MỞ ĐẦU Lý chọn đề tài Chúng ta biết Nhà nƣớc ta tiến hành cải cách hành chính, việc xây dựng phủ điện tử đóng vai trị trọng tâm Nói đến phủ điện tử nói đến vấn đề nhƣ hạ tầng máy tính, ngƣời, tổ chức, sách, an tồn – an ninh thơng tin… Trong đảm bảo an tồn – an ninh thơng tin cho dịch vụ đóng vai trị quan trọng thông tin mà không đảm bảo an ninh – an tồn, đặc biệt thơng tin nhạy cảm việc xây dựng phủ điện tử, thƣơng mại điện tự trở nên vơ nghĩa lợi bất cập hại Xây dựng sách, đảm bảo an ninh – an tồn thơng tin liên quan chặt chẽ đến việc xây dựng hệ thống sở hạ tầng mật mã khố cơng khai, viết tắt PKI (Public Key Infrastrueture) Trong thời đại cơng nghệ thơng tin giấy tở cách chứng nhận thoả thuận bên Ở nhiều nƣớc tiên tiến, thoả thuận thông qua hệ thống thông tin điện tử bên đƣợc hợp pháp hố có giá trị tƣơng đƣơng với thoả thuận thông thƣờng mặt pháp lý Sự kiện đánh dấu bƣớc nhảy quan trọng việc phát triển phủ điện tử, thƣơng mại điện tử Tuy nhiên dự án chƣa đƣợc triển khai rộng rãi, nhiều nguyên nhân khác Một ngun nhân quan trọng ngƣời dùng ln cảm thấy không an tâm sử dụng hệ thống Chẳng hạn gửi mẫu tin văn bản, hình ảnh, video….ngƣời nhận có quyền nghi ngờ: Thơng tin có phải đối tác khơng, có bị xâm phạm ngƣời khác giải mã đƣợc khơng… Những vấn đề đặt thu hút ý nhiều nhà khoa học lĩnh vực nghiên cứu bảo mật thông tin Đây nguyên nhân giải thích PKI ngày đƣợc trọng nghiên cứu, phát triển Đến nƣớc tiên tiến giới ứng dụng thành công PKI Ở châu Á nhiều nƣớc có ứng dụng mức độ khác nhƣ Singapore, Hàn Quốc, Trung Quốc, Thái Lan… Trong Sigapore, Hàn Quốc sẵn sàng tài trợ chính, kỹ thuật, chuyên gia lĩnh vực mật mã sang giúp Việt Nam xây dựng hệ thống PKI Do vấn đề mới, nhạy cảm, gắn liền với bảo mật thông tin nên cần tìm hiểu sâu sắc thận trọng vấn đề Đây vấn đề cấp thiết nên không tiến hành nghiên cứu Là kỹ sƣ công nghệ thông tin tƣơng lai, có nhiệm vụ nghiên cứu, tìm hiểu sâu sắc vấn đề quan trọng cấp bách nhắm góp phần đảm bảo an ninh – an tồn thơng tin, điều có ý nghĩa hội nhập WTO, làm chủ đƣợc công nghệ giúp giữ vững an ninh quốc gia, thúc đẩy phát triển kinh tế - xã hội Xuất phát từ lý trên, đƣợc trí nhà trƣờng thầy giáo hƣớng dẫn, em chọn đề tài “Tìm hiểu sở hạ tầng mật mã khố cơng khai ứng dụng” làm đề tài khố luận tốt nghiệp Mục đích nghiên cứu - Nghiên cứu, đánh giá, phân tích giải thuật mật mã điển hình - Nghiên cứu thành phần PKI ứng dụng Đối tƣợng, phạm vi nghiên cứu - Các giải thuật mã đối xứng, phi đối xứng, hàm băm, chữ ký số Phƣơng pháp nghiên cứu - Nghiên cứu lý thuyết liên quan đến mã hoá, mật mã - Tham khảo tài liệu, tổng hợp, đánh giá Bố cục đề tài bao gồm: Mục lục, danh mục từ viết tắt, danh mục hình vẽ, mở đầu, nội dung, kết luận, danh mục tài liệu tham khảo Phần nội dung gồm phần chia làm chƣơng, phần A (chƣơng 1, 2) kiến thức chung mật mã, phần B (Chƣơng 3, 4, 5) sở hạ tầng mật mã khố cơng khai ứng dụng Chương 1: LÝ THUYẾT MẬT MÃ Giới thiệu lịch sử hình thành cảm mật mã; khái niệm mật mã; đồng thời trình bày hệ mật mã đối xứng, hệ mật mã công khai, ƣu nhƣợc điểm hệ mật mã này; khái niệm hệ mật RSA, Elgamal Đây kiếm thức tảng giúp bạn hiểu đƣợc PKI Chương 2: XÁC THỰC, CHỮ KÝ SỐ VÀ HÀM BĂM Trình bày khái niệm xác thực; khái niệm chữ ký số, chữ ký số dựa RSA Elgamal; khái niệm hàm băm, số hàm băm điển hình Xác thực, chữ ký số ứng dụng cụ thể nhất, thƣờng gặp xây dựng hệ thống PKI; hàm băm kỹ thuật mã hố khơng thể thiếu nghiên cứu, xây dựng hệ thống giúp đảm bảo an ninh – an tồn thơng tin Chương 3: CƠ SỞ HẠ TẦNG MẬT MÃ KHỐ CƠNG KHAI Tổng quan PKI, sở lí luận, chức PKI Chƣơng trình bày kiến thức liên quan đến PKI giải thích lại phải xây dựng hệ thống PKI Chương 4: CHỨNG CHỈ SỐ Trình bày khái niệm liên quan, chức nhiệm vụ CA, phân loại CA Chứng số phần đặc biệt quan trọng PKI, chƣơng trình bày cụ thể chứng số CA Chương 5: ỨNG DỤNG Trình bày ứng dụng dịch vụ web, email PHẦN A: NHỮNG KIẾN THỨC BỔ TRỢ Chương 1: LÝ THUYẾT MẬT MÃ 1.1 GIỚI THIỆU Mật mã đƣợc ngƣời sử dụng từ lâu, nghiên cứu văn minh Ai Cập cổ đại ngƣời ta tìm đƣợc chứng chứng minh hình thức mật mã sơ khai, cách khoảng nghìn năn trƣớc Trải qua hàng nghìn năm mật mã đƣợc sử dụng rộng rãi quốc gia khác giới để giữ bí mật q trình trao đổi thơng tin nhiều lĩnh vực hoạt động ngƣời, quốc gia đặc biệt lĩnh vực ngoại giao, qn sự, kinh tế Mật mã khố cơng khai (PKI) mảng quan trọng mật mã, chất PKI hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng để khởi tạo, lƣu trữ quản lý chứng số Vào năm 1995 ngƣời ta đƣa sáng kiến thiết lập PKI mà phủ nƣớc, doanh nghiệp cần chuẩn để đảm bảo liệu truyền mạng đƣợc an toàn Cho đến nay, sau 10 năm hình thành phát triển, ý tƣởng hoá PKI vào thực, nhiều chuẩn đảm bảo thông tin mạng đời Một số kết từ sáng kiến PKI nhƣ là: SSL/TLS ( Secure Sockets Layer/ Transport Layer Security) nhƣ VPN (Virtual Private Network) 1.2 CÁC KHÁI NIỆM BAN ĐẦU A muốn gửi thông điệp cho B có nhiều cách khác nhƣ thƣ tín, email, fax… thơng qua ngƣời trung gian, tức thơng tin bị ngƣời khác biết đƣợc Vấn đề đặt làm thơng điệp A gửi cho B có B đọc đƣợc? Để làm đƣợc điều A tiến hành mã hố thơng điệp gửi cho B đoạn mã hoá, B giải mã đƣợc đoạn mã hố thơng qua quy ƣớc (Khố chung) hai ngƣời, ngƣời C nhận đƣợc khơng biết thơng tin Khố chung đƣợc gọi khố mật mã, ta có số khái niệm liên quan: - Mã hố: Là q trình chuyển thông tin thông thƣờng (văn rõ) thành dạng không đọc đƣợc (văn mã) - Giải mật mã: Là trình ngƣợc lại, phục hồi văn thƣờng từ văn mã - Thuật toán giải mã: Ngƣợc lại để giải mã ta cần thuật tốn khố bí mật tƣơng ứng để giải mã mã 1.3 HỆ MẬT MÃ Lý thuyết mật mã khoa học nghiên cứu cách viết bí mật, rõ (plain text, clear text) đƣợc biến đổi thành mã (cipher text, cryptogram) Quá trình biến đổi gọi mã hố (encipherment, encryption) Quá trình ngƣợc lại biến đổi từ mã thành rõ đƣợc gọi giải mã (decipherment, decryption) Cả hai q trình nói đƣợc điều khiển (hay nhiều) khoá mật mã Mật mã đƣợc sử dụng để bảo vệ tính bí mật thơng tin thông tin đƣợc truyền kênh truyền thơng cơng cộng nhƣ kênh bƣu chính, điện thoại, mạng truyền thơng máy tính, mạng internet, … Giả sử ngƣời gửi A muốn gửi đến ngƣời nhận B văn (chẳng hạn, thƣ) p, để bảo mật A lập cho p mật mã c thay cho việc gửi p, A gửi cho B mật mã c, B nhận đƣợc c “giải mã’ c để lại đƣợc văn p nhƣ A định gửi Để A biến p thành c B biến ngƣợc lại c thành p, A B phải thoả thuận trƣớc với thuật toán lập mã giải mã đặc biệt khoá mật mã chung K để thực thuật toán Ngƣời ngồi, khơng biết thơng tin (đặc biệt khơng biết khố K), cho dù có lấy trộm đƣợc c kênh truyền thông công cộng, tìm đƣợc văn p mà hai ngƣời A, B muốn gửi cho Sau cho định nghĩa hình thức hệ thống mật mã cách thức thực để lập mã giải mật mã Định nghĩa Hệ mật mã đƣợc định nghĩa năm (P, C, K, E, D) đó: P tập hữu hạn rõ C tập hữu hạn mã K tập hữu hạn khố E tập hàm lập mã D tập hàm giải mã Với k Ỵ K, có hàn lập mã ek C hàm giải mã dk Ỵ D, dk: C → P cho dk(ek(x)) = x, Ỵ E, ek: P → " xỴ P Key k Plaintext (X) Key k Ciphertext (Y) E Y = EK(X) plaintext (X) D Hình : Q trình mã hóa giải mã 1.3.1 Hệ mã hóa khóa bí mật (hay cịn gọi Hệ mật mã khóa đối xứng) Các phƣơng pháp cổ điển đƣợc biết đến từ 4000 năm trƣớc Một số kỹ thuật đƣợc ngƣời Ai Cập cổ đại sử dụng từ nhiều kỷ trƣớc Những kỹ thuật chủ yếu sử dụng phƣơng pháp thay ký tự ký tự khác dịch chuyển ký tự, chữ đƣợc xếp theo trật tự Hệ mật mã DES đƣợc xây dựng Mỹ năm 70 theo yêu cầu văn phòng quốc gia chuẩn (NBS) DES kết hợp phƣơng pháp thay dịch chuyển DES đƣợc thực khối rõ xâu 64 bit, có khóa xâu 56 bít cho mã xâu 64 bít Hiện DES biến thể 3DES đƣợc sử dụng thành công nhiều lĩnh vực Trong hệ mật mã đối xứng có khóa đƣợc chia sẻ bên tham gia liên lạc Cứ lần truyền tin bên truyền bên nhận phải thỏa thuận trƣớc với khóa chung K, sau ngƣời gửi dùng ek để lập mã cho thông báo gửi ngƣời nhận dùng dk để giải mã Ngƣời gửi ngƣời nhận có chung khóa K, khóa đƣợc bên giữ bí mật Độ an tồn hệ mật mã bí mật phụ thuộc vào khóa K, biết đƣợc khóa K lập mã giải mã thông điệp *Ƣu nhƣợc điểm hệ mật mã khóa đối xứng Ƣu điểm : Ƣu điểm hệ mật mã khóa đối xứng tốc độ mã hóa/ giải mã nhanh xác Ví dụ mật mã DES có tốc độ mã/ giải mã 35Kb/s ; IDEA 70 Kb/s Mặt khác độ an toàn hệ mật đƣợc chứng minh cao khơng gian khóa K đủ lớn Nhƣợc điểm : Tuy nhiên nhiên nhƣợc điểm hệ mật mã khóa đối xứng vấn đề phân phối khóa, trao đổi khóa phức tạp phải sử dụng đến kênh truyền tuyệt đối bí mật Điều bất lợi trung tâm muốn liên lạc với nhƣng họ lại cách xa 1.3.2 Hệ mật mã khóa công khai Để khắc phục vấn đề phân phối thỏa thuận khóa mật mã khóa bí mật, năm 1976 Diffie Dellman đƣa khái niệm mật mã khóa cơng khai phƣơng pháp trao đổi khóa cơng khai để tạo khóa bí mật chung mà tính an tồn đƣợc bảo đảm độ khó tốn học tính ‘Logarit rời rạc’ Hệ mật mã công khai sử dụng cặp khóa, khóa dùng để mã hóa gọi khóa cơng khai (Public key), khóa dùng để giải mã gọi khóa bí mật (Private key), ngun tắc khóa cơng khai khóa bí mật khác Một ngƣời có khả sử dụng khóa cơng khai để mã hóa tin nhƣng có ngƣời có khóa bí mật giải mã đƣợc tin Mật mã khóa cơng khai (Public key) hay cịn gọi mật mã bất đối xứng mơ hình mã hóa chiều sử dụng cặp khóa khóa riêng (Private key) khóa cơng khai (Public key) Khóa cơng khai đƣợc dùng để mã hóa khóa riêng đƣợc dùng để giải mã - Hệ thống mật mã hóa khóa cơng khai sử dụng với mục đích : + Mã hóa : giữ bí mật thơng tin có ngƣời có khóa bí mật giải mã đƣợc + Tạo chữ ký số : cho phép kiểm tra văn có phải đƣợc tạo với khóa bí mật hay khơng + Thỏa thuận khóa : Cho phép thiết lập khóa dùng để trao đổi thơng tin mật bên Directory of Public Keyss k Public ALICE key P of Bob Hi Bob Tập khóa K Asymmetric Cryptography Bản mã đƣợc mã hóa Hình : Sử dụng khóa cơng khai P để mã hóa thơng điệp Private key of Bob Hi Bob k Asymmetric Cryptography BOB Bản mã nhận đƣợc thừ ALICE Hình : Sử dụng khóa riêng để giải mã thơng điệp Các hệ mật mã khóa cơng khai đƣợc biết đến nhiều hệ RSA Trong hệ mật mã khóa cơng khai hệ RSA đƣợc cộng đồng quốc tế chấp nhận ứng dụng rộng rãi *Ƣu nhƣợc điểm hệ mật mã khóa cơng khai Ƣu điểm : Ƣu điểm hệ mật mã khóa cơng khai giải đƣợc vấn đề phân phối khóa trao đổi khóa thuận lợi Một số ứng dụng quan trọng phổ biến xác thực chữ ký số, mà hệ mật mã khóa đối xứng chƣa giải đƣợc Nhƣợc điểm : Nhƣợc điểm hệ mật khóa cơng khai tốc độ mã hóa/ giải mã chậm (chậm khoảng ngàn lần so với mật mã khóa đối, nhƣ mã DES chẳng hạn) phải sử dụng đến số nguyên tố lớn trƣờng hữu hạn Mặt khác, ngƣời ta tin tuân thủ theo chuẩn (của Mỹ) hệ mật khóa cơng khai nhƣ RSA, Elgamal… có độ an tồn mật mã cao nhƣng chƣa có tác giả chứng minh đƣợc điều Vì khóa cơng khai đƣợc cơng bố cách rộng khắp nên ta khơng biết có phải khóa ta cần khơng vâbs đề đƣợc giải thủ tục xác thực nhƣ X.509, Kerberos… ƣu điểm hệ mật mã khóa cơng khai ứng dụng lĩnh vực chữ ký số, với kết hàm băm, thủ tục ký để đảm bảo tính tồn vẹn văn đƣợc giải 1.4 HỆ RSA Hệ mật mã RSA, Rivest, Shamir, Adleman tìm ra, đƣợc cơng bố lần vào tháng năm 1977 tạp chí Scientific American Hệ mật mã RSA đƣợc sử dụng rộng rãi thực tiễn đặc biệt lĩnh vực bảo mật xác thực liệu số Tính bảo mật an tồn chúng đƣợc đảm bảo tốn phân tích số nguyên thành thừa số nguyên tố 1.4.1 Định nghĩa Giả sử n=p.q p, q hai số nguyên tố lẻ khác Ф(n) hàm Ơle Hệ RSA đƣợc định nghĩa nhƣ sau : Cho P=C=Zn ; K= {(n,p,q,a,b) :ab ≡ mod Ф (n)} Với k=(n,p,q,a,b) xác định : y= ek(x)=xb mod n dk(y)=ya mod n (x,y Ỵ Zn) giá trị n, b công khai p, q, a bí mật 1.4.2 Kiểm tra quy tắc giải mã Do ab ≡ mod Ф (n), Ф (n)= (p-1)(q-1)= Ф (p) Ф (q) nên ab=1+t Ф (n), với t số nguyên khác Chú ý ≤ x < n *Giả sử (x,n)=1 ta có ya mod n ≡ (xb)a mod n ≡ x.1 mod n=x ** Nếu (x,n) > d=p d=n Nếu d=n x=0 đƣơng nhiên y=0 Do ya mod n=0 Giả sử d=p ≤ x < n nên x=p Ta có ya mod n = xab mod n ≡ pab mod n Ký hiệu u=pab mod n Thế u+kn=pab , ≤ x < n hay u+kpq=pab Do u=p(pab - kq) Vế phải chia hết cho p nên vế trái chia hết cho p, nghĩa u phải chia hết cho p Nhƣng ≤ u < n nên u=0 u=p Nếu u=0 pab-1 chia hết cho q Suy p chia hết cho q Vơ lý p,q hai số nguyên tố khác Thế u=p=x, tức ya mod n=x Vậy (xb)a mod n=x, với x Î [1,n-1] 1.4.3 Độ an toàn hệ RSA Độ ăn toàn hệ RSA dựa hy vọng hàm mã hóa ek(x)=xb mod n chiều, từ đối phƣơng khơng thể tính tốn giải mã đƣợc Vấn đề mấu chốt phân tích n=p.q ( với p, q hai số nguyên tố ) biết đƣợc p,q tính đƣợc Ф (n) sau tính đƣợc a nhờ hàm Ơclit mở rộng Cho đến ngƣời ta thấy toán phân tích n=p.q khó (n lớn) nên tính an toàn RSA đƣợc đảm bảo 1.4.4 Thực RSA Việc thiết lập RSA đƣợc Bob tiến hành theo bƣớc sau : - Sinh hai số nguyên tố lớn p q - Tính n=p.q Ф (n)=(p-1)(q-1) - Chọn ngẫu nhiênb (0