Nghiên cứu xây dựng hạ tầng khóa công khai phục vụ thư tín điện tử và thương mại điện tử
Lĩnh vực Công nghệ thông tin Nghiên cứu xây dựng hạ tầng khoá công khai phục vụ th tín điện tử và thơng mại điện tử PGS.TS Nguyễn Bình Khoa Kỹ thuật Điện tử 1 Tóm tắt: Hạ tầng khóa công khai (PKI - Public Key Infrastructure) là hạ tầng cơ sở cho dịch vụ an toàn trong viễn thông bao gồm 3 dịch vụ cơ bản là bí mật, xác thực và đảm bảo tính toàn vẹn. Trong xã hội thông tin ngày nay, với sự phát triển của các giao dịch điện tử nh th- ơng mại điện tử, trao đổi các nội dung số và chính phủ điện tử, PKI là một thành phần không thể thiếu trong hạ tầng mạng viễn thông. Bởi vậy việc tìm hiểu xây dựng PKI ngày càng trở nên cấp thiết đối với mỗi quốc gia và cả với các doanh nghiệp lớn. Các nớc phát triển và kể cả các nớc đang phát triển cũng đang đầu t mạnh mẽ cho việc xây dựng cho mình các PKI riêng (Chẳng hạn Hàn Quốc đã chi 10 triệu USD để xây dựng PKI cho mình). Trên thế giới cũng có nhiều công ty nghiên cứu xây dựng PKI phục vụ cho mục đích thơng mại, trong đó Verisign (Mỹ) là một trong các công ty hàng đầu. Thông thờng một máy chủ xác thực (CA) đ- ợc bán với giá khoảng 1 triệu USD. Trong bối cảnh cạnh tranh và hội nhập, ngoài việc mua và sử dụng các công nghệ tiên tiến chúng ta cần phải tìm hiểu và xây dựng những hớng đi riêng của mình, đặc biệt là trong lĩnh vực an ninh là một vấn đề rất nhảy cảm và không đợc sự tự do hóa nh trong các lĩnh vực thơng mại khác. Rất nhiều các phần mềm và thiết bị trong lĩnh vực này không đợc phép bán ngoài Bắc Mỹ và Canada. Với những lý do nêu trên, nhóm nghiên cứu của chúng tôi đã đăng ký đề tài "Nghiên cứu xây dựng hạ tầng khoá công khai phục vụ th tín điện tử và thơng mại điện tử". Có thể xem đây là một trong những bớc đi ban đầu nhằm tìm hiểu và xây dựng PKI là một lĩnh vực rất mới mẻ. 1. Mô hình PKI thử nghiệm 1.1.Mở đầu Để xây dựng một mô hình PKI thử nghiệm chúng tôi chọn quan điểm xây dựng phần mềm PKI độc lập CA trong sơ đồ PKI thử nghiệm sẽ thực hiện việc tạo và phân phối các khoá đợc chứng thực cho các bên liên lạc. Mô hình PKI thử nghiệm nh sau: Học viện Công nghệ BCVT y B y A ID A Sig ID B ID B Sig ID A CA Tạo số nguyên tố ngẫu nhiên Trung tâm tính chữ ký W K A User A Thoả thuận khoá Mã hoá Bản rõ W K B User B Thoả thuận khoá Giải hoá Bản rõ Hội nghị Khoa học lần thứ 5 Để xây dựng trung tâm tính chữ ký tôi chọn phơng pháp xây dựng hệ mật dựa trên định danh theo sơ đồ Okamoto-Tanaka. Sơ đồ này đảm bảo khắc phục đợc phơng pháp tấn công "kẻ đứng giữa" và đảm bảo đợc độ mật cần thiết. Chúng tôi cũng xây dựng một chơng trình sinh số nguyên tố Okamoto- Tanaka. Để đảm bảo dịch vụ bí mật chúng tôi chọn ph- ơng pháp xây dựng hệ mật trên các cấp số nhân xyclic trên vành đa thức. Hệ mật này đợc xây dựng trên một mạng hoán vị thay thế có cấu trúc Feistel tơng tự nh cấu trúc đợc áp dụng trong chuẩn mã dữ liệu của Mỹ (DES). Khi không cần bảo mật mà chỉ cần dịch vụ xác thực chúng tôi sử dụng chế độ liên kết khối mã để tạo mã xác thực thông báo (MAC). 2. Mạng hoán vị thay thế Feistel Trong mật mã cổ điển, việc sử dụng riêng các phép hoán vị hoặc thay thế đều không đảm bảo độ mật cần thiết. Một phơng án kết hợp do Shanon đề xớng nên sử dụng các hệ mật mã tính bằng cách dùng các phép hoán vị và thay thế kết hợp để tăng độ mật. Một trong các phơng án đó là sử dụng mạng hoán vị thay thế theo lợc đồ Feistel. Lợc đồ Feistel đợc đề xuất vào đầu những năm 70 và đã đợc kiểm chứng là một lợc đò tốt chống đợc các phai tích mật mã. Lợc đồ này đơc sử dụng trong nhiều hệ mật mã khác nhau trong đó có chuẩn mã dữ liệu (DES) của Mỹ. Trong sơ đồ xây dựng hệ mật của chúng tôi, sơ đồ Feistel cũng đợc sử dụng làm nền cho hệ mật dùng các cấp số nhân xyclic trên vành đa thức. Hàm f đợc xây dựng trên cơ sở hệ mật sử dụng các cấp số nhân xyclic trên vành đa thức. Các khóa i K đợc chọn nh sau: i 29 i a 0 K K K mod X 1 i 1,16 + = với a K là một đa thức có trọng số lẻ tùy ý sao cho: a deg K 29 < 0 K là một phần tử nguyên thủy của nhóm nhân xyclic có cấp 28 2 1 và cũng là một đa thức có trọng số lẻ. Để xác thực ta sử dụng chế độ CFB. Học viện Công nghệ BCVT Dữ liệu vào 64 bít IP Hoán vị khởi đầu ( ) ( ) 0 0 L 32 R 32 1 K 1 K IP Hoán vị đảo Dữ liệu ra 64 bít ( ) 2 i 1 i K K 1 x x + = ì + + Hình 1: Sơ đồ mã hóa Feistel Lĩnh vực Công nghệ thông tin 3. Kết luận Qua một năm thực hiện đề tài "Nghiên cứu xây dựng hạ tầng khoá công khai phục vụ th tín điện tử và thơng mại điện tử", đề tài đã đợc hoàn thành với sự cộng tác tích cực của 3 bộ phận bao gồm: - Khoa Kỹ thuật Điện tử 1 Học viện Công nghệ Bu chính VT Học viện Công nghệ BCVT (31)(32)(2)(1)(0) 32 Dữ liệu vào Hình 2: Sơ đồ khối mã hóa 32 Dữ liệu ra Ví dụ với khóa Mã hóa Feistel 64 64 Kết quả xác thực Dữ liệu vào 1 K Hình 3: Sơ đồ tính xác thực Thỏa thuận khóa K Hình 4: Lưu đồ hoạt động của chương trình Đọc dữ liệu từ file Mã hóa/ Giải mã Feistel bằng khóa K Ghi kết quả mã hóa ra file Mã hóa/ Giải mã Thỏa thuận khóa K Đọc dữ liệu từ file Tính xác thực/so sánh bằng khóa K Hiển thị kết quả xác thực Xác thực/ Kiểm tra Hội nghị Khoa học lần thứ 5 - Phòng mạng Viện Khoa học Kỹ thuật Bu điện - Phòng Kỹ thuật mật mã - Viện nghiên cứu kỹ thuật mật mã Với mục tiêu tiến tới xây dựng hạ tầng khóa công khai phục vụ cho các dịch vụ an toàn trên mạng bao gồm: bảo mật, xác thực và đảm bảo tính toàn vẹn của dữ liệu, đề tài đã thực hiện đợc các nội dung chính sau: - Nghiên cứu các quan điểm xây dựng hạ tầng khóa công khai (PKI). - Nghiên cứu các mô hình chức năng và thành phần của PKI - Tìm hiểu ứng dụng PKI trong thơng mại điện tử. - Tìm hiểu các cấu hình phần cứng và các phần mềm cần thiết để xây dựng PKI. - Xây dựng một mô hình PKI thử nghiệm bao gồm các chơng trình ứng dụng sau: + Chơng trình tạo tham số cho hệ thống trao đổi khóa có xác thực Okamoto-Tanaka. Đây là một chơng trình mạnh có khả năng tạo các số nguyên tố cực lớn có thể dùng cho các hệ thống có yêu cầu an toàn cao. + Chơng trình xây dựng trung tâm tính chữ ký và thỏa thuận khóa. + Chơng trình mã hóa và giải mã xây dựng theo hệ mật dựa trên các nhóm nhân xyclic trên vành đa thức có sử dụng mạng hoán vị thay thế Feistel. Độ dài khối mã hóa của chơng trình này là 64bít. + Chơng trình xác thực và kiểm tra tạo mã xác thực (MAC) dựa trên chế độ liên kết khối mã. Bộ chơng trình đợc xây dựng ở trên đã cung cấp đợc một số tính năng cơ bản của một máy chủ xác thực giúp cho ta hình dung đợc các bớc tiến hành tạo dựng PKI. Tuy nhiên đây chỉ là một hệ thống PKI độc lập. Việc trao đổi thông tin giữa các thực thể trong hệ thống cha tuân thủ các chuẩn để có thể nhúng các hệ thống này trong mối liên kết với các hệ thống PKI khác. Đây là một công việc đòi hỏi phải đầu t nhiều hơn nữa về thời gian, nhân học, cơ ở vật chất và kinh phí. Nhóm thực hiện đề tài rất mong nhận đợc sự đóng góp ý kiến của tất cả những ai quan tâm. Học viện Công nghệ BCVT