ỨNG DỤNG MÃ HÓA VÀ CHỮ KÝ SỐ CHO THƯ ĐIỆN TỬ

Trongmôi trường truyền thống chúng ta bảo vệ nội dung thư bằng phong bì và chữ ký.Còn trong môi trường truyền thông điện tử trực tuyến, thư điện tử được bảo vệ bằngviệ

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được aicông bố trong bất kỳ công trình nào khác

Người viết luận văn

MỤC LỤC

LỜI CAM ĐOAN i

MỤC LỤC ii

DANH MỤC CÁC CHỮ VIẾT TẮT iv

DANH MỤC CÁC BẢNG v

DANH MỤC CÁC HÌNH vi

MỞ ĐẦU 8

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THƯ ĐIỆN TỬ 3

1.1 Lý thuyết chung về thư điện tử 3

1.1.1 Các thành phần cơ bản của hệ thống thư điện tử 3

1.1.2 Cấu trúc một thư điện tử 6

1.2 Một số giao thức hoạt động trong hệ thống thư điện tử 7

1.2.1 Một số giao thức sử dụng để gửi thư điện tử 7

1.2.2 Một số giao thức sử dụng để nhận thư điện tử 9

1.2.3 Các giao thức an toàn bảo mật cho thư điện tử 11

1.2.4 Giao thức S/MIME 15

1.3 Các yếu tố mất an toàn thông tin thư điện tử 19

1.3.1 Hiểm họa đọc lén thư điện tử 19

1.3.2 Mạo danh 19

1.3.3 Bom thư 23

1.4 Giải pháp công nghệ bảo vệ thư điện tử an toàn 24

1.4.1 Giải pháp công nghệ Safe-mail 24

1.4.2 Giải pháp công nghệ Hushmail 25

1.4.3 Giải pháp công nghệ Djigzo gateway 25

1.4.4 Lựa chọn công nghệ bảo vệ thư điện tử an toàn 25

1.5 Phân tích lựa chọn công nghệ triển khai thư điện tử an toàn 26

1.5.1 Giới thiệu các công nghệ thư điện tử 26

1.5.2 So sánh các công nghệ triển khai thư điện tử an toàn 28

1.5.3 Lựa chọn công nghệ thư điện tử 30

CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI CHO AN TOÀN VÀ BẢO MẬT THƯ ĐIỆN TỬ 32

2.1 Đặt vấn đề 32

2.2 Cơ sở hạ tầng khóa công khai 32

2.2.1 Khái niệm PKI 32

2.2.2 Thành phần cơ bản của một PKI 33

2.2.3 Các dịch vụ PKI 33

2.2.4 Kiến trúc của hệ thống PKI 34

2.3 Tổng quan chữ ký số và chứng thực số 38

2.3.1 Chữ ký số 38

2.3.2 Chứng thư số 38

2.3.3 Thẩm quyền chứng thư 39

2.3.4 Tính cấp thiết 39

2.4 Ứng dụng PKI cho an toàn và bảo mật thư điện tử 40

2.4.1 Cơ sở hạ tầng khóa công khai cho hệ thống thư điện tử 40

2.4.2 Chữ ký số dùng cho thư điện tử 41

2.4.2.1 Quá trình mã hóa thư điện tử 42

2.4.2.2 Quá trình giải mã thư điện tử 43

2.4.2.3 Nhận xét - Đánh giá 43

CHƯƠNG 3: ỨNG DỤNG MÃ HÓA, CHỮ KÝ SỐ CHO THƯ ĐIỆN TỬ 45

3.1 Đặt vấn đề 45

3.2 Giới thiệu chung về hệ thống thư điện tử gateway DJIGZO 45

3.2.1 Giới thiệu về DJIGZO 45

3.2.2 Các đặc điểm và chức năng 46

3.2.3 Lưu đồ hoạt động hệ thống DJIGZO Gateway 52

3.3 Một số ưu nhược điểm triển khai DJIGZO 56

3.4 Thiết kế hệ thống thư điện tử an toàn với DJIGZO gateway 57

3.4.1 Đặt bài toán 57

3.4.2 Thiết kế hệ thống thư an toàn với DJIGZO 58

3.5 Xây dựng hệ thống thử nghiệm 59

3.5.1 Mô hình triển khai 59

3.5.2 Cài đặt và cấu hình Djigzo gateway 59

3.5.2.1 Yêu cầu phần mềm 59

3.5.2.2 Cài đặt 60

3.5.2.3 Cấu hình Djigzo gateway mã hóa S/MIME 63

3.6 Đánh giá hệ thống thử nghiệm 70

KẾT LUẬN 74

DANH MỤC TÀI LIỆU THAM KHẢO 75

DANH MỤC CÁC CHỮ VIẾT TẮT

Thuật ngữ Tiếng anh Tiếng việt

siêu văn bảnHTTP HyperText Transfer Protocol Giao thức truyền tải

siêu văn bảnHTTPS HyperText Transfer Protocol Secure Bảo mật giao thưc

truyền tải siêu văn bảnIMAP Interactive Mail Access Protocol Giao thức truy nhập thư

tương tác

MINE Multipurpose Internet Mail Extensions Định dạng mở rộng thư

bưu chínhSMTP Simple Mail Transfer Protocol Giao thức truyền tải thư

đơn giản

S/MIME Security/Multipurpose Internet Mail

Extensions

Bảo mật/ Định dạng mởrộng thư

DANH MỤC CÁC BẢNG

Bảng 1.2 Các cổng được gán cho các giao thức ứng dụng chạy

trên TLS/SSL

14

DANH MỤC CÁC HÌNH

Hình 1.6 Quá trình bảo vệ email bằng S/MIME bên gửi 16Hình 1.7 Quá trình nhận thư bằng S/MIME bên người nhận 17

Hình 1.10 Dữ liệu ký số S/MIME 18

Hình 3.23 Nhận thư bằng webmail chưa thiết lập khóa riêng 71

MỞ ĐẦU

Ngày nay, sự phát triển các ứng dụng của công nghệ thông tin có một vị tríquan trọng trong mọi lĩnh vực của cuộc sống Sự bùng nổ của khoa học công nghệnói chung và công nghệ thông tin nói riêng đã đem lại rất nhiều lợi ích cho conngười, rút ngắn khoảng cách về địa lý, tăng hiệu suất lao động, tiết kiệm thời gianvà chi phí cho công việc…

Thư điện tử đang ngày càng được sử dụng rộng rãi trong các lĩnh vực của đờisống xã hội Hệ thống thư điện tử cho phép thực hiện các giao dịch một cách nhanhchóng hiệu quả Tuy nhiên, trong môi trường internet thiếu an toàn, thư điện tử dễdàng bị đọc trộm, thay đổi nội dung, mạo danh trước khi đến người nhận Trongmôi trường truyền thống chúng ta bảo vệ nội dung thư bằng phong bì và chữ ký.Còn trong môi trường truyền thông điện tử trực tuyến, thư điện tử được bảo vệ bằngviệc sử dụng chứng thư số, chữ ký số

Quá trình ký vào thư điện tử và các tệp đính kèm nhằm đảm bảo tính xácthực và chống chối bỏ trong các giao dịch trực tuyến Điều đó giúp người nhậnkiểm tra tính toàn vẹn của thư điện tử Mã hóa nội dung thư và các tệp đính kèm đểđảm bảo chỉ người nhận hợp lệ mới xem được nội dung thư

Các công ty và chính phủ đã nhận ra cần phải bảo mật cho thư điện tử Đứngtrước nhu cầu thực tế đó, rất nhiều công ty bảo mật đã phối hợp cùng với các doanhnghiệp, chính phủ phát triển các giải pháp, sản phẩm để bảo vệ thông tin liên quanđến trao đổi email trên môi trường internet Hiện này có rât nhiều sản phẩm bảo mậtthư điện tử đã được triển khai, chẳng hạn như Lockbin, Ca-microsoft, Safe-mail,Hushmail.com, DJIGZO gateway, …

.Giải pháp nguồn mở DJIGZO gateway sẽ là một máy chủ email MTA dùng

để mã hóa và giải mã thư điện tử vào/ra DJIGZO gateway tương thích với bất kỳ

cơ sở hạ tầng thư điện tử hiện có

Để có thể hiểu biết sâu hơn về mã hóa và giải mã thư điện tử, học viên đã

chọn để tài “Ứng dụng mã hóa và chữ ký số cho thư điện tử” làm đề tài luận văn

tốt nghiệp của mình

Từ những phân tích trên, có thể thấy rằng đề tài “Ứng dụng mã hóa và chữ

ký số cho thư điện tử” mang tính cấp thiết và có ý nghĩa cả về lý thuyết lẫn ứng

dụng thực tế

Luận văn bao gồm những chương sau:

Chương 1: Tổng quan về an toàn thư điện tử.

Chường 2: Nghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tử

Chương 3: Ứng dụng mã hóa, chữ ký số cho thư điện tử.

Sau một thời gian nỗ lực hết mình, về cơ bản luận văn cũng đã nghiên cứutổng quát về mã hóa và giải mã thư điện tử, ứng dụng mã hóa và giải mã thư điện tửnhằm đảm bảo an toàn và bảo mật cho các hệ thống cung cấp dịch vụ thư điện tửcủa doanh nghiệp Tuy nhiên, do có sự hạn chế về kinh nghiệm, thời gian nên sẽkhông tránh khỏi sai sót.Kính mong Quý Thầy Cô, bạn bè , đồng nghiệp tham khảođóng góp ý kiến để luận văn được hoàn thiện hơn

Em xin chân thành cảm ơn TS.VŨ VĂN THỎA đã bớt chút thời gian qúy

báu, hướng dẫn tận tình và cung cấp tài liệu bổ ích cho em trong qua trình làm luậnvăn Đồng thời cũng xin cảm ơn Quý Thầy Cô của Học viện Công nghệ bưu chínhviễn thông đã tận tình dậy dỗ, truyền thụ kiến thức và kinh nghiệm cho em trongthời gian học tập và nghiên cứu tại trường

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT

THƯ ĐIỆN TỬ

1.1 Lý thuyết chung về thư điện tử

Hệ thống thư điện tử[2] cho phép người dùng trao đổi thư điện tử với nhau.Hệ thống này bào gồm một hoặc nhiều máy chủ thư tín (mail server), trên đó có càiđặt một phần mềm mail server để quản lý tài khoản của người dùng, thực hiện việctrao đổi thư giữa những người dùng và trao đổi thư với các máy chủ thư tín khác

1.1.1 Các thành phần cơ bản của hệ thống thư điện tử

Hình 1.1: Mô hình một hệ thống thư điện tử [3]

Để thực hiện việc trao đổi thư[2] với người dùng, giữa máy chủ (mail server)và các máy khác (mail client) thống nhất sử dụng chung một bộ giao thức gửi vànhận thư, trong đó có quy định cụ thể về cổng giao tiếp, quy trình thao tác, các câu

lệnh trao đổi, cấu trúc của thư điện tử Hình 1.1 trình bày mô hình một hệ thống thưtín điện tử với giao thức gửi thư SMTP [2] và giao thức POP hoặc IMAP.

Hệ thống này bao gồm bốn phần tử chính: MUA (Mail User Agent), MTA(Mail Transfer Agent), MDA (Mail Delivery Agent) MRA (Mail Retrieval Agent).1.1.1.1 Mail User Agent (MUA)

MUA[3] là chương trình quản lý đầu cuối cho phép người dùng có thể đọc,soạn thảo và gửi mail

MUA có thể lấy thư từ mail server về để xử lý(sử dụng giao thức POP) hoặcchuyển thư cho một MUA khác thông qua MTA(sử dụng giao thức SMTP)

MUA có thể xử lý trực tiếp thư ngay trên mail server (sử dụng giao thứcIMAP)

Chức năng chính của MUA là cung cấp giao diện cho người dùng tương tácvới thư gồm có:

 Soạn thảo, gửi thư

 Hiển thị thư gồm cả các tập tin đính kèm

 Gửi trả (Relay) hay chuyển tiếp thư (Create New)

 Đính kèm các tập tin vào các thư gửi đi (Text, HTML, MIME…)

 Thay đổi các tham số (ví dụ như server được sử dụng, kiểu hiển thị thư,kiểu mã hóa thư)

 Thao tác trên các thư mục thư cục bộ và ở xa

 Cung cấp số địa chỉ thư (danh bạ địa chỉ)

 Lọc thư

1.1.1.2 Mail Transfer Agent (MTA)

Khi các thư được gửi đến tử MUA [2], MTA có nhiệm vụ nhận diện ngườigửi và người nhận từ thông tin đóng gói trong phần header và điền các thông tin cầnthiết vào header Sau đó MTA sẽ chuyển thư cho MDA để chuyển đến hộp thư ngaytại MTA, hoặc chuyển cho Remote MTA

Việc chuyển giao các thư được các MTA quyết đinh dựa trên địa chỉ ngườinhận

Nếu nó trùng với hộp thư do MTA (local-MTA) quản lý thì thư được chuyểncho MDA để chuyển vào hộp thư.

Nếu địa chỉ thư bị lỗi, thư có thể được chuyển lại người gửi

Nếu không bị lỗi nhưng không phải là thư của MTA, tên miền được sử dụng

để xác định xem Remote MTA nào sẽ nhận thư theo các bản ghi MX trên hệ thốngtên miền

Khi các MX xác định được Remote MTA quản lý tên miền đó thì không cónghĩa là người nhận thuộc Remote MTA mà Remote MTA có thể đơn giản chỉtrung chuyển thư cho một MTA khác, có thể định tuyến thư cho địa chỉ khác nhưvai trò của một dịch vụ domain ảo (domain gateway) hoặc người nhận không tồn tạivà Remote MTA sẽ gửi lại cho MUA một lời cảnh báo (warning)

Zimbra Serer là một MTA dùng giao thức SMTP để đóng vai trò là mộtSMTP Server làm nhiệm vụ phân phối thư từ vùng này sang vùng khác

1.1.1.3Mail Delivery Agent(MDA)

MDA [2]Là một chương trình được MTA sử dụng để chuyển thư vào hộpthư của người dùng hoặc để truyền tải thư tới một MTA khác Mỗi MTA sử dụngmột hoặc nhiều MDA, mỗi MDA được sử dụng cho một loại yêu cầu phân phát thưriêng Ngoài ra MDA còn có khả năng lọc thư, định hướng thư …MTA có thể tíchhợp một hay nhiều MDA

1.1.1.4 Mail Retrieval Agent (MRA)

MRA [3]Là một chương trình hoặc một dịch vụ có chức năng lấy thư điện tử

về từ một hộp thư trên một máy chủ ở xa và đưa chúng tới một MUA Các MRAtruy vấn các thư và các phần header từ những hộp thư ở xa và phân phát chúng tớicác MUA trên máy của người dùng

1.1.2 Cấu trúc một thư điện tử

Thư điện tử thường có hai phần chính: phần đầu (Header)[3] và phần thần(Body) là văn bản chưa nội dung của thư Khi gửi đi, toàn bộ thư điện tử được góitrong nội dung (content) Ngoài ra, hệ thống thư còn tạo thêm một phần nữa đượcgọi là bì thư (envelope), phần này chứa các thông tin cần thiết cho việc chuyển thư

đến nơi nhận

Hình 1.2: Cấu trúc của một thư điện tử [2]

1.2Một số giao thức hoạt động trong hệ thống thư điện tử

Hệ thống Mail [3] được xây dựng dựa trên một số giao thức: SMTP, POP,MINE và IMAP

1.2.1 Một số giao thức sử dụng để gửi thư điện tử

1.2.1.1 Giao thức SMTP

SMTP [2] là giao thức tin cậy, chịu trách nhiệm phân phát thư điện tử Nóchuyển thư từ hệ thống mạng này sang hệ thống mạng khác, chuyển thư trong hệthống mạng nội bộ

SMTP là giao thức quy định việc truyền thư chủ yếu trên internet, được sửdụng như một cơ chế chung cho việc chuyển tải thư điện tử giữa các máy tính vớinhau trong giao thức TCP/IP Khi một tiến trình SMTP thực hiện, SMTP client mởkết nối TCP tới một tiên trình SMTP server nằm trên một máy chủ ở xa và cố gắng

để gửi mail thông qua kết nối SMTP server lắng nghe một kết nối TCP trên mộtcổng 25

Hình 1.3: Mô hình truyền thư sử dụng giao thức SMTP [2]

Khi SMTP client có một thông điệp được truyền đi, nó thiết lập một kênhtruyền hai chiều tới một SMTP server Trách nhiệm của SMTP client là chuyển giaonhững thông điệp thư cho một hoặc nhiều SMTP server (hoặc báo những lỗi sai khithực hiện).

1.2.1.1.1 Mô hình giao thức SMTP

Mô hình SMTP hỗ trợ cả hai phương pháp truyên phát thư end-to-end(không có các MTA trung gian) và store and forward Phương pháp end-to-endđược sử dụng giữa các mạng nội bộ của các tổ chức và phương pháp store-and-forward được lựa chọn cho cac hệ thống điều hành giữa các tổ chức có mạng sửdụng giao thức TCP/IP và SMTP cơ sở

Một tiến trình SMTP cơ bản có thể truyền tải thư điện tử tới một tiến trìnhkhác trên cùng một mạng hoặc tới một mạng khác thông qua tiến trình truyền tiếphoặc cổng nối có thể tới được cả hai mạng Một mô hình đơn giản các thành phầncủa hệ thống SMTP được trình bày trong hình 1.4:

Hình 1.4: Mô hình giao thức SMTP [2]

1.2.1.1.2 Hệ thống chuyển tiếp thư theo giao thức SMTP

Người dùng làm việc với UA (User Agent) Việc trao đổi thư sử dụng giaothức TCP được thực hiện nhờ một MTA, MTA gửi truyền thư qua mạng tới cổng 25của giao thức TCP của MTA nhận Việc truyền thông tin giữa các máy chủ gửi vàmáy chủ nhận ở mạng ngoài thì việc chuyển tiếp có thể phức tạp (xem Hình 1.5).Việc thêm một MTA vào phía người gửi và một MTA vào phía người nhận, cácMTA khác thực hiện như máy chủ và máy khách, có thể chuyển tiếp thư điện tử quamạng.

Hình 1.5: Mô hình SMTP với các MTA chuyển tiếp [2]

Hệ thống các MTA relay cho phép những nơi không sử dụng bộ giao thứcTCP/IP để gửi thư điện tử tới những người dùng ở nơi khác có thể hoặc không sửdụng bộ giao thức TCP/IP

Sự giữ trễ quá trình phân phát thư

Giao thức SMTP cho phép giữ trễ sự phân phát, và thư điện tử có thể đượcgiữ trễ tại vị trí người gửi, chỗ người nhận, hoặc các máy chủ trung gian

1.2.1.2Giao thức X.400

X.400 là giao thức được ITU-T và ISO định nghĩa và đã được ứng dụng rộng rãi ở Châu Âu, Canada X.400 cung cấp tính năng điều khiển và phân phối e-Mail, sử dụng đinh dạng nhị phân, do đó không cần mã hóa nội dung khi phân phát thư trên mạng Internet.

1.2.2 Một số giao thức sử dụng để nhận thư điện tử

Có hai giao thức chính thường được dùng bởi các ứng dụng máy thư khách

để truy cập thư tín từ các máy chủ :POP và IMAP

1.2.2.1 Giao thức POP

1.2.2.1.1 Khái niệm

POP cho phép người dùng có account tại máy chủ thư điện tử kết nối vàoMTA và lấy thư về máy tính của mình, ở đó cơ chế đọc và trả lời lại POP đượcphát triển đầu tiên vào năm 1984 và được nâng cấp từ bản POP2 lên POP3 và 1988và hiện nay hầu hết người sử dụng tiêu chuẩn POP3

POP3 kết nối trên nền TCP/IP để đến máy chủ thư điện tử (sử dụng cổng110), cho phép người dùng kết nối với server, tải mail về, sau đó có thể xem, thaotác với mail offline Mặc dù trong giao thức hỗ trợ để nguyên mail trên server,nhưng hầu hết người dùng đều thực hiện mặc đinh, tức là: kết nối, tải mail về, xóamail trên server rồi ngắt kết nối

POP3 (phiên bản 3) Đây là một cách thức để nhận các thông báo e-mailtrong đó thông báo được lưu giữ trên server đến khi người nhận lấy nó POP3 đượcquy định bởi tiêu chuân RFC 1939

1.2.2.1.2 Các lênh của POP3:

Bảng 1.1: Các lệnh POP3 [2]

USER Xác định username

PASS Xác định password

STAT Yêu cầu về trạng thái của hộp thư như số lượng thư và độ lớn của thư

LIST Hiện danh sách của thư

RETR Nhận thư

DELE Xóa một bức thư xác định

NOO

P Không làm gì cả

RSET Khôi phục lại những thư đã xóa (rollback)

QUIT Thực hiện việc thay đổi và thoát ra

1.2.2.2 Giao thức IMAP

IMAP là một giao thức cho phép client truy nhập email trên một server (cổng143/tcp) từ các máy trạm khác nhau IMAP không chỉ tải thông điệp thư điện tử vềmáy của người sử dụng (POP) mà có thể thực hiện các công việc như: tạo, sửa, xóa,đổi tên mailbox, kiểm tra thông điệp mới, thiếp lập và xóa cờ trạng thái,…

IMAP là thế hệ mới của giao thức POP (Post Office Protocol) IMAP là mộtgiao thức dạng client/server mà ở đó email được nhận về và được lưu trữ trênservers Khi sử dụng các email client như OE, Netscapse, người dùng có thể xemtrước thông tin header bao gồm người gửi và chủ đề lá thư, từ đó cho phép ngườidùng quyết định có download lá thư đó về hay không Người dùng cũng có thể tạonhiều folder hoặc mailboxes trên server, xóa tin nhắn

1.2.3Các giao thức an toàn bảo mật cho thư điện tử

1.2.3.1 Giao thức SSL

SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa haichương trình ứng dụng trên một cổng định trước (socket) nhằm mã hoá toàn bộthông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử nhưtruyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet Giaothức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứuNetscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hànhtrên mạng Internet Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổsung và hoàn thiện

Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo

tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứngdụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được

sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet Toàn bộ

cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biếncông khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm traođổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạngmáy tính Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thựcbởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digitalcertificate) dựa trên mật mã công khai (thí dụ RSA) Sau đây ta xem xét một cáchkhái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khảnăng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mạivà thanh toán điện tử

Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay”(handshake protocol) và giao thức “bản ghi” (record protocol) Giao thức bắt tayxác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tinhoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá vàtruyền tin hai chiều giữa hai đối tượng đó Khi hai ứng dụng máy tính, thí dụ giữamột trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽtrao đổi “lời chào” (hellos) dưới dạng các thông điệp cho nhau với xuất phát đầutiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá vànén số liệu có thể được áp dụng giữa hai ứng dụng

Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session

ID, session key) duy nhất cho lần làm việc đó Sau đó ứng dụng khách (trình duyệt)yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (webserver)

Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm (phiênbản 3.0):

 DES - chuẩn mã hoá dữ liệu (ra đời năm 1977), phát minh và sử dụng củachính phủ Mỹ

 DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh và sửdụng của chính phủ Mỹ.

 KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính phủ Mỹ

 MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh bởiRivest;

 RC2, RC4 - mã hoá Rivest, phát triển bởi công ty RSA Data Security;

 RSA - thuật toán khoá công khai, cho mã hoá va xác thực, phát triển bởiRivest, Shamir và Adleman;

 RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật toánRSA;

 SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi chính phủMỹ

 SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trongphần cứng Fortezza, sử dụng bởi chính phủ Mỹ

 Triple-DES - mã hoá DES ba lần

Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo mậtbên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực hiệntrong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng, phần mềm,firmware)

1.2.3.2 Giao thức TLS

Trong các ứng dụng thiết kế, TLS thường được thực hiện trên đầu trang củabất kỳ giao thức vận tải tầng nào, đóng gói ứng dụng giao thức cụ thể như HTTP,FTP, SMTP, NNTP, POP3 và IMAP…

Thông thường, hầu như tất cả hệ thống mail server đều yêu cầu lựa chọn cơchế mã hóa kết nối Hai phương thức sau được sử dụng - hoặc toàn bộ các địa chỉgửi qua SSL hoặc 1 cơ chế khác là StartTLS sẽ được sử dụng để kích hoạt quá trìnhmã hóa sau khi nhận được yêu cầu kết nối

Dịch vụ SSL, thường được sử dụng với các yêu cầu chuyên dụng, đặc biệtqua cổng TCP Sau đây là bảng tham khảo về các cổng quan trọng khác:

Bảng 1.2: Các cổng được gán cho các giao thức ứng dụng chạy trên TLS

Dịch vụ này sẽ lắng nghe yêu cầu từ cổng TCP, đặc biệt là những kết nốitrực tiếp qua SSL, ví dụ những hệ thống mail client nào không hỗ trợ SSL sẽ khôngthể giao tiếp với server IMAPs qua cổng 993 Một khi các dữ liệu và thông số mãhóa đã được thực hiện, chúng sẽ được “cấp phép” và tạo ra 1 tunnel - đường hầmriêng biệt, thông qua đó, quá trình lưu chuyển dữ liệu được thực hiện trong thực tế.Dựa vào sự kết hợp và các thành phần liên quan trong kết nối SSL, khi xảy ra bất kỳsự cố nào, các công cụ hỗ trợ như telnet và netcat thường có xu hướng rút ngắn quatrình này lại

Ngày càng nhiều, các SMTP được bảo vệ bởi TLS (RFC 3207).Các ứngdụng này sử dụng giấy chứng nhận để xác minh nhận dạng của thiết bị đầu cuối.1.2.3.3 Giao thức HTTPS

Giao thức HTTPS là tổ hợp của giao thức HTTP với giao thức SSL/TLS.Các kết nối HTTPS thường được sử dụng cho các giao dịch thanh toán hoặc cácgiao dịch nhạy cảm giữa các hệ thống thông tin trên World Wide Web HTTPSkhác với Secure HTTP (S-HTTP – định nghĩa trong RFC 2660)

Nguyên lý của giao thức HTTPS là tạo ra một kênh bảo mật (secure channel)trên một mạng không bảo mật, đảm bảo không bị nghe lén hay bị tấn công

Độ tin cậy của HTTPS dựa chủ yếu vào các CA – Certificate Authorities đãđược cài sẵn vào các trình duyệt Vì vậy một kết nối HTTPS đến một website đượccoi là tin cậy nếu tất cả các điều kiện sau được thỏa mãn:

 Người sử dụng tin CA chỉ xác thực các trang web hợp pháp

 Website cung cấp một chứng chỉ (certificate) hợp lệ - chứng chỉ đã được

ký bởi một CA tin cậy

 Chứng chỉ chỉ rõ (một cách chính xác) website đó

 Hoặc là các trạm trung chuyển (intervening hop) trên internet đáng tincậy, hoặc người dùng tin lớp mã hóa của giao thức (TLS hay SSL) làkhông thể bị nghe trộm

1.2.4 Giao thức S/MIME

Giao thức MIME[9], [14] quy đinh cách thức định dạng nội dung các thôngđiệp email (email message) giữa các thệ thống email Định dạng MIME rất phứctạp, cho phép đưa bất kỳ dạng file hoặc tài liệu vào một thông điệp email như text,

âm thanh, hình ảnh hoặc các định dạng dữ liệu Một thông điệp email đinh dạngMIME có thể chứa:

 Đưa nhiều object vào trong một thông điệp email

 Không giới hạn độ dài text trong một thông điệp email

 Ngoài ra ASCII còn hỗ trợ các character set, cho phép thể hiện các thôngđiệp email trong nhiều ngôn ngữ khác nhau

 Nhiều font chữ khác nhau

 Các file nhị phân hoặc các file ứng dụng (ví du: doc, pdf…)

 Hình ảnh, âm thanh, video và các dạng multimedia khác

Phần lớn các email trên internet truyền đi bởi giao thức SMTP trong đinhdạng MIME Hai giao thức này có liên quan mật thiết với nhau nên thường được gọilà SMTP/MIME

Phiên bản bảo mật của MIME , S/MIME hỗ trợ mã hóa các thông điệp email.Bắt nguồn từ chuẩn MIME Giao thức S/MINE [3] là một tiêu chuẩn hỗ trợ an toàn,

cụ thể là mã hóa cho giao thức MIME S/MIME cung cấp các dịch vụ bảo mật saucho các ứng dụng truyền thông điệp điện tử:

 Xác thực (authentication)

 Toàn vẹn (message integrity)

 Chống từ chối (non-repudiation of origin)

 Bảo mật dữ liệu (data security)

1.2.4.1 Các chức năng S/MIME

S/MIME [9], [14]cung cấp một giải pháp cho quá trình gửi nhận dữ liệu 7bit.S/MIME có thể được sử dụng với những hệ thống cho phép truyền nhận dữ liệuMIME Nó có thể được sử dụng cho các phương pháp gửi mail truyền thống cóthêm dịch vụ an ninh cho mail gửi và giải mã các dịch vụ an ninh cho bên nhận S/MIME bảo vệ các thực thể MIME với chữ ký, mã hóa hoặc cả hai

Để tạo ra một tin nhắn S/MIME, người dùng S/MIME phải tuân theo cácthông số kỹ thuật cũng như cú pháp của tin nhắn

Các tính năng của một webmail client hỗ trợ S/MIME là tính bảo mật, tínhxác thực, tính toàn vẹn, tính chống chối bỏ

Hình 1.6: Quá trình bảo vệ email bằng S/MIME[9] bên gửi

Hình 1.7: Quá trình nhận thư bằng S/MIME[9] bên người nhận

Hình 1.8: Xử lý S/MIME bên phía người nhận [9]

+ Bộ xử lý S/MIMEsinh PKCS object

+ PKCS=Public Key Cryptography Standard, một tập các đặc tả được pháttriển bởi RSA (PKCS#7)

+ PKCS object chứa thông tin cần thiết để người nhận dùng thông tin này

để giải mã, xác thực nội dung gốc

+ Nhưng PKCS objects là định dạng nhị phân -> base64 bằng S/MIMEcontent-type

+ Bên nhận thực hiện các bước ngược lại.

Hình 1.9: Dữ liệu enveloped – S/MIME [9]

Hình 1.10: Dữ liệu ký số S/MIME [9]

1.2.4.2 Các thuật toán mã hóa S/MIME[9], [14]

+ Các chữ ký diện tử DSS và RSA.

+ Các hàm hash: SHA-1 va MD5

+ Mã khóa kỳ: Elgamla và RSA

+ Mã mẩu tin: AES, Triple-DES, RC2/40,…

+ MAC:HMAC với SHA-1

+ Có quá trình quyết đinh sử dụng thuật toán nào

1.2.4.3 Quá trình chứng thư S/MIME:

S/MIME sử dụng chứng thư X.509[9], [14] phiên bản 3

Quản trị việc sử dụng kết hợp sơ đồ phân cấp CA của X.509 [7] và Web tincậy của PGP

Mỗi client có một danh sách các chứng thư cho CA tin cậy và có các chứngthư và cặp khóa công khai/ khóa riêng của mình

Chứng thư cần được ký bởi các CA tin cậy

1.3 Các yếu tố mất an toàn thông tin thư điện tử

1.3.1 Hiểm họa đọc lén thư điện tử

Đọc lén [3] thư điện tử nói chung và đọc/xem hay sử dụng thông tin ăn cắpnói riêng rất nguy hiểm cho các đối tượng bị ăn cắp thông tin Với những người sửdụng bình thường thì việc lộ thông tin có thể chỉ là lộ thông tin cá nhân, quan hệbạn bè Tuy nhiên, với một công ty thì việc lộ thông tin cho đối thủ cạnh tranh sẽlàm thiệt hại về kinh tế

Cá nhân người sử dụng:

Làm lộ các thông tin cá nhân gây tổn hại danh tiếng, địa vị,

Với các tổ chức, công ty

Thông tin có thể bị rò rỉ là thông tin về nhân sự, tài chính, dự án Các thôngtin này tác động trực tiếp tới lợi nhuận của công ty, làm giảm tăng trưởng và có thểdẫn đến suy thoái, phá sản công ty

Có thể nói đọc lén hay bị đánh cắp thông tin là một hiểm họa không thể lường hếtđược hậu quả Do đó, cần phải có các giải pháp đảm bảo an toàn và bảo mật thưđiện tử vì sự an toàn của mỗi người, mỗi tổ chức, mỗi quốc gia khi tham gia mạng

1.3.2 Mạo danh

1.3.2.1 Mạo danh [3] địa chỉ IP

Hầu hết các máy tính đều dùng địa chỉ IP để nhận dạng và trao đổi thông tin

Kẻ tấn công có thể dùng một công cụ đặc biệt để tạo ra các gói tin có địa chỉ IPnguồn là địa chỉ cục bộ của một mạng Các gói tin này thường chứa mã độc tấncông phá hoại hoặc giành quyền kiểm soát hệ thống

Do các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ nên chúng có khả năngvượt qua một số biện pháp an ninh, như kiểm soát truy nhâp, …

1.3.2.2 Mạo danh thư điện tử

Mạo danh thư điện tử là việc ai đó sử dụng địa chỉ gửi đi giống với một địachỉ khác hoàn toàn có thật, mà không hề xâm nhập hoặc sử dụng phiên đăng nhậpthực sự của tài khoản đó

Các mức độ mạo danh thư điện tử:

Mạo danh phân tên trong trường địa chỉ người gửi: Do có một số trangwebmail, hoặc phần mềm quản lý mail, mặc định chỉ hiển thị “tên người gửi” màkhông hiện đầy đủ cả địa chỉ email người gửi, nên đã xuất hiện hình thức giả mạophần tên hiển thị này nhằm đánh lừa những người dùng không có kinh nghiệm.Việc này rất dễ thực hiện, đơn giản chỉ là thay lại tên hiển thị mà ta muốn giả mạo

Mạo danh hoàn toàn cả trường địa chỉ người gửi: Việc này đòi hỏi phải cómột SMTP server cho phép mạo danh và gửi thư đi Có một số trang web miễn phí,cho phép thực hiện điều này Hoặc nếu thuê được một server riêng trên Internet, ta

có thể tự cài đặt phần mềm máy chủ thư rồi gửi mạo danh đi

1.3.2.3 Nghiên cứu cách thức tiến hành mạo danh thư điện tử

Tìm hiểu về một số SMTP thông dụng

Phần lớn người dùng đều sử dụng dịch vụ mail của các hãng như gmail,yahoo, Hotmail, MSN, … Tất cả các SMTP Server của các hãng trên đều yêu cầuphải xác thực bằng giao thức SSL/TLS trước khi gửi thư và địa chỉ gửi đi sẽ đượcSMTP “gắn vào” bằng chính tài khoản mà người gửi dùng để xác thực với Server

Do vậy, không thể mạo danh thành các tài khoản khác trong hoặc bên ngoài tênmiền của nhà cung cấp được.

Tuy nhiên, khi sử dụng Telnet kết nối đến một SMTP Server, ta có thể sửdụng một số câu lệnh đơn giản để gửi thư mạo danh hoặc xét xem SMTP đó có chophép gửi thư mạo danh không

Địa chi SMTP và Port của một số hãng thông dụng:

 SMTP AUTH: Port 25 hoặc 587

 SMTP StartTLS: Port 587

 SMTP SSL: Port 465

Bảng 1.3: Các Port thông dụng [3]

Tên nhà cung cấp Tên server SMTP Số hiệu cổng (port)

StartTLS:587

Yahoo Mail Plus plus.smtp.mail.yahoo.com SSL:465

Gửi mail bằng Telnet và OpenSSL

Khi sử dụng Telnet kết nối đến một SMTP Server, ta có thể sử dụng một sốcâu lệnh đơn giản để gửi thư mạo danh, xem SMTP đó có cho phép gửi thư mạodanh không

Telnet thường được sử dụng để kết nối đến các SMTP có cổng 25 (hoặc 587,nếu server hỗ trợ STartTLS.Còn với các SMTP hỗ trợ SSL, ta có thể dùngOpenSSL để kết nối đến (cổng 465) Thường các SMTP đều bắt buộc người dùngphải xác thực, nhập username và password ở dang Base64

Dùng OpenSSL kết nối đến SMTP Gmail:

root@bt:~# openssl s_client -crlf -connect smtp.gmail.com:465

Mạo danh thư với trang web của emkei.cz

SMTP được cài đặt tại máy chủ emkei.cz hỗ trợ gửi thư mạo danh, họ yêu

cầu bắt phải xác thực qua việc nhập capchar Ta có thể giả mạo bất cứ địa chi nào

để gửi thư, ngoài ra trang web này còn hỗ trợ soạn thảo HTML và tệp đính kèm

Hình 1.11: Giao diện trang emkei.cz [3]

1.3.3 Bom thư

1.3.3.1 Tổng quan về bom thư [3]

Bom thư là loại thư điện tử mà người dùng không hề yêu cầu, được gửi vớisố lượng rất lớn đến hòm thư của người dùng

Một số loại bom thư:

 Thư điện tử thương mại tự nguyên (UCE - Unsolicited CommericalEmail): Là các thông điệp điện tử người dùng nhận được ngoài ý muốn,với nội dụng nhằm quảng cáo cho một sản phẩm hay một dịch vụ nào đó.Loại bom thư này còn gọi là “Junk mail”

 Thư điện tử gửi hàng loạt (UBE - Unsolicited Bulk Email): được biết đếnnhư các thông điệp điện tử được gửi với số lượng lớn cho hàng nghìnhoặc thậm chí hàng triệu người nhận UBE có thể sử dụng cho mục đíchthương mại, trong trường hợp đó là UCE

 Các thông điệp điện tử kiếm tiền nhanh (MNF - Make Money Fast):thường các thông điệp này là một chuỗi các thư cùng mâu Nội dungthường là yêu cầu, hướng dẫn người dùng làm các việc theo hướng dẫn sẽtrở lên giàu có (thường là lừa đảo)

Bom thư mang lại nhiều phiền toái cho người dung, nhất là những người

dung lưu trữ thư trên máy tính của họ (thông qua các giao thức IMAP, POP3 để tảivề) Việc có quá nhiều thư có nhiều thư nằm lẫn trong Inbox của họ, họ sẽ phải mấtrất nhiều thời gian cho việc tìm, xóa bỏ những thứ đó.

Việc tạo bom thư bằng cách dùng rất nhiều tài khoản hợp lệ gửi tới mục tiêumột lần, sẽ hiệu quả hơn là dùng ít tài khoản nhưng gửi nhiều lần tới mục tiêu Khi

đó các cơ chế Spam sẽ lọc những là thư được gửi qua nhiều lần từ một người, người

bị bom thư cũng sẽ dễ tìm, xóa những thư này hơn

1.3.3.2 Nghiên cứu cách thức tiến hành bom thư

Sử dụng phần mềm MaxBomber để tự động gửi các email liên tục tới mộtđịa chỉ Phần mềm này sử dụng tài khoản hợp lệ của người dùng để liên tục gửi tớimục tiêu cần tấn công

1.4 Giải pháp công nghệ bảo vệ thư điện tử an toàn

Bảo vệ an toàn thư điện tử là một yêu cầu quan trọng của người dùng khi sửdụng các dịch vụ Internet Vì vậy, rất nhiều công ty đã đưa ra các giải pháp côngnghệ và sản phẩm bảo vệ thư điện tử an toàn

Trong mục này, luận văn giới thiệu khái quát các giải pháp công nghệ và sảnphẩm bảo vệ thư điện tử an toàn của một số công ty

1.4.1 Giải pháp công nghệ Safe-mail

Safe-mail [12] là hệ thống thông tin liên lạc an toàn, dễ sử dụng Nó bao gồmcác hệ thống thư đã được mã hóa với các tính năng tương tác và chức năng lưu trữtài liệu Luôn luôn có thể truy cập bất cứ lúc nào từ bất cứ nơi nào

Safe-mail với 3Mbyte không gian miễn phí Nhiều không gian lưu trữ và cođầy đủ các chức năng Safe-mail cung cấp theo gói phải mất phí Gói này không cóquảng cáo, tải hoặc cookies

Safe-mail với các tính năng sau:

 Hỗ trợ lưu trữ tập tin

 Hỗ trợ hầu hết các nền tảng phần cứng và hệ điều hành

 Bộ lọc thư rác

 Bảo vệ chống virus

 Hệ thống sử dụng giao thức OTP (One Time Passwords)

 Sử dụng mã hóa PKI

 Safe-mail tương thích trình duyệt

 Hỗ trợ tất cả các giao thức POP, SMTP, IMAP, S/MIME

1.4.2 Giải pháp công nghệ Hushmail

Hushmail [10] là một dịch vụ mã hóa thư điện tử dùng trên nền web, trônggiống như bất kỳ hệ thống webmail khác, nhưng hushmail mã hóa rất mạnh thư điện

tử, bảo vệ an toàn thư điện tử Nó sử dụng chuẩn mã hóa phù hợp và cung cấp truycập di động (Android, iPhone, BlackBerry, vv.)

Hustmail với các tính năng sau:

 Dễ dàng thiết lập

 Mã hóa thư điện tử không bi theo dõi

 Thư điện tử được mã hóa dùng chuẩn OpenPGP

 Duy trì và lưu trữ thư điện tử qua tài khoản của người sử dụng

 Khởi tạo ban đầu với $5.24/tháng cho mỗi tài khoản người sử dụng vàphải mất phí khởi tai $9.99

 Được hỗ trợ bởi nhà cung cấp (hustmail) để đảm bảo thư đện tử đượcđảm bảo an toàn

 Hỗ trợ truy cập thư điện tử bằng oulook và hỗ trợ điện thoại smartphone

1.4.3 Giải pháp công nghệ Djigzo gateway

DJIGZO gateway [9] là giải pháp mã nguồn mở Djigzo là một máy chủemail MTA để mã hóathư điện tử vào/ra tại gateway

Djigzo với các tính năng sau:

 Hỗ trợ chuẩn mã hóa S/MIME (mã hóa và ký số qua djigzo gateway)

 Hỗ trợ chuẩn mã hóa PDF

 Hỗ trợ tinh năng DLP

1.4.4 Lựa chọn công nghệ bảo vệ thư điện tử an toàn.

Với phần giới thiệu các công nghệ bảo vệ thư an toàn ở trên Học viên lựachọn giải pháp công nghệ Djigzo gateway để bảo vệ an toàn cho thư điện tử Vì giải

pháp này hoàn toàn là miễn phí, dễ dàng triển khai và áp dụng ngay vào hạ tầnghiện có của hệ thống thư điện tử Ngoài ra Hệ thống djigzo gateway sử dụng giaothức S/MIME dùng để mã hóa và ký số cho thư điện tử.

1.5 Phân tích lựa chọn công nghệ triển khai thư điện tử an toàn

1.5.1 Giới thiệu các công nghệ thư điện tử

1.5.1.1 Zimbraserver

Zimbra [13] Hệ thống thư điện tử thế hệ mới, được xây dựng bởi cộng đồngnguồn mở và công ty VMWare, đáp ứng các nhu cầu về trao đổi thư điện tử, phiênbản mới nhất 8.0 vừa chính thức ra mắt Zimbra 8.0 đơn giản hóa việc liên lạc, tăngcường khả năng quản trị trên đám mây công cộng cũng như đám mây riêng, tiệndụng hơn cho người dùng thư điện tử, sổ địa chỉ và lịch Zimbra 8.0 tiếp nối phiênbản 7.2 thể hiện cam kết của cộng đồng Zimbra và công ty VMWare với thị trườngphần mềm hỗ trợ làm việc công tác Theo quảng cáo trên site của hãng thì hiện có60.000 tổ chức và 40 triệu mailbox đang dùng Zimbra

Zimbra server với các tinh năng sau:

Truy cập và triển khai tiện lợi, dễ dàng

 Sử dụng trong các môi trường Windows, Apple hoặc Linux

 Kết nối không hạn chế tới các thiết bị cầm tay phổ dụng như Blackberry,smartphone

 Hỗ trợ IMAP/POP, Outlook(MAPI) iSync, iCal, CalDav, RSS

 Các dịch vụ theo nhu cầu và thuê máy chủ riêng luôn sẵn sàng

Trải nghiệm tiên tiến và công nghệ nền mở:

 Web client “AJAX” là một ứng dụng hiện dại chạy trên trình duyệt

 Công nghệ nền mở cho phép tích hợp một cách dễ dàng với các ứng dụngbên thứ ba như một dịch vụ web bổ sung

 Đơn giản hóa các công việc quản trị hệ thống, giảm tổn chi phí sở hữu1.5.1.2 Exchange server

Exchange server [12] là phần mềm mã đóng máy chủ do Microsoft phát triểnchuyên phục vụ các giải pháp email và trao đổi thông tin trong doanh nghiệp Phiên

bản hiện tại Exchange server là bản 2013.

Phiên bản này giúp đơn giản hóa công việc quản lý, bảo vệ thông tin liên lạcvà đặc biệt là đáp ứng nhu cầu của doanh nghiệp trong việc đồng bộ hóa các thiết bị

di động

Exchange server có các tính năng ưu việt sau:

 Bảo vệ và tuân thủ các chính sách e-mail

 Truy cập ở bất cứ mọi nơi

 Đảm bảo tính linh hoạt và khả năng lưu trữ, phục hồi dữ liệu

 Hỗ trợ tương tác với ứng dung outlook, outlook web app và truy câpoffline OWA

 Tính năng sẵn sang và khả năng quản tri hệ thống

 Tính năng chống thất thoat dữ liệu được tích hợp

1.5.1.3 Lotus Domino

Hệ thống mail Lotus Domino của IBM hỗ trợ các giao thức gửi nhận mailnhư là SMTP, POP3, IMAP và MIME IBM Lotus Domino giải pháp tích hợp thưtín điện tử và các ứng dụng Web, cho các công ty, tổ chức có thể cải thiện khả năngđáp ứng yêu cầu của khách hàng và tiến trình thương mại của họ

Hệ thống domino mail có 3 thành phần cơ bản: Domino mail server, Domino mailfiles , Mail client

1.5.2 So sánh các công nghệ triển khai thư điện tử an toàn

Zimbra Exchange Domino Ghi chú

Kiến trúc nền

tảng, mức độ bền

vững và khả

năng mở rộng

-Kiến trúc của Zimbra được thiết kếtheo tiêu chuẩn mở, dựa trên các nềntảng công nghệ mở, thế hệ mới.-Nhân lõi Exchange, được thiết kế từnhững năm đầu 90s, không được mô-đun hóa Nhân lõi của Domino gầnđây đã được cải tiến rất nhiều

-Zimbra bền vững hơn dựa trên nềntảng hệ điều hành và các thành phầncông nghệ mở

-Domino với kiến trúc tốt cùng khảnăng hỗ trợ nhiều HĐH cũng đảmbảo độ bền vững mức cao

-Exchange gặp vấn đề về độ tin cậyvà thời gian hoạt động liên tục (trungbình, bị ngừng hoạt động khoảng 4tiếng/tháng)

Khả năng mở

-Trong môi trường thực, Zimbra chophép mở rộng tới hàng triệu ngườidùng với độ lớn mỗi hộp thư lên tớihàng gigabyte (chỉ giới hạn bởi phầncứng)

-Kiến trúc của Exchange khiến hệthống bị giới hạn; rất khó để mở rộngtới hàng triệu người dùng với độ lớnmỗi hộp thư hàng gigabyte-Domino cũng gặp vấn đề với khảnăng mở rộng ở mức độ cực lớn kểtrên, dù nhẹ hơn Exchange

Tình trạng tài

chính của nhà sản

xuất

+ + + -Cùng chia sẻ thị trường hàng tỷUSD

Mức độ phát triển 0 + + -Zimbra mới phát triển hơn 7 năm-Exchange, Domino đã có 13-15 năm

phát triển

Các chức năng

Tích hợp quét

Giao diện web

cho người dùng

cuối

-Cùng hỗ trợ giao diện web Ajaxgiàu tính năng: đánh dấu (tagging,flagging), tìm kiếm cơ bản

-Ngoài ra, Zimbra hỗ trợ thêm hệthống di chuyển bằng phím tắt, tìmkiếm nâng cao, Zimlets, và giao diệnHTML đầy dủ

Web-Các chức năng

Nền tảng Web

-Cùng hỗ trợ truy cập qua SOAP API

cơ bản (phía server)-Zimbra: hỗ trợ thêm nền tảng Webservices zSync (phía client)

-Zimbra: nền tảng Zimlets cho phéptích hợp với các ứng dụng ngoài(như voice nêu ở phía trên)

Tích hợp trình

nhắn tin tức thời

+ - - -Zimbra: tích hợp sẵn trình nhắn tin

tức thời (chat) và tài liệu web

(chat) và tài liệu

- Zimbra: cho phép chia sẻ thư mụcvới người dùng khác hệ thống hoặcchia sẻ công khai

di động

Hõ trợ các giao

thức chuẩn (tất

cả)

-IMAP4, POP3, ICS, CSV, vCARD-Zimbra thêm: RSS/Atom REST,CalDAV

Truy cập ngoại

-Zimbra Desktop đa nền tảng-iNotes Web Access cũng hỗ trợoffline, nhưng chỉ trên nền Windows

Chi phí bản

Exchange và Domino đều tính phí bản quyền rất lớn (~$70/người dùng)

-Zimbra open source miễn phí bản quyền

1.5.3 Lựa chọn công nghệ thư điện tử

Với phần giới thiệu và so sánh các công nghệ thư điện tử ở trên.Zimbra có sốđiểm (+) vượt trội nên học viên lựa chọn công nghệ thư điện tử Zimbrađể làm mailserver cho luận văn này Zimbra Email có 2 phiên bản Zimbra Opensource và Phiênbản Zimbra Network Edition Cả 2 phiên bản này đều được thực thi trên 1 nhân, lõithống nhất do cộng đồng và công ty Zimbra phát triển Ngoài ra công ty Zimbra có

bổ sung thêm 1 số tính năng cho bản Network Edition để kinh doanh.

Kết luận chương 1: Chương này nói về cấu trúc của một thư điện tử, một hệ thống

thư tín điện tử , các giao thức được sử dụng cho thư điện tử và các giao thức bảomật cho thư điện từ Đồng thời chương này cũng giới thiệu các giải pháp công nghệbảo vệ an toàn thư điện tử, từ đó học viên lựa chọn giải pháp mã nguồn mở Djigzo

để bảo vệ hệ thống thư điện tử được an toàn Ngoài ra, học viên có các so sánh,phân tích và lựa chọn giải pháp nguồn mở Zimbra cho hệ thống mail server sẽ đượcthiết kế theo mô hình ở chương 3 của luận văn này

CHƯƠNG 2: NGHIÊN CỨU ỨNG DỤNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI CHO AN TOÀN VÀ BẢO MẬTTHƯ

ĐIỆN TỬ

2.1 Đặt vấn đề

Việc xác thực và kiểm tra tính toàn vẹn dữ liệu trong qua trình trao đổi thư điện tửlà một trong các biện pháp đảm bảo an toàn thông tin và vấn đề này là thực sụ cần thiết vàcấp bách để bảo vệ an toàn cho thư điện tử Học việc nghiên cứu lý thuyết mã hóa, chữ kýsố trên nền cơ sở hạ tầng khóa công khai để đảm bảo an toàn và bảo mật thư điện tử

Phương pháp mã hóa này cho phép mã hóa từng bức thư điện tử và trên môitrường internet thư điện tử không thể bị đọc lén bởi bất kỳ ai ngoài những người thực sựđược nhận thư Chữ ký sốcho thư điện tử nhằm chứng minh nguồn gốc và tính xác thựccủa một thông báo thư điện tử

2.2Cơ sở hạ tầng khóa công khai

2.2.1 Khái niệm PKI

Public Key Infrastructure (PKI) [1] là một cơ chế để cho một bên thứ ba(thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bêntham gia vào qua trình trao đổi thông tin.Cơ chế này cũng cho phép gán cho mỗingười sử dụng trong hệ thống một cặp public/private.Các quá trình này thườngđược thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại cácđịa điểm của người dùng Khóa công khai thường được phân phối trong chứng thựckhóa công khai (PKI)

Khái niệm hạ tầng khóa công khai (PKI) thường được dùng chỉ toàn bộ hệthống bao gồm cả nhà cung cấp chứng thực số (CA) cùng cơ chế liên quan đồngthời với toàn bộ việc sử dụng các thuật toán mã hóa công khai trong việc trao đổithông tin Tuy nhiên phần sau được bao gồm không hoàn toàn chính xác bởi vì các

cơ chế trong PKI không nhất thiết sử dụng thuật toán mã hóa công khai

PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toànvẹn và xác thực lẫn nhau mà không cần trao đổi các thông tin bảo mật từ trước.Mụctiêu chính của PKI là cung cấp khóa công khai và xác định mối liên hệ giữa khóa vàđinh dạng người dùng Nhờ vậy, người dùng có thể sử dụng trong một số ứng dụngnhư:

- Mã hóa Email hoặc xác thực người gửi Email

- Mã hóa hoặc chứng thực văn bản

- Xác thực người dùng ứng dụng

- Các giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE,SSL): trao đổi bằng khóa bất đối xứng, mã hóa bằng khóa đối xứng.Vậy PKI là một tập hợp các phần cứng, phần mềm, con người, các chínhsách và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu hồi các chứngthư khóa công khai dựa trên mật mã khóa công khai.

2.2.2 Thành phần cơ bản của một PKI

Máy trạm PKI [1] (PKI client): Là thiết bị cuối trong một hệ thống PKI.Nhà cung cấp chứng thực số (CA): là một tổ chức chuyên cung cấp và xácthực các chứng thư số Một chứng thư số có 3 thành phần chính:

- Thông tin về đối tượng được cấp gồm: tên, địa chỉ, điện thoại, email…

- Khóa công khai (Pulic key) của đối tượng được cấp: là một giá trị đượcnhà cung cấp chứng thực đưa ra như một khóa mã hóa, kết hợp cùng vớimột khóa cá nhân duy nhất được tạo ra từ khóa công khai để tạo thànhcặp mã hóa bất đối xứng

- Chữ ký số của CA cấp chứng thực: Đây chính là sự xác nhận của CA, bảođảm tính chính xác và hợp lệ của chứng thư Muốn kiểm tra một chứngthư số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay không

Nhà quản lý đăng ký (Registration Authority – RA): đóng vai trò như ngườithẩm tra cho CA trước khi một chứng thư số được cấp phát tới đối tượng yêu cầu

Hệ thống quản lý, phân phối chứng thư số (Certificate Distribution System CDS): Danh mục nơi các chứng thư số (với khóa công khai của nó được lưu trữ,phục vụ cho các nhu cầu tra cứu Lấy khóa công khai của đối tác cân thực hiện giaodịch chứng thư số

-2.2.3 Các dịch vụ PKI

2.2.3.1 Dịch vụ cốt lõi của PKI

PKI [5], [6] được kết hợp từ 3 dịch vụ cơ bản sau:

Xác thực (Authentication): Đảm bảo cho một người dùng rằng một thực thểnào đó đúng là đối tượng mà họ cần khẳng định

Tính toàn vẹn (Integrity): Đảm bảo dữ liệu không bị thay đổi, nếu có thay