HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO Đề tài: Nghiên cứu hạ tầng khóa cơng khai, chứng số, chữ ký số Giảng viên hướng dẫn: TS Đinh Trường Duy Thành viên nhóm : - Nguyễn Ngọc Bách -B17DCAT019 - Nguyễn Tuấn Thành -B17DCAT168 - Vũ Ngọc Hiển -B17DCAT067 - Đỗ Mạnh Hùng -B17DCAT087 - Nguyễn Hải Linh-B16DCAT093 HÀ Nội, tháng 11/2021 h MỤC LỤC I CƠ SỞ BẢO MẬT Mật mã khố bí mật 1.1 Giới thiệu mật mã khố bí mật khái niệm 1.2 Một vài thuật toán sử dụng mật mã khoá đối xứng Mật mã khố cơng khai 2.1 Khái niệm 2.2 Các thuật toán sử dụng mật mã khố cơng khai Chữ ký số 3.1 Quá trình ký 3.2 Quá trình kiểm tra chữ ký số 10 3.1 Mơ hình tạo chữ ký số kiểm tra chữ ký số RSA 11 3.2 Mơ hình tạo chữ ký số kiểm tra chữ ký số DSA 12 Chứng số 14 Hàm hash 14 II 5.1 Khái niệm hàm hash 14 5.2 Chuỗi băm 14 TỔNG QUAN VỀ PKI VÀ CA 15 Lịch sử phát triển PKI 15 Các định nghĩa PKI khái niệm 16 2.1 Các định nghĩa PKI 16 2.2 Các khái niệm liên quan PKI 17 Mục tiêu, chức 22 3.1 Xác thực 22 3.2 Bí mật 23 3.3 Toàn vẹn liệu 23 3.4 Chống chối bỏ 24 Các khía cạnh an tồn cư mà PKI cung cấp 24 4.1 Đăng nhập an toàn 24 4.2 Đăng nhập lần an toàn 25 4.3 Trong suốt với người dùng cuối 26 An ninh toàn diện 26 III CÁC THÀNH PHẦN, CƠ CHẾ HOẠT ĐỘNG CỦA PKI CÁC MƠ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA PKI 27 h Mô hình KI thành phần PKI 27 1.1 CA 27 1.2 RA 27 1.3 Certificate-Enabled Client 28 1.4 Kho lưu trữ/thu hồi chứng 28 1.5 Đường dẫn chứng hoạt động 29 Hoạt động PKI 29 2.1 Khởi tạo thực thể cuối 30 2.2 Tạo cặp khố cơng khai/khoá riêng 30 2.3 Áp dụng chữ ký số để định danh người gửi 31 2.4 Mã hóa thơng báo 31 2.5 Truyền khóa đối xứng 31 2.6 Kiểm tra danh tính người gửi thơng qua CA 32 Các tiến trình PKI 33 3.1 Yêu cầu chứng 33 3.2 Huỷ bỏ chứng 34 Các mơ hình PKI 34 4.1 Mơ hình phân cấp CA chặt chẽ (strict hierarchy of CAs) 34 4.2 Mơ hình phân cấp CA khơng chặt chẽ (loose hierarchy of CAs) 35 4.3 Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) 36 4.4 Mô hình bên (four-comer model) 37 4.5 Mơ hình Web (web model) 37 4.6 Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust) 38 Các kiểu kiến trúc PKI 40 5.1 Kiến trúc kiểu Web of Trust 40 5.2 Kiến trúc kiểu CA đơn (Single CA) 40 5.3 Kiến trúc CA phân cấp 41 5.4 Kiến trúc kiểu chứng thực chéo (Cross-certificate) 41 5.5 Kiến trúc Bridge CA(BCA) 42 h DANH MỤC HÌNH ẢNH Hình 1: Qúa trình kí 10 Hình 2: Qúa trình kiểm tra kí số 10 Hình : Mơ hình tạo chữ kí kiểm tra chữ kí RSA 11 Hình 4: Mơ hình tạo chữ kí kiểm tra chữ kí DSA 12 Hình 5: Tiến trình đăng nhập an tồn 25 Hình 6: Đăng nhập lần an tồn 25 Hình 7: Chuỗi chữ kí 29 Hình 8: Mơ hình phân cấp CA chặt chẽ 35 Hình 9: Mơ hình kiến trúc tin cậy phân tán 36 Hình 10: Mơ hình bốn bên 37 Hình 11: Mơ hình Web 38 Hình 12: Mơ hình tin cậy người dùng làm trung tâm 39 Hình 13: Mơ hình Bridge CA 42 DANH MỤC HÌNH ẢNH h Chữ viết tắt Tên đầy đủ DES Data Encryption Standard IDEA AES Ý nghĩa Một phương pháp mật mã hóa FIPS chọn làm chuẩn thức vào năm 1976 International Data Encryption Algorithm Một thuật toán mã hoá khối, thao thác khối 64 bit Advanced Encryption Standard AES thuật toán mã ho khối AES làm việc với khối liệu 128 bit Là hệ mã hóa bất đối xứng, sử dụng rộng rãi CA Phát triển Ron Rivest, Adi Shamir Leonard Adleman (tên tên viết tắt tác giả này) Certificate Authority PKI Public key infrastructure Hạ tầng khóa cơng khai SSL/TLS Secure Sockets Layer/Transport Layer Security Virtual Private Network Simple Public Key Certificate Pretty Good Privacy Chuẩn bảo mật mạng Internet RSA VPN SPKC PGP AC ITU CRCs LDAP Attribute Certificate International Telecommunication Union Cyclic Redundancy Codes Lightweight Directory Access Protocol h Nhà cung cấp chứng thực số Mạng riêng ảo Chứng khố cơng khai đơn giản Chứng Pretty Good Privacy Chứng thuộc tính Liên hiệp Viễn thơng Quốc tế mã kiểm dịch vòng giao thức ứng dụng truy cập cấu trúc thư mục I CƠ SỞ BẢO MẬT Mật mã hoá sử dụng lâu đời Các hình thức mật mã sở khai tìm thấy từ khoảng bốn nghìn năm trước văn Ai Cập cổ đại Đây thành phần có vai trị quan trọng, trái tim mạng tin cậy Nó giúp đảm bảo bảo mật tồn vẹn cho thơng điệp, nhận dạng xác thực đối tượng tham gia vào phiên truyền thơng Để truyền tin sử dụng mật mã hai bên truyền tin phải có khố, khố mã hố mẫu thơng tin đặc biệt kết hợp với thuật toán để thi hành mã hoá giải mã Mỗi khoá khác tạo văn mã hố khác ta khơng chọn khố khơng thể mở liệu mã hố Sử dụng khoá phức tạp, mã hoá mạnh Việc chuyển đổi từ tin ban đầu thành tin mã hoá gọi mã hoá, chuyển đổi ngược lại từ tin mã hoá thành tin ban đầu gọi giải mã Bản tin ban đàu gọi rõ, tin ban đàu mã hoá trở thành mã Tồn chế bí mật gọi mật mã Dựa theo phân loại khoá, mật mã phân làm loại chính: mã hóa đối xứng mã hóa bất đối xứng - - Mã hóa đối xứng thường gọi mật mã khóa bí mật hai bên sử dụng khóa để mã hóa giải mã thơng tin Các thuật tốn mã hóa đối xứng phổ biến 3DES, AES, RC5 Nhược điểm mã hoá đối xứng nằm việc khơng có đảm bảo người gửi người nhận trao đổi khố bí mật cách an tồn Mã hóa bất đối xứng cịn gọi mật mã khóa cơng khai cần sử dụng cặp khóa để mã hóa giải mã Nếu mã hóa khóa thứ (gọi khóa cơng khai) giải mã khóa thứ hai (gọi khóa bí mật) ngược lại DSA, RSA, Diffie-Hellman ví dụ thuật tốn mã hóa bất đối xứng tiếng Nhược điểm mã hoá bất đối xứng nằm việc khó xác thực khố công khai trường hợp bị công MITM Để khắc phục nhược điểm loại mã hoá trên, ta sử dụng kết hợp loại mã hố mà ví dụ điển hình trình xác thực SSL Khi kết hợp phương pháp mã hố mã hố đối xứng dùng để trao đổi thơng tin cịn mã hố bất đối xứng dung để trao đổi khoá h Mật mã khố bí mật 1.1 Giới thiệu mật mã khố bí mật khái niệm Trong mật mã đối xứng bên tham gia liên lạc sử dụng khóa để mã hóa giải mã Trước truyền tin, hai thực thể A B thỏa thuận với khóa dùng chung (K) Thực thể A dùng khóa để mã hóa tin (eK) sau gửi cho thực thể B Thực thể B dùng khóa K, thực phép giải mã (dK) để giải mã mã nhận hóa bí mật phải bí mật 1.2 Một vài thuật toán sử dụng mật mã khoá đối xứng a) DES Hệ mật DES xây dựng Mỹ năm 70 theo yêu cầu Vãn phòng Quốc Gia chuẩn thẩm định an ninh quốc gia DES kết hợp hai phương pháp thay chuyển dịch DES mật mã khối Độ dài khối 64 bit Khố dùng DES có độ dài tổng thể 64 bit, nhiên có 56 bit thực dùng, bit lại dùng cho việc kiểm tra DES thuật toán mật mã sử dụng rộng rãi b) IDEA IDEA thuật toán mã hoá khối IDEA thao thác khối 64 bit, mã khối 64bit plaintext thành khối 64bit ciphertext Độ dài khoá khoá dùng thuật toán IDEA 128 bit c) Triple DES 3DES (Triple DES), thuật tốn mã hóa khối khối thơng tin 64 bit mã hóa thuật tốn mã hóa DES với khố khác Do đó, chiều dài khóa mã lớn độ an toàn cao so với DES 3DES dùng khóa khác để mã hóa liệu Bộ xử lý thực bước sau: - Khóa dùng để mã hóa liệu - Khóa thứ hai dùng để giải mã liệu vừa mã hóa - Khóa thứ ba mã hóa lần thứ hai Tồn q trình xử lý 3DES tạo thành thuật giải có độ an tồn cao Nhưng thuật giải phức tạp nên thời gian thực lâu hơn, gấp lần so với phương pháp DES h d) AES AES thuật toán mã ho khối AES làm việc với khối liệu 128 bít khóa có độ dài 128, 192 256 bít Mật mã khố cơng khai 2.1 Khái niệm Mật mã khóa cơng khai dạng mật mã chỡ phép người sử dụng trao đổi thông tin mật mà không cần phải trao đổi khóa bí mật trước Trong mật mã khóa cơng khai sử dụng cặp khóa khóa cơng kh/khóa riêng Khóa cơng khai dùng để mã hóa cịn khóa riêng dùng để giải mã Điều quan trọng hệ thống khơng thể tìm khóa bí mật biết khóa cơng khai 2.2 Các thuật tốn sử dụng mật mã khố cơng khai a) RSA Thuật toán RSA Ron Rivest, Adi Shamur Len Adleman mô tả lần vào năm 1977 Học viện Công nghệ Massachusetts (MIT) RSA thuật tốn mã hóa khóa cơng khai Thuật tốn phù hợp vớỉ việc tạo chữ ký điện tử đồng thời với việc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa cơng khaỉ RSA sừ dụng phổ biến thương mại điện tử cho đảm bảo an toàn với điều kiện độ dài khóa đủ lớn Độ an tồn hệ thống RSA dựa vấn đề toán học: tốn phân tích thừa số ngun tố số ngun lớn tốn RSA RSA có tốc độ thực chậm đáng kể so với DES thuật tốn mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật toán mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với vãn bản) b) Phương thức trao đổi Diffie Heilman Phương thức phát minh Whitfield Diffie Matty Heilman Standford Đây sơ đồ khoá cơng khai Tuy nhiên, khơng phải sơ đồ mã hố khố cơng khai thực sự, mà dùng cho trao đổi khóa Các khố bí mật h trao đổi cách sử dụng trạm trưng gian riêng tin cậy Phương pháp cho phép khố bí mật truyền an tồn thông qua môi trường không bảo mật Trao đổi khố Diffie-Hemall dựa tính hiệu tốn logarit rời rạc Tính bảo mật trao đổi khố Diffie-Hellman nằm chỗ: tính hàm mũ modulo số nguyên tố dễ dàng tính logarit rời rạc khó Chữ ký số Chữ ký số (Digital Signature) chuỗi liệu liên kết với thông điệp thực thể tạo thông điệp ký Chữ ký số tạo sử dụng kết hợp hàm băm mật mã khóa cơng khai để đảm bảo tính tồn vẹn, giúp xác thực nguồn gốc thông điệp đồng thời bên gửi chối từ việc tạo thơng điệp Chữ ký số giá trị băm thơng điệp mã hóa khóa bí mật bên gửi đính kèm với thơng điệp gốc Bên nhận dùng khóa cơng khai bên gửi để giải mã phần chữ ký giá trị băm thông điệp đối chiếu với giá trị mà thu từ việc thực lại hàm băm thông điệp gốc Nếu hai giá trị giống bên nhận tin cậy thông điệp không bị thay đổi gửi từ bên sở hữu khóa cơng khai 3.1 Q trình ký Đầu tiên, liệu tính tốn hàm băm chiều, hàm có đầu chuỗi băm Hàm băm chiều đảm bảo chuỗi băm thay đổi nhỏ từ liệu đầu vào gây thay đổi cho chuỗi băm Sau người dung dung khố riêng mã hố chuỗi băm tạo thành chữ ký số Chữ ký số đính kèm với liệu ban đầu tạo thành liệu ký h Hình 1: Qúa trình kí 3.2 Q trình kiểm tra chữ ký số Để kiểm tra tính hợp lệ chữ ký số, đầu tiền người nhận dung khố cơng khai người gửi để giải mã chữ ký số Kết trình giải mã chữ ký số chuỗi băm người ký tạo Sau đem liệu khơng có chữ ký xử lý hàm băm với hàm băm mà người ký sử dụng để tạo chuỗi băm khác đem so sánh với chuỗi băm vừa giải mã Nếu kết giống xác định chữ ký số người ký liệu không bị thay đổi Hình 2: Qúa trình kiểm tra kí số h 10 Hình 8: Mơ hình phân cấp CA chặt chẽ RootCA không đơn gỉản điểm khởi đầu mạng, hay kết nối, cịn điểm khởi đầu tin cậy Tất thực thể miền nắm giữ khố cơng khai CA Trong mơ hình này, tất thực thể kiến trúc tin cậy rootCA Sự phân cấp thiết lập sau - RootCA xây dựng, tự cấp chứng cho (hay tự ký cho mình) - RootCA chứng thực (tạo ký chứng chỉ) cho CA trực tiếp - Mỗi CA lại chứng thực cho CA trực tiếp - Tại mức gần cuối cùng, CA chứng thực thực thể cuối - Mỗi thực thể phân cấp phải cung cấp khoá cơng khai root CA Q trình tạo khố cơng khai sở cho trình chứng thực tất kết nối sau đó, đó, trình phải thực cách an tồn Chú ý mơ hình phân cấp chặt chẽ đa mức (multilevel strict hierarchy), thực thể cuối chứng thực (nghĩa cấp chứng chỉ) CA trực tiếp nổ, gốc tin cậy lại rootCA 4.2 Mơ hình phân cấp CA khơng chặt chẽ (loose hierarchy of CAs) Trong mơ hình phân cấp CA không chặt chẽ bên chứng thực bởỉ CA để giải vấn đề đường dẫn tin cậy mà không liên quan tới CA mức cao hom, bao gồm root CA Nghĩa hai thực thể (ví dụ thực thể A thực thể B) chứng thực CA, thực thể A thực thể B h 35 kiếm tra tính hợp lệ mà không cần phải tạo đường dẫn chứng thực tới root CA bản, thực thể A thực thể B thuộc phân cấp chủ thể tin cậy hai Tuy nhiên, giả sử có thực thể c chứng thực CA khác (không phải CA chứng thực cho A B) thực thể A B phải thực đường dẫn chứng thực hoàn toàn thông qua rootCA trước tin cậy chứng c 4.3 Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) Kiến trúc tin cậy phân tán phân phối tin cậy hai hay nhiều CA Nghĩa thực thể giữ khố cơng khai CAi nguồn tin cậy mình, thực thể giữ khố cơng khai CA2 nguồn tin cậy Bởi khố cơng khai CA đóng vai trị nguồn tin cậy (CAI gốc(root) hệ thống phân cấp chứa thực thể 1, CA2 gốc hệ thống phân cấp có chứa thực thể 2) Nếu kiến trúc phân cấp kiến trúc phân cấp khơng chặt chẽ, cấu hình kiến trúc gọi kiến trúc chia điểm (peered architeture) tất CA điểm hồn tồn độc lập (Khơng có SubCA kiến trúc) Trái lại, kiến trúc phân cấp đa mức, kiến trúc gọi kiến trúc hình (heed architeture) (chú ý root CA điểm so với CA khác nhung root lại đóng vai trị CA cấp cao nhiều SubCA) Hình 9: Mơ hình kiến trúc tin cậy phân tán Thơng thường kiến trúc chia điểm thường xây dựng miền tổ chức (ví dụ cơng ty), trái lại, kiến trúc hình kiến trúc lai (hybrid architeture) hình thành từ miền tồ chức khác h 36 Quá trình việc tạo kết nối root CA thông thường gọi chứng thực chéo (cross-certification) 4.4 Mơ hình bên (four-comer model) Cfl dofnains ínleiacl BS required to va irialwa ulhorize relying parly Interact and ertặíiậtì in electronic transactions Hình 10: Mơ hình bốn bên Trong mơ hình minh họa bốn góc mơ hình tin cậy người thuê bao (subscriber), bên tin cậy (relying party), thuê bao CA (subscriber’s CA) bên tin cậy CA (relying party’s CA) Mơ hình tỉn cậy bên thường triển khaỉ giao dịch tốn điện tử - Trong mơ hình này, thuê bao sử dụng chứng cấp CA - Thuê bao bên tin cậy tương tác ràng buộc giao dịch điện tử - Bên tin cậy tương tác với miền CA (CA domain) để xác thực cho phiên giao dịch - Miền CA tương tác cổ yêu cầu xác minh tính hợp lệ/cấp quyền phiên giao dịch 4.5 Mơ hình Web (web model) h 37 Mơ hình Web - tên gọi nổ, phụ thuộc vào trình duyệt Web phổ biến Netscape Navigator Microsoft Internet Explorer Trong mơ hình này, số lượng khố cơng khai CA cài đặt sẵn vào số trình duyệt Các khố định nghĩa tập hợp CA mà trình người dùng trình duyệt ban đầu tin tưởng xem root cho việc xác minh chứng Mỗi nhà cung cấp trình duyệt có root riêng mình, chứng thực root CA mà nhúng trình duyệt Hình 11: Mơ hình Web Mơ hình Web có ưu điểm rõ rệt để thuận tiện đon giản khả liên kết Tuy nhiên, có vài vấn đề an tồn càn quan tâm mơ hình định triển khai Ví dụ, người dùng trình duyệt tự động tin tưởng vào tập hợp khoá cài sẵn trình duyệt, nên an tồn bị số rootCA “rơi vào tình trạng nguy hiểm” Một vấn đề an tồn cần phải quan tâm mơ hình Web, khơng có chế thực thu hồi kỳ khố root nhúng trình duyệt Neu phát CA “đang tình hạng nguy hiểm” khoá riêng tương ứng với khố cơng khai root bị lộ, hiển nhiên khơng thể tiếp tục sử dụng khố hàng triệu trình duyệt web giới 4.6 Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust) Trong mơ hình tin cậy lấy người dùng làm trung tâm, người dùng phải h 38 chịu trách nhiệm trực tiếp toàn để định xem sử dụng chứng từ chối chứng Mỗi người dùng giữ vịng khố vịng khố đóng vai trị CA họ Vịng khố chứa khố cơng khai tin cậy người sử dụng khác cộng đồng Mơ hình Zimmerman phát triển để sử dụng chương trình phát hiển phần mềm bảo mật PGP Quyết định chịu ảnh hưởng số nhân tố, ban đầu tập hợp khố tin cậy thơng thường bao gồm nhân tố bạn bè, gia đình, đồng nghiệp Hình 12: Mơ hình tin cậy người dùng làm trung tâm Mơ hình đưực sử dụng rộng rãi phần mềm an ninh tiếng Pretty Good Privacy (PGP) [Zimm95, Garf95] Trong PGP, người dùng xây dựng mạng lưới tín nhiệm (web of trust) đóng vai trị CA (ký lên khố cơng khai cho thực thể khác) Do tín nhiệm cùa người dùng họat động định, nên mơ hình tin cậy lấy người dùng làm trung tâm họat động cộng đàng địi hỏi kỹ thuật quan tâm cao độ, không thực tế cộng đồng chung (cộng đồng mà nhiều người dùng có chút khơng có hiểu biết khái niệm PKI hay khái niệm an tồn) Hơn nữa, mơ thơng thường khơng phù hợp với mơi trường cơng ty, tồ chức tài phù h 39 Các kiểu kiến trúc PKI Có vài kiểu kiến trúc mà PKI triển khai để cung cấp “chuỗi tin cậy” từ khố cơng khai biết nhằm xác thực thơng qua khố cơng khai cụ thể cùa người dùng Ví dụ người dùng xác thực họ với ứng dụng với eGovemment, phần mềm ứng dụng mật mã xác minh chữ ký chứng người dùng cách sừ dụng khố cơng khai CA mà tạo chứng Nếu khố CA khơng phải khố root, chứng chứa phải xác minh tính hợp lệ khố cơng khai mà ký chứng Và tiếp tục đến chứng “chuỗi tin cậy” xác minh khóa root Chuỗi xác minh tính hợp lệ có nghĩa xác thực tất chứng chỉ,bao gồm chứng người dùng cuối 5.1 Kiến trúc kiểu Web of Trust Đối với kiểu kiến trúc này, người dùng tạo ký chứng cho người mà biết Do đó, khơng cần phát triển phải có hạ tầng trung tâm Mơ hình hoạt động hiệu tổ chức nhỏ, có tồn mối quan hệ trước đó, khơng hiệu tổ chức lớn nơỉ mà cần phải có đảm bảo (ví dụ phải xác thực yêu cầu trước chứng cấp phát) Sự giao tiếp trạng thái chứng bên tin cậy (ví dụ chứng bị thu hồi) khó với mơ hình 5.2 Kiến trúc kiểu CA đơn (Single CA) Dạng kiến trúc đom giản single CA Kiến trúc cấp chứng cung cấp thông tin trạng thái chứng cho người dùng Khố cơng khai CA đỉểm tin cậy , hay gọi nguồn tin cậy, dùng để đánh giá khả chấp nhận chứng Người dùng cỏ mối quan hệ trực tiếp với CA, họ biết ứng dụng mà chứng cần sử dụng Trong vài tổ chức yêu cầu dịch vụ PKI Điển hình, tổ chức với hom 3000 tài khoản user dịch vụ thư mục Thay triển khai CA nhiều mức, thơng thường người ta triển khai CA , cài đặt đóng vai trị enterprise root CA.Enterprise root CA di chuyển mạng, thay vào đó, có máy tính thành viên miền ln ln sẵn sàng cấp phát chứng yêu cầu h 40 cấp phát máy tính, người dùng, dịch vụ thiết bị mạng Kiểu kiến trúc single CA dễ quản lý việc quản trị lỉên quan tới CA root Tuy nhiên, CA bị lỗi, dịch vụ chứng không sẵn sàng để xử lý yêu cầu chứng chỉ, yêu cầu làm mớỉ chứng hay danh sách thu hồi chứng cho tớỉ khỉ CA khôi phục lạỉ dịch vụ Kiến trúc phân cấp single CA thông thường sử dụng việc quản trị đơn giản, giá thành thấp Dạng mở rộng cùa kiểu kiến trúc CA kết nối CA để hỗ trợ cộng đồng người dùng khác Các tồ chức kết nối CA cô lập thành PKI lớn sử dụng mối quan hệ điểm -điểm 5.3 Kiến trúc CA phân cấp Kiến trúc mơ hình CA phân cấp bao gồm có root CA đỉnh, phía hay hai lớp CA (khố cơng khai CA ký root CA) sau th bao RA phía Mỗi khố tin tưởng người dùng khố cơng khai root CA Mơ hình cho phép hành sách chuẩn thơng qua hạ tầng, tạo mức đàm bảo tổng thể cao kiến trúc đa CA khác Trong mô hình này, root CA cấp chứng cho sub CA không cấp chứng cho ngườỉ dùng Các subCA lại cấp chứng cho subCA khác cho người dùng 5.4 Kiến trúc kiểu chứng thực chéo (Cross-certificate) Trong mơ hình này, CA tạo chứng chi cho CA mà xác minh “đủ mạnh” để sở hữu chứng Trong mơ hình phân cấp, người có khố cơng khai root, mơ hình này, khố lại khố CA cục chúng khơng phải khố rootCA Một vấn đề mơ hình khó khăn với ứng dụng người dùng để xác định đường dẫn chứng người dùng sở hữu CA khơng có đường liên kết chứng thực chéo Mơ hình phải đối mặt với vấn đề “ai root CA” (không ai/ tất h 41 CA), cho phép CA trở thành cấu trúc điểm thay phân cấp, giống mơ hình Web of Trust, chứng thực chéo tạo mức bảo đảm đồng cho toàn hệ thống 5.5 Kiến trúc Bridge CA(BCA) Bridge CA thiết kế để giải thiếu sót kiến trúc PKI tạo kết nối PKỈ khác Bridge CA không cấp chứng cho người dùng chúng nguồn tin cậy Thay vào đó, Bridge CA thiết lập mối quan hệ tin cậy peer to peer (P2P) cộng đồng người dùng khác làm giảm nhẹ vấn đề cấp phát chứng tổ chức lại cho phép người dùng giữ nguồn tin cậy Hình 13: Mơ hình Bridge CA Trong kiểu kiến trúc này, Bridge CA cung cấp cầu tin cậy (thông qua cặp chứng thực chéo) sở hạ tầng khố cơng khai phân cấp sở hạ tầng khố cơng khaỉ chứng thực chéo Độ phức tạp mơ hình cao phải điều chỉnh module PKI cùa người dùng cuối Mỗi mối quan hệ tin cậy Bridge CA thể cặp chứng chỉ, cấp phát BCA h 42 IV Chương trình tạo kiểm tra chữ ký số cho file tài liệu (.docx, doc, pdf,…) Chương trình tạo chữ ký số Trung tâm chứng thực điện tử quốc gia (NEAC) chương trình sử dụng rộng dãi việc ký số kiểm tra chữ ký số h 43 Để sử dụng ứng dụng cần có chứng số cá nhân Tạo chữ ký số Bước 1: Chọn Hệ Thống thành menu bar chọn Cấu hình h 44 Bước 2: Cửa sổ Cấu hình lên, thực tạo chữ ký sửa chữ ký cũ, đặt mẫu chữ ký, cài đặt thông tin xuất chữ ký Ký số tài liệu Bước 1: Tại hình chọn Hệ thống Mở tệp h 45 Bước 2: Chọn liệu cần ký, sau tài liệu hiển thị hình, chọn Ký số h 46 Bước 3: Cửa sổ chọn thông tin ký số ra, chọn chứng số nơi lưu file ký Sau chọn Chấp nhận để tiến hành ký số Kết trả ký thành công thất bại h 47 Kiểm tra chữ ký số Bước 1: Tại hình chọn Hệ thống Mở tệp Bước 2: Chọn liệu ký số cần để xác minh, sau tài liệu hiển thị hình, chọn Kiểm tra ký h 48 Kết hình hiển thị danh sách chữ ký ký lên tài liệu h 49