Đang tải... (xem toàn văn)
BÁO CÁO ĐỀ TÀI MÔN HỌC CHỨNG THỰC ĐIỆN TỬ TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC Cơ sở hạ tầng an ninh rộng khắp khóa công khai (PKI) hỗ trợ một số các dịch vụ bảo mật liên quan bao gồm bảo mật dữ liệu, tính toàn vẹn dữ liệu và xác thực thực thể cuối. Về cơ bản, các dịch vụ này dựa trên việc sử dụng đúng cặp khóa công khaibí mật. Các thành phần công khai của cặp khóa này được phát hành dưới hình thức chứng chỉ khóa công khai kèm theo các thuật toán thích hợp, nó được sử dụng để xác thực chữ kí số, mã hóa dữ liệu hoặc cả hai. Trước khi chứng chỉ được đưa vào sử dụng, thì nó đã được xác nhận. Để được xác nhận như là một chứng chỉ, một chuỗi chứng chỉ hoặc một đường dẫn chứng thực giữa chứng chỉ và một điểm tin cậy phải được thành lập.Và mỗi chứng chỉ trong mỗi đường dẫn phải được kiểm tra. Quá trình này được gọi là quy trình đường dẫn chứng nhận. Nói chung,quy trình đường dẫn chứng nhận bao gồm 2 giai đoạn: 1. Xây dựng đường dẫn 2. Xác nhận đường dẫn Cụ thể được mô tả như sau: 1. Xây dựng đường dẫn: liên quan đến “kiến trúc” một hoặc nhiều đường dẫn chứng chỉ tiêu biểu. Lưu ý rằng việc chúng ta sử dụng “tiêu biểu” ở đây là để chỉ ra rằng mặc dù chứng chỉ có thể tạo thành chuỗi, đường dẫn bản thân nó có thể không hợp lệ vì những lí do khác nhau như là độ dài đường dẫn, tên hoặc chính sách hạn chế của chứng chỉ 2. Xác nhận đường dẫn: bao gồm việc chắc rằng mỗi chứng chỉ trong đường dẫn còn thời hạn hiệu lực, chưa bị thu hồi, đảm bảo tính toàn vẹn, vv…; bất kì ràng buộc nào đánh vào một phần hoặc tất cả các đường dẫn của chứng chỉ đều được chú trọng (ví dụ: ràng buộc về chiều dài đường dẫn, ràng buộc tên, ràng buộc về chính sách)
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO ĐỀ TÀI MÔN HỌC CHỨNG THỰC ĐIỆN TƯ TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC Gv hướng dẫn:Hoàng Đức Tho Sinh viên tham gia : Lớp : HÀ NỘI 2/2016 Nhóm – AT9A – HV kỹ thuật mật mã LỜI MỞ ĐẦU Với phát triển mạnh mẽ công nghệ thông tin truyền thơng (CNTT&TT), việc bước xây dựng phủ điện tử trở nên tất yếu nhiều quốc gia giới Tại Việt Nam, chủ trương xây dựng Chính phủ điện tử ứng dụng CNTT hoạt động Đảng, Nhà nước bước cụ thể hóa sách, văn quy phạm pháp luật, đề án, dự án chương trình trọng điểm quốc gia ứng dụng CNTT Cùng với chủ trương đó, vấn đề đảm bảo an tồn thơng tin giao dịch điện tử, với cốt lõi hệ thống chứng thực điện tử nhiệm vụ quan trọng Chứng thực điện tử giải pháp quan trọng để bảo đảm bí mật, xác thực tồn vẹn liệu giao dịch điện tử phục vụ hoạt động điều hành Chính phủ, đảm bảo quốc phòng - an ninh hoạt động kinh tế xã hội Hầu hết quốc gia có kinh tế, công nghệ phát triển mức độ sẵn Nhóm – AT9A – HV kỹ thuật mật mã sàng Chính phủ điện tử cao (Hàn Quốc, Mỹ, Singapore, Trung Quốc, Malaysia ) ứng dụng chứng thực điện tử cách đồng rộng rãi Giao dịch thực qua mạng bảo đảm an tồn góp phần thúc đẩy ứng dụng CNTT cải cách hành chính, điện tử hóa quy trình làm việc, tiến tới xây dựng Chính phủ điện tử Các giao dịch truyền thống dựa văn giấy thay giao dịch điện tử chứng thực điện tử chữ ký số thừa nhận mặt pháp lýỵ́ an toàn mặt công nghệ Do thời gian hạn chế kiến thức kinh nghiệm lĩnh vực non trẻ nên báo cáo khơng thể khơng có sai sót mong q thầy góp ý thêm để nhóm hồn thiện tốt đề tài nghiên cứu sau! Xin chân thành cảm ơn! Nhóm – AT9A – HV kỹ thuật mật mã CHƯƠNG TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC 1.1 GIỚI THIỆU Cơ sở hạ tầng an ninh rộng khắp khóa cơng khai (PKI) hỗ trợ số dịch vụ bảo mật liên quan bao gồm bảo mật liệu, tính tồn vẹn liệu xác thực thực thể cuối Về bản, dịch vụ dựa việc sử dụng cặp khóa cơng khai/bí mật Các thành phần cơng khai cặp khóa phát hành hình thức chứng khóa cơng khai kèm theo thuật tốn thích hợp, sử dụng để xác thực chữ kí số, mã hóa liệu hai Trước chứng đưa vào sử dụng, xác nhận Để xác nhận chứng chỉ, chuỗi chứng đường dẫn chứng thực chứng điểm tin cậy phải thành lập.Và chứng đường dẫn phải kiểm tra Quá trình gọi quy trình đường dẫn chứng nhận Nói chung,quy trình đường dẫn chứng nhận bao gồm giai đoạn: Xây dựng đường dẫn Xác nhận đường dẫn Cụ thể mô tả sau: Xây dựng đường dẫn: liên quan đến “kiến trúc” nhiều đường dẫn chứng tiêu biểu Lưu ý việc sử dụng “tiêu biểu” để chứng tạo thành chuỗi, đường dẫn thân khơng hợp lệ lí khác độ dài đường dẫn, tên sách hạn chế chứng Xác nhận đường dẫn: bao gồm việc chứng đường dẫn thời hạn hiệu lực, chưa bị thu hồi, đảm bảo tính tồn vẹn, vv…; ràng buộc đánh vào phần tất đường dẫn chứng trọng (ví dụ: ràng buộc chiều dài đường dẫn, ràng buộc tên, ràng buộc sách) Tuy Nhóm – AT9A – HV kỹ thuật mật mã nhiên số khía cạnh liên quan với việc xác thực đường dẫn đưa xem xét suốt trình xây dựng đường dẫn theo thứ tự để tạo hội lớn tìm 1.2 đường dẫn chứng nhận chấp nhận dù sớm hay muộn MỤC ĐÍCH,PHẠM VI,GIẢ THUYẾT Quy trình xây dựng đường dẫn phức tạp mang tính học thuật mức độ thử nghiệm lỗi có tài liệu có để thảo luận đề liên quan đến quy trình xây dựng đường dẫn chứng nhận.Vì sau ta xem xét để làm rõ thuật ngữ, xem xét lại vấn đề có liên quan đến quy trình xây dựng đường dẫn chứng thực để tạo khuyến nghị thích hợp Tuy nhiên, khơng có nghĩa bắt buộc nhà cung cấp phải thực xây dựng đường dẫn, cố gắng miêu tả thuật tốn xây dựng đường dẫn hồn chỉnh.Nhà cung cấp tự ý thực xây dựng đường dẫn logic họ họ thấy thích hợp.Tuy nhiên,chương cung cấp thơng tin hữu ích cần đưa vào xem xét đánh giá thực thuật toán xây dựng đường dẫn chứng nhận Ta tập trung vào version chứng khóa cơng khai theo định nghĩa ấn thứ tư X.509 Chúng ta thừa nhận hình thức khác chứng tồn bao gồm version version chứng khóa cơng khai định nghĩa lần xuất X.509 trước Tuy nhiên,chúng ta tập trung vào chứng khóa cơng khai version hình thức phổ biến chứng tìm thấy hầu hết doanh nghiệp phủ, nhiều phần mở rộng hỗ trợ với version cần thiết cho việc kiểm soát mối quan hệ kinh doanh miền PKI Ta thảo luận phần mở rộng chứng version 3, mà sử dụng để tạo điều kiện cho quy trình xây dựng đường dẫn chứng thực Cần lưu ý thảo luận liên quan đến phần mở rộng khơng áp dụng vào chứng khóa cơng khai version version 1.3 CÁC KHÁI NIÊM CƠ BẢN Nhóm – AT9A – HV kỹ thuật mật mã Cấu trúc chứng khóa cơng khai version3 minh họa hình sau: Các chứng phát hành nhà cung cấp chứng (CA) đến CA khác đến thực thể cuối (ví dụ: người dùng cuối, thiết bị, web server, tiến trình) Các CA tự cấp phát chứng cho Các chứng cấp phát cho CA khác gọi chứng CA, chứng cấp phát cho thực thể cuối gọi chứng thực thể cuối Việc gia hạn chứng để phân biệt loại chứng Ấn thứ X.509 định nghĩa bên có nhu cầu chứng thực “một người dùng đại lý dựa liệu chứng việc đưa định” Nói cách khác, bên có nhu cầu chứng thực sử dụng chúng thực thể cuối cho mục đích rõ ràng Ví dụ: người chứng thực người gửi thơng điệp đến cho xác minh tính tồn vẹn thông điệp cách sử dụng chứng tương ứng với người tạo thông điệp để xác minh chữ kí số kết hợp với thơng điệp Một nút cuối tin cậy chứng CA (hoặc xác hơn, khóa xác minh cơng khai CA) sử dụng bên có nhu cầu chứng thực điểm khởi đầu cho việc xác thực đường dẫn Bên có nhu cầu có nhiều nút cuối tin cậy bắt nguồn từ số nguồn Ví dụ, nút cuối tin cậy khóa cơng khai root CA CA cấp phát nhiều chứng trực tiếp đến bên có nhu cầu Nhóm – AT9A – HV kỹ thuật mật mã Một chứng mà CA cấp phát cho CA khác gọi chứng chéo (cross-certificate) Một CA cấp cao cấp phát chứng chéo đến CA cấp thấy mô hình phân cấp Nó gọi chửng chéo chiều đơn phương Khi CA cấp phát chứng đến CA khác, gọi xác thực chéo lẫn song phương Nó thường tìm thấy mơi hình phân phối Nhưng lưu ý có nhiều ví dụ cơng nghiệp, thời hạn xác thực chéo để biểu thị trường hợp song phương Tuy nhiên từ góc độ kĩ thuật, xác thực chéo đơn phương Điều nêu phiên thứ X.509 , xác thực chéo định nghĩa sau: Chứng chỉ chéo: là một chứng chỉ được phát hành bởi các nhà phân phối và đối tượng là các CA khác Các CA phát hành các chứng chỉ đến các CA khác một chế cho phép các đối tượng CA tồn tại (trong mô hình phân cấp nghiêm ngặt) hoặc để nhận sự tồn tại của chúng (trong mô hình phân phối) Cấu trúc chứng chỉ chéo được sử dụng cho cả hai mô hình Việc xây dựng đường dẫn chứng thực liên quan đến việc phát chuỗi chứng chứng thực thể cuối nút cuối tin cậy cơng nhận Các đường dẫn xác thực xây dựng theo chiều thuận ( tức từ chứng thực thể cuối đến nút cuối tin cậy) phù hợp cho mơ hình phân cấp tin cậy ngược lại (từ nút cuối tin cậy đến chứng thực thể cuối) phù hợp cho mơ hình phân phối tin cậy Và viết chứng minh thuật toán xây dựng đường dẫn mạnh mẽ có khả xây dựng đường dẫn theo chiều Trong thực tế phù hợp để xây dựng phần đường dẫn chứng thực sử dụng phương pháp phần khác việc chứng thực sử dụng phương pháp khác Trước bắt đầu xem xét vấn đề liên quan đến trình xây dựng đừng dẫn chứng thực ta xẽ tìm hiểu số nguyên tắc đường sau khái niệm “certificate chaining” Nhóm – AT9A – HV kỹ thuật mật mã 1.3.1 Name chaining Ở cấp độ nhất, đường dẫn chứng thực phải có “name chain” nút cuối tin cậy cơng nhận chứng mục tiêu (ví dụ: chúng thực thể cuối) Làm việc từ nút cuối tin cậy đến chứng mục tiêu, có nghĩa tên đối tượng chứng phải tên nhà phát hành chứng đường dẫn Hình mơ tả khái niệm này: Trong ví dụ này, đường dẫn bắt đầu với chứng tự kí có chứa khóa cơng khai nút cuối tin cậy Đường dẫn kết thúc với chứng thực thể cuối Tất chứng khác chứa đường dẫn xem CA trung gian Lưu ý chứng chuỗi từ chứng cuối chứng CA Khi xây dựng đường dẫn xác thực theo chiều thuận, ta sử dụng tổ chức phát hành DN chứng thực thể cuối để lấy chúng mà phát hành cho CA cấp phát chứng thực thể cuối Như minh họa hình 2, tổ chức cấp phát CA2 chứng thực thể cuối dẫn đến chứng CA2 Một lấy chứng CA2 , ta sử dụng tổ chức phát hành DN chứng CA2 để lấy chứng CA1 Cuối cùng, tổ chức cấp phát DN chứng CA1 dẫn đến chứng Nhóm – AT9A – HV kỹ thuật mật mã CA0 Logic áp dụng xây dựng đừng dẫn chứng thực theo chiều ngược lại Nếu CA đảm bảo để có cặp khóa cơng khai/ bí mật hoạt động thời gian định, đáp ứng yêu cầu name chaining tất cần để xây dựng đường dẫn chứng thực Tuy nhiên CA có nhiều cặp khóa ký hợp lệ thời điểm Điều có nghĩa name chaining khơng đủ để xác định liệu đường dẫn chứng thực ứng cử viên hợp pháp không Vậy ta tiếp tục xem xét “key identifier chaining” 1.3.2 Key indentifier chaining The Authority Key Identifier (AKID) Subject Key Identifier (SKID) phần mở rộng chứng sử dụng để tạo thuận lợi cho trình xây dựng đường dẫn chứng thực Như mô tả X.509 RFC3208, AKID sử dụng để phân biệt khóa cơng khai từ CA khác CA có nhiều khóa ký, SKID cung cấp phương tiện để xác thực chứng chứa khóa công khai cụ thể Tương tự “name chaining” nút cuối tin cậy chứng thực thể cuối, SKID chứng AKID chứng đường dẫn Hình mơ tả khái niệm Lưu ý kể từ AKID SKID phần mở rộng chúng chỉ, khái niệm key identifier chaining áp dụng cho chúng khóa cơng khai version Nhóm – AT9A – HV kỹ thuật mật mã 1.3.3 Cấu trúc sử dụng AKID/SKID Theo X.509, AKID biểu diễn cách sử dụng keyIdentifier, authorityCertIssuer, cặp authoritySerialNumber, Tuy nhiên X.509 nói rằng: Các dạng keyIdentifier có thể được sử dụng để chon các chứng chỉ CA quá trình xây dựng đường dẫn authorityCertIssuer, authoritySerialNumber pair chỉ có thể được sử dụng để cung cấp độ ưu tiên cho một chứng chỉ quá trình xây dựng đường dẫn Ngoài ra, Internet Certificate and CRL Profile cho trường keyIdentifier AKID phải bao gồm tất chứng tạo cách tuân theo CA (với ngoại lệ chứng tự kí, trường hợp keyIdentifier chứa SKID, tùy chọn AKID) Hơn Internet Certificate and CRL Profile rằng: trường keyIdentifier AKID phải bao gồm tất chứng tạo cách tuân theo CA để tạo điều kiện cho việc xây dựng chuỗi Theo X.509, SKID biểu diễn cách sử dụng keyIdentifier (tức là, cú pháp SKID khơng bao gồm authorityCertIssuer, 10 Nhóm – AT9A – HV kỹ thuật mật mã CA khác Thuộc tính này, sử dụng, cho phép phục hồi hiệu chứng chéo mà hình thức thường đường dẫn chứng thực sử dụng Như khơng có u cầu cụ thể cho thuộc tính sử dụng tập giá trị mà lưu trữ thuộc tính khơng đại diện cho tồn đường dẫn chứng thực thuận cho CA Vì không nhận thức triển khai tồn mà sử dụng thuộc tính pkiPath theo cách này, kể từ X.509 ngụ ý việc sử dụng thuộc tính tùy chọn, khơng khám phá sử dụng thuộc tính b Sử dụng các tiện ích mở rộng của chứng chỉ cá nhân Trong nhiều trường hợp, hệ thống khách hàng cấu hình với địa IP mặc định / tên DNS nhiều kho lưu giữ Những kho truy vấn cho chứng cần thiết Ngoài ra, trung tâm tìm kiếm thường thiết lập để chứng thích hợp dễ dàng đặt lấy Như thay thế, Internet Certificate and CRL Profile xác định phần mở rộng riêng gọi phần mở rộng Authority Information Access (AIA) Như nêu RFC3280, AIA "chỉ làm để truy cập thông tin dịch vụ CA cho người phát hành chứng chỉ, phần mở rộng xuất hiện." Một khả sử dụng phần mở rộng dùng danh sách "CA cấp chứng tốt CA cấp chứng có chứa phần mở rộng thiết kế để hỗ trợ người sử dụng chứng việc lựa chọn đường dẫn chứng thực mà kết thúc điểm đáng tin cậy người sử dụng chứng chỉ” Nó để nhìn thấy cách sử dụng phần mở rộng riêng AIA phát triển theo thời gian Hiện nay, Microsoft (Windows 2000 Windows XP) sử dụng AIA để trỏ đến vị trí chứng CA phat hành Trong tương lai, chúng 15 Nhóm – AT9A – HV kỹ thuật mật mã ta thấy nhà cung cấp sử dụng AIA để trỏ đến thông tin bổ sung danh sách CA cấp Internet Draft Certificate and CRL Profile định nghĩa phần mở rộng riêng gọi phần mở rộng tiếp cận thông tin chủ thể (SIA) Phần mở rộng "chỉ làm để truy cập thông tin dịch vụ cho đối tượng chứng chỉ, phần mở rộng xuất hiện." Một khả sử dụng phần mở rộng để xác định đâu CA phát hành chứng (và CRL) mà tạo Đây điều mà khai thác tương lai c Những lựa chọn khác Đó thực tế phổ biến để gửi chứng khóa cơng khai cần thiết để xác minh chữ ký kỹ số với liệu chữ ký số Ví dụ, bảo mật e-mail dựa hỗ trợ S/MIME Nó gửi đường dẫn xác nhận phần toàn cho bên cần chứng thực qua giao thức - perhaps sử dụng cú pháp thuộc tính pkiPath quy định X.509 Trong trường hợp này, số (hoặc có lẽ tất cả) đường dẫn chứng thực khơng phải lấy từ nguồn bên Tuy nhiên, miền PKI kết nối phức tập đa dạng, khơng người khởi tạo thơng báo biết đường dẫn chứng thực hoàn toàn nút cuối tin cậy bên có nhu cầu chứng thực chứng người khởi tạo Thậm chí đường dẫn biết, khơng có đảm bảo đường dẫn mà đáp ứng tiêu chí xác minh đường dẫn thu bên tin cậy (hoặc CA trung gian) Trong có số trường hợp tận dụng kiến thức đường dẫn phần, hầu hết trường hợp, chúng tơi cần thuật tốn xây dựng đường dẫn mạnh mẽ có khả phát đường dẫn chứng thực đầy đủ 1.5 XÂY DỰNG CÁC ĐƯỜNG DẪN CHỨNG THỰC 16 Nhóm – AT9A – HV kỹ thuật mật mã Các ví dụ thiết kế để minh họa số vấn đề gặp phải xây dựng đường dẫn chứng thực Nói chung, ví dụ độc lập với chế sử dụng để lấy chứng cần thiết Sự phù hợp với ấn thứ X.509 giả định a) Ví dụ đơn giản: hệ thống phân cấp nghiêm ngặt Hãy bắt đầu với ví dụ tương đối đơn giản Hình minh họa hệ thống phân cấp nghiêm ngặt CA Các hình bát giác đại diện cho CA, mũi tên đại diện cho cấp chứng hình chữ nhật mặt cắt đại diện cho chứng Các thuộc tính thư mục X.509 cụ thể sử dụng để lưu trữ chứng xác định Hãy kiểm tra xảy User1 gửi email có chữ ký cho User2 Người ta cho chứng xác minh User1 chuyển tải với thơng điệp Trong ví dụ này, User2 bên tin cậy Vì cố gắng xác minh chữ ký số sử dụng chứng xác minh User1, cần phải xây dựng đường chứng thực chứng User1 CA tin tưởng công nhận User2 Trong trường hợp này, CA0 CA gốc, tin tưởng chung cho tất người dùng hệ thống cấp bậc nghiêm ngặt này.Về bản, User2 muốn biết CA0 thiết lập mối quan hệ tin cậy (hoặc trực tiếp gián tiếp) với tổ chức phát hành chứng User1 (trong trường hợp CA1) Nói cách khác, bên dùng phần mềm có khả giải đường chứng nhận CA0-> CA1-> User1, sau có đường dẫn chứng thực hợp lý Xây dựng đường dẫn chứng thực hệ thống phân cấp nghiêm ngặt đơn giản Đường dẫn thường xây dựng theo chiều thuận (tức là, bắt đầu với chứng mục tiêu làm việc đường dẫn , tới nơi xác thực gốc) Do đó, phần mềm bên tin cậy bắt đầu với xác mính chứng User1 làm việc theo cách để tới CA0 Kể từ phần mềm bên tin cậy biết CA1 tổ chức phát hành chứng cho User1 (các tổ chức phát hành DN chứng User1 17 Nhóm – AT9A – HV kỹ thuật mật mã CA1), điều thực cách lấy yếu tố cấp CA lưu trữ đường dẫn thư mục cho CA1 Sau khám phá CA0 tổ chức phát hành chứng CA1, có đường dẫn chứng thực chứng user1 nút cuối tin cậy công nhận User2 Figure 4: Path Construction Illustration – Strict Hierarchy b) Ví dụ phức tạp hơn: chứng chỉ céo đơn với mô hình phân cấp và mô hình ủy thác phân phối Chúng sử dụng hình để minh họa cho trình xây dựng đường dẫn phức tạp hai lĩnh vực PKI mà có xác nhận lẫn Như trên, hình bát giác đại diện cho CA hình chữ nhật mặt cắt đại diện cho chứng Các thư mục X.509 cụ thể thuộc tính sử dụng để lưu trữ chứng xác định Như ví dụ trước, mũi tên chiều đại diện cho cấp chứng Các mũi tên hai chiều (bao gồm mũi tên nét đứt 18 Nhóm – AT9A – HV kỹ thuật mật mã CA0 CA5) đại diện cho xác nhận lẫn Như vậy, miền PKI bên trái mơ hình phân cấp tin cậy miền PKI bên phải mô hình phân phối tin cậy Trong ví dụ này, User3 nhận e-mail có chữ ký từ User2 User3 bên tin cậy chứng để xác nhận chứng kiểm định User2 Chứng kiểm định User2 kèm với e-mail gửi đến User3 Các nhiệm vụ xây dựng đường dẫn chứng thực chứng xác minh User2 nút cuối tin cậy mà User3 chứng nhận (trong trường hợp CA7) Chúng ta thấy khả để làm việc theo cách từ nút cuối tin cậy bên tin cậy cuối để tìm cách chứng thực chéo CA5 cấp cho CA0 Điều gọi xây dựng đường dẫn theo chiều ngược tạo đường từ CA7-> CA5-> CA0 Con đường xây dựng cách lấy chứng cấp CA đường dẫn thư mục CA7, dẫn đến việc thu hồi chứng issuedByThisCA đường dẫn thư mục CA5 Figure 5: Path Construction Illustration – Single Inter-Domain CrossCertification 19 Nhóm – AT9A – HV kỹ thuật mật mã Một "tiếp cận" CA0, tiếp tục xây dựng đường dẫn ngược, ta khơng thể phụ thuộc vào thành phần issuedByThisCA để gắn CA thuộc hệ thống phân cấp Thậm chí thành phần issuedByThisCA gắn với CA miền phân cấp, việc tìm kiếm theo chiều ngược từ CA0 hiệu việc tìm kiếm theo chiều thuận từ CA4 Cụ thể, gặp phải hai đường phát từ CA0 (không kể liên kết trở lại CA5), có đường dẫn từ CA4 trở lại lên đến CA0 Vì vậy, làm tiếp theo? Bây cố gắng xây dựng phần lại hướng thuận, có nghĩa làm việc theo cách trở lại với chứng mục tiêu CA0 Điều thực cách tìm kiếm yếu tố cấp CA đường dẫn thư mục CA4 (nhớ lại CA4 chứng mục tiêu tổ chức phát hành) (Tùy chọn, tìm kiếm thơng tin thuộc tính chứng chỉ, thuộc tính khơng bảo đảm đến người dùng thảo luận trước đó.) Điều dẫn phát chứng từ CA2 tới CA4, lần lượt, dẫn đến chứng từ CA0 tới CA2 Bây có chuỗi hồn chỉnh chứng chứng mục tiêu nút cuối tin cậy công nhận bên tin cậy từ CA7-> CA5- > CA0-> CA2-> CA4-> User2 Tất nhiên, ví dụ này, thứ tự việc xây dựng đường dẫn bị đảo ngược Đó là, xây dựng đường dẫn phần CA0-> CA2-> CA4- > User2 đầu tiên, sau làm việc theo cách trở lại từ CA7 tới CA0 Để hoàn thành, có nhìn nhanh chóng vào xảy User3 gửi e-mail ký cho User2 Bây User2 bên tin cậy, cần phải xây dựng đường dẫn chứng thực chứng xác minh User3 nút cuối tin cậy công nhận User2 (trong trường hợp CA0) Cụ thể, cần CA0-> CA5-> CA7-> User3 (một lần bỏ qua đường thông qua CA6) Như vậy, xây dựng đường cần thiết cách lấy xác nhận chéo mà CA0 cấp cho CA5 20 Nhóm – AT9A – HV kỹ thuật mật mã thu từ thuộc tính issuedByThisCA đường dẫn thư mục CA0, mà dẫn đến chứng chéo caaps CA5 dến CA7 thu từ thuộc tính issuedByThisCA đường dẫn thư mục CA5 c) Xây dựng đường dẫn chứng thực ngược so với thuận Trong hệ thống phân cấp chặt chẽ, làm việc theo chiều thuận, nên ln đảm bảo tìm phần tử issuedToThisCA thuộc tính cross-certificate pair gắn người dùng với chứng cấp cho cấp CA Ngồi ra, thường hiệu để xây dựng đường hướng hệ thống phân cấp Trong số trường hợp, điều dẫn đến có đường chứng thực Trong trường hợp khác, số giới hạn đường dẫn thay xây dựng kết tồn nhiều chứng CA Khóa định danh sử dụng để giải cho dduwowngf dẫn số trường hợp, điều khơng ln ln có ích(ví dụ, phiên chứng sử dụng khóa cơng khai tái phát hành giá trị khóa định danh dựa khóa cơng cộng) Trong trường hợp, số lượng đường chứng nhận giới hạn làm việc phía trước Hướng hệ thống phân cấp nghiêm ngặt ví dụ trước trên, người ta thấy đường dẫn cấp chứng xây dựng theo chiều thuận - chí mơ hình phân phối Mặc dù điều ví dụ đơn giản này, điều thực tế có đơn liên miền chứng nhận chéo số lượng hạn chế CA tham gia Khi gặp phải mơ hình tin cậy phân phối, xây dựng cấp chứng đường phía trước hướng trở nên hiệu Điều thực tế bắt gặp hàng chục chí hàng trăm nguyên tố chuyển tiếp liên kết với CA cho, hai 21 Nhóm – AT9A – HV kỹ thuật mật mã Điều minh họa hình 6, nơi mà giới thiệu cầu CA (BCA1) hai lĩnh vực PKI Mặc dù dễ dàng xây dựng đường từ chứng mục tiêu CA0 (như thấy trước đó), điều trở nên phức tạp nhiều cố gắng tiếp tục làm việc theo chiều thuận từ CA0 Cụ thể, BCA1 chứng nhận chéo với hàng chục chí hàng trăm CA khác (bao gồm cầu khác CA), người CA chứng nhận chéo với hàng chục, hàng trăm người khác Nếu nhìn vào yếu tố cấp CA, gặp phải số lượng lớn CAs dẫn khỏi đường tìm kiếm Cố gắng để tạo đường dẫn thuận rõ ràng thực tế trường hợp khác Xây dựng theo hướng ngược lại liên quan đến việc thử sai, luôn làm việc với (một phần) đường phát từ nút cuối tin cậy trả lời câu hỏi "những người bạn cấp chứng để" thay "những người ban hành chứng cho bạn " Trong điều khơng đủ cho thân để thuyết phục người chiều ngược thích hợp mơi trường phân phối, có số hiệu mà thực xây dựng đường dẫn hướng ngược lại, thảo luận Figure 6: Path Construction Illustration – Fully Distributed 22 Nhóm – AT9A – HV kỹ thuật mật mã Điều dẫn đến kết luận việc xây dựng đường chứng nhận theo chiều thuận tối ưu cho mơ hình phân cấp tin cậy, xây dựng đường chứng nhận theo hướng ngược lại tối ưu cho mơ hình phân phối tin cậy 1.6 ĐÁNH GIÁ CÁC ĐƯỜNG DẪN CHỨNG THỰC TRONG QUÁ TRÌNH XÂY DỰNG ĐƯỜNG DẪN Cho đến , chưa đưa hình thức xác nhận đường dẫn tiêu chuẩn hữu ích mà xem xét tronhf xây dựng đường dẫn Mặc dù bỏ qua tiêu chí xác nhận việc dẫn đến thiếu hiệu lớn Điều đặc biệt môi trường PKI kết nối đa dạng phức tạp Để hiểu vấn đề này, t xem xét lại ví dụ Khi từ nút cuối tin cậy user3, ta bắt gặp cầu CA (BCA1) thay cho chứng chéo trực tiếp mà CA5 cấp phát cho CA0 Không kể đến chứng chéo BCA1 cấp phát cho CA5, có chứng chéo xuất phát từ BCA1 tham gia vào, mà dẫn đến hàng chục chứng khác Sẽ tốt ta nhận chứng chéo BCA1 cấp phát cho CA0 có khả đưa ta đến gần với nơi mà t cần phải Vậy, ta lấy tất đường dẫn issuedByThisCA gắn với đường dẫn thư mục BCA1, cải thiện đáng kể hiệu xuất cách ta biết CA0 đường dẫn tìm kiếm Kể từ hệ phân cấp nghiêm ngặt thường dựa quy ước đặt tên theo thức bặc, ta tận dụng lợi thực tế CA0 DN cỏ thẻ tập RDN (Relative Distinguished Name) chứng mục tiêu (ví dụ: chứng user2 ) CA4 RDNs (biết từ nhà cấp phát DN chứng CA2) Nó cách khác, ta phát chứng chéo cấp phát CA5 đến CA0, ta hướng, từ đó, RDN CA0 DN nối với tập RDN ttrong chứng user2 nhà cấp phát DN và/hoặc chủ thể DN Điều nghĩa mục khác khơng dẫn đến đường dẫn hợp pháp, 23 Nhóm – AT9A – HV kỹ thuật mật mã khơng có nghĩa ta muốn thử CA0 Ngồi ra, ta xây dựng đường dẫn riêng CA0->CA2->CA4->User2 đầu tiên, vậy, ta biết có đường dẫn chứng thực ta gặp phải chứng chéo BCA1 cấp phát cho CA0 làm việc theo hướng ngược lại Như đề cập trước đó, có đề định việc xem xét để tối đa hóa hội mà đường dẫn chứng thực phù hợp đưa đường dẫn chấp nhận Trong thực tế, số nhà cung cấp phát triển hệ thống ưu tiên đường dẫn chứng thực với lỗ lực đưa đường dẫn có khả hợp logic Ví dụ phần mềm miễn phí CPL (Certification Path Library) mà ưu tiên thức tự chứng xem xét trình xây dựng đường dẫn có sẵn để tải từ http://www.entrust.com/entrustcygnacom/products/index.htm Theo Path Development API - Interface Control Document [Ref4], quy tắc ưu tiên sau: Các chứng lấy từ thuộc tính cACertificate cos dộ ưu tiên cao chứng lấy từ thuộc tính crossCertificate Các chứng thuật tốn cấp phát OID= đối tượng thuật toán ODI sec ưu tiên Các chứng mà sách đòi hỏi có độ ưu tiên cao chứng khác Giữa chứng mà sách đòi hỏi, chứng nối với nhiều sách thiết lập sách chấp nhận ban đầu ưu tiên, Các chứng với yếu tố RDN tổ chứng cấp phát DN nên có độ ưu tiên Các chứng mà nối với nhiều RDN tổ chức cấp phát DN DN nút cuối tin cậy bên có nhu cầu chứng thực nên ưu tiên Các chứng nối với nhiều RDN chủ thể DN với issuer DN nên ưu tiên 24 Nhóm – AT9A – HV kỹ thuật mật mã Các chứng có thời hạn hiệu lực dài nên ưu tiên Có thể lấy tiêu chí xác nhận đường dẫn cụ thể vào xem xét trình xây dựng đường dẫn Ý tưởng để tang hội hoạc nhiều đường dẫn vượt qua nhiều thủ tục xác nhận đường dẫn toàn diện Tuy nhiên điều giúp ta loại bỏ đường dẫn tối ưu Xây dựng đường dẫn chứng thực: Forward vs Reverse [Ref3] xác định số tiêu chí xác nhận xem xét q trình xây dựng đường dẫn: - Các hạn chế tên - Xử lý sách chứng - Xác nhận chứng Việc lấy nhiều đường dẫn để xem xét trình xây dựng đường dẫn chứng thực loại bỏ số đường dẫn tối ưu Có thể có tiêu chí khác để xác nhận đường dẫn mà nhà cung cấp muốn xem xét (ví dụ hạn chế chiều dài đường dẫn) Ý tưởng bạn đưa chứng mà đáp ứng tập tiêu chí xác nhận đường dẫn.=> thúc đẩy trình “prune as you go”, đặc biệt xây dựng đường dẫn theo hướng ngược lại Tuy nhiên có hạn chế liên quan đến điều Ví dụ, có vấn đề định mà xác định toàn đường dẫn xây dựng Ngoài ra, điều hàm ý logic xây dựng đường dẫn sử lí tập logic xác minh đường dẫn nêu ấn thứ tư X,509 Internet Certificate and CRL Profile Điều khơng đơn giản trường hợp nhà cung cấp tách xây dựng đường dẫn quy trình xác minh đường dẫn Cuối cùng, thực kiểm tra tính hợp lệ đường dẫn mà khơng loại bỏ đường dẫn nào, thử tục xác minh đường dẫn đầy đủ xác định số tiêu chí khơng đáp ứng Từ làm tang khối lượng cơng việc q trình xây dựng đường dẫn Nó nhân làm việc, từ nhiều kiểm tra tương tự 25 Nhóm – AT9A – HV kỹ thuật mật mã thực q trình xây dựng đường đẫn thực trình xác nhận đường dẫn Tuy nhiên, rõ ràng số yếu tố cần xem xét trình xây dựng đường dẫn Mức đọ thực theo ý nhà cung cấp Multiple Paths Có thể có nhiều đường dẫn nút cuối tin cậy bên cần chứng thực chứng thực thể cuối mục tiêu Ví dụ: ví dụ chứng thực chéo nhất, có đường dẫn chứng thực nút cuối tin cậy user3 chứng user2 (CA7>CA5->CA0->CA2->CA4->User2 CA7->CA6->CA5>CA0->CA2->CA4->User2) Có thể có nhiều đường dẫn đáo ứng tiêu chí đánh giá đường dẫn Trong trường hợp khơng có tiêu chí khác sử dụng để ưu tiên đường dẫn khác, đưa đường dẫn ngắn phù hợp trước đưa đường dẫn dài Detecting Loops (phát hiện các còng lặp) Một điều cần tránh xây dựng đường đẫn chứng thực việc lặp Điều xảy loạt chứng chéo dẫn ta trở lại chứng chéo mà phần đường dẫn chứng thực Trong môi trường kết nối đa dạng, khả thường xuyên gặp phải Phiên thứ X.509 làm rõ chứng không phép xuất nhiều lần đường dẫn chứng thực Do ta tránh lặp lại cách theo dõi tất chứng đường dãn xây dựng đảm bảo chững đưa vào đường dẫn không xuất đường dẫn lần Nếu gặp phải sao, quay lại cần thiết Lưu ý việc theo dõi chủ thể DNcủa chứng trung gian chế phát trùng lặp thích hợp, CA có nhiều chứng khóa cơng khai hoạt động ban hành DN Chúng ta phải kiểm tra để chắn chứng xác khơng sử dụng lần nữa, thực thơng qua so sánh trực tiếp 26 Nhóm – AT9A – HV kỹ thuật mật mã 1.7 27 Nhóm – AT9A – HV kỹ thuật mật mã TÀI LIỆU THAM KHẢO [1] http://antoanthongtin.vn/Detail.aspx?NewsID=4acca727-4e05-4c58-b3b3- c29bc361968c&CatID=8ab90f49-a562-4157-a607-d2474bf129a9 tạp chí an tồn thơng tin(ban yếu phủ) [2] Giáo trình An tồn sở liệu – TS Nguyễn Nam Hải [3] http://123doc.org/document/2560852-tim-hieu-ve-oracle-label-security.htm [4] https://l.facebook.com/l.php?u=https%3A%2F %2Faithao0007.files.wordpress.com%2F2013%2F09%2Flab06.pdf&h=6AQFEU3F7 [5] https://l.facebook.com/l.php?u=https%3A%2F %2Faithao0007.files.wordpress.com%2F2013%2F09%2Flab07.pdf&h=6AQFEU3F7 [6] https://l.facebook.com/l.php?u=https%3A%2F %2Faithao0007.files.wordpress.com%2F2013%2F09%2Flab08.pdf&h=6AQFEU3F7 28 Nhóm – AT9A – HV kỹ thuật mật mã 29 Nhóm – AT9A – HV kỹ thuật mật mã ... phân cấp tin cậy, xây dựng đường chứng nhận theo hướng ngược lại tối ưu cho mô hình phân phối tin cậy 1.6 ĐÁNH GIÁ CÁC ĐƯỜNG DẪN CHỨNG THỰC TRONG QUÁ TRÌNH XÂY DỰNG ĐƯỜNG DẪN Cho đến , chưa... nghiên cứu sau! Xin chân thành cảm ơn! Nhóm – AT9A – HV kỹ thuật mật mã CHƯƠNG TÌM HIỂU VỀ XÂY DỰNG ĐƯỜNG DẪN CHỨNG THỰC 1.1 GIỚI THIỆU Cơ sở hạ tầng an ninh rộng khắp khóa cơng khai (PKI)... hầu hết trường hợp, chúng tơi cần thuật tốn xây dựng đường dẫn mạnh mẽ có khả phát đường dẫn chứng thực đầy đủ 1.5 XÂY DỰNG CÁC ĐƯỜNG DẪN CHỨNG THỰC 16 Nhóm – AT9A – HV kỹ thuật mật mã Các