Trong những năm gần đây, mạng internet phát triển mạnh cùng với việc chiasẻ thông tin, lan truyền tập tin trên mạng. Nhưng môi trường mạng internet là môitrường hỗn hợp của nhiều mạng, nhiều loại thông tin. Do vậy, vấn đề bản quyềnthông tin, xác định nguồn của thông tin. Chữ ký điện tử còn khá mới, chỉ đượctriển khai ở một số ít các doanh nghiệp tư, cơ quan hải quan, cơ quan thuế củaChính phủ, mới chỉ được áp dụng trên tập tin văn bản, tập tin ảnh số. Trong tiểu luận này, em tập trung trình bày những kiến thức cơ bản nhất vềđặc trưng chứng chỉ số X.509 và ứng dụng chữ ký số .
MỤC LỤC LỜI MỞ ĐẦU…………………………………………………………………… I CHỮ KÝ ĐIỆN TỬ…………………………………………………………….3 1.1 Tạo chữ ký điện tử……….……………………………………………….3 1.2 Kiểm tra chữ ký điện tử………………………………………………….4 II CHỨNG NHẬN ĐIỆN TỬ VÀ CHỨNG CHỈ X.509.………………………6 2.1 Tạo chứng nhận………………………………………………………… 2.2 Kiểm tra chứng nhận…………………………………………………… 2.3 Dịch vụ xác thực X.509……………………………………………………9 2.4 Các X.509…………………………………………………….9 chứng nhận 2.5 Chuẩn X.509 (Ver 3.0)………………………………………………… 10 2.6 Các mở rộng xác thực (Certificate Extensions)……………………… 11 III CÁC THỦ TỤC XÁC THỰC TRONG X.509 (AUTHENTICATION PROCEDURES)…………………………………………………………………13 3.1 Xác thực chiều X.509………………………………………… 13 3.1 Xác thực X.509………………………………………….15 hai chiều 3.1 Xác thực X.509………………………………………… 16 ba chiều IV HỆ THỐNG CẤP CHỨNG CHỈ (CERTIFICATE AUTHORITY SYSTEM)……………………………………………………………………… 17 KẾT LUẬN………………………………………………………………………19 LỜI MỞ ĐẦU Trong năm gần đây, mạng internet phát triển mạnh với việc chia sẻ thông tin, lan truyền tập tin mạng Nhưng môi trường mạng internet môi trường hỗn hợp nhiều mạng, nhiều loại thông tin Do vậy, vấn đề quyền thông tin, xác định nguồn thơng tin Chữ ký điện tử mới, triển khai số doanh nghiệp tư, quan hải quan, quan thuế Chính phủ, áp dụng tập tin văn bản, tập tin ảnh số Trong tiểu luận này, em tập trung trình bày kiến thức đặc trưng chứng số X.509 ứng dụng chữ ký số Với thời gian tìm hiểu kiến thức hạn chế nên đề tài khó tránh khỏi thiếu sót Chúng em mong góp ý thầy Em xin chân thành cảm ơn! I CHỮ KÝ ĐIỆN TỬ Ngày với phát triển bùng nổ công nghệ thông tin, hầu hết thông tin tất cá nhân, tâp thể lưu trữ hệ thống máy tính Cùng với phát triển xã hội, cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua Internet Chính điều mang lại lợi ích to lớn cho việc chia sẻ tài nguyên, kết nối tổ chức Việc mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng nhiểu yếu tố khác Chính cơng tác an toàn bảo mật ngày trở nên quan trọng cần thiết Trong giới số, có cách để xác thực người mức độ tin cậy thơng tin máy tính Một Pass Card (Thẻ thông hành) mà nước ta chưa phổ biến Hai Password, cách sử dụng tên truy nhập (User Name) mật (Password) cung cấp cho Form đăng nhập xác thực thông tin Thứ ba, dùng Digital Signature (chữ ký điện tử) để tiết kiệm thời gian, tiền bạc Chữ ký điện tử phương thức để đảm bảo xác thực tài liệu điện tử (Email, File text, bảng tính ) Chuẩn chữ ký điện tử DSS (Digital Signature Standard) tiêu chuẩn dựa dạng phương pháp mã hóa khóa cơng khai sử dụng thuật toán DSA (Digital Signature Algorithm), định dạng cho chữ ký điện tử chứng thực phủ Mỹ Thuật tốn DSA gồm có khóa riêng (Private Key) biết người chủ tài liệu khóa cơng khai (Public Key) mà cần biết 1.1 Tạo chữ ký điện tử Để tạo chữ ký điện tử, liệu bạn lấy vài dòng, gọi thơng báo tóm tắt, tiến trình gọi “kỹ thuật băm” (hashing), bảng thơng báo tóm tắt này, kết hợp với khóa bí mật tạo thành chữ ký điện tử Cuối cùng, chữ ký điện tử nàysẽ gắn vào văn truyền Các bước mã hóa: Dùng giải thuật băm để thay đổi thông điệp cần truyền Kết ta message digest Dùng giải thuật MD5 (Message Digest 5) ta digest có chiều dài 128-bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160-bit Sử dụng khóa private key người gửi để mã hóa message digest thu bước Thông thường bước ta dùng giải thuật RSA Kết thu gọi digital signature message ban đầu Gộp digital signature vào message ban đầu Công việc gọi “ký nhận” vào message Sau ký nhận vào message, thay đổi message bị phát giai đoạn kiểm tra Ngoài ra, việc ký nhận đảm bảo người nhận tin tưởng message xuất phát từ người gửi khác 1.2 Kiểm tra chữ ký điện tử Dùng public key người gửi (khóa thơng báo đến người) để giải mã chữ ký số message Dùng giải thuật (MD5 SHA) băm message đính kèm So sánh kết thu bước Nếu trùng nhau, ta kết luận message khơng bị thay đổi q trình truyền message người gửi Để cho ăn hơn, tránh tình trạng người khác làm giả chữ ký để đánh lừa người nhận, bạn xin chứng điện tử (Digital Certificate) quan có thẩm quyền để chứng thực cho Public Key bạn Để xác định xác tính trung thực văn II CHỨNG NHẬN ĐIỆN TỬ VÀ CHỨNG CHỈ X.509 Chứng nhận điện tử chứng thực sở hữu khóa cơng khai Xác thực Khi bạn gửi thông tin kèm chứng số, người nhận - đối tác kinh doanh, tổ chức quan quyền - xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn, qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận biết chắn bạn khơng phải người khác Xác thực tính quan trọng việc thực giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây tảng Chính phủ điện tử , mơi trường cho phép cơng dân giao tiếp, thực cơng việc hành với quan nhà nước hồn tồn qua mạng Có thể nói, chứng số phần thiếu, phần cốt lõi Chính phủ điện tử 2.1 Tạo chứng nhận Các bước mã hoá: Bước 1: dùng giải thuật băm để thay đổi thông điệp cần truyền kết ta message digest Dùng giải thuật MD5 (message digest 5) ta digest có chiều dài 128 bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160 bit Bước 2: sử dụng khóa private key người gửi để mã hóa message digest thu bước Thông thường bước dùng giải thuật RSA ( hay DSA, RC2, 3DES, …) Kết thu gọi digital signature thông điệp ban đầu Bước 3: sử dụng public key người nhận để mã hố thơng tin cần gửi Bước 4: Gộp digital signature vào message mã hố gửi Như sau kí nhận digital signature vào message mã hoá, thay đổi message bị phát giai đoạn kiểm tra Ngồi ra, việc kí nhận đảm bảo người nhận tin tưởng message xuất phát từ người gửi khác 2.2 Kiểm tra chứng nhận Các bước kiểm tra: Bước 1: người nhận dùng private key để giải mã thông tin nhận gồm phần: phần message phần chữ ký người gửi Bước 2: dùng public key người gửi (khố thơng báo đến người ) để giải mã chữ ký số message, ta message digest Bước 3: dùng giải thuật MD5 ( SHA) băm message đính kèm ta có message digest Bước 4: So sánh kết thu bước trùng nhau, ta kết luận message khơng bị thay đổi q trình truyền message người gửi 2.3 Dịch vụ xác thực X.509 Dịch vụ xác thực X.509 định dạng chứng sử dụng phổ biến hầu hết nhà cung cấp sản phầm PKI triển khai Chứng khóa cơng khai X.509 Hội viễn thông quốc tế (ITU) đưa lần vào năm 1998 phận dịch vụ thư mục X.500 Chứng gồm phần Phần đầu trường cần thiết phải có chứng Phần thứ hai chứa thêm số trường phụ, trường phụ gọi trường mở rộng dùng để xác định đáp ứng yêu cầu bổ sung hệ thống ITU-T ban hành phiên chứng thư số X.509 với lần sửa đổi bổ sung 2.4 Các chứng nhận X.509 Được phát hành chủ quyền chứng nhận (Certification Authority – CA) bao gồm: Các phiên 1,2 Số loạt phát hành CA chứng nhận Thuật toán xác định chữ ký Xuất tên X.500 (CA) Chu kỳ hiệu lực (từ-đến ngày) Đối tượng tên X.500 (tên người sở hữu) Đối tượng thơng tin khố cơng khai (thuật tốn, tham số,khố) Định danh xuất (phiên 2+) Định danh đối tượng (phiên 2+) Các trường mở rộng (phiên 3) Chữ ký (hoặc hash trường chứng nhận) Đây phiên cập nhật ITU-T khuôn dạng chuẩn cho trường mở rộng chứng thư số (X.509 v3) Trường bản: có trường bản, nhiên ITU-T khuyến nghị nên sử dụng truờng trường bắt buộc phải có tất chứng thư số 10 Trường mở rộng: Tài liệu liệt kê 16 trường mở rộng có thê sử dụng chứng thư số 2.5Chuẩn X.509 (Ver 3.0) Version: Xác định số phiên chứng nhận X.509 Serial Number: Số loạt phát hành gán CA Mỗi CA nên gán mã số loạt cho giấy chứng nhận mà phát hành Signature Algorithm: Thuật tốn chữ ký rõ thuật tốn mã hóa CA sử dụng để ký giấy chứng nhận Trong chứng nhận X.509 thường kết hợp thuật toán băm (chẳng hạn MD5) thuật tốn khóa cơng cộng (chẳng hạn RSA) Issuer Name: 11 Tên tổ chức CA cấp ký chứng Validity Period: gồm hai giá trị định khoảng thời gian mà giấy chứng nhận có hiệu lực: not-before not-after Not-before: thời gian chứng nhận bắt đầu có hiệu lực Not-after: thời gian chứng nhận hết hiệu lực Các giá trị thời gian đo theo chuẩn thời gian Quốc tế, xác đến giây Subject Name: Xác định thực thể mà khóa cơng khai thực thể xác nhận Tên Subject phải thực thể CA xác nhận Public Key: chứa khóa cơng khai tham số liên quan; xác định thuật toán (RSA hay DSA) sử dụng với khóa Issuer Unique ID: trường không bắt buộc, trường cho phép sử dụng lại tên người cấp Trường sử dụng triển khai thực tế Subject Unique ID: trường tùy chọn cho phép sử dụng lại tên subject hạn Trường sử dụng Entensions: có chứng nhận v.3 Signature: chữ ký điện tử tổ chức CA áp dụng Tổ chức CA sử dụng khóa bí mật có kiểu quy định trường thuật tốn chữ ký Chữ ký bao gồm tất phần khác giấy chứng nhận CA chứng nhận cho tất thông tin khác giấy chứng nhận khơng cho tên chủ thể khóa công cộng 2.6Các mở rộng xác thực (Certificate Extensions) Authority Key Identifier Subject Key Identifier Key Usage 12 Extended Key Usage CRL Distribution Point Private Key Usage Period Certificate Policies Policy Mappings Subject Alternative Name Issuer Alternative Name Subject Directory Attributes Basic Constraints Field Path Length Constraint Name Constrainsts Policy Constraints Phần mở rộng thơng tin thuộc tính cần thiết đưa vào để gắn thuộc tính với người sử dụng hay khóa cơng khai Những thơng tin phần mở rộng thường dùng để quản lý xác thực phân cấp, sách chứng chỉ, thơng tin chứng bị thu hồi … Nó sử dụng để định nghĩa phần mở rộng riêng chứa thông tin đặc trưng cho cộng đồng định Mỗi trường mở rộng chứng thiết kế với cờ “critical” “uncritical” (phê bình, đánh giá) Authority Key Identifier (nhận dạng quyền hạn khóa) Subject Key Identifier(nhận dạng đối tượng khóa) Key Usage (cách sử dụng khóa) Extended Key Usage(mở rộng việc sử dụng khóa) CRL Distribution Point (điểm xếp vị trí CRL) Private Key Usage Period (thời gian, thời kỳ việc sử dụng khóa chính) Althernative (có thể thay cho vật khác, khác) 13 III CÁC THỦ TỤC XÁC THỰC TRONG X.509 (AUTHENTICATION PROCEDURES) X.509 bao gồm ba thủ tục xác thực tùy chọn: Xác thực chiều Xác thực hai chiều Xác thực ba chiều Mọi thủ tục sử dụng chữ ký khố cơng khai X.509 bao gồm ba quy trình xác thực thay dự định sử dụng nhiều ứng dụng khác nhau, sử dụng lấy sử dụng chứng chiều cho tin nhắn chiều (như email), chiều cho phiên tương tác sử dụng dấu thời gian, chiều cho phiên tương tác không cần dấu thời gian (và đồng hồ đồng hóa) 3.1 Xác thực chiều X.509 Một chiều A->B sử dụng để thiết lập Danh tính A mẩu tin từ A Mẩu tin gửi cho B Tính toàn vẹn gốc gác mẩu tin Là giao thức xác thực, sử dụng tin nhắn đơn để gửi máy Phương thức đại điện cho việc xác thực đơn giản, đòi hỏi có tin nhắn gửi người sử dụng, cho phép người thứ xác minh danh tính người gửi, xác minh người nhận, cuối xác minh thông tin không bị thay đổi đường truyền 14 Xác thực chiều liên quan đến lần chuyển thông tin từ người dùng (A) sang người khác (B) thiết lập chi tiết hiển thị Lưu ý có danh tính thực thể khởi tạo xác minh quy trình này, khơng phải danh tính thực thể phản hồi Tối thiểu, tin nhắn bao gồm timestamp, số khơng danh tính B ký khóa riêng A lề Thơng báo bao gồm thơng tin cần truyền đạt, chẳng hạn khóa phiên cho B Dấu thời gian (timestamp) Timestamp thời gian mà kiện ghi lại máy tính Timestamp giá trị biểu thị dạng mi li giây, giá trị thời gian lấy thời điểm mà thao tác máy tính xảy Một dấu thời gian thời gian kiện ghi lại máy tính Thơng qua chế như: Thời Network Protocol (NTP), máy tính trì xác thời, kiểm định để phân số phút giây Như độ xác làm cho cho máy tính nối mạng ứng dụng giao tiếp hiệu Cơ chế "một dấu thời gian sử dụng cho nhiều mục đích đồng bộ, chẳng hạn gán lệnh cho chuỗi nhiều kiện giao dịch để không xảy giao dịch voided Một cách khác dấu thời gian sử dụng để ghi lại thời gian quan hệ với điểm bắt đầu cụ thể Trong điện thoại IP, ví dụ, Real-time Transport Protocol (RTP) gán timestamps để gói tiếng nói s để họ đệm ed người nhận, reassembled, giao hàng mà khơng có lỗi Khi viết chương trình, lập trình thường cung cấp giao diện chương trình ứng dụng cho dấu thời gian mà hệ điều hành cung cấp trình thực chương trình Chỉ có phía xác thực, phía bên tin tưởng Client xác thực với server mà không cần ngược lại 15 3.2 Xác thực hai chiều X.509 Hai mẩu tin A->B B->A thiết lập bao gồm: Ngồi mẩu tin từ A->B có: Danh tính B trả lời từ B Trả lời dành cho A Tính toàn vẹn gốc gác trả lời Là phương thức mở rộng phương thức chiều, phương pháp có thêm tin nhắn từ người nhận trả người gửi Thông tin cho người gửi biết người sử dụng thứ chủ sở hữu khóa public sử dụng để mã hóa thơng báo ban đầu Người nhận biết tin nhắn người A gửi cho xác minh đưojc cách sử dụng khóa riêng người gửi Do đó, xác thực hai chiều cho phép hai bên giao tiếp xác minh danh tính bên kia, thiết lập chi tiết Tin nhắn trả lời bao gồm số không từ A, để xác nhận trả lời Nó bao gồm dấu thời gian nonce B tạo thơng tin bổ sung có cho A Hai mẩu tin A->B B->A thiết lập, mẩu tin từ A đến B có: - Danh tính B trả lời từ B - Trả lời dành cho A - Tính tồn vẹn gốc gác trả lời Trả lời bao gồm ký hiệu đặc trưng mẩu tin (nonce) từ A, nhãn thời gian ký hiệu đặc trưng trả lời từ B Có thể bao gồm số thông tin bổ sung cho A 16 trả lời cho phép người sử dụng để xác minh người sử dụng thứ hai chủ sở hữu khoá puplic sử dụng để mã hóa thơng báo ban đầu người sử dụng thứ hai biết tin nhắn dự định cho xác minh cách sử dụng khóa riêng người sử dụng 3.3 Xác thực ba chiều X.509 Ba mẩu tin A->B, B->A A->B thiết lập mà khơng có đồng hồ đồng bộ: Được trả lời lại từ A đến B chứa nonce trả lời từ B Nghĩa nhãn thời gian không cần kiểm tra dựa Khi bạn khơng đảm bảo đồng hồ đồng máy chủ đồng hóa, bạn sử dụng phương thức chiều này, phương pháp này, tin nhắn trả lời thứ chứa timestamps từ người người gửi thêm vào để trao đổi Tin nhắn gửi để xác minh tin timestamps tin nhắn khác hợp lệ Bằng tin nhắn trờ lại với timestamps cuối cùng, người nhận xác minh tất tin nhắn gửi hợp lệ an tồn timestamp logic thời gian Nếu timestamps khơng đứng logic người dùng nghi ngờ vấn đề đường truyền Xác thực ba chiều bao gồm thông báo cuối từ A đến B, có có chữ ký nonce, khơng cần kiểm tra dấu thời gian, để sử dụng đồng hồ không đồng hóa 17 IV HỆ THỐNG CẤP CHỨNG CHỈ (CERTIFICATE AUTHORITY SYSTEM Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số Có số mơ hình tin cậy áp dụng ho?c c xu?t s? d?ng hệ thống mã khố cơng khai - PKI dựa X.509: - Single CA Model (mơ hình CA đơn) - Hierarchical Model (Mơ hình phân cấp ) - Mesh Model (Mơ hình m?t lu?i – mơ hình xác thựcc chéo) - Hub and Spoke (Bridge CA) Model (Mô hình c?u CA) - Web Model (Trust Lists) (Mơ hình web) - User Centric Model (Mơ hình nguời sử dụng trung tâm ) 18 19 KẾT LUẬN Trước phát triển mạnh mẽ cơng nghệ thơng tin nhu cầu cho phiên giao dịch trao đổi thông tin điện tử cần bảo mật ngày tăng nên sinh vấn đề an toàn như: bảo mật, tính tồn vẹn, xác thực, khơng chối bỏ Do vậy, để bảo mật thông tin truyền Internet xu hướng mã hóa sử dụng thường xuyên Trước truyền qua Intenet, thông tin phải mã hóa, kẻ trộm có chặn thơng tin q trình truyền khơng thể đọc nội dung thơng tin mã hóa Khi tới đích, thơng tin người nhận giải mã 20 Là sinh viên chuyên ngành an tồn thơng tin, chúng em cần tích cực học hỏi trao dồi thêm nhiều kiến thức để góp phần vào công phát triển thời đại này, đưa thêm nhiều ý tưởng công nghệ mới, biện pháp để cải thiện phát triển công nghệ nước nhà 21 ... có thê sử dụng chứng thư số 2.5Chuẩn X.509 (Ver 3.0) Version: Xác định số phiên chứng nhận X.509 Serial Number: Số loạt phát hành gán CA Mỗi CA nên gán mã số loạt cho giấy chứng nhận mà phát... phiên chứng thư số X.509 với lần sửa đổi bổ sung 2.4 Các chứng nhận X.509 Được phát hành chủ quyền chứng nhận (Certification Authority – CA) bao gồm: Các phiên 1,2 Số loạt phát hành CA chứng. .. xin chứng điện tử (Digital Certificate) quan có thẩm quyền để chứng thực cho Public Key bạn Để xác định xác tính trung thực văn II CHỨNG NHẬN ĐIỆN TỬ VÀ CHỨNG CHỈ X.509 Chứng nhận điện tử chứng