ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG \ PHAN THỊ KIM QUẾ LỜI CẢM ƠN Em xin gửi lời cảm ơn tới Khoa CNTT- ĐHTN, nơi thầy cô tận tình giúp đỡ truyền đạt kiến thức cho em suốt trình học tập Em xin cảm ơn Ban chủ nhiệm khoa cán tạo điều kiện tốt cho em học tập TRIỂN hoàn thành đề tàiPHÁT tốt nghiệp mình.MỘT HẠ TẦNG KHÓA CƠthành BẢN CÔNG EmCÔNG xin gửi lờiKHAI cảm ơn chân nhấtDỰA đến T.S TRÊN Lương ThếBỘ Dũng tận tình giúp đỡ, bảo tạo điều kiện để em hoàn thành thực đề tài CỤ CRYPTOSYS Bên cạnh em nhận nhiều giúp đỡ, lời động viên từ anh, chị, bạn bè,… Em xin hết lòng ghi ơn Tuy nhiên, thời gian hạn hẹp, mình, luận văn khó tránh khỏi thiếu sót Em mong nhận thông cảm bảo tình quý thầy cô bạn LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Em xin chân thành cảm ơn! Thái Nguyên, tháng 10 năm 2015 Học viên Thái Nguyên - 2015 Phan Thị Kim Quế Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn LỜI CAM ĐOAN Em xin cam đoan, toàn nội dung liên quan tới đề tài trình bày luận văn thân em tự tìm hiểu tìm tòi hướng dẫn khoa học thầy T.S Lương Thế Dũng Các tài liệu, số liệu tham khảo trích dẫn đầy đủ nguồn gốc Em xin chịu trách nhiệm trước pháp luật lời cam đoan Học viên thực Phan Thị Kim Quế Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ Chương 1.TỔNG QUAN VỀ PKI 11 1.1.Giới thiệu chung 11 1.2.Mật mã khóa đối xứng mật mã khóa bất đối xứng 12  Mật mã khóa đối xứng 12  Mật mã khóa bất đối xứng 14 1.3.Chữ kí số 16 1.3.1 Khái niệm 16 1.3.2 Tạo chữ kí số 17 1.4.Hạ tầng khóa công khai PKI 18 1.4.1.Định nghĩa PKI 18 1.4.2.Các thành phần PKI 18  Toàn vẹn 22  Bảo mật 22 1.4.3.Các dịch vụ PKI 22 1.4.4.Kiến trúc PKI hành 23 1.5.Kết chương 25 Chương TÌM HIỂU KIẾN TRÚC VÀTHUẬT TOÁN TRONG CRYPTOSYS 26 2.1.Giới thiệu Cryptosys PKI 26 2.1.1 Các hàm sửa đổi phiên 26 2.1.2 Quy ước tài liệu 29 2.2.Các thuật toán hỗ trợ Cryptosys PKI 29 2.2.1 Thuật toán ký số mã hóa công khai 29 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 2.2.2 Thuật toán mật mã khối đối xứng cho mã hóa nội dung 30 2.2.3 Thuật toán mã hóa khối cho việc đóng gói khóa 30 2.2.4 Thuật toán băm Message digest 30 2.2.5 Thuật toán băm khóa HMAC 30 2.2.6 Các thuật toán mã hóa dựa mật 31 2.2.7 Định dạng khóa RSA 31 2.2.8 Các kiểu nội dung CMS 32 2.2.9 Chứng X509 32 2.2.10.Các thuật toán không hỗ trợ Cryptosys PKI 32 2.2.11.Các định dạng lưu trữ khóa 32 2.3.Chứng thư số 33 2.3.1 Chứng thư khóa công khai 33 2.3.2 Khuôn dạng chứng thư X.509 35 2.4.Cài đặt sử dụng thư viện CryptoSysPKI 38 2.4.1 Cài đặt 38 2.4.2 Sử dụng với C C++ 39 2.4.3 Sử dụng với NET: C# VB.NET 39 2.4.4 Phát hành an toàn 40 2.4.5 An toàn khóa 41 2.4.6 Các tùy chọn an toàn cho khóa bí mật mã hóa 42 2.4.7 Sinh số ngẫu nhiên ( Random Number Generator) 43 2.4.8 Xác định định danh riêng biệt 44 2.4.9 Tham số mở rộng X509 45 2.4.10.Danh sách số hàm CryptoSysPKI 46 1.Hàm CMS 46 2.Các hàm khóa công khai RSA 46 3.Hàm RSA gốc 47 4.Hàm chứng X509 47 5.Hàm PFX 48 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 6.Các hàm mật mã khối 48 7.Các hàm băm Message Digest 48 8.Các hàm HMAC 49 9.Các hàm chuyển đổi mã hóa 49 10.Các hàm chuyển đổi tập tin nhị phân PEM 49 11.Các hàm sinh số ngẫu nhiên 49 2.5.Các hoạt động hệ thống PKI 49 2.5.1 Giai đoạn khởi tạo chứng 50 2.5.2 Giai đoạn sau phát hành 52 2.5.3 Giai đoạn hủy bỏ chứng thư 53 2.5.4 Các hoạt động phục hồi 54 CHƢƠNG 3.XÂY DỰNG CHƢƠNG TRÌNH THỬ NGHIỆM 55 3.1 Mục tiêu phát biểu toán 55 3.2 Sơ đồ hoạt động chương trình 55 3.3 Một số chức lựa chọn môi trường công cụ 56 3.4 Ứng dụng chứng thư số sử dụng hệ thống PKI để bảo mật 60 3.4.1 Ứng dụng truyền tin an toàn 60 3.4.2.Ứng dụng xác thực người dùng kiểm tra tính toàn vẹn 61 3.5 Đánh giá kết thử nghiệm 61 KẾT LUẬN 63 Tiếng Việt: 65 Tiếng Anh: 65 PHỤ LỤC Chương trình mô hệ thống PKI 66 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn DANH MỤC CÁC TỪ VIẾT TẮT CA Certificate Authority CRLs Certificate Revocation Lists DES Data Encryption Standard DNS Domain Name System DSA Directory System Agent DSS Directory Service Server IEEE Institute of Electrical & Electronic Engineers LDAP Lightweight Directory Access Protocol MAC Message Authentication Code MD5 Message Digest Hash Algorithm OCSP Online Certificate Status Protocol PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensión SHA-1 Secure Hash Standard SSL Secure Socket Layer TTP Trusted Third Party TLS Transport Layer Security Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn DANH MỤC HÌNH VẼ Hình 1.1 Mô hình mã hóa giải mã sử dụng mật mã Error! Bookmark not defined Hình 1.2 Mô hình đơn giản hệ thống mã hóa đối xứng 12 Hình 1.3 Mô hình đơn giản mật mã khóa bất đối xứng 15 Hình 1.4 Mô hình tạo chữ kí số 17 Hình 1.5 Mô hình trao đổi thông tin sử dụng chữ ký số 18 Hình 1.6 Ví dụ việc áp dụng chữ ký số thực tế 18 Hình 1.7.Các thành phần chứng 19 Hình 1.8.Quá trình yêu cầu đăng ký chứng thư số 19 Hình 1.9 Mô hình kiến trúc hệ thống PKI 21 Hình 1.10.Mô hình hệ thống CA cấp 24 Hình 1.11.Mô hình hệ thống CA phân cấp 25 Hình 1.12.Mô hình hệ thống CA ngang cấp 25 Hình 2.1.Chứng thư khóa công khai đơn giản 34 Hình 2.2.Khuôn dạng chứng thư số phiên dạng X.509 36 Hình 2.3 Phần mở rộng khuôn dạng chứng thư số phiên dạng X.509 37 Hình 2.4.Thư viện Cryptosys PKI 39 Hình 2.5 Tóm tắt trình hoạt động hệ thống PKI 51 Hình 2.6 Giai đoạn khởi tạo 52 Hình 2.7 Giai đoạn hủy bỏ chứng 53 Hình 3.1 Sơ đồ hoạt động chương trình 55 Hình 3.2 Giao diện chương trình 56 Hình 3.3 Giao diện chức cấp phát chứng 58 Hình 3.4 Giao diện yêu cầu tạo chứng 59 Hình 3.5 Giao diện danh sách chứng thư cấp 59 Hình 3.6 Giao diện kiểm tra chứng thư số 59 Hình 3.7 Chứng số CA cấp 60 Hình 3.8 Giao diện cập nhật chứng thư số hết hạn 60 Hình 3.9 Giao diện kiểm tra chứng thư bị thu hồi 61 Hình 3.10 Giao diện chương trình ứng dụng truyền tin bảo mật 61 Hình 3.11 Sơ đồ hoạt động ứng dụng xác thực, kiểm tra tính toàn vẹn 61 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn MỞ ĐẦU Lý chọn đề tài Trong kỷ nguyên công nghệ thông tin, tính phổ biến rộng rãi Internet mặt đem lại nhiều ứng dụng tiện lợi, thú vị dần thay hoạt động truyền thống giới thực, mặt khác đặt vấn đề an toàn, tính tin cậy giao dịch Internet Cơ sở hạ tầng khóa công khai (PKI) đáp ứng, giải vấn đề cho yêu cầu Dựa dịch vụ chứng thực số chữ ký số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng Không nằm lĩnh vực thương mại điện tử, chứng thực số sử dụng dạng chứng minh thư cá nhân Tại nước công nghệ phát triển, chứng thực số CA tích hợp vào chip nhớ nằm thẻ cước, thẻ tín dụng để tăng cường khả bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính nhiều hệ thống khác nhau, chẳng hạn xe Bus, thẻ rút tiền ATM, kiểm soát hải quan v.v Từ tính cấp thiết vấn đề thực tế, em xin mạnh dạn trình bày tổng quát sở hạ tầng khóa công khai Đề tài vào hướng “ Phát triển hạ tầng khóa công khai dựa công cụ Cryptosys” Mục đích nhiệm vụ * Mục đích Đề tài tập trung vào hướng phát triển hạ tầng khóa công khai dựa công cụ Cryptosys PKI (PKI- Public Key Infrastructure) Các kết đề tài ứng dụng xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI * Nhiệm vụ Nghiên cứu trình thực mã hóa giải mã công khai Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Tìm hiểu thuật toán Thực đưa giải pháp Ứng dụng hệ mã cụ thể PKI So sánh với kết thực thi hệ mã chưa áp dụng Phƣơng pháp nghiên cứu Nghiên cứu dựa việc tìm hiểu giải thuật xử lý dựa công cụ Cryptosys PKI Thu thập tài liệu xuất bản, báo tạp trí khoa học tài liệu mạng Internet có liên quan đến vấn đề nghiên cứu Tìm hiểu, vận dụng kế thừa thuật toán qui trình mã công bố kết Đối tƣợng phạm vi nghiên cứu  Đối tƣợng nghiên cứu Đi vào nghiên cứu kỹ thuật, công nghệ, triển khai hạ tầng mật mã khóa công khai (PKI- Public Key Infrastructure) áp dụng an toàn số giao dịch qua cổng thông tin điện tử, từ phân tích nêu giải pháp phù hợp Từ kết thu được, đề tài đưa cách xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI  Phạm vi nghiên cứu Đề tài thực triển khai hạ tầng mật mã khóa công khai (PKI- Public Key Infrastructure) áp dụng an toàn số giao dịch qua cổng thông tin điện tử Đề tài giới hạn phạm vi nghiên cứu để đưa giải pháp, việc triển khai ứng dụng thực tiễn cần có thêm điều kiện thời gian quy mô Ý nghĩa khoa học đề tài Nghiên cứu tổng hợp sở lý thuyết, phương pháp luận, công cụ cho việc phát triển hệ thống sở hạ tầng khóa công khai phục vụ cho việc cấp phát chứng số Góp phần giải toán xác thực thực thể tham gia vào trao đổi thông tin liên lạc qua cổng giao dịch điện tử Các phương pháp mật mã gồm: Phương pháp mã hoá khóa bí mật phương pháp mã hóa khóa công khai Phương pháp mã hóa khóa công khai tập trung vào Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 10 mã khóa công khai (PKI) dựa thư viện Cryptosys PKI Với Phương pháp mã bí mật trình bày sơ mang tính so sánh Bố cục luận văn Luận văn trình bày chương, có phần mở đầu, phần kết luận, phần tài liệu tham khảo Các nội dung luận văn trình bày theo cấu trúc sau: Mở đầu Lý chọn đề tài Mục đích nhiệm vụ Phương pháp nghiên cứu Đối tượng phạm vi nghiên cứu Ý nghĩa khoa học đề tài Chƣơng 1: Tổng quan PKI Chƣơng 2: Kiến trúc thuật toán Cryptosys PKI Chƣơng 3: Xây dựng chƣơng trình thử nghiệm Kết luận Đánh giá nêu ưu nhược điểm đề tài Trình bày kết thu sau thực đề tài Hướng phát triển đề tài Đóng góp luận văn Luận văn hệ thống sở lý thuyết hệ mật mã khóa công khai Xây dựng chương trình thử nghiệm mô hình PKI dựa công cụ lập trình Cryptosys PKI (PKI- Public Key Infrastructure) Mô hình hoàn toàn phát triển tạo sở hạ tầng khóa công khai đáp ứng thực tế Giúp người sử dụng hiểu rõ khả ứng dụng mật mã toán bảo mật thông tin Ngoài giúp người sử dụng hiểu rõ hệ thống PKI, từ vận hành tốt hệ thống PKI thực tế Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 55 CHƢƠNG XÂY DỰNG CHƢƠNG TRÌNH THỬ NGHIỆM 3.1 Mục tiêu phát biểu toán Mục tiêu chương trình là: Xây dựng hệ thống PKI đơn giản Sau người dùng tiến hành thủ tục xin cấp chứng thư số hệ thống thấy hợp lệ sinh cặp khóa công khai, khóa bí mật phát hành chứng thư cho người dùng Ngoài ra, để minh họa việc ứng dụng chứng thư số, Module liên lạc an toàn xây dựng, Module cho phép người dùng sử dụng chứng thư số phát hành để truyền tin bảo mật đảm bảo tính xác thực Chứng thư số khóa công khai phải xác thực CA tin cậy tạo Trong hệ thống PKI chứa danh sách chứng thư hết hạn, người dùng kiểm tra xem chứng thư số có hạn sử dụng hay không T iếp sau ứng dụng chứng thư số để trao đổi thông tin an toàn sử dụng khóa công khai chứng thư có để mã hóa liệu gửi kênh truyền công cộng với Module liên lạc an toàn 3.2 Sơ đồ hoạt động chƣơng trình Hình 3.1 Sơ đồ hoạt động chương trình User yêu cầu cấp phát chứng thư thông qua hệ thống PKI (ở trung tâm CA) hệ thống nhận yêu cầu sinh chứng thư cho User Ở User yêu cầu cấp chứng thư số User gửi thông tin thân khóa công khai tới RA, sau RA gửi thông tin user ký yêu cầu chấp thuận đến trung tâm CA CA tạo chứng thư khóa công khai, ký khóa bí mật CA Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 56 lưu chứng vừa phát hành vào Kho chứng CA, sau CA gửi chứng thư trở lại RA RA cấp chứng thư cho người sử dụng 3.3 Một số chức lựa chọn môi trƣờng công cụ  Lựa chọn môi trường công cụ Việc lưa chọn môi trường công cụ phát triển trả lời câu hỏi: Hệ thống hoạt động điều kiện ta trang bị để xây dựng hệ thống Một hệ thống PKI thực tế bao gồm người máy móc Phạm vi ứng dụng tình xảy hệ thống đa dạng Tuy nhiên, phạm vi luận văn này, em xác định đối tượng hệ thống user Hệ thống PKI triển khai xây dựng tảng hệ điều hành Windows máy PC Mặc dù vậy, việc đảm bảo tương thích tối đa với phiên sớm Windows trọng Lý việc lựa chọn hệ điều hành chúng hỗ trợ tốt cho thư viện CryptoSys PKI Hơn nữa, dòng hệ điều hành phổ biến, dễ phát triển thử nghiệm ứng dụng Ngôn ngữ lựa chọn để xây dựng hệ thống server phân phối khoá C# công cụ phát triển Visual studio 2012, công cụ hỗ trợ tốt trình mã hoá, giải mã đóng gói liệu Vì mô hình xây dựng hệ thống PKI yêu cầu nhiều lần trình mã hoá giải mã, từ việc lựa chọn công cụ hoàn toàn phù hợp Một số chức chính: Giao diện Hình 3.2 Giao diện chương trình Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 57 Trong hệ thống bao gồm chức là: Yêu cầu cấp phát chứng thư số, yêu cầu kiểm tra chứng thư, cập nhật chứng thư, danh sách hủy bỏ dowload chứng thư số Giao diện người dùng yêu cầu cấp phát chứng thư: Hình 3.3 Giao diện chức cấp phát chứng Khi yêu cầu cấp phát chứng thư số, người yêu cầu phải cung cấp thông tin như: Họ tên, ngày sinh, địa chỉ, Cơ quan công tác,… cho RA Sau RA xem xét, thông tin người dùng hợp lệ gửi lên cho CA để bắt đầu trình thực cấp chứng thư số Người quản trị điền thông tin User vào sau kiểm tra xem thông tin hay chưa Nếu tiếp tục thực việc cấp chứng thư số Khi tiến hành cấp chứng thư CA sinh cặp khoá công khai khoá bí mật User CA sinh chứng thư số với trường thông tin sau: Số serial, Người phát hành, số hiệu, tên chủ thể, ngày cấp phát, ngày hết hạn, khoá công khai chủ thể, chữ ký CA.Với Module mật mã, cặp khoá công khai khoá bí mật thuật toán RSA sinh Chữ ký CA thực sau: Ban đầu dựa thông tin User, CA tính giá trị băm ghi liệu gồm trường thông tin chứng thư số (như số serial, tên chủ thể, ngày cấp phát, ngày hết hạn, khoá công khai chủ thể,…) (Hàm băm sử dụng MD5 có Module mật mã) Và sau đó, giá trị “băm” mã hoá khoá bí mật CA cho ta giá trị gọi chữ ký CA Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 58 Hình 3.4 Giao diện yêu cầu tạo chứng Chứng thư số vừa tạo lưu vào kho chứng thư số CA gửi cho người dùng tương ứng Khi chứng thư cấp, người dùng xem thông tin tải chứng thư trang Dowload chứng thư Hình 3.5 Giao diện danh sách chứng thư cấp Người dùng dễ dàng kiểm tra xem chứng thư số có hợp lệ CA cung cấp hay không cách nhập file chứng thư vào, hệ thống so sánh chứng thư nhập vào với chứng thư có kho sau gửi thông báo tới người dùng Hình 3.6 Giao diện kiểm tra chứng thư số Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 59 Khi ta có chứng thư muốn kiểm tra chứng thư có phải CA cung cấp không hết hạn chưa, đường dẫn chứng thư (nơi mà ta lưu trữ tệp chứng chỉ) yêu cầu kiểm tra Với Module mật mã, tất trường chứng thư (trừ trường chữ ký số CA) gộp lại tiến hành “băm” (theo giải thuật MD5) Giá trị so sánh với giá trị dùng giải thuật RSA để ký chữ ký số CA (việc kiểm tra dựa khoá công khai CA) Khi hai giá trị nhau, tức chương trình xuất dòng thông báo “Chứng CA cung cấp” ngược lại xuất thông báo “Chứng CA cung cấp” Khuôn mẫu chứng thư tạo module mật mã với trường:,,,,, , , Hình 3.7 Chứng số CA cấp Khi chứng số hết hạn, người dùng yêu cầu CA cập nhật lại chứng thư số Chứng thư số hạn thêm thay đổi cặp khóa Nếu chứng thư cập nhật hệ thống thông báo lại “Cập nhật thành công” Hình 3.8 Giao diện cập nhật chứng thư số hết hạn Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 60 CA có danh sách chứng bị hủy bỏ (CRLs) chứa chứng thư bị thu hồi (vì lý đó: hết hạn, bị lộ khóa bí mật,…) Hình 3.9 Giao diện kiểm tra chứng thư bị thu hồi 3.4 Ứng dụng chứng thƣ số sử dụng hệ thống PKI để bảo mật 3.4.1 Ứng dụng truyền tin an toàn Ứng dụng truyền tin an toàn xây dựng theo mô hình hoạt động sau: Hình 3.10 Giao diện chương trình ứng dụng truyền tin bảo mật Ứng dụng truyền tin có hai chức là: Bảo mật không bảo mật Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 61 Với ứng dụng truyền không bảo mật, chạy chương trình socket lắng nghe liên tục cổng thiết lập Ví dụ: hình socket gửi liệu qua qua người gửi nhận liệu qua bên người nhận Với ứng dụng truyền tin bảo mật, ứng dụng truyền không bảo mật, socket lắng nghe cổng thiết đặt Nhưng với module mật mã, trước liệu gửi mã hoá giải thuật RSA với khoá công khai người nhận (khoá lấy từ chứng thư số người nhận kho chứng thư số hệ thống PKI) nhận thông điệp liệu giải mã giải thuật RSA với khoá bí mật người nhận 3.4.2.Ứng dụng xác thực người dùng kiểm tra tính toàn vẹn Sơ đồ hoạt động ứng dụng xác thực người dùng sử dụng chứng thư số: Hình 3.11 Sơ đồ hoạt động ứng dụng xác thực kiểm tra tính toàn vẹn sử dụng chứng thư số Người gửi A: dùng khóa bí mật để “Ký số” (mã hóa) lên mẫu tin (thông điệp) (hoặc giá trị băm thông điệp) khóa công khai gửi cho người nhận B Người nhận B: Sau nhận mẫu tin chữ ký người gửi A Đầu tiên yêu cầu chứng thư số người gửi từ kho chứa chứng thư, kiểm tra chứng thư số, hợp lệ tính giá trị băm mẫu tin nhận với thuật toán băm mà người gửi sử dụng, lấy khóa công khai người gửi A từ chứng thư số vừa kiểm tra tính hợp lệ để kiểm tra chữ ký cách giải mã giá trị chữ ký lên Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 62 băm nhận từ A so sánh với giá trị băm vừa tính từ mẫu tin nhận Nếu tin thông điệp người gửi A thông điệp không bị sửa đổi 3.5 Đánh giá kết thử nghiệm Mục tiêu chương trình là: Xây dựng hệ thống PKI đơn giản Sau người dùng tiến hành thủ tục xin cấp chứng thư số hệ thống thấy hợp lệ sinh cặp khóa công khai, khóa bí mật phát hành chứng thư cho người dùng Ngoài ra, để minh họa việc ứng dụng chứng thư số, Module liên lạc an toàn xây dựng, Module cho phép người dùng sử dụng chứng thư số phát hành để truyền tin bảo mật đảm bảo tính xác thực Xây dựng chương trình tạo hệ thống PKI cấp phát chứng thư số tương đối thuận lợi dựa chủ yếu vào hàm thuật toán hỗ trợ thư viện Cryptosys PKI Việc cài đặt nhằm mục đích cấp phát chứng thư số khoá công khai an toàn đến người sử dụng việc xác thực chứng thư tránh giả mạo đạt hiệu Chương trình truyền tin bảo mật, ứng dụng chứng thư số truyền mẫu tin ngắn thể trình truyền thông an toàn user hệ thống sử chứng thư số Những hạn chế chƣơng trình:  Về mặt đưa vào ứng dụng thực thế: Phải thiết lập nhiều tham số làm bất tiện cho người sử dụng Ví dụ: Chương trình truyền tin phải thiết lập cổng nhân cổng gửi IP máy cần truyền thông điệp  Về mặt kỹ thuật: Tạo trường chứng thư trường chứng thư số, chưa tạo chứng thư số thực áp dụng vào ứng dụng khác Hệ thống PKI xây dựng có số chức như: Cấp phát/hủy bỏ, kiểm tra chứng thư Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 63 KẾT LUẬN Những công việc thực hiện:  Trình bày sở lý thuyết mật mã hóa thông tin: Trình bày khái niệm, thuật toán mật mã sử dụng trình làm chương trình Vấn đề hệ thống PKI: Trình bày thành phần hệ thống PKI Các dịch vụ PKI bao gồm xác thực , toàn vẹn bảo mật Các kiến trúc trung tâm chứng thực CA Các hoạt động hệ thống PKI để cấp phát hay hủy bỏ chứng thư số Các tiêu chuẩn PKCS, X.509: Trình bày tiêu chuẩn quốc tế khoá công khai chứng số sử dụng để đảm bảo tính an toàn trình xây dựng trương trình Tìm hiểu thư viện Crptosys PKI : Các thuật toán hỗ trợ sử dụng chương trình mật mã đối xứng, mật mã công khai, hàm băm,… hàm RSA, mã hóa 3DES, sinh số ngẫu nhiên,…  Xây dựng chương trình Tạo website mô hệ thống PKI cấp phát chứng thư số: dựa chủ yếu vào hàm thuật toán hỗ trợ thư viện Cryptosys PKI cài đặt nhằm mục đích cấp phát chứng thư số khoá công khai an toàn đến người sử dụng việc xác thực chứng thư tránh giả mạo Chương trình truyền tin bảo mật ứng dụng chứng thư số: Một ứng dụng truyền mẫu tin ngắn thể trình truyền thông an toàn user hệ thống sử chứng thư số Những hạn chế chƣơng trình:  Về mặt đưa vào ứng dụng thực thế: Phải thiết lập nhiều tham số làm bất tiện cho người sử dụng Ví dụ: Chương trình truyền tin phải thiết lập cổng nhận cổng gửi IP máy cần truyền thông điệp  Về mặt kỹ thuật: Tạo trường chứng thư trường Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 64 chứng thư số, chưa tạo chứng thư số thực áp dụng vào ứng dụng khác Hệ thống PKI xây dựng có số chức như: cấp phát/hủy bỏ, kiểm tra chứng thư Hƣớng phát triển chƣơng trình  Hoàn thiện giao diện hệ thống Web cấp phát chứng thư, tiếp tục xây dựng số chức cho phù hợp với CA theo chuẩnthông dụng thực tế  Xây dựng chương trình xuất Certificate để phục vụ cho ứng dụng như: HTTPS hay VPN, mail … nhiều lĩnh vực khác  Mở rộng CA nhằm mục đích liên kết với hệ thống CA khác Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 65 Tài liệu tham khảo Tiếng Việt: [1] Nguyễn Bình, Hoàng Thu Phương – Cơ sở lý thuyết mật mã ,Giáo trình/ Học viện kỹ thuật Mật Mã, Hà Nội,2006 [2] Lê Mỹ Tú, Trần Duy Lai - Chứng thực điện tử, Giáo trình/Học viện kỹ thuật Mật Mã, Hà Nội, 2006 [3] Lê Quang Tùng - Tổng quan hệ thống chứng thực điện tử PKI Trung tâm chứng thực điện tử, 2011 Tiếng Anh: [4] Suranjan Choudhu - PKI Implementation And Design, tháng 3,năm 2002 [5] YongLee, JeailLee, JooSeokSong - Design and implementation of wireless PKI technology suitable, 2007 [6] MS Press Windows Server 2010 PKI and Certificate Security www.cryptosys.net/pki [7] Scott DormaScott Dorman - Teach Yourself Visual C# 2010 in 24 Hours,2010 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 66 PHỤ LỤC CHƢƠNG TRÌNH MÔ PHỎNG HỆ THỐNG PKI Phụ lục trình bày đoạn code chương trình cấp phát, kiểm tra, cập nhật danh sách hủy bỏ chứng thư số Đầu tiên, người dùng yêu cầu cấp phát chứng thư số, CA sinh cặp khóa công khai khóa bí mật User.CA sinh chứng thư số Sau cấp chứng thư thành công, chứng thư tự động lưu kho, người dùng tải chứng thư sử dụng Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 67 Khi hệ thống cấp phát chứng thư thành công, người dùng tiến hành kiểm tra xem chứng thư tải có CA cấp hay không Khi chứng hết hạn, người dùng gửi yêu cầu đến CA xin cấp lại khóa hạn thêm cho chứng thư Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 68 CA có danh sách chứa chứng thư số hết hạn bị thu hồi do: cặp khóa bị lộ, hết hạn sử dụng, người dùng kiểm tra tình trạng chứng thư số mình: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 69 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ... hướng “ Phát triển hạ tầng khóa công khai dựa công cụ Cryptosys Mục đích nhiệm vụ * Mục đích Đề tài tập trung vào hướng phát triển hạ tầng khóa công khai dựa công cụ Cryptosys PKI (PKI- Public Key... tài đưa cách xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI  Phạm vi nghiên cứu Đề tài thực triển khai hạ tầng mật mã khóa công khai (PKI- Public Key Infrastructure) áp... chứng khóa công khai dựa mật mã khóa công khai Bộ công cụ CryptoSysPKI cung cấp cho người lập trình người phát triển với hầu hết thuật toán hữu ích bạn cần để tạo phần mềm cho hệ thống PKI thực CryptoSys