HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG VÕ ĐĂNG PHI LONG NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG HẠ TẦNG KHĨA CƠNG KHAI SỬ DỤNG BỘ PHẦN MỀM MÃ NGUỒN MỞ EJBCA CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SỸ ( Theo định hướng ứng dụng) Hà Nội – 2023 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TSKH HỒNG VĂN HẢI Phản biện 1: TS Vũ Văn Thoả Phản biện 2: PGS.TS Đỗ Trung Tuấn Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 09 00 ngày 17 tháng 02 năm 2023 Có thể tìm hiểu luận văn tại: Thư viện Học viện Cơng nghệ Bưu Viễn thơng LỜI CAM ĐOAN Tôi tên Võ Đăng Phi Long, cam đoan: Luận văn Thạc sĩ Kỹ thuật “Nghiên cứu triển khai hệ thống hạ tầng khóa cơng khai sử dụng phần mềm mã nguồn mở EJBCA” công trình nghiên cứu tác giả hướng dẫn PGS TSKH Hoàng Đăng Hải Các kết nghiên cứu luận văn trung thực, không chép từ nguồn hình thức Các nguồn tài liệu tham khảo trích dẫn ghi nguồn quy định Tác giả luận văn Võ Đăng Phi Long LỜI CẢM ƠN Với lịng biết ơn sâu sắc, tơi xin gửi lời cảm ơn chân thành tới người giúp đỡ tơi q trình học tập, nghiên cứu khoa học Tôi xin chân thành cảm ơn: Đầu tiên xin cảm ơn thầy PGS TSKH Hoàng Đăng Hải tận tình hướng dẫn truyền đạt kinh nghiệm quý báu giúp đỡ từ ngày bắt đầu hướng dẫn đến ngày bảo vệ Tiếp theo, xin cảm ơn thầy cô Học viện Công nghệ Bưu Viễn thơng truyền đạt kiến thức q báu nhiệt tình dạy dỗ tơi q trình học tập Học viện Tôi xin trân trọng cảm ơn đơn vị nơi công tác làm việc tạo điều kiện thuận lợi cho suốt q trình học cao học Cuối cùng, tơi xin cảm ơn gia đình, đồng nghiệp, bạn bè ln đồng hành, cổ vũ giúp đỡ thân hoàn thành luận văn i MỞ ĐẦU Lý chọn đề tài Trong thời đại công nghệ ngày phát triển, việc bảo vệ thông tin vô quan trọng, định tương lai cá nhân hay tổ chức Khi thơng tin truyền mạng, bị đe dọa kẻ cơng, họ xem trộm, chỉnh sửa thơng tin hay chí giả mạo người nhận Từ đó, thơng tin truyền mạng ln phải đáp ứng ba yếu tố: xác thực, bí mật, toàn vẹn Đứng trước thách thức xảy thực tiễn, công ty bảo mật phối hợp công ty, tổ chức để nghiên cứu phát triển phương pháp sản phẩm nhằm bảo vệ yếu tố xác thực có liên quan tới hoạt động giao dịch trực tuyến Chính lý trên, tơi chọn giải pháp sử dụng phần mềm mã nguồn mở EJBCA tảng hệ điều hành CentOS Việc nghiên cứu đề tài “Nghiên cứu triển khai hệ thống hạ tầng khóa cơng khai sử dụng phần mềm mã nguồn mở EJBCA” cấp thiết, đáp ứng nhu cầu thực tiễn công chuyển đổi số áp dụng tồn quốc, đóng góp phần vào phát triển hệ thống công nghệ thông tin Mục đích nghiên cứu Mục đích nghiên cứu: Mục tiêu luận văn xây dựng, thử nghiệm đánh giá hệ thống cấp chứng thư số máy chủ cài đặt phần mềm mã nguồn mở EJBCA Đối tượng phạm vi nghiên cứu * Đối tượng: Luận văn nghiên cứu hệ thống cung cấp hạ tầng khóa công khai PKI sử dụng phần mềm mã nguồn mở EJBCA nhằm đảm bảo tính xác thực, tồn vẹn bảo mật hệ thống * Phạm vi nghiên cứu: - Hệ thống sở hạ tầng khóa cơng khai PKI 2 - Hệ thống phần mềm EJBCA - Xây dựng thử nghiệm mơ hình truyền nhận chứng thực chứng thư số sinh hệ thống EJBCA Phương pháp nghiên cứu * Phương pháp nghiên cứu lý thuyết: Nghiên cứu tổng quan hệ thống an tồn thơng tin thuật tốn bản, nghiên cứu tổng quan hạ tầng khóa cơng khai PKI, qua tìm hiểu số vấn đề chính, như:  Lý thuyết liên quan vấn đề nghiên cứu  Tìm hiểu số thuật tốn mã hóa  Cơ sở hạ tầng khóa cơng khai PKI * Phương pháp nghiên cứu thực nghiệm:  Xây dựng môi trường thử nghiệm hệ thống  Cài đặt, cấu hình thành phần  Thực nghiệm đánh giá kết Kết đạt luận văn - Phân tích yêu cầu chứng thực số ngày trở nên cấp thiết thực tiễn - Giải pháp áp dụng chứng thực số vào truyền nhận mail sử dụng phần mềm EJBCA - Kết thực nghiệm Cấu trúc luận văn - Chương trình bày tổng quan an tồn hệ thống thơng tin - Chương trình bày sở hạ tầng khóa cơng khai PKI - Chương trình bày kết thực nghiệm đánh giá 3 Chương 1: TỔNG QUAN VỀ AN TOÀN TRONG HỆ THỐNG THÔNG TIN 1.1 Khái quát vấn đề an tồn chung hệ thống thơng tin An tồn thông tin hoạt động bảo vệ thông tin cách giảm thiểu rủi ro thơng tin Đó phần việc quản lý rủi ro thông tin Điều đồng nghĩa với việc ngăn chặn giảm khả truy cập trái phép liệu truy cập liệu không phù hợp hay việc sử dụng, tiết lộ, làm gián đoạn, xóa, làm thâm hụt, sửa đổi, kiểm tra, lưu lại làm giảm giá trị thông tin cách bất hợp pháp 1.2 Các mối hiểm họa an tồn thơng tin Các mối đe dọa an tồn thơng tin có nhiều dạng khác Một số mối đe dọa phổ biến cơng phần mềm, trộm cắp tài sản trí tuệ, trộm danh tính, trộm thiết bị thơng tin, phá hoại tống tiền dựa thông tin thu thập Virus, worms, công lừa đảo (phising attacks) Trojan số ví dụ phổ biến công phần mềm 1.3 Tạo lập môi trường an ninh 1.3.1 Nhận thực Nhận thực trình kiểm tra tính hợp lệ đối tượng tham gia thơng tin mạng 1.3.2 Toàn vẹn số liệu Toàn vẹn số liệu đảm bảo số liệu truyền thông không bị thay đổi hay phá hoại trình truyền từ nơi phát đến nơi thu 1.3.3 Bảo mật Mục đích bảo mật nhằm bảo đảm tính riêng tư liệu số khiến cho liệu đọc ai, ngoại trừ người có quyền truy cập 1.3.4 Trao quyền Trao quyền trình quy định quyền hạn truy cập người sử dụng, người sử dụng quyền thực số hành động mà người quản trị trao cho 4 1.3.5 Cấm từ chối Cấm từ chối hay chống chối bỏ biện pháp buộc phía phải chịu trách nhiệm giao dịch mà họ tham gia, không phép từ chối tham gia giao dịch 1.4 Các kỹ thuật đảm bảo tính bảo mật, toàn vẹn, xác thực Muốn đưa đảm bảo tính bảo mật, tồn vẹn, xác thực trước hết cần phải tìm hiểu kỹ thuật có khả đem đến tính chất cho hệ thống 1.4.1 Mã hóa cơng khai Hệ thống PKI sử dụng mã hóa khóa cơng khai để đảm bảo tính bảo mật liệu trình truyền tải 1.4.2 Chứng số Chứng số tài liệu số cấp phát tổ chức CA (Certificate Authority), xác nhận danh tính thực thể hệ thống PKI 1.4.3 Mã hóa Mã hóa q trình chuyển đổi thơng tin sang dạng khó đọc gọi mã hóa, sử dụng thuật tốn mã hóa 1.4.4 Chữ ký số Chữ ký số giúp đảm bảo tính xác thực tính tồn vẹn liệu trao đổi qua mạng 1.4.5 Giao thức HTTPS HTTPS giao thức mạng bảo mật, kết hợp giao thức HTTP SSL/TLS để đảm bảo tính bảo mật liệu trao đổi qua mạng 1.4.6 Phương pháp quản lý khóa cơng khai khóa bí mật Hệ thống PKI nên sử dụng phương pháp quản lý khóa cơng khai khóa riêng RSA, ECC, DSA để đảm bảo tính bảo mật hệ thống 1.5 Các cơng nghệ an ninh 1.5.1 Cơng nghệ mật mã Mục đích mật mã đảm bảo thơng tin hai đối tượng kênh thơng tin khơng an tồn, để đối tượng thứ ba hiểu thông tin truyền 1.5.2 Các giải thuật đối xứng Các giải thuật đối xứng sử dụng khóa cho mật mã hóa lẫn giải mật mã hóa tất tin Phía phát sử dụng khóa để mật mã hóa tin, sau gửi đến phía thu xác định Sau nhận tin phía thu sử dụng khóa để giải mật mã 1.5.3 Các giải thuật bất đối xứng Các giải thuật bất đối xứng giải vấn đề xảy hệ thống khóa đối xứng 1.5.4 Nhận thực Nhận thực sử dụng mật mã hóa khóa cơng khai để giải vấn đề xác thực danh tính khiến cho người sử dụng tin họ trao đổi thông tin với người cần trao đổi không bị mắc lừa người khác 1.5.5 Các chữ ký điện tử tóm tắt tin Chữ ký điện tử sử dụng để kiểm tra xem tin nhận có phải từ phía phát hợp lệ hay không 1.5.6 Các chứng số Chứng số đảm bảo khóa cơng khai thuộc đối tượng mà đại diện Cần đảm bảo chứng thư số đại diện cho thực thể yêu cầu (cá nhân tổ chức), đối tượng thứ ba thẩm quyền chứng nhận CA (Certificate Authority) 1.6 Kết chương Hiện vấn đề an tồn thơng tin thời đại chuyển đổi số mục tiêu hàng đầu tổ chức hay cá nhân Từ cơng ty nhỏ tập đồn lớn hay tổ chức phủ đặt vấn đề bảo mật thông tin làm trọng tâm công chuyển đổi số Các phương pháp cơng phát triển đòi hỏi kỹ thuật phòng thủ xử lý cố phải vượt lên để ngăn chặn kẻ xấu lợi dụng kẽ hở để công, phá hoại, trục lợi 7 Chương 2: CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI PKI 2.1 Tổng quan hạ tầng khóa cơng khai PKI Hạ tầng khóa cơng khai PKI (Public Key Infrastructure) thuật ngữ dùng để mô tả hệ thống hồn thiện tập hợp vai trị, sách, quy tắc, phần cứng, phần mềm quy trình cần thiết để tạo, quản lý, phân phối, sử dụng, lưu trữ thu hồi chứng kỹ thuật số quản lý mã hóa cơng khai 2.2 Kiến trúc chức PKI Cơ sở hạ tầng khóa cơng khai (PKI) hệ thống tạo, lưu trữ phân phối chứng kỹ thuật số sử dụng để xác minh khóa cơng khai cụ thể thuộc thực thể định Một PKI bao gồm:  Cơ quan cấp chứng (CA)  Cơ quan đăng ký (RA  Một thư mục trung tâm  Một hệ thống quản lý chứng  Chính sách chứng  Cơ quan xác thực bên thứ ba (VA) 2.2.1 Mơ hình phân cấp Hình Mơ hình phân cấp Đây mơ hình sử dụng phổ biến rộng rãi 2.2.2 Mơ hình mạng lưới Hình Mơ hình mạng lưới 2.2.3 Mơ hình danh sách tin cậy Hình Mơ hình danh sách tin cậy 2.3 Ưu điểm nhược điểm PKI Hạ tầng khóa cơng khai PKI có số ưu điểm sau: Tính khơng từ chối, hiệu chi phí, mức độ bảo mật cao, phủ chấp nhận Cùng với ưu điểm PKI hạ tầng có số nhược điểm sau: Chi phí triển khai cao, chi phí phát sinh, cần đội ngũ quản trị viên đào tạo 2.4 Một số phần mềm cung cấp hạ tầng khóa cơng khai 2.4.1 OpenSSL OpenSSL dạng CA đơn giản công cụ cho PKI phát triển từ năm 1998 2.4.2 EJBCA EJBCA hệ thống CA mã nguồn mở phát triển Java 2.4.3 Dogtag Certificate System Hệ thống chứng Dogtag (còn gọi Dogtag PKI) quan cấp chứng nguồn mở (CA) hỗ trợ nhiều trường hợp sử dụng PKI phổ biến 10 2.4.5 OpenXPKI OpenXPKI cơng cụ dựa OpenSSL Perl tạo, quản lý triển khai chứng kỹ thuật số 2.4.6 Step-ca Step-ca công cụ PKI mã nguồn mở dựa dòng lệnh command line CLI đơn giản linh hoạt tạo quản lý chứng kỹ thuật số 2.4.7 OpenCA OpenCA dự án xây dựng hệ thống PKI hoàn chỉnh, chuyên nghiệp cho doanh nghiệp, quan, tổ chức cỡ vừa lớn 2.5 So sánh đặc điểm OpenCA EJBCA 2.6 Kết chương Qua nghiên cứu thực nghiệm xây dựng chương trình, thân thấy EJBCA hệ thống PKI tiên tiến, hiệu giải vấn đề chứng thực danh tính hai hay nhiều thực thể trình liên lạc mạng Internet, điều hứa hẹn đem lại hiệu cao việc giải vấn đề đặt Chương 3: HỆ THỐNG CHỨNG THỰC SỐ PKI SỬ DỤNG BỘ PHẦN MỀM MÃ NGUỒN MỞ EJBCA 3.1 Giới thiệu phần mềm mã nguồn mở EJBCA EJBCA, viết tắt cụm từ Enterprise Java Bean Certificate Authority, tảng sở hạ tầng khóa cơng khai (PKI) phổ biến giới 3.2 Kiến trúc hệ thống PKI sử dụng EJBCA 3.2.1 Standalone CA/RA/VA Một cài đặt EJBCA độc lập hoạt động CA, RA VA 11 3.2.2 CA với RA và/hoặc VA phân tán EJBCA thiết lập cách sử dụng Giao thức ngang hàng PrimeKey để giao tiếp với phiên khác EJBCA đóng vai trị RA và/hoặc VA thay cho nhằm cải thiện hiệu suất tăng cường bảo mật cách đặt CA phía sau tường lửa cho phép kết nối gửi 3.2.3 Standalone VA EJBCA triển khai VA độc lập phục vụ nhu cầu OCSP cài đặt EJBCA cách đọc CRL định kỳ 3.2.4 PKI lai với Public Cloud EJBCA phù hợp để triển khai cài đặt dịch vụ đám mây môi trường đám mây kết hợp với sở hạ tầng nội 3.3 Các khía cạnh khác cần lưu ý thiết kế hệ thống PKI 3.3.1 Quản lý khóa Đối với cài đặt yêu cầu mức độ tin cậy bảo mật định, khóa cần lưu trữ Mô-đun bảo mật phần cứng (HSM) 3.3.2 Phân phối chứng Vì PKI thực sở hạ tầng bảo mật nên cần tích hợp phù hợp với nhu cầu bảo mật tổ chức tùy theo trường hợp sử dụng 3.3.3 Tính phân cụm sẵn sàng cao Cơ sở hạ tầng PKI trở nên quan trọng nhiệm vụ địi hỏi tính sẵn sàng cao tính phân cụm nhiều 3.4 Mơ hình triển khai    Máy ảo VMware chạy hệ điều hành CentOS Máy chủ EJBCA server (phiên ejbca_ce_6_15_2_6) cài đặt theo mơ hình Standalone CA/RA/VA Các gói phần mềm cài đặt server: openjdk-8-jdk-devel, ant, psmisc, mariadb-server, java-1.8.0-openjdk-amd64 3.5 Cấu hình sử dụng 12 Mở trình duyệt firefox có sẵn CentOS 8, sau vào Settings -> Certificates -> View Certificates Tại đây, chọn Import chọn file superadmin.p12 thư mục /opt/ejbca/ ejbca_ce_6_15_2_6/p12 chọn OK, sau truy cập vào giao diện quản trị web đường dẫn: https://localhost:8443/ejbca Hình Giao diện quản trị EJBCA 3.6 Kịch ứng dụng vào thực tiễn Lần tiếp theo, thư gửi từ địa email gán nhãn ký số điện tử hình Người dùng click vào nhãn dán góc bên phải tiêu đề email để xem thơng tin chữ ký số gắn với email gửi 13 Hình Thơng tin chứng thư ký vào email Người dùng ký mã file văn đính kèm theo thư 3.7 Kết chương Từ kết thực nghiệm ta thấy, hệ thống chứng thực số PKI sử dụng phần mềm mã nguồn mở EJBCA hồn tồn triển khai hệ thống PKI đầy đủ, hoàn chỉnh chức Cụ thể: *Ưu điểm hạn chế: Hệ thống đáp ứng đầy đủ tiêu chí cần thiết hệ thống PKI tính bảo mật, tính tồn vẹn, tính xác thực tính chống chối bỏ để đem lại mơi trường truyền tin an tồn, tin cậy thơng qua internet Tuy nhiên, bên cạnh kết đạt nội dung kết thực nghiệm chưa thể hết toàn chức hệ thống mơ hình triển khai theo kiến trúc khác *Đối tượng áp dụng phù hợp: EJBCA hệ thống phức tạp, nhiên thực nghiệm sử dụng cài đặt EJBCA độc lập hoạt động tích hợp sẵn CA, RA VA Bản EJBCA Standalone hỗ trợ nhiều bên thuê đầy đủ triển khai PKI hồn chỉnh môi trường Đây giải pháp hiệu quả, 14 dễ quản lý tiết kiệm chi phí, phù hợp cho nhiều doanh nghiệp vừa nhỏ triển khai 15 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP Mặc dù nhiều giải pháp cung cấp hệ thống PKI đời, đạt hiệu quả, hiệu suất cao, EJBCA hệ thống bật tin cậy toàn giới PKI hệ thống tương đối phức tạp, việc nắm vững sử dụng thành thạo PKI đòi hỏi tập thể lớn với nhiều thời gian cơng sức Qua trình bày trên, đề tài đưa nhìn tổng quát vấn đề an tồn hệ thống thơng tin, sở hạ tầng khóa cơng khai PKI mục tiêu chức Đồng thời, đề tài trình bày vấn đề hệ thống chứng thực số PKI sử dụng phần mềm mã nguồn mở EJBCA cách cài đặt, cấu hình, sinh áp dụng chứng thư số vào thực tế Từ thấy rằng, việc ứng dụng đặc tính ưu việt hệ thống điều khả thi, góp phần phục vụ hiệu nhu cầu thực tế của cá nhân tổ chức Trong phạm vi nghiên cứu, luận văn trình bày hệ thống EJBCA xây dựng dựa sở hạ tầng khóa cơng khai PKI Từ xây dựng hệ thống EJBCA cung cấp chứng thư số, có khả đảm bảo tính xác thực, toàn vẹn, bảo mật email truyền qua mạng internet Bám sát mục tiêu, nhiệm vụ, sử dụng đắn phương pháp nghiên cứu khoa học, luận văn thu số thành công đạt mục tiêu, nhiệm vụ đặt Trong tương lai, để cải thiện hiệu suất hệ thống, luận văn định hướng mở rộng nghiên cứu mơ hình triển khai khác hệ thống; đồng thời, cần xem xét, nghiên cứu ứng dụng khác hệ thống khả ký số loại văn bản, tài liệu dạng file doc, pdf hay file thực thi để chứng thực file Mã hóa thơng tin để đảm bảo bí mật với thực thể khác, thực kênh liên lạc trao đổi thông tin mật thực thể khác mạng Hướng phát triển tiếp: áp dụng mơ hình vào thực tế nhiều dừng lại mức lý thuyết Chúng ta triển khai thử nghiệm hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản sử dụng thực tế Hệ thống triển khai mang lại đầy đủ tính chất cần