- 1 - LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành và bày tỏ lòng biết ơn sâu sắc nhất tới PGS. TS. Nguyễn Thị Hoàng Lan, Người đã cho tôi những định hướng và những ý kiến rất quý báu về công nghệ PKI. Đặc biệt là những ý kiến quý báu trong những vấn đề cụ thể để hoàn thành luận văn. Tôi xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá đã dìu dắt, giúp đỡ tôi tiến bộ trong suốt những năm học qua. Xin cảm ơn gia đình và bè bạn, những người luôn khuyến khích và giúp đỡ tôi trong mọi hoàn cảnh khó khăn. Tôi xin cảm ơn các bạn đồng nghiệp đã hết sức tạo điều kiện cho tôi trong quá trình học và làm luận văn này. Được hoàn thành trong thời gian rất hạn hẹp, luận văn này chắc chắn còn nhiều khiếm khuyết. Tôi xin cảm ơn những thầy cô, bạn bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của luận văn này, để tôi có thể tiếp tục đi sâu tìm hiểu và đưa PKI vào ứng dụng trong thực tiễn công việc. Lê Trần Vũ Anh. - 2 - MỤC LỤC MỤC LỤC 2 DANH MỤC HÌNH VẼ 5 DANH MỤC TỪ VIẾT TẮT 7 MỞ ĐẦU 9 1.1 GIỚI THIỆU CHUNG 11 1.2 KHÁI NIỆM HỆ MẬT MÃ 11 1.3 HỆ MẬT MÃ KHOÁ ĐỐI XỨNG 12 1.4 HỆ MẬT MÃ KHOÁ CÔNG KHAI 13 1.5 CHỮ KÝ SỐ 16 1.6 HÀM BĂM 19 2.1 CHỨNG THƯ SỐ (DIGITAL CERTIFICATES) 22 2.1.1 Giới thiệu 22 2.1.2 Chứng thư số khoá công khai X.509 23 2.1.3 Thu hồi chứng thư số 26 2.1.4 Chính sách của chứng thư số 27 2.1.5 Công bố và gửi thông báo thu hồi chứng thư số 27 2.2 CÁC THÀNH PHẦN CỦA PKI 29 2.2.1 Tổ chức chứng thực (Certification Authority) 30 2.2.2 Trung tâm đăng ký (Registration Authorities) 31 2.2.3 Thực thể cuối (Người giữ chứng thư số và Clients) 31 2.2.4 Hệ thống lưu trữ (Repositories) 32 2.3 CHỨC NĂNG CƠ BẢN CỦA PKI 32 2.3.1 Chứng thực (certification) 32 2.3.2 Thẩm tra (validation) 33 2.3.3 Một số chức năng khác 33 2.4 MÔ HÌNH TIN CẬY CHO PKI 35 3.1 CÁC TÍNH NĂNG NỔI BẬT CỦA ENTRUST CA 38 3.2 KIẾN TRÚC HỆ THỐNG ENTRUST CA 39 3.3 CẤP PHÁT CHỨNG THƯ SỐ THEO MÔ HÌNH WEB-BASED CỦA ENTRUST CA 40 3.4 VẤN ĐỀ TÍCH HỢP HỆ THỐNG 43 4.1 MỤC TIÊU CHUNG CỦA HỆ THỐNG 44 4.2 KIẾN TRÚC HỆ THỐNG 44 4.2.1 Mô hình hệ thống 44 4.2.2 Các thành phần hệ thống 45 4.2.3 Các chức năng chính của hệ thống 47 4.2.4 Các chức năng chính của người quản trị hệ thống 48 4.3 MỘT SỐ CÁC QUY TRÌNH CƠ BẢN 51 4.3.1 Quy trình cấp mới chứng thư số 51 4.3.2 Quy trình xin gia hạn (cập nhật) chứng thư số 52 4.3.3 Quy trình hủy bỏ chứng thư số 53 4.4 NHẬN XÉT 54 - 3 - 5.1 TỔNG QUAN 55 5.2 KIẾN TRÚC HỆ THỐNG 56 5.2.1 Mô hình hệ thống 56 5.2.2 Các tiểu hệ thống 57 5.2.3 Các thành phần của hệ thống 57 5.2.4 Thành viên của hệ thống 59 5.3 CÁC LOẠI DỊCH VỤ TRONG HỆ THỐNG 60 5.4 NHẬN XÉT 61 6.1 AN TOÀN BẢO MẬT CỦA HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG (IBPS) 62 6.1.1 Vấn đề bảo mật của hệ thống hiện tại 62 6.1.2 Tổng quát về yêu cầu an toàn hệ thống 63 6.2 PHÂN TÍCH HIỆN TRẠNG BẢO MẬT TẤNG ỨNG DỤNG TRONG HỆ THỐNG 66 6.2.1 Mã xác thực, dấu hiệu điện tử và việc xác thực dữ liệu 66 6.2.2 Xác thực thực thể và mã hóa dữ liệu trong quá trình truyền thông 70 6.3 NHẬN XÉT 75 7.1 HIỆN TRẠNG TÍCH HỢP HỆ THỐNG CA VỚI HỆ THỐNG IBPS 76 7.2 CÁC TIẾN TRÌNH XỬ LÝ 78 7.2.1 Đồng bộ chứng thư số và danh sách chứng thư số bị thu hồi 78 7.2.2 Quy trình ký và xác thực tin điện tại PPC 81 7.2.3 Quy trình ký và xác thực tin điện đối với CI sử dụng chứng thư số 83 7.3 ĐÁNH GIÁ 87 7.3.1 Vấn đề ‘Mã xác thực, dấu hiệu điện tử và việc xác thực dữ liệu’ 88 7.3.2 Vấn đề ‘Xác thực thực thể và mã hóa dữ liệu trong quá trình truyền thông’ 89 7.3.3 Vấn đề khác 89 8.1 ĐẶT VẤN ĐỀ 90 8.2 ĐỀ XUẤT GIẢI PHÁP 92 8.2.1 Xử lý nghiệp vụ và xác thực dữ liệu tại PPC 92 8.2.2 Vấn đề xác thực thể và mã hóa dữ liệu trong quá trình truyền thông 93 8.2.3 Tăng khả năng đồng bộ dữ liệu từ LDAP tại PPC 97 8.2.4 Tăng khả năng đồng bộ dữ liệu từ LDAP tại CIs 99 8.2.5 Kết hợp hai giải pháp đồng bộ dữ liệu LDAP tại PPCs/CIs 101 8.2.6 Gán nhãn thời gian cho quá trình ký và xác thực tin điện 102 8.3 CÁC TIẾN TRÌNH CẢI TIẾN 103 8.3.1 Kết nối/ khởi tạo phiên làm việc với ứng dụng Server 103 8.3.2 Đồng bộ dữ liệu LDAP tại PPC 108 8.3.3 Quy trình xác thực tin điện tại PPC 109 8.3.4 Cập nhật thông tin người dùng tại NPSC 111 8.3.5 Quy trình ký và xác thực tin điện đối với CIs 112 8.4 KIỂM NGHIỆM 118 8.4.1 Xây dựng chương trình 118 8.4.2 Môi trường 122 8.4.3 Một số kết quả 124 8.4.4 Đánh giá 125 - 4 - 8.5 HƯỚNG PHÁT TRIỂN 125 KẾT LUẬN 127 TÀI LIỆU THAM KHẢO 129 PHỤ LỤC 131 1 MỘT SỐ CHUẨN MẬT MÃ KHOÁ CÔNG KHAI (PKCS) 131 2 IKEY 1032 132 - 5 - DANH MỤC HÌNH VẼ Hình 1.1: Quá trình mã hoá và giải mã 12 Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai P 13 Hình 1.3: Giải mã thông điệp sử dụng khoá bí mật của người nhận 13 Hình 1.4: Sơ đồ hệ mật mã RSA 14 Hình 1.5: Mã hoá thông điệp sử dụng khoá bí mật S để mã thông điệp và khoá công khai P để mã khoá bí mật S 15 Hình 1.6: Giải mã thông điệp sử dụng khoá bí mật S để giải mã thông điệp và khoá bí mật P để giải mã khoá bí mật S 15 Hình 1.7: Sơ đồ chữ ký RSA 17 Hình 1.8 a: Băm thông điệp 17 Hình 1.8 b: Ký trên bản băm 17 Hình 1.8 c: Truyền dữ liệu thông tin cần gửi 18 Hình 1.8: Sơ đồ mô tả các công đoạn người A làm trước khi gửi thông điệp cho người B (sử dụng hàm băm rồi ký số). .18 Hình 1.9 a: Xác minh chữ ký 18 Hình 1.9 b: Tiến hành băm thông điệp x đi kèm 18 Hình 1.9 c: Kiểm tra tính toàn vẹn của thông điệp 18 Hình 1.9: Sơ đồ mô tả các công đoạn kiểm tra chữ ký sau khi người B nhận được thông điệp 18 Hình 1.10: Nhiều thông điệp nguồn cho cùng 1 kết quả đích sau mã hoá/ ký số 19 Hình 2.1: Chứng thư số 22 Hình 2.2: Khuôn dạng chứng thư số X.509 23 Hình 2.3: Nội dung chi tiết của chứng thư số 26 Hình 2.4: Khuôn dạng danh sách chứng thư số bị thu hồi 28 Hình 2.5: Dịch vụ kiểm tra online 29 Hình 2.6: Các thành phần PKI 30 Hình 2.7: Đường dẫn chứng thư số chéo 35 Hình 2.8: Mô hình root 36 Hình 3.1: Các thành phần của hệ thống Entrust CA chuẩn 39 Hình 3.2: Kiến trúc mô hình lấy chứng thư số qua giao diện Web 41 Hình 3.3: Cấp phát chứng thư số qua Web 42 Hình 3.4: Quy trình cấp phát chứng thư số qua Web 43 Hình 4.1: Mô hình CA của NHNN Việt Nam 45 Hình 4.2: minh họa về sự phân cấp bảo mật của người sử dụng hệ thống Entrust PKI 48 Hình 4.3: Quy trình cấp mới chứng thư số 51 Hình 4.4: Quy trình xin gia hạn (cập nhật) chứng thư số 52 Hình 5.1: Mô hình triển khai của IBPS 56 Hình 5.2: Kiến trúc của IBPS 56 Hình 5.3: Các modul phần mềm chính tại NPSC 57 Hình 5.4: Các modul phần mềm chính tại PPC 58 Hình 5.5: Các modul phần mềm chính tại Br/CI 59 Hình 6.1: Các mối đe dọa tính an toàn bảo mật hệ thống IBPS 63 Hình 6.2: Hiện trạng bảo mật ứng dụng IBPS 66 Hình 6.3: Mã xác thực 67 Hình 6.4: Sơ đồ mô tả phương thức phân phối mã xác thực AAC cho người kiểm soát tại các CI 68 Hình 6.5: Sơ đồ sau thể hiện quy trình tạo và kiểm tra E-Sign trong hệ thống IBPS 69 Hình 6.6: Luồng xử lý tin điện giao dịch giữa CI và PPC hiện tại 70 - 6 - Hình 6.7: Luồng xử lý file giao dịch giữa CI và PPC hiện tại 72 Hình 6.8: Luồng xử lý file giao dịch giữa CI và PPC hiện tại 74 Hình 7.1: Mô hình tích hợp hệ thống CA với hệ thống IBPS 76 Hình 7.2: Giao diện với hệ thống IBPS 77 Hình 7.3: Xác thực với mã khóa công khai 78 Hình 7.4: Quy trình đồng bộ chứng thư số đầu ngày 79 Hình 7.5: Quy trình đồng bộ chứng thư số trong ngày 80 Hình 7.6: Quy trình xác thực tin điện tại PPC 81 Hình 7.7: Quy trình ký tại PPC 82 Hình 7.8: Quy trình ký tại CI 83 Hình 7.9: Quy trình xác thực tại CI 85 Hình 7.10: Quy trình xử lý đồng bộ chứng thư tại CI 86 Hình 7.11: Hiện trạng bảo mật hệ thống IBPS khi tích hợp 87 Hình 8.1: Mô hình đề xuất 91 Hình 8.2: Quy trình xử lý nghiệp vụ và xác thực tại PPC 92 Hình 8.3: Quy trình đề xuất xử lý nghiệp vụ và xác thực tại PPC 93 Hình 8.4: Luồng xử lý tin điện giao dịch CI  PPC khi sử dụng CA 94 Hình 8.5: Luồng xử lý cho file giao dịch khi sử dụng CA 95 Hình 8.6: Luồng xử lý cho file giao dịch khi sử dụng CA 96 Hình 8.8: Quy trình đồng bộ Dữ liệu LDAP tại CIs 99 Hình 8.9: Quy trình đề xuất đồng bộ Dữ liệu LDAP tại CIs 100 Hình 8.10: Quy trình đề xuất đồng bộ Dữ liệu LDAP 101 Hình 8.11: Kết nối/ khởi tạo phiên làm việc với ứng dụng Server PPC 103 Hình 8.12: Kết nối/ khởi tạo phiên làm việc tại CI 104 Hình 8.13: Kết nối/ khởi tạo phiên làm việc tại PPC 105 Hình 8.14: Xử lý khởi tạo phiên làm việc 106 Hình 8.15: Mô hình đồng bộ dữ liệu LDAP trong ngày tại PPC 108 Hình 8.16: Quy trình xác thực tin điện tại PPC 110 Hình 8.17: Cập nhật thông tin người dùng tại NPSC 112 Hình 8.18: Quy trình ký tại CI 113 Hình 8.19: Quy trình xác thực tin điện tại CI 115 Hình 8.20: Hình ảnh giao diện ký 119 Hình 8.21: Hình ảnh giao diện xác thực chữ ký 120 Hình 8.22: Hình ảnh giao diện mã hóa 120 Hình 8.23: Hình ảnh giao diện giải mã 121 - 7 - DANH MỤC TỪ VIẾT TẮT ARLs Authority Revocation Lists CA Certificate Authority CAO Certificate Authority Operator CMS Cryptographic Message Syntax COST Commercial of the Shelf CRLs Certificate Revocation Lists CRR Certificate Revocation Request CSP Certification Service Provider DAP Directory Access Protocol DES Data Encryption Standard DN Distinguished Name DNS Domain Name System DSS Digital Signature Standard ECC Elliptic Curve Cryptography HTTPS Secure Hypertext Transaction Standard IANA Internet Assigned Numbers Authority IBPS Inter-Bank Payments Systems IEEE Institute of Electrical & Electronic Engineers IETF Internet Engineering Task Force ISO International Organization for Standardization ITU-T Internet Telecommumications Union- Telecommunication LDAP Lightweight Directory Access Protocol MD5 Message Digest 5 Hash Algorithm OCSP Online Certificate Status Protocol PEM Privacy Enhanced Mail PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards PKI Public Key Infrastructure PKIX Extended Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensions SHA-1 Secure Hash Standard SSL Secure Socket Layer TLS Transport Layer Security IBPS (Inter - Bank Payment System) Hệ thống thanh toán điện tử liên ngân hàng, bao gồm các tiểu hệ thống HVSS, LVSS, SAPS HVSS (High Value Sub - System) Tiểu hệ thống của IBPS có nhiệm vụ xử lý giao dịch giá trị cao quyết toán tổng tức thời LVSS (Low Value Sub - System) Tiểu hệ thống của IBPS có nhiệm vụ xử lý giao dịch giá trị thấp và xử lý bù trừ giá trị thấp - 8 - SAPS (Settlement Account Processing System) Hệ thống duy trì và xử lý tài khoản; thực hiện quyết toán tổng tức thời, quyết toán kết quả thực hóa NPSC (National Processing and Settlement Center) Trung tâm xử lý cấp quốc gia PPC (Provincial Processing Center) Trung tâm xử lý cấp tỉnh O-PPC (Originating Provincial Processing Center) Trung tâm xử lý cấp tỉnh mà Ngân hàng phát lệnh giao dịch (Bank A) kết nối tới. R-PPC (Receiving Provincial Processing Center) Trung tâm xử lý cấp tỉnh mà Ngân hàng nhận lệnh giao dịch (Bank B) kết nối tới. Originator Tổ chức hoặc cá nhân thực hiện yêu cầu giao dịch thanh toán tại ngân hàng. Recipient Tổ chức hoặc cá nhân nhận lệnh thanh toán. Bank A Ngân hàng cung cấp dịch vụ cho Originator. Bank B Ngân hàng cung cấp dịch vụ cho Recipient. O-CIHO (Originating Credit Institution Head Office) Hội sở chính của ngân hàng A. O-CIBH (Originating Credit Institution Branch) Chi nhánh của ngân hàng A. O- IPC (Originating Credit Institution Processing Center) Trung tâm xử lý của Ngân hàng A, thực hiện kết nối với O - PPC. O-CI (Originating Credit Institution) Tổ chức tín dụng khởi phát lệnh thanh toán (tên dùng chung cho O - CIHO, O - CIBH, O - CIPC). R-CIHO (Receiving Credit Institution Head Office) Hội sở chính của ngân hàng B. R-CIBH (Receiving Credit Institution Branch) Chi nhánh của Ngân hàng B. R-CIPC (Receiving Credit Institution Processing Center) Trung tâm xử lý của Ngân hàng B, thực hiện kết nối với R - PPC. R-CI (Receiving Credit Institution) Tổ chức tín dụng nhận lệnh thanh toán (tên dùng chung cho R - CIHO, R - CIBH, R - CIPC). SBV OC (State Bank of Viet Nam Operating Center) Sở giao dịch của Ngân hàng nhà nước Việt Nam; nơi duy trì, quản lý hệ thống tài khoản của các Ngân hàng. SBV Br (State Bank of Viet Nam Branch) Chi nhánh Ngân hàng nhà nước tại mỗi tỉnh SA (Settlement Account) Tài khoản quyết toán của các tổ chức tín dụng mở tại ngân hàng Nhà nước. FTA (Fund Transfer Account) Tài khoản chuyển tiền của các chi nhánh ngân hàng Nhà nước. TAD (Terminal Access Divice) Thiết bị truy cập đầu cuối; Phần mềm mà CI dùng để thực hiện kết nối và giao dịch với hệ thống thanh toán điện tử liên ngân hàng. SCC TAD Chương trình kiểm soát hệ thống IBPS OP TAD Chương trình vận hành hệ thống IBPS TAD ID Mã tổ chức tín dụng Confirm ID Mã xác nhận của tổ chức tín dụng - 9 - MỞ ĐẦU Trong một vài năm lại đây, hạ tầng truyền thông công nghệ thông tin càng ngày càng được mở rộng khi người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như khách hàng trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp, ngân hàng. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này. Các hệ thống ứng dụng PKI trên thế giới đã và đang được triển khai một cách mạnh mẽ. Việt Nam chúng ta cũng không nằm ngoài xu hướng này. Gần đây, Chính phủ và các cơ quan bộ ngành (trong đó có Ngân Hàng Nhà Nước) cũng đã chuẩn bị dự thảo các văn bản pháp lý, quy định về việc xây dựng, áp dụng công nghệ này. Với vai trò là cơ quan đầu ngành của Ngân Hàng Nhà Nước Việt Nam trong lĩnh vực công nghệ tin học, Cục công nghệ tin học là đơn vị đi đầu trong công tác nghiên cứu và triển khai công nghệ này. Việc xây dựng hệ thống bảo mật “Quản lý và cấp phát mã khóa công khai ngân hàng nhà nước Việt Nam (NHNN)” (hệ thống CA NHNN) phần nào thể hiện điều đó. Một trong những ứng dụng đầu tiên của hệ thống CA NHNN là được tích hợp với hệ thống thanh toán điện tử liên ngân hàng (Inter-Banking Payment System - IBPS). Hệ thống tích hợp này đã được thực hiện và triển khai giai đoạn 1 vào tháng 3/2008. Việc nghiên cứu và tìm hiểu hệ thống tích hợp này là cần thiết, bởi kết quả của quá trình nghiên cứu, tìm hiểu không chỉ cho những đánh giá về hiệu quả của ứng dụng hạ tầng khóa công khai, mà còn rút ra những kinh nghiệm thực tế dành cho việc nâng cấp hệ thống tích hợp hiện tại hoặc cho những dự án ứng dụng hạ tầng khóa công với các hệ thống khác của NHNN. Đây cũng chính là mục đích mà luận văn này hướng tới. Hy vọng với những giải pháp khả thi, kết quả của luận văn sẽ đóng góp vào thực tế trong việc nâng cấp hệ thống tích hợp hiện tại của ngân hàng nhà nước Việt Nam trong thời gian tới. Trong giới hạn những vấn đề nêu trên, luận văn bao gồm 08 chương (thuộc 03 nội dung chính) và phần phụ lục: Phần 1 tập trung tìm hiểu về hạ tầng khóa công khai và các vấn đề liên quan Chương 1: TỔNG QUAN VỀ MẬT MÃ Giới thiệu các khái niệm về hệ mật mã đối xứng, hệ mật mã phi đối xứng hay còn được gọi là hệ mật mã khoá công khai; ưu và nhược điểm của các hệ mã này; khái niệm về chữ ký số và hàm băm. - 10 - Chương 2: CHỨNG THƯ SỐ VÀ HẠ TẦNG MÃ KHOÁ CÔNG KHAI Trình bày khái niệm chứng thư số và một số vấn đề liên quan; khái niệm PKI, chức năng và các thành phần của PKI; các mô hình tin tưởng của PKI, ưu và nhược điểm của các mô hình này. Phần 2 tập trung nghiên cứu, tìm hiểu về hệ thống CA NHNN, hệ thống thanh toán điện tử liên ngân hàng. Chương 3: TỔNG QUAN VỀ GIẢI PHÁP PKI CỦA ENTRUST Phần này sẽ đưa ra cái nhìn tổng quan về mô hình và các thành phần của giải pháp PKI của Entrust - giải pháp được ứng dụng để xây dựng trung tâm CA NHNN. Chương 4: HỆ THỐNG “QUẢN LÝ VÀ CẤP PHÁT MÃ KHÓA CÔNG KHAI NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM” Trình bày kiến trúc hệ thống của hệ thống “Quản lý và cấp phát mã khóa công khai Ngân hàng nhà nước Việt Nam” (hệ thống CA), các thành phần và tính năng kỹ thuật của hệ thống CA. Chương 5: HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Trình bày các kiến trúc hệ thống, các thành phần và các loại dịch vụ của hệ thống thanh toán liên điện tử ngân hàng. Phần 3 Phân tích, đánh giá và đề xuất các giải pháp nhằm nâng cao hiệu quả an toàn bảo mật của hệ thống thanh toán liên ngân hàng. Chương 6: PHÂN TÍCH VẤN ĐỀ AN TOÀN BẢO MẬT HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG Tổng quan các vấn đề an toàn bảo mật của hệ thống IBPS. Phân tích hiện trạng bảo mật tầng ứng dụng và các vấn đề xem xét để tích hợp mã khóa công khai. Chương 7: ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG TÍCH HỢP HỆ THỐNG CA Trình bày hiện trạng và đánh giá hiện trạng hệ thống tích hợp. Dựa vào phân tích hiện trạng và các vấn đề đánh giá để có những đề xuất hợp lý. Chương 8: ĐỀ XUẤT CÁC GIẢI PHÁP CHO HỆ THỐNG TÍCH HỢP Trình bày các giải pháp đề xuất nhằm nâng cao hiệu an toàn bảo mật của hệ thống tích hợp. Hà nội, tháng 11 năm 2008 Lê Trần Vũ Anh [...]... tạo được bản mã mật từ bản rõ và B mới khôi phục được bản rõ từ bản mã mật Khoá chung đó được gọi là khoá mật mã Để thực hiện được một phép mật mã, ta còn cần có một thuật toán biến bản rõ cùng với khoá mật mã thành bản mã mật và một thuật toán ngược lại biến bản mật cùng với khoá mật mã thành bản rõ Các thuật toán đó được gọi tương ứng là thuật toán lập mã và thuật toán giải mã Các thuật toán này thường... điệp và khoá công khai P để mã khoá bí mật S Hình 1.6: Giải mã thông điệp sử dụng khoá bí mật S để giải mã thông điệp và khoá bí mật P để giải mã khoá bí mật S  Ưu và nhược điểm của hệ mật mã khoá công khai Vấn đề còn tồn đọng của hệ mật mã khoá đối xứng được giải quyết nhờ hệ mật mã khoá công khai Chính ưu điểm này đã thu hút nhiều trí tuệ vào việc đề xuất, đánh giá các hệ mật mã công khai Nhưng do bản... lược đồ khoá công khai thì văn bản này sẽ được mã hoá bằng một hệ mã đối xứng có tốc độ cao như DES, IDEA,…sau đó khoá được sử dụng trong hệ mã đối xứng sẽ được mã hoá sử dụng mật mã khoá công khai Phương pháp này rất khả thi trong việc mã và giải mã những văn bản có kích thước lớn như được mô tả trong hình 1.5 và 1.6 - 15 - Hình 1.5: Mã hoá thông điệp sử dụng khoá bí mật S để mã thông điệp và khoá công. .. mật mã khoá đối xứng 1.4 HỆ MẬT MÃ KHOÁ CÔNG KHAI Để giải quyết vấn đề phân phối và thoả thuận khoá của mật mã khoá đối xứng, năm 1976 Diffie và Hellman đã đưa ra khái niệm về hệ mật mã khoá công khai và một phương pháp trao đổi công khai để tạo ra một khoá bí mật chung mà tính an toàn được bảo đảm bởi độ khó của một bài toán toán học cụ thể (là bài toán tính “logarit rời rạc”) Hệ mật mã khoá công khai. .. hệ mật mã khoá công khai đều dựa vào các giả thiết liên quan đến các bài toán khó nên đa số các hệ mật mã này đều có tốc độ mã dịch không nhanh lắm Chính nhược điểm này làm cho các hệ mật mã khoá công khai khó được dùng một cách độc lập Một vấn đề nữa nảy sinh khi sử dụng các hệ mật mã khóa công khai là việc xác thực mà trong mô hình hệ mật mã đối xứng không đặt ra Do các khoá mã công khai được công. .. thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu hồi chứng thư khoá công khai dựa trên mật mã khoá công khai [25] “PKI là hạ tầng cơ sở có thể hỗ trợ quản lý khoá công khai để hỗ trợ các dịch vụ xác thực, mã hoá, toàn vẹn hay chống chối bỏ” [10] “PKI là hạ tầng cơ sở bảo mật có những dịch vụ được triển khai và chuyển giao sử dụng công nghệ và khái niệm khoá công khai [5] Nhìn chung, PKI... của thông điệp Hình 1.9: Sơ đồ mô tả các công đoạn kiểm tra chữ ký sau khi người B nhận được thông điệp - 19 - 1.6 HÀM BĂM Việc sử dụng các hệ mật mã và sơ đồ chữ ký số thường là mã hóa và ký số trên từng bit của thông tin, thời gian để mã hóa và ký sẽ tỷ lệ thuận với dung lượng của thông tin Thêm vào đó có thể xảy ra trường hợp: với nhiều bức thông điệp đầu vào khác nhau, sử dụng hệ mật mã, sơ đồ ký... kỳ có thể sử dụng khoá công khai để mã hoá tin tức, nhưng chỉ có người nào có đúng khoá giải mã mới có khả năng xem được bản rõ Người gửi A sẽ mã hoá thông điệp bằng khóa công của người nhận và người nhận B sẽ giải mã thông điệp với khoá bí mật tương ứng của mình Quá trình này được mô tả trong hình 1.2 và 1.3 Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai P Hình 1.3: Giải mã thông điệp sử dụng khoá... pháp mã công khai tạo ra một cuộc “cách mạng” trong công nghệ an toàn thông tin điện tử Nhưng thực tiễn triễn khai cho thấy tốc độ mã hoá khối dữ liệu lớn bằng các thuật toán mã hoá công khai chậm hơn rất nhiều so với hệ mã hoá đối xứng Ví dụ, để đạt được độ an toàn như các hệ mã đối xứng mạnh cùng thời, RSA đòi hỏi thời gian cho việc mã hoá một văn bản lâu hơn ấp hàng ngàn lần Do đó, thay bằng việc mã. .. SỐ VÀ HẠ TẦNG MÃ KHOÁ CÔNG KHAI Mật mã khoá công khai cho đến nay được xem là giải pháp tốt nhất để đảm bảo được các yêu cầu về an toàn thông tin mạng: “bảo mật”, “toàn vẹn”, xác thực” và “chống chối bỏ” Mặc dù vẫn còn mới khi so sánh với các phương pháp mã cổ điển nhưng mật mã khoá công khai đã nhận được sự tin cậy rộng rãi của thế giới Internet vì những công cụ có khả năng phát triển cho vấn đề quản . HÀNG NHÀ NƯỚC VIỆT NAM Trình bày kiến trúc hệ thống của hệ thống Quản lý và cấp phát mã khóa công khai Ngân hàng nhà nước Việt Nam (hệ thống CA), các thành phần và tính năng kỹ thuật của hệ. và các thành phần của giải pháp PKI của Entrust - giải pháp được ứng dụng để xây dựng trung tâm CA NHNN. Chương 4: HỆ THỐNG “QUẢN LÝ VÀ CẤP PHÁT MÃ KHÓA CÔNG KHAI NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC. mật mã thành bản mã mật và một thuật toán ngược lại biến bản mật cùng với khoá mật mã thành bản rõ. Các thuật toán đó được gọi tương ứng là thuật toán lập mã và thuật toán giải mã. Các thuật