TRƢỜNG ĐẠI HỌC QUỐC GIA TRƢỜNG ĐẠI HỌC CÔNG NGHỆ BÙI THỊ NGA NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI Ngƣời hƣớng dẫn: TS Nguyễn Ngọc Cƣơng Hà Nội, ngày 22 tháng 10 năm 2007 -3 _ MỤC LỤC Lời cảm ơn Lời cam đoan Mục lục Danh mục từ viết tắt Danh mục hình vẽ MỞ ĐẦU Chƣơng - MẬT MÃ KHỐ CƠNG CỘNG 1.1 Hệ mật mã đối xứng không đối xứng 1.1.1Mật mã khoá đ 1.1.2Mật mã khoá c 1.2 Các dịch vụ mật mã khoá cơng khai 1.2.1An tồn n 1.2.2Sự mã hoá 1.2.3Chữ ký số 1.2.4Tính tồn vẹn 1.2.5Sự thiết lập kh 1.2.6Các dịch vụ kh Chƣơng - CÁC KHÁI NIỆM CƠ SỞ HẠ TẦNG VÀ CÁC DỊCH VỤ PKI 2.1 Các khái niệm sở hạ tầng CSHT khố cơng khai 2.1.1Thẩm quyền ch 2.1.2Kho chứng 2.1.3Huỷ bỏ chứng 2.1.4Sao lưu khơ 2.1.5Cập nhật khố 2.1.6Lịch sử khoá 2.1.7Chứng thực ch 2.1.8Hỗ trợ chống c 2.1.9Tem thời gian 2.1.10 Phần mềm máy khách 2.2 Các dịch vụ PKI 2.2.1Các dịch vụ lõ 2.2.2Các dịch vụ m Chƣơng - VẤN ĐỀ CẤP PHÁT QUẢN LÝ, THU HỒI CHỨNG CHỈ 3.1 Các chứng chứng thực 3.1.1Các chứng _ Nghiên cứu sở hạ tầng khố cơng khai -4 _ 3.1.2Một số khn dạn 3.1.3Các sách ch 3.1.4Thẩm quyền chứn 3.1.5Thẩm quyền đăng 3.2Quản lý khoá chứng 3.2.1Giai đoạn khởi tạ 3.2.2Giai đoạn sau phá 3.2.3Giai đoạn huỷ bỏ 3.3Huỷ bỏ chứng 3.3.1Mở đầu 3.3.2Các kỹ thuật công Chƣơng - NGHIÊN CỨU VỀ CÁC LUẬT CHỮ KÝ ĐIỆN TỬ 4.1Một số luật chữ ký số 4.1.1E-Sign 4.1.2Luật chữ ký điện 4.1.3Luật chữ ký điện 4.2Một số quan tâm luật pháp PKI 4.2.1Các yêu cầu cho C 4.2.2Các vai ch Chƣơng - PKI TRONG THỰC TẾ VÀ TƢƠNG LAI 5.1PKI thực tế 5.2Tương lai PKI 5.3Triển khai ứng dụng 5.3.1Yếu tố giá 5.3.2Các vấn đề triển k Chƣơng - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 6.1Mục đích 6.2Tổng quan hệ thống 6.2.1Mơ hình hệ thống 6.2.2Các thành phần c 6.2.3Một số đặc tính c 6.2.4Quá trình khởi tạo số VnpCert 6.2.5Qui trình đăng ký 6.3Cấu trúc vật lý vấn đề đảm bảo an toàn c KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC _ Nghiên cứu sở hạ tầng khố cơng khai -5 _ Danh mục từ viết tắt ACL API ARLs CA CARL CP CPS CRL CSHT DLL DN DNS DS EPRL FTP HTTP IETF IKE IPsec IT LAN LDAP LRA MD5 OCSP OID PGP PKCS PKI PKIX RA RAO RFC Access Control List Application Program Interface Authority Revocation Lists Certification Authority Certification Authority Revocation List Certificate Policy Certification Practice Statement Certificate Revocation List Cơ sở hạ tầng Dynamic Link Library Distinguished Name Domain Name System Directory Server End-entity Public-Key Certificate Revocation List File Transfer Protocol Hyper Text Transfer Protocol Internet Engineering Task Force Internet Key Exchange IP Security Information Technology Local Area Network Lightweight Directory Access Protocol Local Registration Authorities Message Digest Algorithm Online Certificate Status Protocol Object Identification Pretty Good Privacy Public Key Cryptography Standards Public Key Infrastructure Public Key Infrastructure X.509 Working Group Registration Authority Registration Authority Operator Request For Comments _ Nghiên cứu sở hạ tầng khoá công khai -6 _ RSA SHA S/MIME SPKI SSL TLS URL UTC VPN Rivest Shamir Adleman Secure Hash Algorithm Secure Multipurpose Internet Mail Extensions Simple Public Key Infrastructure Secure Socket Layer Transport Layer Security Uniform Resource Locator Coordinated Universal Time Virtual Private Network _ Nghiên cứu sở hạ tầng khố cơng khai -7 _ Danh mục hình vẽ Hình 3.1: Cấu trúc chứng phiên Hình 3.2: Cấu trúc chứng SET Hình 3.3: Quản lý vịng đời khố/chứng Hình 3.4: Kịch khởi tạo thực thể đầu cuối Hình 3.5: Các kịch huỷ bỏ chứng Hình 3.6: Mơ hình huỷ bỏ chứng Hình 3.7: Cấu trúc CRL phiên Hình 4.1: Các vai trị mối nghi ngờ thông thường Hình 6.1: Mơ hình VnpCert phân cấp hai tầng Hình 6.2: CA thành phần liên kết với CA Hình 6.3: Chứng hệ thống VnpCert cung cấp Hình 6.4: USB Token dung hệ thống VnpCert Hình 6.5: Mơ hình đăng ký cấp chứng số Hình 6.6: Mẫu đăng ký chứng số cho cá nhân hệ thống VnpCert cung cấp 112 Hình 6.7: Nội dung tệp yêu cầu cấp chứng Hình 6.8: Chứng lưu khố cơng khai RootCA hệ thống VnpCert Hình 6.9: Chứng người sử dụng Hình 6.10: Giấy chứng nhận cấp chứng số cho người dùng Hình 6.11: Qui trình huỷ bỏ chứng Hình 6.12: Mơ hình cung cấp chứng số VnpCert giải pháp đảm bảo an toàn cho hệ thống cung cấp chứng số mạng nội _ Nghiên cứu sở hạ tầng khố cơng khai -8 _ MỞ ĐẦU Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Hạ tầng truyền thông IT ngày mở rộng, người sử dụng dựa tảng để truyền thông, giao dịch với đồng nghiệp, đối tác kinh doanh Các thông tin truyền mạng quan trọng thông tin mật, mã số tài khoản… Tuy nhiên nguy ăn cắp qua mạng ngày gia tăng với thủ đoạn tinh vi, cần phải có biện pháp để bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lộ thơng tin Cấu trúc hạ tầng mã khố cơng cộng (PKI – Public Key Infrastructure – hay gọi hạ tầng khố cơng cộng hạ tầng mã khố cơng khai) tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập mà sử dụng để giải vấn đề PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng điện tử (digital certificates) khố cơng khai bí mật Ngồi việc bảo đảm an tồn cho thơng tin liên lạc lưu trữ, PKI cịn tạo sở pháp lý để giải có tranh chấp Sáng kiến PKI đời năm 1995, mà tổ chức cơng nghiệp phủ xây dựng tiêu chuẩn chung dựa phương pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ quản lý lý thuyết cho phép người sử dụng tổ chức (doanh nghiệp phi lợi nhuận) tạo lập, lưu trữ trao đổi thông tin cách an tồn phạm vi cá nhân cơng cộng Nội dung luận văn tập trung vào nghiên cứu sở hạ tầng khố cơng khai: Các khái niệm, nội dung, hoạt động liên quan tới PKI Những xem xét triển khai, thảo luận vấn đề thực tế định liên quan tới việc triển khai PKI giới thực Luận văn trình bày sau Chương 1: Mã khố cơng cộng _ Nghiên cứu sở hạ tầng khố cơng khai -9 _ Chương trình bày khái niệm mã khố cơng cộng Khái niệm mật mã đối xứng không đối xứng, ưu điểm nhược điểm hai hệ mật dịch vụ mật mã khố cơng khai Chương 2: Các khái niệm sở hạ tầng dịch vụ PKI Trong chương đưa thảo luận sở hạ tầng cho mục đích an tồn dựa việc xem xét sở hạ tầng rộng khắp Các dịch vụ PKI bao gồm dịch vũ lõi dịch vụ hỗ trợ PKI Chương 3: Vấn đề cấp phát quản lý, thu hồi chứng Chương xem xét tồn q trình quản lý vịng đời khố/chứng bao gồm tạo, cơng bố, cập nhật, kết thúc, lịch sử khoá, lưu khoá phục hồi khoá Đồng thời thảo luận kỹ thuật chung thu hồi chứng Chương 4: Nghiên cứu luật chữ ký điện tử Thảo luận số luật luật E-sign, luật chữ ký điện tử EU, luật chữ ký điện tử Việt Nam số quan tâm luật pháp PKI gồm trách nhiệm CA, trách nhiệm bên đăng ký trách nhiệm bên sử dụng Chương 5: PKI thực tế tương lai PKI thực tế, tập trung vào việc sử dụng PKI giới thực làm sáng tỏ số hiểu lầm chung nguồn gốc nhầm lẫn việc PKI làm khơng làm PKI tương lai, xem xét đến câu hỏi thường đưa ra: Tại PKI chưa “cất cánh”? Chương cung cấp ý kiến việc chấp nhận PKI chậm nhiều người mong đợi thảo luận Chương 6: Xây dựng hệ thống cung cấp chứng số Dựa mơ hình quản lý hoạt động công ty Vinaphone, xây dựng hệ thống cung cấp chứng số VnpCert ứng dụng công ty Hệ thống dùng để cấp phát quản lý chứng chỉ, xác thực người dùng, cần thu hồi lại chứng cấp _ Nghiên cứu sở hạ tầng khố cơng khai -10 _ Chƣơng - MẬT MÃ KHOÁ CƠNG CỘNG 1.1 Hệ mật mã đối xứng khơng đối xứng Đã từ lâu kể từ người giao tiếp với nhau, ln có mong muốn giữ cho việc giao tiếp bí mật người khơng dự định trước Qua hàng nghìn năm, nhiều phương pháp nhằm mục đích che dấu liệu phát minh Một lớp phương pháp thử biến đổi từ, ký tự hay bit giao tiếp thành dạng nhìn giống sai cú pháp thơng điệp có nghĩa Người nhận dự định trước phải có khả chuyển dạng sai cú pháp trở lại dạng gốc để đọc thông điệp người gửi, người nhận khác chẳng hạn người nghe trộm khôi phục dạng gốc[7] Tồn hai loại chế phục vụ cho việc chuyển văn thành dạng sai cú pháp ngược lại, mật mã khố đối xứng (khố bí mật) mật mã khố cơng khai (khố cơng cộng) 1.1.1 Mật mã khoá đối xứng Cho tới năm 1970, chế biết đến dùng để biến đổi thông điệp thành dạng khác ngược lại: Người gửi người nhận đự định chia sẻ số thơng tin bí mật, thơng tin bí mật làm để biến đổi thực Một ví dụ tiếng: Mỗi ký tự thông điệp gốc thay ký tự đứng sau 13 ký tự bảng chữ Tiếng anh Ví dụ A thay N, B thay O, Z thay M Trong trường hợp này, thơng tin an tồn để chuyển dạng sai cú pháp thành thơng điệp đọc tương tự trên: ký tự thứ 13 đứng trước N A, trước O B trước M Z[7] Thông tin bí mật chia sẻ gọi khố Việc biến đổi từ dạng ban đầu thành dạng khác gọi mã hoá, việc biến đổi ngược lại thành dạng ban đầu gọi giải mã Thông điệp gốc gọi rõ, thơng điệp mã hố thành dạng khác, gọi mã, sau người nhận giải mã trở thành rõ tương _ Nghiên cứu sở hạ tầng khố cơng khai -11 _ ứng Toàn chế bí mật gọi hệ mật mã (bao gồm mã hoá giải mã) [3,4] Hệ mật đối xứng có đặc điểm sau:  Khoá mã hoá khoá giải mã giống (như ví dụ hai có giá trị 13)  Khoá dễ dàng lấy từ khoá (sự mã hố hồn thành ln phiên sau 13 ký tự, giải mã hoàn thành việc luân phiên trước 13 ký tự) Mặc dù mật mã đối xứng có số ưu điểm (kích cỡ nhỏ tốc độ mã hố giải mã lên tới 10Mbs hơn), chúng có số mặt hạn chế:  Cần bảo đảm an tồn cho khố trao đổi  Việc bắt đầu giao tiếp an tồn người khơng biết từ trước gặp khó khăn  Gặp khó khăn qui mô việc lưu trữ, quản lý khóa 1.1.2 Mật mã khố cơng khai Để giải vấn đề phân phối thoả thuận khoá mật mã khoá đối xứng, năm 1976 Diffie Hellman đưa khái niệm hệ mật mã khố cơng khai phương pháp trao đổi công khai, để tạo khố bí mật chung mà tính an tồn bảo đảm độ khó tốn tốn học cụ thể (là tốn tính “logarit rời rạc”)[8] Hệ mật mã khố cơng khai hay cịn gọi hệ mật mã phi đối xứng sử dụng cặp khố, khố mã hố cịn gọi khố cơng cộng (public key) khố giải mã gọi khố bí mật hay khóa riêng (private key) Trong hệ mật này, khoá mã hoá khác với khoá giải mã Về mặt tốn học từ khố cơng cộng khó tính khố bí mật Biết khố khơng dễ dàng tìm khố Khố giải mã giữ bí mật khố mã hố cơng bố cơng khai Một người sử dụng khố cơng khai để mã hố tin tức, có người có khố giải mã có khả xem rõ Người gửi Alice mã hố thơng điệp khóa công cộng người nhận người nhận Bob giải mã thơng điệp với khố riêng tương ứng _ Nghiên cứu sở hạ tầng khố cơng khai -113 _ NTY3OC0xMi0xMi0xOTk3LTE5LTEtMTk3OTEQMA4GA1UECBMHRTE1LkJDQTESMBAG A1UECxMJTXlDQSBVc2VyMRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEw JW TjCBnjANBgkqhkiG9w0BAQEFAAOBjAAwgYgCgYBAAAC9WqCMDvBU4AEYs0dpQqjS X0IBKKWNYKusKrjdhCE9HVLNq912t2oJgVDgNulxIQ1Nmuox489FVfkXY4cWP8SR 0vYDxu3LU4rTb8gJNkf/Ek27ma8Cc0cyWc3+/hj9s0ksstfEhMBf38ROGeqK8O5b OXKKL1+5S8Zb2oZJaQIDAQABoAAwDQYJKoZIhvcNAQEFBQADgYEABkH8kt2/NBUo fa6Gv600yxTJN3K3fLHX81y28y2ml79hZDwjxeo7fD30xD/dYmoyM0ljRq7MtEpL +bUr6FxAi8cSTFPgb+ao7ARede7Fhb6ZYU6HW6hkkWTbQfWDSIALrFZ6+1fwdMt9 kjCFYrevJO1JnG9cj59/EpEVSthgaHI= -END CERTIFICATE REQUEST - Hình 6.7: Nội dung tệp yêu cầu cấp chứng -BEGIN CERTIFICATE MIICXzCCAcigAwIBAgIBADANBgkqhkiG9w0BAQUFADBiMR4wHAYJKoZIhvcNAQkB Fg9Sb290Q0FAcHZraC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZr aDETMBEGA1UEChMKTXlDQSBHcm91cDELMAkGA1UEBhMCVk4wHhcNMDMwNjEwM Dcw MDI0WhcNMDUwNjA5MDcwMDI0WjBiMR4wHAYJKoZIhvcNAQkBFg9Sb290Q0FAcHZr aC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZraDETMBEGA1UEChM K TXlDQSBHcm91cDELMAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIG I AoGAQAAIAADgAAoAAGABkVmqO5jiCPjdOJ1n9uz/SUNbmyAZZDmfMryNpg06RKcw 4Kt12qqyx85IB7brmuCzyDKwPIatEjvZBqkrkGbUnmslVHg8/PauEf6UH+Z/WZ3L Lbvv779ne+M7Q3BVEXVMgmy7PE8tUdPI9JzAi1HzFKG+ +lcCAwEAAaMmMCQwDwYD VR0TAQH/BAUwAwEB/zARBglghkgBhvhCAQEEBAMCAAcwDQYJKoZIhvcNAQEFBQAD gYEAPImXkaSUYbxKWoFLp7n/nTdw0du9MzYsWB098aC5aUcnxI36zoO0dIFj6s75 JFGuO5Ihe9lw4gsua0e91YnrDejXRhKX+YeSiblnksnBvAThkE+4nH2r7CjrvbvG _ Nghiên cứu sở hạ tầng khố cơng khai -114 _ V5nO8V6H9+Um7plr5r4DP1Lz5K8Ar/H1pX6uuYfbyZ9kzWo= -END CERTIFICATE - Hình 6.8: Chứng lưu khố cơng khai RootCA hệ thống VnpCert Thông tin chi tiết chứng số Certificate: Data: Version: (0x2) Serial Number: 2000203 (0x1e854b) Signature Algorithm: sha256WithRSAEncryption Issuer: Email=VnpCA@gpc.com.vn, CN=VnpCert, OU=Vnp CA, O=VinaPhone,L=Ha Noi, ST=Ha Noi, C=VN Validity Not Before: Tue Sep 12 15:48:55 2007 GMT Not After : Tue Sep 12 15:48:55 2008 GMT Subject: Email=ngabt.omc@gpc.com.vn, CN=Bui thi Nga-07-10-198106061268, OU=OMC, O=Vinaphone, L= Cau Giay, ST= Ha Noi, C=VN Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1023 bit) Modulus (1023 bit): 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Client, S/MIME X509v3 Key Usage: _ Nghiên cứu sở hạ tầng khoá công khai -115 _ Digital Signature, Non Repudiation, Key Encipherment Netscape Comment: VnpCert User Certificate Signature Algorithm: sha256WithRSAEncryption 0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 -BEGIN CERTIFICATE MIIC4DCCAkmgAwIBAgIDHoVLMA0GCSqGSIb3DQEBBQUAMGIxHzAdBgkqhkiG9w0B CQEWEFJvb3RDQUB5YWhvby5jb20xDzANBgNVBAMTBlJvb3RDQTEMMAoGA1UECxMD RTE1MRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJWTjAeFw0wNDA1MTMw NjQ4NTVaFw0wNjA1MTMwNjQ4NTVaMIGzMSIwIAYJKoZIhvcNAQkBFhNob2FsbmhA dHJpY2hzYWkuYmNhMUUwQwYDVQQDEzxMdW9uZyBOZ3V5ZW4gSG9hbmcgSG9hLTIw MDAyMDMtMTIzNDU2NzgtMTItMTItMTk5Ny0xOS0xLTE5NzkxEDAOBgNVBAgTB0Ux NS5CQ0ExEjAQBgNVBAsTCU15Q0EgVXNlcjETMBEGA1UEChMKTXlDQSBHcm91cDEL MAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGIAoGAQAAAvVqgjA7w VOABGLNHaUKo0l9CASiljWCrrCq43YQhPR1SzavddrdqCYFQ4DbpcSENTZrqMePP RVX5F2OHFj/EkdL2A8bty1OK02/ICTZH/xJNu5mvAnNHMlnN/v4Y/bNJLLLXxITA X9/EThnqivDuWzlyii9fuUvGW9qGSWkCAwEAAaNTMFEwCQYDVR0TBAIwADARBglg hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMCQGCWCGSAGG+EIBDQQXFhVNeUNB IFVzZXIgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQADgYEACgWTplr0xo2WfCjV aZ75MSr4OxV9w6LrD1pnke3Cm+po8tp3Fh9eks+Osmcr8jjGvsYV6h80Pdi4UWoz k4Rvy2IHP2tm2oPO5O9Eb3uBUcoUsgCXiTQ1Z4uVca3bnS3P0Cwh6wfqOoLiOseB 79HhHHAm4yX1V+ojxEttPH+cAlU= -END CERTIFICATE - Hình 6.9: Chứng người sử dụng _ Nghiên cứu sở hạ tầng khố cơng khai -116 _ GIẤY CHỨNG NHẬN CHỨNG CHỈ SỐ Họ tên : Bùi Thị Nga Ngày tháng năm sinh: 07/10/1981 Số CMND: 06061268 Chứng dùng cho: Mail Tổ chức: VinaPhone Đơn vị: OMC Thành Phố: Hà Nội Quận: Cầu Giấy Quốc tịch: Việt Nam Tên CA: VnpCertCA Phương pháp ký: Sha256withRASEncription Chứng có hiệu lực từ 11:30:00 giờ, ngày 12/09/2007 đến 11:30:00 giờ, ngày 12/09/2008 Nội dung chứng là: Khố cơng khai dùng cho Mail(1023bit) 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 _ Nghiên cứu sở hạ tầng khố cơng khai -117 _ Chữ ký số chứng : 0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 Ngày 12/09/2007 Người sử dụng chứng Người đại diện cấp chứng Hình 6.10: Giấy chứng nhận cấp chứng số cho người dùng Qui trình huỷ bỏ chứng Trong trình sử dụng chứng chưa hết thời hạn sử dụng người dùng yêu cầu huỷ bỏ chứng với nhiều lý do: chuyển công tác, thay đổi địa e-mail, nghi ngờ lộ khố bí mật… _ Nghiên cứu sở hạ tầng khố cơng khai -118 _ 1a User CA Hình 6.11: Qui trình huỷ bỏ chứng 1a Người sử dụng đến trung tâm RAO để thực huỷ bỏ chứng 1b Người quản trị RAO đưa yêu cầu huỷ bỏ chứng lên RA RA kiểm tra chữ ký người dùng yêu cầu huỷ bỏ chứng chỉ, thấy ký sau chuyển sang máy CA Nếu ngược lại không ký vào yêu cầu huỷ bỏ chứng không chuyển sang máy CA, báo cho RAO biết CA kiểm tra chữ ký RA yêu cầu huỷ bỏ, ký vào yêu cầu huỷ bỏ chứng chỉ, đồng thời thu hồi lại khố bí mật token từ người dùng Nếu khơng không ký thông báo lại cho RA CA cập nhật lại CRL Directory Server 5a RAO cập nhật danh sách chứng bị huỷ bỏ 5b Người dùng RAO cấp giấy chứng nhận huỷ bỏ chứng 6.3 Cấu trúc vật lý vấn đề đảm bảo an tồn cho hệ thống Có nhiều cách PKI thiết kế vật lý Ở thành phần PKI thi hành hệ thống riêng biệt, là, CA hệ thống, RA hệ thống khác máy chủ thư mục hệ thống _ Nghiên cứu sở hạ tầng khố cơng khai -119 _ khác Bởi hệ thống có liệu nhạy cảm, chúng nên đặt sau tường lửa internet tổ chức Hệ thống CA đặc biệt quan trọng tổn thương cho CA phá vỡ toàn hệ thống hoạt động PKI phải bắt đầu với chứng Do đó, việc đặt hệ thống CA đằng sau tường lửa cơng ty để bảo vệ từ internet từ hệ thống cơng ty Dĩ nhiên, tường lửa công ty cho phép giao tiếp CA RA hệ thống thích hợp khác Song song với việc bảo vệ mạng vậy, mặt vật lý, hệ thống CA cần đặt phòng riêng biệt xây dựng bảo vệ đặc biệt Hệ thống VnpCert thiết kế thực lưu toàn khố bí mật chứng người dùng ngày lần, để đảm bảo an toàn cho hệ thống liệu lưu cần bảo vệ đặc biệt tách biệt hoàn toàn với hệ thống CA hoạt động (đề phòng trường hợp hoả hoạn, nơi CA hoạt động bị phá huỷ ) Hệ thống VnpCert liên quan nhiều tới vấn đề pháp lý cơng ty cần kiểm tra chặt chẽ, đảm bảo yêu cầu kỹ thuật chất lượng dịch vụ hệ thống CA Việc báo cáo định kỳ hoạt động CA cần thực tuần lần Việc kiểm tra CA cần tiến hành định kỳ ngày lần kiểm tra đột xuất cần thiết Đồng thời cần xây dựng sách chứng thực để đảm bảo hệ thống hoạt động an toàn ổn định Để đảm bảo cho user các hệ thống riêng biệt muốn truy cập chứng công ty thuận lợi đồng thời lại đảm bảo an toàn cho hệ thống, thư mục cần sẵn sằng cho user tổ chức khác internet Một giải pháp tạo thư mục mà chứa khố cơng khai hay chứng chỉ, CRLs định vị thư mục đường biên công ty Thư mục xem thư mục đường biên Một vị trí phù hợp cho thư mục bên ngồi tường lửa cơng ty đoạn mạng bảo vệ để sẵn sàng cơng khai bảo vệ tốt khỏi công _ Nghiên cứu sở hạ tầng khố cơng khai -120 _ Máy chủ thư mục định vị mạng bảo vệ tổ chức định kỳ làm lại thư mục đường biên với chứng hay cập nhật tới chứng hữu CRLs Những người sử dụng bên công ty sử dụng máy chủ thư mục chính, hệ thống, tổ chức khác user truy cập tới thư mục đường biên DS Firewall RootCA RA RAO Firewall Directory Border Gate way WAN Firewall RAO1 Firewall RA1 Hình 6.12: Mơ hình cung cấp chứng số VnpCert giải pháp đảm bảo an toàn cho hệ thống cung cấp chứng số mạng nội _ Nghiên cứu sở hạ tầng khố cơng khai -121 _ KẾT LUẬN PKI chủ đề phức tạp phong phú, bao quanh tất khía cạnh u cầu để biến mật mã khố công khai thành tảng CSHT cho dịch vụ bảo mật xác thực PKI, mô tả định nghĩa mở rộng, chứa đựng mặt chức để có phạm vi an tồn rộng cần thiết Một thi hành PKI cụ thể cho môi trường hoạt động cụ thể khơng u cầu chức đầy đủ này, vài tập hợp chức mơ tả đầy đủ Tuy nhiên, định nghĩa mở rộng hữu ích PKI có mơ tả cần thiết cho môi trường ngày nay, cần thiết phát triển môi trường theo thời gian Trong luận văn này, sau trình bày PKI cách bản, vận dụng bước đầu vào thực tiễn, suy nghĩ đề xuất nên hệ thống cung cấp chứng số cho Công ty Dịch vụ viễn thông (Vinaphone) Ở đây, hệ thống không yêu cầu đầy đủ chức PKI Hơn nữa, nói nét bản, đưa vào ứng dụng chắn phải nghiên cứu bổ xung thêm Nội dung luận văn vấn đề phức tạp phong phú mà trình độ thời gian tác giả cịn nhiều hạn chế nên khơng tránh khỏi nhiều thiếu sót Tơi xin chân thành tiếp thu ý kiến đóng góp để hiểu vận dụng vào thực tế có hiệu _ Nghiên cứu sở hạ tầng khố cơng khai -122 _ TÀI LIỆU THAM KHẢO Tiếng Việt Lê Mỹ Tú, Trần Duy Lai (2006), Giáo trình chứng thực điện tử, Hà Nội Nguyễn Minh Dân (2004), Một số vấn đề triển khai chứng thực điện tử Việt Nam, Hà Nội Phan Đình Diệu (1999), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc Gia Hà Nội, Hà Nội Trịnh Nhật Tiến (2004), Bài giảng: “một số vấn đề an toàn liệu” Tiếng Anh American Bar Association (1995), Digital Signature Guidelines: Legal Infrastructure for Certification Authorities and Electronic Commerce Brands, S (2000), Rethinking Public Key Infrastructures and Digital Certificates: Building in Privacy, Cambridge Carlisle Adams, Steve Lloyd (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Addison-Wesley, New York Diffie, W., and M Hellman (1976), "New Directions in Cryptography", IEEE Transactions on Information Theory, pp 644–654 ITU-T Recommendation X.509 (1997), “Information technology-Open systems interconnection-The directory: Authentication framework” 10 ITU-T Recommendation X.509 (2000), “Information technology-Open systems interconnection-The directory: Public key and attribute certificate frameworks” 11 Menezes A P van Oorschot, S Vanstone (1997), Handbook of Applied Cryptography, Boca Raton Một số RFC 12 Dusse, S., P Hoffman, B Ramsdell, L Lundblade, and L Repka (1998), S/MIME Version Message Specification, Internet Request for Comments 2311 _ Nghiên cứu sở hạ tầng khố cơng khai -123 _ 13 Dusse, S., P Hoffman, B Ramsdell, and J Weinstein (1998), S/MIME Version Certificate Handling, Internet Request for Comments 2312 14 Kent, S., and R Atkinson (1998), Security Architecture for the Internet Protocol, Internet Request for Comments 2401 15 Housley, R (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459 16 Housley, R., W Polk, W Ford, and D Solo (2002), Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile, Internet Request for Comments 3280 17 Ramsdell, B (1999), S/MIME Version Certificate Handling, Internet Request for Comments 2632 18 Ramsdell, B (1999), S/MIME Version Message Specification, Internet Request for Comments 2633 Một số Website 19 http://europa.eu.int/comm/internal_market/en/media/sign/Dir99-93- ecEN.pdf, “Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures” 20 http://grouper.ieee.org/groups/1363/index.html, “Institute of Electrical and Electronics Engineers Standards Association Working Group P1363” 21 http://myhome.naver.com/t0pp0/source/0672323915_bib01.html, “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition” 22 http://www.ietf.org/html.charters/pkix-charter.html, “The PKIX Working Group Charter” _ Nghiên cứu sở hạ tầng khố cơng khai -124 _ PHỤ LỤC Một số chuẩn mật mã khố cơng khai PKCS PKCS - Public Key Cryptography Standards chuẩn mã hố khố cơng khai phịng thí nghiệm RSA phát triển Chuẩn PKCS cung cấp định nghĩa định dạng liệu thuật toán sở tảng việc triển khai PKI PKCS#1 RSA Encryption Standard – Mã ký sử dụng hệ mã công khai RSA PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoá Diffie-Hellman PKCS#3 mơ tả phương pháp thực trao đổi khố DiffieHellman PKCS#5 Password-based Encrytion Standard - Chuẩn mã hoá dựa password PKCS#5 mô tả phương pháp mã xâu bát phân sử dụng khố bí mật tính từ password để sinh xâu bát phân mã hoá PKCS # sử dụng để mã hố khố riêng việc truyền khố bí mật PKCS#6 Extended Certificate Syntax Standard - Chuẩn cú pháp chứng mở rộng PKCS # định nghĩa cú pháp chứng X.509 mở rộng PKCS#7 Crytographic Message Syntax Standard - Chuẩn cú pháp thông điệp mật mã PKCS#7 xác định cú pháp tổng thể liệu mã hố ví dụ chữ ký số PKCS#7 cung cấp số lựa chọn định dạng: message khơng mã hố ký số, message mã hố, message ký số message có ký số mã hoá PKCS#8 Private Key Information Syntax Standard - Chuẩn cú pháp thông tin riêng PKCS#8 định nghĩa cú pháp thơng tin khố riêng cú pháp khoá riêng mã hoá PKCS#9 Selected Attribute Types - Những loại thuộc tính lựa chọn PKCS#9 định nghĩa loại thuộc tính lựa chọn sử dụng chứng mở rộng PKCS#6, thông điệp ký số PKCS#7, thơng tin khố riêng PKCS#8 u cầu ký chứng PKCS#10 Những thuộc tính chứng rõ gồm có địa thư, loại nội dung, tóm tắt thơng điệp, thời gian ký, password yêu cầu thuộc tính chứng mở rộng _ Nghiên cứu sở hạ tầng khố cơng khai -125 _ PKCS#10 Certification Request Syntax Standard - Chuẩn cú pháp yêu cầu chứng PKCS#10 định nghĩa cú pháp yêu cầu chứng Yêu cầu chứng gồm tên phân biệt, khố cơng tập thuộc tính tuỳ chọn, chữ ký thực thể yêu cầu chứng PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ mật mã PKCS#11 xác định giao diện lập trình ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thông tin mã hoá (cũng khoá mã hoá chứng chỉ) thực chức mã hoá Smart Card thiết bị đặc trưng thực Cryptoki PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cú pháp trao đổi thông tin cá nhân PKCS#12 định nghĩa định dạng thông tin nhận diện cá nhân bao gồm khoá riêng, chứng chỉ, bí mật đặc tính khác mở rộng PKCS#12 làm cho việc truyền chứng khố bí mật gắn kèm thuận tiện, giúp người sử dụng chuyển thơng tin nhận diện cá nhân từ thiết bị sang thiết khác PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mã đường cong elliptic PKCS#13 bao gồm việc tạo tham số đường cong elliptic kiểm tra hiệu lực, tạo khố cơng nhận giá trị, chữ ký số mã hố khố cơng khai thoả thuận khoá PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số giả ngẫu nhiên Nhiều hàm mật mã sử dụng PKI tạo khoá thoả thuận khố bí mật Diffie – Hellman sử dụng liệu ngẫu nhiên Tuy nhiên liệu ngẫu nhiên lại không ngẫu nhiên mà chọn từ tập giá trị tiên đốn hàm mật mã khơng bảo mật đầy đủ Do tạo số giả ngẫu nhiên an toàn điều quan trọng bảo mật PKI _ Nghiên cứu sở hạ tầng khố cơng khai ... Nghiên cứu sở hạ tầng khố cơng khai -16 _ Chƣơng - CÁC KHÁI NIỆM CƠ SỞ HẠ TẦNG VÀ CÁC DỊCH VỤ PKI 2.1 Các khái niệm sở hạ tầng CSHT khố cơng khai Cơ sở hạ tầng xem... _ Nghiên cứu sở hạ tầng khố cơng khai -17 _ Định nghĩa sở hạ tầng khố cơng khai (PKI) PKI sở hạ tầng an toàn rộng khắp, dịch vụ cài... giống nhau: sở hạ tầng tồn cho thực thể đa chủng loại đơn giản “móc nối vào nó” sử dụng sở cần tới Cơ sở hạ tầng cho mục đích an ninh cần thừa nhận nguyên tắc đề xuất lợi ích tảng Cơ sở hạ tầng an