21 LỜI CẢM ƠN Em xin gửi lời cảm ơn ới Khoa CNTT- ĐHTN, nơi thầy cô ận tình giúp đỡ truyền đạt kiến thức cho em suốt trình học tập Em xin cảm ơn Ban chủ nhiệm khoa cán ạo điều kiện tốt cho em học tập hoàn thành đề tài tốt nghiệp Em xin gửi lời cảm ơn chân thành nhấ đến T S Lương Thế Dũng ận tình giúp đỡ, ch bảo ạo điều kiện để em hồn thành thực đề tài Bên cạnh em nhận nhiều giúp đỡ, lờ động viên từ anh, ch , bạn bè, … Em xin hế lòng ghi ơn Tuy nhiên, thời gian hạn hẹp, mình, luận văn khó tránh khỏi thiếu sót Em mong nhận thơng cảm ch bảo tình q thầy cô bạn Em xin chân thành cảm ơn! Thái Nguyên, tháng 10 năm 2015 Học viên Phan Thị Kim Quế LỜI CAM ĐOAN Em xin cam đoan, toàn nội dung liên quan tới đề tài trình bày luận văn thân em tự tìm hiểu tìm tòi hướng dẫn khoa học thầy T.S Lương Thế Dũng Các tài liệu, số liệu tham khảo trích dẫn đầy đủ nguồn gốc Em xin chịu trách nhiệm trước pháp luật lời cam đoan Học viên thực Phan Thị Kim Quế MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ Chương 1.TỔNG QUAN VỀ PKI 11 1.1.Giới thiệu chung .11 1.2.Mật mã khóa đối xứng mật mã khóa bất đối xứng 12  Mật mã khóa đối xứng .12  Mật mã khóa bất đối xứng 14 1.3.Chữ kí số 16 1.3.1 Khái niệm 16 1.3.2 Tạo chữ kí số 17 1.4.Hạ tầng khóa cơng khai PKI 18 1.4.1.Định nghĩa PKI 18 1.4.2.Các thành phần PKI 18  Toàn vẹn 22  Bảo mật 22 1.4.3.Các dịch vụ PKI 22 1.4.4.Kiến trúc PKI hành .23 1.5.Kết chương .25 Chương TÌM HIỂU KIẾN TRÚC VÀTHUẬT TỐN TRONG CRYPTOSYS 26 2.1.Giới thiệu Cryptosys PKI 26 2.1.1 Các hàm sửa đổi phiên 26 2.1.2 Quy ước tài liệu 29 2.2.Các thuật toán hỗ trợ Cryptosys PKI 29 2.2.1 Thuật tốn ký số mã hóa công khai 29 2.2.2 Thuật tốn mật mã khối đối xứng cho mã hóa nội dung 30 2.2.3 Thuật tốn mã hóa khối cho việc đóng gói khóa 30 2.2.4 Thuật toán băm Message digest 30 2.2.5 Thuật tốn băm khóa HMAC 30 2.2.6 Các thuật tốn mã hóa dựa mật 31 2.2.7 Định dạng khóa RSA 31 2.2.8 Các kiểu nội dung CMS 32 2.2.9 Chứng X509 32 2.2.10.Các thuật tốn khơng hỗ trợ Cryptosys PKI 32 2.2.11.Các định dạng lưu trữ khóa 32 2.3.Chứng thư số 33 2.3.1 Chứng thư khóa cơng khai 33 2.3.2 Khuôn dạng chứng thư X.509 35 2.4.Cài đặt sử dụng thư viện CryptoSysPKI .38 2.4.1 Cài đặt 38 2.4.2 Sử dụng với C C++ 39 2.4.3 Sử dụng với NET: C# VB.NET 39 2.4.4 Phát hành an toàn 40 2.4.5 An tồn khóa 41 2.4.6 Các tùy chọn an tồn cho khóa bí mật mã hóa 42 2.4.7 Sinh số ngẫu nhiên ( Random Number Generator) 43 2.4.8 Xác định định danh riêng biệt 44 2.4.9 Tham số mở rộng X509 45 2.4.10.Danh sách số hàm CryptoSysPKI 46 1.Hàm CMS 46 2.Các hàm khóa cơng khai RSA 46 3.Hàm RSA gốc 47 4.Hàm chứng X509 47 5.Hàm PFX 48 6.Các hàm mật mã khối 48 7.Các hàm băm Message Digest 48 8.Các hàm HMAC 49 9.Các hàm chuyển đổi mã hóa 49 10.Các hàm chuyển đổi tập tin nhị phân PEM 49 11.Các hàm sinh số ngẫu nhiên 49 2.5.Các hoạt động hệ thống PKI 49 2.5.1 Giai đoạn khởi tạo chứng 50 2.5.2 Giai đoạn sau phát hành 52 2.5.3 Giai đoạn hủy bỏ chứng thư 53 2.5.4 Các hoạt động phục hồi 54 CHƯƠNG 3.XÂY DỰNG CHƯƠNG TRÌNH THỬ NGHIỆM 55 3.1 Mục tiêu phát biểu toán .55 3.2 Sơ đồ hoạt động chương trình 55 3.3 Một số chức lựa chọn môi trường công cụ 56 3.4 Ứng dụng chứng thư số sử dụng hệ thống PKI để bảo mật 60 3.4.1 Ứng dụng truyền tin an toàn 60 3.4.2.Ứng dụng xác thực người dùng kiểm tra tính tồn vẹn 61 3.5 Đánh giá kết thử nghiệm 61 KẾT LUẬN 63 Tiếng Việt: 65 Tiếng Anh: 65 PHỤ LỤC Chương trình mơ hệ thống PKI 66 DANH MỤC CÁC TỪ VIẾT TẮT CA Certificate Authority CRLs Certificate Revocation Lists DES Data Encryption Standard DNS Domain Name System DSA Directory System Agent DSS Directory Service Server IEEE Institute of Electrical & Electronic Engineers LDAP Lightweight Directory Access Protocol MAC Message Authentication Code MD5 Message Digest Hash Algorithm OCSP Online Certificate Status Protocol PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensión SHA-1 Secure Hash Standard SSL Secure Socket Layer TTP Trusted Third Party TLS Transport Layer Security DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình mã hóa giải mã sử dụng mật mã Error! Bookmark not defined Hình 1.2 Mơ hình đơn giản hệ thống mã hóa đối xứng 12 Hình 1.3 Mơ hình đơn giản mật mã khóa bất đối xứng 15 Hình 1.4 Mơ hình tạo chữ kí số 17 Hình 1.5 Mơ hình trao đổi thơng tin sử dụng chữ ký số 18 Hình 1.6 Ví dụ việc áp dụng chữ ký số thực tế 18 Hình 1.7.Các thành phần chứng 19 Hình 1.8.Quá trình yêu cầu đăng ký chứng thư số 19 Hình 1.9 Mơ hình kiến trúc hệ thống PKI 21 Hình 1.10.Mơ hình hệ thống CA cấp 24 Hình 1.11.Mơ hình hệ thống CA phân cấp 25 Hình 1.12.Mơ hình hệ thống CA ngang cấp 25 Hình 2.1.Chứng thư khóa cơng khai đơn giản 34 Hình 2.2.Khn dạng chứng thư số phiên dạng X.509 36 Hình 2.3 Phần mở rộng khuôn dạng chứng thư số phiên dạng X.509 37 Hình 2.4.Thư viện Cryptosys PKI 39 Hình 2.5 Tóm tắt q trình hoạt động hệ thống PKI 51 Hình 2.6 Giai đoạn khởi tạo 52 Hình 2.7 Giai đoạn hủy bỏ chứng 53 Hình 3.1 Sơ đồ hoạt động chương trình 55 Hình 3.2 Giao diện chương trình 56 Hình 3.3 Giao diện chức cấp phát chứng 58 Hình 3.4 Giao diện yêu cầu tạo chứng 59 Hình 3.5 Giao diện danh sách chứng thư cấp 59 Hình 3.6 Giao diện kiểm tra chứng thư số 59 Hình 3.7 Chứng số CA cấp 60 Hình 3.8 Giao diện cập nhật chứng thư số hết hạn 60 Hình 3.9 Giao diện kiểm tra chứng thư bị thu hồi 61 Hình 3.10 Giao diện chương trình ứng dụng truyền tin bảo mật 61 Hình 3.11 Sơ đồ hoạt động ứng dụng xác thực, kiểm tra tính tồn vẹn 61 MỞ ĐẦU Lý chọn đề tài Trong kỷ ngun cơng nghệ thơng tin, tính phổ biến rộng rãi Internet mặt đem lại nhiều ứng dụng tiện lợi, thú vị dần thay hoạt động truyền thống giới thực, mặt khác đặt vấn đề an tồn, tính tin cậy giao dịch Internet Cơ sở hạ tầng khóa cơng khai (PKI) đáp ứng, giải vấn đề cho yêu cầu Dựa dịch vụ chứng thực số chữ ký số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng Không nằm lĩnh vực thương mại điện tử, chứng thực số sử dụng dạng chứng minh thư cá nhân Tại nước công nghệ phát triển, chứng thực số CA tích hợp vào chip nhớ nằm thẻ cước, thẻ tín dụng để tăng cường khả bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính nhiều hệ thống khác nhau, chẳng hạn xe Bus, thẻ rút tiền ATM, kiểm sốt hải quan v.v Từ tính cấp thiết vấn đề thực tế, em xin mạnh dạn trình bày tổng quát sở hạ tầng khóa cơng khai Đề tài vào hướng “ Phát triển hạ tầng khóa cơng khai dựa cơng cụ Cryptosys” Mục đích nhiệm vụ * Mục đích Đề tài tập trung vào hướng phát triển hạ tầng khóa cơng khai dựa công cụ Cryptosys PKI (PKI- Public Key Infrastructure) Các kết đề tài ứng dụng xây dựng thử nghiệm mơ hình triển khai hạ tầng mật mã khóa cơng khai PKI * Nhiệm vụ Nghiên cứu trình thực mã hóa giải mã cơng khai lưu chứng vừa phát hành vào Kho chứng CA, sau CA gửi chứng thư trở lại RA RA cấp chứng thư cho người sử dụng 3.3 Một số chức lựa chọn mơi trường cơng cụ  Lựa chọn môi trường công cụ Việc lưa chọn môi trường công cụ phát triển trả lời câu hỏi: Hệ thống hoạt động điều kiện ta trang bị để xây dựng hệ thống Một hệ thống PKI thực tế bao gồm người máy móc Phạm vi ứng dụng tình xảy hệ thống đa dạng Tuy nhiên, phạm vi luận văn này, em xác định đối tượng hệ thống user Hệ thống PKI triển khai xây dựng tảng hệ điều hành Windows máy PC Mặc dù vậy, việc đảm bảo tương thích tối đa với phiên sớm Windows trọng Lý việc lựa chọn hệ điều hành chúng hỗ trợ tốt cho thư viện CryptoSys PKI Hơn nữa, dòng hệ điều hành phổ biến, dễ phát triển thử nghiệm ứng dụng Ngôn ngữ lựa chọn để xây dựng hệ thống server phân phối khố C# cơng cụ phát triển Visual studio 2012, cơng cụ hỗ trợ tốt q trình mã hố, giải mã đóng gói liệu Vì mơ hình xây dựng hệ thống PKI u cầu nhiều lần q trình mã hố giải mã, từ việc lựa chọn cơng cụ hồn tồn phù hợp Một số chức chính: Giao diện Hình 3.2 Giao diện chương trình Trong hệ thống bao gồm chức là: Yêu cầu cấp phát chứng thư số, yêu cầu kiểm tra chứng thư, cập nhật chứng thư, danh sách hủy bỏ dowload chứng thư số Giao diện người dùng yêu cầu cấp phát chứng thư: Hình 3.3 Giao diện chức cấp phát chứng Khi yêu cầu cấp phát chứng thư số, người yêu cầu phải cung cấp thông tin như: Họ tên, ngày sinh, địa chỉ, Cơ quan cơng tác,… cho RA Sau RA xem xét, thông tin người dùng hợp lệ gửi lên cho CA để bắt đầu trình thực cấp chứng thư số Người quản trị điền thông tin User vào sau kiểm tra xem thơng tin hay chưa Nếu tiếp tục thực việc cấp chứng thư số Khi tiến hành cấp chứng thư CA sinh cặp khố cơng khai khố bí mật User CA sinh chứng thư số với trường thông tin sau: Số serial, Người phát hành, số hiệu, tên chủ thể, ngày cấp phát, ngày hết hạn, khố cơng khai chủ thể, chữ ký CA.Với Module mật mã, cặp khố cơng khai khố bí mật thuật tốn RSA sinh Chữ ký CA thực sau: Ban đầu dựa thông tin User, CA tính giá trị băm ghi liệu gồm trường thông tin chứng thư số (như số serial, tên chủ thể, ngày cấp phát, ngày hết hạn, khố cơng khai chủ thể,…) (Hàm băm sử dụng MD5 có Module mật mã) Và sau đó, giá trị “băm” mã hố khố bí mật CA cho ta giá trị gọi chữ ký CA Hình 3.4 Giao diện yêu cầu tạo chứng Chứng thư số vừa tạo lưu vào kho chứng thư số CA gửi cho người dùng tương ứng Khi chứng thư cấp, người dùng xem thông tin tải chứng thư trang Dowload ng thư Hình 3.5 Giao diện danh sách chứng thư cấp Người dùng dễ dàng kiểm tra xem chứng thư số có hợp lệ CA cung cấp hay khơng cách nhập file chứng thư vào, hệ thống so sánh chứng thư nhập vào với chứng thư có kho sau gửi thơng báo tới người dùng Hình 3.6 Giao diện kiểm tra chứng thư số Khi ta có chứng thư muốn kiểm tra chứng thư có phải CA cung cấp khơng hết hạn chưa, đường dẫn chứng thư (nơi mà ta lưu trữ tệp chứng chỉ) yêu cầu kiểm tra Với Module mật mã, tất trường chứng thư (trừ trường chữ ký số CA) gộp lại tiến hành “băm” (theo giải thuật MD5) Giá trị so sánh với giá trị dùng giải thuật RSA để ký chữ ký số CA (việc kiểm tra dựa khố cơng khai CA) Khi hai giá trị nhau, tức chương trình xuất dòng thơng báo “Chứng CA cung cấp” ngược lại xuất thông báo “Chứng CA cung cấp” Khuôn mẫu chứng thư tạo module mật mã với trường:,,,,, , , Hình 3.7 Chứng số CA cấp Khi chứng số hết hạn, người dùng yêu cầu CA cập nhật lại chứng thư số Chứng thư số hạn thêm thay đổi cặp khóa Nếu chứng thư cập nhật hệ thống thông báo lại “Cập nhật thành công” Hình 3.8 Giao diện cập nhật chứng thư số hết hạn CA có danh sách chứng bị hủy bỏ (CRLs) chứa chứng thư bị thu hồi (vì lý đó: hết hạn, bị lộ khóa bí mật,…) Hình 3.9 Giao diện kiểm tra chứng thư bị thu hồi 3.4 Ứng dụng chứng thư số sử dụng hệ thống PKI để bảo mật 3.4.1 Ứng dụng truyền tin an toàn Ứng dụng truyền tin an toàn xây dựng theo mơ hình hoạt động sau: Hình 3.10 Giao diện chương trình ứng dụng truyền tin bảo mật Ứng dụng truyền tin có hai chức là: Bảo mật không bảo mật Với ứng dụng truyền khơng bảo mật, chạy chương trình socket lắng nghe liên tục cổng thiết lập Ví dụ: hình socket gửi liệu qua qua người gửi nhận liệu qua bên người nhận Với ứng dụng truyền tin bảo mật, ứng dụng truyền không bảo mật, socket lắng nghe cổng thiết đặt Nhưng với module mật mã, trước liệu gửi mã hố giải thuật RSA với khố cơng khai người nhận (khố lấy từ chứng thư số người nhận kho chứng thư số hệ thống PKI) nhận thông điệp liệu giải mã giải thuật RSA với khố bí mật người nhận 3.4.2.Ứng dụng xác thực người dùng kiểm tra tính tồn vẹn Sơ đồ hoạt động ứng dụng xác thực người dùng sử dụng chứng thư số: Hình 3.11 Sơ đồ hoạt động ứng dụng xác thực kiểm tra tính tồn vẹn sử dụng chứng thư số Người gửi A: dùng khóa bí mật để “Ký số” (mã hóa) lên mẫu tin (thơng điệp) (hoặc giá trị băm thơng điệp) khóa cơng khai gửi cho người nhận B Người nhận B: Sau nhận mẫu tin chữ ký người gửi A Đầu tiên yêu cầu chứng thư số người gửi từ kho chứa chứng thư, kiểm tra chứng thư số, hợp lệ tính giá trị băm mẫu tin nhận với thuật tốn băm mà người gửi sử dụng, lấy khóa cơng khai người gửi A từ chứng thư số vừa kiểm tra tính hợp lệ để kiểm tra chữ ký cách giải mã giá trị chữ ký lên băm nhận từ A so sánh với giá trị băm vừa tính từ mẫu tin nhận Nếu tin thơng điệp người gửi A thông điệp không bị sửa đổi 3.5 Đánh giá kết thử nghiệm Mục tiêu chương trình là: Xây dựng hệ thống PKI đơn giản Sau người dùng tiến hành thủ tục xin cấp chứng thư số hệ thống thấy hợp lệ sinh cặp khóa cơng khai, khóa bí mật phát hành chứng thư cho người dùng Ngoài ra, để minh họa việc ứng dụng chứng thư số, Module liên lạc an toàn xây dựng, Module cho phép người dùng sử dụng chứng thư số phát hành để truyền tin bảo mật đảm bảo tính xác thực Xây dựng chương trình tạo hệ thống PKI cấp phát chứng thư số tương đối thuận lợi dựa chủ yếu vào hàm thuật toán hỗ trợ thư viện Cryptosys PKI Việc cài đặt nhằm mục đích cấp phát chứng thư số khố cơng khai an toàn đến người sử dụng việc xác thực chứng thư tránh giả mạo đạt hiệu Chương trình truyền tin bảo mật, ứng dụng chứng thư số truyền mẫu tin ngắn thể trình truyền thơng an tồn user hệ thống sử chứng thư số Những hạn chế chương trình:  Về mặt đưa vào ứng dụng thực thế: Phải thiết lập nhiều tham số làm bất tiện cho người sử dụng Ví dụ: Chương trình truyền tin phải thiết lập cổng nhân cổng gửi IP máy cần truyền thông điệp  Về mặt kỹ thuật: Tạo trường chứng thư trường chứng thư số, chưa tạo chứng thư số thực áp dụng vào ứng dụng khác Hệ thống PKI xây dựng có số chức như: Cấp phát/hủy bỏ, kiểm tra chứng thư KẾT LUẬN Những công việc thực hiện:  Trình bày sở lý thuyết mật mã hóa thơng tin: Trình bày khái niệm, thuật toán mật mã sử dụng trình làm chương trình Vấn đề hệ thống PKI: Trình bày thành phần hệ thống PKI Các dịch vụ PKI bao gồm xác thực , toàn vẹn bảo mật Các kiến trúc trung tâm chứng thực CA Các hoạt động hệ thống PKI để cấp phát hay hủy bỏ chứng thư số Các tiêu chuẩn PKCS, X.509: Trình bày tiêu chuẩn quốc tế khố cơng khai chứng số sử dụng để đảm bảo tính an tồn q trình xây dựng trương trình Tìm hiểu thư viện Crptosys PKI : Các thuật tốn hỗ trợ sử dụng chương trình mật mã đối xứng, mật mã công khai, hàm băm,… hàm RSA, mã hóa 3DES, sinh số ngẫu nhiên,…  Xây dựng chương trình Tạo website mơ hệ thống PKI cấp phát chứng thư số: dựa chủ yếu vào hàm thuật toán hỗ trợ thư viện Cryptosys PKI cài đặt nhằm mục đích cấp phát chứng thư số khố cơng khai an toàn đến người sử dụng việc xác thực chứng thư tránh giả mạo Chương trình truyền tin bảo mật ứng dụng chứng thư số: Một ứng dụng truyền mẫu tin ngắn thể trình truyền thơng an tồn user hệ thống sử chứng thư số Những hạn chế chương trình:  Về mặt đưa vào ứng dụng thực thế: Phải thiết lập nhiều tham số làm bất tiện cho người sử dụng Ví dụ: Chương trình truyền tin phải thiết lập cổng nhận cổng gửi IP máy cần truyền thông điệp  Về mặt kỹ thuật: Tạo trường chứng thư trường chứng thư số, chưa tạo chứng thư số thực áp dụng vào ứng dụng khác Hệ thống PKI xây dựng có số chức như: cấp phát/hủy bỏ, kiểm tra chứng thư Hướng phát triển chương trình  Hồn thiện giao diện hệ thống Web cấp phát chứng thư, tiếp tục xây dựng số chức cho phù hợp với CA theo chuẩnthông dụng thực tế  Xây dựng chương trình xuất Certificate để phục vụ cho ứng dụng như: HTTPS hay VPN, mail … nhiều lĩnh vực khác  Mở rộng CA nhằm mục đích liên kết với hệ thống CA khác Tài liệu tham khảo Tiếng Việt: [1] Nguyễn Bình, Hồng Thu Phương – Cơ sở lý thuyết mật mã ,Giáo trình/ Học viện kỹ thuật Mật Mã, Hà Nội,2006 [2] Lê Mỹ Tú, Trần Duy Lai - Chứng thực điện tử, Giáo trình/Học viện kỹ thuật Mật Mã, Hà Nội, 2006 [3] Lê Quang Tùng - Tổng quan hệ thống chứng thực điện tử PKI Trung tâm chứng thực điện tử, 2011 Tiếng Anh: [4] Suranjan Choudhu - PKI Implementation And Design, tháng 3,năm 2002 [5] YongLee, JeailLee, JooSeokSong - Design and implementation of wireless PKI technology suitable, 2007 [6] MS Press Windows Server 2010 PKI and Certificate Security www.cryptosys.net/pki [7] Scott DormaScott Dorman - Teach Yourself Visual C# 2010 in 24 Hours,2010 PHỤ LỤC CHƯƠNG TRÌNH MƠ PHỎNG HỆ THỐNG PKI Phụ lục trình bày đoạn code chương trình cấp phát, kiểm tra, cập nhật danh sách hủy bỏ chứng thư số Đầu tiên, người dùng yêu cầu cấp phát chứng thư số, CA sinh cặp khóa cơng khai khóa bí mật User.CA sinh chứng thư số Sau cấp chứng thư thành công, chứng thư tự động lưu kho, người dùng tải chứng thư sử dụng Khi hệ thống cấp phát chứng thư thành công, người dùng tiến hành kiểm tra xem chứng thư tải có CA cấp hay không Khi chứng hết hạn, người dùng gửi yêu cầu đến CA xin cấp lại khóa hạn thêm cho chứng thư CA có danh sách chứa chứng thư số hết hạn bị thu hồi do: cặp khóa bị lộ, hết hạn sử dụng, người dùng kiểm tra tình trạng chứng thư số mình: 69 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ... “ Phát triển hạ tầng khóa cơng khai dựa cơng cụ Cryptosys Mục đích nhiệm vụ * Mục đích Đề tài tập trung vào hướng phát triển hạ tầng khóa cơng khai dựa công cụ Cryptosys PKI (PKI- Public Key... tài đưa cách xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa cơng khai PKI  Phạm vi nghiên cứu Đề tài thực triển khai hạ tầng mật mã khóa cơng khai (PKI- Public Key Infrastructure) áp... chứng khóa cơng khai dựa mật mã khóa cơng khai Bộ cơng cụ CryptoSysPKI cung cấp cho người lập trình người phát triển với hầu hết thuật tốn hữu ích bạn cần để tạo phần mềm cho hệ thống PKI thực CryptoSys