Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu hạ tầng khóa công khai (tt)

14 12 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN CÔNG SƠN NGHIÊN CỨU HẠ TẦNG CƠ SỞ KHĨA CƠNG KHAI CHUN NGÀNH: KỸ THUẬT VIỄN THƠNG Mã số: 60.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - NĂM 2014 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: GS-TS NGUYỄN BÌNH Phản biện 1:…………………………………………… Phản biện 2:…………………………………………… Luận văn bảo vệ trước hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc:….giờ… ngày….tháng….năm… Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông 24 KẾT LUẬN LỜI MỞ ĐẦU Qua vấn đề trình bày ta thấy tất vấn đề liên quan đến an ninh bảo mật thông tin vấn đề nhạy cảm, có liên quan mật thiết đến trị, an ninh, tình báo, kinh tế đối ngoại… Hiện nước ta nghiên cứu, xây dựng triển khai hệ thống PKI gồm số CA Về CA có khóa tập trung dự kiến đặt Roof CA Ban Cơ yếu thuộc Bộ nội vụ, sử dụng chủ yếu cho quan Nhà ước quan ban ngành liên quan Cịn CA khơng mang khoá tập trung phục vụ cho tất lĩnh vực kinh tế - xã hội thương mại điện tử, đặt Bộ Thơng tin Truyền thông Một câu hỏi tự nhiên đặt là: chịu trách nhiệm kiểm soát, giám sát an tồn thơng tin PKI vào hoạt động? Để kiếm sốt, giám sát an tồn thơng tin hệ thống PKI, trước hết cần nghiên cứu từ bây giờ, lỗ hổng hệ thống cách thức giám sat/kiểm soát để đảm bảo yêu cầu đặt Đây nhiệm vụ khó khăn ví liên quan đến kỹ thuật cao kiến thức toán học sâu sắc Do nên chuẩn bị trước nhân lực, công nghệ tổ chức thực Trên số ý kiến em vấn đề nghiên cứu hạ tầng khóa cơng khai Việt Nam Tuy nhiên luận văn nhiều điểm cần phải nghiên cứu hoàn thiện hơn, thời gian trình độ nghiên cứu tìm hiểu thân có hạn nên khơng tránh khỏi nhược điểm sai sót Vì em mong nhận góp ý Thầy, Cô, Anh, Chị bạn Cuối em xin chân thành cảm ơn GS.TS Nguyễn Bình tận tình bảo, giúp đỡ em hoàn thành luận văn Em xin chân thành cảm ơn! Lý chọn đề tài Chúng ta biết Nhà nước ta tiến hành cải cách hành chính, việc xây dựng phủ điện tử đóng vai trị trọng tâm Nói đến phủ điện tử nói đến vấn đề hạ tầng máy tính, người, tổ chức, sách, an tồn – an ninh thơng tin… Trong đảm bảo an tồn – an ninh thơng tin cho dịch vụ đóng vai trị quan trọng thơng tin mà khơng đảm bảo an ninh – an tồn, đặc biệt thơng tin nhạy cảm việc xây dựng phủ điện tử, thương mại điện tự trở nên vơ nghĩa lợi bất cập hại Xây dựng sách, đảm bảo an ninh – an tồn thơng tin liên quan chặt chẽ đến việc xây dựng hệ thống sở hạ tầng mật mã khố cơng khai, viết tắt PKI (Public Key Infrastrueture) Trong thời đại công nghệ thông tin giấy tở khơng phải cách chứng nhận thoả thuận bên Ở nhiều nước tiên tiến, thoả thuận thông qua hệ thống thông tin điện tử bên hợp pháp hố có giá trị tương đương với thoả thuận thông thường mặt pháp lý Sự kiện đánh dấu bước nhảy quan trọng việc phát triển phủ điện tử, thương mại điện tử Tuy nhiên dự án chưa triển khai rộng rãi, nhiều nguyên nhân khác Một nguyên nhân quan trọng người dùng cảm thấy không an tâm sử dụng hệ thống Chẳng hạn gửi mẫu tin văn bản, hình ảnh, video….người nhận có quyền nghi ngờ: Thơng tin có phải đối tác khơng, có bị xâm phạm người khác giải mã khơng… Những vấn đề đặt thu hút ý nhiều nhà khoa học lĩnh vực nghiên cứu bảo mật thơng tin 2 Đây ngun nhân giải thích PKI ngày trọng nghiên cứu, phát triển Đến nước tiên tiến giới ứng dụng thành công PKI Ở châu Á nhiều nước có ứng dụng mức độ khác Singapore, Hàn Quốc, Trung Quốc, Thái Lan… Trong Sigapore, Hàn Quốc sẵn sàng tài trợchính, kỹ thuật, chuyên gia lĩnh vực mật mã sang giúp Việt Nam xây dựng hệ thống PKI Do vấn đề mới, nhạy cảm, gắn liền với bảo mật thông tin nên cần tìm hiểu sâu sắc thận trọng vấn đề Đây vấn đề cấp thiết nên không tiến hành nghiên cứu Xuất phát từ lý trên, trí nhà trường thầy giáo hướng dẫn, em chọn đề tài “Nghiên cứu hạ tầng khóa cơng khai” làm đề tài khố luận tốt nghiệp Mục đích nghiên cứu - Tìm hiểu vài trị, cấu trúc, chức PKI thương mại điện tử - Tìm hiểu chuẩn thơng dụng PKI Đối tượng phạm vi nghiên cứu - Hạ tầng khóa PKI chuẩn Phương pháp nghiên cứu - Nghiên cứu lý thuyết liên quan đến mã hoá, mật mã - Tham khảo tài liệu, tổng hợp, đánh giá Kết cấu luận văn Ngoài phần mở đầu, kết luận danh mục tài liệu tham khảo, luận văn kết cấu gồm chương: Chương 1: Tổng quan PKI Chương 2: Cấu trúc PKI Chương 3: Các chuẩn ứng dụng khóa cơng khai PKI 23 3.4.4 Liên bang nhận dạng (Federate identity) 3.4.5 Sự không từ chối (non-repudiation) 3.4.6 Các nghi thức 3.5 Kết luận chương III Chương III trình bầy khái niệm bản, phương pháp, cơng nghệ kỹ thu ật sử dụng mã hóa khóa cơng khai để cung cấp sở hạ tầng bảo mật Một sở hạ tầng khóa cơng khai cho phép tổ chức tận dụng tốc độ mạng Internet bảo vệ thông tin quan trọng khỏi việc nghe trộm, giả mạo, truy cập trái phép 22 đường từ chìa khóa gốc hệ thống vào CHƯƠNG I TỔNG QUAN VỀ PKI khóa EE khơng phải vấn đề khó khăn miễn số lượng giấy chứng nhận tổ chức nhớ RP cịn nhỏ Vấn đề khó khăn để nhận tất chứng đường dẫn mong muốn vào nhớ RP để làm phát chuỗi Có ba phương pháp để làm điều này: Có u cầu vào chuỗi hồn chỉnh Có thư mục giấy chứng nhận riêng nơi người ta tìm kiếm tất giấy chứng nhận cho khóa EE định, phép lấy chuỗi mong muốn từ lên Có URL chứng trỏ đến dịch vụ mà cung cấp giấy chứng nhận mẹ 3.3.9 Multiple Roots, Cross-Certification, Bridge Cas 3.3.10 EV certificate Giấy chứng nhận Extended Validation (EV) giấy chứng nhận mà tổ chức phát hành chăm chút mặt xác minh danh tính EE muốn chứng nhận Giấy chứng nhận EV không làm tăng rào cản để đăng nhập giấy chứng nhận phát hành kinh doanh Đây mối quan tâm người kinh doanh cấp giấy chứng nhận chứng EV có giá trị kinh doanh Giấy chứng nhận EV công nhận trình duyệt có dấu hiệu hiển thị đưa cho người dùng chứng EV sử dụng Điều làm tăng giá trị kinh doanh người dùng thích thấy dẫn nhìn thấy Những thành phần Sự thu hồi Các ID có ý nghĩa 3.4.3 Phân loại chứng nhận ID định ID 1.1 Tìm hiểu mật mã học khóa cơng khai 1.1.1 Mật mã học khóa cơng khai Để giải vấn đề phân phối thoả thuận khoá mật mã khoá đối xứng, năm 1976 Diffie Hellman đưa khái niệm hệ mật mã khoá công khai phương pháp trao đổi công khai để tạo khố bí mật chung mà tính an tồn bảo đảm độ khó tốn tốn học cụ thể (là tốn tính “logarit rời rạc”) Hệ mật mã khố cơng khai hay gọi hệ mật mã phi đối xứng sử dụng cặp khố, khố mã hố cịn gọi khố cơng khai (public key) khố giải mã gọi khố bí mật hay khóa riêng (private key) Trong hệ mật này, khoá mã hoá khác với khố giải mã Về mặt tốn học từ khố cơng khai khó tính khố riêng Biết khố khơng dễ dàng tìm khố Khố giải mã giữ bí mật khố mã hố cơng bố cơng khai Một người sử dụng khố cơng khai để mã hố tin tức, có người có khố giải mã có khả xem rõ  Ưu nhược điểm hệ mật mã khoá cơng khai Vấn đề cịn tồn đọng hệ mật mã khoá đối xứng giải nhờ hệ mật mã khố cơng khai Chính ưu điểm thu hút nhiều trí tuệ vào việc đề xuất, đánh giá hệ mật mã công khai Nhưng thân hệ mật mã khố cơng khai dựa vào giả thiết liên quan đến tốn khó nên đa số hệ mật mã có tốc độ mã dịch khơng nhanh Chính nhược điểm làm cho hệ mật mã khố cơng khai khó dùng cách độc lập Một vấn đề nảy sinh sử dụng hệ mật mã khóa cơng khai việc xác thực mà mơ hình hệ mật mã đối xứng khơng đặt Do khố mã cơng khai cơng bố cách công khai mạng việc đảm bảo “khố cơng bố có đối tượng cần liên lạc hay không?” kẽ hở bị lợi dụng Vấn đề xác thực giải hệ mật mã khố cơng khai Nhiều thủ tục xác thực nghiên cứu sử dụng Kerberos, X.509… Một ưu điểm hệ mật mã khố cơng khai ứng dụng lĩnh vực chữ ký số, với kết hàm băm, thủ tục ký để bảo đảm tính tồn vẹn văn giải 1.1.2 Ứng dụng 1.2 Thuật tốn phân tích thuật tốn 1.2.1 Thuật tốn 1.2.2 Phân tích thuật tốn 1.3 Cơ sở hạ tầng khóa cơng khai (PKI) 1.3.1 PKI gì? Khái niệm hạ tầng khóa cơng khai (PKI) thường dùng để toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan đồng thời với toàn việc sử dụng thuật tốn mã hóa cơng khai trao đổi thơng tin Một sở hạ tầng khóa cơng khai bao gồm: Một nhà cung cấp chứng thực số (Certificate Authority: CA) chuyên cung cấp xác minh chứng số Một chứng bao gồm khóa cơng khai thơng tin khóa cơng khai  Một nhà quản lý đăng ký (Registration Authority: RA) đóng vai trị người thẩm tra cho CA trước chứng số cấp phát tới người yêu cầu  Một nhiều danh mục nơi chứng số (với khóa cơng khai nó) lưu giữ, phục vụ cho nhu cầu tra cứu, lấy khóa cơng khai đối tác cần thực giao dịch chứng thực số  Một hệ thống quản lý chứng 21 Hình 3.9 minh họa hệ thống phân cấp giấy chứng nhận X.509 bình thường Nó cấu trúc cây, với phím chữ ký vào thư mục gốc Các chứng EE cấp khơng - CA Ở số lượng lớp chứng trung gian Những trung gian CA triển khai lý an ninh, khả chịu lỗi, hai  An ninh: Một CA gốc (trong chứa chìa khóa riêng cho phím chữ ký gốc hình 3.9) cần bảo vệ khố khỏi bị tổn hại Nếu bị tổn hại chữ ký phải bị huỷ bỏ, hiệu qủa thu hồi chứng tất nhánh Nó cách phổ biến để phím chữ ký gốc CA lớn lưu giữ lớp phần cứng bảo vệ vật lý, khơng có kết nối mạng truy cập nhiều người Mặt khác, CA áp chót hoạt động dịch vụ web trực tuyến Nếu số bị tổn hại, chứng EE ban hành phải phát hành lại từ CA thay Bằng cách trải tải số CA áp chót, việc phục hồi lại tổn thương dễ dàng  Khả chịu lỗi: Một CA chạy phần cứng máy tính (thường máy chủ, thiết bị phần cứng đặc biệt) giữ khóa riêng bảo vệ lưu trữ Nó dễ bị số cố: điện, mạng, hỏng hóc, loạt cố khác, thảm hoạ môi trường (động đất, lửa, lũ lụt, công quân sự…) 3.3.6 Những chi tiết chứng X.509 3.3.8 Chuỗi Discovery Mặc dù vấn đề chung việc gửi đường mạch hở thơng qua đồ thị có hướng tùy ý vấn đề khoa học máy tính phức tạp, thực tế người ta thường có số lượng nhỏ giấy chứng nhận cửa hàng địa phương Mỗi chứng tạo thành cạnh đồ thị có hướng nút chìa khóa Khám phá 20 ASN.1 DER có lợi định dạng nhị phân Để so sánh XML mã hóa ASCII liệu nhị phân thực XML phải mã hóa thành ASCII (ví dụ, Base64) CSEXP định dạng nhị phân giữ yếu tố ngữ nghĩa ngôn ngữ S – expression 3.3.3 Cơ sở liệu X.500 X.500 cấu trúc liệu hình cây, nơi nút xác định địa phương tập hợp thuộc tính đặt tên tồn cầu trình tự thuộc tính đặt từ thư mục gốc sở liệu xuống nút Chuỗi thuộc tính gọi tên phân biệt nút nội dung mục X.500 xác định giản đồ Một giản đồ đủ linh hoạt để ta xây dựng sở liệu X.500 mà thành phần mang dạng thông tin nào, không văn mà cịn hình ảnh, âm thanh… 3.3.5 Những cấp X.509 1.3.2 Nhà cung cấp chứng thực số CA (Certificate Authority) 1.3.3 Chứng số 1.4 Một vài kiến trúc PKI hành 1.4.1 Một số ứng dụng 1.4.2 Một số hệ thống PKI 1.5 Kết luận Một vài năm trở lại PKI chủ đề nóng doanh nghiệp lớn Ở Việt Nam đề tài mẻ Do tìm hiểu xây dựng hạ tầng sở xác thực khóa cơng khai (PKI) cách tiếp cận cho tảng Từ nêu rõ vai trị ứng dụng hạ tầng khóa cơng khai thương mại điện tử Tìm hiểu thuật tốn sinh số ngẫu nhiên việc tạo khóa, hàm băm, mã hóa, tạo chữ ký số Trong chương em trình bày mật mã hóa khóa cơng khai, ứng dụng thuật tốn từ khái qt hạ tầng khóa cơng khai số ứng dụng Đó nội dung em trình bày root CA1 CA2 CA4 CA3 EE1 EE2 Hình 3.9: Chuỗi chứng EE3 19 CHƯƠNG II CẤU TRÚC CỦA PKI 2.1 Hàm băm mật mã học 2.1.1 Hàm băm Một hàm h gọi hàm băm thỏa mãn hai tính chất sau: a) Tính chất nén: h ánh xạ đầu vào x có độ dài bit hữu hạn tùy ý tới đầu h(x) có độ dài bit n hữu hạn b) Tính chất dễ dàng tính tốn: với h cho trước đầu vào x, dễ dàng tính h(x) 2.1.2 Hàm băm mật mã học 2.1.3 Đảm bảo tính tồn vẹn liệu 2.1.4 Một số hàm băm thông dụng 2.1.4.1 Hàm băm MD4 Hàm băm MD4 (Message Digest Algorithm 4): Là hàm băm 128bit thiết kế Ronald Rivest vào năm 1990 Mục tiêu thiết kế MD4 để tìm hai thơng điệp có mã băm cần khoảng 264 phép tốn, để tìm tiền ảnh hàm băm cần khoảng 2128 phép tốn Nhưng đến mục tiêu bị thất bại Xung đột MD4 tìm thấy với khoảng 220 phép toán 2.1.4.2 Hàm băm MD5 Hàm băm MD5 hàm băm có độ dài 128 bit Nó hàm băm cải tiến MD4 Đầu vào khối 512bit, chia cho 16 khối 32bit Đầu thuật toán thiết lập khối 32bit để tạo thành hàm băm 128bit 2.1.4.3 Họ hàm băm SHA Thuật toán SHA thuật toán băm mật phát triển cục an ninh quốc gia Mỹ xuất thành chuẩn phủ Mỹ viện cơng nghệ chuẩn quốc gia Mỹ Họ hàm băm SHA bao gồm thuật tốn băm an tồn là: SHA – 1, SHA – 224, X.500 sản xuất thư mục đơn toàn giới tất người thiết bị tiếp cận mạng lưới thơng tin liên lạc khác Có sản phẩm khác xây dựng sở liệu X.500 Tiêu chuẩn X.509 tạo để chuẩn hóa chứng ID thư mục X.500 tồn cầu Nó vượt qua giấc mơ thư mục X.500 toàn cầu sử dụng phổ biến nay, số giả định thiết kế vơ hiệu thiếu hụt thư mục tồn cầu 3.3.1 Ngôn ngữ cấu trúc liệu X.509 cấu trúc liệu có liên quan phân loại bảng tóm tắt ký hiệu cú pháp ASN.1 ASN1 nắm bắt cấu trúc kiểu liệu phức tạp (SET, SQUENCE, dãy loại, vv) hình thức nhỏ gọn ASN1 khác biệt với kiểu ngơn ngữ S expresion chỗ nắm bắt cú pháp Hai cấu trúc chuẩn này, dành cho ngữ nghĩa khác có diễn đạt gần giống Dạng ngôn ngữ S expression xác định cấu trúc có tên mà tên truyền tải ý nghĩa mặt ngữ nghĩa Một hiệu cụ thể khác biệt người ta viêt cú pháp cho ngôn ngữ S - epression, tạo mã nhớ sử dụng trực tiêp phân tích cú pháp cho ASN phải tạo đặc biệt cho đơn vị giao thức giữ liệu Khi định dạng PDU thay đổi, phân tích cú pháp ASN.1 phải thay đổi theo thơng báo ASN.1 nhận phân tích, phân tích cú pháp xác phải đưa 3.3.2 Mã hoá cấu trúc liệu Một tập hợp quy tắc mã hóa cho ASN.1 bao gồm cú pháp trừu tượng số PDU vào trình tự cụ thể byte Quy định mã hóa phân biệt (DER) sử dụng cho chứng X509 cấu trúc liên quan Tiền đề DER có mã hóa cho đối tượng 18 3.2.5 Các phạm vi Một phạm vi tập hợp nguồn lực (hay phạm vi khác) mà sách kiểm sốt truy cập giống áp dụng, có nghĩa chủ thể giống cấp quyền truy cập giống Như định nghĩa nhóm, định nghĩa phạm vi trì sở liệu thể chứng nhận Các đồ họa đại diện phạm vi thành viên tương tự nhóm (hình 3.5), nơi mà nhóm trải từ trái sang phải, phạm vi tách ra, minh họa hình 3.6 SHA – 256, SHA – 384 SHA – 512 Bốn thuật giải sau thường gọi chung SHA – 2.2 Chữ ký số 2.2.1 Giới thiệu 2.2.2 Định nghĩa 2.3 Mơ hình PKI 2.3.1 Mơ hình đơn Đây mơ hình tổ chức CA đơn giản Trong mơ hình CA đơn có CA xác nhận tất thực thể cuối miền PKI Mỗi người sử dụng miền nhận khóa công khai CA gốc (root CA) theo số chế Trong mơ hình khơng có yêu cầu xác thực chéo Chỉ có điểm để tất người sử dụng kiểm tra trạng thái thu hồi chứng cấp Mô hình mở rộng cách có thêm RA xa CA gần nhóm người dùng cụ thể 3.2.6 Ưu điểm nhóm phạm vi 3.2.7 Thống ký hiệu quy tắc bảo mật 3.2.8 định ủy quyền 3.3 Chứng nhận X.509 Ngày hầu hết người cho PKI giới hạn chứng nhận X.509 giao thức khác dịch vụ hỗ trợ sử dụng Hình 2.8: Mơ hình CA đơn Ưu điểm: Mơ hình dễ triển khai giảm tối thiểu vấn đề khả tương tác 8 17 Nhược điểm: - Khơng thích hợp cho miền PKI lớn số người sử dụng miền có yêu cầu khác người miền khác - Có thể khơng có tổ chức tình nguyện vận hành CA đơn sô tổ chức lại khơng tin tưởng vào người vận hành CA vài lý - Việc quản trị khối lượng công việc kỹ thuật việc vận hành CA đơn cao cộng đồng PKI lớn - Chỉ có CA gây thiếu khả hoạt động CA trở thành mục tiêu cơng 2.3.2 Mơ hình phân cấp Mơ hình tương ứng với cấu trúc phân tầng với CA gốc CA cấp CA gốc xác nhận với CA cấp dưới, CA lại xác nhận CA cấp thấp Các CA cấp không cần xác nhận CA cấp người giữ khóa cá nhân – định danh rõ ràng đại diện tiện lợi khóa cơng khai 3.2.4 Các nhóm Vì hệ thống mở rộng, định danh người giữ khóa riêng lẻ khơng cịn đủ Quản trị viên người dùng bình thường khơng có khả lưu giữ tâm trí hàng trăm, nhiều hàng ngàn người giữ khóa cá nhân Khơng phải họ sẵn sàng tham gia tất yêu cầu chỉnh sửa cá nhân để có lớp đồ thị logic kiểm soát truy cập đơn – với cá thể liệt kê ACL cho tài nguyên mà cá nhân cần phải truy cập Để việc quản lý dễ dàng hơn, hầu hết hệ thống sử dụng nhóm có tên(tập hợp chủ thể/ người giữ khóa) sử dụng số tên phạm vi (tập hợp tài nguyên chia sẻ sách kiểm sốt truy cập) Một nhóm định nghĩa tập hợp ID Tập hợp trì sở liệu địa phương máy tính RP số thư mục thường có sẵn thể tập hợp chứng nhận, chứng nhận rõ thành viên Trong văn bản, chứng nhận thành viên mục nhập sở liệu biểu diễn sau: (K1,N) (KA,G) Bằng đồ thị: (KA,G) (K1, N) Hình 3.5: Nhóm thành viên Hình 2.9: Mơ hình phân cấp PKI Sự khác biệt định nghĩa định danh (hình 5) nhóm thành viên (hình 3.5) có đặc trưng lập đồ cho nhóm ID Tuy nhiên, hạn chế nhân tạo, chương bỏ qua phân biệt từ 16 cập hay khơng u cầu việc truy cập cho phép Mơ hình giả định thứ có giá trị nguồn tài ngun, có nguồn bảo vệ 3.2.1 Những suy luận logic kiểm soát truy cập Một định kiểm soát truy cập dựa chuỗi suy luận logic từ PoP chủ thể tới cách giải máy tính đưa định Chuỗi logic đơn giản có bước, sách bảo mật cho số tài nguyên trực tiếp liệt kê khóa cơng khai cơng ty cho phép truy cập Những mẫu sử dụng ANSI X9 59, đó, ngân hàng lưu trữ trực tiếp khóa cơng khai khách hàng sở liệu tài khoản khách hàng từ khóa cơng khai để nhận thực khách hàng Với cách đặc thù hơn, chuỗi suy luận dài hơn, bao gồm tên cho người giữ khóa hay thuộc tính người giữ khóa hay tên nhóm Điều nhằm hỗ trợ chuỗi suy luận dài đó, mà PKI sử dụng 3.2.2 Kiểm sốt truy cập nguồn Có nhiều cách để mơ tả cách thực để đưa tới định ủy quyền, chương bắt đầu với chế nhất: danh sách kiểm soát truy cập (ACL) Có hai dạng thơng thường ACL: mặc định từ chối mặc định cho phép Sự lựa chọn hai dạng có liên quan trực tiếp tới PKI sử dụng để hỗ trợ chúng 3.2.3 Các ID Bất kỳ sách bảo mật tạo người Cả người quản trị người dùng thơng thường khơng có khả xử lý khóa cơng khai chuỗi số có ý nghĩa số chúng Người sử dụng cần định danh tiêu hóa để xử trí thiết lập sách Định danh Trong mơ hình này, thực thể giữ khóa cơng khai Root CA kiểm tra đường dẫn chứng chữ ký CA gốc Đây mơ hình PKI tin cậy sớm Ưu điểm: - Mơ hình dùng trực tiếp cho doanh nghiệp phân cấp độc lập, tổ chức phủ quân đội - Cho phép thực thi sách chuẩn thông qua hạ tầng sở - Dễ vận hành tổ chức khác Nhược điểm:  Có thể khơng thích hợp mơi trường mà miền khác cần có sách giải pháp PKI khác  Có thể khơng thích hợp cho mối quan hệ ngang hàng phủ doanh nghiệp  Những tổ chức thiết lập CA trước khơng muốn trở thành phần mơ hình  Có thể gây trội sản phẩm vấn đề khả tương tác  Chỉ có CA gốc nên gây số vấn đề thiếu khả hoạt động Thêm vào đó, trường hợp khóa bí mật CA bị xâm phạm, khóa cơng khai CA gốc phải phân phối đến tất người sử dụng cuối hệ thống theo số chế khác Mặc dù có nhược điểm song mơ hình thích hợp với u cầu tổ chức phủ cấu trúc phân cấp tự nhiên sẵn có 2.3.3 Mơ hình mắt lưới Mơ hình mắt lưới mơ hình đưa tin tưởng hai nhiều CA Mỗi CA mơ hình phân cấp mơ hình mắt lưới khác Trong mơ hình khơng có 10 15 CA gốc mà có nhiều CA gốc phân phối tin cậy CA với Thông qua việc xác thực chéo CA gốc, CA tin tưởng lẫn Xác thực chéo liên kết miền khác việc sử dụng thuộc tính BasicConstraints, Name Constraints, PolicyMapping PolicyConstraints X.509 v3 mở rộng CHƯƠNG III CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Hình 2.10: Mơ hình mắt lưới Ưu điểm:  Linh hoạt phù hợp với nhu cầu giao dịch  Cho phép nhóm người sử dụng khác tự phát triển thực thi sách chuẩn khác  Cho phép cạnh tranh  Khơng phải mơ hình phân cấp khắc phục nhược điểm mơ hình phân cấp tin cậy Nhược điểm:  Phức tạp khó để quản lý việc xác thực chéo 3.1 Giới thiệu Vai trò thuật ngữ Trong PKI có vai trị thực thể chúng nhắc đến tên gọi từ viết tắt sau:  Người phát hành (Issuer) – người phát hành chứng nhận hay người lập thư mục hay sở liệu mà bao gồm ID hay thuộc tính bao hàm chứng nhận  End Entity (EE) – chủ thể chứng nhận – người nắm giữ chìa khóa mật, người mà có khóa lien kết cơng khai chứng cấp  Relying party (RP) – thực thể đọc chứng nhận (hay lấy thông tin từ thư mục tương đương hay sở liệu nhập vào) sử dụng thơng tin để làm định bảo mật 3.2 Các định bảo mật Mục đích PKI thúc đẩy việc tạo định bảo mật Cấu trúc mà định tạo ra, thể mơ hình kiểm sốt truy cập u cầu Bảo vệ Tài ngun Hình 3.1: Mơ hình kiểm sốt truy cập Một u cầu truy cập vào nguồn đưa tới cửa bảo vệ mã nguồn đó, cửa định cho phép truy 14 11 này, hệ thống chứng thư số Hàn Quốc phát triển nhanh năm gần đây, đạt 11 triệu thuê bao vào năm 2005 18 triệu thuê bao vào năm 2008, đến có khoảng gần 20 triệu chữ số cấp phát tổng số dân 50 triệu người  Khó có khả thực khơng hoạt động lý giao tác  Phần mềm người sử dụng gặp phải số vấn đề tìm chuỗi chứng  Để tìm chuỗi chứng CRLs với mơ hình khác việc sử thư mục trở nên khó 2.4 Ứng dụng hạ tầng khóa cơng khai 2.4.1 Mã hóa Khi người gửi mã hóa thơng tin khóa cơng khai người chắn có người giải mã thơng tin để đọc Trong q trình truyền thơng tin qua internet, dù có đọc gói thơng tin mã hóa kẻ xấu khơng thể biết gói tin có thơng tin Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo mật thông tin Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, tốn thẻ tín dụng cần phải có chứng số để đảm bảo an toàn 2.4.2 Chống giả mạo Khi người gửi thơng tin liệu Email, có sử dụng chứng số, người nhận kiểm tra thơng tin người gửi có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát Địa mail, tên domain… bị kẻ xấu làm giả để đánh lừa người nhận ăn cắp thông tin quan trọng Tuy nhiên, chứng số khơng thể làm giả nên việc trao đổi thơng tin có kèm chứng số ln đảm bảo an tồn 2.4.3 Xác thực Khi sử dụng chứng số, người nhận – đối tác kinh doanh, tổ chức quan quyền – xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận Hình 2.11: Mơ hình hệ thống chứng thực số Hàn Quốc [TL số 3] 2.5 Kết luận chương II 12 13 biết chắn bạn khơng phải khác Xác thực tính quan trọng việc giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây tảng phủ điện tử, mơi trường cho phép cơng dân giao tiếp Có thể nói chứng số phần khơng thể thiếu, phần cốt lõi phủ điện tử 2.4.4 Chống chối bỏ nguồn gốc Khi sử dụng chứng số, người sử dụng phải chịu trách nhiệm hồn tồn thơng tin mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thơng tin khơng phải gửi (chẳng hạn qua mạng) chứng số mà người nhận có chứng khẳng định người gửi tác giả thơng tin Trong trường hợp chối bỏ, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin chứng tỏ nguồn gốc thông tin gửi 2.4.5 Chữ ký điện tử Email đóng vai trị quan trọng trao đổi thơng tin hàng ngày ưu điểm nhanh, rẻ dễ sử dụng thơng điệp gửi nhanh chóng qua internet đến khách hàng, đồng nghiệp, nhà cung cấp đối tác Tuy nhiên, email dễ bị đọc hacker Những thơng điệp bị đọc hay giả mạo trước đến người nhận Bằng việc sử dụng chứng cá nhân, người sử dụng ngăn ngừa nguy mà không làm giảm lợi Email Với chứng số cá nhân, người sử dụng tạo thêm chữ ký điện tử vào email chứng xác nhận Chữ ký điện tử có tính xác thực thơng tin, tồn vẹn liệu chống chối bỏ nguồn gốc Ngoài ra, chứng số cá nhân cho phép người dùng chứng thực với web server thông qua giao thức bảo mật SSL Phương pháp chứng thực dựa chứng số đánh giá tốt, an toàn bảo mật phương pháp chứng thực truyền thống dựa mật 2.4.6 Bảo mật website Khi website sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thơng tin trao đổi bạn khách hàng bị lộ Để tránh nguy bạn dùng chứng số SSL server để bảo mật cho website Chứng số SSL server cho phép bạn lập cấu hình website theo giao thức bảo mật SSL Các tính bật:  Thực mua bán thẻ tín dụng  Bảo vệ thông tin cá nhân nhạy cảm khách hàng  Đảm bảo Hacker khơng thể dị tìm mật 2.4.7 Đảm bảo phần mềm Chứng số nhà phát triển phần mềm cho phéo bạn ký vào script, ActiveX control, file dạng EXE, CAB, DLL… vậy, thông qua chứng số bạn đảm bảo tính hợp pháp nguồn gốc xuất xứ sản phẩm Hơn người dùng xác thực bạn nhà cung cấp, phát thay đổi chương trình (virus, crack, lậu,…) 2.5 Ví dụ hệ thống PKI Hàn Quốc Hàn Quốc quốc gia đầu việc sử dụng mơ hình hệ thống Chứng thực số phân cấp Họ đầu tư 9,3 triệu USD để xây dựng lên hệ thống PKI cho quốc gia Trong có đóng góp đơn vị: Korea Telecom, Kosscom, KFTC, MIC Mơ hình thiết kế dựa quy hoạch định hướng nhà nước Các CA chịu quản lý giám sát từ quan nhà nước, cụ thể Bộ thông tin truyền thông Bộ nội vụ Đối với CA công cộng, Bộ thông tin truyền thông quy hoạch root CA (KISA) CA công cộng (SignGate, SignKorea, Yesign, NCASign, CrossCert, TradeSign) Bộ nội vụ phụ trách root CA Chính phủ, quản lý cấp phép cho CA cung cấp dịch vụ cho khối Chính phủ Với mơ hình ... lực, công nghệ tổ chức thực Trên số ý kiến em vấn đề nghiên cứu hạ tầng khóa cơng khai Việt Nam Tuy nhiên luận văn cịn nhiều điểm cần phải nghiên cứu hồn thiện hơn, thời gian trình độ nghiên cứu. .. III trình bầy khái niệm bản, phương pháp, công nghệ kỹ thu ật sử dụng mã hóa khóa cơng khai để cung cấp sở hạ tầng bảo mật Một sở hạ tầng khóa công khai cho phép tổ chức tận dụng tốc độ mạng... mại điện tử - Tìm hiểu chuẩn thơng dụng PKI Đối tượng phạm vi nghiên cứu - Hạ tầng khóa PKI chuẩn Phương pháp nghiên cứu - Nghiên cứu lý thuyết liên quan đến mã hoá, mật mã - Tham khảo tài liệu,

Ngày đăng: 19/03/2021, 17:57

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w