Đang tải... (xem toàn văn)
Cơ sở hạ tầng khoá công khai (PKI)
Cơ sở hạ tầng khoá công khai (PKI) Lời nói đầu Cơ sở hạ tầng khoá công khai (PKI) kiến trúc bao gồm sách bảo mật, chế mã hóa, ứng dụng, lưu trữ quản lý khóa Đồng thời, cung cấp thủ tục, phân phối khóa chứng PKI cung cấp chế để xuất khóa công khai phần sở hạ tầng khóa công khai PKI miêu tả sách, chuẩn, phần mềm mà thường điều chỉnh chứng chỉ, khóa công khai khóa riêng Trong đề tài nghiên cứu gồm có ba phần: Phần 1: Tổng quan chứng thực điện tử PKI Phần 2: Công nghệ EJBCA Phần 3: Trong suốt trình nghiên cứu đề tài, nỗ lực thân em nhận khích lệ nhiều từ phía nhà trường, thầy cô khoa An toàn thông tin ban bè lớp Chính điều mang lại cho em động viên lớn để em hoàn thành tốt đề tài nghiên cứu Em xin cảm ơn nhà trường nói chung Khoa An toàn thông tin nói riêng đem lại cho em nguồn kiến thức vô quý giá để em có đủ kiến thức hoàn thành đề tài nghiên cứu Đặc biệt thầy Hoàng Đức Thọ tận tình bảo giúp đỡ em hoàn thành đề tài nghiên cứu Do kiến thức hiểu biết hạn chế, chắn đề tài nghiên cứu em nhiều thiếu sót Em mong thầy cô xem xét, bổ sung để đề tài em hoàn thiện Em xin chân thành cảm ơn ! Hà Nội, tháng 03/2010 Page Cơ sở hạ tầng khoá công khai (PKI) Page Cơ sở hạ tầng khoá công khai (PKI) Giới Thiệu Chung I ĐẶT VẤN ĐỀ Xác thực danh tính trực tuyến Trong thời đại bùng nổ dịch vụ Internet nay, tổ chức tài chính, ngân hàng, chứng khoán, bảo hiểm ngày cung cấp đa dạng sản phẩm, dịch vụ trực tuyến tới đông đảo khách hàng qua mạng Internet Tuy vậy, bên cạnh lợi ích mà dịch vụ trực tuyến đem lại, tổ chức tài phải đau đầu để tìm giải pháp bảo mật tốt với chi phí hợp lý mà bảo vệ thông tin đăng kí khách hàng họ tham gia vào dịch vụ trực tuyến Đây coi quyền lợi đáng khách hàng trách nhiệm coi nhẹ nhà cung cấp dịch vụ tài Một thông tin quan trọng khách hàng để họ truy cập dịch vụ giao dịch tài Danh tính trực tuyến (Online Identity) Thông tin sử dụng để chứng thực người khách hàng đăng kí với nhà cung cấp dịch vụ trước họ truy cập sử dụng loại sản phẩm dịch vụ trực tuyến nào.Với mức độ quan trọng Danh tính trực tuyến nên phần lớn công Hacker nhằm vào việc tìm cách để lấy cắp chiếm đoạt danh tính Các công nhiều dạng Phishing (hacker gửi thư giả mạo nhà cung cấp để lừa khách hàng truy cập vào Web site từ khách hàng bị lộ thông tin cá nhân nhập giá trị Tên đăng nhập/Mật khẩu, Số tài khoản/Mật số thẻ tín dụng) Hoặc số dạng công khác Brute force, Keylogger (Hacker ghi lại tất khác hàng gõ lên bàn phím để từ lần mật khẩu, số tài khoản họ) Thực tế cho thấy công đánh cắp danh tính hành vi lừa đảo trực tuyến thực gây lo ngại cho khách hàng không lần gây lànhững tổn thất hậu vô nghiêm trọng cho nhà cung cấp dịch vụ tài trực tuyến Cho đến nay, hầu hết ngân hàng, tổ chức tài chính, chứng khoán có dịch vụ trực tuyến triển khai hệ thống xác thực người dùng UserName/Password gọi xác thực yếu tố Và họ nhanh chóng nhận hệ thống xác thực yếu tố không đủ mạnh để bảo vệ thông tin khách hàng trước công ngày tinh vi kẻ xấu Bên cạnh đó, yêu cầu phát hiện, ngăn chặn hành vi lừa đảo trực tuyến để giảm thiểu rủi ro cho khách hàng nhà cung cấp tổ chức quản lý giám sát hoạt động tài ép buộc phải thực thi Thực tế có nhiều công nghệ phương pháp để xác thực danh tính giao dịch điện tử Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng số sử dụng PKI, thiết bị bảo mật vật lý Page Cơ sở hạ tầng khoá công khai (PKI) Smart Card, mật dùng lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính Mức độ bảo mật phụ thuộc vào nhóm công nghệ đối tượng hay giao dịch cụ thể cần bảo vệ Tính đảm bảo phương pháp xác thực dựa yếu tố sau: Something a person knows: Thường sử dụng số PIN, mật Something a person has: Được hiểu thiết bị vật lý: SmartCard, Token… Something a person is: Được hiểu đặc tính sinh trắc học: Vân tay, mống mắt Phương pháp xác thực nhiều yếu tố đảm bảo an toàn phương pháp xác thực yếu tố để chống lại nguy lừa đảo Sử dụng từ yếu tố trở nên gọi Xác thực mạnh Chi phí việc đầu tư vào hệ thống xác thực tăng dần theo mức độ bảo mật hệ thống Mặc dù vậy, hệ thống xác thực thành công không dựa vào yếu tố công nghệ mà phụ thuộc nhiều thành phần khác như: Các sách bảo mật, hướng dẫn thực thi an toàn thông tin, khả quản lý giám sát hệ thống Và đặc biệt hệ thống có hiệu phải người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo mật, tính mở rộng tương thích với hệ thống ứng dụng tương lai Lựa chọn phương pháp xác thực phù hợp Với bùng phát ngày tăng nguy lừa đảo mức độ rủi ro giao dịch thương mại trực tuyến Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) hỗ trợ loạt ngân hàng hàng đầu giới soạn thảo ấn phẩm vào năm 2001 có tên “Xác thực môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực tuyến” Mục tiêu ấn phẩm để hướng dẫn thực thi sách xác thực mạnh cho tổ chức tài tham gia vào dịch vụ giao dịch điện tử Nội dung ấn phẩm đề cập đến hậu cắp danh tính dẫn lựa chọn công nghệ xác thực mạnh phù hợp cho tổ chức tài chính: “ Những kẻ lừa đảo khai thác điểm yểu bảo mật khách hàng họ hoàn toàn tin tưởng việc xác thực yếu tố truy cập vào dịch vụ trực tuyến ngân hàng, chứngkhoán, email website giao dịch điện tử Các tổ chức tài nên cân nhắc yếu tố sau đề nâng cao tính đảm bảo cho giao dịch trực tuyến chống lại nguy đánh cắp danh tính:” Nâng cấp hệ thống xác thực yếu tố dựa Mật lên xác thực yếu tố Page Cơ sở hạ tầng khoá công khai (PKI) Sử dụng chương trình dò quét để xác định ngăn chặn công lừa đảo (phishing) lấy cấp thông tin nhạy cảm mật khẩu, số thẻ tín dụng… Đào tạo khách hàng để họ nhận thức thấu đáo tính quan trọng cần thiết xác thực danh tính môi trường điện tử Nhấn mạnh tầm quan trọng việc chia sẻ thông tin cộng tác ngành công nghiệp dịch vụ tài chính, phủ với nhà cung cấp công nghệ Trong bốn đề xuất trên, làm tốt đề xuất thứ khối lượng công việc thực đề xuất thứ thứ giảm nhiều.Theo hướng dẫn FFIEC nhằm nâng tính bảo mật đảm bảo tính khả thi đưa vào ứng dụng, xác thực yếu tố lựa chọn tối ưu cho giao dịch truy cập trực tuyến ngành tài chính, ngân hàng, chứng khoán bảo hiểm Xác thực yếu tố Xác thực yếu tố (Two-factor authentication) phương pháp xác thực yêu cầu yếu tố phụ thuộc vào để chứng minh tính đắn danh tính Xác thực yếu tố dựa thông tin mà người dùng biết (số PIN, mật khẩu) với mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính Với hai yếu tố kết hợp đồng thời, tin tặc gặp nhiều khó khăn để đánh cắp đầy đủ thông tin Nếu yếu tố bị đánh cắp chưa đủ để tin tặc sử dụng Phương pháp đảm bảo an toàn nhiều so với phương pháp xác thực truyền thống dựa yếu tố Mật khẩu/Số Pin.Ích lợi việc chuyển từ hệ thống xác thực yếu tố sang xác thực yếu tố mô tả sau: “ Hiếm lĩnh vực bảo mật, bạn cần làm thay đổi mà giải nhiều vấn đề liên quan tới điểm yếu bảo mật Việc chuyển đổi sang hệ thống xác thực yếu tố có khả giúp bạn làm điều đó” • Tấn công Phishing có thành công định việc đánh cắp Mật tĩnh khách hàng Nếu sử dụng xác thực yếu tố việc đánh cắp mật tĩnh vô nghĩa • Ắn cắp danh tính môi trường giao dịch trực tuyến trở lên khó khăn danh tính bảo vệ yếu tố thay yếu tố (mật khẩu/số PIN) trước Trong giao dịch trực tuyến, tính chống từ chối tính bí mật yêu cầu cần thiết khách hàng Rất nhiều tổ chức tài sử dụng Chữ kí số tạo từ hệ thống xác thực yếu tố để đảm bảo cho giao dịch Page Cơ sở hạ tầng khoá công khai (PKI) • Xác thực yếu tố trước đáp ứng xác thực nhà cung cấp dịch vụ với khách hàng mà khả ngược lại Hệ thống xác thực yếu tố giúp cho trình xác thực tương tác chiều, đảm bảo tối đa tính an toàn cho giao dịch trực tuyến • Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ nhiều mật khẩu, phải nhớ thay đổi mật theo định kì nhiều rắc rối khác quên chúng Một số dạng xác thực yếu tố có khả giúp ta thực điều Đứng trước nhu cầu đó, nhiều công ty bảo mật phối hợp ngân hàng, tổ chức tài để phát triển giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới hoạt động giao dịch trực tuyến II Mục tiêu Đồ án có mục tiêu : Tìm hiểu PKI Triển khai EJBCA III Hướng giải Hiện nay, giới có nhiều cách xây dựng , triển khai hệ thống PKI Có thể đơn cử vài ví dụ cụ thể : + CA – Microshoft + OpenCA – Opensourc +Entrus Trong đồ án này, em lựa chọn giải pháp sử dụng EJBCA Primekey tảng hệ điều hành Solaris 10 Lý lựa chọn xây dựng mô hình PKI gồm EJBCA Solaris là: Đối với EJBCA : Chạy độc lập không phụ thuộc vào hệ điều hành phần cứng Chạy java, jdk Tương thích với nhiều lọai sở liệu Xác thực mạnh chiều Sử dụng với nhiều môi trường chứng khác Đối với Solaris : Được viết Sun , hỗ trợ mạnh mẽ java, jboss jdk , tạo cho hệ thống tính ổn định IV Nội dung đồ án Phần I – Tổng quan PKI chứng thực số Phần II – Công Nghệ EJBCA Page Cơ sở hạ tầng khoá công khai (PKI) PHẦN I – TỔNG QUAN VỀ PKI VÀ CHỨNG THỰC SỐ Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Các thông tin truyền mạng quan trọng, mã số tài khoản, thông tin mật… Tuy nhiên, với thủ đoạn tinh vi, nguy bị ăn cắp thông tin qua mạng ngày gia tăng Hiện giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP Đây giao thức cho phép thông tin gửi từ máy tính tới máy tính khác thông qua loạt máy trung gian mạng riêng biệt Chính điều tạo hội cho ”kẻ trộm”công nghệ cao thực hành động phi pháp Các thông tin truyền mạng bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) v.v Các biện pháp bảo mật nay, chẳng hạn dùng mật khẩu, không đảm bảo bị nghe trộm bị dò nhanh chóng Do vậy, để bảo mật, thông tin truyền Internet ngày có xu hướng mã hoá Trước truyền qua mạng Internet, người gửi mã hoá thông tin, trình truyền, dù có ”chặn” thông tin này, kẻ trộm đọc bị mã hoá Khi tới đích, người nhận sử dụng công cụ đặc biệt để giải mã Phương pháp mã hoá bảo mật phổ biến giới áp dụng chứng số (Digital Certificate) Với chứng số, người sử dụng mã hoá thông tin cách hiệu quả, chống giả mạo (cho phép người nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính người gửi Ngoài chứng số chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu gửi Để giải vấn đề người ta sử dụng thuật ngữ “Chứng thực điện tử” - Đảm bảo tính bảo mật : sử dụng mã hóa - Đảm bảo tính toàn vẹn : sử dụng hàm băm chữ ký số - Đảm bảo tính xác thực: sử dụng chữ ký số chứng số - Đảm bảo chống chối bỏ: sử dụng chữ ký số, nhật ký Chứng thực điện tử có ý nghĩa quan trọng thiếu giao dịch điện tử Nền tảng chứng thực điện tử mật mã khóa công khai chữ ký số I Khái niệm chứng thực điện tử Chứng thực điện tử(Electronic Certification): hoạt động chứng thực danh tính người tham gia việc gửi nhận thông tin, đồng thời cung cấp cho họ công cụ dịch vụ cần thiếp để thực việc bảo mật thông tin, chứng thực nguồn gốc nội dung thông tin Hạ tầng công nghệ chứng thực điện tử sở hạ tầng khóa công khai PKI với tảng mật mã khóa công khai chữ ký số Page Cơ sở hạ tầng khoá công khai (PKI) Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty… Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân II Công nghệ PKI PKI hoạt động ? Bob Alice muốn liên lạc với qua Internet, dùng PKI để chắn thông tin trao đổi họ bảo mật Bob có chứng nhận kỷ thuật số, Alice chưa Để có nó, cô phải chứng minh với Tổ chức cấp giấy chứng nhận cô thực Alice Một thông số nhận dạng Alice Tổ chức thông qua, họ phát hành cho cô chứng nhận kỹ thuật số Chứng nhận điện tử có giá trị thực sự, giống hộ chiếu vậy, đại diện cho Alice Nó gồm có chi tiết nhận dạng Alice, chìa khóa công cộng cô thời hạn giấy chứng nhận chữ ký kỹ thuật số Tổ chức chứng nhận Alice nhận chìa khóa cá nhân kèm theo chìa khóa công cộng Chìa khóa cá nhân lưu ý phải giữ bí mật, không san sẻ với Bây Alice có chứng nhận kỷ thuật số, Bob gởi cho cô thông tin quan trọng số hóa Bob xác nhận với cô thông điệp xuất phát từ bảo đảm nội dung thông điệp không bị thay đổi khác Alice đọc Diễn biến thực tế nhiều thời gian giải thích trên, phần mềm máy trạm Bob tạo chữ ký điện tử mã hóa thông điệp có chứa chữ ký Phần mềm sử dụng chìa khóa cá nhân Bob để tạo chữ ký điện tử dùng chìa khóa công cộng Alice để mã hóa thông điệp Khi Alice nhận thông điệp mã hóa có chữ ký Bob, phần mềm dùng chìa khóa cá nhân cô để giải mã thông điệp Vì có chìa khóa cá nhân Alice giải mã thông điệp mã hóa chìa khóa công cộng cô, độ tin cậy thông tin hoàn toàn bảo đảm Sau đó, phần mềm dùng chìa khóa công cộng Bob xác minh chữ ký điện tử, để đảm bảo Bob gởi thông điệp đi, thông tin không bị xâm phạm đường di chuyển Bảng sau minh họa cho tiến trình chữ ký điện tử độ tin cậy cao đáp ứng cho yêu cầu giao dịch điện tử an toàn Bob Alice Page Cơ sở hạ tầng khoá công khai (PKI) Định nghĩa thành phần PKI 2.1 Định nghĩa Có nhiều định nghĩa khác PKI : - PKI sở hạ tầng an ninh rộng khắp, dịch vụ cài đặt thực cách sử dụng khái niệm kỹ thuật mật mã khóa công khai - PKI tập hợp phần cứng, phần mềm, người, sách thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối thu hồi chứng khóa công khai dựa mật mã khóa công khai -Chứng chỉ- Certificate: đại lượng điện tử đại diện cho người dùng, máy tính, dịch vụ thiết bị mạng Nó liên kết định danh chủ sở hữu khóa thường gồm: số serial chứng chỉ, thời gian hết hạn, chữ ký người phát chứng chỉ, khóa công khai chủ sở hữu … 2.2 Các thành phần PKI 2.2.1 Thẩm quyền chứng thực CA(Certification Authority) Trong PKI có số người có thẩm quyền, người tin cậy tất người dùng khác Họ có nhiệm vụ là: - Gắn cặp khóa công khai với định danh cho - Chứng nhận việc gắn kết cách ký số cấu trúc liệu có chưa biểu diễn định danh(gọi chứng chỉ) 2.2.2 Nhà quản lý đăng ký – RA Một nhà quản lý đăng ký (Registration Authority – RA) quan thẩm tra mạng máy tính, xác minh yêu cầu người dùng muốn xác thực chứng số, yêu cầu CA đưa kết RA phần sở hạ tầng khoá công khai PKI, hệ thống cho phép công ty người dùng trao đổi thông tin hoạt động tài cách an toàn bảo mật Page Cơ sở hạ tầng khoá công khai (PKI) 2.2.3 Kho chứng CR( Certificate Repository) -CA phát hành chứng chỉ, gửi cho người dùng lưu trữ kho chứng -Kho chứng CA sẵn sàng công bố -Kho chứng truy cập nhiều giao thức khác nhau(HTTP, FTP…) 2.2.4 Hủy bỏ chứng ( Certificate Revocation) Trong nhiều trường hợp cần thiết phải hủy bỏ gắn kết cặp khóa mã với định danh người dùng : thay đổi định danh, lộ khóa bí mật, chứng hết hạn mặt thời gian -> cần phải thông báo cho thành viên khóa công khai cho định danh không chấp nhận 2.2.5 Sao lưu khôi phục khóa(Backup key and Recovery key) Nhiều trường hợp người dùng quyền sử dụng khóa bí mật do: quên mật khẩu, phương tiện bị hỏng bị thay Dẫn đến việc liệu bảo vệ đọc -> cần phải lưu khóa bí mật khôi phục lại cần thiết để giải mã 2.2.6 Cập nhật khóa tự động (Automatic Key Update) Một chứng thường có hiệu lựu khoảng thời gian định do: trình độ thám mã thay đổi(thường phát triển ), quy định dung lượng liệu bảo vệ khóa( dung lượng liệu tăng-> cần pải thay khóa khác) Một chứng hết hiệu lựu cần phải thay chứng Thủ tục gọi “Cập nhật khóa” hay “Cập nhật chứng ” Cập nhật khóa thực cách tự động để: thuận tiện cho người dùng, không cần thêm tương tác ngoại lê 2.2.7 Lịch sử khóa(Key History) Trong suốt trình sử dụng PKI, người dùng có nhiều chứng cũ chứng Tập hợp chứng với khóa bí mật tương ứng gọi “Lịch sử khóa” Việc lưu trữ quản lý toàn lịch sử khóa đóng vai trò quan trọng Quá trình phải trì đầy đủ tự động PKI Phải đảm bảo người dùng dễ tìm khóa thích hợp tương ứng với liệu bảo vệ Page 10 Cơ sở hạ tầng khoá công khai (PKI) cầu để trả lời, Ví dụ, responder hạn chế tốc độ đến yêu cầu từ địa IP cụ thể, có vấn đề phát 9.3.3.5 Modification of HTTP Headers Giá trị bao gồm phần đầu HTTP không mã hóa để bảo vệ; họ chế tác mộtkẻ công nên khách hàng sử dụng giá trị cho nhớ đệm hướng dẫn cuối nên dựa vào giá trị diện ký kết OCSPResponse Khách hàng KHÔNG NÊN dựa vào phản ứng cache vượt nextUpdate thời gian Phần II – Công Nghệ EJBCA EJBCA dựa công nghệ J2EE có tính linh động cao tạo nên thành phần cảu CA E JBCA sử dụng độc lập hay tích hợp ứng dụng J2EE E JBCA mở rộng PKI , có nghĩ sử dụng E JBCA để xây dựng hạ tầng khóa công khai PKI Ta xây dựng E JBCA cấp giấy chứng chit cho mục đích khác - Xác thực mạng cho người truy cập intranet/extrawnet/ tài nguyên internet Bảo mật kết nôi SSL clien tới SSL serve Smart card đăng nhập vào Windown / Linux Chữ ký số , mã hóa email Kết nối VPN việc phát chứng VPN router ( OpenVPN , Cisco , Juniper v.v…) VPN client truy cập chứng đc cấp Đăng nhập lần cho người dung truy cập web chứng Tạo văn ký kết Có nhiều ứng dụng khác sử dụng PKI , E JBCA có mục tiêu hành động rộng , phức tạp , cấp giấy chứng nhận cho nhiều mục đích khác từ nhiều CA khác có độ sẵn sang cao Là mã nguồn mở EJBCA nhiều để tích hợp linh hoạt thích nghi với môi trường khác so với dịch vụ thương mại Sự thuận lợi mở rộng PKI - Advantageous enterprise PKI EJBCA PKI chứng nhận quyền doanh nghiệp hệ thống hoàn chỉnh PKI quản lý, chuyển giao, phần tích hay giải pháp trao đổi khóa EJBCA OCSP EAC chức phụ EJBCA PKI, sử dụng cho dòng Page 49 Cơ sở hạ tầng khoá công khai (PKI) xác nhận ePassports EJBCA cung cấp lợi lớn chi phí-hiệu , linh, hội nhập hoàn toàn, bảo trì hỗ trợ đầy đủ Như hiển thị nhiều nghiên cứu, mô hình mã nguồn mở làm cho có chi phí để phát triển phần mềm có hiệu EJBCA không ngoại lệ cho quy tắc Nó phát triển trình chưa kiểm soát mở nhanh nhẹn, - hợp tác với cộng đồng sang tạo cao Khi CA linh hoạt thị trường, EJBCA PKI có lý tốt để doanh nghiệp mã nguồn mở hàng đầu PKI sử dụng Nó thiết kế để liên hoạt động interoperate suôn sẻ với tất ứng dụng khác cần thiết giải pháp cụ thể, với linh hoạt xuất sắc EJBCA thiết kế riêng để đáp ứng nhu cầu cụ thể tổ chức EJBCA cho phép truy cập đầy đủ để tích hợp tất giao diện Tùy chọn, tích hợp hoàn toàn công việc vậy, chí thấy chạy Đó làm thành phần sở hạ tầng tốt hoạt động – Trong suốt với người dung Nền tảng định dạng Được viết java EJBCA thật tảng độc lập Nó chạy tất phần cứng phổ biến, tảng phần mềm : - Windows Linux Mac OS Là ứng dụng J2EE E HBCA cho phép chạy bả ứng dụng server - Jboss Glassfish Oracle Weblogic EJBCA cho phép chạy với ứng dụng : - MySQL PostgreSQL Oracle DB2 MS SQL Derby Các đặc trưng sẵn có Page 50 Cơ sở hạ tầng khoá công khai (PKI) - Sử dụng tiêu chuẩn, RDBMS hiệu cao cho việc lưu trữ CAs nhiều lần mức độ CAs, xây dựng sở hạ tầng hoàn chỉnh Secure and robust Không giới hạn số lượng CAs gốc SubCAs Yêu cầu qua chứng giấy chứng nhận cầu từ CAs khác cầu CAs Cấp giấy chứng nhận chéo để CAs khác Hỗ trợ thuật toán RSA key lên đến 4096 bit Hỗ trợ thuật toán DSA key với 1024 bits Hỗ trợ ECDSA thuật toán quan trọng với đường cong tên implicitlyCA Hỗ trợ nhiều thuật toán băm cho chữ ký, MD5, SHA-1, SHA-256 Hỗ trợ cho giấy chứng nhận X.509 Thẻ Kiểm giấy chứng nhận Độc lập tích hợp ứng dụng J2EE Dễ dàng cài đặt cấu hình Quản trị giao diện số ngôn ngữ - Chinese, English, French, German, Italian, Portuguese, Spanish and Swedish Và nhiều đặc trưng khác đc mô tả website Cấu trúc EJBC PKI Kiến trúc E JBCA chia làm thành phần Chủ yếu sử lý qua giao diện web để sử lý ứng dụng khác EJB chịu trách nhiệm làm việc với Database , OS Page 51 Cơ sở hạ tầng khoá công khai (PKI) Cài đặt EJBCA môi trường Solaris 10 Solaris 10 phát triển Sun dựa tảng java Vì Sun hỗ trợ mạng với phần mền viết java (j2se , jdk ) JDK Solaris 1o sử dụng jdk1.5.0_17 j2sdk1.4.2_19 môi trường thích hợp để cài đặt EJBCA (Các jdk 1.4.x trở xuống không đc EJBCA hỗ trợ ) Các phần mền cần có để cài đặt - apache-ant-1.7.1 ejbca_3_9_2 jboss-4.2.2.GA 4.1 Cài đặt JBoss Đây application server làm môi trường cho EJBCA $ cd /mnt/ $ wget http://downloads.sourceforge.net/jboss/jboss-4.2.3.GA.zip? modtime=1216412104&big_mirror=1 $ jar -xvf jboss-4.2.3.GA.zip $export JBOSS_HOME=/mnt//jboss-4.2.3.GA $export PATH=$PATH:$JBOSS_HOME/bin Page 52 Cơ sở hạ tầng khoá công khai (PKI) Sau export ta co câu lệnh tương ứng file /mnt/jboss-4.2.3GA Ta chạy jboss console câu lệnh /run.sh file /mnt/jboss-4.2.3GA/bin 4.2 Cài đặt apache-ant Download gói từ trang chủ http://ant.apache.org/ giải nén vào thư mục /mnt/ Sử dụng câu lệnh sau để export export ANT_HOME=/usr/local/ant export JAVA_HOME=/usr/local/jdk-1.2.2 export PATH=${PATH}:${ANT_HOME}/bin Thay đổi giá trị Java heap space : ANT_OPTS=-Xmx512m Ta tạo shell sau #!/bin/sh export ANT_HOME=/mnt/ apache-ant-1.7.1 export JAVA_HOME=/usr/jdk/jdk1.5.0_17/ export PATH=${PATH}:${ANT_HOME}/bin export JBOSS_HOME=/mnt/jboss-4.2.3.GA export PATH=$PATH:$JBOSS_HOME/bin ANT_OPTS=-Xmx512m 4.3 Cài đặt EJBCA Thay đổi toàn file.abc.sample thành file.abc Trong console với cài đặt (khác với cài đặt jboss) Ta sử dụng câu lệnh ant bootstrap ant install ant deploy Và trình duyệt ta gõ http://localhost:8080/ejbca trang public Page 53 Cơ sở hạ tầng khoá công khai (PKI) Ta export CA cho https với password mặc định ejbca # ls superadmin.p12 tomcat.jks truststore.jks # /usr/sfw/bin/openssl pkcs12 -in superadmin.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: SuperAdmin localKeyID: C6 97 37 4C 55 B2 4E C6 8A 72 6E 90 C4 8B 94 4E EE F6 53 B7 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -BEGIN RSA PRIVATE KEY Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,F8A57285703CC319 …………………… -END RSA PRIVATE KEY Bag Attributes friendlyName: SuperAdmin localKeyID: C6 97 37 4C 55 B2 4E C6 8A 72 6E 90 C4 8B 94 4E EE F6 53 B7 Page 54 Cơ sở hạ tầng khoá công khai (PKI) subject=/CN=SuperAdmin issuer=/CN=AdminCA1/O=EJBCA Sample/C=SE -BEGIN CERTIFICATE ……………………………… -END CERTIFICATE # Vào trinh duyệt gõ https://10.0.0.3:8443/ejbca/adminweb/index.jsp để vào trang admingui File cấu hình 5.1 Database EJBCA chạy với tất dạng sở liệu Ở ta dung sở liệu mặc định jboss lý sau : + Khi EJBCA cập nhật phiên tự động cập nhật liệu vào jboss + Giảm sử lý CPU có nhiều kết nối tới EJBCA server Chỉnh sửa mặc định conf/database.properties # Database username # Default: sa (works with hsqldb) #database.username=ejbca # Database password Page 55 Cơ sở hạ tầng khoá công khai (PKI) # Default: (blank works with hsqldb) #database.password=ejbca Bảng sở liệu : 5.2 Web.properties Chỉnh sửa mặc định web Page 56 Cơ sở hạ tầng khoá công khai (PKI) # The public port JBoss will listen to http on # Default 8080 #httpserver.pubhttp=8080 # The public port JBoss will listen to https on, no client cert required # Default 8442 #httpserver.pubhttps=8442 # The private port JBoss will listen to https on, client cert required # Default 8443 #httpserver.privhttps=8443 # The interfaces JBoss will bind to E.g 127.0.0.1 will only allow connections from localhost # Default 0.0.0.0 #httpsserver.bindaddress.pubhttp=0.0.0.0 #httpsserver.bindaddress.pubhttps=0.0.0.0 #httpsserver.bindaddress.privhttps=0.0.0.0 Tài liệu tham khảo : http://ejbca.org Page 57 Cơ sở hạ tầng khoá công khai (PKI) http://primekey.net http://google.com Giáo trình Chứng Thực Điện Tử trường Học Viện Kỹ thuật mật mã Giáo trình Thương Mại Điện Tử trường Học Viện Kỹ thuật mật mã Phụ Lục Page 58 Cơ sở hạ tầng khoá công khai (PKI) Bảng sở liệu EJBCA Các table columns Page 59 Cơ sở hạ tầng khoá công khai (PKI) Page 60 Cơ sở hạ tầng khoá công khai (PKI) Page 61 Cơ sở hạ tầng khoá công khai (PKI) Page 62 Cơ sở hạ tầng khoá công khai (PKI) Page 63 [...]... khác trong giấy chứng nhận Page 29 Cơ sở hạ tầng khoá công khai (PKI) è CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không chỉ cho tên chủ thể và khóa công cộng Cấu trúc chứng chỉ X.509 Ngoài ra còn có các trường mở rộng mà trong mẫu chứng chỉ X.509 phiên bản 1 và phiên bản 2 không có Mới nhất là phiên bản 4 Page 30 Cơ sở hạ tầng khoá công khai (PKI) Chứng chỉ X.509 phiên bản... nhiệm chứng thực cung cấp (các khóa công cộng nầy được ký hoặc khóa bằng khóa riêng của người có trách nhiệm chứng thực) Vì vậy, người sử dụng phải tin rằng người có trách nhiệm chứng thực sẽ bảo đảm việc hợp lệ hóa người chủ của khóa công khai và thực sự khóa công khai ở đây chính là khóa công khai của người có trách nhiệm chứng thực Page 28 Cơ sở hạ tầng khoá công khai (PKI) Các trường của chứng chỉ như... phục khóa, yêu cầu tem thời gian trên một văn bản Page 11 Cơ sở hạ tầng khoá công khai (PKI) III Kiến trúc PKI Hiện nay PKI được triển khai trong nhiều tổ chức như là một công cụ đảm bảo những nguồn tài nguyên nhạy cảm an toàn Tuy nhiên, với nhiều mục đích khác nhau, tiến trình khác nhau nên khó có thể đưa ra một tiêu chuẩn thiết kế chung Về cơ bản có các mô hình kiến trúc PKI có dựa trên các mô hình... dịch nên được kiểm tra và được ký bởi các bên liên quan PKI đảm bảo rằng tất cả các giao dịch nên bắt gặp các đòi hỏi hợp lý bằng cách cung cấp tài nguyên và cơ sở hạ tầng cần thiết V Các tiến trình trong PKI Page 16 Cơ sở hạ tầng khoá công khai (PKI) Các ứng dụng có thể đạt được bốn nguyên tắc an toàn bắt buộc trong một hệ thong PKI đó là: Tính bí mật, tính toàn ven, tính xác thực và chống chống bỏ... Cơ sở hạ tầng khoá công khai (PKI) 7 Giao thức trao đổi khóa Internet(IKE) IKE xử lý trao đổi khoá mật mã khi hai máy muốn giao tiếp một cách an toàn bằng cách sử dụng giao thức IPSec Phân phối khoá mật mã là một nhiệm vụ khó khăn, đòi hỏi xem xét cẩn thận Trước khi các phím được trao đổi, không có máy chủ có thể mã hóa bất cứ thông tin và nếu phím được gửi đi trong văn bản rõ ràng, chúng Page 23 Cơ. .. năng khác nhau mà một PKI cần thực hiện để tạo ra trong một trật tự để cung cấp sự an toàn và tin cậy đến giao dịch điện tử an toàn bao gồm: - Tạo cặp khóa công khai và khóa riêng cho việc tạo và xác thực chữ ký số Page 14 Cơ sở hạ tầng khoá công khai (PKI) - Cung cấp xác thực để kiểm soát truy nhập đến khóa riêng - Tạo và phát hành chứng chỉ cho người dùng xác thực - Việc đăng ký người dùng mới đến xác... chứng chỉ bị mất hoặc bị phơi nhiễm, sau đó bất cứ xác thực bằng cách sử dụng chứng chỉ nên bị từ chối Tương tự như vậy, mọi người sẽ thay đổi công việc, tên, và các công ty Khi chứng chỉ của họ được thay thế, người già Page 18 Cơ sở hạ tầng khoá công khai (PKI) Giấy chứng nhận phải được đánh dấu bằng cách nào đó như là "không còn chấp nhận" Mục đích của việc CRL là giấy chứng nhận danh sách đó là... thực thể sẽ sử dụng các dịch vụ bảo mật, chẳng hạn như mã hoá, giao tiếp một cách an toàn Trong văn bản rõ ràng, một SA cho biết những gì các thông số an ninh và các dịch vụ thường được thỏa thuận giữa các bên giao tiếp Ví dụ về các thông số như vậy là thuật toán xác thực, phím xác thực, các Page 20 Cơ sở hạ tầng khoá công khai (PKI) thuật toán mã hoá, khoá mật mã và thời gian hiệu lực của bản thân... CMP 4 Việc sử dụng quản lý chứng thực CMC 5 Giao thức đăng ký chứng chỉ đơn giản SCEP Giao thức PKCS#10 và PKKCS#7 là một phần của chuẩn mật mã khóa công khai( PKCS ) mà định nghĩa các chuẩn khác nhau cho mật mã PKI Page 32 Cơ sở hạ tầng khoá công khai (PKI) Tiêu chí đánh giá cho các giao thức quản lý PKI 1Các giao thức phải hỗ trợ tạo và xuất bản chứng chỉ và danh sách thu hồi chứng chỉ (CRL) Trong... chứng chỉ bao gồm: 1.Thông tin yêu cầu chứng chỉ 2.Một ID thuật toán chữ ký 3.Một chữ ký số trên thông tin yêu cầu chứng chỉ Page 33 Cơ sở hạ tầng khoá công khai (PKI) Thông tin yêu cầu chứng chỉ được soạn trong trường Tên phân biệt( Distingished Name) của thực thể, khóa công khai của thực thể, và một vài thuộc tính tùy chọn khác Các thuộc tính chứa đựng thông tin bổ sung về các thực thể, như là địa chỉ