HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỀ TÀI: NGHIÊN CỨU, XÂY DỰNG HẠ TẦNG KHÓA CÔNG KHAI PKI DỰA TRÊN OPENCA Giảng viên : Cao Minh Tuấn Sinh viên: Vũ Hoàng Đạt Hà Nội, Tháng 3-2015 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I : MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm Các thuật tốn sử dụng mật mã khóa cơng khai 2.1 Thuật toán RSA 2.2 Thuật tốn thỏa thuận khóa Diffie-Hellman II Chữ ký số CHƯƠNG 2: TỔNG QUAN VỀ PKI I Giới thiệu Lịch sử Khái niệm Mục tiêu chức 10 Các khía cạnh an tồn 10 II Mơ hình PKI thành phần 12 Các thành phần 12 1.1 Tổ chức chứng thực (CA) 13 1.2 Trung tâm đăng ký (RA) 14 1.3 Thực thể cuối (End Entity) 15 1.4 Hệ thống lưu trữ (Repositories) 15 Các mơ hình PKI (các loại mơ hình) 16 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA 2.1 Mơ hình phân cấp CA chặt chẽ (Strict hierachy of CAs) 16 2.2 Mơ hình phân cấp CA không chặt chẽ (loose hierarchy of CAs) 17 2.3 Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) 17 2.4 Mơ hình bên (Four – Coner Model) 19 2.5 Mơ hình Web (Web Model) 20 2.6 Mơ hình tin cậy lấy người dùng làm trung tâm (User – Centric Trust) 21 Các kiểu kiến trúc 22 3.1 Kiến trúc kiểu Web of Trust 23 3.2 Kiến trúc kiểu CA đơn (Single CA) 24 3.3 Kiến trúc CA phân cấp 26 3.4 Kiến trúc kiểu chứng thực chéo (Cross – certificate) 27 3.5 Kiến trúc Bridge CA (BCA) 28 III Cơ chế làm việc 29 Khởi tạo thực thể cuối 29 Tạo cặp khóa cơng khai/ khóa riêng 29 Áp dụng chữ ký để định danh người gửi 30 Mã hóa thơng báo 30 Truyền khóa đối xứng 30 Kiểm tra định danh người gửi thông qua CA 31 Giải mã thông báo kiểm tra nội dung thông báo 31 CHƯƠNG 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA 33 I Giới thiệu OpenCA 33 II Hệ thống PKI với OpenCA 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA DANH MỤC HÌNH ẢNH Hình 1: Sơ đồ tạo kiểm tra chữ ký số Hình 2: Các thành phần PKI 13 Hình 3:Mơ hình phân cấp CA chặt chẽ 16 Hình 4: Mơ hình kiến trúc tin cậy phân tán 18 Hình 5: mơ hình bên 19 Hình 6: Mơ hình web 20 Hình 7: Mơ hình tin cậy lấy người dùng làm trung tâm 22 Hình 8: Chuỗi tin cậy 23 Hình 9: Kiến trúc kiểu Web of Trust 24 Hình 10: Kiến trúc CA đơn 25 Hình 11: Kiến trúc CA phân cấp 26 Hình 12: Kiến trúc kiểu chứng thực chéo 27 Hình 13: Kiến trúc Brigde CA 28 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA LỜI MỞ ĐẦU Trong vài năm lại đây, hạ tầng truyền thông công nghệ thông tin ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc bán hàng mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vô tình tiết lộ thơng tin Cấu trúc sở hạ tầng mã khóa cơng khai tiêu chuẩn cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đền PKI trở thành phần trung tâm kiến trúc an toàn doành cho tổ chức kinh doanh PKI xem điểm trọng tâm nhiều khía cạnh quản lý an tồn Hầu hết giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa cơng khai PKI thể rõ vai trị lĩnh vực an tồn thơng tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở OpenCA Chính điều mục đích chúng em chọn đề tài “Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA” Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm - Mật mã khóa cơng khai dạng mật mã cho phép người sử dụng trao đổi thông tin mật mà khơng cần phải trao đổi khóa bí mật trước Trong mật mã khóa cơng khai sử dụng cặp khóa khóa cơng khai khóa riêng (khóa bí mật) Khóa cơng khai dùng để mã hóa cịn khóa riêng dùng để giải mã - Điều quan trọng hệ thống khơng thể tìm khóa bí mật biết khóa cơng khai - Hệ thống mật mã khóa cơng khai sử dụng với mục đích : • Mã hóa: giữ bí mật thơng tin có người có khóa bí mật giải mã • Tạo chữ kí số: cho phép kiểm tra văn có phải tạo khóa bí mật khơng • Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thơng tin mật bên Các thuật toán sử dụng mật mã khóa cơng khai 2.1 Thuật tốn RSA - Thuật tốn RSA Ron Rivest, Adi Shamir Len Adleman mô tả lần vào năm 1977 học viện cơng nghệ Massachusetts (MIT) - RSA thuật tốn mã hóa khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Đây thuật toán phù hợp với việc tạo chữ ký điện tử đồng thời với miệc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa cơng khai RSA sử dụng phổ biến thương mại điện tử cho đảm bảo an tồn với điều kiện độ dài khóa đủ lớn - RSA có tốc độ thực chậm đáng kể so với DES thuật toán mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật tốn mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với văn bản) 2.2 Thuật tốn thỏa thuận khóa Diffie-Hellman - Phương thức phát minh Whitfield Diffie Matty Hellman Stanford - Đây sơ đồ khóa cơng khai Tuy nhiên, khơng phải sơ đồ mã hóa khóa cơng khai thực sự, mà dùng cho trao đổi khóa Các khóa bí mật trao đổi cách sử dụng trạm trung gian tin cậy Phương pháp cho phép khóa bí mật truyền an tồn thơng qua mơi trường khơng bảo mật - Trao đổi khóa Diffie-Hellman dựa tính hiệu tốn logarit rời rạc - Tính bảo mật trao đổi khóa Diffie-Hellman nằm chỗ: tính hàm mũ modulo số nguyên tố dễ dàng tính logarit rời rạc khó II Chữ ký số - Chữ ký số thơng tin kèm theo liệu (văn bản, hình ảnh, video,… ) nhằm mục đích xác định người chủ liệu - Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu “băm” thành chuỗi, thường có độ dài cố định ngắn văn bản) sau dùng khóa bí mật người chủ khóa để mã hóa, ta chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA Khi cần kiểm tra, bên nhận giải mã với khóa cơng khai để lấy lại chuỗi gốc (được sinh qua hàm băm ban đầu) kiểm tra lại với hàm băm vừa nhận Nếu giá trị khớp bên nhận tin tưởng liệu xuất phát từ người sở hữu khóa bí mật - Chữ ký số khóa cơng khai dựa tảng mật mã khóa cơng khai Để trao đổi thơng tin mơi trường này, người sử dụng có cặp khóa: khóa cơng khai khóa bí mật Khóa cơng khai cơng bố rộng rãi cịn khóa bí mật phải giữ kín khơng thể tìm khóa bí mật biết khóa cơng khai - Tồn q trình gồm thuật tốn: • Thuật tốn tạo khóa • Thuật tốn tạo chữ ký số • Thuật tốn kiểm tra chữ ký số Hình 1: Sơ đồ tạo kiểm tra chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 2: TỔNG QUAN VỀ PKI I Giới thiệu Lịch sử - Việc Diffie, Hellman, Rivest, Shamir, Adleman cơng bố cơng trình nghiên cứu trao đổi khóa an tồn thuật tốn mật mã hóa khóa cơng khai vào năm 1976 làm thay đổi hồn tồn cách thức trao đổi thơng tin mật Cùng với phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thơng tin bí mật trở nên cấp thiết Thêm vào yêu cầu phát sinh việc xác định định dạng người tham gia vào q trình thơng tin Vì ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển cách mạnh mẽ - Nhiều giao thức sử dụng kỹ thuật mật mã phát triển phân tích Cùng với đời phổ biến World Wide Web, nhu cầu thơng tin an tồn nhận thực người sử dụng trở nên cấp thiết Chỉ tính riêng nhu cầu ứng dụng cho thương mại (như giao dịch điện tử hay truy cập sở liệu trình duyệt web) đủ hấp dẫn nhà phát triển lĩnh vực Taher ElGamal cộng Netscape phát triển giao thức SSL (https địa web) bao gồmthiết lập khóa, nhận thực máy chủ Sau đó, thiết chế PKI tạo để phục vụ nhu cầu truyền thơng an tồn - Các nhà doanh nghiệp kỳ vọng vào thị trường hứa hẹn thành lập công ty dự án PKI bắt đầu vận động phủ để Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA hình thành nên khung pháp lý lĩnh vực Một dự án American Bar Association xuất nghiên cứu tổng quát vấn đề pháp lý nảy sinh vận hành PKI (xem thêm: hướng dẫn chữ ký số ABA) Khơng lâu sau đó, vài tiểu bang Hoa kỳ mà đầu Utah (năm 1995) thông qua dự luật quy định Các nhóm bảo vệ quyền lợi người tiêu dùng đặt vấn đề bảo vệ quyền riêng tư trách nhiệm pháp lý - Tuy nhiên, luật quy định thông qua lại không thống giới Thêm vào khó khăn kỹ thuật vận hành khiến cho việc thực PKI khó khăn nhiều so với kỳ vọng ban đầu - Tại thời điểm đầu kỷ 21, người ta nhận kỹ thuật mật mã quy trình/giao thức khó thực xác tiêu chuẩn chưa đáp ứng yêu cầu đề - Thị trường PKI thực tồn phát triển với quy mô kỳ vọng từ năm thập kỷ 1990 PKI chưa giải số vấn đề mà kỳ vọng Những PKI thành công tới phiên phủ thực Khái niệm - Trong mật mã học, hạ tầng khóa cơng khai (tiếng Anh: public key infrastructure, viết tắt PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khóa cơng khai/khóa bí mật Các q trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA Hình 9: Kiến trúc kiểu Web of Trust - Mơ hình hoạt động hiệu tổ chức nhỏ, có tồn mối quan hệ trước đó, lại khơng hiệu với tổ chức lớn, nơi cần có đảm bảo (ví dụ phải xác thực yêu cầu trước chứng cấp phát) Sự giao tiếp trạng thái chứng bên tin cậy khó với mơ hình 3.2 Kiến trúc kiểu CA đơn (Single CA) - Dạng kiến trúc đơn giản CA đơn Kiến trúc cấp chứng cung cấp thông tin trạng thái chứng chi cho người dùng Khóa cơng khai CA điểm tin cậy bản, hay gọi nguồn tin cậy, dùng để đánh giá khả chấp nhận chứng Người dùng có quan hệ trực 24 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA tiếp với CA, họ biết ứng dụng mà chứng cần sử dụng - Kiểu kiến trúc CA đơn dễ quản lý, việc quản trị liên quan đến CA root Tuy nhiên CA bị lỗi, dịch vụ chứng không sẵn sàng để xử lý yêu cầu chứng chỉ, yêu cầu làm chứng hay danh sách thu hồi chứng CA khôi phục lại dịch vụ - Kiến trúc phân cấp CA đơn thông thường sử dụng việc quản trị đơn giản, giá thành thấp Hình 10: Kiến trúc CA đơn 25 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Dạng mở rộng kiểu kiến trúc CA kết nối tới CA để hỗ trợ cộng đồng người dùng khác Các tổ chức kết nối CA lập thành PKI lớn sử dụng mối quan hệ điểm-điểm 3.3 Kiến trúc CA phân cấp - Kiến trúc mơ hình CA phân cấp bao gồm root CA đỉnh, phía hay lớp CA (Khóa cơng khai CA ký root CA) sau thuê bao RA phía Mỗi khóa tin tưởng người dùng khóa cơng khai rootCA Mơ hình cho phép thi hành sách chuẩn thông qua hạ tầng, tạo mức đảm bảo tổng thể cao kiến trúc đa CA khác Hình 11: Kiến trúc CA phân cấp 26 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Trong mơ hình này, root CA cấp chứng cho sub CA không cấp chứng cho người dùng Các subCA lại cấp chứng cho SubCA khác cho người dùng 3.4 Kiến trúc kiểu chứng thực chéo (Cross – certificate) - Trong mơ hình này, CA tạo chứng cho CA mà xác minh “đủ mạng” để sở hữu chứng Trong mô hình phân cấp, người có khóa cơng khai root, mơ hình này, khóa khóa CA cục chúng khơng phải khóa rootCA Hình 12: Kiến trúc kiểu chứng thực chéo 27 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Vấn đề mơ hình khó khăn với ứng dụng người dùng để xác định chuỗi chứng người dùng sở hữ CA khơng có đường liên kết chứng thực chéo - Mơ hình phải đối mặt với vấn đề “ai rootCA” (không ai/hoặc tất CA), cho phép CA trở thành cấu trúc điểm thay phân cấp, giống mơ hình Web of Trust, chứng thực chéo tạo mức đảm bảo đồng cho toàn hệ thống 3.5 Kiến trúc Bridge CA (BCA) - Bridge CA thiết kế để giải thiếu sót kiến trúc PKI tạo kết nối PKI khác Bridge CA không cấp chứng cho người dùng chúng nguồn tin cậy Thay vào đó, Brigde CA thiết lập mối quan hệ tin cậy peer to peer (P2P) cộng đồng người dùng khác làm giảm nhẹ vấn đề cấp phát chứng tổ chức lại cho phép người dùng giữ nguồn tin cậy Hình 13: Kiến trúc Brigde CA 28 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Trong kiểu kiến trúc này, Brigde CA cung cấp cầu tin cậy (thông qua cặp chứng thực chéo) sở hạ tầng khóa cơng khai phân cấp sở hạ tầng khóa công khai chứng thực chéo Độ phức tạp mô hình cao phải điều chỉnh module PKI người dùng cuối III Cơ chế làm việc - Các hoạt động PKI bao gồm: - Khởi tạo thực thể cuối - Tạo cặp khóa - Áp dụng chữ ký số để xác định danh tính người gửi - Mã hóa thơng báo - Truyền khóa đối xứng - Kiểm tra định danh người gửi thông qua CA - Giải mã thông báo kiểm tra nội dung Khởi tạo thực thể cuối - Trước thực thể cuối tham gia dịch vụ hỗ trợ PKI, thực thể cần phải khởi tạo PKI - Đăng ký thực thể cuối q trình mà danh tính cá nhận xác minh, trình đăng ký thực thể cuối thực trực tuyến Quá trính đăng ký trực tuyến cần phải xác thực bảo vệ Tạo cặp khóa cơng khai/ khóa riêng - Người dùng muốn mã hóa gửi thơng báo phải tạo cặp khóa cơng khai/khóa riêng Cặp khóa với người dùng PKI - Trong mơ hình PKI tồn diện, tạo khóa hệ thống máy trạm người dùng cuối hệ thống CA Vị trí tạo cặp khóa bao gồm khả 29 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA năng, hiệu suất, tính đảm bảo, phân nhánh hợp pháp cách sử dụng khóa theo chủ định - Cho dù vị trí khóa đâu trách nhiệm việc tạo chứng chỉ dựa vào CA cấp quyền Nếu khóa cơng khai tạo thực thể, khóa cơng khai phải chuyển tới CA cách an toàn Áp dụng chữ ký để định danh người gửi - Một chữ ký số đính kèm với thơng báo để xác định danh tính người gửi thơng báo Để tạo chữ ký số đính kèm đến thơng báo cần thực sau: ▪ Biến đổi thông báo ban đầu thành chuỗi có độ dài cố định cách áp dụng hàm băm thông báo Q trình gọi băm thơng báo, chuỗi có độ dài cố định gọi tóm lược thơng báo ▪ Mã hóa tóm lược thơng báo khóa riêng người gửi Kết tóm lược thơng bão mã hóa chữ ký số ▪ Đính kèm chữ ký số với thơng báo ban đầu Mã hóa thơng báo - Sau áp dụng chữ ký số lên thông báo ban đầu, để bảo vệ ta mã hóa Để mã hóa thơng báo chữ ký số, sử dụng mật mã khóa đối xứng Khóa đối xứng thỏa thuận trước người gửi người nhận thông báo sử dụng lần cho việc mã hóa giải mã Truyền khóa đối xứng - Sau mã hóa thơng báo chữ ký số, khóa đối xứng mà sử dụng để mã hóa cần truyền đến người nhận Bản thân kháo đối xứng mã hóa lý an tồn, bị lộ người giải mã thơng báo Do đó, khóa đối xứng mã hóa khóa cơng khai người nhận Chỉ có 30 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA người nhận giải mã khóa đối xứng việc sử dụng khóa riêng tương ứng Sau mã hóa, khóa phiên thơng báo chuyển đền người nhận thông báo Kiểm tra định danh người gửi thơng qua CA - CA đóng vai trị bên thứ tin cậy để xác minh danh tính thực thể tham gia trình giao dịch Khi người nhận nhận mã, người nhận yêu cầu CA kiểm tra chữ ký số đính kèm theo thơng báo Dựa yêu cầu đó, CA kiểm tra chữ ký số người gửi thông báo Giải mã thông báo kiểm tra nội dung thông báo - Sau nhận thơng báo mã hóa, người nhận cần giải mã Bản mã giải mã khóa đối xứng mã hóa Vì vậy, trước giải mã thơng báo, khóa đối xứng phải giải mã khóa riêng người nhận Sau giải mã khóa đối xứng, khóa đối xứng dùng để giải mã thông báo Chữ ký số đính kèm với thơng báo giải mã khóa cơng khai người gửi tóm lược thơng báo bóc tách từ Người nhận sau tạo tóm lược thơng báo thứ Cả thơng báo băm sau so sánh để kiểm tran xem có giả mạo thơng báo xảy q trình truyền tin khơng Nếu thơng báo băm trùng khít chứng tỏ thông báo không bị giả mạo truyền - Các tiêu chí giao dịch điện tử: ▪ Chống chối bỏ: Tất thực thể liên quan giao dịch từ chối phần giao dịch ▪ Truyền tin an toàn: Đây chế đắn để đảm bảo an tồn thơng báo truyền tin Bất kỳ giả mạo thay đổi làm thông báo phải phát dễ dàng 31 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA ▪ Tính riêng tư: truy nhập bất hợp pháp đến thông báo bị từ chối ▪ Sự xác thực: Để định danh thực thể phần liên lạc trình giao dịch cần phải biết đến thực thể ▪ Tính ràng buộc: Giao dịch nên kiểm tra ký bên liên quan - PKI đảm bảo tất giao dịch đáp ứng yêu cầu hợp pháp cách cung cấp sở hạ tầng môi trường cần thiết 32 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA I Giới thiệu OpenCA - Cơ sở hạ tầng khóa cơng khai nhu cầu thiết yếu tương lai Nhưng vấn đề hầu hết ứng dụng đảm bảo an tồn chứng khóa lại khó đắt để cài đặt, lý phần mềm trung tâm tin cậy có tính linh hoạt lại đắt Đây điểm khởi đầu OpenCA Mục đích sản phầm hệ thống trung tâm tin cậy nguồn mở để hỗ trợ cộng đồng với giải pháp tốt, rẻ mang tính xu hướng tương lai - Dự án OpenCA bắt đầu vào năm 1998 Ý tưởng OpenCA ban đầu phát triển Massimiliano Pala Mã nguồn ban đầu dự án viết với đoạn script dài Khi phiên phần mềm xây dựng, dự án OpenSSL có tên SSLeay Rất nhiều chức lỗi nhiều thứ khác bị bỏ qua - Phiên OpenCA đơn giản, nhiều chức xây dựng chủ yếu dùng để cấp phát chứng chỉ, CRL phương thức cài đặt đơn sơ, khơng có tính tiện dụng cho tiện ích cấu hình nào, đoạn scirpt tương thích với bash - Các phiên bổ sung thêm nhiều tính cho dự án phiên 0.109 bảo gồm giao diện cho server CA, RA Pub Từ lúc bắt đầu dự án từ lúc phát hành phiên đầu tiên, có lượng lớn tham gia cộng đồng Internet đóng góp vào phát triển dự án - Hiện openCA phát triển lên OpenCA PKI v1.5.1, bên cạnh dự án LibPKI đưa phiên LipPKI v0.8.7 33 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA II Hệ thống PKI với OpenCA Sử dụng hệ điều hành CentOS 5.9 - Cài đặt OpenCA • Cài đặt thư viện cần thiết : Yum install –y gcc-c++ Yum install –y openssl-devel db4 db4-devel mysql-server mysql-devel perl-XML-Parser httpd • Tạo người dùng phục vụ trình biên dịch cấu hình openCA groupadd openca useradd –g openca –u 1201 openca • Tạo database cho openCA: mysql -u root -p mysql> show databases; mysql>create database dbra; mysql> grant all privileges on *.* to 'openca'@'localhost' identified by ‘1063467’; mysql> FLUSH PRIVILEGES; mysql> exit; • Cài đặt openca-tools-1.3.0-1.el5.i386.rpm Download: http://ftp.yz.yamagata-u.ac.jp/pub/network/security/OpenCA/opencatools/releases/v1.3.0/binaries/linux/CentOS5.5-i686/openca-tools-1.3.01.el5.i386.rpm rpm -Uvh openca-tools-1.3.0-1.el5.i386.rpm • Cài đặt openca-base-1.1.1.tar.gz Download: 34 Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa OpenCA ftp://ftp.uk.freesbie.org/sites/downloads.sourceforge.net/o/op/openca/opencabase/releases/v1.1.1/sources/openca-base-1.1.1.tar.gz tar -xvf openca-base-1.1.1.tar.gz cd openca-base-1.1.1 Build: # /configure prefix=/opt/openca \ with-ca-oganization="TVU RA Labs" \ with-httpd-fs-prefix=/var/www \ with-httpd-main-dir=pki \ with-db-name=dbra \ with-db-host=localhost \ with-db-user=openca \ with-db-passwd=1063467 \ with db-type=mysql \ with db-service-mail-account=ndhkma@gmail.com OpenCA cài đặt vào /opt/openca Sử dụng sở liệu MySQL với database openca, user openca password 1063467 Web quản trị lưu thư mục /var/www/pki Tiến hành biên dịch: Make Make install-offline install-online Di chuyển đến thư mục cấu hình CA Ở cấu hình cho máy truy cập mà ko cần ssl cd /opt/openca/etc/openca Chúng ta sữa đổi file: • access_control/node.xml.template • access_control/ca.xml.template 35 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA • access_control/ra.xml.template • config.xml vim access_control/node.xml.template Trong thẻ: ssl > .* 128 > 0 Lưu lại Tiếp theo sữa file: access_control/ra.xml.template # vim access_control/ra.xml.template ssl > .* 128 0 Lưu lại Tiếp theo sữa file /opt/openca/etc/openca/config.xml #vim config.xml :$ để đến cuối file 36 > Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA dataexchange_device_up /dev/fd0 -> /tmp/openca dataexchange_device_down /dev/fd0 -> /tmp/openca Lưu lại Tiếp theo sửa file: openssl/openssl.cnf.template # vim openssl/openssl.cnf.template Trong [req] [CA_defaut] tìm dịng: default_md = sha256 -> đổi thành default_md = sha1 Lưu lại Để sửa đổi có hiệu lực: # /configure_etc.sh Tạo symlink cho openca: #cd /usr/sbin/ #ln -s /opt/openca/etc/init.d/openca openca Khởi động openca: #cd ~ #openca start ==> Nhập password admin: Quá trình cài đặt RootCA xong, bạn kiểm tra kết cách gõ vào trình duyệt: http://192.168.1.108/pki Accout admin pass lúc start openca - PKI init & config Root Sign Sub Login vao node SubCA==>ca PKI Init & Config ==> nitialization==> Initialize the Certification Authority 37 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA #cp /tmp/openca_local # Dung ftp download file openca_local ve may Doi ten openca_local.tar==>Giai nen duoc file: careq.pem Login vao RootCA==>pub: My Certificates==>Request a Certificate==> Server Certificate Request Khởi tạo sở liệu, khởi tạo khóa riêng cho CA, tạo chứng CA,… • Tạo khóa bí mật • Tạo yêu cầu cấp chứng cho CA 38 ... 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA 33 I Giới thiệu OpenCA 33 II Hệ thống PKI với OpenCA 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI. .. tài ? ?Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA? ?? Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai. .. quan - PKI đảm bảo tất giao dịch đáp ứng yêu cầu hợp pháp cách cung cấp sở hạ tầng môi trường cần thiết 32 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 3: XÂY DỰNG HẠ TẦNG