định không gian tên (namespace) phép không phép sử dụng chứng Policy Constraints: extension có chứng CA Nó ngăn cấm Policy Mapping CA yêu cầu chứng chuỗi chứng phải bao gồm OID sách chứng Enhanced Key Usage: extension cho biết khóa cơng khai chứng sử dụng Những khơng có extension Key Usage Ví dụ, Client Authentication (có OID 1.3.6.1.5.5.7.3.2), Server Authentication (có OID Chương 2: Chứng thư X.509 Bài tập An ninh mạng 1.3.6.1.5.5.7.3.1), Secure E-mail (có OID 1.3.6.1.5.5.7.3.4) Khi ứng dụng nhận chứng chỉ, yêu cầu có mặt OID OID kể CRL Distribution Points: extension chứa nhiều URL dẫn tới tập tin chứa danh sách chứng bị thu hồi (CRL) phát hành CA Nếu việc kiểm tra trạng thái thu hồi chứng cho phép ứng dụng sử dụng URL để tải phiên cập nhật CRL Các URL sử dụng giao thức HTTP, LDAP, FTP, File Authority Information Access: extension chứa nhiều URL dẫn tới chứng CA Một ứng dụng sử dụng URL để tải chứng CA xây dựng chuỗi chứng khơng có sẵn nhớ đệm ứng dụng Freshest CRL: extension chứa nhiều URL dẫn tới delta CRL CA phát hành Delta CRL chứa chứng bị thu hồi kể từ lần cuối base CRl phát hành Nếu việc kiểm tra trạng thái thu hồi chứng cho phép ứng dụng sử dụng URL để tải phiên cập nhật delta CRL Các URL sử dụng giao thức HTTP, LDAP, FTP, File Subject Information Access: extension chứa thông tin cho biết cách thức để truy cập tới các chi tiết khác chủ thể chứng Nếu chứng CA thơng tin bao gồm chi tiết dịch vụ xác minh chứng hay sách CA Nếu chứng cấp cho người dùng, máy tính, thiết bị mạng, dịch vụ extension chứa thơng tin dịch vụ chủ thể cung cấp cách thức để truy cập tới dịch vụ Ngoài việc giới thiệu thêm extension nêu thường Version chứng X.509 version có giá trị biết phiên chứng 2.3 Vòng đời chứng thư X.509 Hình 2.4: Vịng đời chứng thư X.509 Nhóm 10 10 Chương 2: Chứng thư X.509 Bài tập An ninh mạng Trước phát hành chứng thư, cặp khóa bí mật/ cơng khai phát sinh Trong chứng thư có hiệu lực sử dụng, chứng thư hết hạn khóa bí mật người sử dụng bị tổn thương (bị lộ khóa) Trong trường hợp chứng thư hết hạn, cặp khóa khơng cịn hiệu lực người sử dụng yêu cầu gia hạn chứng thư cho họ Trong trường hợp khóa bí mật bị tổn thương, chứng thư thu hồi để phát hành chứng thư cho cặp khóa khác 2.4 Thu hồi chứng thư Hình2.5: Thu hồi chứng thư CA ký chứng thư số gắn kết khóa cơng khai với nhận dạng người dùng Tuy nhiên, số trường hợp chứng thư số có khóa bị xâm hại, người sở hữu chứng thư số thay đổi nơi làm việc, địa điểm, người sở hữu khơng tn thủ u cầu, sách bên cấp chứng thư số,…thì chứng thư số cấp khơng cịn tin cậy Do cần phải có chế cho phép người sử dụng chứng thư số kiểm tra trạng thái thu hồi chứng thư số Cơ chế cảnh báo PKI gọi thu hồi chứng thư số (Certificate Revocation) Chứng thư số phục hồi bị thu hồi Chứng thư số X.509 cho phép kiểm tra chứng thư số trường hợp sau: • Chứng thư số khơng bị thu hồi; • Chứng thư số bị CA cấp thu hồi; Nhóm 10 11 Chương 2: Chứng thư X.509 Bài tập An ninh mạng • Chứng thư số tổ chức có thẩm quyền mà CA ủy thác có trách nhiệm thu hồi chứng thư số Hình 2.6: Khn dạng thu hồi chứng thư X.509 v3 Danh sách thu hồi chứng thư: Danh sách thu hồi chứng thư số (CRL -Certificate Revocation Lists) danh sách chứng thư số (hoặc cụ thể danh sách số thứ tự nối tiếp cho chứng thư số) bị thu hồi Khi đó, chứng thư số khơng cịn tin cậy Một CRL sinh xuất định kỳ, thường khoảng thời gian định Một CRL cơng bố sau có chứng thư số bị thu hồi CRL ln cấp CA nơi cấp chứng thư số tương ứng Tất CRL có vịng đời mà có hiệu lực, khoảng thời gian thường 24h Để ngăn chặn giả mạo công từ chối dịch vụ, CRL thường mang theo chữ ký kỹ thuật gắn liền với CA công bố 2.5 Huỷ bỏ tạo lại chứng thư Tạo lại chứng thư Đối tác muốn tạo lại chứng thư nhiều lý do: giấy chứng thư hết hạn, thêm thông tin vào chứng thư, xác nhận lại khóa cơng khai có, xác Nhóm 10 12 Bài tập An ninh mạng Chương 2: Chứng thư X.509 nhận khóa Khi tổ chức CA đáp ứng yêu cầu tạo lại này, phát hành cho đối tác giấy chứng thư xuất giấy chứng thư vào kho lưu trữ Khi CA nhận yêu cầu chứng thư, phải xác minh tồn đối tác Nhưng đối tác gửi yêu cầu tạo lại, họ bao gồm giấy chứng thư có chữ ký sử dụng khóa bí mật tương ứng với chứng thư Điều xem tồn chứng thư đối tác Do đó, việc tạo lại chứng nhận dễ cho CA đáp ứng Huỷ bỏ chứng thư Tất chứng thư có thời hạn sử dụng chúng cuối bị hết hạn Tuy nhiên, cần phải hủy bỏ chứng thư trước bị hết hạn Lý chung để hủy chứng thư nhận diện xác nhận CA thay đổi Nhóm 10 13 Bài tập An ninh mạng Chương 3: Ưu điểm ứng dụng chứng thư CHƯƠNG 3: ƯU ĐIỂM VÀ ỨNG DỤNG CỦA CHỨNG THƯ 3.1 Ưu điểm chứng thư Mã hóa: người mã hóa thơng tin mã cơng khai bạn chắn có bạn giải mã thơng tin để đọc Chống giả: Chứng số làm giả nên việc trao đổi thơng tin có kèm chứng số ln đảm bảo an tồn Xác thực: gửi thơng tin kèm chứng số, người nhận đối tác kinh doanh, tổ chức quan quyền… xác thực danh tính bạn Chống chỗi cãi nguồn gốc: sử dụng chứng số, bạn phải chịu trách nhiệm hoàn toàn thơng tin mà chứng số kèm Chữ kí điện tử: với chứng số cá nhân, bạn tạo thêm chữ kí điện tử email chứng xác thực Bảo mật website: sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thơng tin trao đổi bạn khách hàng bị lộ Đảm bảo phần mềm: chứng số “những tem chống hàng giả” cho phần mềm thông qua chứng số bạn đảm bảo tính hợp pháp ngồn gốc xuất sử sản phẩm 3.2 Ứng dụng chứng thư X.509 Chứng thư số chứng minh thư doanh nghiệp Chứng thư số xác minh danh tính người sử dụng chữ ký số đăng nhập vào hệ thống Khơng vậy, cịn hỗ trợ ký số loại văn bản, tài liệu, hợp đồng, hóa đơn, … file doc, pdf tệp tài liệu; mã hóa thơng tin để đảm bảo bí mật người gửi người nhận thông qua mạng internet Ngồi ra, chứng thư số cịn thực kênh liên lạc trao đổi thơng tin bí mật với thực thể khác mạng, ví dụ thực kênh liên lạc bí mật người dùng với webserver Hiện nay, chứng thư số ngày triển khai rộng rãi quan nhà nước nhằm nâng cao hiệu lực văn điện tử, hiệu xử lý cơng việc, tiết kiệm thời gian, chi phí, đảm bảo an tồn bảo mật thơng tin trao đổi văn điện tử Một số ứng dụng cụ thể chứng thư X.509: TLS / SSL HTTPS sử dụng cấu hình RFC 5280 X.509, S / MIME (Tiện ích mở rộng thư Internet đa an toàn) phương pháp EAP-TLS để xác thực WiFi Bất kỳ giao thức sử dụng TLS, chẳng hạn SMTP, POP, IMAP, LDAP, XMPP nhiều giao thức khác, vốn sử dụng X.509 IPSec sử dụng cấu hình RFC 4945 để xác thực đồng nghiệp Đặc tả bảo mật OpenCable xác định cấu hình riêng cho X.509 để sử dụng ngành cáp Nhóm 10 14 Bài tập An ninh mạng Chương 3: Ưu điểm ứng dụng chứng thư Các thiết bị thẻ thông minh TPM (Trusted Platform Module) thường mang theo chứng để nhận dạng họ chủ sở hữu họ Các chứng dạng X.509 Tiêu chuẩn WS-Security xác định xác thực thông qua TLS thông qua hồ sơ chứng Cả hai phương pháp sử dụng X.509 Hệ thống ký mã Microsoft Authenticode sử dụng X.509 để xác định tác giả chương trình máy tính Tiêu chuẩn truyền thơng tự động hóa cơng nghiệp OPC UA (OPC Unified Architecture) sử dụng X.509 SSH thường sử dụng mơ hình bảo mật Trust On First Use không cần chứng Tuy nhiên, việc triển khai OpenSSH phổ biến khơng hỗ trợ mơ hình nhận dạng có chữ ký CA dựa định dạng chứng khơng phải X.509 Nhóm 10 15 Bài tập An ninh mạng TỔNG KẾT Chứng thư X.509 giúp cho giao dịch điện tử diễn cách an tồn, đảm bảo tính bảo mật, tồn vẹn xác thực TÀI LIỆU THAM KHẢO [1] Bài giảng An ninh mạng viễn thơng, 143-147, 2016 [2]https://cer.vn/news/kien-thuc/cac-phien-ban-cua-chung-chi-so-x-509/11/4/2021 Nhóm 10 16 ... thiệu thêm extension nêu thư? ??ng Version chứng X. 509 version có giá trị biết phiên chứng 2.3 Vòng đời chứng thư X. 509 Hình 2.4: Vịng đời chứng thư X. 509 Nhóm 10 10 Chương 2: Chứng thư X. 509 Bài tập... chữ ký số sở cấp chứng Chi tiết trường khuôn dạng chứng thư X. 509 rõ phiên chứng thư X. 509 2.2 Các phiên chứng thư X 509 2.2.1 X. 509 version1 Được định nghĩa vào năm 1988, X. 509 version khơng... quan chứng thư số Tìm kiếm, chọn lọc tài liệu, làm slide Tổng quan chứng thư X. 509 Tìm kiếm, chọn lọc tài liệu X. 509 version 1,2 X5 09 version Vòng đời chứng thư X. 509 Thu Hồi chứng thư Ứng dụng chứng