ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đặng Thị Huê NGHIÊN CỨU SỬ DỤNG CÔNG NGHỆ BẢO MẬT SSL/TLS KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin Cán hướng dẫn: PGS.TS Trịnh Nhật Tiến HÀ NỘI - 2005 Lời cảm ơn Em xin gửi lời cảm ơn chân thành tới thầy giáo hướng dẫn PGS.TS Trịnh Nhật Tiến tận tình hướng dẫn, cho em định hướng ý kiến quý báu trực tiếp bảo chị Trương Thị Thu Hiền giúp em hoàn thành tốt luận văn tốt nghiệp Em chân thành cảm ơn tất thầy cô Trường Đại Học Công Nghệ Đại Học Quốc Gia Hà Nội nhiệt tình giảng dạy giúp đỡ em trình học tập trường Con xin gửi đến Bố Mẹ gia đình tình thương yêu lòng biết ơn Bố Mẹ gia đình nguồn động viên chỗ dựa vững cho đời Tôi xin cảm ơn bạn lớp động viên giúp đỡ thời gian thực luận văn Vì thời gian có hạn, khoá luận tốt nghiệp em không tránh khỏi khiếm khuyết Rất mong nhận góp ý thầy cô bạn Hà Nội, ngày 06 tháng 06 năm 2005 Sinh viên Đặng Thị Huê Trang i Tóm tắt Được thiết kế Netscape bao gồm chế bảo mật sản phẩm trình duyệt để tạo truyền thông an toàn mạng, SSL (Secure Sockets Layer) giao thức bảo mật sử dụng phổ biến Internet hoạt động thương mại điện tử Ban đầu, SSL thiết kế kết hợp với giao thức HTTP sử dụng Web server browser, thành phần quan trọng loại truyền thông Internet bảo mật Việt Nam đường hội nhập với công nghệ thông tin giới, hoạt động giao dịch mạng Việt Nam diễn sôi nổi, vấn đề bảo mật trở nên quan trọng, việc triển khai SSL điều cần thiết Tuy nhiên đến hầu hết website Việt Nam chưa sử dụng SSL giao dịch Trong khoá luận này, em tiến hành nghiên cứu chi tiết giao thức bảo mật SSL cách triển khai chúng Internet Information Service (IIS) Windows Server Enterprise 2003 Chúng hy vọng với khoá luận đem đến nhìn cụ thể SSL bảo mật mạng, tầm quan trọng ứng dụng thực tế Trang ii MỤC LỤC Chương MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT 1.1 Vấn đề an toàn mạng .5 1.1.1 Giao thức bảo mật ngăn cách (tách rời) 1.1.2 Bảo mật đặc tả ứng dụng .6 1.1.3 Bảo mật với giao thức trung tâm 1.1.4 Giao thức bảo mật song song 1.2 Vấn đề mã hoá 1.2.1 Khái niệm mã hoá 1.2.2 Hệ mã hoá đối xứng 10 1.2.3 Hệ mã hoá phi đối xứng 10 1.2.4 Chứng khoá công khai 11 1.3 Vấn đề ký số 12 1.4 Vấn đề xác thực số .13 Chương 2.1 KHE CẮM AN TOÀN (SSL) .16 Tổng quan SSL 16 2.1.1 Lịch sử SSL .16 2.1.2 Cơ SSL 16 2.1.3 SSL ứng dụng thương mại điện tử 19 2.2 Giao thức ghi (Record Protocol) 20 2.3 Giao thức ChangeCipherSpec .23 2.4 Giao thức cảnh báo (Alert Protocol) .23 2.4.1 Kiểu Closure Alert 24 2.4.2 Kiểu Error Alert .24 2.5 Giao thức bắt tay (Handshake Protocol) .25 2.5.1 Giai đoạn : Các thông điệp Hello cho kết nối logic .28 • Thông điệp HelloRequest 28 • Thông điệp ClientHello 28 2.5.2 Giai đoạn : Xác thực Server trao đổi khoá 30 Trang •4 Thông điệp ServerCertificate 30 •5 Thông điệp ServerKeyExchange 32 •6 Thông điệp CertificateRequest 34 •7 Thông điệp ServerHelloDone 36 2.5.3 Giai đoạn : Xác thực Client trao đổi khoá 36 •8 Thông điệp ClientCertificate 36 •9 Thông điệp ClientKeyExchange 37 •10 Thông điệp CertificateVerify 38 2.5.4 Giai đoạn : Kết thúc kết nối bảo mật 40 •11 Thông điệp ChangeCipherSpec 40 •12 Thông điệp Finished 41 2.5.5 Xác thực Server, xác thực client 42 2.5.5.1 Xác thực Server 42 2.5.5.2 Xác thực Client 43 2.6 2.7 Bảo mật SSL 45 2.6.1 Các hệ mã hoá sử dụng với SSL 45 2.6.2 Bảo mật SSL .46 Ưu điểm hạn chế SSL/TLS 48 2.7.1 Ưu điểm SSL .48 2.7.2 Hạn chế SSL .49 2.7.2.1 Các giới hạn giao thức 49 2.7.2.2 Giới hạn công cụ 51 2.7.2.3 Các giới hạn môi trường 51 2.7.3 Tối ưu hoá SSL 52 2.7.3.1 Công nghệ tăng tốc giao dịch SSL 53 2.7.3.2 Tăng tốc SSL với vấn đề trì website (Web site persistence) 55 2.7.3.3 Tăng tốc SSL content switch 55 2.7.3.4 Quá trình phát triển tăng tốc SSL 56 2.7.3.5 Bộ tăng tốc SSL SonicWALL 56 2.7.3.6 Các đặc điểm bật lợi ích SonicWALL SSL Offloader 57 2.7.3.7 Các phương án triển khai 59 Chương 3.1 BẢO MẬT TẦNG GIAO VẬN (TLS) .61 Giới thiệu tổng quan 61 3.2 Thông điệp giao thức cảnh báo .62 3.3 Xác thực thông điệp .63 3.4 Sinh nguyên liệu khoá 64 3.5 Xác nhận chứng .67 3.6 Thông điệp Finished 67 3.7 Các mã sở 68 Chương SỬ DỤNG GIAO THỨC SSL/TLS 69 Tài liệu tham khảo .77 Danh sách hình vẽ Hình Vị trí SSL mô hình giao thức bảo mật tách rời Hình Bảo mật gắn trực tiếp vào giao thức ứng dụng Hình IPSec Hình Giao thức ứng dụng sử dụng Kerberos .8 Hình SSL tính toán mã thông điệp .14 Hình Vị trí SSL mô hình OSI 17 Hình Vị trí giao thức ghi giao thức SSL 21 Hình Các giai đoạn thi hành giao thức ghi 21 Hình Cấu trúc thông điệp SSL Record .22 Hình 10 Thông điệp ChangeCipherSpec 23 Hình 11 Định dạng thông điệp Alert 24 Hình 12 Vị trí giao thức bắt tay 25 Hình 13 Tiến trình bắt tay 26 Hình 14 Thông điệp Certificate 31 Hình 15 ServerKeyExchange mang tham số Diffie-Hellman 32 Hình 16 ServerKeyExchange mang tham số RSA .33 Hình 17 ServerKeyExchange sử dụng Fortezza 33 Hình 18 Server ký hàm băm tham số ServerKeyExchange .34 Hình 19 Thông điệp CertificateRequest .35 Hình 20 Thông điệp ServerHelloDone .36 Hình 21 Thông điệp ClientKeyExchange với RSA .37 Hình 22 Thông điệp ClientKeyExchange với Diffie-Hellman 38 Hình 23 Thông điệp ClientKeyExchange với Fortezza .38 Hình 24 CertificateVerify 39 Hình 25 Thông điệp Finished .41 Hình 26 Thông điệp Finish bao gồm hàm băm 42 Hình 27 Quá trình xác thực server .43 Hình 28 Quá trình xác thực client 45 Hình 29 Một tăng tốc trực tuyến .54 Hình 30 TLS sử dụng HMAC để sinh đầu giả ngẫu nhiên 65 Hình 31 Hàm giả ngẫu nhiên TLS sử dụng MD5 SHA .66 Hình 32 TLS sử dụng PRF để tạo master secret nguyên liệu khoá 67 Hình 33 TLS sử dụng PRF cho thông điệp Finished .68 Danh sách bảng biểu Bảng Giá trị kiểu chứng 35 Bảng Sự khác biệt SSL v3.0 TLSv1.0 61 Bảng Các thay đổi giao thức cảnh báo 62 Bảng Các bước sinh đầu giả ngẫu nhiên 64 Trang vii Bảng giải số cụm từ viết tắt CA Certificate Authority (Tổ chức cấp chứng chỉ) Client Máy khách HTTP HyperText Transfer Protocol (Giao thức truyền siêu văn bản) IETF Internet Engineering Task Force LDAP Lightweight Directory Access Protocol MAC Message Authentication Code (Mã xác thực thông điệp) Server Máy chủ SSL Secure Sockets Layer (Khe cắm an toàn) TCP/IP Transfer Control Protocol/Internet Protocol TLS Transport Layer Security (Bảo mật tầng giao vận) Trang viii Giới thiệu Nghiên cứu sử dụng công nghệ SSL/TLS Giới thiệu Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có kiểm soát đường liệu hay kiểm soát liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL (Secure Sockets Layer) kết hợp yếu tố sau để thiết lập giao dịch an toàn : khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP.Tuy nhiên, mặt trái SSL làm chậm lại hiệu nǎng thực ứng dụng Mức sử dụng tài nguyên hệ thống CPU đòi hỏi tiến trình mã hoá giải mã cho trang SSL cao từ 10 đến 100% so với trang không bình thường Nếu máy chủ có lưu lượng trang SSL cao, phải cân nhắc tới việc sử dụng thêm tǎng tốc SSL phần cứng Đề tài luận văn đề cập đến thuộc lĩnh vực an toàn, xác thực bảo mật thông tin mạng An toàn thông tin yêu cầu quan trọng việc truyền liệu mạng đặc biệt với giao dịch thương mại điện tử, xác thực mục tiêu trọng tâm website học tập trực tuyến Những hậu rò rỉ thông tin gây lớn khó lường hết Ngày nay, dù Việt Nam, nhà quản trị mạng bắt đầu quan tâm tới lĩnh vực này, thực chưa có nhiều nghiên cứu tiến hành chi tiết việc ứng dụng hạn chế Với xu phát triển nay, đường hội nhập với công nghệ thông tin giới, cần có hiểu biết sâu sắc toàn diện an toàn bảo mật thông tin Từ vấn đề nêu trên, luận văn thực việc tiến hành nghiên cứu chi tiết công nghệ bảo mật xác thực mạng sử dụng phổ biến Secure Sockets Layer (SSL), giao thức bảo mật tầng giao vận Đồng thời đưa giới thiệu công nghệ tăng tốc SSL, sử dụng nhằm tăng hiệu Đặng Thị Huê Trang 10 51 DecryptError Bên gửi thể thao tác lập mã chủ yếu tới thoả thuận handshake bị hỏng 60 ExportRestriction Bên gửi phát tham số thoả thuận không phù hợp với giới hạn xuất U.S 70 ProtocolVersion Bên gửi thể hỗ trợ phiên giao thức TLS yêu cầu 71 InsufficientSecurity Bên gửi (luôn server) thể yêu cầu mã bảo mật hỗ trợ client InternalError Bên gửi thể lỗi cục để thi hành phụ thuộc vào giao thức TLS(như định vị nhớ lỗi) làm tiếp tục UserCanceled Bên gửi thể muốn huỷ bỏ thoả thuận bắt tay vài lý khác lỗi giao thức; thông điệp thường cảnh báo, theo sau CloseNotify NoRenegotiation Bên gửi thể hiển đồng ý với yêu cầu bên ngang hàng để thoả thuận lại bắt tay TLS; thông điệp cảnh báo 80 90 100 3.3 Xác thực thông điệp Một lĩnh vực khác mà TLS hoàn thiện SSL thuật toán xác thực thông điệp Cách xác thực thông điệp SSL kết hợp thông tin khoá liệu ứng dụng đặc biệt hơn, tạo cho giao thức SSL Với giao thức TLS, dựa mã xác thực thông điệp chuẩn gọi H-MAC (Hashed Message Authentication Code) Thuật toán H-MAC chuẩn định nghĩa Đặc tả HMAC bao gồm mô tả tỉ mỉ phương pháp, mã nguồn ví dụ Chú ý H-MAC không định thuật toán băm cụ thể (như MD5 hay SHA), làm việc hiệu với thuật toán băm Mã xác thực thông điệp TLS ứng dụng thẳng chuẩn H-MAC HMAC secret MAC write secret nhận từ master secret Sau liệu bảo vệ TLS Message Authentication Code • Dãy số (sequence number) • Kiểu thông điệp giao thức TLS • Phiên TLS (ví dụ 3.1) • Chiều dài thông điệp • Nội dung thông điệp 3.4 Sinh nguyên liệu khoá Dựa chuẩn H-MAC, TLS định nghĩa thủ tục cho việc sử dụng HMAC để tạo đầu giả ngẫu nhiên Thủ tục sử dụng giá trị bí mật giá trị hạt giống ban đầu (có thể nhỏ), sinh đầu ngẫu nhiên an toàn Thủ tục tạo nhiều đầu ngẫu nhiên cần thiết Hình 30 minh hoạ thủ tục này, bảng liệt kê bước Như với chuẩn H-MAC, thủ tục không dựa thuật toán băm cụ thể Bất kỳ thuật toán băm nào, MD5 hay SHA sử dụng cho đầu giả ngẫu nhiên Bảng Các bước sinh đầu giả ngẫu nhiên Bước Thủ tục Tính H-MAC secret seed Tính H-MAC secret kết bước 1; kết phần đầu giả ngẫu nhiên Tính H-MAC secret kết bước 2; kết thu phần đầu giả ngẫu nhiên Lặp lại bước nhiều lần Hình 30 TLS sử dụng HMAC để sinh đầu giả ngẫu nhiên Với cải tiến thêm vào, TLS sử dụng thủ tục đầu giả ngẫu nhiên để tạo hàm giả ngẫu nhiên, gọi PRF PRF kết hợp hai thể khác thủ tục đầu giả ngẫu nhiên, sử dụng thuật toán băm MD5, sử dụng SHA Chuẩn TLS định hàm sử dụng hai thuật toán trường hợp hai thuật toán không an toàn Nó bắt đầu với giá secret (bí mật), giá trị seed (hạt giống), label (nhãn) Một hàm chia secret thành hai phần, dùng hàm băm MD5, dùng SHA Nó kết hợp nhãn seed thành giá trị đơn Chú ý đầu MD5 SHA có chiều dài khác (16 20 byte), sinh đầu giả ngẫu nhiên yêu cầu số lượng thao tác khác bước Hình 31 Hàm giả ngẫu nhiên TLS sử dụng MD5 SHA Các bước sinh đầu giả ngẫu nhiên TLS : • Bước : Chia secret thành phần nhau, secret bao gồm số lẻ byte, gộp byte phần (nó byte cuối phần đầu byte phần thứ hai) • Bước : Sinh đầu giả ngẫu nhiên sử dụng phần đầu secret, hàm băm MD5, kết hợp label seed • Bước : Sinh đầu giả ngẫu nhiên sử dụng phần thứ hai secret, hàm băm SHA, kết hợp label, seed • Bước : Exclusive-OR kết bước Với hiểu biết PRF, mô tả làm TLS tạo nguyên liệu khoá Nguyên lý giống với SSL Mỗi hệ thống bắt đầu với premaster secret, tạo master secret Sau đó, sinh nguyên liệu khoá yêu cầu từ master secret Để sinh nguyên liệu khoá, TLS dựa PRF Các giá trị đầu vào master secret (“secret”), chuỗi ASCII “key expansion” (nhãn), dãy giá trị ngẫu nhiên server client cho seed Bản thân 48 byte master secret tính sử dụng PRF Trong trường hợp này, giá trị vào premaster secret, chuỗi ASCII “master secret” (nhãn), dãy giá trị ngẫu nhiên client server Hình 32 minh hoạ hai bước Hình 32 TLS sử dụng PRF để tạo master secret nguyên liệu khoá 3.5 Xác nhận chứng TLS khác SSL chi tiết hàm CertificateVerify Trong SSL, thông tin ký hàm CertificateVerify phức tạp, kết hợp hàm băm hai mức thông điệp handshake, master secret, padding Trong trường hợp TLS, thông tin ký đơn giản thông điệp handshake trước trao đổi suốt phiên 3.6 Thông điệp Finished Thông điệp Finished TLS có nội dung đơn giản, cỡ 12 byte, giá trị tạo cách áp dụng PRF với đầu vào master secret, nhãn “client finished” (với client) hay “server finished” (với server), dãy hàm băm MD5, SHA tất thông điệp handshake Hình 33 TLS sử dụng PRF cho thông điệp Finished 3.7 Các mã sở Về bản, TLS hỗ trợ hầu hết mã có SSL, nhiên hỗ trợ mở rộng cho mã Fortezza/DMS bị loại bỏ Tập hợp mã TLS định nghĩa mở rộng mã phát triển thi hành Vì IETF có tiến trình hoàn toàn xác định cho việc đánh giá đề xuất này, cải tiến dễ dàng thêm vào TLS SSL Chương - Sử dụng SSL/TLS Nghiên cứu sử dụng công nghệ SSL/TLS Chương SỬ DỤNG GIAO THỨC SSL/TLS 1.Cài đặt Certificate Services cho Windows 2003 Server Trong Windows 2003 Server, mở cửa sổ Control Panel Chọn Add/Remove Programs, chọn tiếp Add/Remove Windows Components Chọn Certificate Services Windows Components Wizard, nhấn Next Chọn kiểu dịch vụ mà bạn muốn cài đặt : Stand-Alone root CA, nhấn Next Nhập thông tin định danh CA yêu cầu nhấn Next Nhấn Next tiếp để chấp nhận thiết lập mặc định, nhấn Finish để hoàn thành trình cài đặt Tạo yêu cầu Certificate : Mở cửa sổ Internet Service Manager Microsoft Management Console (MMC) Mở bảng Property Web Site bạn cần cài Certificate Chọn tab Directory Security Nhấn vào nút Server Certificate, cửa sổ Certificate Wizard ra, nhấn Next Chọn Create a new certificate, nhấn Next Chọn Prepare the request now, but send it later chọn Next Gõ tên cho certificate, chọn dộ dài bit mã hoá thông tin cần thiết, nhấn Next để tiếp tục Chọn đường dẫn tên file để lưu thông tin certificate Kiểm tra lại thông tin bạn nhập, nhấn Next để tạo certificate Gởi yêu cầu certificate : Mở browser gõ https://servername/CertSrv/ Chọn Request a Certificate, chọn Next Chọn Advance Request, nhấn Next Chọn Submit a Certificate Request using a Base64, nhấn Next Mở file certificate vừa tạo Chọn copy nội dung file -BEGIN NEW CERTIFICATE REQUEST MIIC9DCCAl0CAQAwXzEQMA4GA1UEAxMHdGVzdGluZzEQMA4GA1UEC xMHU3lzRGVwdDEQMA4GA1UEChMHTmV0U29mdDENMAsGA1UEBxME SENNQzELMAkGA1UECBMCVEIxCzAJBgNVBAYTAlZOMIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3uElzTyLG7bwsPv0zuljVLodhZ3DvkOt yliod/iRjHlXVeG49WpDjFcp0vY2QFJClp0fvU586Bqnf6R1UbW7z8dDSLLo3g MQuyaYOAZhVHeeVVE4yv/vxuTBO+JW8wYN9NrsPsxHQiUgyyBIQgphnEya mClfeFYEimNQs9/3tnQIDAQABoIIBUzAaBgorBgEEAYI3DQIDMQwWCjUu MC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYDVR0PAQH/BAQD AgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQA gAFMAQwBoAGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHA AaABpAGMAIABQAHIAbwB2AGkAZABlAHIDgYkAXxNuAz6gcBaZUdef8 WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5CkGynLGy0f+Lff7ViSDJqxYWaJ 68ddqgXyAqIilF63kivPTiC6yxLaNX65v3cnKFx4UrUrGXZtub7M7/NuxSipOW0 Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAAADANBgkqhkiG9w0BA QUFAAOBgQBmEU7t4rNg+xXg9l1YWh++Ye2x3yt3S9r+/LOblckL8jllmYsS7Y LvHBQYXj9zN5mh2RpoLllWWlct7wHKWig87G/oeBWeGIf9bJXJFvOBYO2x/e BwK+Qk0ufy1KIKUozeS7WnqaFFse+912/mqH5h7bh+McqwB0A+g/n1Cp0NkQ == -END NEW CERTIFICATE REQUEST Paste vào text box Base64 Encoded Certificate Request Dưới Certificate Template, chọn Web Server rối nhấn Next Nếu Certificate Server cấu hình Always Issue the Certificate, bạn download certificate 10 Nếu Certificate Server cấu hình Set the certificate request status to pending, bạn nhận thông điệp Certificate Pending Phát sinh download Certificate : Mở Certificate Authority (CA) Microsoft Management Console (MMC) cách chọn Start – Program – Administrator Tools – Certificate Authority Mở Certificate Authority Chọn Pending Requests Cửa sổ bên phải xuất yêu cầu chưa xử lý Nhấn phải chuột vào yêu cầu chưa xử lý đó, chọn All Tasks nhấn Issue Sau phát sinh certificate, việc download certificate Mở IE, gõ http://servername/CertSrv Trong trang mặc định, chọn Check on a pending certificate chọn Next Trong trang download, nhấn link Download CA Certificate Cài SSL cho web site : Mở Internet Service Manager Mở Property Web site muốn cài SSL Thiết lập cổng SSL 443 Chọn tab Directory Security, Secure Communications, nhấn Server Certificate Để mở Certificate Installation Wizard, nhấn Next Chọn Select Pending request and install the certificate, chọn Next Chọn file certificate Nhấn Finish Cấu hình : Trong tab Directory Security, Secure Communications, nhấn Edit Dialog Secure Communications xuất Chọn Require Secure Chanel (SSL), nhấn OK Nhấn Apply OK Cài đặt Apache Webserver hỗ trợ SSL 1.Các packages cần cài đặt : • mod-ssl-2.8.8-1.3.33.tar.gz (http://www.modssl.org) • openssl-0.9.7g.tar.gz (http://www.openssl.org) • apache-1.3.33.tar.gz (http://www.apache.org) • perl Module openssl thư viện thực giải thuật mã hoá DES, MD5, RSA, Module mod-ssl dùng để “plug-in” openssl vào apache webserver Chép packages vào thư mục giải nén Biên dịch : Trước tiên cài package perl trước Cài package OpenSSL $ cd openssl-0.9.7g $ perl Configure VC-WIN32 prefix=c:/openssl $ ms\do_ms Cài package modssl $ cd /mod-ssl-2.8.8-1.3.33 $ configure –with-apache= /apache-1.3.24 with –ssl= /openssl-0.9.6.b prefix=/usr/local/apache enable-shared=ssl Cài đặt Apache $ cd /apache-1.3.24 $ make $ make certificate $ make install Start Apache webserver with ssl : #apachectl startssl Cấu hình httpd.conf : Giả sử ta muốn website aaa.bbb.ccc.ddd hỗ trợ giao thức https SSLEngine on ServerName www.your-domain.netsoft DocumentRoot /www/docs/secure SSLCertificateFile /www/conf/ssl.crt/certificate-filename.crt SSLCertificateKeyFile /www/conf/ssl.key/filename.key Ngoài ra, sử dụng dịch vụ xác nhận chữ ký trực tuyến để phát sinh certificate cho server theo cách sau : Tạo yêu cầu chứng thực server : a Chạy MMC, vào Key Manager, chọn Create New Key b Chọn Put the request in a file that you will send to an authority, gán tên file yêu cầu chứng chỉ, nhấn Next c Gán tên mật (mã hoá khoá bí mật cần cài đặt chứng chỉ) cho cặp khoá, nhấn Next d Cung cấp thông tin tổ chức bạn, nhấn Commit Change Now để Save khoá Kết cặp khoá (bí mật công khai), file yêu cầu chứng thực Server Chỉ WebBrowser đến trang http://digitalid.versign.com Chọn WebServer bên Organizations trang đăng ký VeriSign Chọn I want a Digital ID for Testing purpose only (miễn phí có giá trị thời gian định) Chọn Microsoft từ danh sách hãng phần mềm có sẵn Cut paste yêu cầu chứng thực vào nơi đặc biệt cung cấp toàn thông tin yêu cầu Chọn Accept để chấp nhận yêu cầu, yêu cầu chấp nhận -> email chứa chứng Server VeriSign cung cấp gửi trở lại Phần chứng dòng BEGIN CERTIFICATE đến END CERTIFICATE email Tham khảo thêm modssl openssl địa : http://www.modssl.org http://www.openssl.org, dịch vụ chứng thực điện tử : http://www.digitalid.verisign.com hay http://www.verisign.com Kết luận Kết luận Khoá luận nghiên cứu sử dụng công nghệ bảo mật SSL/TLS mạng Internet Những kết mà khoá luận đạt : Tiến hành nghiên cứu công nghệ bảo mật mạng, từ mô hình giao thức mạng tách rời SSL/TLS thêm vào mô hình OSI có khả triển khai rộng khắp, tương thích với nhiều ứng dụng Tiếp theo phân tích chi tiết hoạt động SSL, với giao thức Record Protocol, Handshake Protocol, Alert Protocol, ChangeCipherSpec Protocol Giao thức Record Protocol xác định định dạng dùng để truyền liệu, mã hoá thông tin tầng gửi xuống, thêm vào tham số dùng cho việc xác thực đảm bảo tính toàn vẹn thông điệp Handshake Protocol sử dụng Record Protocol để trao đổi số thông tin client server lần đầu thiết lập kết nối SSL định mã sử dụng, trao đổi khoá phiên Là giao thức bảo mật sử dụng kỹ thuật mã hoá khóa công khai để mã hoá tất liên lạc client server, SSL có số hạn chế định, hệ mã hoá, độ dài khoá, môi trường ứng dụng, hạn chế giao thức sách công ty phủ Hiện nay, SSL có hai phiên SSLv2.0 SSLv3.0, có biến thể khác SSL gọi TLSv1.0 (Transport Layer Security) Về TLSv1.0 hoạt động giống SSLv3.0 có khác biệt hệ mã hoá sử dụng, thông báo lỗi chi tiết hơn, thông điệp kết thúc (Finished), cách xác thực thông điệp sinh nguyên liệu khoá Sử dụng SSL cần thiết cho giao dịch thương mại điện tử mạng, nhiên tốc độ truy cập website lại bị giảm đáng kể phải thực trình xác thực mã hoá, điều dễ gây khó chịu cho người dùng Để tăng hiệu website, sử dụng công nghệ tăng tốc SSL Đây thiết bị tăng tốc độ truy cập website sử dụng SSL lên đến 50 lần tương lai nhiều cải tiến đáng kể Hiện SSL nghiên cứu triển khai với website học tập trực tuyến hay bỏ phiếu từ xa thông qua mạng Internet, phục vụ cho việc xác thực người dùng Ví dụ, học sinh tham gia làm thi phải xác thực (quá trình xác thực client) Sau đó, làm xong gửi lại, người phải tiến hành ký làm để đảm bảo thông tin không bị giả mạo hay mát Người quản trị dựa vào để xác thực định danh người dùng, kiểm tra nội dung thông tin Trong trình triển khai SSL, thiết lập môi trường cần có chứng cho server Để tạo chứng cho server, phải liên lạc với CA đó, dĩ nhiên phải tốn khoản tiền Ngoài ràng buộc phủ Mỹ (cấm truyền bá công nghệ mã hoá cấp cao nước khu vực Bắc Mỹ), nhận chứng thực “khoá yếu” Tuy nhiên, có khoá có độ dài tuỳ ý mà xu nào, lại hoàn toàn không vi phạm quyền Đó sử dụng công cụ cộng đồng mã nguồn mở (OpenSource) OpenSSL cung cấp công nghệ mã hoá miễn phí cho tổ chức, cá nhân cho mục đích thương mại phi thương mại OpenSSL Project phổ biến công cụ mã nguồn mở nhằm triển khai giao thức SSL TLS cung cấp thư viện lập trình mã hoá đầy đủ chức Do hướng phát triển nghiên cứu : nghiên cứu công cụ mã nguồn mở OpenSSL, thư viện lập trình mã hoá khả triển khai áp dụng thực tế Việt Nam Mặc dù có nhiều cạnh tranh mặt công nghệ, SSL trở thành phương pháp lựa chọn bảo mật thương mại điện tử Web Từ SSL trở thành chuẩn mở, có tương lai, bảo mật thi hành cải tiến SSL tiếp tục trở thành giao thức bảo mật sử dụng nhiều sử dụng cho giao dịch Web Tài liệu tham khảo Tài liệu tham khảo Tài liệu tiếng Việt [1] GS.TS Phan Đình Diệu Lý thuyết mật mã an toàn thông tin [2] Đàm Mạnh Hùng Các hệ mã hoá ứng dụng thương mạI điện tử Khoá luận tốt nghiệp Hà Nội, 2004 [3] PGS.TS Trịnh Nhật Tiến Giáo trình an toàn liệu Tài liệu tiếng Anh [4] Man Young Rhee Internet Security Cryptographic Principles, Algorithms and Protocols John Wiley, 2003 [5] Mitch Tulloch Microsoft Encyclopedia of Security Microsoft Press, 2003 [6] Network Security with OpenSSL O’Reilly & Associates, Inc, 2002 [7] Stephen Thomas SSL & TLS Essentials Securing the Web 2000 [8] Mission Critical Internet Security Syngress Publishing, Inc, 2001 [9] Hack Proofing Your Web Applications Syngress Publishing, Inc, 2001 [...]... viện công nghệ Massachusetts Các nhà nghiên cứu đã phát triển Kerberos cung cấp sự xác thực và điều khiển truy cập tài nguyên trong một môi trường phân tán Giao thức Kerberos làm việc như là một bộ công cụ mà các giao thức khác có thể sử dụng cho các dịch vụ bảo mật Ví dụ, một giao thức truy nhập từ xa như Telnet có thể sử dụng Kerberos để bảo mật định danh người dùng của nó Hình 4 Giao thức ứng dụng sử. .. mật là sử dụng hai khoá : khoá công khai (public key) và khoá riêng (private key) Khoá công khai được gửi công khai trên mạng, trong khi đó khoá riêng được giữ kín Khoá công khai và khoá riêng có vai trò trái ngược nhau, một khoá dùng để mã hoá và khoá kia dùng để giải mã Giả sử B muốn gửi cho A một thông điệp bí mật sử dụng phương pháp mã hoá khoá công khai Ban đầu A có cả khoá riêng và khoá công khai... các yêu cầu bảo mật là một chức năng của hệ thống, và tất cả các ứng dụng bên trong hệ thống cần các dịch vụ bảo mật tương tự nhau Phương pháp SSL cung cấp sự liên hệ giữa các ứng dụng và bảo mật, nhưng nó cũng cho phép tương tác giữa cả hai Hoạt động bên trong của một ứng dụng như HTTP không cần thay đổi khi sự bảo mật được thêm vào, và đặc biệt là ứng dụng có thể tạo ra quyết định có sử dụng SSL hay... ích của nó, hy vọng sẽ mang lại một cái nhìn đúng đắn và sâu sắc hơn về vai trò của bảo mật và xác thực qua mạng cũng như xu hướng phát triển của nó trong tương lai Chương 1 - Một số vấn đề về bảo mật Nghiên cứu sử dụng công nghệ SSL/TLS Chương 1 MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT 1.1 Vấn đề an toàn mạng Giao thức SSL cung cấp bảo mật hiệu quả cho các phiên giao dịch Web, nhưng nó không phải là phương pháp duy... cho phép SSL hỗ trợ các ứng dụng khác ngoài HTTP Mục đích chính của việc phát triển SSL là bảo mật Web, nhưng SSL cũng được sử dụng để thêm vào sự bảo mật cho các ứng dụng Internet khác, bao gồm Net News Transfer Protocol (NNTP) và File Transfer Protocol (FTP) 1.1.2 Bảo mật đặc tả ứng dụng Một phương pháp khác là thêm trực tiếp vào các dịch vụ bảo mật vào trong giao thức ứng dụng Thực tế, chuẩn HTTP có... mạng sử dụng TCP/IP: • Chứng thực SSL Server : cho phép người sử dụng xác thực được server muốn kết nối Lúc này, phía trình duyệt sử dụng các kỹ thuật mã hóa công khai để chắc chắn rằng chứng chỉ và publicID của server là có giá trị và được cấp phát bởi một CA (Certificate Authority) trong danh sách các CA đáng tin cậy của client Sự xác thực này có thể quan trọng nếu người sử dụng gửi số thẻ tín dụng. .. cập vào các Website sử dụng SSL còn chậm, trung bình chậm hơn đến 50% tốc độ thông thường khi không sử dụng SSL Điều này sẽ gây tác dụng không tốt với người sử dụng do phải chờ đợi quá lâu, họ dễ dàng bỏ sang truy cập các Website khác, hoặc nôn nóng khởi tạo lại kết nối Để khắc phục nhược điểm trên, ngoài một số phương pháp tối ưu hoá như giảm số lượng hình ảnh trên trang web, sử dụng các phần mềm tăng... là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet Toàn bộ cơ chế và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá phiên (session key)... Hình 2 Bảo mật có thể được gắn trực tiếp vào giao thức ứng dụng Một trong những bất lợi của việc thêm sự bảo mật vào trong một ứng dụng cụ thể là các dịch vụ bảo mật sẽ chỉ có giá trị trong ứng dụng đó Ví dụ, không giống như SSL, nó không thể bảo mật cho NNTP, FTP, hay các giao thức ứng dụng khác với Secure HTTP Một trong những bất tiện của phương pháp này còn là do nó liên kết các dịch vụ bảo mật... ứng dụng Mỗi khi giao thức ứng dụng thay đổi, các thi hành bảo mật phải được quan tâm cẩn thận, và các chức năng bảo mật của giao thức phải được thay đổi thích hợp Một giao thức tách rời như SSL cách ly các dịch vụ bảo mật từ giao thức ứng dụng, cho phép mỗi dịch vụ tập chung vào giải quyết các vấn đề của riêng nó một cách có hiệu quả nhất 1.1.3 Bảo mật với các giao thức trung tâm Phương pháp bảo mật ... tốc giao dịch SSL 53 2.7.3.2 Tăng tốc SSL với vấn đề trì website (Web site persistence) 55 2.7.3.3 Tăng tốc SSL content switch 55 2.7.3.4 Quá trình phát triển tăng tốc SSL 56... Ceriticate Authority (CA) Một khoá công khai CA chứng nhận dùng khoá để trao đổi liệu mạng với mức độ bảo mật cao Cấu trúc chứng khoá công khai : • Issuer : tên CA tạo chứng • Period of validity... dài 128 bit, dùng giải thuật SHA ta có chiều dài 160 bit Sử dụng khoá riêng người gửi mã hoá văn đại diện thu bước Thông thường bước ta dùng giải thuật RSA Kết thu gọi chữ ký điện tử (digital signature)