ATMMT ATMMT - - TNNQ TNNQ 15 15 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan Đ Đ ể ể tri tri ể ể n khai c n khai c á á c c gi gi ả ả i i thu thu ậ ậ t mã h t mã h ó ó a trong c a trong c á á c c ứ ứ ng d ng d ụ ụ ng ng m m ạ ạ ng, c ng, c ầ ầ n m n m ộ ộ t c t c á á ch đ ch đ ể ể phân ph phân ph ố ố i i c c á á c c kh kh ó ó a b a b í í m m ậ ậ t s t s ử ử d d ụ ụ ng c ng c á á c m c m ạ ạ ng m ng m ở ở . M . M ậ ậ t mã kho t mã kho á á công khai l công khai l à à c c á á ch t ch t ố ố t t nh nh ấ ấ t đ t đ ể ể phân ph phân ph ố ố i c i c á á c kh c kh ó ó a b a b í í m m ậ ậ t t n n à à y y . . Đ Đ ể ể s s ử ử d d ụ ụ ng m ng m ậ ậ t mã kho t mã kho á á công khai, c công khai, c ầ ầ n ph n ph ả ả i xây d i xây d ự ự ng ng m m ộ ộ t cơ s t cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai ( công khai ( Public Public - - key key infrastructure infrastructure - - PKI) PKI) đ đ ể ể h h ỗ ỗ tr tr ợ ợ v v à à qu qu ả ả n lý n lý c c á á c c ch ch ứ ứ ng ng ch ch ỉ ỉ kho kho á á công khai. công khai. PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thông tin từ các chứng chỉ khóa công khai để mã hóa và giải mã thông tin trong quá trình trao đổi. ATMMT ATMMT - - TNNQ TNNQ 16 16 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan ATMMT ATMMT - - TNNQ TNNQ 17 17 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan ATMMT ATMMT - - TNNQ TNNQ 18 18 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan Thông thường, PKI bao gồm phần mềm máy khách (client), phần mềm máy chủ (server), phần cứng (như thẻ thông minh) và các quy trình hoạt động liên quan. Người sử dụng cũng có thể ký các văn bản điện tử với khóa bí mậtcủa mình và mọi người đều có thể kiểm tra với khóa công khai của người đó. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹnvàxác thựclẫn nhau mà không cần phải trao đổi các thông tin mật từ trước. H H ệ ệ đi đi ề ề u h u h à à nh Windows XP v nh Windows XP v à à Windows Server đ Windows Server đ ề ề u h u h ỗ ỗ tr tr ợ ợ cho PKI. cho PKI. ATMMT ATMMT - - TNNQ TNNQ 19 19 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan C C á á c c PKI th PKI th ự ự c hi c hi ệ ệ n c n c á á c ch c ch ứ ứ c năng sau c năng sau : : X X á á c đ c đ ị ị nh t nh t í í nh h nh h ợ ợ p ph p ph á á p c p c ủ ủ a ngư a ngư ờ ờ i s i s ử ử d d ụ ụ ng trư ng trư ớ ớ c khi c c khi c ấ ấ p p ch ch ứ ứ ng ng ch ch ỉ ỉ kho kho á á công khai công khai (public (public - - key certificate) key certificate) cho h cho h ọ ọ . . Ph Ph á á t h t h à à nh ch nh ch ứ ứ ng ch ng ch ỉ ỉ kho kho á á công khai theo yêu c công khai theo yêu c ầ ầ u c u c ủ ủ a a ngư ngư ờ ờ i d i d ù ù ng. ng. Gia h Gia h ạ ạ n th n th ờ ờ i gian h i gian h ợ ợ p l p l ệ ệ c c ủ ủ a a ch ch ứ ứ ng ng ch ch ỉ ỉ khi khi c c ó ó yêu c yêu c ầ ầ u. u. Thu h Thu h ồ ồ i ch i ch ứ ứ ng ng ch ch ỉ ỉ kho kho á á công khai theo yêu c công khai theo yêu c ầ ầ u c u c ủ ủ a ngư a ngư ờ ờ i i s s ử ử d d ụ ụ ng ho ng ho ặ ặ c khi c c khi c á á c c kh kh ó ó a a riêng không còn an to riêng không còn an to à à n n . . Lưu tr Lưu tr ữ ữ v v à à qu qu ả ả n lý n lý c c á á c ch c ch ứ ứ ng ch ng ch ỉ ỉ kho kho á á công khai. công khai. Ngăn ch Ngăn ch ặ ặ n ngư n ngư ờ ờ i ký ch i ký ch ữ ữ ký s ký s ố ố ph ph ủ ủ nh nh ậ ậ n ch n ch ữ ữ ký c ký c ủ ủ a h a h ọ ọ . . H H ỗ ỗ tr tr ợ ợ vi vi ệ ệ c c cho ph cho ph é é p c p c á á c CA kh c CA kh á á c c ch ch ứ ứ ng ng th th ự ự c ch c ch ứ ứ ng ng ch ch ỉ ỉ kho kho á á công khai công khai ph ph á á t h t h à à nh b nh b ở ở i c i c á á c CA c CA n n à à y. y. ATMMT ATMMT - - TNNQ TNNQ 20 20 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan H H ầ ầ u h u h ế ế t c t c á á c h c h ệ ệ th th ố ố ng PKI quy mô doanh nghi ng PKI quy mô doanh nghi ệ ệ p đ p đ ề ề u d u d ự ự a a trên c trên c á á c chu c chu ỗ ỗ i i ch ch ứ ứ ng th ng th ự ự c c đ đ ể ể x x á á c th c th ự ự c c c c á á c th c th ự ự c th c th ể ể . Ch . Ch ứ ứ ng ng th th ự ự c c c c ủ ủ a ngư a ngư ờ ờ i d i d ù ù ng s ng s ẽ ẽ đư đư ợ ợ c m c m ộ ộ t nh t nh à à cung c cung c ấ ấ p ch p ch ứ ứ ng ng th th ự ự c s c s ố ố c c ấ ấ p, p, đ đ ế ế n lư n lư ợ ợ t nh t nh à à cung c cung c ấ ấ p n p n à à y l y l ạ ạ i c i c ó ó ch ch ứ ứ ng th ng th ự ự c c đư đư ợ ợ c m c m ộ ộ t nh t nh à à cung c cung c ấ ấ p kh p kh á á c c ở ở c c ấ ấ p cao hơn t p cao hơn t ạ ạ o ra . H o ra . H ệ ệ th th ố ố ng s ng s ẽ ẽ bao g bao g ồ ồ m nhi m nhi ề ề u m u m á á y t y t í í nh thu nh thu ộ ộ c nhi c nhi ề ề u t u t ổ ổ ch ch ứ ứ c kh c kh á á c c nhau v nhau v ớ ớ i c i c á á c c g g ó ó i ph i ph ầ ầ n m n m ề ề m m tương th tương th í í ch t ch t ừ ừ nhi nhi ề ề u ngu u ngu ồ ồ n n kh kh á á c nhau. c nhau. C C á á c h c h ệ ệ th th ố ố ng PKI doanh nghi ng PKI doanh nghi ệ ệ p thư p thư ờ ờ ng đư ng đư ợ ợ c t c t ổ ổ ch ch ứ ứ c theo c theo mô h mô h ì ì nh danh b nh danh b ạ ạ trong đ trong đ ó ó kh kh ó ó a công khai c a công khai c ủ ủ a m a m ỗ ỗ i ngư i ngư ờ ờ i i d d ù ù ng đư ng đư ợ ợ c lưu tr c lưu tr ữ ữ (bên trong c (bên trong c á á c ch c ch ứ ứ ng ch ng ch ỉ ỉ s s ố ố ) k ) k è è m v m v ớ ớ i i c c á á c thông tin c c thông tin c á á nhân (s nhân (s ố ố đi đi ệ ệ n tho n tho ạ ạ i, i, email, email, đ đ ị ị a ch a ch ỉ ỉ , , nơi l nơi l à à m m vi vi ệ ệ c .). Hi c .). Hi ệ ệ n nay, công ngh n nay, công ngh ệ ệ danh b danh b ạ ạ tiên ti tiên ti ế ế n nh n nh ấ ấ t l t l à à LDAP LDAP v v à à đ đ ị ị nh d nh d ạ ạ ng ch ng ch ứ ứ ng th ng th ự ự c ph c ph ổ ổ bi bi ế ế n nh n nh ấ ấ t ( t ( X.509 X.509 ) c ) c ũ ũ ng đư ng đư ợ ợ c c ph ph á á t tri t tri ể ể n t n t ừ ừ mô h mô h ì ì nh ti nh ti ề ề n nhi n nhi ệ ệ m c m c ủ ủ a LDAP ( a LDAP ( X.500 X.500 ). ). ATMMT ATMMT - - TNNQ TNNQ 21 21 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai T T ổ ổ ng quan ng quan Danh s Danh s á á ch m ch m ộ ộ t s t s ố ố h h ệ ệ th th ố ố ng PKI: ng PKI: – – Computer Associates eTrust PKI Computer Associates eTrust PKI – – Entrust Entrust – – Microsoft Microsoft – – VeriSign VeriSign – – Nexus Nexus – – OpenCA OpenCA – – RSA Security RSA Security – – … … ATMMT ATMMT - - TNNQ TNNQ 22 22 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai VeriSign VeriSign VeriSign VeriSign ® ® l l à à thương hi thương hi ệ ệ u uy t u uy t í í n nh n nh ấ ấ t trên to t trên to à à n th n th ế ế gi gi ớ ớ i i hi hi ệ ệ n nay trong l n nay trong l ĩ ĩ nh v nh v ự ự c cung c c cung c ấ ấ p ch p ch ứ ứ ng ch ng ch ỉ ỉ s s ố ố . . VeriSign hi VeriSign hi ệ ệ n đang b n đang b ả ả o m o m ậ ậ t cho hơn t cho hơn 1,000,000 m 1,000,000 m á á y ch y ch ủ ủ Web trên to Web trên to à à n th n th ế ế gi gi ớ ớ i. i. Hơn Hơn 40 ngân h 40 ngân h à à ng l ng l ớ ớ n nh n nh ấ ấ t th t th ế ế gi gi ớ ớ i v i v à à hơn hơn 95% trong s 95% trong s ố ố c c á á c công ty h c công ty h à à ng đ ng đ ầ ầ u th u th ế ế gi gi ớ ớ i theo danh s i theo danh s á á ch c ch c ủ ủ a a Fortune 500 l Fortune 500 l ự ự a ch a ch ọ ọ n ch n ch ứ ứ ng ch ng ch ỉ ỉ s s ố ố SSL cung c SSL cung c ấ ấ p b p b ở ở i i Verisign. Verisign. Hơn Hơn 90,000 tên mi 90,000 tên mi ề ề n t n t ạ ạ i 145 qu i 145 qu ố ố c gia hi c gia hi ể ể n th n th ị ị logo logo VeriSign Secured VeriSign Secured ® ® Seal Seal , d , d ấ ấ u hi u hi ệ ệ u đư u đư ợ ợ c tin c c tin c ậ ậ y nh y nh ấ ấ t t trên Internet. trên Internet. ATMMT ATMMT - - TNNQ TNNQ 23 23 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai VeriSign VeriSign VeriSign s VeriSign s ử ử d d ụ ụ ng gi ng gi ả ả i thu i thu ậ ậ t mã h t mã h ó ó a SSL a SSL m m ạ ạ nh m nh m ẽ ẽ nh nh ấ ấ t: t: Gi Gi ả ả i thu i thu ậ ậ t mã h t mã h ó ó a cao c a cao c ấ ấ p t p t ừ ừ 128 bits, an to 128 bits, an to à à n n g g ấ ấ p 288 l p 288 l ầ ầ n so v n so v ớ ớ i gi i gi ả ả i thu i thu ậ ậ t mã h t mã h ó ó a 40 bits. a 40 bits. Ch Ch ứ ứ ng ch ng ch ỉ ỉ s s ố ố VeriSign cho ph VeriSign cho ph é é p d p d ữ ữ li li ệ ệ u trao đ u trao đ ổ ổ i i gi gi ữ ữ a ngư a ngư ờ ờ i d i d ù ù ng v ng v à à website đư website đư ợ ợ c mã h c mã h ó ó a t a t ừ ừ 40 40 - - 256 bits. 256 bits. ATMMT ATMMT - - TNNQ TNNQ 24 24 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai VeriSign VeriSign [...]... (RA): có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ – Repository: có trách nhiệm lưu trữ, quản lý chứng chỉ và danh sách các chứng chỉ bị thu hồi bởi CA ATMMT - TNNQ 26 2 Cơ sở hạ tầng khoá công khai X.509 Kiến trúc PKIX ATMMT - TNNQ 27 2 Cơ sở hạ tầng khoá công khai X.509 Kiến trúc PKIX ATMMT - TNNQ 28 2 Cơ sở hạ tầng khoá công khai X.509 Các giao dịch giữa người dùng, RA, CA và kho:... sử dụng cùng với khoá 8 Extension: cung cấp thêm một số thông tin 9 Properties: cho giá trị của hàm băm của chứng chỉ ATMMT - TNNQ 32 2 Cơ sở hạ tầng khoá công khai X.509 ATMMT - TNNQ 33 2 Cơ sở hạ tầng khoá công khai X.509 ATMMT - TNNQ 34 2 Cơ sở hạ tầng khoá công khai X.509 ATMMT - TNNQ 35 ... và giải thuật mã hoá khoá công khai dùng để sinh ra chữ ký cho chứng chỉ Ví dụ: sha1RSA ATMMT - TNNQ 31 2 Cơ sở hạ tầng khoá công khai X.509 4 Issuer: tổ chức phát hành (CA ký và cấp chứng chỉ) 5 Validity period: thời hạn hiệu lực của chứng chỉ 6 Subject: tên chủ sở hữu của chứng chỉ 7 Public key: chứa khoá công khai và những tham số liên quan; xác định thuật toán sử dụng cùng với khoá 8 Extension: cung...2 Cơ sở hạ tầng khoá công khai VeriSign ATMMT - TNNQ 25 2 Cơ sở hạ tầng khoá công khai X.509 Được thành lập theo các tiêu chuẩn ngành viễn thông của Liên minh Viễn thông Quốc tế (ITU) năm 1988 Thường được gọi tắt là PKIX, gồm 4 phần cơ bản: – End entity: là người dùng chứng chỉ hoặc thiết bị (server, router) có hỗ trợ... tên/địa chỉ 7 Chứng chỉ chéo: Các CA có thể chứng thực cho các chứng chỉ được phát hành bởi CA khác ATMMT - TNNQ 29 2 Cơ sở hạ tầng khoá công khai X.509 User A: X W V Z User B: Z Y V W X ATMMT - TNNQ 30 2 Cơ sở hạ tầng khoá công khai X.509 Các định dạng của chứng chỉ X.509: – X.509 version 1 được phát hành năm 1988 – X.509 version 2 không được... họ 2 Khởi tạo: Người sử dụng có được thông tin ban đầu, bao gồm khóa công khai của CA và RA, các giải thuật chữ ký 3 Chứng chỉ được phát hành: CA hoặc RA phát hành chứng chỉ trong kho lưu trữ cho người dùng 4 Phục hồi khoá: CA hoặc RA cung cấp cơ chế cần thiết cho người dùng để khôi phục lại khóa riêng bị mất hoặc bị hỏng 5 Tạo khoá: CA hoặc RA tạo ra cặp khóa mới cho người dùng 6 Thu hồi chứng chỉ: . á công khai, c công khai, c ầ ầ n ph n ph ả ả i xây d i xây d ự ự ng ng m m ộ ộ t cơ s t cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai ( công khai. á công khai công khai T T ổ ổ ng quan ng quan ATMMT ATMMT - - TNNQ TNNQ 18 18 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai