HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO Đề tài Nghiên cứu về hạ tầng khóa công khai, chứng chỉ số, chữ ký số Giảng viên hướng dẫn TS Đinh Trường Duy Thành viên nhóm Ng[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO Đề tài: Nghiên cứu hạ tầng khóa cơng khai, chứng số, chữ ký số Giảng viên hướng dẫn: TS Đinh Trường Duy Thành viên nhóm : - Nguyễn Ngọc Bách -B17DCAT019 Nguyễn Tuấn Thành -B17DCAT168 Vũ Ngọc Hiển -B17DCAT067 Đỗ Mạnh Hùng -B17DCAT087 Nguyễn Hải Linh-B16DCAT093 HÀ Nội, tháng 11/2021 MỤC LỤC I CƠ SỞ BẢO MẬT Mật mã khố bí mật 1.1 Giới thiệu mật mã khố bí mật khái niệm 1.2 Một vài thuật toán sử dụng mật mã khoá đối xứng Mật mã khố cơng khai 2.1 Khái niệm 2.2 Các thuật toán sử dụng mật mã khố cơng khai Chữ ký số 3.1 Quá trình ký 3.2 Quá trình kiểm tra chữ ký số 10 3.1 Mơ hình tạo chữ ký số kiểm tra chữ ký số RSA 11 3.2 Mơ hình tạo chữ ký số kiểm tra chữ ký số DSA 12 Chứng số 14 Hàm hash 14 5.1 Khái niệm hàm hash 14 5.2 Chuỗi băm 14 II.TỔNG QUAN VỀ PKI VÀ CA 15 Lịch sử phát triển PKI 15 Các định nghĩa PKI khái niệm 16 2.1 Các định nghĩa PKI 16 2.2 Các khái niệm liên quan PKI 17 Mục tiêu, chức 22 3.1 Xác thực 22 3.2 Bí mật 23 3.3 Toàn vẹn liệu 23 3.4 Chống chối bỏ 24 Các khía cạnh an toàn cư mà PKI cung cấp 24 4.1 Đăng nhập an toàn 24 4.2 Đăng nhập lần an toàn 25 4.3 Trong suốt với người dùng cuối 26 An ninh toàn diện 26 III CÁC THÀNH PHẦN, CƠ CHẾ HOẠT ĐỘNG CỦA PKI CÁC MƠ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA PKI 27 Mơ hình KI thành phần PKI 27 1.1 CA 27 1.2 RA 27 1.3 Certificate-Enabled Client 28 1.4 Kho lưu trữ/thu hồi chứng 28 1.5 Đường dẫn chứng hoạt động 29 Hoạt động PKI 29 2.1 Khởi tạo thực thể cuối 30 2.2 Tạo cặp khố cơng khai/khố riêng 30 2.3 Áp dụng chữ ký số để định danh người gửi 31 2.4 Mã hóa thơng báo 31 2.5 Truyền khóa đối xứng 31 2.6 Kiểm tra danh tính người gửi thơng qua CA 32 Các tiến trình PKI 33 3.1 Yêu cầu chứng 33 3.2 Huỷ bỏ chứng 34 Các mơ hình PKI .34 4.1 Mô hình phân cấp CA chặt chẽ (strict hierarchy of CAs) 34 4.2 Mơ hình phân cấp CA không chặt chẽ (loose hierarchy of CAs) 35 4.3 Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) 36 4.4 Mơ hình bên (four-comer model) 37 4.5 Mô hình Web (web model) 37 4.6 Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust) 38 Các kiểu kiến trúc PKI 40 5.1 Kiến trúc kiểu Web of Trust 40 5.2 Kiến trúc kiểu CA đơn (Single CA) 40 5.3 Kiến trúc CA phân cấp 41 5.4 Kiến trúc kiểu chứng thực chéo (Cross-certificate) 41 5.5 Kiến trúc Bridge CA(BCA) .42 DANH MỤC HÌNH ẢNH Hình 1: Qúa trình kí 10 Hình 2: Qúa trình kiểm tra kí số .10 Hình : Mơ hình tạo chữ kí kiểm tra chữ kí RSA 11 Hình 4: Mơ hình tạo chữ kí kiểm tra chữ kí DSA 12 Hình 5: Tiến trình đăng nhập an toàn .25 Hình 6: Đăng nhập lần an toàn 25 Hình 7: Chuỗi chữ kí 29 Hình 8: Mơ hình phân cấp CA chặt chẽ 35 Hình 9: Mơ hình kiến trúc tin cậy phân tán 36 Hình 10: Mơ hình bốn bên 37 Hình 11: Mơ hình Web 38 Hình 12: Mơ hình tin cậy người dùng làm trung tâm 39 Hình 13: Mơ hình Bridge CA 42 DANH MỤC HÌNH ẢNH Chữ viết tắt Tên đầy đủ Ý nghĩa Một phương pháp mật mã hóa FIPS chọn làm DES Data Encryption Standard chuẩn thức vào năm 1976 IDEA AES RSA International Data Encryption Algorithm Advanced Encryption Standard khối liệu 128 bit Phát triển Ron Rivest, Adi Shamir Leonard Là hệ mã hóa bất đối xứng, sử dụng rộng rãi CA PKI Public key infrastructure SSL/TLS Secure Sockets Layer/Transport Layer Security Virtual Private Network Simple Public Key Certificate Pretty Good Privacy PGP AC ITU CRCs LDAP bit AES thuật toán mã ho khối AES làm việc với Adleman (tên tên viết tắt tác giả này) Certificate Authority VPN SPKC Một thuật toán mã hoá khối, thao thác khối 64 Attribute Certificate International Telecommunication Union Cyclic Redundancy Codes Lightweight Directory Access Protocol Nhà cung cấp chứng thực số Hạ tầng khóa cơng khai Chuẩn bảo mật mạng Internet Mạng riêng ảo Chứng khố cơng khai đơn giản Chứng Pretty Good Privacy Chứng thuộc tính Liên hiệp Viễn thơng Quốc tế mã kiểm dịch vịng giao thức ứng dụng truy cập cấu trúc thư mục I CƠ SỞ BẢO MẬT Mật mã hố sử dụng lâu đời Các hình thức mật mã sở khai tìm thấy từ khoảng bốn nghìn năm trước văn Ai Cập cổ đại Đây thành phần có vai trị quan trọng, trái tim mạng tin cậy Nó giúp đảm bảo bảo mật tồn vẹn cho thơng điệp, nhận dạng xác thực đối tượng tham gia vào phiên truyền thơng Để truyền tin sử dụng mật mã hai bên truyền tin phải có khố, khố mã hố mẫu thơng tin đặc biệt kết hợp với thuật toán để thi hành mã hố giải mã Mỗi khố khác tạo văn mã hoá khác ta khơng chọn khố khơng thể mở liệu mã hoá Sử dụng khoá phức tạp, mã hoá mạnh Việc chuyển đổi từ tin ban đầu thành tin mã hoá gọi mã hoá, chuyển đổi ngược lại từ tin mã hoá thành tin ban đầu gọi giải mã Bản tin ban đàu gọi rõ, tin ban đàu mã hố trở thành mã Tồn chế bí mật gọi mật mã Dựa theo phân loại khoá, mật mã phân làm loại chính: mã hóa đối xứng mã hóa bất đối xứng Mã hóa đối xứng thường gọi mật mã khóa bí mật hai bên sử dụng khóa để mã hóa giải mã thơng tin Các thuật tốn mã hóa đối xứng phổ biến 3DES, AES, RC5 Nhược điểm mã hố đối xứng nằm việc khơng có đảm bảo người gửi người nhận trao đổi khoá bí mật cách an tồn Mã hóa bất đối xứng cịn gọi mật mã khóa cơng khai cần sử dụng cặp khóa để mã hóa giải mã Nếu mã hóa khóa thứ (gọi khóa cơng khai) giải mã khóa thứ hai (gọi khóa bí mật) ngược lại DSA, RSA, Diffie-Hellman ví dụ thuật tốn mã hóa bất đối xứng tiếng Nhược điểm mã hoá bất đối xứng nằm việc khó xác thực khố cơng khai trường hợp bị công MITM Để khắc phục nhược điểm loại mã hoá trên, ta sử dụng kết hợp loại mã hố mà ví dụ điển hình q trình xác thực SSL Khi kết hợp phương pháp mã hoá mã hố đối xứng dùng để trao đổi thơng tin cịn mã hố bất đối xứng dung để trao đổi khoá Mật mã khoá bí mật 1.1 Giới thiệu mật mã khố bí mật khái niệm Trong mật mã đối xứng bên tham gia liên lạc sử dụng khóa để mã hóa giải mã Trước truyền tin, hai thực thể A B thỏa thuận với khóa dùng chung (K) Thực thể A dùng khóa để mã hóa tin (e K) sau gửi cho thực thể B Thực thể B dùng khóa K, thực phép giải mã (d K) để giải mã mã nhận hóa bí mật phải bí mật 1.2 a) Một vài thuật toán sử dụng mật mã khoá đối xứng DES Hệ mật DES xây dựng Mỹ năm 70 theo yêu cầu Vãn phòng Quốc Gia chuẩn thẩm định an ninh quốc gia DES kết hợp hai phương pháp thay chuyển dịch DES mật mã khối Độ dài khối 64 bit Khoá dùng DES có độ dài tổng thể 64 bit, nhiên có 56 bit thực dùng, bit lại dùng cho việc kiểm tra DES thuật toán mật mã sử dụng rộng rãi b) IDEA IDEA thuật toán mã hoá khối IDEA thao thác khối 64 bit, mã khối 64bit plaintext thành khối 64bit ciphertext Độ dài khoá khoá dùng thuật toán IDEA 128 bit c) Triple DES 3DES (Triple DES), thuật toán mã hóa khối khối thơng tin 64 bit mã hóa thuật tốn mã hóa DES với khố khác Do đó, chiều dài khóa mã lớn độ an toàn cao so với DES 3DES dùng khóa khác để mã hóa liệu Bộ xử lý thực bước sau: - Khóa dùng để mã hóa liệu - Khóa thứ hai dùng để giải mã liệu vừa mã hóa - Khóa thứ ba mã hóa lần thứ hai Tồn q trình xử lý 3DES tạo thành thuật giải có độ an tồn cao Nhưng thuật giải phức tạp nên thời gian thực lâu hơn, gấp lần so với phương pháp DES d) AES AES thuật toán mã ho khối AES làm việc với khối liệu 128 bít khóa có độ dài 128, 192 256 bít Mật mã khố cơng khai 2.1 Khái niệm Mật mã khóa công khai dạng mật mã chỡ phép người sử dụng trao đổi thông tin mật mà không cần phải trao đổi khóa bí mật trước Trong mật mã khóa cơng khai sử dụng cặp khóa khóa cơng kh/khóa riêng Khóa cơng khai dùng để mã hóa cịn khóa riêng dùng để giải mã Điều quan trọng hệ thống tìm khóa bí mật biết khóa cơng khai 2.2 a) Các thuật toán sử dụng mật mã khố cơng khai RSA Thuật tốn RSA Ron Rivest, Adi Shamur Len Adleman mô tả lần vào năm 1977 Học viện Công nghệ Massachusetts (MIT) RSA thuật tốn mã hóa khóa cơng khai Thuật toán phù hợp vớỉ việc tạo chữ ký điện tử đồng thời với việc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa công khaỉ RSA sừ dụng phổ biến thương mại điện tử cho đảm bảo an tồn với điều kiện độ dài khóa đủ lớn Độ an toàn hệ thống RSA dựa vấn đề tốn học: tốn phân tích thừa số nguyên tố số nguyên lớn tốn RSA RSA có tốc độ thực chậm đáng kể so với DES thuật toán mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật tốn mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với vãn bản) b) Phương thức trao đổi Diffie Heilman Phương thức phát minh Whitfield Diffie Matty Heilman Standford Đây sơ đồ khố cơng khai Tuy nhiên, khơng phải sơ đồ mã hố khố cơng khai thực sự, mà dùng cho trao đổi khóa Các khố bí mật trao đổi cách sử dụng trạm trưng gian riêng tin cậy Phương pháp cho phép khố bí mật truyền an tồn thơng qua mơi trường khơng bảo mật Trao đổi khố Diffie-Hemall dựa tính hiệu tốn logarit rời rạc Tính bảo mật trao đổi khố Diffie-Hellman nằm chỗ: tính hàm mũ modulo số nguyên tố dễ dàng tính logarit rời rạc khó Chữ ký số Chữ ký số (Digital Signature) chuỗi liệu liên kết với thông điệp thực thể tạo thông điệp ký Chữ ký số tạo sử dụng kết hợp hàm băm mật mã khóa cơng khai để đảm bảo tính tồn vẹn, giúp xác thực nguồn gốc thông điệp đồng thời bên gửi chối từ việc tạo thơng điệp Chữ ký số giá trị băm thông điệp mã hóa khóa bí mật bên gửi đính kèm với thơng điệp gốc Bên nhận dùng khóa cơng khai bên gửi để giải mã phần chữ ký giá trị băm thơng điệp đối chiếu với giá trị mà thu từ việc thực lại hàm băm thơng điệp gốc Nếu hai giá trị giống bên nhận tin cậy thơng điệp khơng bị thay đổi gửi từ bên sở hữu khóa cơng khai 3.1 Q trình ký Đầu tiên, liệu tính tốn hàm băm chiều, hàm có đầu chuỗi băm Hàm băm chiều đảm bảo chuỗi băm thay đổi nhỏ từ liệu đầu vào gây thay đổi cho chuỗi băm Sau người dung dung khố riêng mã hố chuỗi băm tạo thành chữ ký số Chữ ký số đính kèm với liệu ban đầu tạo thành liệu ký