TRƢỜNG ĐẠI HỌC BÁCH KHOA TP HCM KHOA ĐIỆN – ĐIỆN TỬ BK TP.HCM LUẬN VĂN THẠC SĨ NGHIÊN CỨU ỨNG DỤNG VÀ TRIỂN KHAI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ DÙNG RIÊNG GVHD: TS LƢU THANH TRÀ TS NGUYỄN MINH HOÀNG HVTH: ĐỖ THANH NGUYÊN MSHV: 01407348 TP HỒ CHÍ MINH, 10/2010 Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Đại Học Quốc Gia Tp Hồ Chí Minh TRƢỜNG ĐẠI HỌC BÁCH KHOA ĐỖ THANH NGUYÊN NGHIÊN CỨU ỨNG DỤNG VÀ TRIỂN KHAI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ DÙNG RIÊNG Chuyên ngành : Kỹ Thuật Vô Tuyến Điện Tử LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 10 năm 2010 GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hướng dẫn khoa học : Cán chấm nhận xét : Cán chấm nhận xét : Luận văn thạc sĩ bảo vệ HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày tháng năm Lý lịch trích ngang: Họ tên: ĐỖ THANH NGUYÊN Ngày, tháng, năm sinh: 04/02/1982 Nơi sinh: Bình Dương Địa liên lạc: 194/3 Nguyễn Trọng Tuyễn, quận Phú Nhuận, Tp.HCM GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử TRƢỜNG ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHIÃ VIỆT NAM KHOA ĐIỆN – ĐIỆN TỬ Độc Lập - Tự Do - Hạnh Phúc Tp HCM, ngày 15 tháng 10 năm 2010 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: ĐỖ THANH NGUYÊN Ngày, tháng, năm sinh: 04/02/1982 Phái : Nam Nơi sinh: Bình Dương Chun ngành: Kỹ Thuật Vơ Tuyến Điện Tử MSHV: 01407348 1- TÊN ĐỀ TÀI: NGHIÊN CỨU ỨNG DỤNG VÀ TRIỂN KHAI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ DÙNG RIÊNG 2- NHIỆM VỤ LUẬN VĂN: Thiết kế triển khai dịch vụ chứng thực chữ ký số dùng riêng BKCA cho trường Đại Học Bách Khoa Tp.HCM 3- NGÀY GIAO NHIỆM VỤ : 9/2009 4- NGÀY HOÀN THÀNH NHIỆM VỤ : 10/2010 5- HỌ VÀ TÊN CÁN BỘ HƯỚNG DẪN (Ghi đầy đủ học hàm, học vị ): TS LƯU THANH TRÀ, TS NGUYỄN MINH HOÀNG Nội dung đề cương Luận văn thạc sĩ Hội Đồng Chuyên Ngành thông qua CÁN BỘ HƯỚNG DẪN CHỦ NHIỆM BỘ MÔN KHOA QL CHUYÊN NGÀNH (Họ tên chữ ký) QUẢN LÝ CHUYÊN NGÀNH (Họ tên chữ ký) (Họ tên chữ ký) GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành tới TS Lưu Thanh Trà TS Nguyễn Minh Hoàng, người thầy cho định hướng ý kiến q báu để tơi hồn thành luận án tốt nghiệp Tơi xin tỏ lịng biết ơn sâu sắc tới thầy cô, bạn bè giúp đỡ tơi tiến suốt q trình làm luận án tốt nghiệp Xin cảm ơn gia đình bè bạn, người ln khuyến khích giúp đỡ tơi hồn cảnh khó khăn Tơi xin cảm ơn môn Viễn Thông, khoa Điện – Điện Tử trường Đại Học Bách Khoa Tp.HCM tạo điều kiện cho tơi q trình học làm luận án Chân thành cảm ơn Ban Quản Lý Mạng hỗ trợ thiết bị cần thiết để triển khai luận án GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử TÓM TẮT LUẬN ÁN Luận án có tên Nghiên Cứu Ứng Dụng Triển Khai Dịch Vụ Chứng Thực Chữ Ký Số Dùng Riêng, xuất phát từ nhu cầu ứng dụng thực tế hệ thống mạng trường Đại Học Bách Khoa Tp.HCM Nội dung luận án thiết kế triển khai hệ thống chứng thực chứng thư số có tên BKCA dùng riêng cho trường Đại Học Bách Khoa Tp.HCM BKCA đưa vào thử nghiệm quản lý Ban Quản Lý Mạng sau luận án bảo vệ thành công GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Mục Lục Nội dung Mục tiêu luận văn 10 1.1 Nhu cầu xác thực giao dịch điện tử 10 1.2 Hiện trạng hệ thống chứng thực Việt Nam giới 10 1.3 Mục tiêu luận văn 11 PHẦN MỘT: HẠ TẦNG KHÓA CƠNG KHAI VÀ LÝ THUYẾT MÃ HĨA 12 Chứng thư số hạ tầng khóa cơng khai 12 2.1 Chứng thư số 12 2.1.1 Giới thiệu chứng thư số 12 2.1.2 Chứng thư khóa công khai X.509 14 2.1.3 Chính sách chứng thư 18 2.1.4 Công bố gửi thông báo thu hồi chứng thư 19 2.2 Hạ tầng khóa cơng khai (PKI) 22 2.2.1 Các thành phần PKI 22 2.2.2 Chức PKI 25 2.2.3 Các phạm vi ứng dụng hạ tầng khóa cơng khai PKI 29 2.2.4 Những vấn đề xây dựng hạ tầng PKI 29 2.3 Các kỹ thuật mã hóa sử dụng an ninh thông tin mạng 31 2.3.1 Các kỹ thuật mã hóa 31 2.3.2 Tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số Việt Nam 32 PHẦN HAI: TRIỂN KHAI HỆ THỐNG CHỨNG THỰC BKCA 35 Triển khai hệ thống chứng thực chữ ký số BKCA 35 3.1 Các gói phần mềm cần thiết để triển khai hệ thống chứng thực BKCA 35 3.1.1 Gói phần mềm OpenCA PKI 35 3.1.2 Gói phần mềm OpenCA Tools 36 3.1.3 Gói phần mềm Openssl 36 3.1.4 Gói phần mềm PERL 37 3.1.5 Gói phần mềm MySQL thiết kế sở liệu cho BKCA 38 3.1.6 Gói phần mềm Apache 42 3.2 Thiết kế hệ thống BKCA 43 3.2.1 Mơ hình dịch vụ chứng thực chữ ký số BKCA 43 3.2.2 Bảng thơng số cấu hình hệ thống chứng thực chữ ký số BKCA 44 GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng 3.3 Cài đặt cấu hình OpenCA Tools 46 3.3.2 Cài đặt cấu hình Openssl 46 3.3.3 Cài đặt cấu hình PERL PERL DBI 48 3.3.4 Cài đặt cấu hình sở liệu MySQL 49 3.3.5 Cài đặt cấu hình Apache 50 Tập tin cấu hình config.xml 55 3.4.2 Tập tin loa.xml 56 3.4.3 Tập tin cấu hình yêu cầu cấp chứng thư số 57 3.4.4 Tập tin cấu hình cho giao diện với BKCA 59 3.4.5 Tập tin cấu hình openssl 60 3.4.6 Tập tin cấu hình điều khiển truy cập 61 Khởi tạo dịch vụ chứng thực chữ ký số BKCA 62 3.5.1 Giai đoạn 1: tạo sở liệu BKCA chứng thư gốc 63 3.5.2 Giai đoạn 2: yêu cầu chứng thư cho quản trị CA 65 3.5.3 Giai đoạn 3: yêu cầu chứng thư cho quản trị RA 65 3.5.4 Giai đoạn 4: yêu cầu chứng thư cho CA server 65 3.6 Kiểm chứng hoạt động BKCA 67 3.6.1 Chức giao diện BKCA 68 3.6.2 Tạo yêu cầu chứng thư cho người dùng 70 3.6.3 Yêu cầu thu hồi chứng thư 76 3.6.4 Xác thực cấp chứng thư 77 3.6.5 Xác minh thu hồi chứng thư 79 3.7 Triển khai cấu hình BKCA từ OpenCA 54 3.4.1 3.5 Các bước cài đặt cấu hình gói phần mềm phụ thuộc 45 3.3.1 3.4 Chuyên ngành: Kỹ thuật điện tử Chứng thư hết hạn 81 Ứng dụng chứng thư số thư điện tử 81 4.1 Tạo chữ ký số cho thư điện tử 81 4.2 Mã hóa thư điện tử 83 4.3 Tích hợp ứng dụng chữ ký số vào SquirrelMail 84 Các ứng dụng khác chứng thư số 84 5.1 Chứng thư cho dịch vụ máy chủ web 84 5.2 Tạo chữ ký số cho tài liệu văn 88 Tài Liệu Tham Khảo 91 GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Mục lục hình Hình 1: Các đối tượng sử dụng chứng thư số 13 Hình 2: Định dạng chứng thư X.509 14 Hình 3: Định dạng CRL 20 Hình 4: Dịch vụ kiểm tra online 22 Hình 5: Các thành phần PKI 23 Hình 6: Mơ hình CA đơn 30 Hình 7: Mơ hình CA phân nhánh 30 Hình 8: Mơ hình sở liệu cho BKCA 39 Hình 9: Mơ hình BKCA triển khai 44 Hình 10: Yêu cầu chứng thư cho người dùng đầu cuối 58 Hình 11: Yêu cầu chứng thư cho dịch vụ máy chủ web 59 Hình 12: Các bước khởi tạo BKCA 63 Hình 13: Chứng thư hết hạn dụng 81 Hình 14: Chữ ký số hợp lệ 82 Hình 15: Email giải mã 83 Hình 16: Email ký mã hóa đồng thời 84 Hình 17: Quá trình thiết lập kết nối SSL 88 Hình 18: Quá trình tạo xác minh chữ ký 90 GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Mục tiêu luận văn 1.1 Nhu cầu xác thực giao dịch điện tử Chuyên ngành: Kỹ thuật điện tử Các hình thức giao dịch thông qua phương tiện điện tử cá nhân tổ chức ngày trở nên phổ biến Giao dịch điện tử bao gồm nhiều hình thức phong phú đa dạng việc gửi, nhận trao đổi liệu, thông tin qua mạng máy tính, ký kết hợp đồng, tốn điện tử, hóa đơn, chứng từ điện tử … tùy theo hình thức giao dịch, thơng tin truyền cần đảm bảo tính hợp pháp tin tưởng lẫn mức độ bảo mật thông tin truyền qua mạng cơng cộng, điển hình mạng internet Nhu cầu xác thực bên liên quan từ trở thành yếu tố quan trọng CA (Certificate Authority) hay gọi chứng thực chữ ký số cung cấp cung cấp chứng thư số (digital certificates) người dùng sử dụng chứng thư số để đảm bảo cho hoạt động giao dịch họ có tính hợp pháp tin tưởng lẫn Chứng thực chữ ký số hoạt động chứng thực danh tính người tham gia vào việc gửi nhận thông tin qua mạng, đồng thời, cung cấp cho họ công cụ, dịch vụ cần thiết để thực việc bảo mật thông tin, chứng thực nguồn gốc nội dung thông tin Hạ tầng công nghệ chứng thực chữ ký số sở hạ tầng khố cơng khai (PKI - Public Key Infrastructure - http://www.oasis-pki.org) với tảng mật mã khố cơng khai chữ ký số (digital certificate) Người sử dụng dịch vụ chứng thực chữ ký số quan cung cấp dịch vụ CA cấp chứng thư số phải gán cặp khố mã (khố bí mật khố cơng khai) để tham gia sử dụng chứng thực chữ ký số ứng dụng mà tham gia 1.2 Hiện trạng hệ thống chứng thực Việt Nam giới Trước nhu cầu sử dụng chứng thực chữ ký số ngày cao Việt Nam, thời gian qua có số đơn vị cung cấp thử nghiệm dịch vụ chứng thực chữ ký số VNPT [http://www.vnpt.com.vn], BkavCA [http://www.bkavca.vn], Viettel [http://www.viettel.com.vn], Nacencomm [http://www.nacencomm.com.vn/ThePKI.asp] FPT [http://fpt.com.vn/vn] Ngoài ra, số đơn vị thử nghiệm xây dựng CA dùng riêng Trung tâm Tin học Bộ Khoa học-Công nghệ, số ngân hàng Hệ thống chứng thực chữ ký số ứng dụng hầu hết nước phát triển Các công ty cung cấp dịch vụ xác thực chứng thư số tiêu biểu GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 10 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Lúc hệ thống thông báo xác minh chứng thư Lưu ý: danh sách chứng thư thu hồi phải cập nhật thường xun cho trình duyệt Danh sách cập nhật tự động lần ngày Danh sách cập nhật trực tiếp từ giao diện PUB: My Certificates  Get Current CRL Danh sách chứng thư thu hồi xem trực tiếp qua giao diện PUB: Information  Current CRL 3.6.4 Xác thực cấp chứng thƣ Thông thường xác thực thực RA (nơi nhận yêu cầu chứng thư từ phía người dùng) Các thơng tin xác thực tùy vào sách riêng tổ chức chứng thực mục đích sử dụng chứng thư Đối với chứng thư sử dụng để tạo, xác thực chữ ký số; mã hóa, giãi mã cho email việc xác thực GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 77 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử đơn giản chứng thư sử dụng cho mục đích xác minh danh tính người sở hữu Đối với BKCA, RA CA sử dụng chung sở liệu nên CA RA nhận yêu cầu Xác thực yêu cầu từ RA: Truy cập vào giao diện RA: https://bkca.hcmut.edu.vn/pki/ra Giao diện yêu cầu đăng nhập Truy cập vào yêu cầu chứng thư kiểm tra thông tin phù hợp với quy định BKCA RA dùng khóa bí mật để xác minh u cầu cách ký vào yêu cầu chuyển đến CA RA thơng báo đến phía u cầu u cầu chập nhận chứng thư cấp vào khoảng thời gian định Công việc RA xem hoàn tất Cấp chứng thư từ CA: Truy cập vào giao diện CA: https://bkca.hcmut.edu.vn/pki/ca Giao diện yêu cầu đăng nhập Đối với hệ thống chứng thực, CA thành phần offline CA cấp chứng thư từ giao diện web có truy cập vào khóa bí mật BKCA Điều xem khơng an tồn CA kiểm tra lại yêu cầu chữ ký RA ký vào yêu cầu GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 78 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử CA cấp chứng thư cho người dùng (ký vào khóa cơng khai u cầu) đồng thời lưu vào sở liệu (bảng certificate) Lưu ý: CA cấp phát chứng thư mà khơng cần xác thực từ RA RA lần thông báo đến phía yêu cầu chứng thư cấp phát Việc xác thực cấp phát chứng thư hoàn tất 3.6.5 Xác minh thu hồi chứng thƣ RA xác minh yêu cầu thu hồi từ phía người dùng ký vào yêu cầu thu hồi Từ giao diện RA: RA Operations  Revocation Requests  New Chọn chứng thư cần xác minh thực ký vào khóa bí mật RA u cầu thu hồi chuyển đến CA CA thu hồi chứng thư xác minh yêu cầu hợp lệ thông qua xác minh chữ ký RA Tương tự cấp phát chứng thư, CA thu hồi chứng thư trực tiếp mà không cần RA xác thực Việc RA xác thực yêu cầu thu hồi thường áp dụng cho hệ thống chứng thực có quy mô lớn hay chứng thư dùng cho giao dịch quan trọng cần chứng thực danh tánh bên Từ giao diện CA: CA Operations  Revocation Requests  Approved GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 79 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Chọn chứng thư cần thu hồi kiểm tra chữ ký RA ký vào yêu cầu Khi chữ ký hợp lệ, CA thu hồi chứng thư Chứng thư thu hồi lưu sở liệu openca (bảng crr) Khi CA thu hồi chứng thư, CA tạo danh sách chứng thư thu hồi nhằm cập nhật cho người dùng có chứng thư thu hồi: CA Operations  Issue New CLRs Đây định dạng CRL BKCA tạo ra: Certificate Revocation List (CRL): Version (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=VN/O=HCMC University of Technology/OU=Network Management Department/CN=BK Trust Center Last Update: Aug 28 04:08:46 2010 GMT Next Update: Aug 29 04:08:46 2010 GMT CRL extensions: X509v3 CRL Number: 20 Revoked Certificates: Serial Number: 35942CFCD8DBE5F33A29 Revocation Date: Aug 17 03:18:39 2010 GMT Serial Number: ACC2143F68B602361623 Revocation Date: Aug 28 04:06:51 2010 GMT Signature Algorithm: sha256WithRSAEncryption 46:82:70:dc:8c:17:e0:6f:96:2e:52:89:c2:1f:a4:18:ef:09: c1:9c:70:ca:8a:27:f6:89:02:e8:05:86:db:e3:0e:57:78:04: ec:b0:d5:fb:74:41:31:c1:3c:38:c6:75:97:75:7c:7b:2b:e6: c5:29:2c:63:3a:85:4b:dc:de:ea:6d:88:4d:d7:16:bf:6c:5e: 42:c5:41:28:a5:37:de:fe:d2:a3:fd:a6:7c:2a:19:65:b7:e5: 0e:2a:3d:3a:b3:85:8f:b4:e3:27:b0:6b:b9:3c:df:6c:b0:0c: f9:49:00:a6:b5:38:94:5d:da:cb:b1:8c:db:c5:4d:36:c1:b0: 0f:39:a6:1a:00:32:1c:04:be:04:be:a0:a5:b8:06:7d:04:2f: 01:b4:c1:93:87:14:a3:5f:c4:4e:02:ec:87:30:98:de:26:46: 2c:66:ff:db:ab:0b:55:85:a1:fd:59:7c:b5:75:14:03:c4:2e: 83:96:99:6b:87:6f:6a:8f:c3:97:e6:8e:9b:4b:b0:48:19:ad: 88:20:0e:25:a8:c3:a2:1d:aa:3d:42:f1:41:f9:94:62:cf:e4: a6:41:58:ee:3e:e0:e8:c4:08:79:ff:6c:9b:e8:25:42:2b:9c: 15:60:f8:29:a5:89:8b:d6:62:e2:a6:7e:61:64:f7:b8:29:03: 56:6e:c7:d5 -BEGIN X509 CRL MIICDTCB9gIBATANBgkqhkiG9w0BAQsFADB3MQswCQYDVQQGEwJWTjEmMCQGA1UE CgwdSENNQyBVbml2ZXJzaXR5IG9mIFRlY2hub2xvZ3kxJjAkBgNVBAsMHU5ldHdv cmsgTWFuYWdlbWVudCBEZXBhcnRtZW50MRgwFgYDVQQDDA9CSyBUcnVzdCBDZW50 ZXIXDTEwMDgyODA0MDg0NloXDTEwMDgyOTA0MDg0NlowOzAbAgo1lCz82Nvl8zop Fw0xMDA4MTcwMzE4MzlaMBwCCwCswhQ/aLYCNhYjFw0xMDA4MjgwNDA2NTFaoA4w DDAKBgNVHRQEAwIBFDANBgkqhkiG9w0BAQsFAAOCAQEARoJw3IwX4G+WLlKJwh+k GO8JwZxwyoon9okC6AWG2+MOV3gE7LDV+3RBMcE8OMZ1l3V8eyvmxSksYzqFS9ze 6m2ITdcWv2xeQsVBKKU33v7So/2mfCoZZbflDio9OrOFj7TjJ7BruTzfbLAM+UkA prU4lF3ay7GM28VNNsGwDzmmGgAyHAS+BL6gpbgGfQQvAbTBk4cUo1/ETgLshzCY 3iZGLGb/26sLVYWh/Vl8tXUUA8Qug5aZa4dvao/Dl+aOm0uwSBmtiCAOJajDoh2q PULxQfmUYs/kpkFY7j7g6MQIef9sm+glQiucFWD4KaWJi9Zi4qZ+YWT3uCkDVm7H 1Q== -END X509 CRL - RA thông báo lại cho phía yêu cầu chứng thư thu hồi BKCA không thực chứng thực với chứng thư GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 80 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng 3.7 Chuyên ngành: Kỹ thuật điện tử Chứng thƣ hết hạn Mỗi chứng thư có hạn sử dụng định kể chứng thư gốc để đảm bào tính an tồn Hạn dụng loại chứng thư khác khác tùy thuộc vào quy định tổ chức chứng thực Một chứng thư khơng cịn hạn dụng không xác thực tổ chức chứng thực Hình chứng thư hết hạn dụng Chứng thư có hạn dụng ngày Hình 13: Chứng thư hết hạn dụng Ứng dụng chứng thƣ số thƣ điện tử Có hai vấn đề cần quan tâm q trình trao đổi thư điện tử tính khơng thể chối bỏ tính bảo mật nội dung Các chứng thư cấp hạ tầng khóa cơng khai BKCA đảm bảo hai vấn đề này, tạo chữ ký số cho email mã hóa email 4.1 Tạo chữ ký số cho thƣ điện tử Chữ ký số email đảm bảo tính khơng thể chối bỏ tính tồn vẹn email Chữ ký số tạo sử dụng khóa bí mật để ký vào thơng điệp cần gửi Do có người sở hữu khóa bí mật tạo chữ ký cho thông GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 81 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử điệp cần gửi Chữ ký xác minh chứng thư bên tạo chữ ký, chứng thư xác thực tổ chức chứng thực (BKCA) độc lập với bên gửi nhận email Nếu khóa cơng khai hợp lệ chữ ký xác thực bên gửi khơng thể chói bỏ thơng điệp Chữ ký số tạo xác thực hầu hết ứng dụng gửi nhận email Mozilla Thunderbird, Windows Mail, Microsoft Outlook, … Nếu thông điệp ký bị thay đổi trình gửi chữ ký khơng cịn hợp lệ Do đảm bảo tính tồn vẹn thơng điệp chữ ký hợp lệ Chứng thư thường hay gửi kèm với thơng điệp ký để bên nhận xác minh chữ ký trường hợp bên nhận chưa có chứng thư bên gửi Các ứng dụng gửi nhận email bao gồm chức lưu lại chứng thư phía gửi email Hình minh họa chữ ký số xác thực phía nhận email Hình 14: Chữ ký số hợp lệ GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 82 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng 4.2 Chuyên ngành: Kỹ thuật điện tử Mã hóa thƣ điện tử Thư điện tử ln ln truyền dạng văn không mã hóa Để đảm bảo nội dung khơng đọc phần tử không mong muốn, email cần mã hóa trước gửi Email bên gửi mã hóa chứng thư bên nhận, có bên nhận có khóa bí mật để giải mã lại email Việc mã hóa thực bên gửi có chứng thư bên nhận Để có chứng thư bên cần nhận email, bên gửi tải từ giao diện PUB BKCA yêu cầu bên nhận gửi email ký lần trước thực mã hóa email Hình minh họa email giải mã phía nhận Hình 15: Email giải mã Lưu ý: thư điện tử ký mã hóa đồng thời gửi GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 83 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Hình 16: Email ký mã hóa đồng thời Trong trường hợp email ký trước sau mã hóa Nếu q trình mã hóa thực trước sau ký chữ ký giả mạo 4.3 Tích hợp ứng dụng chữ ký số vào SquirrelMail SquirrelMail dịch vụ webmail phát triển ngôn ngữ PHP, phần mềm mã nguồn mở SquirrelMail sử dụng phổ biến cho trường đại học, đại học Bách Khoa Tp HCM sử dụng gói phần mềm Một plugin cài đặt phép SquirrelMail xác thực chữ ký số giao diện web Việc xác thực thực máy chủ webmail SquirrelMail sau gửi đến trình duyệt web người dùng mà khơng cần tương tác từ phía người dùng Plugin xác thực chữ ký ký số cho SquirrelMail phát triển gần Paul Lesniewski môi trường mã nguồn mở Plugin sửa đổi cho phù hợp với nhu cầu ứng dụng BKMail BKCA Các ứng dụng khác chứng thƣ số 5.1 Chứng thƣ cho dịch vụ máy chủ web Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 84 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử server có kiểm sốt đường liệu hay kiểm sốt liệu có thâm nhập vào thơng tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: Xác thực: đảm bảo tính xác thực web server làm việc đầu kết nối Cũng vậy, web server cần phải kiểm tra tính xác thực người sử dụng Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận Toàn vẹn liệu: đảm bảo thông tin không bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn SSL phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố công khai để chắn certificate public ID server có giá trị cấp phát GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 85 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng Ví dụ gửi mã số credit card qua mạng người dùng thực muốn kiểm tra liệu server nhận thông tin có server mà họ định gửi đến khơng Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem certificate public ID server có giá trị hay không cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thơng tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi ra, tất liệu gửi kết nối SSL mã hố cịn bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu (đó thuật tốn băm – hash algorithm) Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Giao thức bắt tay SSL Giao thức SSL sử dụng kết hợp loại mã hố đối xứng cơng khai Sử dụng mã hoá đối xứng nhanh nhiều so với mã hố cơng khai truyền liệu, mã hố cơng khai lại giải pháp tốt qúa trình xác thực Một giao dịch SSL thường bắt đầu trình “bắt tay” hai bên (SSL handshake) Các bước q trình “bắt tay” tóm tắt sau: 1) Client gửi cho server số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên (đó digital signature) số thông tin khác mà server cần để thiết lập kết nối với client 2) Server gửi cho client số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà client cần để thiết lập kết nối với server Ngoài server gửi certificate đến client, yêu cầu certificate client cần GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 86 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử 3) Client sử dụng số thông tin mà server gửi đến để xác thực server Nếu server khơng xác thực người sử dụng cảnh báo kết nối không thiết lập Cịn xác thực server phía client thực tiếp bước 4) Sử dụng tất thông tin tạo giai đoạn bắt tay trên, client (cùng với cộng tác server phụ thuộc vào thuật toán sử dụng) tạo premaster secret cho phiên làm việc, mã hố khố cơng khai (public key) mà server gửi đến certificate bước 2, gửi đến server 5) Nếu server có yêu cầu xác thực client, phía client đánh dấu vào phần thơng tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trường hợp này, client gửi thông tin đánh dấu certificate với premaster secret mã hoá tới server 6) Server xác thực client Trường hợp client không xác thực, phiên làm việc bị ngắt Cịn client xác thực thành cơng, server sử dụng khố bí mật (private key) để giải mã premaster secret, sau thực số bước để tạo master secret 7) Client server sử dụng master secret để tạo session key, khố đối xứng sử dụng để mã hố giải mã thơng tin phiên làm việc kiểm tra tính tồn vẹn liệu 8) Client gửi lời nhắn đến server thông báo message mã hố session key Sau gửi lời nhắn mã hố để thơng báo phía client kết thúc giai đoạn “bắt tay” 9) Server gửi lời nhắn đến client thông báo message mã hoá session key Sau gửi lời nhắn mã hố để thơng báo server kết thúc giai đoạn “bắt tay” 10) Lúc giai đoạn “bắt tay” hoàn thành, phiên làm việc SSL bắt đầu Cả hai phía client server sử dụng session key để mã hoá giải mã thông tin trao đổi hai bên, kiểm tra tính tồn vẹn liệu GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 87 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Hình 17: Quá trình thiết lập kết nối SSL Chứng thư cho dịch vụ máy chủ web triển khai đề tài cho giao diện truy cập vào BKCA dạng CA RA: https://bkca.humut.edu.vn/pki/ca https://bkca.humut.edu.vn/pki/ra Q trình triển khai mơ tả phần 5.2 Tạo chữ ký số cho tài liệu văn Trong sống hàng ngày, ta cần dùng chữ ký để xác nhận văn tài liệu dùng dấu với giá trị pháp lý cao kèm với chữ ký Cùng với phát triển nhanh chóng cơng nghệ thơng tin, văn tài liệu lưu dạng số, dễ dàng chép, sửa đổi Nếu ta sử dụng hình thức chữ ký truyền thống dễ dàng bị giả mạo chữ ký Vậy để ký vào văn bản, tài liệu số vậy? GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 88 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Câu trả lời sử dụng chữ ký điện tử Chữ ký điện tử kèm với thông tin chủ sở hữu số thông tin cần thiết khác trở thành Chứng điện tử Vậy chữ ký điện tử chứng điện tử hoạt động nào? Chữ ký điện tử hoạt động dựa hệ thống mã hóa khóa cơng khai Hệ thống mã hóa gồm hai khóa, khóa bí mật khóa cơng khai (khác với hệ thống mã hóa khóa đối xứng, gồm khóa cho trình mã hóa giải mã) Mỗi chủ thể có cặp khóa vậy, chủ thể giữ khóa bí mật, cịn khóa cơng khai chủ thể đưa công cộng để biết Nguyên tắc hệ thống mã hóa khóa cơng khai là, ta mã hóa khóa bí mật khóa cơng khai giải mã thông tin được, ngược lại, ta mã hóa khóa cơng khai, có khóa bí mật giải mã Q trình ký văn tài liệu ứng dụng hệ thống mã hóa diễn nào? Trước hết, giả sử user A có tài liệu TL cần ký User A mã hóa tài liệu khóa bí mật để thu mã TL Như chữ ký tài liệu TL user A, mã TL Sau ký vậy, để xác nhận chữ ký? Giả sử user B muốn xác nhận tài liệu TL user A, với chữ ký mã TL User B dùng khóa cơng khai user A để giải mã mã TL user A Sau giải mã, user B thu giải mã TL, user ta so sánh giải mã TL tài liệu TL Nếu giải mã TL giống với tài liệu TL chữ ký user A Những vấn đề xảy gì? Một số trường hợp xảy với chữ ký điện tử, giống trường hợp xảy với chữ ký truyền thống Ví dụ, tài liệu TL A bị thay đổi (dù ký tự, dấu chấm, hay ký hiệu bất kỳ), B xác nhận, user ta thấy giải mã TL khác với tài liệu TL user A B kết luận tài liệu bị thay đổi, khơng phải tài liệu user A ký Trường hợp khác, user A để lộ khóa bí mật, nghĩa văn tài liệu user ký người khác có khóa bí mật A Khi xác nhận tài liệu cho A ký, chữ ký hợp lệ, A ký Như vậy, chữ ký A khơng cịn giá trị pháp lý Do đó, việc giữ khóa bí mật tuyệt đối quan trọng hệ thống chữ ký điện tử GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 89 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử User B User A Hash Algorithm Data Data Hash Algorithm User A Public Key Hash Value Hash Value User A Private key If hash values match, data came from the owner of the private key and is valid Hash Value Hình 18: Quá trình tạo xác minh chữ ký GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 90 HVTH: Đỗ Thanh Nguyên Nghiên cứu ứng dụng triển khai CA dùng riêng Chuyên ngành: Kỹ thuật điện tử Tài Liệu Tham Khảo [1] Warren Peterson, Udayo Ali Pabrai, Enterprise Security Solutions, SCP training course #079541, 2008 [2] Warren Peterson, Udayo Ali Pabrai, Advanced Implementation, SCP training course #079540, 2008 Sercurity [3] Brian Komar, Microsoft Windows Server 2003 PKI and Certificate Security, 2004 [4] Nhiều tác giả, Open PKI Handbook [5] Nghị định số 26/2007/NĐ-CP ngày 15 tháng năm 2007 chữ ký số dịch vụ chứng thực chữ ký số [6] Nghị định số 59/2008/NĐ-CP ngày 31 tháng 12 năm 2008 chữ ký số dịch vụ chữ ký số [7] Nguyễn Minh Hồng, giảng mơn học Mật Mã Hóa An Ninh Mạng 2009 [8] Các website: http://openca.org; http://sourceforge.net/; http://ww.rsa.com/; http://squirrelmail.org/; http://php.net/; http://www.perl.org; http://www.cpan.org; http://wikipedia.org; GVHD: TS Lưu Thanh Trà TS Nguyễn Minh Hoàng 91 HVTH: Đỗ Thanh Nguyên ... 01407348 1- TÊN ĐỀ TÀI: NGHIÊN CỨU ỨNG DỤNG VÀ TRIỂN KHAI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ DÙNG RIÊNG 2- NHIỆM VỤ LUẬN VĂN: Thiết kế triển khai dịch vụ chứng thực chữ ký số dùng riêng BKCA cho trường Đại... có chứng thư CA Chứng thư CA dùng để thực số chức Chứng thư hai dạng Nếu CA tạo chứng thư để tự sử dụng, chứng thư gọi chứng thư CA tự ký Khi CA thiết lập, CA tạo chứng thư CA tự ký để ký lên chứng. .. cơng khai chữ ký số (digital certificate) Người sử dụng dịch vụ chứng thực chữ ký số quan cung cấp dịch vụ CA cấp chứng thư số phải gán cặp khố mã (khố bí mật khố cơng khai) để tham gia sử dụng chứng