Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN ĐỖ VĂN CẢNH NGHIÊN CỨU HỆ THỐNG CHỨNG THỰC SỐ VÀ TRIỂN KHAI ỨNG DỤNG Thái Nguyên - 2014 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN ĐỖ VĂN CẢNH NGHIÊN CỨUHỆ THỐNG CHỨNG THỰC SỐ VÀ TRIỂN KHAI ỨNG DỤNG Mã số: 60 48 01 Ngƣời hƣớng dẫn khoa học: TS.Hồ Văn Hƣơng Thái Nguyên- 2014 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CAM ĐOAN Tôi xin cam đoan rằng, đây là công trình nghiên cứu của tôi trong đó có sự giúp đỡ tận tình của thầy hướng dẫn Tiến Sĩ Hồ Văn Hương,và sự hỗ trợ của các đồng nghiệp và một số bạn . Các nội dung nghiên cứu và kết quả trong đề tài này là hoàn toàn trung thực. Trong luận văn, tôi có tham khảo đến một số tài liệu của một số tác giả và một số website đã được liệt kê tại phần Tài liệu tham khảo ở cuối luận văn. Thái Nguyên, ngày tháng năm 2014 Tác giả Đỗ Văn Cảnh Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CẢM ƠN Để hoàn thành chương trình cao học và viết luận văn này,chúng tôi đã nhận được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của quý thầy cô trường Đại học Công nghệ thông tin và truyền thông Thái Nguyên. Trước hết, chúng tôi xin chân thành cảm ơn đến quý thầy cô giáo trường Đại học Công nghệ thông tin và truyền thông Thái Nguyên, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng tôi trong suốt thời gian học tập tại trường. Tôi xin gửi lời biết ơn sâu sắc đến Tiến sĩ Hồ Văn Hương đã dành rất nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp tôi hoàn thành luận văn tốt nghiệp. Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu trường Đại học công nghệ thông tin và truyền thông Thái Nguyên đã tạo rất nhiều điều kiện để chúng tôi học tập và hoàn thành tốt khóa học. Mặc dù tôi đã có nhiều cố gắng hoàn thiện luận văn bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót, tôi rất mong nhận được những đóng góp quí báu của quý thầy cô và các bạn. Lời cảm ơn sau cùng chúng tôi xin dành cho gia đình, đồng nghiệp và những người bạn đã hết lòng quan tâm và tạo điều kiện tốt nhất để tôi hoàn thành luận văn tốt nghiệp này! Tôi xin chân thành cảm ơn! Thái Nguyên,ngày tháng 1 năm 2014 Ngƣời thực hiện Đỗ Văn Cảnh Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ i MỤC LỤC MỤC LỤC i DANH MỤC HÌNH VẼ iii DANH MỤC CÁC CHỮ VIẾT TẮT iv LỜI NÓI ĐẦU 1 Chương 1:TÌM HIỂU VỀ LÝ THUYẾT MẬT MÃ 3 1.1. Mật mã khoá đối xứng 4 1.1.1. Khái niệm 4 1.1.2. Bảo vệ tính bí mật của thông tin với mật mã khóa đối xứng 4 1.1.3. Ưu nhược điểm của mật mã khoá đối xứng 4 1.2. Mật mã khoá công khai 5 1.2.1. Khái niệm 5 1.2.2. Bảo vệ thông tin với mật mã khoá công khai 5 1.2.3. Ưu nhược điểm của mật mã khoá công khai 7 1.2.4. Thuật toán RSA 8 1.3. Sử dụng kết hợp mật mã khoá đối xứng và khoá công khai 9 1.4. Chữ ký số 10 1.5. Hàm băm 12 Chương 2:HẠ TẦNG KHÓA CÔNG KHAI 14 2.1. Các khái niệm cơ bản 14 2.1.1. Khái niệm PKI 14 2.1.2. Các khái niệm liên quan 15 2.2. Các thành phần của PKI 20 2.2.1. Tổ chức chứng thực 20 2.2.2. Trung tâm đăng ký 21 2.2.3. Người dùng cuối 22 2.2.4. Hệ thống lưu trữ 22 2.3. Cách thức hoạt động và chức năng của PKI 22 2.3.1. Quá trình khởi tạo cặp khoá – Key Pair Generation 24 2.3.2. Quá trình tạo chữ ký số - Digital Signature Generation 25 2.3.3. Quá trình mã hoá thông điệp và gắn chữ ký số - Message Encrytion and Digital Signature Application 25 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ii 2.3.4. Quá trình nhận thông điệp và gửi sự kiểm chứng xác nhận 26 2.3.5. Quá trình giải mã thông điệp 26 2.3.6. Quá trình kiểm tra nội dung thông điệp 26 2.4. Các dịch vụ của PKI 26 2.4.1. Các dịch vụ cốt lõi của PKI 26 2.4.2. Các dịch vụ PKI hỗ trợ 30 2.5. Các mô hình kiến trúc của PKI 33 2.5.1. Mô hình kiến trúc đơn 33 2.5.2. Mô hình danh sách tin cậy 34 2.5.3. Mô hình phân cấp 35 2.5.4. Mô hình mạng lưới 37 2.5.5. Kiến trúc CA bắc cầu _ Bridge CA Architecture 40 2.6.Ứng dụng của PKI trong ký số và bảo mật dữ liệu 41 2.6.1. Mã hóa 41 2.6.2.Chống giả mạo 41 2.6.3. Xác thực 41 2.6.4.Chống chối bỏ nguồn gốc 42 2.6.5. Chữ ký số 42 2.6.6. Bảo mật website 42 2.6.7. Code Signing 42 2.6.8. Chứng thực số 43 2.7.Thực trạng PKI ở Việt Nam 44 2.7.1. Các văn bản của Đảng và Nhà nước quy định về chứng thực chữ ký số . 44 2.7.2. Một số nhà cung cấp dịch vụ chứng thực chữ ký số công cộng đầu tiên tại Việt Nam 45 Chương 3:ỨNG DỤNG MÔ HÌNH PKI TRONG HỆ THỐNG MAIL AN TOÀN 47 VÀ WEB AN TOÀN 47 3.1. Ứng dụng mô hình PKI trong hệ thống mail an toàn. 47 3.1.1. Xây dựng mô hình và mô tả hoạt động của mô hình: 47 3.1.2. Hướng dẫn thực hiện 48 3.2 Ứng dụng mô hình PKI trong hệ thống Web an toàn. 65 3.2.1. Xây dựng mô hình và mô tả hoạt động : 65 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ iii 3.2.2. Hướng dẫn thực hiện: 65 TÀI LIỆU THAM KHẢO 74 DANH MỤC HÌNH VẼ Hình 1.1. Mã hóa khóa bí mật 4 Hình 1.2. Mã hóa khóa công khai 6 Hình 1.3. Xác thực thông tin 6 Hình 1.4. Ký và mã hoá với khóa công khai 7 Hình 1.5. Kết hợp mật mã khóa đối xứng và công khai - Quá trình mã hoá 9 Hình 1.6. Kết hợp mật mã khóa đối xứng và công khai - Quá trình giải mã 10 Hình 1.7. Quy trình tạo chữ ký số và xác minh chữ ký số 12 Hình 2.1. Chứng thư số 15 Hình 2.2. Các thành phần PKI 20 Hình 2.3. Mô hình hoạt động của PKI 23 Hình 2.4. Mô hình khoá công khai dùng đảm bảo tính bí mật 24 Hình 2.5. Mô hình dùng khoá công khai để xác thực 25 Hình 2.6. Mô hình khoá công khai bí mật và xác thực 26 Hình 2.7. Xác thực từ xa sử dụng cặp ID/Mật khẩu 28 Hình 2.8. Xác thực từ xa dựa trên khoá công khai 29 Hình 2.9. Mô hình kiến trúc CA đơn 33 Hình 2.10. Mô hình kiến trúc danh sách tin cậy CA 34 Hình 2.11. Mô hình kiến trúc CA phân cấp 35 Hình 2.12. Mô hình kiến trúc CA lưới 37 Hình 2.13. Mô hình kiến trúc cầu CA 40 Hình 3.1. Mô hình PKI trong hệ thống mail an toàn 47 Hình 3.2. Request chứng thư 48 Hình 3.4. Mô hình PKI trong hệ thống web an toàn 65 Hình 3.5. Request chứng thư trong web 65 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ iv DANH MỤC CÁC CHỮ VIẾT TẮT STT TÊNVIẾT TẮT TÊN ĐẦY ĐỦ DỊCH RA TIẾNG VIỆT 1 CA Certificate Authority Thẩm quyền chứng thực 2 CRLs Certificate Revocation Lists 3 DES Data Encrytion Standard Chuẩn mã hóa dữ liệu 4 HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn bản 5 HTTPS Secure Hypertext Transfer Protocol Giao thức truyền tải siêu văn bản an toàn 6 ITU International Telecommunication Union Hiệp hội viễn thông quốc tế 7 LDAP Lightweight Directory Access Protocol Giao thức truy cập thư mục 8 MAC Message Authentication Code Xác thực mã ti nhắn 9 OCSP Online Certificate Status Protocol Trạng thái giao thức chứng chỉ trực tuyến 10 PKCS Public Key Cryptography Standards Chuẩn mật mã khóa công khai 11 PKI Public Key Infrastructure Cơ sở hạ tầng khóa công khai 12 RA Registration Authority Thẩm quyền đăng ký 13 RSA Rivest Shamir Adleman Thuật toán mã hóa RSA 14 SHA Secure Hash Algorithm Thuật toán băm 15 SSL Secure Socket Layer Giao thức bảo mật web Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 1 LỜI NÓI ĐẦU Ngày nay, công nghệ thông tin phát triển rất nhanh và được ứng dụng vào hầu hết những lĩnh vực trong cuộc sống. Vai trò của công nghệ thông tin ngày càng được nâng cao, không chỉ dừng lại ở những ứng dụng văn phòng, công nghệ thông tin còn được triển khai ở nhiều lĩnh vực. Bên cạnh những lợi thế trong việc áp dụng công nghệ thông tin, việc sử dụng CNTT còn tiềm ẩn nhiều vấn đề còn tồn tại, trong đó có việc đảm bảo an toàn thông tin ví dụ như bị đánh cắp dự liệu, được phép đọc các tài liệu mà không đủ thẩm quyền, dữ liệu bị phá hủy … Do đó, bên cạnh việc triển khai và sử dụng CNTT, chúng ta cũng phải đảm bảo ATTT. Đảm bảo ATTT chính là đảm bảo hệ thống có được ba yếu tố: • Tình toàn vẹn • Tính bí mật • Tính sẵn sàng Trong lĩnh vực ATTT, sử dụng chứng thư số đã trở thành một trong các phương pháp giúp chúng ta có thể bảo mật thông tin. Với chứng thư số, người sử dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo thông tin, xác thực người gửi. Ngoài ra, chứng thư số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi. PKI là một cơ sở hạ tầng khóa công khai, phục vụ an toàn thông tin. PKI sẽ giúp người dùng xác thực được chủ thể của chứng thư số, cũng như có thể an tâm về tính xác thực của chứng thư số. Ở Việt Nam hiện nay đã có một số đơn vị cung cấp và triển khai dịch vụ chứng thực số như Ban Cơ yếu Chính phủ, Bộ Thông Tin Truyền Thông, VNPT, Viettel, FPT, BKAV … Các ứng dụng sử dụng chứng thực số ở Việt Nam chủ yếu là ký, mã hóa dữ liệu, email, web, xác thực quyền truy cập, thanh toán số, … Bố cục đề tài luận văn gồm có 3 phần, với nội dung từng phần cụ thể như sau: Chƣơng 1: Tìm hiểu về lý thuyết mật mã với các chủ đề chính: mật mã khoá đối xứng, mật mã khoá công khai, hàm băm và chữ ký số làm cơ sở cho việc tìm hiểu hạ tầng khoá công khai PKI. Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 2 Chƣơng 2: Hạ tầng khoá công khai đề tài luận văn trình bày về định nghĩa PKI, chức năng chính, các thành phần của PKI, các mô hình kiến trúc, các dịch vụ của PKI và các nhà cung cấp dịch vụ chữ ký số công cộng đầu tiên tại Việt Nam. Chƣơng 3: Ứng dụng mô hình PKI trong hệ thống mail an toàn, và web an toàn. Trước khi đi vào trình bày chi tiết nội dung đề tài, em xin gửi lời cảm ơn chân thành tới các thầy cô Trường Đại Học Công Nghệ Thông Tin và Truyền Thông Thái Nguyên. Đặc biệt, em xin gửi lời cảm ơn chân thành tới TS. Hồ Văn Hương, Ban Cơ yếu Chính phủ đã định hướng và giúp đỡ nhiệt tình để em hoàn thành đề tài luận văn này. Do thời gian hoàn thành đề tài có hạn cũng như khả năng nghiên cứu còn hạn chế cho nên em không tránh khỏi những khiếm khuyết, em rất mong có được những góp ý và giúp đỡ của các thầy cô giáo để em có thể tiếp tục đề tài này ở mức ứng dụng cao hơn trong tương lai. Em xin chân thành cảm ơn. Học Viên Đỗ Văn Cảnh [...]... bên cấp chứng thư số và một số thông tin khác Tính hợp lệ của các thông tin được đảm bảo bằng chữ ký số của bên cấp chứng thư số Người dùng muốn sử dụng chứng thư số trước hết sẽ kiểm tra chữ ký số trong chứng thư số Nếu chữ ký đó hợp lệ thì có thể sử dụng chứng thư số đó.Có nhiều lọai chứng thư số, một trong số đó là: • Chứng thư số khóa công khai X.509 • Chứng thư số khóa công khai đơn giản (Simple... Một hệ thống PKI gồm các thành phần sau - Certificate Authorites (CA): cấp và thu hồi chứng thư số - Registration Authorites (RA): gắn kết giữa khóa công khai và định danh của người giữ chứng thư số - Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng thư số PKI - Repositories: Hệ thống lưu trữ chứng thư số và danh sách các chứng thư số bị thu hồi Cung cấp cơ chế phân phối chứng thư số và. .. chứng thư số X.509 cho phép kiểm tra chứng thư số trong các trường hợp sau: - Chứng thư số không bị thu hồi - Chứng thư số đã bị CA cấp thu hồi - Chứng thư số do một tổ chức có thẩm quyền mà CA ủy thác có trách nhiệm thu hồi chứng thư số 2.1.2.4 Công bố và gửi thông báo thu hồi chứng thƣ số Danh sách huỷ bỏ chứng thực số bao gồm các chứng thực đã hết hạn hoặc đã bị thu hồi Tất cả các xác thực đều có... (Simple Public Key Certificate – SPKC) • Chứng thư số PGP • Chứng thư số thuộc tính (Attribute Certificate – AC) Hình 2.1 Chứng thư số Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 16 Tất cả các loại chứng thư số này đều có cấu trúc dạng riêng biệt Hiện nay chứng thư số khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI Chứng thư số X.509 version 3 được Hiệp hội viễn... một thực thể PKI có trách nhiệm cấp chứng thư số cho các thực thể khác trong hệ thống Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 21 Tổ chức chứng thực - CA cũng được gọi là bên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số của CA trên chứng thư số trong khi thực hiện những hoạt động mã hoá khoá công khai cần thiết CA thực hiện chức năng xác thực bằng cách cấp chứng. .. thư số cho các CA khác và cho thực thể cuối (người giữ chứng thư số) trong hệ thống Nếu CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng thư số cho những CA ở mức thấp hơn thì chứng thư số này được gọi là chứng thư số gốc “root certificate” 2.2.2 Trung tâm đăng ký Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này Thực. .. cuối sẽ thực hiện những chức năng mật mã (mã hoá, giải mã và ký số) 2.2.4 Hệ thống lƣu trữ Chứng thư số (khoá công khai) và thông tin thu hồi chứng thư số phải được phân phối sao cho những người cần đến chứng thư số đều có thể truy cập và lấy được Có 2 phương pháp phân phối chứng thư số: - Phân phối cá nhân: Đây là cách phân phối cơ bản nhất Trong phương pháp này thì mỗi cá nhân sẽ trực tiếp đưa chứng. .. lớn và mềm dẻo và phải được đặt ở vị trí mà A có thể xác định vị trí chứng thư số mà anh ta cần để truyền thông an toàn 2.1.2.3 Thu hồi chứng thƣ số Trong một số trường hợp như khóa bị xâm hại, hoặc người sở hữu chứng thư số thay đổi vị trí, cơ quan … thì chứng thư số đã được cấp không có hiệu lực Do đó, cần phải có một cơ chế cho phép người sử dụng chứng thư số kiểm tra được trạng thái thu hồi chứng. .. sử dụng các thuật toán mã hoá công khai 2.1.2 Các khái niệm liên quan 2.1.2.1 Chứng thƣ số Chứng thư số là một tài liệu sử dụng chữ ký số kết hợp với khóa công khai với một định danh thực thể (cá nhân, tổ chức, máy chủ, dịch vụ, … ) Chứng thư số không chứa bất kỳ một thông tin bí mật nào Về cơ bản, chứng thư số chứa những thông tin cần thiết như khóa công khai, chủ thể (người sở hữu), bên cấp chứng. .. 1998 Chứng thư số này gồm 2 phần: phần đầu là những trường cơ bản cần thiết phải có trong chứng thư số, phần thứ hai là phần chứa một số các trường phụ, hay còn gọi là trường mở rộng Các trường mở rộng thường được dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống Hình minh hoạ cấu trúc chứng thư số X.509 - Version : phiên bản của chứng thư số - Serial Number: số serial của chứng thư số, . dùng xác thực được chủ thể của chứng thư số, cũng như có thể an tâm về tính xác thực của chứng thư số. Ở Việt Nam hiện nay đã có một số đơn vị cung cấp và triển khai dịch vụ chứng thực số như. 2.6.8. Chứng thực số 43 2.7 .Thực trạng PKI ở Việt Nam 44 2.7.1. Các văn bản của Đảng và Nhà nước quy định về chứng thực chữ ký số . 44 2.7.2. Một số nhà cung cấp dịch vụ chứng thực chữ ký số công. Nguyên - 2014 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN ĐỖ VĂN CẢNH NGHIÊN CỨUHỆ THỐNG CHỨNG THỰC SỐ VÀ TRIỂN KHAI ỨNG DỤNG Mã số: 60 48