ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH THÁI NGUYÊN - 2017 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Người hướng dẫn khoa học: TS Phạm Thế Quế THÁI NGUYÊN - 2017 i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng tôi, dẫn TS Phạm Thế Quế Các số liệu, kết nêu luận văn trung thực, luận văn chưa bảo vệ hội đồng chưa công bố phương tiện khác Thái nguyên, ngày tháng năm 2017 Tác giả luận văn Ngô Thu Phương ii LỜI CẢM ƠN Em xin chân thành cảm ơn thầy giáo TS Phạm Thế Quế tận tình hướng dẫn tạo điều kiện cho em hoàn thành luận văn Em xin chân thành cảm ơn thầy cô giáo, cán nhân viên phòng đào tạo, ban lãnh đạo Trường Đại học Công nghệ thông tin Truyền thông giúp đỡ tạo điều kiện cho em hoàn thành luận văn Cuối cùng, em xin chân thành cảm ơn quan tâm giúp đỡ gia đình, quan, bạn bè tập thể lớp Cao học K14B cổ vũ động viên em hoàn thành luận văn Tuy cố gắng thời gian trình độ có hạn nên chắn luận văn nhiều thiếu sót hạn chế định Kính mong nhận góp ý thầy cô bạn Thái nguyên, ngày tháng năm 2017 Học viên Ngô Thu Phương iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC NHỮNG TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH viii MỞ ĐẦU 1 Lý chọn đề tài Ý nghĩa khoa học đề tài .2 Đối tượng phạm vi nghiên cứu Những nội dung nghiên cứu .2 CHƯƠNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI 1.1 Hệ mật mã khóa bất đối xứng [2] 1.1.1 Khái niệm 1.1.2 Thuật toán mật mã RSA 1.1.3 Chuyển đổi văn rõ 1.1.4 Đánh giá kỹ thuật mật mã bất đối xứng 1.1.5 Một số kỹ thuật phá mã RSA 1.1.6 Một số hệ mật mã khóa công khai khác .9 1.2 Hàm băm bảo mật 1.2.1 Giới thiệu 1.2.2 Các tính chất hàm băm bảo mật 10 1.2.3 Ứng dụng hàm băm bảo mật 11 1.2.4 Hàm băm bảo mật SHA 12 1.2.5 Hàm băm MD5 13 1.3 Chữ ký số [2] 14 iv 1.3.1 Khái niệm chữ ký số .14 1.3.2 Quy trình tạo kiểm tra chữ ký số 15 1.3.3 Những vấn đề tồn chữ ký số 18 1.4 Cơ sở hạ tầng khóa công khai PKI [3] 19 1.4.1 Khái niệm 19 1.4.2 Chức chủ yếu PKI 21 1.4.3 Các thành phần PKI 22 1.4.4 Các thủ tục PKI 23 1.4.5 Khái niệm chứng thực số 24 1.5 Một số thuật toán quản lý khóa [2] .25 1.5.1 Thuật toán trao đổi khoá Diffie-Hellman 25 1.5.2 Đánh giá độ an toàn thuật toán trao đổi khoá Diffie-Hellman 26 1.5.3 Quản lý khoá công khai mật mã bất đối xứng 27 1.5.4 Sử dụng mật mã bất đối xứng để trao đổi khóa bí mật 29 Kết luận chương 31 CHƯƠNG KỸ THUẬT XÁC THỰC THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ 32 2.1 Giới thiệu chung xác thực thông tin 32 2.2 Các kỹ thuật xác thực thông tin [2] 33 2.2.1 Sử dụng thuật toán mật mã khóa đối xứng .34 2.2.2 Sử dụng thuật toán mật mã khóa bất đối xứng 35 2.2.3 Sử dụng mã xác thực MAC .36 2.2.4 Sử dụng hàm băm bảo mật .37 2.2.5 Xác thực thông tin dùng chữ ký điện tử 38 2.2.6 Xác thực thông tin dùng chữ ký điện tử chứng thực điện tử 40 2.3 Các giao thức xác thực 42 2.3.1 Mật 42 2.3.2 Các giao thức xác thực mô hình điểm - điểm 43 2.3.3 Xác thực hệ thống phân tán .44 v 2.3.4 Giao thức xác thực Kerberos 48 2.3.5 Giao thức xác thực Kerberos 52 Kết luận chương 55 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ 56 3.1 Dịch vụ hành công .56 3.1.1 Khái niệm 57 3.1.2 Các đặc trưng dịch vụ hành công 57 3.2 Mô hình xác thực người dùng hành công 58 3.2.1 Các thành phần hệ thống xác thực 58 3.2.2 Hệ thống ký hiệu 59 60 3.2.3 Hoạt động hệ thống xác thực thông tin Error! Bookmark not defined 3.3 Các quy trình xác thực hệ thống thông tin hành công 60 3.3.1 Quy trình cấp quản lý chứng thực khóa 60 3.3.2 Quy trình xác thực thông tin 63 3.3.3 Một số nhận xét 64 3.4 Cài đặt thử nghiệm 65 3.5 Đánh giá kết thử nghiệm Error! Bookmark not defined KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68 TÀI LIỆU THAM KHẢO 70 vi DANH MỤC NHỮNG TỪ VIẾT TẮT AES ANSI CA CRL DES DNS DSA DSS EDI FIPS FTP HTTP IDEA ISO ISP ITU MD5 NIST OSI PGP PKI RA RSA SET SHA TCP/IP URL Advanced Encryption Standard American National Standards Institude Certification Authority Certificate Revocation List Data Ecryption Standard Domain Name System Digital Signature Algorithm Digital Signature Standard Electronic Data Interchange Federal Information Processing Standard File Transfer Protocol Hyper Text Transport Protocol International Data Encryption Algorithm International Organization for Standardization Internet Service Provider International Telecommunication Union Message Digest National Institute of Standards and Technology Open System Interconnection Pretty Good Private Public Key Infrastructure Registration Authority Rivest-Shamir-Aldeman Secure Electronic Transaction Secure Hash Algorithm Transmission Control Protocol / Internet protocol Uniform Resource Locator Chuẩn mã hoá tiên tiến Viện tiêu chuẩn quốc gia Mỹ Nhà cung cấp chứng thực Danh sách chứng thực thu hồi Chuẩn mã liệu Hệ thống tên miền Thuật toán chữ ký điện tử Chuẩn chữ ký điện tử Trao đổi liệu điện tử Chuẩn xử lý thông tin liên bang Mỹ Giao thức truyền file Giao thức truyền siêu văn Thuật toán mã hoá liệu quốc tế Tổ chức tiêu chuẩn hoá quốc tế Nhà cung cấp dịch vụ Internet Liên minh viễn thông quốc tế Viện quốc gia chuẩn công nghệ Kết nối hệ thống mở Cơ sở hạ tầng khoá công khai Nhà quản lý đăng ký Giao dịch điện tử an toàn Thuật toán băm an toàn Giao thức điều khiển truyền dẫn/ giao thức Internet Bộ định vị tài nguyên vii DANH MỤC BẢNG Bảng 1.1: Các phiên SHA 13 Bảng 1.2: So sánh thông số SHA-1 MD5 13 Bảng 3.1: Kết thử nghiệm 67 viii DANH MỤC HÌNH Hình 1.1: Cấu trúc hệ thống mật mã khóa bất đối xứng .5 Hình 1.2: Một ứng dụng điển hình hàm băm .10 Hình 1.3: Định nghĩa chữ ký số 15 Hình 1.4: Sơ đồ tổng quát tạo chữ ký số 16 Hình 1.5: Sơ đồ tổng quát kiểm tra chữ ký số 17 Hình 1.6: Sơ đồ tổng quát tạo kiểm tra chữ ký số 17 Hình 1.7: Các thành phần PKI .23 Hình 1.8: Thuật toán trao đổi khoá Diffie-Hellman 26 Hình 1.9: Dùng mật mã bất đối xứng để trao đổi khoá 29 Hình 2.1: Xác thực thông tin dùng mật mã đối xứng .34 Hình 2.2: Sử dụng khóa bất đối xứng để trao đổi khóa bí mật 35 Hình 2.3: Xác thực thông tin dùng mật mã bất đối xứng 35 Hình 2.4: Xác thực thông tin dùng MAC 36 Hình 2.5: Xác thực thông tin dùng hàm băm 37 Hình 2.6: Xác thực dùng hàm băm mật mã bất đối xứng 38 Hình 2.7: Xác thực thông tin dùng chữ ký số 39 Hình 2.8: Xác thực thông tin dùng chữ ký số 39 Hình 2.9: Minh hoạ xác thực sử dụng chứng số chữ ký điện tử 40 Hình 2.10: Sơ đồ minh họa trình xin cấp chứng số 41 Hình 2.11: Giao thức xác thực PAP 44 Hình 2.12: Giao thức xác thực CHAP 44 Hình 2.13: Thủ tục xác thực Kerberos 49 Hình 2.14: Xác thực hai lãnh địa Kerberos 52 Hình 3.1: Mô hình tổng quát cấp chứng thực khóa 62 Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 63 Hình 3.3: Giao diện chương trình demo chữ ký số Error! Bookmark not defined Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn Error! Bookmark not defined 56 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ 3.1 Dịch vụ hành công 3.1.1 Khái niệm Dịch vụ công hoạt động phục vụ lợi ích chung, thiết yếu, quyền nghĩa vụ tổ chức công dân Nhà nước trực tiếp thực chuyển giao cho sở Nhà nước thực nhằm mục tiêu hiệu công Dịch vụ hành công loại hình dịch vụ công quan hành Nhà nước thực để phục vụ quyền nghĩa vụ tổ chức công dân Được thực dựa thẩm quyền hành - pháp lý Nhà nước 3.1.2 Các đặc trưng dịch vụ hành công Dịch vụ hành công gắn liền với thẩm quyền hành pháp lý máy Nhà nước nên loại dịch vụ quan hành Nhà nước thực hiện, việc cấp loại giấy phép, giấy khai sinh, chứng minh thư, công chứng, xử lý xử phạt hành chính, kiểm tra tra hành … Dịch vụ hành công phục vụ cho hoạt động quản lý Nhà nước, hoạt động nhằm phục vụ cho chức quản lý; dịch vụ mà Nhà nước bắt buộc khuyến khích người dân phải làm để đảm bảo trật tự an toàn xã hội; quy định có tính chất bắt buộc Nhà nước Càng nhiều người sử dụng dịch vụ hành công tạo điều kiện cho hoạt động quản lý Nhà nước tốt Dịch vụ hành công hoạt động không vu lợi, có thu tiền thu dạng phí lệ phí để nộp ngân sách Nhà nước Mọi người dân có quyền ngang việc tiếp cận sử dụng dịch vụ với tư cách đối tượng phục vụ quyền Nhà nước có trách nhiệm nghĩa vụ phục vụ cho người dân 57 3.1.3 Các mức độ dịch vụ hành công Giao dịch hành công chế giải công việc tổ chức, công dân thuộc thẩm quyền quan hành nhà nước từ tiếp nhận yêu cầu, hồ sơ đến trả kết thông qua đầu mối Hành công có mức độ dịch vụ khác nhau: Mức độ 1: Là dịch vụ bảo đảm cung cấp đầy đủ thông tin thủ tục hành văn có liên quan quy định thủ tục hành Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng tải mẫu văn khai báo để hoàn thiện hồ sơ theo yêu cầu Hồ sơ sau hoàn thiện gửi trực tiếp qua đường bưu điện đến quan, tổ chức cung cấp dịch vụ Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng điền gửi trực tuyến mẫu văn đến quan, tổ chức cung cấp dịch vụ Các giao dịch trình xử lý hồ sơ cung cấp dịch vụ thực môi trường mạng Việc toán lệ phí (nếu có) nhận kết thực trực tiếp quan, tổ chức cung cấp dịch vụ Mức độ 4: dịch vụ công trực tuyến mức độ cho phép người sử dụng toán lệ phí (nếu có) thực trực tuyến Việc trả kết thực trực tuyến, gửi trực tiếp qua đường bưu điện đến người sử dụng 3.1.4 Một số dịch vụ hành công Lĩnh vực Báo chí - Cấp giấy phép họp báo - Cấp giấy phép xuất bản tin - Cấp phép thành lập hoạt động văn phòng đại diện quan báo chí - Cấp phép hoạt động phóng viên thường trú quan báo chí Lĩnh vực Xuất - Cấp giấy phép hoạt động in - Đăng ký hoạt động sở in - Thủ tục đăng ký sử dụng máy photocopy màu - Cấp giấy phép tổ chức triển lãm, hội chợ xuất phẩm - Cấp giấy phép xuất tài liệu không kinh doanh - Cấp giấy phép nhập xuất phẩm không kinh doanh 58 Lĩnh vực Phát thanh, truyền hình Thông tin điện tử - Cấp giấy phép thiết lập trang thông tin điện tử tổng hợp - Gia hạn giấy phép thiết lập trang thông tin điện tử tổng hợp - Cấp lại giấy phép thiết lập mạng thông tin điện tử tổng hợp Lĩnh vực Công nghệ thông tin - Thủ tục thẩm định thiết kế sơ dự án đầu tư ứng dụng công nghệ thông tin (dự án nhóm B, C) sử dụng nguồn vốn ngân sách Nhà nước UBND cấp tỉnh, cấp huyện, cấp xã định đầu tư Lĩnh vực Bưu chính, Viễn Thông - Cấp giấy phép bưu - Cấp văn xác nhận văn thông báo hoạt động bưu - Văn chấp thuận vị trí xây dựng, lắp đặt trạm thu phát sóng thông tin di động (BTS) - Thông báo thời gian thức bắt đầu cung cấp trò chơi G2, G3, G4 mạng cho công cộng - Thông báo thay đổi phương thức, phạm vi cung cấp dịch vụ trò chơi điện tử G1 mạng phê duyệt − Thông báo thời gian thức cung cấp trò chơi điện tử mạng 3.2 Mô hình xác thực người dùng hành công 3.2.1 Các thành phần hệ thống xác thực Người sử dụng đầu cuối (End Entity): Là tổ chức, doanh nghiệp, cá nhân, phần mềm thiết bị tham gia vào trình trao đổi thông tin tham gia giao dịch hành công, sử dụng mật mã khóa công khai, gọi tắt thực thể đầu cuối Các thực thể có cặp khóa công khai PU khóa riêng PR, khóa công khai PU phổ biến PKI dạng chứng thực khóa, khóa bí mật thực thể quản lý, sở hữu riêng Trung tâm chứng thực - CA (Certificate Authority): Là quan có thẩm quyền cấp quản lý chứng thực khóa công khai thực thể đầu cuối Chứng thực khóa công khai (gọi tắt chứng thực) Nội dung chứng thực bao gồm thông tin: 59 − Khóa công khai PU thực thể đầu cuối ủy quyền cho CA phổ biến − Thông tin cá nhân thực thể đầu cuối tham gia: Tên, định danh, địa tổ chức, doanh nghiệp, cá nhân − Chữ ký số tổ chức xác thực CA Vì vậy, CA phải thực thể tin cậy, không, chữ ký CA ý nghĩa Máy chủ chứng thực - AS (Authority Server) Cơ sở liệu lưu trữ chứng thực khóa thực thể đầu cuối, Trung tâm chứng thực - CA Máy chủ xử lý - RA (Registration Authority): Tiếp nhận yêu cầu cấp quản lý thẻ chứng thực khóa cho thực thể đầu cuối Có số chức xử lý số công việc quản lý nhằm giảm tải cho AS, chẳng hạn đăng ký thực thể đầu cuối, kiểm chứng thực thể đầu cuối, tạo cặp khóa Public- Private, … 3.2.2 Hệ thống ký hiệu − PUA: Khóa công khai thực thể đầu cuối A − PRA: Khóa riêng (khóa bí mật) thực thực thể đầu cuối A − KCA-A: Khóa bí mật dùng chung chothực thể A Trung tâm xác thực − H(M): Hàm băm bảo mật, H = {MD5 SHA} − E(M, K): Mã hóa tin M khóaK = {PUA ,PRA K} − D(M, K): Giải mã tin M khóa K − DSA: Chữ ký số thực thể A − CA: Thẻ “Chứng thực khóa” thực thể A − TA : Là thời gian có hiệu lực thẻ “Chứng thực khóa” A − DSCA-A: Chữ ký số Trung tâm chứng thực ký vào chứng thực CA − AS: Máy chủ chứng thực, Trung tâm lưu trữ thẻ “Chứng thực khóa” − Thực thể đầu cuối là; ü Tổ chức, doanh nghiêp, công ty, cá nhân, ü Thiết bị: Server, Router,… ü Phần mềm, 3.2.3 Hoạt động hệ thống xác thực thông tin Đăng ký (Registration): Là thủ tục mà thực thể đầu cuối yêu cầu cấp chứng thực khóa 60 Khởi tạo (Initialization): Khởi tạo thực thể đầu cuối có nhu cầu xin cấp phát chứng thực số.Tạo cặp khóa Public/Private Chứng thực (Certification):RA tạo chứng thực khóa cho thực thể đầu cuối, ứng với khóa công khai vừa tạo giai đọan khởi tạo thực thể đầu cuối cung cấp Phục hồi khóa (Key Pair Recovery): Cho phép phục hồi khóa cũ.Để khôi phục liệu bị mã hoá, cần phải có thủ tục để lấy lại khoá Cập nhật khóa (Key PairUpdate): Sau khoảng thời gian hiệu lực, chứng thực khóa bị thu hồi (Revoke) Thủ tục Key PairUpdate có tác dụng gia hạn hiệu lực chứng thực khóa, cho phép chứng thực khóa tiếp tục tồn sau hết thời gian hiệu lực Yêu cầu thu hồi chứng thực khóa (Revocation request): Các trường hợp khóa riêng bị lộ, hoặcvì lý đó, người sử dụng đầu cuối yêu cầu thu hồi chứng thực khóa Thủ tục cho phép thực thể đầu cuối yêu cầu thu hồi chứng thực khóa chưa hết hiệu lực 3.3 Các quy trình xác thực hệ thống thông tin hành công 3.3.1 Quy trình cấp quản lý chứng thực khóa Quy trình quy định thủ tục tổ chức, doanh nghiệp, công ty, cá nhân… trước tham gia vào giao dịch hành công, cần phải làm thủ tục đăng ký cấp thẻ “chứng thực khóa” Quá trình tương tự doanh nghiệp trước hoạt động cần phải đăng ký dấu, chữ ký cho quan có thẩm quyền để xác nhận dấu chữ ký hợp pháp Và dấu, chữ ký phải lưu trữ tàng thư Các bước đăng ký cấp thẻ “Chứng thực khóa” môi trường sở hạ tầng khóa công khai PKI sau: Thực thể A yêu cầu cấp thẻ “Chứng thực khóa” • Các phần mềm hỗ trợ: ü Mật mã khóa đối xứng (DES, AES, TDES, ) ü Mật mã khóa bất đối xứng (RSA) ü Hàm băm bảo mật H = {MD5 SHA} • Thực thể A tạo cặp khóa công khai PUA khóa riêng (bí mật) PRA thuật toán RSA 61 • Tạo chữ ký số:DSA = E[H(IDA + Thông tin cá nhân)] • Truy nhập vào Server RA để nhận khóa công khai Trung tâm PUCA • Tạo tin yêu cầu CA cấp thẻ “Chứng thực khóa”: A →RA: E([IDA + Thông tin cá nhân + PUA + DS A), PUCA)] Máy chủ RA (Trung tâm hệ thống): • Tạo khóa công khai PUCA khóa bí mật PRCA thuật toán RSA • Nhận từ A: E([IDA + Thông tin CN + PUA + DS A), PUCA)] • Giải mã: D[E([IDA + Thông tin CN + PUA + DS A), PUCA)], PRCA] • Thông tin sau giải mã:IDA + Thông tin CN + PUA + DSA • Tạo chữ ký số Trung tâm cấp thẻ CA ký thẻ “Chứng thực khóa” A:DSCAA = E[H(IDA + PUA + TA ), PRCA] • Tạo thẻ “Chứng thực khóa”: CA = (IDA + PUA + TA + DSA + DSCA-A) Trong TA thời gian hiệu lực thẻ “Chứng thực khóa” • Server RA cấp thẻ cho thực thể A: RA → A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] • Thẻ “Chứng thực khóa” thông tin A lưu trữ Server AS • RA → CA:(IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A) Thực thể A nhận thẻ “Chứng thực khóa” • Nhận từ RA:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUU], PRA] • “Chứng thực khóa” A: CA = (IDA + PUA + TA + DSA+ DSCA-A) • Thực thể A kiểm chứng chữ ký: DSA DSCA-A ü D[DSA, PUA] = H(IDA + Thông tin nhân) giá trị băm nhận, so sánh với giá trị băm H(IDA + Thông tin nhân) nguyên gốc ü D[DSCA-A, PUCA] = H(IDA + PUA + TA ) giá trị băm nhận, so sánh với với giá trị bămH(IDA + PUA + TA), đóIDA+ PUA TAlà thời gian hiệu lực thể CA cấp ü Nếu kiểm chứng cho kết sai, thực thể A yêu cầu Server CA cấp lại thẻ “Chứng thực khóa” Trung tâm chứng thực CA tạo chứng thực khóa công khai cho thực thể sử dụng đầu cuối, cách mã hoá khối thông tin bao gồm: Mã nhận dạng thực thể IDA, thông tin nhân thực thể khoá công khai PU thực thể, thời điểm hiệu lực chứng thực, thời gian bắt đầu kết thúc Khối thông tin mã hóa khóa công khai người dùng 62 Như vậy, thực thể cấp thẻ “Chứng thực khóa” Bắt đầu từ lúc này, thực thể trao đổi khóa công khai cho Trung tâm xác thực kiểm tra tính hợp pháp thời hạn hiệu lực chứng thực Để tránh tình giả mạo CA, thực thể đầu cuối phải gửi yêu cầu cấp phát chứng thực đến CA kênh bảo mật, có áp dụng chế xác thực chặt chẽ Hình 3.1: Mô hình tổng quát cấp chứng thực khóa Quy trình quản lý chứng thực khóa: 1) Thủ tục người sử dụng yêu cầu Trung tâm cấp chứng thực khóa a) Thủ tục yêu cầu:E([IDA + Thông tin cá nhân + PUA + DS A), PUCA)] b) Thẻ chứng thựckhóa:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] 2) Thủ tục cấp phát quản lý chứng thực khóa Trung tâm chứng thực (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A) Trong đó: IDA: Định danh tổ chức, doanh nghiệp, cá nhân, Thông tin cá nhân: Tên, địa chỉ, định danh yêu cầu, ngày, tổ chức, doanh nghiệp, cá nhân 63 PUA: Khóa công khaicủa tổ chức, doanh nghiệp, cá nhân DSA: Chữ ký số tổ chức, doanh nghiệp, cá nhân TA : Thời gian hiệu lực chứng thực số PUCA : Khóa công khai củaTrung tân chứng thưc DSCA-A: Chữ ký số củaTrung tân chứng thưc khóa ký vào thẻ chứng thực khóa người dùng Máy chủ AS CA = (IDA + PUA + TA + DSA+ DSCA-A) (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A)   Người sử dụng (User)   E[(IDA + PUA + TA + DSA+ DSCA-A), PU A] Máy chủ RA Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 3.3.2 Quy trình xác thực thông tin Giả sử tổ chức, doanh nghiệp, công ty , ký hiệu thực thể A gửi tài liệu M cho thực thể B Tài liệu M giấy phép nhập xuất phẩm không kinh doanh, xuất phẩm nhập không kinh doanh…, quy trình xác thực sau: Trên thực thể người sử dụng A: • A truy nhập vào Server RA tìm khóa công khai B:PUB • Mã hóa tài liệu M thuật toán mật mã đối xứng với khóa bí mật KABchung thực thể A B: MK = E(M, KAB) • A gửi thông tin sang B mã khóa riêng B: E[(MK+KAB+CA] = E[MK +K+ (IDA +PUA +TA + DSA+ DSCA-A), PUB] Trên thực thể B: • B nhận: E[(MK+KAB+CA] = E[MK+ K+(IDA+ PUA+ TA + DSA+ DSCA-A), PUB] 64 • Giải mã:D[E[MK+KAB+(IDA + PUA+ TA+ DSA+DSCA-A), PUB], PRB] • Kết giải mã:MK + KAB + (IDA + PUA + TA + DSA+ DSCA-A) • Giả mã khóa chung KABnhận rõ:D(MK , K) =M • Thực thể B yêu cầu Server RA xác minh thẻ “Chứng thực khóa”A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B] Máy chủ RA xác minh chữ ký số thẻ “Chứng thực khóa” A: • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B], PUCA-B] • Thông tin sau giải mã: IDA + PUA + TA + DSA+ DSCA-A • Xác minh: ü Mã định danh IDA A ü Chữ ký sốDSA A ü Chữ ký sốDSCA-A CA ü Thời gian TA có hiệu lực • Server RA trả lời cho thực thể B kết xác minh Để bắt đầu trao đổi thông tin với nhau, thực thể sử dụng mật mã bất đối xứng Hai thực thể A B trao đổi chứng thực khóa cho để thực thể nhận khoá công khai thực thể Nhờ thực thể tin cậy thứ làm trung gian để tạo chứng thực khóa, khoá công khai phân phối cách an toàn mà không bị giả mạo 3.3.3 Một số nhận xét Mô hình xác thực thông tin môi trường sở hạ tầng khóa công khai PKI, sử dụng chữ ký số ký qua bên thứ tin cậy, có tính pháp lý Quy trình đảm bảo − Thông tin trao đổi thực thể đảm bảo bí mật toàn vẹn hai khía cạnh nội dung nguồn gốc thông tin − Xác minh nguồn gốc nơi phát sinh nơi nhận thông tin − Các thực thể tham gia phủ nhận tính pháp lý giao dịch Không thể chối cãi nguồn gốc thông tin gửi nhận − Mỗi thực thể đọc chứng thực khóa để biết khóa công khai nhận diện chủ sở hữu khóa − Mỗi thực thể xác thực thông tin chứng thực khóa xác nhờ vào chữ ký thực thể tin cậy thứ 65 − Chỉ có người chứng thực (Certificate Authority hay CA) có quyền tạo cập nhật chứng thực khóa − Mô hình xác thực thông tin môi trường PKI sử dụng hai máy chủ Trung tâm xác thực: ü Server CA có chức lưu trữ thẻ “Chứng thực khóa” thông tin nhân thực thể đầu cuối Nó hoạt động hoàn toàn độc lập với môi trường mạng Vì vậy, có người sử dụng đầu cuối hợp lệ hay không hợp lệ lại truy xuất trực tiếp vào nó, mà phải thông qua máy chủ trung gian RA Trung tâm Vì liệu máy chủ CA hoàn toàn tuyệt mật, đảm bảo tuyệt đối an toàn thông tin cho hệ thống ü Server RA máy chủ trung gian, có chức giao tiếp trực tiếp người sử dụng với hệ thống Tiếp nhận, xử lý yêu cầu truy nhập thực thể đầu cuối Có chức kiểm tra, giám sát hoạt động hệ thống Nó kết nối với máy chủ CA kết nối an toàn Nó làm việc chứng thực khóa, thường xuyên cập nhật cho máy chủ CA Tóm lại mô hình xác thực thông tin môi trường sở hạ tầng khóa công khai PKI, đảm bảo an toàn, bí mật cho giao dịch điện tử 3.4 Triển khai thử nghiệm Ứng dụng java mô trình ký xác thực chữ ký Hình 3.3: Giao diện chương trình demo chữ ký số 66 Trình tạo khóa tạo cặp khóa 1024 bit Nội dung thông điệp tập tin nạp vào sử dụng khóa bí mật tạo hàm băm SHA1 đầu vào sau tạo thành chữ ký Việc tương ứng với cặp mã bí mật công khai tạo USB token, khóa bí mật lưu trữ USB token, khóa công khai lưu trữ máy chủ Root-CA Quá trình giải mã dựa vào chữ ký tạo trình ký nội dung văn bản, đối chiếu với hàm băm SHA1 khóa công khai để kiểm tra xem văn có toàn vẹn hay không, bị sửa chữa hay chưa, đồng thời kiểm tra xác thực người ký văn với cặp mã công khai bí mật Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn 3.5 Kết thử nghiệm - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt động xác, kiểm tra xác văn bản, tệp tin không bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi - Xác định xác định danh khóa công khai cặp khóa bí mật, công khai Khi thay đổi khóa công khai khóa bí mật bị thay đổi trước mã hóa tệp tin thông xác nhận tệp tin ký xác Đánh giá kết 100 lần thử nghiệm với thao tác: Thay đổi khóa bí mật, thay đổi khóa công khai, thay đổi file gốc file gốc ảnh, thay đổi file gốc file gốc text Kết thử nghiệm ghi chép bảng 3.2 67 Bảng 3.1 Kết thử nghiệm STT Nội dung Số lần thử nghiệm 100 Kết nhận dạng 100 Tỷ lệ nhận dạng 100% Thay đổi khóa bí mật Thay đổi khóa công khai 100 100 100% Thay đổi input file ảnh 100 100 100% Thay đổi input file text 100 100 100% - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt động xác, kiểm tra xác văn bản, tệp tin không bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi - Xác định xác định danh khóa công khai cặp khóa bí mật, công khai Khi thay đổi khóa công khai khóa bí mật bị thay đổi trước mã hóa tệp tin thông xác nhận tệp tin ký xác 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Những kết nghiên cứu lý thuyết an toàn xác thực thông tin: Xác thực chế có vai trò bảo đảm an toàn cho thực thể trao đổi thông tin hệ thống Kỹ thuật mật mã bảo vệ tính bí mật tính toàn vẹn thông tin Kỹ thuật mật mã đại chia thành hai loại: Mật mã khóa đối xứng (Symmetric Key Encryption) gọi mật mã khóa bí mật mật mã khóa bất đối xứng (Asymmetric Key Encryption) hay gọi mật mã khóa công khai Mật mã khóa đối xứng sử dụng khóa cho việc mã hóa giải mã Yêu cầu phải giữ tuyệt đối bí mật việc trao đổi thông tin thực thể tham gia giao dịch Nó thích hợp với việc thực thi phần cứng, tốc độ mã hoá cao, dung lượng thông tin lớn Các thuật toán mật mã khóa đối xứng phổ biến bao gồm DES, Blowfish, IDEA, AES … Mật mã khóa bất đối xứng sử dụng hai khóa khác cho trình mã hóa giải mã Một hai khóa khóa công khai (Public Key) phổ biến công khai cho thực thể truy xuất khóa lại khóa riêng (Private Key) gọi khóa bí mật, giữ bí mật, có chủ thể khóa biết Mã hóa khóa công khai xây dựng dựa chủ yếu hàm toán học, thích hợp với thực thi phần mềm tốc độ mã hoá thấp, phù hợp với tài liệu dung lượng nhỏ RSA thuật toán mật mã khóa bất đối xứng phổ biến Mật mã khóa bất đối xứng có nhiều ứng dụng khác như: mật mã thông tin, tạo chữ ký số, trao đổi khóa bí mật mật mã khóa đối xứng … Hàm băm bảo mật (Secure Hash Function) chế dùng việc xác thực thông tin (Message Authentication) Nguyên tắc hàm băm biến đổi khối thông tin gốc thành giá trị kiểm tra có kích thước cố định gọi giá trị băm (mã băm), giá trị gửi đính kèm với thông tin gốc Khi nhận, thông tin nhận đưa vào hàm băm để tạo giá trị kiểm tra Nếu hai giá trị băm bên gửi bên nhận trùng nhau, thông tin xem xác thực Nếu giá trị băm mã hóa khóa công khai mật mã bất đối xứng, tạo thành chữ ký số thành 69 phần số thuật toán mật mã dùng thuật toán xác thực thông tin (Message Authentication), Chữ ký số (digital signature) kỹ thuật nhận dạng thực thể thông tin với thông tin thực thể tạo Ứng dụng chữ ký số chứng thực đảm bảo tính phủ nhận (Non Repudiation) thông tin Có thể chữ ký số ký trực tiếp ký thông qua trọng tài Chuẩn chữ ký số RSA sử dụng thuật toán RSA, tạo chữ ký số dựa hàm băm bảo mật (MD5, SHA) kỹ thuật mật mã khóa bất đối xứng (RSA) Mật mã khóa công khai có ưu điểm có chế phân phối khóa công khai cách an toàn hiệu cho thực thể hệ thống Chứng thực khóa công khai (Certificate) mà chế hiệu để thực vấn đề Mỗi chứng thực khóa bao gồm nhận dạng thực thể đầu cuối, khóa công khai thực thể đầu cuối xác nhận (bằng chữ ký số) thực thể thứ Một hệ thống cung cấp chế tạo quản lý chứng thực khóa gọi sở hạ tầng khóa công khai PKI Về ứng dụng thực tế, em đề xuất mô hình xác thực cho hệ thống thông tin dịch vụ hành công theo mô hình phân tán Yêu cầu phải quản lý thực thể truy xuất thông tin cho phải đảm bảo tuyệt đối an toàn cho hệ thống cho thực thể tham gia hoạt động giao dịch hệ thống Các mô hình xây dựng theo mô hình xác thực người sử dụng tham gia giao dịch truy xuất thông tin Nghĩa thực thể muốn có quyền truy xuất thông tin hệ thống, trước tiên thực thể phải đăng ký phải hệ thống cấp phép Và quyền truy xuất thực thể phải hệ thống kiểm soát mô hình xác thực sử dụng dịch vụ thông tin hệ thống Với kết đạt xu phát triển mạnh ngành an toàn bảo mật liệu, em nhận thấy kỹ thuật xác thực cần tiếp tục nghiên cứu, cải tiến áp dụng rộng rãi thực tế Trong trình thực luận văn, điều kiện thời gian kiến thức hạn chế, luận văn tránh khỏi sai sót, em mong tham gia góp ý quý thầy cô bạn để luận văn hoàn chỉnh 70 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Phan Đình Diệu, Lý thuyết mật mã an toàn thông tin, NXB Đại học Quốc Gia Hà Nội, 2002 [2] Nguyễn Linh Giang, An toàn An ninh thông tin mạng, Đại học Bách khoa Hà Nội, 2015 [3] Trịnh Nhật Tiến, An toàn liệu, NXB Đại học Quốc Gia Hà Nội, 2008 Tiếng Anh: [4] Jin Li, Kui Ren, Kwangjo Kim, Accountable Attribute Based Encyption for Abuse Free Access Control, Cryptology ePrint Archive, Report 2009/118, 2009 http://eprint.iacr.org [5] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005 [6] Svetlin Nakov How, Digital Signatures Work: Digitally Signing Message, 2005 [7] Carlisle Adams vµ Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003 [8] Federal Information, Processing Standards Publication 180 (1995), Secure Hash Standard (SHA) ... NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ Chuyên ngành: Khoa... THỰC THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ CHƯƠNG 3: GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ CHƯƠNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI 1.1 Hệ mật mã khóa bất đối xứng[2] 1.1.1 Khái niệm... tin cách an toàn 2 Luận văn với mục đích nghiên cứu hạ tầng khóa công khai PKI ứng dụng cho giao dịch hành điện tử Ý nghĩa khoa học đề tài Nghiên cứu lý thuyết mật mã, chữ ký số xác thực; hạ tầng