Bài giảng Quản lý khóa trong mật mã - Hạ tầng khóa công khai (PKI) với các nội dung các loại giấy chứng nhận khóa công cộng, sự chứng nhận và kiểm tra chữ ký, các thành phần của một cở sở hạ tầng khóa công cộng, chu trình quản lý giấy chứng nhận, các mô hình CA.
4 Hạ tầng khóa cơng khai (PKI) “PKI tập hợp công nghệ mật mã, phần mềm, phần cứng chuyên dụng dịch vụ cho phép tổ chức/doanh nghiệp đảm bảo an tồn thơng tin liên lạc, định danh xác thực người dùng, khách hàng giao dịch qua mạng/Internet” 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 85 Các thành phần Chứng khóa cơng khai: họ tên định danh người sở hữu thật khóa, khóa cơng cộng chữ ký điện tử giúp xác nhận tính hợp lệ hai thành phần Hệ thống phân phối khóa tin cậy: sử dụng hệ thống trao đổi thông tin tin cậy để chuyển mã khóa cơng cộng đến người nhận 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 86 Các thành phần chứng nhận khóa công cộng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 87 Mơ hình Certification Authority đơn giản 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 88 4.1 Các loại giấy chứng nhận khóa cơng cộng Giấy chứng nhận tập tin nhị phân dễ dàng chuyển đổi qua mạng máy tính Tổ chức CA áp dụng chữ ký điện tử cho giấy chứng nhận khóa cơng cộng mà phát hành 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 89 Chứng nhận X.509 Chứng nhận X.509 chứng nhận khóa cơng cộng phổ biến Hiệp hội viễn thông quốc tê (ITU) định chuẩn X.509 vào năm 1988 (phiên 1) Phiên (1993) chuẩn X.509 phát hành với trường tên nhận dạng bổ sung Phiên (1997) chuẩn X.509 bổ sung thêm trường mở rộng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 90 Phiên chuẩn chứng nhận X.509 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 91 Mơ tả Một chứng nhận khóa cơng cộng kết buộc khóa cơng cộng với nhận diện người (hoặc thiết bị) Khóa cơng cộng tên thực thể sở hữu khóa hai mục quan trọng chứng nhận Hầu hết trường khác chứng nhận X.509 phiên chứng tỏ có ích 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 92 Mơ tả số trường Signature Algorithm: Thuật tốn chữ ký rõ thuật tốn mã hóa CA sử dụng để ký giấy chứng nhận Subject Name: X.500 DN (X.500 Distinguised Name – X.500 DN), xác định đối tượng sở hữu giấy chứng nhận mà sở hữu khóa cơng cộng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 93 (tiếp) Public key: Xác định thuật tốn khóa cơng cộng (như RSA) chứa khóa cơng cộng định dạng tuỳ vào kiểu Extensions: Chứa thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng nhận Trường giới thiệu X.509 phiên Signature: Đây chữ ký điện tử tổ chức CA áp dụng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 94 4.3.3 Kho lưu trữ chứng nhận – Certificate Repository (CR) Một kho chứng nhận sở liệu chứa chứng nhận phát hành CA Kho tất người dùng PKI 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 106 4.4 Chu trình quản lý giấy chứng nhận Khởi tạo Yêu cầu giấy chứng nhận Tạo lại chứng nhận Hủy bỏ chứng nhận Lưu trữ khơi phục khóa 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 107 4.4.1 Yêu cầu giấy chứng nhận Hầu hết CA sử dụng hai phương thức tiêu chuẩn yêu cầu chứng nhận : PKCS #10 CRMF 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 108 Mẫu yêu cầu chứng nhận theo chuẩn PKCS#10 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 109 Định dạng thông điệp yêu cầu chứng nhận theo RFC 2511 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 110 4.4.2 Hủy bỏ chứng nhận Certificate Revocation List (CRL) cách thông dụng để phổ biến thông tin hủy bỏ CRL chứa thông tin thời gian nhằm xác định thời điểm tổ chức CA phát hành CA ký CRL với khóa bí mật dùng để ký chứng nhận 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 111 Phiên định dạng danh sách chứng nhận bị hủy 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 112 4.5 Các mơ hình CA Mơ hình tập trung 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 113 Nhận xét Tất chứng nhận khóa cơng cộng ký tập trung tổ chức CA xác nhận khóa cơng cộng CA Khuyết điểm mơ hình tượng “nút cổ chai” trung tâm 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 114 Mô hình phân cấp 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 115 Nhận xét Tổ chức CA phân thành nhiều cấp, tổ chức CA cấp cao ký vào chứng nhận khóa công cộng tổ chức CA trực tiếp Một chứng nhận khóa cơng cộng người sử dụng ký tổ chức CA cục 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 116 The Mesh architecture of a PKI framework 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 117 The Extended Trust List architecture of a PKI framework 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 118 The Cross-certified architecture of a PKI framework 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 119 The Bridge CA architecture of a PKI framework 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 120 ... để chuyển mã khóa cơng cộng đến người nhận 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 86 Các thành phần chứng nhận khóa cơng cộng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 87... chứng nhận 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 98 4.3 Các thành phần cở sở hạ tầng khóa cơng cộng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 99 Mơ hình Certification Authority... băm, mã hóa với khóa bí mật tổ chức CA phát hành chứng nhận 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 96 Q trình ký chứng nhận 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 97 Quá