Đ Ạ I H Ọ C Q U Ố C G IA H À N Ộ I TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Bùi Xuân Hương NGHIÊN CỨU C SỞ HẠ TẦNG KHÓA CÔNG KHAI VÀ XÂY DỰNG C QUAN CHÚNG THựC ĐIỆN TỬ CHO MỘT ĐƠN VỊ VỪA VÀ NHỎ N g n h : C ô n g n g h ệ Đ iệ n tử - V iễ n th ô n g C h u y ê n n g n h : K ỹ th u â t vô tu y ế n đ iệ n t v T h ô n g tin liê n lạc M ã s ố :2 0 LUẬN V Ă N T H Ạ C s ĩ NGƯỜI HƯỚNG D Ẫ N K H O A HỌC: P G S T S: V n g Đ o V y Hà Nội - 2007 M ỤC LỤC CÁC THUẬT NGỮ VIẾT T Á T MỞ Đ Ầ U Chương TỔNG QUAN VỀ MÃ H ÓA 1.1 GIỚI THIỆU VỀ MÃ H Ó A xứng 1 M ã h óa dùng kh óa đối l M ã h ó a b ấ t đ ố i x í i g 1.2 MÃ HÓA DÙNG KHÓA CÔNG K H A I 11 7.2.7 N g u y ê n l ý c h u n g c ủ a h ệ t h ố n g m ã h ó a d ù n g k h ó a c ô n g k h a i 1 2 C ấ u trú c m ộ t h ệ th ố n g m ậ t m ã c ó k h ó a c ô n g k h a i M ật m ã có k h óa côn g kh R S A T h u ậ t toán D H 1.3.CHỮKÝ S Ố 20 ỉ C h ữ ký sô 'sử d ụ n g m ật m ã c ó k h ó a cô n g k h a i C h ữ ký s ố sử d ụ n g th u ậ t to n R S A 22 3 C h ữ kỷ s ố s d ụ n g th u ậ t to n D S S 1.4 CHÚNG CHỈ SỐ 26 G i i t h i ệ u v ề C h ứ n g c h ỉ s ố Q u ả n l ý C h ứ n g c h ỉ s ố 27 1.5 KHUÔN DẠNG CHÚNG CHỈ X 31 / K hu ôn d ạn g n g c h ỉ c b ả n K h u ô n d n g p h iê n b ả n ỉ 5.3 .3 3 CRL theo chuẩn X509 36 CHƯONG - C SỞ HẠ TANG k h ó a c ô n g k h a i 38 2.1 CÁC THÀNH PHẦN c BẢN CỦA PK I 38 2.2 CẤU TRÚC HỆ THỐNG P K I 39 2 C ấ u trú c p h â n c ấ p d n g c â y 2.2.2 C ấ u trú c p h â n .40 c ấ p d n g c ẩ u n ô i 42 2.3 CÁC CHÍNH SÁCH CỦA CHÚNG CHỈ 44 K h i n iệ m c h í n h s c h C h ứ n g C h ỉ Trang C c n ộ i d u n g c ủ a m ộ t c h í n h s c h c h ứ n g c h ỉ CHƯƠNG XÂY DỤNG CA CHO ĐƠN VỊ VỪA VÀ N H Ỏ 48 3.1 GIỚI TH IỆU CHƯ N G 48 1 T ì n h h ì n h t r i ể n k h a i c h ứ n g t h ự c đ i ệ n t t r ê n t h ế g i i T ìn h h ìn h t r iể n k h a i c h n g th ự c đ iệ n tử t i v iệ t n a m 3 T iế p c ậ n v iệ c tr iể n k h a i c h íù ig th ự c đ iệ n tử t i m ộ t đ n v ị c ụ t h ể 3.2 TRIỂN KHAI CA CHO MỘT ĐƠN VỊ VỪA VÀ NHỎ 52 t í c h h ệ t h ố n g h i ệ n t i P hân 2 T h iế t k ể h ệ t h ố n g 3 T ổn g qu an v ề O p en C A C i đ ặ t h ệ th ốn g X â y d ự n g q u y tr ìn h v ậ n h n h X â y d ự n g c h ín h s c h c h ứ n g c h ỉ 3.3 KẾT QUẢ VÀ ĐÁNH G IÁ 68 3 K ế t q u ả c ủ a h ệ t h ố n g c h ứ n g t h ự c s ố 3 Đ n h g iá h ệ th ố n g c h ứ n g th ự c s ô 's d ụ n g O p e n C A 3 H n g p h t tr iể n 72 KẾT LUẬN 73 TÀI LIỆU THAM K H Ả O 74 Trang CÁC THUẬT NGỮ VIẾT TẮT P K I: Viết tắt cụm từ Public Key Infrastructure - hạ tầng khóa công khai Trong tài lieu hiểu theo nghĩa hẹp hạ tầng khóa công khai dựa chuẩn X.509 (đầy đủ Internet X.509 Public Key Infrastructure) C ertificate: Được hiểu chứng số, chứng thư số, nhiều tài liệu gọi chứng thư số (trong tài liệu sử dụng chứng số, chứng thư số) Là thực thể thông tin (được lun trữ phương tiện điện tử thích hợp dạng điện tử) Certificate bao gồm m ột chuỗi khóa công khai (public key) thông tin riêng khác thực thể chứng nhận (tên, địa chỉ, thời hạn sử dụng ) Được cấp phát CA (có chữ ký điện tử CA certificate) CA: Viết tắt cụm từ Certificate of A uthority - Cơ quan chứng thực, quan (tổ chức) gồm có: vài cá nhân có trách nhiệm, thiết bị phần mềm, phần cứng, quy trình, quy định liên quan để thực việc cấp phát, quản lý, húy bò chứng nhận số RA: Viết tắt cụm từ Registration of A uthority - C quan đăng ký, quan (tổ chức) gồm có: m ột vài cá nhân có trách nhiệm , thiết bị phần mềm, phần cứng, quy trình, quy định liên quan nguồn thông tin khác để xác minh tính xác thực, đáng việc xin cấp chứng nhận số đối tượng R A có nhiệm vụ tiếp nhận đăng ký xin cấp chứng nhận số, xác minh chuyển yêu cầu hợp lệ cho CA PK C S: Viết tắt cụm từ Public-KeyCryptographyStandards, chuẩn m ã hóa sử dụng m ã hóa công khai Trang M Ở ĐẦU H iệ n g ia o tiế p qua Inte rne t chủ yếu sử dụng g ia o thức T C P /IP Đ â y giao thức cho phép th ô n g tin gửi từ m y tín h tới m y tín h khác thông qua m ộ t lo ạt m áy tru n g gian m ạng riê n g biệt C h ín h điều tạo h ộ i cho "kẻ trộ m "c ô n g nghệ cao thực hành động p h i pháp Các th ô n g tin tru yề n m ạng bị nghe trộ m (E a ve sd ro p p in g ), g iả m ạo (T a m p e rin g ), m ạo danh (Im p e rso n a tio n ) v.v Các biện pháp bảo m ật nay, chẳng hạn dùng m ật khẩu, kh ô n g đảm bảo v ì b ị nghe trộ m bị dò nhanh chóng D o vậy, để bảo m ật, th ô n g tin tru yề n In te rn e t ngày na y có xu hướng m ã hoá Trước k h i truyề n qua m ạng In te rn e t, người gửi m ã hoá thông tin , tro n g trìn h tru y ề n , dù có "chặn" thông tin này, kẻ trộ m kh ô n g thể đọc b ị m ã hoá K h i tớ i đích, người nhận sử d ụn g m ộ t cô n g cụ đặc b iệt để g iả i mã Phương pháp m ã hoá hảo m ật phổ b iế n th ế g iớ i áp dụng chứng c h ỉ số (D ig ita l C e rtific a te ) V i chúng c h ỉ số, người sử dụng m ã hoá th ô n g tin m ộ t cách hiệu quả, chống g iả m ạo (cho phép người nhận kiể m tra thông tin có b ị th a y đ ổ i kh ô n g ), xác thực danh tính người gửi N g o i chứng ch ỉ số chứng g iú p chống c h ố i cãi nguồn gốc, ngăn chặn người gửi ch ố i cãi nguồn gốc tà i liệ u m ìn h gửi M ộ t sở hạ tầng khóa công kh a i - P K I (p u b lic k e y in fra s tru c tu re ) cho phép người sử dụng m ộ t m ạng công cộng k h ô n g bảo m ật, chẳng hạn Inte rne t, trao đổi liệ u m ộ t cách an toàn thông qua việc sử d ụn g m ộ t cặp m ã khoá công khai khóa b í m ật cấp phát sử dụng qua m ộ t nhà cung cấp chứng thực tín nhiệm N ền tảng khoá công k h a i cung cấp m ộ t chứng c h ỉ số, dùng để xác m in h m ộ t cá nhân tổ chức, d ịc h vụ danh m ụ c lưu trữ k h i cần thu h i chứng số M ặ c dù thành phần P K I phổ biến, m ộ t số nhà cung cấp m uốn đưa chuẩn P K I riê n g Trang khác biệt M ộ t tiê u chuẩn chung P K I Internet tro n g trình xây dựng M ộ t sở hạ tầng khoá công kh a i bao gồm : • M ộ t N hà cung cấp chứng thực số (C A ) chuyên cung cấp xác m in h chứng số M ột chứng bao gồm khoá côn g khai thông tin khoá công khai • M ộ t nhà quản lý đăng k ý (R e g istra tio n A u th o rity (R A ) đóng vai trò người thẩm tra cho C A trước k h i m ộ t chứng ch ỉ số cấp phát tới người yêu cầu • M ộ t nhiều danh m ục nơi chứng ch ỉ số (vớ i khoá công khai cua nó) lưu giữ, phục vụ cho nhu cầu tra cứu, lấ y khoá công khai đ ố i tác cần thực giao d ịch chứng thực số • M ột hệ thống quản lý chứng Phạm v i n g h iê n cứu đễ tà i bao gồm : • N g h iê n cứu sở hạ tầng khóa công khai • X â y dựng m ộ t C A dựa m ã nguồn m bao gồm chức bản: X in đăng k ý m ộ t chứng c h ỉ số, gia hạn m ộ t chứng ch ỉ số, hủy m ột chứng c h ỉ số • sử dụng chứng c h ỉ s ố tr o n g m ã h õ a d ữ liệ u , tạ o c h ữ k ý đ iệ n tử Trang Chương TỔNG QUAN VỂ MÃ HÓA 1.1 G IỚ I TH IỆ U V Ề M Ă H Ó A K ể từ k h i c o n người b iế t cách liê n lạc với nhau, n ả y sinh vấn đề giữ b í m ật th ô n g tin trao đ ổ i Theo th i gian phương thức giữ b í m ậ t th ô n g tin phát triể n đa dạng M ộ t tro n g phương thức việ c biến đ ổ i thông tin , k ý tự thành k ý tự, th ô n g tin vô nghĩa K h i người nhận nhận th ô n g tin tiế n hành việ c biến đ ổ i ngược lạ i để thu th ô n g tin có nghĩa Có thể phân lo i việ c m ã hóa thành hai lo i: M ã hóa đ ố i xứ ng m ã hóa bất đ ố i xứng (secret ke y P u b lic ke y) 1.1.1 M ã hóa d ù n g k h ó a đ ô i xứ n g (m ã hóa đ ố i xứ ng) M ã hóa việc thực chuyển liệu có th ể đ ọ c (plain text) sang dạng không th ể nhận biết không thực việc giải mã Phương thức m ã hóa loài người ph át minh gọi m ã hóa có khóa đ ố i xứng, N ghĩa dùng m ột thuật toán kết hợp với m ột khóa chuyển đ ổ i m ột tin r õ sang tin đ ã m ã hóa Việc khỏi phục d ữ liệu ẹô'c sử dụng m ột thuật toán cù n g m ột k h ó a [8 ] Pao-C hi m ộ t người bán hàng cho m ộ t cô n g ty sản xu ấ t m y in A n h bán m áy in cho nhà xuất bản, trường học T ro n g d òn g sản phẩm bán bao gồm m áy in m i, công cụ, thành phần th a y thế, d ịc h vụ sửa chữa đào tạo H a i tuần hết qu ý, nhận thư nhắc G w en, p h ó g iá m đốc phụ trách bán hàng, ch ín h sách m ới cho việ c tín h g iá sản phẩm C hính sách liệ t kê giá cho tấ t sản phẩm công ty , đồng thờ i c h ỉ giá thấp m người bán hàng phép thỏa th u ậ n với kh ch hàng Trước k ia họ dựa phần g iả m g iá tổ n g số kh ch hàng đặt hàng N hư ng tạ i người bán hàng phép g iả m g iá n h iề u Pao-C hi m u ố n hạn c h ế số người b iế t th ô n g tin này, m ộ t khách hàng b iế t ch ín h sách g iá k h ó tro n g việ c thương lượng Trang g iá với họ V ậ y Pao-Chi G w en iàm giữ bí m ật điéu H ọ chọn cách giữ th ô n g tin khôn g lọ t k h ỏ i văn phòng họ, hay đơn giản Pao-Chi ghi nhớ thông tin N hưng với 20 trang g iấ y phức tap nèn kh ô n g thể ghi nhớ Do P ao-chi giữ m ộ t copy tron g m áy tính xách tay anh ta, làm m ấ t m áy tính xách tay người khác đọc thông tin D o để bảo vệ file q uyế t đ ịn h thực việc mã hóa file K h i m uốn đọc lạ i thông tin tron g file đó, Pao-C hi thực việc giải mã f ile m ã hóa chương trìn h mã hóa, H ìn h 1.1 N h im g có m ộ t vấn đề nảy sinh tro n g trường hợp N ếu kẻ công lấy f ile m ã hóa, lấ y chương trìn h m ã hóa D o kẻ còng đọc nội dung file m ã hóa cách g iả i m ã file m ã hóa chương trìn h mã hóa To: Sales Reps FROM: VP RE: Pricing ]9% B8AcB t&MOT 14-h pSdMU(a#7 We're having a slow third (ỉv W j'Hw J h GO (g) lÆerypi o Decrypt Cancel Plaintext file: 1SalcsMcmo.doc Ciphcrtexl file: ịSalesM eino.cncị To: Sales Reps j9%B ' 1 second remaining T Hinh 1-1: Quá trình mã hóa đơn giản Để g iả i q uyế t vấn đề này, chương trìn h m ã hóa sử dụng them m ộ t m ật mã trìn h mã hóa Các nhân tố đầu vào chương trìn h m ã hóa bao gồm file liệ u cần mã hòa với kh ó a bảo mật Để g iả i m ã f ile m ã hóa, Pao-C hi cần sử dụng khóa k h i m ã hóa, H ìn h 1-2 Trang A i1 Ị To: Sales Reps FROM VP RL: Pricing jV % B8AcB t & M O r 14~h : p$dM U(a#7 We’re having I a slow third quarter Ị Kcv:|14S67(X)2S3 o Encrypt Cancel Ciphertcxl file: I SalcsM cm o.cncI Plaintext flic: 1Saic.sMcino.Ucicl j (JW H 'lb: Sales Reps r i i o í F “ second remaining ỉ Hinh 1-2: Quá írình mã hóa đơn giãn cô khóa bão vộ Hệ th ố n g đơn giản vừa m ô tả m ộ t hệ thống m ã hóa đối xứng s y m m e tric -k e y cryp to g p h y Các thành phần m ộ t hệ thống m ã hóa đối xứng bao g m “ k h ó a ” thuật toán m ã hóa, Q ua v í dụ ta they, M ã hóa sử dụng khóa đ ố i xứng phương pháp mã hóa liệ u cách sử dụng m ộ t khóa du y cho hai trìn h m ã hóa giải mã M ô h ìn h m ã hóa sử dụng khóa đ ổ i xứng m ô tả tro n g H ìn h 1-3: Thuậ; toán mô hòa Bán ỹn mà hóa (ơử liệu mã hóa) Bân tin rõ (dù liệu cẳr mã hớa) ìíi 11 ì Khóa I I 'I2 í 'I 'ã! I> I i&i '11"|' I Qi I Khỏa «ri I I I I I I I I r T Dtìr úII mà hóa (dỡ liệu ỚS frâ Ixia) Bản Un rõ (rtử t»Ại) • Danh sách chứng chi bị thu hồi C R L N hận C R L từ m áy chủ C A K h i m áy chủ C A phát hành m ộ t C R L m ới, C R L phải lu n m ột m áy chủ R A để người dùng sử dụng C R L Trang 61 • X uất yêu cầu thu hồi chứng Các yêu cầu thu h i chứng chi người dùng khở i tạo, người quản trị R A xác thực yêu cầu gửi yêu cầu thu hổi chứng ch ỉ đến m áy chủ CA C h ứ c n ă n g c ủ a m y c h ủ R A O p e to r s (R A O p e r a to r s ) Đ â y m y chủ tương tác trực tiế p với người dùng Người dùng sử dụng giao diện để gửi yêu cầu cấp chứng c h ỉ, thu hồi chứng hay nhận chứng c h ỉ C A người dùng khác Đ â y điếm phân tán C R L 3.2.4 C ài đ ặt hệ thông Theo th iế t k ế hệ thống, O penC A yêu cầu sử dụng ba m áy chủ riêng biệt Chúng ta xác đ ịn h phần m ềm yêu cầu tương ứng với m ỗ i m áy chủ M y chủ R A M y chủ R A O perator ■í ■r /■ O penC A Perl m o d u le s s W W W m odule s s s s •r s ■r Phần m ềm M y chủ C A Perl G eneric m odules S S L/TLS m odule OpenSSL s Dưới m odule cần phải cài đặt trước k h i tiến hành cài đặt O penC A , phiên 0.9.2+ M o d u le Phiên A u th e n ::S A S L 2.04 Trang 62 G h i C G I::Session 3.95 C onvert ::ASN1 0.18 D ig e s t::H M A C 1.01 Digest: :MD5 2.24 Digest: :SHA1 2.02 Encode: :Unicode IO::SocẢ-é>t::SSL 0.92 10:; stringy 2.108 M IM E::Base64 2.20 M IM E :: Lite 3.01 M IM E -to ols 5.411 M ailTools 1.58 Net-Server 0.86 Parse: : RecDescent 1.94 U R I 1.23 X 500::D N 0.28 X M L ::T w ig 3.09 lib in tl-p e rl 1.10 perl-ldap 0.28 Trang 63 3.2.5 Xáy dựng quy trình vận hành V iệ c xây dựng q u y trìn h vận hành đ ố i với hệ th ố n g bao gồm nhiều qu y trìn h k ỹ thuật c h i tiế t, cụ thể như: q uy trìn h cấp chứng c h ỉ, q u y trìn h thu h ổ i chứng chỉ, q u y trìn h treo chứng c h ỉ, q u y trìn h phát hành danh sách chứng c h ỉ b ị thu h i T rong q u y trìn h k ỹ thuật bao gổm nh iề u công đoạn, th ủ tục khác nhau, thực h iệ n thực thể riê n g biệt T ro n g phần x in trìn h bày hai quy trìn h tro n g trìn h vận hành hệ th ố n g q u y trìn h cấp chứng ch ỉ quy trìn h thu h i chứng ch ỉ > Quy trình cấp chứng (1) N gư ời dùng sử d ụn g R A Pub để tạo yêu cầu cấp chứng (2 ) N gư ời dùng m ang yêu cầu cấp chứng c h ỉ vớ i g iấ y tờ cá nhân đến gặp người quản tr ị R A (3) N gư ời Q uản R A k iể m tra yêu cầu cấp chứng c h ỉ có hợp lệ hay kh ô n g , yêu cầu hợp lệ phê duyệt k ý yêu cầu cấp chứng c h ỉ chuyển cho C A tạo chứng (4) N gư ời quản t r ị C A nhận yêu cầu tạo chứng c h ỉ từ R A , k iể m tra yêu cầu hợp lệ tiế n hành tạo chứng (5) sau k h i tạo chứng c h ỉ, người quản t r ị tả i chứng c h ỉ xu ố n g m y chủ R A để tiế n hành cập nhật chứng c h ỉ cho R A (6) K h i nhận chứng c h ỉ từ C A , người quản t r ị tiế n hành cập nhật chứng (7) người dùng tru y cập vào R A Pub để tiế n hành nhận chứng ch ỉ yêu cầu > Quy trình thu hồi chứng (1) N gư ời dùng tru y cập giao diện người dùng, sử d ụn g m ậ t m ã d ùn g để yêu cầu thu h i chứng c h ỉ (m ậ t m ã nhận k h i chứng c h i tạo, thông qua m ộ t thư điện tử m ã hóa N gười dùng có trá ch n h iệ m bảo vệ m ật m ã này) để tạo yêu cầu th u h i chứng Trang 64 (2) Người Q uản RA kiểm tra yêu cầu thu hồi chứng có hợp lệ hay không, yêu cầu hợp lệ phê duyệt ký yêu cầu thu hồi chứng chuyển cho CA thu hồi chứng (3) Khi CA nhận yêu cầu thu hồi chứng từ RA, CA kiểm tra yêu cầu hợp lệ tiến hành thu hồi chứng Sau thu hồi chứng chỉ, CA phát hành m ột danh sách chứng thu hồi (CRL) phân phối C RL đến m áy chủ RA giao diện người dùng 3.2.6 X ây dựng sách chứng N hư giới thiệu chương trước, sở hạ tầng khóa công khai bao gồm Cơ quan chứng thực sách, thủ tục pháp lý quy định hoạt động quan chứng thực Trong phần giới thiệu m ột sách chứng đơn giản áp dụng cho doanh nghiệp Chính sách chứng tập hợp quy tắc khả ứng dụng chứng vào cộng đồng riêng hoạc m ột lớp ứng dụng với yêu cầu an toàn chung Dưới điểm sách chứng doanh nghiệp > C ộng đồng Khả áp dụng a K h ả áp dụng Dành cho chứng khóa công khai sử dụng cho thiết lập khóa mã, bao gồm kỹ thuật thỏa thuận khóa chuyển khóa Chính sách áp dụng cho quan chứng thực, quan đăng ký thực thể cuối b Các ứng dụn g phù hợp Các chúng phát hành đảm bảo tính bí m ật truyền thông w eb thư điện tử Chính sách chứng sử dụng với giao thức ứng dụng khác S/M IM E, giao thức truyền siêu văn an toàn > T rách n h iệ m p h p lý c ủ a bên Trang 65 a Trách nhiệm p h p lý CA CA đảm báo cam kết thực hiện: • C ung cấp dịch vụ chứng thực kho lưu trữ chứng cho thực thể cuối • Phát hành chứng phù hợp với sách chứng tôn trọng biểu diễn người dùng, thuê bao • C ông bố chứng kho lun trữ để cộng đồng người sử dụ n g dễ dàng tìm kiếm • H ủ y bỏ, thu hồi chứng chí phát hành danh sách chứng bị thu hổi • Đ ảm bảo cấp chứng hết hạn b Trách nhiệm p h p lý RA • C ung cấp kiểm soát yêu cầu cấp chứng chỉ, thu hồi chứng • Tiến hành thủ tục xác thực N ghĩa vụ bên liên quan a Các nghĩa vụ CA • Bằng cách công bố chứng kho lưu trữ công khai m ình, CA chứng nhận với tất người tin cậy vào thông tin có chứng CA phát hành chứng cho thuê bao thuê bao chấp nhận chứng • Bảo vệ khóa bí mật CA: CA tự chịu trách nhiệm bảo vệ khóa bí m ật • Các giới hạn việc sử dụng khóa riêng: K hóa riêng CA sử dụng cho việc phát hành chứng tuân theo sách chứng chỉ, phát hành C R L định kỳ hay thu hồi b C ác nghĩa vụ RA • Bảo vệ khóa bí mật RA: R A tự chịu trách nhiệm bảo quản khóa bí m ật cuả RA • Giới hạn sử dụng khóa bí mật RA: K hóa bí mật RA sử dụ n g cho mục đích liên quan đến chức RA, không sử Trang 66 dụng cho bất kv mục đích khác chấp thuận CA c C ác ngh ĩa vụ thuê bao, người sử d ụ n g ng ch ỉ • Bằng cách chấp nhận m ột chứng phát hành phù hợp với sách chứng chỉ, thuê bao chứng nhận: ■ K hông có khác thuê bao sở hĩru chứng có khóa bí m ật tương ứng với khóa công khai biểu diễn chứng chí số ■ Tất thông tin thuê bao thông báo cho CA, RA thông tin đúng, xác đáng tin cậy ■ C hứng số sử dụng cho m ục đích hợp pháp, phù hợp với quy định sach chứng • Thuê bao, thực thể cuối tự chịu trách nhiệm bảo vệ kh óa riêng thuê bao, thuê bao cần tiến hành biện pháp phòng ngừa hợp lý, n hằm ngãn ch ặn tình trạng m ất m ất, sửa đổi sửa đổi trái phép > Các qu y định hoạt độn g a X in cấp ch ứ n g Để có đươc m ộl chứng chỉ, người xin cấp chứng chí phải thực thủ tục sau: • Tạo m ộ t cặp k h ó a chứng minh cho CA biết cặp khóa sử d ụng cho m ột m ục đích cụ thể • đưa m ột tên phân biệt, bao gồm: ■ Tên đầy đủ thuê bao ■ Đ ịa liên hệ thuê bao Số điện thoại liên lạc củ a thuê bao ■ • Đ ịa thư điện tử thuê bao Gửi yêu cầu xin cấp chứng chí cho CA b P h t h àn h ch ứ n g Khi CA nhận yêu cầu cấp chứng từ thuê bao cuối, tiến hành thú tục xác thực cần thiết, chấp nhận thông tin thuê bao Trang 67 xác, CA phát hành chứng cho thuê bao Khi CA phát hành chứng cho thuê bao, CA phê chuẩn yêu cầu cấp chứng thuê bao c Treo thu hổi chứng Các thực thể sau yêu cầu hủy bỏ chứng m ôt thuê bao: > • Thực thể cuối-thuê bao/người nắm giữ chứng • CA phát hành chứng • RA: Cơ quan đăng ký C ông bô cống khai, lưu trữ sử dụng thông tin CA thuê bao CA có trách nhiệm công khai trì thông tin 24 ngày ngày tuần trang tin điện tử m ình thông tin sau: • • Q uy c h ế chứng thực chứng thư số Danh sách chứng thư số có hiệu lực, bị tạm dừng, bị thu hồi thuê bao • N hững thông tin cần thiết khác 3.3 KẾT QUẢ VÀ ĐÁNH GIÁ 3.3.1 K ết q u ả hệ thôn g chứng thực sô Xuất phát điểm việc xây dựng hệ thống chứng thực số cho doanh nghiệp từ xác định nhu cầu ứng dụng đơn vị, tiếp đến việc khảo sát hệ thống tại, thiết k ế triển khai Việc triển khai hệ thống chứng thực cho doanh nghiệp H IPT thu kết sau: Về m ặt hệ thống, hệ thống cấu thành thành phẩn: M ột m áy chủ CA: sử dụng hệ điều hành Linux, sở liệu mysql, apache sử dụng mod_ssl, openssl OpenCA - M ột m áy chủ R A -C quan đăng ký: sử dụng hệ điều hành Linux, sở liệu mysql, apache sử dụng mod_ssl, openssl OpenCA Trang 68 M ột giao diện người dùng: giao diện sử dụng đăng ký cấp chứng chi, nhận chứng Lấy chứng chi số CA điểm phân tán danh sách chứng bị thu hổi hệ thống Các sách sử dụng chứng số, quy trình kỹ thuật vận hành hệ thống: bao gốm quv trình cấp chứng số, quy trình thu hổi chứng c h ỉ số Về m ặt ứng dụng: - Bảo m ật hệ thống : Hệ thống bảo mật tăng cường , phương thức xác thực mật tên người dùng thay phương thức xác thực người dùng chứng số Một số ứng dụng triển khai gồm có: • Kết nối VPN Site-To-Site chi nhành HiPT , Firewall Checkpoint kết nối điểm sử dụng chứng thư số hạ tầng PKI cung cấp để tạo kết nối VPN • Kết nối VPN cho người dùng mobile : Cho phép người sử dụng kết nối VPN từ Internet đến trụ sở công ty, người dùng xác thực với hệ thống thông qua chứng thư số thay sử dụng tên người dùng mật • Xác thực giao thức SSH sử d ạn g việc quản trị m áy chủ ứng dụng Điều tăng cường bảo mật hệ thống m y chủ • Xác thực sử dụng chứng thư số ứng dụng T M Đ T W eb thông qua giao thức HTTPS Do ứng dụng W eb có nhiều lỗ hổng bảo m ật liên qua đến chế xác thực người dùng sử dụng hai thành phần tên m ật để xác thực áp dụng PKI độ an toàn ứng dùng tăng lên nhiều ứ n g dụng người dùng: Người sử dụng công ty triển khai m ột số ứng dụng chứng thư số bao gồm : Trang 69 • Dịch vụ thư điện tử : Cho phép người dùng sử dụn g dịch vụ thư điện tử có m ã hóa đính kèm chữ ký điện tử, dịch vụ sử dụng giao thức S/M IM E để trao đổi thôn g điệp điện tử • M ã hóa liệu : Người dùng công ty sử dụng chứng thư số cấp kết hợp với phần m ềm m ã nguồn m “cryptonit” , phần m ềm tải từ Internet http://sourceforge.net/proiects/cryptonit/ từ địa Bằng cách sử dụng phần m ềm người dùng sử dụng để trao đổi thông tin m ật thành viên tổ chức , việc trao đổi khóa mật m ã đối xứng thực thông qu a chứng thư số • Tạo chữ điện tử văn điện tử thay th ế cho số văn giấy tờ thông thường q u y trình nghiệp vụ doanh nghiệp V í dụ phiếu yêu cầu/đề nghị, tài liệu ISO ban hành , phiếu xuất kho, nhập kho Tuy nhiên kết hạn c h ế yếu tô' khách quan quan: - Thói quen người dùng: Đối với người dùng, việc sử dụng chứng số tương đối xa lạ M ột số phận chưa hiểu lợi ích việc sử dụng chứng số Để giải vấn đề cần có thời gian, trước tiên để người dùng có thời gian làm quen với công nghệ mới, hiểu lợi ích việc sử dụng chứng số Bước yêu cầu người sử dụng phải tu ân theo sách ban hành, quy định bắt buộc người dùng - Việc xác thực chéo với quan tổ chức khác chưa thể thực - K hóa bí mật người dùng lưu CSP hệ điều hành W indow lưu dạng file pfx tính bảo m ật thấp Trang 70 3.3.2 Đ ánh giá hệ th ố n g chứng thực sô' sử dụn g O penCA Việc triển khai hệ thống PK1 sử dụng O penCA có thuận lợi khó khăn định Thuận lợi: O penC A phần m ềm m ã nguồn mở, không cần quyền sử dụng Người sử dụng không tiền quyền nên giá thành triển khai thấp Yêu cầu cấu hình hệ thống m áy chủ không cao, điểu làm giảm giá thành triển khai hệ thống Đối với đơn vị vừa nhỏ tận dụng m áy chủ cũ để triển khai hệ thống chứng thực sử dụng OpenCA Với hệ thống OpenCA, người dùng tự phát triển theo yêu cầu đơn vị Bèn cạnh thuận lợi có m ột số khó khăn, khó khăn chung cho phần m ềm m ã nguồn mở: Không có hỗ trợ kỹ thuật cần, điều ]à đặc trưng cộng đồng m ã nguồn mở K hông tổ chức cá nhân chịu trách nhiệm hỗ trợ người dùng OpenCA Tuy nhiên điều khắc phục cộng m ã nguồn m rộng lớn, số lượng O penCA triển khai lớn nên tài nguycn internet phong phú Bên cạnh khó khăn đó, O penCA chưa thực thân thiện với người sử dụng O penCA chưa có nhũng c h ế để suốt với người dùng, chưa có công cụ hỗ trợ người dùng việc tự động yêu cầu cấp chứng chỉ, tự động yêu cầu cấp lại chứng số chứng số chuẩn bị hết hạn sử dụng Cùng với việc khó sử dụng cho người dùng, O penC A thực chưa đơn giản trình quản trị, để cuán trị hệ thống PKI sử dụng O penCA đòi hỏi người quản trị phải hiểu biết cịnh hệ thống Dưới bảng so sánh với m ột CA sử dụng phần m ềm M icrosoft CA Tiêu chí Giá thành Hỗ trơ Tích hựp vói AD Infrastructure Dễ sử dụng cho ngưòi dùng Dễ quản trị Tính linh hoat • Trung bình Có Có Thấp Không Yêu câu tích hợp Dê Trung bình Trung bình Thâp Khó Cao Trang 71 3.3.3 H ướng ph át triển Đối với hệ thống CA đơn vị, việc triển khai chưa thể dừng lại hệ thống vào hoạt động Vì CA đơn vị thành phần nhỏ m ộ t hạ tầng khóa công khai Nó cần liên kiết thành phần với để hiệu trình hoạt động V ấn đề đặt là: - CA phải hỗ trợ nhiều ứng dụng Xây dựng chế, sách để xác thực chéo đơn vị - Hiện O penCA hỗ trợ HSM -High Security M odule- thiết bị chuyên dụng để bảo vệ khóa bí m ật CA N hưng việc triển khai khó khăn, giá thành thiết bị cao Do phát triển phương pháp bảo vệ k h ó a bí mật cho CA với chi phí thấp, an toàn cao Phát triển công cụ hỗ trợ người dùng việc tự động xin cấp lại chứng chí số chứng chì số hết hạn, công cụ m ã hóa giải mã Trang 72 K Ẽ T LUẶN • Cùng với việc phát triển ứng dụng mạng, quan tâm đắn doanh nghiệp, quan, đơn vị, Chứng thực điện tử ngày đóng vai trò q u an trọng CTĐT đời đáp ứng nhu cầu sử dụng xã hội m có tác động quan trọng việc thức đẩy ứng dụng mạng Chính việc triển khai cung cấp dịch vụ CTĐ T nước ta cần thiết Với mục tiêu để tài luận văn đề ra, luận văn nghiên cứu khái quát lý thuyết vể sở hạ tầng k h ó a công khai Nghiên cứu cấu trúc PKI, thành phần tạo nên m ột PKI Những công nghệ, kỹ thuật sử dụng PKI Luận văn xây dựng CA dành cho m ột đơn vị dựa phần mềm m ã nguồn m với chức đặt cấp chứng số cho người dùng, m y chủ web Việc đưa quan chứng thực vào hoạt động doanh nghiệp bước đầu thu kết định Việc ứng dụng chứng số vào việc thiết lập kết nối m ạng riêng ảo chi nhánh với trụ sở đảm bảo an toàn thông q u a m ôi trường internet Việc trao đổi thông tin Ihông qua thư điện tử đ ả m bảo độ an toàn sử dụng chứng số Bên cạnh ý thức người dùng an toàn thông tin nâng cao Tuy nhiên kết đạt phạm vi hạn chế so với nhu cầu sử dụng người dùng ứng dụng, để khắc phục điều này, luận vãn đưa m ột số giải pháp, hướng phát triển để hoàn thiện hệ thống chứng thực điện tử cho d oanh nghiệp/ Trang 73 TÀI LIỆU THAM KHẢO Tiếng Việt N g u y ễ n T h ế D â n “M ộ/ s ố vấn đê triển khai chứng thực điện tử tạ i Việt N am ” TS.N guyễn N am Hải, KS Đ Thị Hồng Vân (2004), Chứng Thực Trong Thương Men Đ iệ n Tử NXB KHKT PGS,TS Thái H ồng N ghị(2004), An Toàn T h ô n g T in M ạng máy tính, truyền tin s ố truyền liệu, N X B KHKT N guyễn T húy V ân (2000), L ý Thuyết M ã NXB K H K T T iếng A n h A ndrew N ash, W illiam Duane, Celia Joseph, Derek Brink (2001 ), P K I: Implementing and Managing E-Securitỵ, NXB McGraw-Hill Alfred J Menezes, Paul c van Oorschot, Scott A Vanstone, Handbook o f Applied C ry p to g p h y Carlisle A d am s, Steve Lloyd (2002), U nderstanding P K Ỉ: Concepts, Standards, and D eploym ent C onsiderations, Second E d ition , NXB A ddison Wesley Steve Burnett and Stephen Paine (2001), RSA S e c u rity ’s O ffic ia l Guide to C ryptography, N X B McGraw-Hill Raymond G Kammer (2000), FIPS PUB 186-2- Federal Information Processing S t a n d a r d P u b l i c a t i o n - D i g i t a l S i g n a t u r e S t a n d a r d , U S D E P A R T M E N T O F COMMERCE/Nationai Institute of Standards and Technology Trang 74 [...]... hoặc m ộ t thực thể riêng biệt Chứng c h ỉ khóa công k h a i được m ộ t cơ quan chứng thực (g ọ i tắt là C A ) cấp, C A chứng thực nhận dạng và khóa công k h a i (hoặc các thuộc tín h kh á c) của chủ thể sở hĩru chứng chỉ Chủ thể của chứng chỉ là m ột người, m ộ t th iế t b ị, hoặc m ột thực thể bất k ỳ là đ ố i tượng nắm giữ khóa riê n g tương ứng với khóa công kh a i được chứng thực tro n g chứng chỉ... p với khóa công kh a i của chủ thể được chứng thực bởi m ộ t tổ chức cung cấp dịch Ọ1 chứng thực số” T ro n g lĩn h vực điện tử, chứng ch ỉ là m ộ t tài liệ u chứa m ột tập iợ p thông tin có chứa chữ k ý số của m ột người có thẩm quyền và người này được cộng đổng những người sử dụng chứng ch ỉ công nhận và tin cậy T ro n g lu ậ n văn này, tô i đề cập đến chứng c h ỉ khóa công khai T ro n g đó khóa. .. h cơ bản nhất của m ộ t hạ tầng khóa công k h a i (P K I) K h óa b í m ật và khóa công kh a i đều có thể được dùng để m ã hóa hoặc g iả i mã 1.2 1.2.1 M Ã HÓA DÙN G KHÓA CÔNG K H A I N gu yên lý chun g của hệ thốn g m ã hóa d ù n g khóa cô n g khai[ 3] T ro n g phần này chúng ta sẽ xem xét k ỹ hơn về m ã hóa dùng khóa công khai, bao gồm các nguyên lý , m ộ t số thuật toán hay sử dụng và úng dụng cơ. .. kh ó a công kh a i g iú p cho việc phân phối khóa công khai trở nên có hệ nốn g 1.4.2 Q uản lý C hứ ng c h ỉ số[2] •ỉ* Cập nhật chứng chỉ M ọ i chứng ch ỉ đểu có thời hạn kết thúc, việ c quản lý chứng chỉ thuộc trách nhiệm của C A Các chứng chỉ có thể được thay thế dựa vào thờ i hạn kết thúc Các cặp khóa cũng cần được thay thế đ ịn h k ỳ và tạo ra chứng c h ỉ m ới V iệ c hủy bỏ và cập nhật chứng c... sử dụng cho việc m ã hóa, m à được dùng tron g việc g iả i q u yế t vấn đề phân phối khóa V ớ i thuật toán D H , sẽ khôn g thực hiện theo các bước: tạo k h ó a phiên (khóa đối xứng) sau đó được phân p h ố i khóa phiên sử dụng khóa công kh a i, th a y vào đó sử dụng công nghệ khóa công kh a i để thực hiện việc tạo khóa phiên đ ố i xứng Bên gửi và nhận đều có hai thành phần: thành phần công khai, thành... chữ k ý sau đó thực hiện tiế p thuật toán m ậ t mã Các khóa công khai và b í m ật của cả hai bên đều được sử dụng nhưng có phân đ ịn h rõ trách nhiệm : khóa khóa m ật kcỉb kclã, và ke b kda và khóa ke a thuộc bên gửi A còn thuộc bên nhận B Để thực hiên việc k ý , bên gửi sử dung khóa b í tiế p theo để m ã hóa, bên A sử dụng khóa công kh a i keb do bên nhận B cung cấp K h i nhận, bên B thực hiện ngược... giữ liệ u giữ m ộ t khóa b í m ật cho phép giải mã với khóa đó, còn bên gửi sử dụng m ộ t khóa khác để m ã hóa dữ liệ u và khóa mã Trang 11 hóa đó có thể công khai m à kh ô n g sợ phương hại đến hệ thống H ìn h 1-6 m ô tả sơ đổ k h ố i nguyên lý hoạt đ ộn g của m ật m ã có khóa công k h a i V iệ c m ã hóa sử dụng th uật toán E và khóa m ã ke V iệ c g iả i m ã sử dụng thuật toán D và khóa g iả i m ã kd... với người gửi khóa công khai của m ình để họ thực hiện việc m ã hóa Người nhận sử dụng khóa bí m ật của m ình để g iải m ã các th ô n g điệp đã được m ã hóa K h ó a công khai và khóa b í m ật được sinh ra cùng m ộ t thời đ iể m , bằng m ộ t thuật toán sinh khóa thích hợp K h ó a công khai - như tên g ọ i của nó - là công kh a i với tất cả m ọ i người có nhu cầu m ã hóa dữ liệ u để gửi cho người nhận... phần: thành phần công khai, thành phần b í m ật N ếu như thực hiện việc kết hợp thành phần bí m ật với thành phần công k h a i của phía k ia và ngược lạ i sẽ tạo ra cùng m ộ t giá trị H ìn h 1-7 Bên gửi và nhận đều có m ộ t cặp khóa: khóa công kh a i, khóa b í mật Từ khóa công khai của bên nhận, bên gửi có thể tạo khóa công k h a i tạm thời cho phiên làm việc Trang 19 Puplic Puplic Private T DH Mechine... được sin h ra tự động, mã hóa và trao đ ổ i cho nhau bàng phương pháp mã hỏa bất đối xứng T rong thực tế, người ta sử dụng m ột nơi lưu trữ khóa công kh a i chung cho tất cả m ọ i người (key server) K h i đó: • Người dùng tạo cặp khóa trên m áy tính của m ìn h và gửi khóa công k h a i đến m ộ t key server công cộng (hoặc riê n g cho m ộ t nhóm sử d ụn g) • Người gửi lấ y khóa công kh a i của đ ố i tượng ... k h i xy nguy c tt K h i m t nhỏnh b dow n, bridge C A c h cn ct quan h vi C A nhỏnh ú, cỏc C A khỏc s c an ton K h i B rid g e C A b dow n, cỏc nhỏnh u ct quan h vi Bridge CA - K h nng... 1024 b it cho p chia ht cho q-1 C u i cựng chn h l m t s nguyờn t nm tro n g khong t n p-1 v tớn h tớn h g = h (p' 1)/q m od p cho g > l N gi s dng chn m t khúa riờng v to khúa cụng khai K h... nh t ng chng thc cho tt c ngi dựng cng nh chng thc cho cỏc t chc chng thc khỏc (C A con) M ụ h ỡn h dng hn hp tn ti trờn thc t vic cn trao i thụng tin bo m gia cỏc i tng ngi dựng th u c cỏc