Ứng dụng mã hóa và chữ ký số cho thư điện tử

Sau một thời gian nỗ lực hết mình, về cơ bản luận văn cũng đã nghiêncứu tong quát về mã hóa và giải mã thư điện tử, ứng dụng mã hóa và giải mãthư điện tử nhằm đảm bảo an toàn và bảo mật

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

_

Phạm Văn Cường

UNG DỤNG MÃ HÓA VA CHỮ KÝ SO

CHO THƯ ĐIỆN TỬ

TOM TAT LUẬN VĂN THAC SY

HÀ NỘI - 2014

Luan van duoc hoan thanh tai:

Người hướng dẫn khoa hoc: TS.VŨ VĂN THOA

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện Công

nghệ Bưu chính Viễn thông

gIỜ

Có thé tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viên thông

MỞ ĐẦUNgày nay, sự phát triển các ứng dụng của công nghệ thông tin có một vị

trí quan trọng trong mọi lĩnh vực của cuộc sống Sự bùng nô của khoa hoc công

nghệ nói chung và công nghệ thông tin nói riêng đã đem lại rất nhiều lợi ích chocon người, rút ngắn khoảng cách về địa lý, tăng hiệu suất lao động, tiết kiệm

thời gian va chi phí cho công viéc

Thư điện tử đang ngày càng được sử dụng rộng rãi trong các lĩnh vực của

đời sống xã hội Hệ thống thư điện tử cho phép thực hiện các giao dịch mộtcách nhanh chóng hiệu quả Tuy nhiên, trong môi trường internet thiếu an toàn,thư điện tử dé dàng bi đọc trộm, thay đổi nội dung, mạo danh trước khi đếnngười nhận Trong môi trường truyền thống chúng ta bảo vệ nội dung thư băngphong bì và chữ ký Còn trong môi trường truyền thông điện tử trực tuyến, thưđiện tử được bảo vệ băng việc sử dụng chứng thư số, chữ ký số

Quá trình ký vào thư điện tử và các tệp đính kèm nhằm đảm bảo tính xácthực và chống chối bỏ trong các giao dịch trực tuyến Điều đó giúp người nhậnkiểm tra tính toàn vẹn của thư điện tử Mã hóa nội dung thư và các tệp đínhkèm dé đảm bao chi người nhận hop lệ mới xem được nội dung thư

Các công ty và chính phủ đã nhận ra cần phải bảo mật cho thư điện tử.Đứng trước nhu cau thực tế đó, rất nhiều công ty bảo mật đã phối hợp cùng vớicác doanh nghiệp, chính phủ phát triển các giải pháp, sản phẩm dé bảo vệ thôngtin liên quan đến trao đối email trên môi trường internet Hiện này có rat nhiềusản phẩm bảo mật thư điện tử đã được triển khai, chăng hạn như Lockbin, Ca-

microsoft, Safe-mail, Hushmail.com, DJIGZO gateway,

Giải pháp nguồn mở DJIGZO gateway sé là một máy chủ email MTAdùng dé mã hóa và giải mã thư điện tử vào/ra DJIGZO gateway tương thích vớibat kỳ cơ sở hạ tang thư điện tử hiện có

Dé có thé hiểu biết sâu hơn về mã hóa và giải mã thư điện tử, học viên đãchọn dé tài “Ứng dụng mã hóa và chữ ký số cho thư điện tử” làm đề tài luận

văn tốt nghiệp của mình.

Từ những phân tích trên, có thể thấy răng đề tài “Ứng dụng mã hóa vàchữ ký số cho thư điện tử” mang tính cấp thiết và có ý nghĩa cả về lý thuyếtlẫn ứng dụng thực tế

Luận văn bao gồm những chương sau:

Chương 1: Tổng quan về an toàn thư điện tử

Chường 2: Nghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho

an toàn và bảo mật thư điện tử

Chương 3: Ứng dụng mã hóa, chữ ký số cho thư điện tử

Sau một thời gian nỗ lực hết mình, về cơ bản luận văn cũng đã nghiêncứu tong quát về mã hóa và giải mã thư điện tử, ứng dụng mã hóa và giải mãthư điện tử nhằm đảm bảo an toàn và bảo mật cho các hệ thống cung cấp dịch

vụ thư điện tử của doanh nghiệp Tuy nhiên, do có sự hạn chế về kinh nghiệm,thời gian nên sẽ không tránh khỏi sai sót Kính mong Quý Thầy Cô, bạn bè ,đồng nghiệp tham khảo đóng góp ý kiến dé luận văn được hoàn thiện hơn

Em xin chân thành cảm ơn TS VŨ VĂN THỎA đã bớt chút thời gianqúy báu, hướng dẫn tận tình và cung cấp tài liệu bổ ích cho em trong qua trìnhlàm luận văn Đồng thời cũng xin cảm ơn Quý Thầy Cô của Học viện Côngnghệ bưu chính viễn thông đã tận tình dậy dỗ, truyền thụ kiến thức và kinh

nghiệm cho em trong thời gian học tập và nghiên cứu tại trường.

CHUONG 1: TONG QUAN VE AN TOAN VÀ BAO MAT THU ĐIỆN

+

TƯ

1.1 Lý thuyết chung về thư điện tử

1.1.1 Các thành phan cơ bản của hệ thong thư điện tử

cục bộ Hop “Vide [meen } = -—- Can ` | [seat |

-Hình 1.1: Mô hình một hệ thống thư điện tử

Đề thực hiện việc trao đổi thư với người dùng, giữa máy chủ (mail server)

và các máy khác (mail client) thống nhất sử dụng chung một bộ giao thức gửi

và nhận thư, trong đó có quy đinh cụ thé về cổng làm việc, quy trình thao tác,các câu lệnh trao đôi, cấu trúc của thư điện tử Hinh 1.1 trình bày mô hình một

hệ thống thư tín điện tử với giao thức gửi thư SMTP và giao thức POP hoặc

IMAP.

Hệ thống này bao gồm bốn phần tử chính: MUA (Mail User Agent),

MTA (Mail Transfer Agent), MDA (Mail Delivery Agent) MRA (Mail

Retrieval Agent).

- Mail User Agent (MUA): là chương trình phan mềm của máy clientđược người dùng sử dụng dé gửi nhận, soạn thảo, xử lý thư điện tử

- Mail Tranfer Agent (MTA): là một chương trình thư của máy chủ, cho

phép truyền tải thư điện tử từ máy này sang máy khác

- Mail Delivery Agent (MDA): là chương trình MTA sử dụng để chuyểnthư vào hộp thư của người dùng hoặc dé truyền tải thư tới một MTA khác MỗiMTA sử dụng một hoặc nhiều MDA, mỗi MDA được sử dụng cho một loại yêucầu phân phát thư riêng

- Mail Retrieval Agent (MRA): là một chương trình hoặc một dịch vụ có

chức năng lấy thư điện tử về từ một hộp thư trên một máy chủ ở xa và đưachúng tới một MUA Các MRA truy văn các thư và các phần mềm header từ

những hộp thư ở xa và phân phát chúng tới các MUA trên máy của người dùng.

1.1.2 Cấu trúc một thư điện tử

Thư điện tử thường có hai phần chính: phần đầu (Header) và phần thần

(Body) là văn bản chưa nội dung của thư Khi gửi đi, toàn bộ thư điện tử được

gói trong nội dung (content) Ngoài ra, hệ thống thư còn tạo thêm một phần nữađược gọi là bì thư (envelope), phần này chứa các thông tin cần thiết cho việc

chuyên thư dén nơi nhận.

SMTP là giao thức tin cậy, chịu trách nhiệm phân phat thư điện tử Nó

chuyền thư từ hệ thong mạng này sang hệ thống mạng khác, chuyền thư trong

hệ thống mạng nội bộ

1.2.1.2 Giao thức X.400

X.400 là giao thức được ITU-T va ISO định nghĩa và đã được ứng dụng

rộng rãi ở Châu Au, Canada X.400 cung cấp tính năng điều khiến và phân phốie-Mail, sử dụng đinh dạng nhị phân, do đó không cần mã hóa nội dung khi phân

phát thư trên mạng Internet.

1.2.2 Một số giao thức sử dụng dé nhận thư điện tử

1.2.2.1 Giao thức POP

POP là giao thức được thiết kế dé hỗ trợ tiến trình “offline”, trong tiến

trình này thư được phân phát tới một máy chủ Một máy tính cá nhân người

dùng gọi định kỳ một chương trình thư khách được kết nối tới máy chủ và tảitất cả thư treo đó tới máy tính của người dùng Cách truy cập offline là môt loạidịch vụ store-to-forward, được sử dụng dé chuyén thu (theo doen dat hang) ttrmay chu thu (vi tri dua về) tới máy của người đọc thư, thường là một PC hoặc

Mạc.

1.2.2.2 Giao thức IMAP

IMAP là một giao thức cho phép client truy nhập email trên một server

(công 143/tcp) từ các máy trạm khác nhau không chỉ tải thông điệp thư điện tử

về máy của người sử dụng (POP) mà có thé thực hiện các công việc như: tao,sửa, xóa, đôi tên mailbox, kiểm tra thông điệp mới, thiếp lập và xóa cờ trạng

Giao thức S/MINE (Security/Multipurpose Internet Mail Extensions) là

một tiêu chuẩn hỗ trợ an toàn, cụ thé là mã hóa cho giao thức MIME S/MINE

đưa vào hai phương pháp an ninh cho thư điện tử là chứng thực, đảm bảo toàn

MIME khắc phục những hạn chế của SMTP (Simple Mail Transfer

Protocol):

+ Không truyền được file nhị phân (chương trình, anh ).

+ Chỉ gửi được các ký tự ASCII 7 bít.

+ Không nhận thông báo vượt qua kích thước cho phép.

1.3 Yếu tố mắt an toàn thông tin điện tử

1.4 Giải pháp công nghệ

1.4.1 Giải pháp công nghệ Safe-mail

Safe-mail là hệ thống thông tin liên lạc an toàn, dé sử dụng Nó bao gồmcác hệ thống thư đã được mã hóa với các tính năng tương tác và chức năng lưutrữ tài liệu Luôn luôn có thé truy cập bat cứ lúc nao từ bat cứ nơi nao

Safe-mail với 3Mbyte không gian miễn phí Nhiều không gian lưu trữ và

co đầy đủ các chức năng Safe-mail cung cấp theo gói phải mất phí Gói này

không có quảng cáo, tải hoặc cookies.

Safe-mail với các tính năng sau:

Su dụng mã hóa PKI.

Safe-mail tương thích trình duyệt.

Hỗ trợ tất cả các giao thức POP, SMTP, IMAP, S/MIME

1.4.2 Giải pháp công nghệ Hushmail

Hushmail là một dịch vụ mã hóa thư điện tử dùng trên nền web, trônggiống như bat kỳ hệ thống webmail khác, nhưng hushmail mã hóa rất mạnh thưđiện tử, bảo vệ an toàn thư điện tử Nó sử dụng chuẩn mã hóa phù hợp và cungcấp truy cập di động (Android, iPhone, BlackBerry, vv.)

Hustmail với các tính năng sau:

Dễ dàng thiết lập

Mã hóa thư điện tử không bi theo dõi.

Thư điện tử được mã hóa dùng chuẩn OpenPGP

Duy trì và lưu trữ thư điện tử qua tài khoản của người sử dụng.

Khởi tạo ban đầu với $5.24/tháng cho mỗi tài khoản người sử dụng vàphải mat phí khởi tai $9.99

Được hỗ trợ bởi nhà cung cấp (hustmail) dé đảm bảo thư đện tử được

đảm bảo an toàn.

Hỗ trợ truy cập thư điện tử băng oulook và hỗ trợ điện thoại

smartphone.

1.4.3 Giải pháp công nghệ Djigzo gateway

DJIGZO gateway là giải pháp mã nguồn mở Djigzo là một máy chủemail MTA dé mã hóa thư điện tử vào/ra tại gateway

Djigzo với các tính năng sau:

Hỗ trợ chuẩn mã hóa S/MIME (mã hóa va ký số qua djigzo gateway)

Hỗ trợ chuẩn mã hóa PDF

Hỗ trợ tinh năng DLP

1.4.4 Lựa chọn công nghệ bảo vệ thư điện tử an toàn.

Với phần giới thiệu các công nghệ bảo vệ thư an toàn ở trên Học viên lựachọn giải pháp công nghệ Djigzo gateway dé bảo vệ an toàn cho thư điện tử Vìgiải pháp này hoan toàn là miễn phí, dé dàng triển khai và áp dụng ngay vào hạtầng hiện có của hệ thống thư điện tử Ngoài ra Hệ thống djigzo gateway sửdụng giao thức S/MIME dùng dé mã hóa và ký số cho thư điện tử

1.5 Phân tích lựa chọn công nghệ triển khai thư điện tử an toàn

1.5.1 Giới thiệu các công nghệ thư điện tử

1.5.2 So sảnh các công nghệ triển khai thư điện tử an toàn

1.5.3 Lựa chọn công nghệ thư điện tử

Kết luận chương 1: : Chương này nói về cầu trúc của một thư điện tử, một hệ

thống thu tín điện tu , các giao thức được sử dụng cho thư điện tử và các giaothức bảo mật cho thư điện từ Đồng thời chương này cũng giới thiệu các giải

pháp công nghệ bảo vệ an toàn thư điện tử, từ đó học viên lựa chọn giải pháp

mã nguồn mở Djigzo dé bảo vệ hệ thống thư điện tử được an toàn Ngoài ra,học viên có các so sánh, phân tích và lựa chọn giải pháp nguồn mở Zimbra cho

hệ thống mail server sẽ được thiết kế theo mô hình ở chương 3 của luận văn

này.

CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG CƠ SỞ HẠ TẢNG KHÓA

CÔNG KHAI CHO AN TOÀN VÀ BẢO MẬT THƯ ĐIỆN TỬ

2.1 Đặt vấn đề

2.2 Cơ sở hạ tầng khóa công khai

2.2.1 Khải niệm PKI

Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba(thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bêntham gia vào qua trình trao đôi thông tin.Cơ chế này cũng cho phép gan chomỗi người sử dụng trong hệ thống một cặp public/private.Các quá trình nàythường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềmkhác tại các địa điểm của người dùng Khóa công khai thường được phân phối

trong chứng thực khóa công khai (PKI)

Khái niệm hạ tầng khóa công khai (PKI) thường được dùng chỉ toàn bộ hệthống bao gồm cả nhà cung cấp chứng thực số (CA) cùng cơ chế liên quan đồng

thời với toàn bộ việc sử dụng các thuật toán mã hóa công khai trong việc trao

đổi thông tin Tuy nhiên phan sau được bao gồm không hoan toàn chính xác bởi

vì các cơ chế trong PKI không nhất thiết sử dụng thuật toán mã hóa công khai

PKI cho phép các giao dịch điện tử được diễn ra đảm bỏa tính bí mật,

toàn vẹn và xác thực lẫn nhau mà không cần trao đôi các thông tin bảo mật từtrước.Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối lien

hệ giữa khóa và đinh dạng người dung Nhờ vậy, người dung có thé sử dụngtrong một số ứng dụng như:

- Ma hóa Email hoặc xác thực người gửi Email.

- _ Mã hóa hoặc chứng thực văn ban.

- Xac thực người dùng ứng dụng.

- Các giao thức truyền thông an toan dùng kỹ thuật Bootstrapping (IKE,

SSL): trao đổi băng khóa bat đối xứng, mã hóa bằng khóa đối xứng

Vậy PKI là một tập hợp các phần cứng, phần mềm, con người, các chính

sách và các thủ tục cần thiết dé tạo, quản lý, lưu trữ, phân phối và thu hồi các

chứng thư khóa công khai dựa trên mật mã khóa công khai.

2.2.2 Thanh phan cơ bản của một PKI

2.2.3 Các dich vu PKI

2.2.3.1 Dịch vụ cốt lõi của PKI

PKI được kết hợp từ 3 dịch vụ cơ bản sau:

Xác thực (Authentication): Đảm bảo cho một người dùng rang một thực thê nào

đó đúng là đối tượng mà họ cần khăng định

Tính toàn vẹn (Integrity): Đảm bảo đữ liệu không bị thay đổi, nếu có thay đổithì bị phát hiện Để đảm bảo tính toàn vẹn, một hệ thống phải có khả năng pháthiện những thay đổi dữ liệu trái phép Mục đích là giúp cho người nhận dữ liệuxác minh được rang dữ liệu không bi thay đồi

Bảo mat (Confidentiality): Đảm bảo tính bi mật của dir liệu, không cai có thé

đọc được nội dung của dữ liệu ngoại trừ những người dùng định trước và các

dữ liệu nhạy cảm đều cần được bảo mật

2.2.3.2 Các dịch vụ PKI hỗ trợ

Là các dịch vụ được hỗ trợ bởi PKI theo một cách nào đó, đây là các dịch

vu von không phải của PKI nhưng có thé xây dựng trên các dich vụ cốt lõi của

Chữ ký điện từ là thuật ngữ chỉ tat cả các phương pháp khac nhau dé mộtnguol có thể “ký tên” vào một dữ liệu điện tử thể hiện sự chấp thuận và xác

nhận tính nguyên bản của nội dung dữ liệu đó.

Chữ ký điện tử rất đa dạng, có thể là một cái tên đặt cuối đữ liệu điện tử,một ảnh chụp chữ ký viết tay gắn với dữ liệu điện tử, một mã số bí mật có khả

năng xác đinh người gửi dữ liệu điện tử, một biện pháp sinh hoc có khả năng xác định nhân than người sử dữ liệu điện tử,

Chữ ký số (Digital Signature) là một dạng chữ ký điện tử an toàn nhất vàcũng được sử dụng rộng rãi nhất trong các giao dich điện tử hiện nay trên thếgiới Chữ ký số hình thành dựa trên nền tang ha tần khóa công khai (public Keyinfrastructure — PKI), kỹ thuật nay bao gồm một cặp khóa: khóa bí mật và khóacông khai Trong đó, khóa bí mật được người sử dụng dé ky (hay mã hóa) một

dữ liệu điện tử, còn khóa công khai được người nhận sử dụng dé mở dir liệu

điện tử đó (giải mã) và xác thực danh tính người gửi.

2.3.2 Chứng thư số

2.3.3 Tham quyên chứng thư

2.3 Chữ ký số dùng cho thư điện tử

Chữ ký điện tử (Digiatal Signature) dựa trên kỹ thuật sử dụng mã hóa

công khai Trong đó, cả người gửi và người nhận, mỗi người có một cặp khóa là

khóa bí mât, hay riêng tử (Private Key) và khóa công khai (Public Key).

Chữ ký điện tử hoạt động khi một người gửi một thông điệp, người đó

dùng khóa riêng của minh để mã hóa thống điệp sang một dạng khó nhận dạng.Người nhận dùng khóa công khai của người gửi dé mã hóa thông điệp Tuynhiên, để an toàn thật sự phải có các bườc bố sung Do đó, thuật toán băm MDS

và thuật toán mã hóa RSA có thé được áp dụng dé xây dựng ứng dụng chữ ký

điện tử.

Do tầm quan trọng chiến lược của nội dung chứa đựng bên trong thư điện

tử nên yêu câu đặt ra là phải bải vệ được tính bí mật va an tàon của các bưc

thông điệp điện tử Quy trình mã hóa và giải mã thư điện tử dưới đây là một

trong các giải pháp khả thi nhằm giải quyết bài toán bảo vệ thư tín điện tử

2.3.1 Quả trình mã hóa thư điện tử

2.3.2 Qua trình giải mã thư điện tu

2.4 Ứng dụng PKI cho an toàn và bảo mật thư điện tử

2.4.1 Cơ sở hạ tang khóa công khai cho hệ thong thư điện tử

2.4.2 Chữ ký số dùng cho thư điện tử

Chữ ký điện tử [6] (Digiatal Signature) dựa trên kỹ thuật sử dụng mã hóa

công khai Trong đó, cả người gửi và người nhận, mỗi người có một cặp khóa là

khóa bí mật, hay riêng tư (Private Key) và khóa công khai (Public Key).

Chữ ký điện tử hoạt động khi một người gửi một thông điệp, người đó

dùng khóa riêng của mình để mã hóa thông điệp sang một dạng khó nhận dạng.Người nhận dùng khóa công khai của người gửi để mã hóa thông điệp Tuynhiên, dé an toàn thật sự phải có các bước bố sung Do đó, thuật toán băm MDS

và thuật toán mã hóa RSA có thé được áp dụng dé xây dựng ứng dụng chữ ký

điện tử.

Do tầm quan trọng chiến lược [3 tr.268] của nội dung chứa đựng bêntrong thư điện tử nên yêu cầu đặt ra là phải bai vệ được tính bí mật va an toàn

của các bức thông điệp điện tử Quy trình mã hóa và giải mã thư điện tử dưới

đây là một trong các giải pháp khả thi nhằm giải quyết bài toán bảo vệ thư tín

điện tử.

2.4.2.1 Quá trình mã hóa thư điện tử