Ứng dụng mã hóa và chữ ký số cho thư điện tử

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Phạm Văn Cường

UNG DỤNG MÃ HÓA VA CHỮ KÝ SOCHO THƯ ĐIỆN TỬ

TOM TAT LUẬN VĂN THAC SY

HÀ NỘI - 2014

Luan van duoc hoan thanh tai:

Người hướng dẫn khoa hoc: TS.VŨ VĂN THOA

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện Công

nghệ Bưu chính Viễn thông

Có thé tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viên thông

MỞ ĐẦU

Ngày nay, sự phát triển các ứng dụng của công nghệ thông tin có một vị

trí quan trọng trong mọi lĩnh vực của cuộc sống Sự bùng nô của khoa hoc công

nghệ nói chung và công nghệ thông tin nói riêng đã đem lại rất nhiều lợi ích cho con người, rút ngắn khoảng cách về địa lý, tăng hiệu suất lao động, tiết kiệm

thời gian va chi phí cho công viéc

Thư điện tử đang ngày càng được sử dụng rộng rãi trong các lĩnh vực của

đời sống xã hội Hệ thống thư điện tử cho phép thực hiện các giao dịch một cách nhanh chóng hiệu quả Tuy nhiên, trong môi trường internet thiếu an toàn, thư điện tử dé dàng bi đọc trộm, thay đổi nội dung, mạo danh trước khi đến người nhận Trong môi trường truyền thống chúng ta bảo vệ nội dung thư băng phong bì và chữ ký Còn trong môi trường truyền thông điện tử trực tuyến, thư điện tử được bảo vệ băng việc sử dụng chứng thư số, chữ ký số.

Quá trình ký vào thư điện tử và các tệp đính kèm nhằm đảm bảo tính xác thực và chống chối bỏ trong các giao dịch trực tuyến Điều đó giúp người nhận kiểm tra tính toàn vẹn của thư điện tử Mã hóa nội dung thư và các tệp đính kèm dé đảm bao chi người nhận hop lệ mới xem được nội dung thư.

Các công ty và chính phủ đã nhận ra cần phải bảo mật cho thư điện tử Đứng trước nhu cau thực tế đó, rất nhiều công ty bảo mật đã phối hợp cùng với các doanh nghiệp, chính phủ phát triển các giải pháp, sản phẩm dé bảo vệ thông tin liên quan đến trao đối email trên môi trường internet Hiện này có rat nhiều

sản phẩm bảo mật thư điện tử đã được triển khai, chăng hạn như Lockbin,

Ca-microsoft, Safe-mail, Hushmail.com, DJIGZO gateway,

Giải pháp nguồn mở DJIGZO gateway sé là một máy chủ email MTA dùng dé mã hóa và giải mã thư điện tử vào/ra DJIGZO gateway tương thích với bat kỳ cơ sở hạ tang thư điện tử hiện có.

Dé có thé hiểu biết sâu hơn về mã hóa và giải mã thư điện tử, học viên đã chọn dé tài “Ứng dụng mã hóa và chữ ký số cho thư điện tử” làm đề tài luận

văn tốt nghiệp của mình.

Từ những phân tích trên, có thể thấy răng đề tài “Ứng dụng mã hóa và chữ ký số cho thư điện tử” mang tính cấp thiết và có ý nghĩa cả về lý thuyết lẫn ứng dụng thực tế.

Luận văn bao gồm những chương sau:

Chương 1: Tổng quan về an toàn thư điện tử.

Chường 2: Nghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho

an toàn và bảo mật thư điện tử

Chương 3: Ứng dụng mã hóa, chữ ký số cho thư điện tử.

Sau một thời gian nỗ lực hết mình, về cơ bản luận văn cũng đã nghiên cứu tong quát về mã hóa và giải mã thư điện tử, ứng dụng mã hóa và giải mã thư điện tử nhằm đảm bảo an toàn và bảo mật cho các hệ thống cung cấp dịch vụ thư điện tử của doanh nghiệp Tuy nhiên, do có sự hạn chế về kinh nghiệm, thời gian nên sẽ không tránh khỏi sai sót Kính mong Quý Thầy Cô, bạn bè , đồng nghiệp tham khảo đóng góp ý kiến dé luận văn được hoàn thiện hơn.

Em xin chân thành cảm ơn TS VŨ VĂN THỎA đã bớt chút thời gian qúy báu, hướng dẫn tận tình và cung cấp tài liệu bổ ích cho em trong qua trình

làm luận văn Đồng thời cũng xin cảm ơn Quý Thầy Cô của Học viện Công nghệ bưu chính viễn thông đã tận tình dậy dỗ, truyền thụ kiến thức và kinh

nghiệm cho em trong thời gian học tập và nghiên cứu tại trường.

CHUONG 1: TONG QUAN VE AN TOAN VÀ BAO MAT THU ĐIỆN

1.1 Lý thuyết chung về thư điện tử

1.1.1 Các thành phan cơ bản của hệ thong thư điện tử

cục bộ Hop “Vide [meen } = -—- Can ` |[seat |

-Hình 1.1: Mô hình một hệ thống thư điện tử

Đề thực hiện việc trao đổi thư với người dùng, giữa máy chủ (mail server) và các máy khác (mail client) thống nhất sử dụng chung một bộ giao thức gửi và nhận thư, trong đó có quy đinh cụ thé về cổng làm việc, quy trình thao tác,

các câu lệnh trao đôi, cấu trúc của thư điện tử Hinh 1.1 trình bày mô hình một hệ thống thư tín điện tử với giao thức gửi thư SMTP và giao thức POP hoặc

Hệ thống này bao gồm bốn phần tử chính: MUA (Mail User Agent),

MTA (Mail Transfer Agent), MDA (Mail Delivery Agent) MRA (Mail

Retrieval Agent).

- Mail User Agent (MUA): là chương trình phan mềm của máy client được người dùng sử dụng dé gửi nhận, soạn thảo, xử lý thư điện tử.

- Mail Tranfer Agent (MTA): là một chương trình thư của máy chủ, cho

phép truyền tải thư điện tử từ máy này sang máy khác.

- Mail Delivery Agent (MDA): là chương trình MTA sử dụng để chuyển thư vào hộp thư của người dùng hoặc dé truyền tải thư tới một MTA khác Mỗi MTA sử dụng một hoặc nhiều MDA, mỗi MDA được sử dụng cho một loại yêu cầu phân phát thư riêng.

- Mail Retrieval Agent (MRA): là một chương trình hoặc một dịch vụ có

chức năng lấy thư điện tử về từ một hộp thư trên một máy chủ ở xa và đưa chúng tới một MUA Các MRA truy văn các thư và các phần mềm header từ

những hộp thư ở xa và phân phát chúng tới các MUA trên máy của người dùng.

1.1.2 Cấu trúc một thư điện tử

Thư điện tử thường có hai phần chính: phần đầu (Header) và phần thần

(Body) là văn bản chưa nội dung của thư Khi gửi đi, toàn bộ thư điện tử được

gói trong nội dung (content) Ngoài ra, hệ thống thư còn tạo thêm một phần nữa được gọi là bì thư (envelope), phần này chứa các thông tin cần thiết cho việc

chuyên thư dén nơi nhận.

| =

Hình 1.2: Cau trúc của một thư điện tử 1.2 Một số giao thức hoạt động trong hệ thống thư điện tử 1.2.1 Một số giao thức sử dụng để gửi thư điện tử

1.2.1.1 Giao thức SMTP

SMTP là giao thức tin cậy, chịu trách nhiệm phân phat thư điện tử Nó

chuyền thư từ hệ thong mạng này sang hệ thống mạng khác, chuyền thư trong hệ thống mạng nội bộ.

1.2.1.2 Giao thức X.400

X.400 là giao thức được ITU-T va ISO định nghĩa và đã được ứng dụng

rộng rãi ở Châu Au, Canada X.400 cung cấp tính năng điều khiến và phân phối e-Mail, sử dụng đinh dạng nhị phân, do đó không cần mã hóa nội dung khi phân

phát thư trên mạng Internet.

1.2.2 Một số giao thức sử dụng dé nhận thư điện tử

1.2.2.1 Giao thức POP

POP là giao thức được thiết kế dé hỗ trợ tiến trình “offline”, trong tiến

trình này thư được phân phát tới một máy chủ Một máy tính cá nhân người

dùng gọi định kỳ một chương trình thư khách được kết nối tới máy chủ và tải tất cả thư treo đó tới máy tính của người dùng Cách truy cập offline là môt loại dịch vụ store-to-forward, được sử dụng dé chuyén thu (theo doen dat hang) ttr may chu thu (vi tri dua về) tới máy của người đọc thư, thường là một PC hoặc

1.2.2.2 Giao thức IMAP

IMAP là một giao thức cho phép client truy nhập email trên một server

(công 143/tcp) từ các máy trạm khác nhau không chỉ tải thông điệp thư điện tử về máy của người sử dụng (POP) mà có thé thực hiện các công việc như: tao, sửa, xóa, đôi tên mailbox, kiểm tra thông điệp mới, thiếp lập và xóa cờ trạng

Giao thức S/MINE (Security/Multipurpose Internet Mail Extensions) là

một tiêu chuẩn hỗ trợ an toàn, cụ thé là mã hóa cho giao thức MIME S/MINE

đưa vào hai phương pháp an ninh cho thư điện tử là chứng thực, đảm bảo toàn

vẹn, chống chối bỏ thông qua chữ ký số và đảm bảo bí mật và an toàn dữ liệu băng cách mã hóa.

Hầu như mọi email trên internet đều được truyền qua giao thức SMTP theo dang MIME chưa có sự đảm bao an toàn Ví dụ, người gửi tin nhắn có thé dễ dàng giả mạo, tức là email nhận được mà không chắc có đúng là người mà minh mong muốn nhan tin hay tin nhắn có bi giả mạo hay không thêm vào đó,

email thường không được mã hóa, có nghĩa răng nếu một người nào đó truy cập vào hộp thư cá nhân thì có thể xem được email.

MIME khắc phục những hạn chế của SMTP (Simple Mail Transfer

+ Không truyền được file nhị phân (chương trình, anh ).

+ Chỉ gửi được các ký tự ASCII 7 bít.

+ Không nhận thông báo vượt qua kích thước cho phép.

1.3 Yếu tố mắt an toàn thông tin điện tử

1.4 Giải pháp công nghệ

1.4.1 Giải pháp công nghệ Safe-mail

Safe-mail là hệ thống thông tin liên lạc an toàn, dé sử dụng Nó bao gồm các hệ thống thư đã được mã hóa với các tính năng tương tác và chức năng lưu trữ tài liệu Luôn luôn có thé truy cập bat cứ lúc nao từ bat cứ nơi nao.

Safe-mail với 3Mbyte không gian miễn phí Nhiều không gian lưu trữ và co đầy đủ các chức năng Safe-mail cung cấp theo gói phải mất phí Gói này

không có quảng cáo, tải hoặc cookies.Safe-mail với các tính năng sau:

Su dụng mã hóa PKI.

Safe-mail tương thích trình duyệt.

Hỗ trợ tất cả các giao thức POP, SMTP, IMAP, S/MIME.

1.4.2 Giải pháp công nghệ Hushmail

Hushmail là một dịch vụ mã hóa thư điện tử dùng trên nền web, trông giống như bat kỳ hệ thống webmail khác, nhưng hushmail mã hóa rất mạnh thư điện tử, bảo vệ an toàn thư điện tử Nó sử dụng chuẩn mã hóa phù hợp và cung

cấp truy cập di động (Android, iPhone, BlackBerry, vv.).

Hustmail với các tính năng sau:

Dễ dàng thiết lập.

Mã hóa thư điện tử không bi theo dõi.

Thư điện tử được mã hóa dùng chuẩn OpenPGP.

Duy trì và lưu trữ thư điện tử qua tài khoản của người sử dụng.

Khởi tạo ban đầu với $5.24/tháng cho mỗi tài khoản người sử dụng và phải mat phí khởi tai $9.99.

Được hỗ trợ bởi nhà cung cấp (hustmail) dé đảm bảo thư đện tử được

đảm bảo an toàn.

Hỗ trợ truy cập thư điện tử băng oulook và hỗ trợ điện thoại

1.4.3 Giải pháp công nghệ Djigzo gateway

DJIGZO gateway là giải pháp mã nguồn mở Djigzo là một máy chủ email MTA dé mã hóa thư điện tử vào/ra tại gateway.

Djigzo với các tính năng sau:

Hỗ trợ chuẩn mã hóa S/MIME (mã hóa va ký số qua djigzo gateway) Hỗ trợ chuẩn mã hóa PDF.

Hỗ trợ tinh năng DLP

1.4.4 Lựa chọn công nghệ bảo vệ thư điện tử an toàn.

Với phần giới thiệu các công nghệ bảo vệ thư an toàn ở trên Học viên lựa chọn giải pháp công nghệ Djigzo gateway dé bảo vệ an toàn cho thư điện tử Vì giải pháp này hoan toàn là miễn phí, dé dàng triển khai và áp dụng ngay vào hạ tầng hiện có của hệ thống thư điện tử Ngoài ra Hệ thống djigzo gateway sử

dụng giao thức S/MIME dùng dé mã hóa và ký số cho thư điện tử 1.5 Phân tích lựa chọn công nghệ triển khai thư điện tử an toàn

1.5.1 Giới thiệu các công nghệ thư điện tử

1.5.2 So sảnh các công nghệ triển khai thư điện tử an toàn

1.5.3 Lựa chọn công nghệ thư điện tử

Kết luận chương 1: : Chương này nói về cầu trúc của một thư điện tử, một hệ

thống thu tín điện tu , các giao thức được sử dụng cho thư điện tử và các giao thức bảo mật cho thư điện từ Đồng thời chương này cũng giới thiệu các giải

pháp công nghệ bảo vệ an toàn thư điện tử, từ đó học viên lựa chọn giải pháp

mã nguồn mở Djigzo dé bảo vệ hệ thống thư điện tử được an toàn Ngoài ra, học viên có các so sánh, phân tích và lựa chọn giải pháp nguồn mở Zimbra cho hệ thống mail server sẽ được thiết kế theo mô hình ở chương 3 của luận văn

này.

CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG CƠ SỞ HẠ TẢNG KHÓA CÔNG KHAI CHO AN TOÀN VÀ BẢO MẬT THƯ ĐIỆN TỬ

2.1 Đặt vấn đề

2.2 Cơ sở hạ tầng khóa công khai

2.2.1 Khải niệm PKI

Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào qua trình trao đôi thông tin.Cơ chế này cũng cho phép gan cho mỗi người sử dụng trong hệ thống một cặp public/private.Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng Khóa công khai thường được phân phối

trong chứng thực khóa công khai (PKI)

Khái niệm hạ tầng khóa công khai (PKI) thường được dùng chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực số (CA) cùng cơ chế liên quan đồng

thời với toàn bộ việc sử dụng các thuật toán mã hóa công khai trong việc trao

đổi thông tin Tuy nhiên phan sau được bao gồm không hoan toàn chính xác bởi vì các cơ chế trong PKI không nhất thiết sử dụng thuật toán mã hóa công khai.

PKI cho phép các giao dịch điện tử được diễn ra đảm bỏa tính bí mật,

toàn vẹn và xác thực lẫn nhau mà không cần trao đôi các thông tin bảo mật từ trước.Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối lien hệ giữa khóa và đinh dạng người dung Nhờ vậy, người dung có thé sử dụng trong một số ứng dụng như:

- Ma hóa Email hoặc xác thực người gửi Email.

- _ Mã hóa hoặc chứng thực văn ban.- Xac thực người dùng ứng dụng.

- Các giao thức truyền thông an toan dùng kỹ thuật Bootstrapping (IKE, SSL): trao đổi băng khóa bat đối xứng, mã hóa bằng khóa đối xứng.

Vậy PKI là một tập hợp các phần cứng, phần mềm, con người, các chính

sách và các thủ tục cần thiết dé tạo, quản lý, lưu trữ, phân phối và thu hồi các

chứng thư khóa công khai dựa trên mật mã khóa công khai.

2.2.2 Thanh phan cơ bản của một PKI

2.2.3 Các dich vu PKI

2.2.3.1 Dịch vụ cốt lõi của PKI

PKI được kết hợp từ 3 dịch vụ cơ bản sau:

Xác thực (Authentication): Đảm bảo cho một người dùng rang một thực thê nào

đó đúng là đối tượng mà họ cần khăng định.

Tính toàn vẹn (Integrity): Đảm bảo đữ liệu không bị thay đổi, nếu có thay đổi thì bị phát hiện Để đảm bảo tính toàn vẹn, một hệ thống phải có khả năng phát hiện những thay đổi dữ liệu trái phép Mục đích là giúp cho người nhận dữ liệu xác minh được rang dữ liệu không bi thay đồi.

Bảo mat (Confidentiality): Đảm bảo tính bi mật của dir liệu, không cai có thé

đọc được nội dung của dữ liệu ngoại trừ những người dùng định trước và các

dữ liệu nhạy cảm đều cần được bảo mật.

2.2.3.2 Các dịch vụ PKI hỗ trợ

Là các dịch vụ được hỗ trợ bởi PKI theo một cách nào đó, đây là các dịch

vu von không phải của PKI nhưng có thé xây dựng trên các dich vụ cốt lõi của

Chữ ký điện từ là thuật ngữ chỉ tat cả các phương pháp khac nhau dé một nguol có thể “ký tên” vào một dữ liệu điện tử thể hiện sự chấp thuận và xác

nhận tính nguyên bản của nội dung dữ liệu đó.

Chữ ký điện tử rất đa dạng, có thể là một cái tên đặt cuối đữ liệu điện tử, một ảnh chụp chữ ký viết tay gắn với dữ liệu điện tử, một mã số bí mật có khả

năng xác đinh người gửi dữ liệu điện tử, một biện pháp sinh hoc có khả năngxác định nhân than người sử dữ liệu điện tử,

Chữ ký số (Digital Signature) là một dạng chữ ký điện tử an toàn nhất và cũng được sử dụng rộng rãi nhất trong các giao dich điện tử hiện nay trên thế giới Chữ ký số hình thành dựa trên nền tang ha tần khóa công khai (public Key infrastructure — PKI), kỹ thuật nay bao gồm một cặp khóa: khóa bí mật và khóa công khai Trong đó, khóa bí mật được người sử dụng dé ky (hay mã hóa) một dữ liệu điện tử, còn khóa công khai được người nhận sử dụng dé mở dir liệu

điện tử đó (giải mã) và xác thực danh tính người gửi.

2.3.2 Chứng thư số

2.3.3 Tham quyên chứng thư

2.3 Chữ ký số dùng cho thư điện tử

Chữ ký điện tử (Digiatal Signature) dựa trên kỹ thuật sử dụng mã hóa

công khai Trong đó, cả người gửi và người nhận, mỗi người có một cặp khóa là

khóa bí mât, hay riêng tử (Private Key) và khóa công khai (Public Key).

Chữ ký điện tử hoạt động khi một người gửi một thông điệp, người đó

dùng khóa riêng của minh để mã hóa thống điệp sang một dạng khó nhận dạng Người nhận dùng khóa công khai của người gửi dé mã hóa thông điệp Tuy

nhiên, để an toàn thật sự phải có các bườc bố sung Do đó, thuật toán băm MDS và thuật toán mã hóa RSA có thé được áp dụng dé xây dựng ứng dụng chữ ký

điện tử.

Do tầm quan trọng chiến lược của nội dung chứa đựng bên trong thư điện

tử nên yêu câu đặt ra là phải bải vệ được tính bí mật va an tàon của các bưc