TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ───────  ─────── BÁO CÁO MÔN HỌC AN NINH MẠNG ĐỀ TÀI : Hạ Tầng Khóa Cơng Khai PKI Giáo viên hướng dẫn : PGS.TS NGUYỄN LINH GIANG HẠ TẦNG KHĨA CƠNG KHAI PKI LỜI NÓI ĐẦU Cùng với sợ phát triển mạng mẽ Công nghệ thông tin nay, hay chi tiết Internet làm cho phương thức thơng tin liên lạc phát triển theo tầm cao Trước kia, để trao đổi thơng tin nơi sử dụng thư tín phát triển thư điện tử, email, giao dịch cơng việc, tài thực qua mạng Internet Mọi trở ngại khoảng cách địa lý khơng vấn đề Tuy nhiên, mặt thuận lợi mà internet mang lại bên cạnh cón mặt hạn chế Tất giao dịch tài chính, cơng việc, thông tin trao đổi bên diễn mạng hay hiểu “ảo”, thật khó để khẳng định người mà ta giao dịch hay trao đổi thông tin người mà ta muốn, thông tin ta trao đổi thật Đây hạn chế đồng nghĩa với việc trở thành lỗ hổng cho tin tặc “hacker” lợi dụng để thực hành vi xấu, phá hoại Vậy giải pháp để giúp ta giải việc xác thực người mà ta muốn giao dịch thơng tin ta nhận xác? Trên giới giải pháp đưa từ sớm, người cấp chứng thư số (Certificate digital), với chứng thư số chứng minh với người khác ai, sử dụng chứng thư để kí lên tài liệu mà muốn công bố để người khác biết tác giả kiểm tra toàn vẹn liệu Ta thể dùng chứng thư để giải mã thông tin mà mã hóa gửi cho Chứng thư phải bên thứ ba có độ tin cậy cao cung cấp có tên CA (Certificate Authory) dịch vụ bổ trợ kèm tạo thành hệ thống gọi chung Public Key Infrastructure (PKI- Hạ tâng khóa cơng khai) Hiện nước ta triển khai PKI giao dịch ngân hàng, kê khai thuế phủ điện tử, phải kể đến nhà cung cấp BKAV, VDC v.v HẠ TẦNG KHĨA CƠNG KHAI PKI MỤC LỤC I Mục đích II Nội dung A CẤU TRÚC HẠ TẦNG KHĨA CƠNG KHAI : Khái niệm PKI : Mơ hình đề xuất B CHỨNG CHỈ SỐ, CÁC CHUẨN: PGP(Pretty Good Privacy) : X509 PRIX PKCS .8 TCVN C TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH: 12 Cấp chứng cho thư điện tử cho tổ chức, doanh nghiệp: 12 Kê khai thuế: 13 Giao dịch ngân hàng: 15 D III CÁC HỆ THỐNG MÃ NGUỒN MỞ: 16 Sơ đồ hệ thống PKI đề xuất: 16 Các thành phần hệ thống: 17 Tài liệu tham khảo .24 HẠ TẦNG KHĨA CƠNG KHAI PKI I Mục đích TÌM HIỂU VÀ NẮM BẮT ĐƯỢC CHỨC NĂNG, HOẠT ĐỘNG, CÁCH TRIỂN KHAI TRONG THỰC TẾ CỦA HẠ TẦNG KHĨA CƠNG KHAI PKI II Nội dung A CẤU TRÚC HẠ TẦNG KHĨA CƠNG KHAI : Khái niệm PKI : PKI viết tắt “Public Key Infrastructure” Trong mã hóa phi đối xứng, người ta dùng cặp khóa để mã hóa giải mã thơng tin Cặp khóa khóa cơng khai (public key) khóa bí mật (private key) Khi thơng tin mã hóa khóa cơng khai dùng khóa bí mật tương ứng để giải mã ngược lại Khóa cơng khai khóa mà ta cơng khai cho người biết để họ giải mã thơng tin mã hóa khóa bí mật ta, để họ mã hóa thơng tin họ gửi cho ta muốn ta giải mã Khóa cơng khai cơng khai hóa qua việc gắn vào chứng thư số (certificate), xâu gồm nhiều bit PKI hiểu tập hợp phần cứng, phần mềm, người,các sách, thủ tục mà cần để tạo ra, quản lý, lưu trữ, phân phối thu hồi chứng thư số HẠ TẦNG KHÓA CƠNG KHAI PKI Mơ hình đề xuất B CHỨNG CHỈ SỐ, CÁC CHUẨN: PGP(Pretty Good Privacy) : Mật mã hóa PGP phần mềm máy tính dùng để mật mã hóa liệu xác thực Phiên công bố vào năm 1991 Đến phần mềm có nhiều cải tiến tung thị trường nhiều sản phẩm khác dựa tảng Ban đầu phục vụ cho việc mã hóa thư điện tử, sau trở thành giải pháp mã hóa cho cơng ty lớn, phủ cá nhân.Các phần mềm dựa PGP dùng để mã hóa bảo vệ thơng tin lưu trữ máy tính xách tay ,máy tính để bàn, máy chủ q trình trao đổi thơng qua email, IM chuyển file Hoạt động PGP việc sử dụng kết hợp mật mã hóa khóa cơng khai thuật tốn đối xứng cộng thêm với hệ thống xác lập mối quan hệ khóa cơng khai danh người dùng(ID) Người nhận hệ thống PGP sử dụng khóa phiên để giải mã gói tin Khóa phiên gửi kèm với thơng điệp mã hóa hệ thóng mật mã bất đối xứng giải mã khóa bí mật người nhận HẠ TẦNG KHĨA CƠNG KHAI PKI Hệ thống phải sử dụng dạng thuật tốn để tận dụng ưu : thuật toán bất đối xứng đơn giản việc phân phơi khóa thuật tốn đối xứng ưu tốc độ việc mã hóa tin Với PGP, để phát xem thơng điệp có bị thay đổi hay khơng người gửi phải kí lên văn với thuật toán RSA DSA Đầu tiên, PGP tính giá trị hàm băm thơng điệp tạo chữ kí số với khóa bí mật người gửi Khi nhận văn bản, người nhận tính lại giá trị băm văn đồng thời giải mã chữ kí số khóa cơng khai người gửi Nếu giá trị giống khẳng định văn chưa có thay đổi Trong q trình mã hóa kiểm tra chữ kí điều vơ quan trọng khóa công khai sử dụng phải thực thuộc người cho sở hữu Nếu đơn giản lấy khóa cơng khai từ khơng thể đảm bảo điều PGP thực việc phân phối khóa thơng qua chứng thư số tạo nên bới kĩ thuật mật mã cho việc sửa đổi khóa dễ dàng bị phát Ngồi PGP có chế hỗ trợ gọi mạng lưới tín nhiệm, có nghĩa khóa cơng khai bên thứ xác nhận Trong PGP, có khái niệm chữ kí tin cậy, chữ kí có quyền mức cao sử dụng để tạo nhà cung cấp chứng thư số (CA) Ta hiểu chế sử dụng chữ kí tin cậy để xác nhận chữ kí mức thấp Đồng thời biết đến với khả hủy bỏ thu hồi chứng thư số bị vơ hiệu hóa, gia hạn chứng thư  Với chuẩn PGP có thẻ coi an tồn, có quan phủ có đủ nguồn lực để phá vỡ thơng điệp PGP với cá nhân chưa X509 X.509 chuẩn ITU định nghĩa framework chuẩn cho chứng số X.509 dựa sở X.500, mà thân X.500 chưa định nghĩa hồn chỉnh X.509 lần cơng bố vào năm 1988 phiên đưa để giải vấn đề an toàn X.509 hỗ trợ mã bí mật mã công khai Như nêu, X509 đưa chuẩn nội dung HẠ TẦNG KHĨA CƠNG KHAI PKI chứng thư : phiên bản, số serianumber, ID chữ kí, thời điểm bắt đầu có hiệu lực hết hiệu lực v.v Về người có trách nhiệm chứng nhận đặt khóa cơng khai người có nhu cầu chứng thực vào thủ tục chứng thực sau xác thực lại khóa riêng Điều bắt buộc khóa thủ tục chứng thực phải kèm với Bất cần dùng khóa cơng khai đối tượng mở thủ tục chứng thực khóa cơng khai đối tượng bên có trách nhiệm chứng thực cung cấp Trong chuẩn X509 gồm trường : Chứng thư gồm phần : phần đầu trường cần thiết có chứng Phần thứ chứa thêm trường mở rộng - Version : phiên chứng thư - Certificate serial number : định danh cho Certificate, thường CA cấp - Signature Algorithm ID : thuật tốn CA sử dụng để kí cho chứng thư Có thể RSA hay DSA - Issuer : đối tượng cấp nhận chứng thư - Validity Period : khoảng thời gian chứng thư có hiệu lực Trường xác định thời gian chứng thư bắt đầu có hiệu lực thời điểm bị thu hồi (hay bị hêt hạn) HẠ TẦNG KHÓA CƠNG KHAI PKI - Extension : có nhũng chứng V.3 Phần mở rộng thông tin thuộc tính cần thiết đưa vào để gắn với người sử dụng hay hóa cơng khai (chức kí cho ai, kí đâu v.v) Với X509 CA thực thể hạ tầng PKI thực xác thực thẩm tra - CA tạo cặp khóa public/private đồng thời tạo chứng thư chứa khóa cơng khai cặp khóa Hoặc người sử dụng tự tạo cặp khóa đưa khóa cơng khai cho CA để tạo chứng thư cho khóa cơng khai Chứng thư đảm báo tính tồn vẹn khóa thơng tin kèm - Thẩm tra: trình xác định xem chứng liệu sử dụng mục đích thíc hợp hay chưa PRIX Nhóm IETF thành lập vào cuối năm 1995 với mục đích phát triển chuẩn Internet cần để hỗ trợ X.509 – dựa sở PKI Phạm vi nhóm PKIX mở rộng bên ngồi mục đích ban đầu Nhóm khơng đưa HẠ TẦNG KHĨA CƠNG KHAI PKI chuẩn profiles ITU PKI, mà phát triển chuẩn thích hợp cho việc sử dụng X.509 dựa sở PKI Internet PKCS PKCS chuẩn phòng thí nghiệm RSA Data Security Inc phát triển Nó dựa vào cấu trúc ASN.1 thiết kế cho phù hợp với chứng X.09, tiêu chuẩn ANSI thiết kế, theo liệu chia thành khối nhỏ bit (octet) PKCS bao gồm chuẩn PKCS#1, PKCS#3, PKCS#5,PKCS#7, PKCS#8, PKCS#9, PKCS#11, PKCS#12, PKCS#13, PKCS#15 Hiện phiên 2.1 Trong tìm chuẩn để mã hóa liệu, chuẩn thiết kế dựa vào cách mà thám mã dùng để cơng vào đoạn mã Có thể mơ tả sơ qua này, PKCS#1 có chuẩn mã hóa - giải mã RSAES - OAEP scheme, chuẩn tạo chữ ký điện tử - kiểm tra RSASSA - PSS scheme ver2.1, hay PKCS#7 chuẩn mã hóa cho password PKCS#11 phức tạp nhất, chuẩn cho việc truyền thơng tin mạng dạng gói tin mã TCVN TCVN viết tắt cụm từ Tiêu chuẩn Việt Nam, dùng làm kí hiệu tiền tố cho tiêu chuẩn quốc gia Việt Nam Viện Tiêu chuẩn Chất lượng Việt Nam (thuộcTổng cục Tiêu chuẩn Đo lường chất lượng) tổ chức xây dựng Bộ Khoa học Công nghệ công bố Do phạm vi rộng lớn vấn đề kiểm định đo lường chất lượng nên phần lớn tiêu chuẩn TCVN xa lạ với người dân Việt Nam trừ làm lĩnh vực có liên quan Hiện có hàng nghìn TCVN bao gồm tiêu chuẩn bản, tiêu chuẩn thuật ngữ, tiêu chuẩn yêu cầu kỹ thuật, tiêu chuẩn phương pháp thử lấy mẫu, tiêu chuẩn ghi nhãn, bao gói, vận chuyển bảo quản; thuộc lĩnh vực khí, luyện kim, giao thơng vận tải, xây dựng, hóa chất, dầu khí, khống sản, nông nghiệp, thực phẩm, hàng tiêu dùng, môi trường, an tồn, điện, điện tử, cơng nghệ thơng tin Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số HẠ TẦNG KHĨA CƠNG KHAI PKI Số TT Loại tiêu chuẩn 1.1 2.1 Ký hiệu tiêu Tên đầy đủ tiêu chuẩn chuẩn Chuẩn bảo mật cho HSM Bảo mật cho khốiFIPS PUBSecurity Requirements Quy định áp dụng forYêu cầu tối thiểu an ninh phần cứng140-2 Cryptographic Modules HSM Chuẩn mã hóa Mã hố phi đốiPKCS #1 RSA Cryptography Standard - Phiên 2.1 xứng chữ ký số level - Áp dụng lược đồ RSAES-OAEP để mã hoá RSASSA-PSS 2.2 2.3 Mã hoá đối xứng ký EncryptionÁp dụng AES FIPS PUBAdvanced 197 FIPS Standard (AES) PUBData Encryption 46-3 Hàm băm bảo mật FIPS 3DES Standard (DES) PUBSecure Hash Standard 180-2 Áp dụng bốn hàm băm an toàn: SHA-256, SHA-1, SHA- 384, SHA-512 3.1 để Chuẩn tạo yêu cầu trao đổi chứng thư số Định dạng chứngRFC 3280 Internet X.509 Public Key thư số danh sách Infrastructure - Certificate thu hồi chứng thư and Certificate Revocation 3.2 số Cú pháp thông điệpPKCS #7 List (CRL) Profile Cryptographic 3.3 mã hoá Cú pháp thông tinPKCS #8 Syntax Standard Private-Key InformationPhiên 1.2 3.4 khóa riêng Cú pháp yêu cầuPCKS #10 Syntax Standard Certification Request SyntaxPhiên 1.7 3.5 chứng thực Cú pháp trao đổiPKCS #12 Standard Personal MessagePhiên 1.5 InformationPhiên 1.0 HẠ TẦNG KHĨA CƠNG KHAI PKI Ký hiệu tiêu Số TT Loại tiêu chuẩn 4.1 chuẩn Quy định áp dụng thông tin cá nhân Exchange Syntax Standard Chuẩn sách quy chế chứng thực chữ ký số Khung quy chếRFC 3647 Internet X.509 Public Key chứng thực Infrastructure sách chứng 5.1 Tên đầy đủ tiêu chuẩn Policy and - Certificate Certification thư Practices Framework Chuẩn lưu trữ truy xuất chứng thư số Giao thức lưu trữRFC 2587 Internet X.509 Public KeyÁp truy xuất chứng Infrastructure thư số RFC 4523 Definitions RFC 4510 RFC 4511 RFC 4512 RFC LDAPv22587 RFC Schema 4523 Lightweight Directory Access Protocol RFC 2251 dụng (LDAP) Schema for X.509 Certificates Lightweight Directory AccessÁp dụng RFC Protocol (v3) 2251 bốn Lightweight Directory Access tiêu chuẩn RFC Protocol (LDAP): Technical 4510, RFC 4511, Specification Road Map RFC 4512, RFC Lightweight Directory Access 4513 Protocol (LDAP): The Protocol Lightweight Directory Access Protocol (LDAP): Directory RFC 4513 Information Models Lightweight Directory Access Protocol (LDAP): Authentication Methods and 6.1 Security Mechanisms Chuẩn kiểm tra trạng thái chứng thư số Giao thức choRFC 2585 Internet X.509 Public KeyÁp dụng kiểm tra trạng thái Infrastructure - Operationalcả hai giao thức HẠ TẦNG KHĨA CƠNG KHAI PKI Số TT Loại tiêu chuẩn chứng thư số Ký hiệu tiêu chuẩn Tên đầy đủ tiêu chuẩn Protocols: FTP and HTTP Quy định dụng FTP HTTP C TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH: Cấp chứng cho thư điện tử cho tổ chức, doanh nghiệp: 1.1 Đặc điểm : - Số lượng nhân viên khơng q lớn Cơng ty có cấu trúc không đơn giản, nằm khu vực vật lý 1.2 Nhu cầu : - Cần sử dụng PKI tổ chức, doanh nghiệp Yêu cầu nhân viên có địa thư điện tử có chứng tương ứng để phục vụ cho việc ký mã hóa điện tử Thư điện tử hiểu thơng báo, công văn, nghị định v.v - Chứng ban hành cần phải có tính liên thơng rộng để sử dụng cho việc tương tác với nhiều đối tác - Mức độ bảo đảm chứng phải đủ cao để đối tác chấp nhận 1.3 Triển khai: - Do số lượng chữ kí số cấp phát không nhiều dễ quản lý nên mô hình PKI áp dụng đơn giản, khơng đòi hỏi phức tạp - Tuy nhiên với quán lớn,có móc lối ban, mơ hình PKI trở lên phức tạp hơn, có phân cấp Mỗi cấp có CA phụ thuộc vào RootCA cấp Kê khai thuế: 2.1 Đặc điểm: Hiện nay, việc kê khai thuế quan cho tổng cục thuế thực thông qua việc nộp tờ khai thuế Chính điều làm nảy sinh nhiều bất cập việc kê khai thuế đến đợt : in tờ khai, nộp tờ khai, áp HẠ TẦNG KHĨA CƠNG KHAI PKI q trình xác nhận kí duyệt tổng cục thuế khai v.v điều làm cho việc kê khai trở nên phức tạp tốn nhiều mặt thời gian tiền của nhà nước doanh nghiệp Để giải nhược điểm việc kê khai thuế theo cách thủ cơng xưa việc áp dụng chữ kí số vào kê khai thuế 2.2 Nhu cầu: - Giảm thời gian kê khai quan doanh nghiệp với tổng cục thuế - Tiết kiệm chi phí in tờ khai - Đảm bảo tính pháp lí, bảo mật xác thực với phiên làm việc bên 2.3 Triển khai: Để triển khai chữ kí số vào kê khai thuế, cần có bên cấp phát chữ kí số đóng vai trò bên thứ tin cậy q trình kê khai Cơ quan cấp phát chữ kí số cấp kí số cho doanh nghiệp tổng cục thuế Khi doanh nghiệp tiến hành kê khai thuế cho cơng ty mình, thơng tin doanh nghiệp nhập vào tờ khai định dạng file nhà nước quy định Sau đó, cơng ty sử dụng chữ kí kí lên tờ khai đó(kí mã hóa) gửi cho bên phía cấp phát chữ kí số, nhà cung cấp chữ kí số xác thực đối chiếu với form mẫu nhà nước ban hành Nếu tờ khai hợp lệ, chuyển lên phía Tổng cục thuế để xác nhận gửi trả lại phía quan muốn kê khai thuế HẠ TẦNG KHĨA CƠNG KHAI PKI Mẫu kê khai thuế sử dụng chữ kí số Giao dịch ngân hàng: 3.1 Đặc điểm : HẠ TẦNG KHĨA CƠNG KHAI PKI Hiện nay, vấn đề xác thực vấn đề quan tâm thiết yếu hệ thống online banking bảo mật doanh nghiệp Các giao dịch ngân hàng sử dụng chế xác thực theo kiểu username/password Cơ chế xác thực dễ bị xâm phạm mức độ bảo mật chưa cao, giao dịch khó xác định việc định danh dẫn đến việc xác định trách nhiệm có cố xảy dường khơng có Việc sử dụng chữ kí số giúp giải vấn đề tồn giao dịch ngân hàng Đảm bảo tính bảo mật, tồn vẹn liệu thông tin đường truyền, đặc biệt tính khơng chối bỏ giao dịch 3.2 Nhu cầu - Xác thực mạnh đăng nhập ứng dụng - Lưu viết giám sát tiến trình - Có thể áp dụng rộng dãi ứng dụng, giao dịch khác - Nâng cao tính bảo mật, thuận tiện cho phía người sử dụng giao dịch 3.3 Triển khai Các ngân hàng tiến hành giao dịch phải đăng nhập hệ thống thông qua chứng thư số lưu trữ thiêt bị phần cứng: USB tocken cung cấp từ phía nhà phát hành chứng thư số CA, có chứa chứng thư số cá nhân, doanh nghiệp v.v Sau đăng nhập vào hệ thống, giao dịch người dùng với ngân hàng, hay ngân hàng với mã hóa kí số để đảm bảo tính bí mật phiên làm việc Vì vậy, thay giao dịch thực giấy tờ thay văn trao đổi internet HẠ TẦNG KHĨA CƠNG KHAI PKI Hệ thống liên ngân hàng, tích hợ chữ kí số D CÁC HỆ THỐNG MÃ NGUỒN MỞ: Sơ đồ hệ thống PKI đề xuất: HẠ TẦNG KHĨA CƠNG KHAI PKI Các thành phần hệ thống: a RootCA: thực thể ban hành chứng cho subcriber(người dùng chứng chỉ) có u cầu hợp lệ từ phía client CA đồng thời người dùng chứng chứng CA khác ban hành Trong thực tế, CA ban hành cho lớp người dùng định Việc cấp Cert gia hạn Cert thực giao diện Webadmin sử dụng HTTPs port 8443, giao diện publicweb port 8080 Cert CA cấp cho user HẠ TẦNG KHÓA CÔNG KHAI PKI Cert sau bị thay đổi nội dung  Khi cert bị kẻ xâm phạm thay đổi khơng hiệu lực pháp lí b HSM: Là nơi lưu giữ chứng RootCA, chứng RootCA cần bảo mật quan trọng hoạt động hệ thống Hiện nay, có kiểu HSM HSM thật HSM ảo c OCSP: Trước vào chi tiết OCSP, chúng em xin nói sơ qua CRL CRL danh sách chứng bị thu hồi Mỗi CA có CRL riêng Đây nơi cập nhật danh sách chứng bị thu hồi để cơng bố ngồi cho người dùng có yêu cầu CRL chứa loạt serial number chứng bị thu hồi CA Nói cách đơn giản CRL nguồn lưu trữ sử HẠ TẦNG KHĨA CƠNG KHAI PKI dụng cho bên phụ thuộc xác minh trạng thái chứng chỉ, xem chứng thu hồi(hết hạn) hay thời hạn sử dụng Một vấn đề đặt ra, mà người dùng lớn đồng nghĩa với kho lưu trữ lớn dần lên Điều ảnh hưởng lớn tới đường truyền hoạt động hệ thống phải lấy danh sách chứng thư Vâỵ khắc phục điều này? Giải pháp đưa dùng OCSP OCSP viết tắt Online Certificate Status Protocol(giao thức xác minh trạng thái chứng trực tuyến) Với giao thức ta việc xây dựng OCSP Reponder cho nhiều CA lúc đóng vai trò thu thập thường xun trạng thái chứng thư gửi trả lại thơng tin trạng thái chứng thư cho phía client có request đến điều làm cho đường truyền hoạt động hệ thống trở nên thông suốt tối ưu nhiều Việc truyền thơng OCSP request sử dụng phương pháp POST GET giao thức HTTP , thông qua cổng 8080 Cert kí xác thực OCSP HẠ TẦNG KHĨA CƠNG KHAI PKI Cert bị thay đổi nội dung sau kí khơng có hiệu lực d TSA: Nếu xác minh chứng thư hiệu lực thi hành hay khơng chưa đủ, thực giao dịch điện tử sử dụng chứng thư số bỏ thời gian, thời gian thời gian kí Bình thường thời điểm kí khó chấp nhận bên, chấp nhận có bên thứ tin tưởng xác minh Để giải dịch vụ bên thứ nhà cung cấp dịch vụ PKI phải xây dựng dịch vụ xác minh thời điểm kí bên mà có yêu cầu xác minh từ phía server đảm nhận nhiệm vụ TSA Giao thức mà TSA sử dụng Time stamp protocol – RFC 3161 Mở cổng 389 HẠ TẦNG KHĨA CƠNG KHAI PKI Hình : mơ hình hoạt động TSA Giả sử Alice có chữ kí (data hình) muốn xin xác thực timestamp Các bước diễn trình là: - Alice băm hàm băm H1 chữ kí thu kết băm “1011…10101” Cô gửi kết băm cho TSA - TSA nối timestamp t với kết băm nhận từ Alice cho qua hàm băm H2 để thu kết băm “0010…01011” hình - TSA gắm kết băm với timestamp t ban đầu kia, tạo thành timestamp token, kí lên gửi cho Alice - Alice nhận timestamp gắn vào chữ kí vừa kí (data) Ta thấy “data” hồn tồn khơng TSA biết đến TSA biết tới kết qua hàm băm H1 “data” TSA không quan tâm Alice ai, cung cấp dịch vụ cho có nhu cầu vào nói chuyện theo giao thức TSP Tiếp theo trình người nhận chữ kí Bob xác minh timestamp TSA Q trình mơ tả hình HẠ TẦNG KHĨA CƠNG KHAI PKI Q trình ban hành timestamp Quá trình diễn theo bước sau: - Bob nhận chữ kí có kèm timestamp Alice cần xác nhận - Bob tách timestamp khỏi chữ kí Alice Anh xác minh chữ kí TSA khóa cơng khai TSA (mà anh có chứng TSA anh tin tưởng) Sau Bob thu timestamp t, kết băm “0010…01011” - Bob cho chữ kí Alice (data) qua hàm băm H1 để thu “XXXX… XXXXX” - Bob sau gắn “XXXX…XXXXX” vừa thu với timestamp t cho qua hàm băm H2 để thu “YYYY…YYYYY” - Bob so sánh chấp nhận chữ kí Alice kí trước thời điểm ghi timestamp “YYYY…YYYYY” = “0010…01011” (là kết băm mà anh thu bước 2) Ta nói rõ ý nghĩa việc “YYYY…YYYYY” = “0010…01011” Bob lại đồng ý Việc YYYY…YYYYY” = “0010…01011” chứng tỏ điều: “XXXX…XXXXX” = “1011…10101” – kết băm hàm băm H1 kí Alice lúc cô gửi lên cho TSA timestamp kèm TSA cung cấp timestamp dùng để tính kết băm “0010…01011” bên phía TSA vào thời điểm ghi timestamp “XXXX…XXXXX” = “1011…10101” HẠ TẦNG KHĨA CƠNG KHAI PKI chứng tỏ chữ kí Alice tay Bob lúc đối tượng mà TSA đóng dấu chứng thực thời gian lên thời điểm ghi timestamp Do mà Bob có sở vững để tin chữ kí Alice kí trước thời điểm timestamp Và vậy, TSA hoàn thành nhiệm vụ Quá trình xác minh timestamp e LDAP: LDAP khơng phải dịch vụ ,nó giao thức thuộc tầng ứng dụng , cho phép ta quản lý thư mục, xếp thư mục theo trình tự định nhằm thuận lợi việc lưu trữ kiểm soát liệu CA đổ vào ta hiểu LDAP quản lý thư mục chứa thông tin Cert khách hàng sau CA cấp: gồm trường cn, ou, u , v.v cuối cert cấp HẠ TẦNG KHĨA CƠNG KHAI PKI Hình 3: quản trị LDAP LDAP Admin f DB: Là nơi lưu trữ sở liệu khách hàng sử dụng dịch vụ, có DB Một dành cho OCSP dành cho CA Trên DB OCSP lưu trữ bảng CertificateData ProtectedTableDaTa nhằm phục vụ cho việc check trạng thái chứng thư Để đảm bảo tính sẵn sàng phục vụ an tồn cho hệ thống, DB1 DB2 , DB3 DB4 cấu hình cluster với nhau, thực việc đồng liệu backup liệu định kì Để hệ thống đơn giản gọn dễ quản trị sử dụng LDAP làm DB thay cho DB HẠ TẦNG KHĨA CƠNG KHAI PKI Khi cấu hình DB cluster DB (LDAP) dùng OCSP đóng vai trò làm Management quản lí DB trên, DB đóng vai trò làm NodeData, ApiData III Tài liệu tham khảo - EJBCA.org - Slide An ninh mạng PGS Nguyễn Linh Giang - Một số tài liệu hạ tầng khóa công khai mạng  ... Infrastructure (PKI- Hạ tâng khóa cơng khai) Hiện nước ta triển khai PKI giao dịch ngân hàng, kê khai thuế phủ điện tử, phải kể đến nhà cung cấp BKAV, VDC v.v HẠ TẦNG KHĨA CƠNG KHAI PKI MỤC LỤC I... ĐƯỢC CHỨC NĂNG, HOẠT ĐỘNG, CÁCH TRIỂN KHAI TRONG THỰC TẾ CỦA HẠ TẦNG KHĨA CƠNG KHAI PKI II Nội dung A CẤU TRÚC HẠ TẦNG KHĨA CƠNG KHAI : Khái niệm PKI : PKI viết tắt “Public Key Infrastructure”... khóa để mã hóa giải mã thơng tin Cặp khóa khóa cơng khai (public key) khóa bí mật (private key) Khi thơng tin mã hóa khóa cơng khai dùng khóa bí mật tương ứng để giải mã ngược lại Khóa cơng khai