Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 124 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
124
Dung lượng
1,33 MB
Nội dung
TRƢỜNG ĐẠI HỌC QUỐC GIA TRƢỜNG ĐẠI HỌC CÔNG NGHỆ BÙI THỊ NGA NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI Ngƣời hƣớng dẫn: TS Nguyễn Ngọc Cƣơng Hà Nội, ngày 22 tháng 10 năm 2007 -3 _ MỤC LỤC Lời cảm ơn Lời cam đoan Mục lục Danh mục từ viết tắt Danh mục hình vẽ MỞ ĐẦU Chƣơng - MẬT MÃ KHỐ CƠNG CỘNG .10 1.1 Hệ mật mã đối xứng không đối xứng 10 1.1.1 Mật mã khoá đối xứng 10 1.1.2 Mật mã khố cơng khai 11 1.2 Các dịch vụ mật mã khoá công khai 12 1.2.1 An toàn người lạ 12 1.2.2 Sự mã hoá 12 1.2.3 Chữ ký số 13 1.2.4 Tính tồn vẹn liệu 14 1.2.5 Sự thiết lập khoá 14 1.2.6 Các dịch vụ khác 14 Chƣơng - CÁC KHÁI NIỆM CƠ SỞ HẠ TẦNG VÀ CÁC DỊCH VỤ PKI 16 2.1 Các khái niệm sở hạ tầng CSHT khố cơng khai 16 2.1.1 Thẩm quyền chứng thực 17 2.1.2 Kho chứng 17 2.1.3 Huỷ bỏ chứng 18 2.1.4 Sao lưu khơi phục khố 19 2.1.5 Cập nhật khoá tự động 19 2.1.6 Lịch sử khoá 20 2.1.7 Chứng thực chéo 21 2.1.8 Hỗ trợ chống chối bỏ 22 2.1.9 Tem thời gian 22 2.1.10 Phần mềm máy khách 23 2.2 Các dịch vụ PKI 25 2.2.1 Các dịch vụ lõi PKI 25 2.2.2 Các dịch vụ mà PKI hỗ trợ 27 Chƣơng - VẤN ĐỀ CẤP PHÁT QUẢN LÝ, THU HỒI CHỨNG CHỈ 35 3.1 Các chứng chứng thực 35 3.1.1 Các chứng X.509 35 _ Nghiên cứu sở hạ tầng khố cơng khai -4 _ 3.1.2 Một số khuôn dạng chứng khác 42 3.1.3 Các sách chứng thực (Certificate Policies) 44 3.1.4 Thẩm quyền chứng thực (Certification Authority) 47 3.1.5 Thẩm quyền đăng ký (Registration Authority) 48 3.2 Quản lý khoá chứng 49 3.2.1 Giai đoạn khởi tạo (Initiazation Phase) 52 3.2.2 Giai đoạn sau phát hành (Issued Phase) 58 3.2.3 Giai đoạn huỷ bỏ (Cancellation Phase) 62 3.3 Huỷ bỏ chứng 66 3.3.1 Mở đầu 66 3.3.2 Các kỹ thuật công bố định kỳ 68 Chƣơng - NGHIÊN CỨU VỀ CÁC LUẬT CHỮ KÝ ĐIỆN TỬ .79 4.1 Một số luật chữ ký số 79 4.1.1 E-Sign 79 4.1.2 Luật chữ ký điện tử EU 80 4.1.3 Luật chữ ký điện tử Việt Nam 81 4.2 Một số quan tâm luật pháp PKI 82 4.2.1 Các yêu cầu cho CA 82 4.2.2 Các vai chức trách 83 Chƣơng - PKI TRONG THỰC TẾ VÀ TƢƠNG LAI .87 5.1 PKI thực tế 87 5.2 Tương lai PKI 92 5.3 Triển khai ứng dụng 96 5.3.1 Yếu tố giá 96 5.3.2 Các vấn đề triển khai định 98 Chƣơng - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 102 6.1 Mục đích 102 6.2 Tổng quan hệ thống 102 6.2.1 Mô hình hệ thống 102 6.2.2 Các thành phần hệ thống VnpCert 105 6.2.3 Một số đặc tính hệ thống cung cấp chứng số 105 6.2.4 Quá trình khởi tạo thành phần hệ thống cung cấp chứng số VnpCert 108 6.2.5 Qui trình đăng ký, cấp phát huỷ bỏ chứng 109 6.3 Cấu trúc vật lý vấn đề đảm bảo an toàn cho hệ thống 118 KẾT LUẬN 121 TÀI LIỆU THAM KHẢO 122 PHỤ LỤC 124 _ Nghiên cứu sở hạ tầng khố cơng khai -5 _ Danh mục từ viết tắt ACL API ARLs CA CARL CP CPS CRL CSHT DLL DN DNS DS EPRL FTP HTTP IETF IKE IPsec IT LAN LDAP LRA MD5 OCSP OID PGP PKCS PKI PKIX RA RAO RFC Access Control List Application Program Interface Authority Revocation Lists Certification Authority Certification Authority Revocation List Certificate Policy Certification Practice Statement Certificate Revocation List Cơ sở hạ tầng Dynamic Link Library Distinguished Name Domain Name System Directory Server End-entity Public-Key Certificate Revocation List File Transfer Protocol Hyper Text Transfer Protocol Internet Engineering Task Force Internet Key Exchange IP Security Information Technology Local Area Network Lightweight Directory Access Protocol Local Registration Authorities Message Digest Algorithm Online Certificate Status Protocol Object Identification Pretty Good Privacy Public Key Cryptography Standards Public Key Infrastructure Public Key Infrastructure X.509 Working Group Registration Authority Registration Authority Operator Request For Comments _ Nghiên cứu sở hạ tầng khố cơng khai -6 _ RSA SHA S/MIME SPKI SSL TLS URL UTC VPN Rivest Shamir Adleman Secure Hash Algorithm Secure Multipurpose Internet Mail Extensions Simple Public Key Infrastructure Secure Socket Layer Transport Layer Security Uniform Resource Locator Coordinated Universal Time Virtual Private Network _ Nghiên cứu sở hạ tầng khố cơng khai -7 _ Danh mục hình vẽ Hình 3.1: Cấu trúc chứng phiên .37 Hình 3.2: Cấu trúc chứng SET 44 Hình 3.3: Quản lý vịng đời khố/chứng 51 Hình 3.4: Kịch khởi tạo thực thể đầu cuối 52 Hình 3.5: Các kịch huỷ bỏ chứng .64 Hình 3.6: Mơ hình huỷ bỏ chứng 67 Hình 3.7: Cấu trúc CRL phiên .72 Hình 4.1: Các vai trị mối nghi ngờ thông thường 84 Hình 6.1: Mơ hình VnpCert phân cấp hai tầng 104 Hình 6.2: CA thành phần liên kết với CA 104 Hình 6.3: Chứng hệ thống VnpCert cung cấp 106 Hình 6.4: USB Token dung hệ thống VnpCert 108 Hình 6.5: Mơ hình đăng ký cấp chứng số 110 Hình 6.6: Mẫu đăng ký chứng số cho cá nhân hệ thống VnpCert cung cấp 112 Hình 6.7: Nội dung tệp yêu cầu cấp chứng 113 Hình 6.8: Chứng lưu khố cơng khai RootCA hệ thống VnpCert 114 Hình 6.9: Chứng người sử dụng 115 Hình 6.10: Giấy chứng nhận cấp chứng số cho người dùng 117 Hình 6.11: Qui trình huỷ bỏ chứng 118 Hình 6.12: Mơ hình cung cấp chứng số VnpCert giải pháp đảm bảo an toàn cho hệ thống cung cấp chứng số mạng nội 120 _ Nghiên cứu sở hạ tầng khố cơng khai -8 _ MỞ ĐẦU Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Hạ tầng truyền thông IT ngày mở rộng, người sử dụng dựa tảng để truyền thông, giao dịch với đồng nghiệp, đối tác kinh doanh Các thông tin truyền mạng quan trọng thông tin mật, mã số tài khoản… Tuy nhiên nguy ăn cắp qua mạng ngày gia tăng với thủ đoạn tinh vi, cần phải có biện pháp để bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lộ thơng tin Cấu trúc hạ tầng mã khố cơng cộng (PKI – Public Key Infrastructure – hay gọi hạ tầng khố cơng cộng hạ tầng mã khố cơng khai) tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập mà sử dụng để giải vấn đề PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng điện tử (digital certificates) khố cơng khai bí mật Ngồi việc bảo đảm an tồn cho thơng tin liên lạc lưu trữ, PKI cịn tạo sở pháp lý để giải có tranh chấp Sáng kiến PKI đời năm 1995, mà tổ chức cơng nghiệp phủ xây dựng tiêu chuẩn chung dựa phương pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ quản lý lý thuyết cho phép người sử dụng tổ chức (doanh nghiệp phi lợi nhuận) tạo lập, lưu trữ trao đổi thông tin cách an tồn phạm vi cá nhân cơng cộng Nội dung luận văn tập trung vào nghiên cứu sở hạ tầng khố cơng khai: Các khái niệm, nội dung, hoạt động liên quan tới PKI Những xem xét triển khai, thảo luận vấn đề thực tế định liên quan tới việc triển khai PKI giới thực Luận văn trình bày sau Chương 1: Mã khố cơng cộng _ Nghiên cứu sở hạ tầng khố cơng khai -9 _ Chương trình bày khái niệm mã khố cơng cộng Khái niệm mật mã đối xứng không đối xứng, ưu điểm nhược điểm hai hệ mật dịch vụ mật mã khố cơng khai Chương 2: Các khái niệm sở hạ tầng dịch vụ PKI Trong chương đưa thảo luận sở hạ tầng cho mục đích an tồn dựa việc xem xét sở hạ tầng rộng khắp Các dịch vụ PKI bao gồm dịch vũ lõi dịch vụ hỗ trợ PKI Chương 3: Vấn đề cấp phát quản lý, thu hồi chứng Chương xem xét tồn q trình quản lý vịng đời khố/chứng bao gồm tạo, cơng bố, cập nhật, kết thúc, lịch sử khoá, lưu khoá phục hồi khoá Đồng thời thảo luận kỹ thuật chung thu hồi chứng Chương 4: Nghiên cứu luật chữ ký điện tử Thảo luận số luật luật E-sign, luật chữ ký điện tử EU, luật chữ ký điện tử Việt Nam số quan tâm luật pháp PKI gồm trách nhiệm CA, trách nhiệm bên đăng ký trách nhiệm bên sử dụng Chương 5: PKI thực tế tương lai PKI thực tế, tập trung vào việc sử dụng PKI giới thực làm sáng tỏ số hiểu lầm chung nguồn gốc nhầm lẫn việc PKI làm khơng làm PKI tương lai, xem xét đến câu hỏi thường đưa ra: Tại PKI chưa “cất cánh”? Chương cung cấp ý kiến việc chấp nhận PKI chậm nhiều người mong đợi thảo luận Chương 6: Xây dựng hệ thống cung cấp chứng số Dựa mơ hình quản lý hoạt động công ty Vinaphone, xây dựng hệ thống cung cấp chứng số VnpCert ứng dụng công ty Hệ thống dùng để cấp phát quản lý chứng chỉ, xác thực người dùng, cần thu hồi lại chứng cấp _ Nghiên cứu sở hạ tầng khố cơng khai - 10 _ Chƣơng - MẬT MÃ KHỐ CƠNG CỘNG 1.1 Hệ mật mã đối xứng không đối xứng Đã từ lâu kể từ người giao tiếp với nhau, ln có mong muốn giữ cho việc giao tiếp bí mật người khơng dự định trước Qua hàng nghìn năm, nhiều phương pháp nhằm mục đích che dấu liệu phát minh Một lớp phương pháp thử biến đổi từ, ký tự hay bit giao tiếp thành dạng nhìn giống sai cú pháp thơng điệp có nghĩa Người nhận dự định trước phải có khả chuyển dạng sai cú pháp trở lại dạng gốc để đọc thơng điệp người gửi, người nhận khác chẳng hạn người nghe trộm khôi phục dạng gốc[7] Tồn hai loại chế phục vụ cho việc chuyển văn thành dạng sai cú pháp ngược lại, mật mã khố đối xứng (khố bí mật) mật mã khố cơng khai (khố cơng cộng) 1.1.1 Mật mã khoá đối xứng Cho tới năm 1970, chế biết đến dùng để biến đổi thông điệp thành dạng khác ngược lại: Người gửi người nhận đự định chia sẻ số thơng tin bí mật, thơng tin bí mật làm để biến đổi thực Một ví dụ tiếng: Mỗi ký tự thông điệp gốc thay ký tự đứng sau 13 ký tự bảng chữ Tiếng anh Ví dụ A thay N, B thay O, Z thay M Trong trường hợp này, thơng tin an tồn để chuyển dạng sai cú pháp thành thơng điệp đọc tương tự trên: ký tự thứ 13 đứng trước N A, trước O B trước M Z[7] Thơng tin bí mật chia sẻ gọi khoá Việc biến đổi từ dạng ban đầu thành dạng khác gọi mã hoá, việc biến đổi ngược lại thành dạng ban đầu gọi giải mã Thông điệp gốc gọi rõ, thông điệp mã hoá thành dạng khác, gọi mã, sau người nhận giải mã trở thành rõ tương _ Nghiên cứu sở hạ tầng khố cơng khai - 11 _ ứng Tồn chế bí mật gọi hệ mật mã (bao gồm mã hoá giải mã)[3,4] Hệ mật đối xứng có đặc điểm sau: Khoá mã hoá khoá giải mã giống (như ví dụ hai có giá trị 13) Khoá dễ dàng lấy từ khố (sự mã hố hồn thành luân phiên sau 13 ký tự, giải mã hoàn thành việc luân phiên trước 13 ký tự) Mặc dù mật mã đối xứng có số ưu điểm (kích cỡ nhỏ tốc độ mã hố giải mã lên tới 10Mbs hơn), chúng có số mặt hạn chế: Cần bảo đảm an tồn cho khố trao đổi Việc bắt đầu giao tiếp an toàn người khơng biết từ trước gặp khó khăn Gặp khó khăn qui mơ việc lưu trữ, quản lý khóa 1.1.2 Mật mã khố cơng khai Để giải vấn đề phân phối thoả thuận khoá mật mã khoá đối xứng, năm 1976 Diffie Hellman đưa khái niệm hệ mật mã khố cơng khai phương pháp trao đổi cơng khai, để tạo khố bí mật chung mà tính an tồn bảo đảm độ khó toán toán học cụ thể (là tốn tính “logarit rời rạc”)[8] Hệ mật mã khố cơng khai hay gọi hệ mật mã phi đối xứng sử dụng cặp khoá, khoá mã hoá cịn gọi khố cơng cộng (public key) khố giải mã gọi khố bí mật hay khóa riêng (private key) Trong hệ mật này, khoá mã hoá khác với khố giải mã Về mặt tốn học từ khố cơng cộng khó tính khố bí mật Biết khố khơng dễ dàng tìm khố Khố giải mã giữ bí mật khố mã hố cơng bố cơng khai Một người sử dụng khố cơng khai để mã hố tin tức, có người có khố giải mã có khả xem rõ Người gửi Alice mã hố thơng điệp khóa cơng cộng người nhận người nhận Bob giải mã thơng điệp với khố riêng tương ứng _ Nghiên cứu sở hạ tầng khố cơng khai - 111 _ Người dùng đến CA để lấy khố bí mật 5a RAO tải chứng số máy RA xuống 5b Người quản trị RAO cấp chứng số giấy chứng nhận cấp chứng số cho người dùng Chứng số người dùng cơng nhận tồn hệ thống CA, người quản trị máy CA đưa công khai lên Directory Server ĐĂNG KÝ CHỨNG CHỈ SỐ CHO CÁ NHÂN Sử dụng biểu mẫu để đăng ký chứng số cho cá nhân Bạn nên xem toàn nội dung biểu mẫu trước điền thông tin Thông tin Các thông tin có chứng số bạn Bạn phải nhập đầy đủ trường có dấu (*) Các ký tự sau không hợp lệ :„,‟,‟=‟,‟+‟,‟‟,‟#‟,‟”‟ Họ tên *: Ngày tháng năm sinh *: Số CMND *: Chứng dùng cho *: Mail Web VPN Tổ chức *: _ Nghiên cứu sở hạ tầng khố cơng khai - 112 _ Đơn vị*: Tỉnh/Thành phố*: Quận/Huyện*: Quốc Tịch * : Ngày có hiệu lực *: Ngày hết hạn *: Thơng tin thêm Nếu có yêu cầu thêm, bạn nhập vào ô thông tin …………… …………… …………… Hình 6.6: Mẫu đăng ký chứng số cho cá nhân hệ thống VnpCert cung cấp BEGIN HEADER TYPE = PKCS#10 CERTTYPE = User Certificate -END HEADER -BEGIN CERTIFICATE REQUEST MIIB8zCCAVwCAQAwgbMxIjAgBgkqhkiG9w0BCQEWE2hvYWxuaEB0cmljaHNhaS5i Y2ExRTBDBgNVBAMTPEx1b25nIE5ndXllbiBIb2FuZyBIb2EtMjAwMDIwMy0xMjM0 _ Nghiên cứu sở hạ tầng khố cơng khai - 113 _ NTY3OC0xMi0xMi0xOTk3LTE5LTEtMTk3OTEQMA4GA1UECBMHRTE1LkJDQTESMBAG A1UECxMJTXlDQSBVc2VyMRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJW TjCBnjANBgkqhkiG9w0BAQEFAAOBjAAwgYgCgYBAAAC9WqCMDvBU4AEYs0dpQqjS X0IBKKWNYKusKrjdhCE9HVLNq912t2oJgVDgNulxIQ1Nmuox489FVfkXY4cWP8SR 0vYDxu3LU4rTb8gJNkf/Ek27ma8Cc0cyWc3+/hj9s0ksstfEhMBf38ROGeqK8O5b OXKKL1+5S8Zb2oZJaQIDAQABoAAwDQYJKoZIhvcNAQEFBQADgYEABkH8kt2/NBUo fa6Gv600yxTJN3K3fLHX81y28y2ml79hZDwjxeo7fD30xD/dYmoyM0ljRq7MtEpL +bUr6FxAi8cSTFPgb+ao7ARede7Fhb6ZYU6HW6hkkWTbQfWDSIALrFZ6+1fwdMt9 kjCFYrevJO1JnG9cj59/EpEVSthgaHI= -END CERTIFICATE REQUEST - Hình 6.7: Nội dung tệp yêu cầu cấp chứng -BEGIN CERTIFICATE MIICXzCCAcigAwIBAgIBADANBgkqhkiG9w0BAQUFADBiMR4wHAYJKoZIhvcNAQkB Fg9Sb290Q0FAcHZraC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZr aDETMBEGA1UEChMKTXlDQSBHcm91cDELMAkGA1UEBhMCVk4wHhcNMDMwNjEwMDcw MDI0WhcNMDUwNjA5MDcwMDI0WjBiMR4wHAYJKoZIhvcNAQkBFg9Sb290Q0FAcHZr aC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZraDETMBEGA1UEChMK TXlDQSBHcm91cDELMAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGI AoGAQAAIAADgAAoAAGABkVmqO5jiCPjdOJ1n9uz/SUNbmyAZZDmfMryNpg06RKcw 4Kt12qqyx85IB7brmuCzyDKwPIatEjvZBqkrkGbUnmslVHg8/PauEf6UH+Z/WZ3L Lbvv779ne+M7Q3BVEXVMgmy7PE8tUdPI9JzAi1HzFKG++lcCAwEAAaMmMCQwDwYD VR0TAQH/BAUwAwEB/zARBglghkgBhvhCAQEEBAMCAAcwDQYJKoZIhvcNAQEFBQAD gYEAPImXkaSUYbxKWoFLp7n/nTdw0du9MzYsWB098aC5aUcnxI36zoO0dIFj6s75 JFGuO5Ihe9lw4gsua0e91YnrDejXRhKX+YeSiblnksnBvAThkE+4nH2r7CjrvbvG _ Nghiên cứu sở hạ tầng khố cơng khai - 114 _ V5nO8V6H9+Um7plr5r4DP1Lz5K8Ar/H1pX6uuYfbyZ9kzWo= -END CERTIFICATE - Hình 6.8: Chứng lưu khố cơng khai RootCA hệ thống VnpCert Thông tin chi tiết chứng số Certificate: Data: Version: (0x2) Serial Number: 2000203 (0x1e854b) Signature Algorithm: sha256WithRSAEncryption Issuer: Email=VnpCA@gpc.com.vn, CN=VnpCert, OU=Vnp CA, O=VinaPhone,L=Ha Noi, ST=Ha Noi, C=VN Validity Not Before: Tue Sep 12 15:48:55 2007 GMT Not After : Tue Sep 12 15:48:55 2008 GMT Subject: Email=ngabt.omc@gpc.com.vn, CN=Bui thi Nga-07-10-198106061268, OU=OMC, O=Vinaphone, L= Cau Giay, ST= Ha Noi, C=VN Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1023 bit) Modulus (1023 bit): 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Client, S/MIME X509v3 Key Usage: _ Nghiên cứu sở hạ tầng khố cơng khai - 115 _ Digital Signature, Non Repudiation, Key Encipherment Netscape Comment: VnpCert User Certificate Signature Algorithm: sha256WithRSAEncryption 0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 -BEGIN CERTIFICATE MIIC4DCCAkmgAwIBAgIDHoVLMA0GCSqGSIb3DQEBBQUAMGIxHzAdBgkqhkiG9w0B CQEWEFJvb3RDQUB5YWhvby5jb20xDzANBgNVBAMTBlJvb3RDQTEMMAoGA1UECxMD RTE1MRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJWTjAeFw0wNDA1MTMw NjQ4NTVaFw0wNjA1MTMwNjQ4NTVaMIGzMSIwIAYJKoZIhvcNAQkBFhNob2FsbmhA dHJpY2hzYWkuYmNhMUUwQwYDVQQDEzxMdW9uZyBOZ3V5ZW4gSG9hbmcgSG9hLTIw MDAyMDMtMTIzNDU2NzgtMTItMTItMTk5Ny0xOS0xLTE5NzkxEDAOBgNVBAgTB0Ux NS5CQ0ExEjAQBgNVBAsTCU15Q0EgVXNlcjETMBEGA1UEChMKTXlDQSBHcm91cDEL MAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGIAoGAQAAAvVqgjA7w VOABGLNHaUKo0l9CASiljWCrrCq43YQhPR1SzavddrdqCYFQ4DbpcSENTZrqMePP RVX5F2OHFj/EkdL2A8bty1OK02/ICTZH/xJNu5mvAnNHMlnN/v4Y/bNJLLLXxITA X9/EThnqivDuWzlyii9fuUvGW9qGSWkCAwEAAaNTMFEwCQYDVR0TBAIwADARBglg hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMCQGCWCGSAGG+EIBDQQXFhVNeUNB IFVzZXIgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQADgYEACgWTplr0xo2WfCjV aZ75MSr4OxV9w6LrD1pnke3Cm+po8tp3Fh9eks+Osmcr8jjGvsYV6h80Pdi4UWoz k4Rvy2IHP2tm2oPO5O9Eb3uBUcoUsgCXiTQ1Z4uVca3bnS3P0Cwh6wfqOoLiOseB 79HhHHAm4yX1V+ojxEttPH+cAlU= -END CERTIFICATE - Hình 6.9: Chứng người sử dụng _ Nghiên cứu sở hạ tầng khố cơng khai - 116 _ GIẤY CHỨNG NHẬN CHỨNG CHỈ SỐ Họ tên : Bùi Thị Nga Ngày tháng năm sinh: 07/10/1981 Số CMND: 06061268 Chứng dùng cho: Mail Tổ chức: VinaPhone Đơn vị: OMC Thành Phố: Hà Nội Quận: Cầu Giấy Quốc tịch: Việt Nam Tên CA: VnpCertCA Phương pháp ký: Sha256withRASEncription Chứng có hiệu lực từ 11:30:00 giờ, ngày 12/09/2007 đến 11:30:00 giờ, ngày 12/09/2008 Nội dung chứng là: Khố cơng khai dùng cho Mail(1023bit) 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 _ Nghiên cứu sở hạ tầng khố cơng khai - 117 _ Chữ ký số chứng : 0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 Ngày 12/09/2007 Người sử dụng chứng Người đại diện cấp chứng Hình 6.10: Giấy chứng nhận cấp chứng số cho người dùng Qui trình huỷ bỏ chứng Trong trình sử dụng chứng chưa hết thời hạn sử dụng người dùng yêu cầu huỷ bỏ chứng với nhiều lý do: chuyển công tác, thay đổi địa e-mail, nghi ngờ lộ khố bí mật… _ Nghiên cứu sở hạ tầng khố cơng khai - 118 _ 1b RAO RA 1a 5a 5b User DS CA Hình 6.11: Qui trình huỷ bỏ chứng 1a Người sử dụng đến trung tâm RAO để thực huỷ bỏ chứng 1b Người quản trị RAO đưa yêu cầu huỷ bỏ chứng lên RA RA kiểm tra chữ ký người dùng yêu cầu huỷ bỏ chứng chỉ, thấy ký sau chuyển sang máy CA Nếu ngược lại khơng ký vào yêu cầu huỷ bỏ chứng không chuyển sang máy CA, báo cho RAO biết CA kiểm tra chữ ký RA yêu cầu huỷ bỏ, ký vào yêu cầu huỷ bỏ chứng chỉ, đồng thời thu hồi lại khố bí mật token từ người dùng Nếu khơng khơng ký thông báo lại cho RA CA cập nhật lại CRL Directory Server 5a RAO cập nhật danh sách chứng bị huỷ bỏ 5b Người dùng RAO cấp giấy chứng nhận huỷ bỏ chứng 6.3 Cấu trúc vật lý vấn đề đảm bảo an tồn cho hệ thống Có nhiều cách PKI thiết kế vật lý Ở thành phần PKI thi hành hệ thống riêng biệt, là, CA hệ thống, RA hệ thống khác máy chủ thư mục hệ thống _ Nghiên cứu sở hạ tầng khố cơng khai - 119 _ khác Bởi hệ thống có liệu nhạy cảm, chúng nên đặt sau tường lửa internet tổ chức Hệ thống CA đặc biệt quan trọng tổn thương cho CA phá vỡ tồn hệ thống hoạt động PKI phải bắt đầu với chứng Do đó, việc đặt hệ thống CA đằng sau tường lửa cơng ty để bảo vệ từ internet từ hệ thống công ty Dĩ nhiên, tường lửa công ty cho phép giao tiếp CA RA hệ thống thích hợp khác Song song với việc bảo vệ mạng vậy, mặt vật lý, hệ thống CA cần đặt phòng riêng biệt xây dựng bảo vệ đặc biệt Hệ thống VnpCert thiết kế thực lưu tồn khố bí mật chứng người dùng ngày lần, để đảm bảo an toàn cho hệ thống liệu lưu cần bảo vệ đặc biệt tách biệt hoàn toàn với hệ thống CA hoạt động (đề phòng trường hợp hoả hoạn, nơi CA hoạt động bị phá huỷ ) Hệ thống VnpCert liên quan nhiều tới vấn đề pháp lý cơng ty cần kiểm tra chặt chẽ, đảm bảo yêu cầu kỹ thuật chất lượng dịch vụ hệ thống CA Việc báo cáo định kỳ hoạt động CA cần thực tuần lần Việc kiểm tra CA cần tiến hành định kỳ ngày lần kiểm tra đột xuất cần thiết Đồng thời cần xây dựng sách chứng thực để đảm bảo hệ thống hoạt động an toàn ổn định Để đảm bảo cho user các hệ thống riêng biệt muốn truy cập chứng công ty thuận lợi đồng thời lại đảm bảo an toàn cho hệ thống, thư mục cần sẵn sằng cho user tổ chức khác internet Một giải pháp tạo thư mục mà chứa khố cơng khai hay chứng chỉ, CRLs định vị thư mục đường biên công ty Thư mục xem thư mục đường biên Một vị trí phù hợp cho thư mục bên tường lửa công ty đoạn mạng bảo vệ để sẵn sàng cơng khai bảo vệ tốt khỏi công _ Nghiên cứu sở hạ tầng khố cơng khai - 120 _ Máy chủ thư mục định vị mạng bảo vệ tổ chức định kỳ làm lại thư mục đường biên với chứng hay cập nhật tới chứng hữu CRLs Những người sử dụng bên công ty sử dụng máy chủ thư mục chính, hệ thống, tổ chức khác user truy cập tới thư mục đường biên DS Firewall RA RootCA RAO Firewall Directory Border Gate way WAN Firewall Firewall RAO1 Firewall RAO2 Firewall SubCA1 RA1 RAO3 Firewall Firewall SubCA2 RA2 RA3 Hình 6.12: Mơ hình cung cấp chứng số VnpCert giải pháp đảm bảo an toàn cho hệ thống cung cấp chứng số mạng nội _ Nghiên cứu sở hạ tầng khoá công khai SubCA3 - 121 _ KẾT LUẬN PKI chủ đề phức tạp phong phú, bao quanh tất khía cạnh yêu cầu để biến mật mã khố cơng khai thành tảng CSHT cho dịch vụ bảo mật xác thực PKI, mô tả định nghĩa mở rộng, chứa đựng mặt chức để có phạm vi an toàn rộng cần thiết Một thi hành PKI cụ thể cho môi trường hoạt động cụ thể khơng u cầu chức đầy đủ này, vài tập hợp chức mơ tả đầy đủ Tuy nhiên, định nghĩa mở rộng hữu ích PKI có mơ tả cần thiết cho môi trường ngày nay, cần thiết phát triển môi trường theo thời gian Trong luận văn này, sau trình bày PKI cách bản, vận dụng bước đầu vào thực tiễn, suy nghĩ đề xuất nên hệ thống cung cấp chứng số cho Công ty Dịch vụ viễn thông (Vinaphone) Ở đây, hệ thống không yêu cầu đầy đủ chức PKI Hơn nữa, nói nét bản, đưa vào ứng dụng chắn phải nghiên cứu bổ xung thêm Nội dung luận văn vấn đề phức tạp phong phú mà trình độ thời gian tác giả cịn nhiều hạn chế nên khơng tránh khỏi nhiều thiếu sót Tơi xin chân thành tiếp thu ý kiến đóng góp để hiểu vận dụng vào thực tế có hiệu _ Nghiên cứu sở hạ tầng khố cơng khai - 122 _ TÀI LIỆU THAM KHẢO Tiếng Việt Lê Mỹ Tú, Trần Duy Lai (2006), Giáo trình chứng thực điện tử, Hà Nội Nguyễn Minh Dân (2004), Một số vấn đề triển khai chứng thực điện tử Việt Nam, Hà Nội Phan Đình Diệu (1999), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc Gia Hà Nội, Hà Nội Trịnh Nhật Tiến (2004), Bài giảng: “một số vấn đề an toàn liệu” Tiếng Anh American Bar Association (1995), Digital Signature Guidelines: Legal Infrastructure for Certification Authorities and Electronic Commerce Brands, S (2000), Rethinking Public Key Infrastructures and Digital Certificates: Building in Privacy, Cambridge Carlisle Adams, Steve Lloyd (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Addison-Wesley, New York Diffie, W., and M Hellman (1976), "New Directions in Cryptography", IEEE Transactions on Information Theory, pp 644–654 ITU-T Recommendation X.509 (1997), “Information technology-Open systems interconnection-The directory: Authentication framework” 10 ITU-T Recommendation X.509 (2000), “Information technology-Open systems interconnection-The directory: Public key and attribute certificate frameworks” 11 Menezes A P van Oorschot, S Vanstone (1997), Handbook of Applied Cryptography, Boca Raton Một số RFC 12 Dusse, S., P Hoffman, B Ramsdell, L Lundblade, and L Repka (1998), S/MIME Version Message Specification, Internet Request for Comments 2311 _ Nghiên cứu sở hạ tầng khố cơng khai - 123 _ 13 Dusse, S., P Hoffman, B Ramsdell, and J Weinstein (1998), S/MIME Version Certificate Handling, Internet Request for Comments 2312 14 Kent, S., and R Atkinson (1998), Security Architecture for the Internet Protocol, Internet Request for Comments 2401 15 Housley, R (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459 16 Housley, R., W Polk, W Ford, and D Solo (2002), Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile, Internet Request for Comments 3280 17 Ramsdell, B (1999), S/MIME Version Certificate Handling, Internet Request for Comments 2632 18 Ramsdell, B (1999), S/MIME Version Message Specification, Internet Request for Comments 2633 Một số Website 19 http://europa.eu.int/comm/internal_market/en/media/sign/Dir99-93ecEN.pdf, “Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures” 20 http://grouper.ieee.org/groups/1363/index.html, “Institute of Electrical and Electronics Engineers Standards Association Working Group P1363” 21 http://myhome.naver.com/t0pp0/source/0672323915_bib01.html, “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition” 22 http://www.ietf.org/html.charters/pkix-charter.html, “The PKIX Working Group Charter” _ Nghiên cứu sở hạ tầng khố cơng khai - 124 _ PHỤ LỤC Một số chuẩn mật mã khố cơng khai PKCS PKCS - Public Key Cryptography Standards chuẩn mã hố khố cơng khai phịng thí nghiệm RSA phát triển Chuẩn PKCS cung cấp định nghĩa định dạng liệu thuật toán sở tảng việc triển khai PKI PKCS#1 RSA Encryption Standard – Mã ký sử dụng hệ mã công khai RSA PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoá Diffie-Hellman PKCS#3 mơ tả phương pháp thực trao đổi khố Diffie-Hellman PKCS#5 Password-based Encrytion Standard - Chuẩn mã hoá dựa password PKCS#5 mô tả phương pháp mã xâu bát phân sử dụng khố bí mật tính từ password để sinh xâu bát phân mã hoá PKCS # sử dụng để mã hố khố riêng việc truyền khố bí mật PKCS#6 Extended Certificate Syntax Standard - Chuẩn cú pháp chứng mở rộng PKCS # định nghĩa cú pháp chứng X.509 mở rộng PKCS#7 Crytographic Message Syntax Standard - Chuẩn cú pháp thông điệp mật mã PKCS#7 xác định cú pháp tổng thể liệu mã hố ví dụ chữ ký số PKCS#7 cung cấp số lựa chọn định dạng: message khơng mã hố ký số, message mã hoá, message ký số message có ký số mã hố PKCS#8 Private Key Information Syntax Standard - Chuẩn cú pháp thông tin riêng PKCS#8 định nghĩa cú pháp thơng tin khố riêng cú pháp khoá riêng mã hoá PKCS#9 Selected Attribute Types - Những loại thuộc tính lựa chọn PKCS#9 định nghĩa loại thuộc tính lựa chọn sử dụng chứng mở rộng PKCS#6, thông điệp ký số PKCS#7, thơng tin khố riêng PKCS#8 u cầu ký chứng PKCS#10 Những thuộc tính chứng rõ gồm có địa thư, loại nội dung, tóm tắt thơng điệp, thời gian ký, password yêu cầu thuộc tính chứng mở rộng _ Nghiên cứu sở hạ tầng khố cơng khai - 125 _ PKCS#10 Certification Request Syntax Standard - Chuẩn cú pháp yêu cầu chứng PKCS#10 định nghĩa cú pháp yêu cầu chứng Yêu cầu chứng gồm tên phân biệt, khố cơng tập thuộc tính tuỳ chọn, chữ ký thực thể yêu cầu chứng PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ mật mã PKCS#11 xác định giao diện lập trình ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thơng tin mã hố (cũng khố mã hoá chứng chỉ) thực chức mã hoá Smart Card thiết bị đặc trưng thực Cryptoki PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cú pháp trao đổi thông tin cá nhân PKCS#12 định nghĩa định dạng thông tin nhận diện cá nhân bao gồm khố riêng, chứng chỉ, bí mật đặc tính khác mở rộng PKCS#12 làm cho việc truyền chứng khố bí mật gắn kèm thuận tiện, giúp người sử dụng chuyển thơng tin nhận diện cá nhân từ thiết bị sang thiết khác PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mã đường cong elliptic PKCS#13 bao gồm việc tạo tham số đường cong elliptic kiểm tra hiệu lực, tạo khố cơng nhận giá trị, chữ ký số mã hoá khoá cơng khai thoả thuận khố PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số giả ngẫu nhiên Nhiều hàm mật mã sử dụng PKI tạo khố thoả thuận khố bí mật Diffie – Hellman sử dụng liệu ngẫu nhiên Tuy nhiên liệu ngẫu nhiên lại không ngẫu nhiên mà chọn từ tập giá trị tiên đốn hàm mật mã khơng bảo mật đầy đủ Do tạo số giả ngẫu nhiên an tồn điều quan trọng bảo mật PKI _ Nghiên cứu sở hạ tầng khoá công khai