Chương V CHỮ KÍ SỐ • Chữ ký số không những giúp xác thực thông báo mà còn bảo vệ mỗi bên khỏi bên kia • Chức năng chữ ký số  Xác minh tác giả và thời điểm ký thông báo  Xác thực nội dung thông báo  Là căn cứ để giải quyết tranh chấp • Phân loại  Chữ kí số trực tiếp  Chữ kí số gián tiếp Chữ ký số  Yêu cầu đối với chữ ký số: • Phụ thuộc vào thông báo được ký • Sử dụng thông tin riêng của người gửi  Để tránh giả mạo và chối bỏ • Dễ tạo ra • Dễ nhận biết và kiểm tra • Khó giả mạo  Bằng cách tạo thông báo khác có cùng chữ ký số  Bằng cách tạo chữ ký số theo ý muốn cho thông báo • Thuận tiện trong việc lưu trữ Chữ ký số  Chữ ký số trực tiếp: • Chỉ liên quan đến bên gửi và bên nhận • Dùng khóa riêng ký toàn bộ thông báo hoặc giá trị băm • Có thể mã hóa sử dụng khóa công khai của bên nhận • Quan trọng là ký trước mã hóa sau • Chỉ có tác dụng khi khóa riêng của bên gửi được đảm bảo an toàn  Kẻ cắp có thể gửi thông báo với thông tin thời gian sai lệch Chữ ký số  Chữ ký số gián tiếp: • Có sự tham gia của một bên trọng tài  Nhận thông báo có chữ ký số từ bên gửi, kiểm tra tính hợp lệ của nó  Bổ xung thông tin thời gian và gửi đến bên nhận • An toàn phụ thuộc chủ yếu vào bên trọng tài  Cần được bên gửi và bên nhận tin tưởng • Có thể cài đặt với mã hóa đối xứng hoặc mã hóa khóa công khai • Bên trọng tài có thể được phép nhìn thấy hoặc không nội dung thông báo Chữ ký số  Các kỹ thuật chữ ký số gián tiếp: (a) Mã hóa đối xứng, trọng tài thấy thông báo (1) X → A : M ║ E K XA [ID X ║ H(M)] (2) A → Y : E K AY [ID X ║ M ║ E K XA [ID X ║ H(M)] ║ T] (b) Mã hóa đối xứng, trọng tài không thấy thông báo (1) X → A : ID X ║ E K XY [M] ║ E K XA [ID X ║ H(E K XY [M])] (2) A → Y : E K AY [ID X ║ E K XY [M] ║ E K XA [ID X ║ H(E K XY [M])] ║ T (c) Mã hóa khóa công khai, trọng tài không thấy thông báo (1) X → A : ID X ║ E KR X [ID X ║ E KU Y [E KR X [M])] (2) A → Y : E KR A [ID X ║ E KU Y [E KR X [M]] ║ T] Ký hiệu : X = Bên gửi M = Thông báo Y = Bên nhận T = Nhãn thời gian A = Trọng tài Chữ ký số  Tạo chữ kí - Từ file cần gửi ban đầu, chương trình sẽ sử dụng hàm băm MD5 để mã hóa thành chuỗi ký tự dài 128 bit, hash value (gọi là bản tóm lược). - Chương trình sử dụng thuật toán RSA để mã hóa khóa riêng (private key) của người gửi và bản tóm lược hash value thành một dạng khác (giá trị băm ở dạng mật mã) gọi là chữ ký điện tử. - Kết hợp file ban đầu với chữ ký điện tử thành một thông điệp đã ký và gửi đi cho người nhận Chữ ký số  Sơ đồ tạo chữ kí Chữ ký số  Chứng thực chữ kí Với quá trình chứng thực, hệ thống sẽ tách thông điệp đã ký thành ra file và chữ ký điện tử. Đến giai đoạn này sẽ có 2 quá trình kiểm tra : 1. Kiểm tra file có đúng người gửi hay không? - Sử dụng thuật toán RSA để giải mã chữ ký điện tử bằng khóa công khai (username) của người gửi. - Nếu giải mã không được thì file nhận được không đúng người gửi. - Nếu giải mã thành công thì file nhận được đúng người gửi và có được Bản tóm lược 1. 2. Kiểm tra file có bị thay đổi hay không? - Từ file được tách ra ta sử dụng hàm băm MD5 mã hóa thành Bản tóm lược 2. - Kiểm tra Bản tóm lược 1 và Bản tóm lược 2 có giống nhau hay không? Nếu giống nhau thì file nhận được là vẹn toàn (không bị thay đổi hay tác động), ngược lại là file đã bị thay đổi Chữ ký số  Chứng thực chữ kí Chữ ký số [...]... - Thời gian hợp pháp của Certificate - Các thuộc tính - Chữ ký diện tử của nhà cung cấp - Khoá công khai của người sở hứu Certificate - Thuật toán băm dùng để tạo chữ ký Digital Certificate  Sơ đồ tạo Digital Certificate Digital Certificate  Chứng thực Digital Certificate Các ứng dụng xác thực • Mục đích của các ứng dụng xác thực là hỗ trợ xác thực và chữ ký số ở mức ứng dụng • Phân làm 2 loại chính... thực được chữ ký điện tử bắt buộc người nhận phải có khoá chung của người gửi Bản chất cặp khoá này không liên hệ với thuộc tính của người sử dụng vì vậy cần có cơ chế để liên kết chúng với người dùng > các certificate • Các Certificate được cung cấp bởi CA Digital Certificate  Các thông tin trong Certtificate - Phiên bản - Số serial - Nhà cung cấp Certifficate - Người giữ Certificate - Thời gian... X .50 9 • Nằm trong loạt khuyến nghị X .50 0 của ITU-T nhằm chuẩn hóa dịch vụ thư mục – Servers phân tán lưu giữ CSDL thông tin người dùng • Định ra một cơ cấu cho dịch vụ xác thực – Danh bạ chứa các chứng thực khóa công khai – Mỗi chứng thực bao gồm khóa công khai của người dùng ký bởi một bên chuyên trách chứng thực đáng tin • Định ra các giao thức xác thực • Sử dụng mật mã khóa công khai và chữ ký số. .. Phân hệ Kerberos 1 Yêu cầu thẻ cho TGS cục bộ 2 Thẻ cho TGS cục bộ 3 Yêu cầu thẻ cho TGS ở xa 4 Thẻ cho TGS ở xa 5 Yêu cầu thẻ cho server ở xa 6 Thẻ cho server ở xa 7 Yêu cầu dịch vụ ở xa Kerberos 5 • Phát triển vào giữa những năm 1990 (sau Kerberos 4 vài năm) đặc tả trong RFC 151 0 • Có một số cải tiến so với phiên bản 4 – Khắc phục những khiếm khuyết của môi trường • Phụ thuộc giải thuật mã hóa, phụ... EKC,tgs[KC,V ║ IDV ║ TS4 ║ ThẻV] ThẻV = EKV[KC,V ║ IDC ║ ADC ║ IDV ║ TS4 ║ Hạn4] DấuC = EKC,tgs[IDC ║ ADC ║ TS3] (c) Trao đổi xác thực client/server : để có dịch vụ (5) C → V : ThẻV ║ DấuC (6) V → C : EKC,V[TS5 + 1] DấuC = EKC,V[IDC ║ ADC ║ TS5] Mô hình tổng quan Kerberos Mỗi phiên người dùng một lần Client c ầu Yêu ấp thẻ c th ẻ i ên a ph kh ó hẻ + T ị ch vụ u t hẻ d Yêu cầ a phiên ẻ + k hó Th Yê u AS... Mục đích của các ứng dụng xác thực là hỗ trợ xác thực và chữ ký số ở mức ứng dụng • Phân làm 2 loại chính – Dựa trên mã hóa đối xứng • Dịch vụ Kerberos • Giao thức Needham-Schroeder – Dựa trên khóa công khai được chứng thực • Dịch vụ X .50 9 • Hệ thống PGP Kerberos • Hệ thống dịch vụ xác thực phát triển bởi MIT • Nhằm đối phó với các hiểm họa sau – Người dùng giả danh là người khác – Người dùng thay đổi... phiên er dịch vụ một lần vụ Server dịch vụ Phân hệ Kerberos • Một phân hệ Kerberos bao gồm – Một server Kerberos chứa trong CSDL danh tính và mật khẩu băm của các thành viên – Một số người dùng đăng ký làm thành viên – Một số server dịch vụ, mỗi server có một khóa bí mật riêng chỉ chia sẻ với server Kerberos • Mỗi phân hệ Kerberos thường tương ứng với một phạm vi hành chính • Hai phân hệ có thể tương... cấp X .50 9 Thu hồi chứng thực • Mỗi chứng thực có một thời hạn hợp lệ • Có thể cần thu hồi chứng thực trước khi hết hạn – Khóa riêng của người dùng bị tiết lộ – Người dùng không còn được CA chứng thực – Chứng thực của CA bị xâm phạm • Mỗi CA phải duy trì danh sách các chứng thực bị thu hồi (CRL) • Khi nhận được chứng thực, người dùng phải kiểm tra xem nó có trong CRL không Các thủ tục xác thực Chương. .. người dùng ký bởi một bên chuyên trách chứng thực đáng tin • Định ra các giao thức xác thực • Sử dụng mật mã khóa công khai và chữ ký số – Không chuẩn hóa giải thuật nhưng khuyến nghị RSA Khuôn dạng X .50 9 Nhận chứng thực • Cứ có khóa công khai của CA (cơ quan chứng thực) là có thể xác minh được chứng thực • Chỉ CA mới có thể thay đổi chứng thực – Chứng thực có thể đặt trong một thư mục công khai • Cấu... frame chứa địa chỉ nguồn và đích Đối phương có thể quan sát sự chuyển tải trong LAN và xác định mọi traffic cần thiết dựa trên địa chỉ nguồn và đích • Nếu LAN cung cấp khả năng truy nhập theo đường dail-in, đối phương có thể truy cập vào mạng và theo dõi luồng truyền tải • Từ LAN truy cập ra ngoài thường thông qua: router, modem, commserver Từ các commserver thường có các đường kết nối tới các patch . mã) gọi là chữ ký điện tử. - Kết hợp file ban đầu với chữ ký điện tử thành một thông điệp đã ký và gửi đi cho người nhận Chữ ký số  Sơ đồ tạo chữ kí Chữ ký số  Chứng thực chữ kí Với quá trình. thông báo  Là căn cứ để giải quyết tranh chấp • Phân loại  Chữ kí số trực tiếp  Chữ kí số gián tiếp Chữ ký số  Yêu cầu đối với chữ ký số: • Phụ thuộc vào thông báo được ký • Sử dụng thông tin. Certtificate. - Phiên bản - Số serial - Nhà cung cấp Certifficate - Người giữ Certificate - Thời gian hợp pháp của Certificate - Các thuộc tính - Chữ ký diện tử của nhà cung cấp - Khoá công khai