ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH THÁI NGUYÊN - 2017 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Người hướng dẫn khoa học: TS Phạm Thế Quế THÁI NGUYÊN - 2017 i LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi, dẫn TS Phạm Thế Quế Các số liệu, kết nêu luận văn trung thực, luận văn chưa bảo vệ hội đồng chưa công bố phương tiện khác Thái nguyên, ngày tháng năm 2017 Tác giả luận văn Ngô Thu Phương ii LỜI CẢM ƠN Em xin chân thành cảm ơn thầy giáo TS Phạm Thế Quế tận tình hướng dẫn tạo điều kiện cho em hoàn thành luận văn Em xin chân thành cảm ơn thầy cô giáo, cán nhân viên phịng đào tạo, ban lãnh đạo Trường Đại học Cơng nghệ thông tin Truyền thông giúp đỡ tạo điều kiện cho em hoàn thành luận văn Cuối cùng, em xin chân thành cảm ơn quan tâm giúp đỡ gia đình, quan, bạn bè tập thể lớp Cao học K14B cổ vũ động viên em hồn thành luận văn Tuy cố gắng thời gian trình độ có hạn nên chắn luận văn nhiều thiếu sót hạn chế định Kính mong nhận góp ý thầy bạn Thái nguyên, ngày tháng năm 2017 Học viên Ngô Thu Phương iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC NHỮNG TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH viii MỞ ĐẦU 1 Lý chọn đề tài Ý nghĩa khoa học đề tài .2 Đối tượng phạm vi nghiên cứu Những nội dung nghiên cứu .2 CHƯƠNG CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 1.1 Hệ mật mã khóa bất đối xứng [2] 1.1.1 Khái niệm 1.1.2 Thuật toán mật mã RSA 1.1.3 Chuyển đổi văn rõ 1.1.4 Đánh giá kỹ thuật mật mã bất đối xứng 1.1.5 Một số kỹ thuật phá mã RSA 1.1.6 Một số hệ mật mã khóa cơng khai khác .9 1.2 Hàm băm bảo mật 1.2.1 Giới thiệu 1.2.2 Các tính chất hàm băm bảo mật 10 1.2.3 Ứng dụng hàm băm bảo mật 11 1.2.4 Hàm băm bảo mật SHA 12 1.2.5 Hàm băm MD5 13 1.3 Chữ ký số [2] 14 iv 1.3.1 Khái niệm chữ ký số .14 1.3.2 Quy trình tạo kiểm tra chữ ký số 15 1.3.3 Những vấn đề tồn chữ ký số 18 1.4 Cơ sở hạ tầng khóa cơng khai PKI [3] 19 1.4.1 Khái niệm 19 1.4.2 Chức chủ yếu PKI 21 1.4.3 Các thành phần PKI 22 1.4.4 Các thủ tục PKI 23 1.4.5 Khái niệm chứng thực số 24 1.5 Một số thuật tốn quản lý khóa [2] .25 1.5.1 Thuật toán trao đổi khoá Diffie-Hellman 25 1.5.2 Đánh giá độ an tồn thuật tốn trao đổi khố Diffie-Hellman 26 1.5.3 Quản lý khố cơng khai mật mã bất đối xứng 27 1.5.4 Sử dụng mật mã bất đối xứng để trao đổi khóa bí mật 29 Kết luận chương 31 CHƯƠNG KỸ THUẬT XÁC THỰC THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ 32 2.1 Giới thiệu chung xác thực thông tin 32 2.2 Các kỹ thuật xác thực thông tin [2] 33 2.2.1 Sử dụng thuật tốn mật mã khóa đối xứng .34 2.2.2 Sử dụng thuật tốn mật mã khóa bất đối xứng 35 2.2.3 Sử dụng mã xác thực MAC .36 2.2.4 Sử dụng hàm băm bảo mật .37 2.2.5 Xác thực thông tin dùng chữ ký điện tử 38 2.2.6 Xác thực thông tin dùng chữ ký điện tử chứng thực điện tử 40 2.3 Các giao thức xác thực 42 2.3.1 Mật 42 2.3.2 Các giao thức xác thực mơ hình điểm - điểm 43 2.3.3 Xác thực hệ thống phân tán .44 v 2.3.4 Giao thức xác thực Kerberos 48 2.3.5 Giao thức xác thực Kerberos 52 Kết luận chương 55 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ 56 3.1 Dịch vụ hành cơng .56 3.1.1 Khái niệm 57 3.1.2 Các đặc trưng dịch vụ hành cơng 57 3.2 Mơ hình xác thực người dùng hành cơng 58 3.2.1 Các thành phần hệ thống xác thực 58 3.2.2 Hệ thống ký hiệu 59 60 3.2.3 Hoạt động hệ thống xác thực thông tin Error! Bookmark not defined 3.3 Các quy trình xác thực hệ thống thơng tin hành cơng 60 3.3.1 Quy trình cấp quản lý chứng thực khóa 60 3.3.2 Quy trình xác thực thông tin 63 3.3.3 Một số nhận xét 64 3.4 Cài đặt thử nghiệm 65 3.5 Đánh giá kết thử nghiệm Error! Bookmark not defined KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68 TÀI LIỆU THAM KHẢO 70 vi DANH MỤC NHỮNG TỪ VIẾT TẮT AES ANSI CA CRL DES DNS DSA DSS EDI FIPS FTP HTTP IDEA ISO ISP ITU MD5 NIST OSI PGP PKI RA RSA SET SHA TCP/IP URL Advanced Encryption Standard American National Standards Institude Certification Authority Certificate Revocation List Data Ecryption Standard Domain Name System Digital Signature Algorithm Digital Signature Standard Electronic Data Interchange Federal Information Processing Standard File Transfer Protocol Hyper Text Transport Protocol International Data Encryption Algorithm International Organization for Standardization Internet Service Provider International Telecommunication Union Message Digest National Institute of Standards and Technology Open System Interconnection Pretty Good Private Public Key Infrastructure Registration Authority Rivest-Shamir-Aldeman Secure Electronic Transaction Secure Hash Algorithm Transmission Control Protocol / Internet protocol Uniform Resource Locator Chuẩn mã hoá tiên tiến Viện tiêu chuẩn quốc gia Mỹ Nhà cung cấp chứng thực Danh sách chứng thực thu hồi Chuẩn mã liệu Hệ thống tên miền Thuật toán chữ ký điện tử Chuẩn chữ ký điện tử Trao đổi liệu điện tử Chuẩn xử lý thông tin liên bang Mỹ Giao thức truyền file Giao thức truyền siêu văn Thuật toán mã hoá liệu quốc tế Tổ chức tiêu chuẩn hoá quốc tế Nhà cung cấp dịch vụ Internet Liên minh viễn thông quốc tế Viện quốc gia chuẩn công nghệ Kết nối hệ thống mở Cơ sở hạ tầng khố cơng khai Nhà quản lý đăng ký Giao dịch điện tử an tồn Thuật tốn băm an tồn Giao thức điều khiển truyền dẫn/ giao thức Internet Bộ định vị tài nguyên vii DANH MỤC BẢNG Bảng 1.1: Các phiên SHA 13 Bảng 1.2: So sánh thông số SHA-1 MD5 13 Bảng 3.1: Kết thử nghiệm 67 viii DANH MỤC HÌNH Hình 1.1: Cấu trúc hệ thống mật mã khóa bất đối xứng .5 Hình 1.2: Một ứng dụng điển hình hàm băm .10 Hình 1.3: Định nghĩa chữ ký số 15 Hình 1.4: Sơ đồ tổng quát tạo chữ ký số 16 Hình 1.5: Sơ đồ tổng quát kiểm tra chữ ký số 17 Hình 1.6: Sơ đồ tổng quát tạo kiểm tra chữ ký số 17 Hình 1.7: Các thành phần PKI .23 Hình 1.8: Thuật toán trao đổi khoá Diffie-Hellman 26 Hình 1.9: Dùng mật mã bất đối xứng để trao đổi khoá 29 Hình 2.1: Xác thực thơng tin dùng mật mã đối xứng .34 Hình 2.2: Sử dụng khóa bất đối xứng để trao đổi khóa bí mật 35 Hình 2.3: Xác thực thông tin dùng mật mã bất đối xứng 35 Hình 2.4: Xác thực thơng tin dùng MAC 36 Hình 2.5: Xác thực thơng tin dùng hàm băm 37 Hình 2.6: Xác thực dùng hàm băm mật mã bất đối xứng 38 Hình 2.7: Xác thực thông tin dùng chữ ký số 39 Hình 2.8: Xác thực thơng tin dùng chữ ký số 39 Hình 2.9: Minh hoạ xác thực sử dụng chứng số chữ ký điện tử 40 Hình 2.10: Sơ đồ minh họa trình xin cấp chứng số 41 Hình 2.11: Giao thức xác thực PAP 44 Hình 2.12: Giao thức xác thực CHAP 44 Hình 2.13: Thủ tục xác thực Kerberos 49 Hình 2.14: Xác thực hai lãnh địa Kerberos 52 Hình 3.1: Mơ hình tổng quát cấp chứng thực khóa 62 Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 63 Hình 3.3: Giao diện chương trình demo chữ ký số Error! Bookmark not defined Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn Error! Bookmark not defined 56 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ 3.1 Dịch vụ hành cơng 3.1.1 Khái niệm Dịch vụ cơng hoạt động phục vụ lợi ích chung, thiết yếu, quyền nghĩa vụ tổ chức công dân Nhà nước trực tiếp thực chuyển giao cho sở Nhà nước thực nhằm mục tiêu hiệu công Dịch vụ hành cơng loại hình dịch vụ cơng quan hành Nhà nước thực để phục vụ quyền nghĩa vụ tổ chức công dân Được thực dựa thẩm quyền hành - pháp lý Nhà nước 3.1.2 Các đặc trưng dịch vụ hành cơng Dịch vụ hành cơng gắn liền với thẩm quyền hành pháp lý máy Nhà nước nên loại dịch vụ quan hành Nhà nước thực hiện, việc cấp loại giấy phép, giấy khai sinh, chứng minh thư, công chứng, xử lý xử phạt hành chính, kiểm tra tra hành … Dịch vụ hành cơng phục vụ cho hoạt động quản lý Nhà nước, hoạt động nhằm phục vụ cho chức quản lý; dịch vụ mà Nhà nước bắt buộc khuyến khích người dân phải làm để đảm bảo trật tự an toàn xã hội; quy định có tính chất bắt buộc Nhà nước Càng nhiều người sử dụng dịch vụ hành cơng tạo điều kiện cho hoạt động quản lý Nhà nước tốt Dịch vụ hành cơng hoạt động khơng vu lợi, có thu tiền thu dạng phí lệ phí để nộp ngân sách Nhà nước Mọi người dân có quyền ngang việc tiếp cận sử dụng dịch vụ với tư cách đối tượng phục vụ quyền Nhà nước có trách nhiệm nghĩa vụ phục vụ cho người dân 57 3.1.3 Các mức độ dịch vụ hành cơng Giao dịch hành cơng chế giải cơng việc tổ chức, công dân thuộc thẩm quyền quan hành nhà nước từ tiếp nhận yêu cầu, hồ sơ đến trả kết thông qua đầu mối Hành cơng có mức độ dịch vụ khác nhau: Mức độ 1: Là dịch vụ bảo đảm cung cấp đầy đủ thông tin thủ tục hành văn có liên quan quy định thủ tục hành Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng tải mẫu văn khai báo để hoàn thiện hồ sơ theo yêu cầu Hồ sơ sau hoàn thiện gửi trực tiếp qua đường bưu điện đến quan, tổ chức cung cấp dịch vụ Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng điền gửi trực tuyến mẫu văn đến quan, tổ chức cung cấp dịch vụ Các giao dịch trình xử lý hồ sơ cung cấp dịch vụ thực mơi trường mạng Việc tốn lệ phí (nếu có) nhận kết thực trực tiếp quan, tổ chức cung cấp dịch vụ Mức độ 4: dịch vụ công trực tuyến mức độ cho phép người sử dụng tốn lệ phí (nếu có) thực trực tuyến Việc trả kết thực trực tuyến, gửi trực tiếp qua đường bưu điện đến người sử dụng 3.1.4 Một số dịch vụ hành cơng Lĩnh vực Báo chí - Cấp giấy phép họp báo - Cấp giấy phép xuất bản tin - Cấp phép thành lập hoạt động văn phịng đại diện quan báo chí - Cấp phép hoạt động phóng viên thường trú quan báo chí Lĩnh vực Xuất - Cấp giấy phép hoạt động in - Đăng ký hoạt động sở in - Thủ tục đăng ký sử dụng máy photocopy màu - Cấp giấy phép tổ chức triển lãm, hội chợ xuất phẩm - Cấp giấy phép xuất tài liệu không kinh doanh - Cấp giấy phép nhập xuất phẩm không kinh doanh 58 Lĩnh vực Phát thanh, truyền hình Thơng tin điện tử - Cấp giấy phép thiết lập trang thông tin điện tử tổng hợp - Gia hạn giấy phép thiết lập trang thông tin điện tử tổng hợp - Cấp lại giấy phép thiết lập mạng thông tin điện tử tổng hợp Lĩnh vực Công nghệ thông tin - Thủ tục thẩm định thiết kế sơ dự án đầu tư ứng dụng công nghệ thơng tin (dự án nhóm B, C) sử dụng nguồn vốn ngân sách Nhà nước UBND cấp tỉnh, cấp huyện, cấp xã định đầu tư Lĩnh vực Bưu chính, Viễn Thơng - Cấp giấy phép bưu - Cấp văn xác nhận văn thông báo hoạt động bưu - Văn chấp thuận vị trí xây dựng, lắp đặt trạm thu phát sóng thơng tin di động (BTS) - Thơng báo thời gian thức bắt đầu cung cấp trò chơi G2, G3, G4 mạng cho công cộng - Thông báo thay đổi phương thức, phạm vi cung cấp dịch vụ trò chơi điện tử G1 mạng phê duyệt − Thơng báo thời gian thức cung cấp trị chơi điện tử mạng 3.2 Mơ hình xác thực người dùng hành cơng 3.2.1 Các thành phần hệ thống xác thực Người sử dụng đầu cuối (End Entity): Là tổ chức, doanh nghiệp, cá nhân, phần mềm thiết bị tham gia vào q trình trao đổi thơng tin tham gia giao dịch hành cơng, sử dụng mật mã khóa cơng khai, gọi tắt thực thể đầu cuối Các thực thể có cặp khóa cơng khai PU khóa riêng PR, khóa cơng khai PU phổ biến PKI dạng chứng thực khóa, cịn khóa bí mật thực thể quản lý, sở hữu riêng Trung tâm chứng thực - CA (Certificate Authority): Là quan có thẩm quyền cấp quản lý chứng thực khóa cơng khai thực thể đầu cuối Chứng thực khóa cơng khai (gọi tắt chứng thực) Nội dung chứng thực bao gồm thơng tin: 59 − Khóa cơng khai PU thực thể đầu cuối ủy quyền cho CA phổ biến − Thông tin cá nhân thực thể đầu cuối tham gia: Tên, định danh, địa tổ chức, doanh nghiệp, cá nhân − Chữ ký số tổ chức xác thực CA Vì vậy, CA phải thực thể tin cậy, không, chữ ký CA khơng có ý nghĩa Máy chủ chứng thực - AS (Authority Server) Cơ sở liệu lưu trữ chứng thực khóa thực thể đầu cuối, Trung tâm chứng thực - CA Máy chủ xử lý - RA (Registration Authority): Tiếp nhận yêu cầu cấp quản lý thẻ chứng thực khóa cho thực thể đầu cuối Có số chức xử lý số công việc quản lý nhằm giảm tải cho AS, chẳng hạn đăng ký thực thể đầu cuối, kiểm chứng thực thể đầu cuối, tạo cặp khóa Public- Private, … 3.2.2 Hệ thống ký hiệu − PUA: Khóa cơng khai thực thể đầu cuối A − PRA: Khóa riêng (khóa bí mật) thực thực thể đầu cuối A − KCA-A: Khóa bí mật dùng chung chothực thể A Trung tâm xác thực − H(M): Hàm băm bảo mật, H = {MD5 SHA} − E(M, K): Mã hóa tin M khóaK = {PUA ,PRA K} − D(M, K): Giải mã tin M khóa K − DSA: Chữ ký số thực thể A − CA: Thẻ “Chứng thực khóa” thực thể A − TA : Là thời gian có hiệu lực thẻ “Chứng thực khóa” A − DSCA-A: Chữ ký số Trung tâm chứng thực ký vào chứng thực CA − AS: Máy chủ chứng thực, Trung tâm lưu trữ thẻ “Chứng thực khóa” − Thực thể đầu cuối là; ü Tổ chức, doanh nghiêp, cơng ty, cá nhân, ü Thiết bị: Server, Router,… ü Phần mềm, 3.2.3 Hoạt động hệ thống xác thực thông tin Đăng ký (Registration): Là thủ tục mà thực thể đầu cuối yêu cầu cấp chứng thực khóa 60 Khởi tạo (Initialization): Khởi tạo thực thể đầu cuối có nhu cầu xin cấp phát chứng thực số.Tạo cặp khóa Public/Private Chứng thực (Certification):RA tạo chứng thực khóa cho thực thể đầu cuối, ứng với khóa công khai vừa tạo giai đọan khởi tạo thực thể đầu cuối cung cấp Phục hồi khóa (Key Pair Recovery): Cho phép phục hồi khóa cũ.Để khơi phục liệu bị mã hố, cần phải có thủ tục để lấy lại khố Cập nhật khóa (Key PairUpdate): Sau khoảng thời gian hiệu lực, chứng thực khóa bị thu hồi (Revoke) Thủ tục Key PairUpdate có tác dụng gia hạn hiệu lực chứng thực khóa, cho phép chứng thực khóa tiếp tục tồn sau hết thời gian hiệu lực Yêu cầu thu hồi chứng thực khóa (Revocation request): Các trường hợp khóa riêng bị lộ, hoặcvì lý đó, người sử dụng đầu cuối yêu cầu thu hồi chứng thực khóa Thủ tục cho phép thực thể đầu cuối yêu cầu thu hồi chứng thực khóa chưa hết hiệu lực 3.3 Các quy trình xác thực hệ thống thơng tin hành cơng 3.3.1 Quy trình cấp quản lý chứng thực khóa Quy trình quy định thủ tục tổ chức, doanh nghiệp, công ty, cá nhân… trước tham gia vào giao dịch hành cơng, cần phải làm thủ tục đăng ký cấp thẻ “chứng thực khóa” Q trình tương tự doanh nghiệp trước hoạt động cần phải đăng ký dấu, chữ ký cho quan có thẩm quyền để xác nhận dấu chữ ký hợp pháp Và dấu, chữ ký phải lưu trữ tàng thư Các bước đăng ký cấp thẻ “Chứng thực khóa” mơi trường sở hạ tầng khóa cơng khai PKI sau: Thực thể A yêu cầu cấp thẻ “Chứng thực khóa” • Các phần mềm hỗ trợ: ü Mật mã khóa đối xứng (DES, AES, TDES, ) ü Mật mã khóa bất đối xứng (RSA) ü Hàm băm bảo mật H = {MD5 SHA} • Thực thể A tạo cặp khóa cơng khai PUA khóa riêng (bí mật) PRA thuật tốn RSA 61 • Tạo chữ ký số:DSA = E[H(IDA + Thông tin cá nhân)] • Truy nhập vào Server RA để nhận khóa cơng khai Trung tâm PUCA • Tạo tin u cầu CA cấp thẻ “Chứng thực khóa”: A →RA: E([IDA + Thông tin cá nhân + PUA + DS A), PUCA)] Máy chủ RA (Trung tâm hệ thống): • Tạo khóa cơng khai PUCA khóa bí mật PRCA thuật tốn RSA • Nhận từ A: E([IDA + Thơng tin CN + PUA + DS A), PUCA)] • Giải mã: D[E([IDA + Thông tin CN + PUA + DS A), PUCA)], PRCA] • Thơng tin sau giải mã:IDA + Thơng tin CN + PUA + DSA • Tạo chữ ký số Trung tâm cấp thẻ CA ký thẻ “Chứng thực khóa” A:DSCAA = E[H(IDA + PUA + TA ), PRCA] • Tạo thẻ “Chứng thực khóa”: CA = (IDA + PUA + TA + DSA + DSCA-A) Trong TA thời gian hiệu lực thẻ “Chứng thực khóa” • Server RA cấp thẻ cho thực thể A: RA → A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] • Thẻ “Chứng thực khóa” thơng tin A lưu trữ Server AS • RA → CA:(IDA + Thơng tin CN + PUA + TA + DSA+ DSCA-A) Thực thể A nhận thẻ “Chứng thực khóa” • Nhận từ RA:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUU], PRA] • “Chứng thực khóa” A: CA = (IDA + PUA + TA + DSA+ DSCA-A) • Thực thể A kiểm chứng chữ ký: DSA DSCA-A ü D[DSA, PUA] = H(IDA + Thông tin nhân) giá trị băm nhận, so sánh với giá trị băm H(IDA + Thông tin nhân) nguyên gốc ü D[DSCA-A, PUCA] = H(IDA + PUA + TA ) giá trị băm nhận, so sánh với với giá trị bămH(IDA + PUA + TA), đóIDA+ PUA TAlà thời gian hiệu lực thể CA cấp ü Nếu kiểm chứng cho kết sai, thực thể A yêu cầu Server CA cấp lại thẻ “Chứng thực khóa” Trung tâm chứng thực CA tạo chứng thực khóa cơng khai cho thực thể sử dụng đầu cuối, cách mã hố khối thơng tin bao gồm: Mã nhận dạng thực thể IDA, thông tin nhân thực thể khố cơng khai PU thực thể, thời điểm hiệu lực chứng thực, thời gian bắt đầu kết thúc Khối thơng tin mã hóa khóa cơng khai người dùng 62 Như vậy, thực thể cấp thẻ “Chứng thực khóa” Bắt đầu từ lúc này, thực thể trao đổi khóa cơng khai cho Trung tâm xác thực kiểm tra tính hợp pháp thời hạn hiệu lực chứng thực Để tránh tình giả mạo CA, thực thể đầu cuối phải gửi yêu cầu cấp phát chứng thực đến CA kênh bảo mật, có áp dụng chế xác thực chặt chẽ Hình 3.1: Mơ hình tổng qt cấp chứng thực khóa Quy trình quản lý chứng thực khóa: 1) Thủ tục người sử dụng yêu cầu Trung tâm cấp chứng thực khóa a) Thủ tục yêu cầu:E([IDA + Thông tin cá nhân + PUA + DS A), PUCA)] b) Thẻ chứng thựckhóa:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] 2) Thủ tục cấp phát quản lý chứng thực khóa Trung tâm chứng thực (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A) Trong đó: IDA: Định danh tổ chức, doanh nghiệp, cá nhân, Thông tin cá nhân: Tên, địa chỉ, định danh yêu cầu, ngày, tổ chức, doanh nghiệp, cá nhân 63 PUA: Khóa cơng khaicủa tổ chức, doanh nghiệp, cá nhân DSA: Chữ ký số tổ chức, doanh nghiệp, cá nhân TA : Thời gian hiệu lực chứng thực số PUCA : Khóa cơng khai củaTrung tân chứng thưc DSCA-A: Chữ ký số củaTrung tân chứng thưc khóa ký vào thẻ chứng thực khóa người dùng Máy chủ AS CA = (IDA + PUA + TA + DSA+ DSCA-A) (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A)   Người sử dụng (User)   E[(IDA + PUA + TA + DSA+ DSCA-A), PU A] Máy chủ RA Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 3.3.2 Quy trình xác thực thơng tin Giả sử tổ chức, doanh nghiệp, công ty , ký hiệu thực thể A gửi tài liệu M cho thực thể B Tài liệu M giấy phép nhập xuất phẩm không kinh doanh, xuất phẩm nhập khơng kinh doanh…, quy trình xác thực sau: Trên thực thể người sử dụng A: • A truy nhập vào Server RA tìm khóa cơng khai B:PUB • Mã hóa tài liệu M thuật tốn mật mã đối xứng với khóa bí mật KABchung thực thể A B: MK = E(M, KAB) • A gửi thơng tin sang B mã khóa riêng B: E[(MK+KAB+CA] = E[MK +K+ (IDA +PUA +TA + DSA+ DSCA-A), PUB] Trên thực thể B: • B nhận: E[(MK+KAB+CA] = E[MK+ K+(IDA+ PUA+ TA + DSA+ DSCA-A), PUB] 64 • Giải mã:D[E[MK+KAB+(IDA + PUA+ TA+ DSA+DSCA-A), PUB], PRB] • Kết giải mã:MK + KAB + (IDA + PUA + TA + DSA+ DSCA-A) • Giả mã khóa chung KABnhận rõ:D(MK , K) =M • Thực thể B yêu cầu Server RA xác minh thẻ “Chứng thực khóa”A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B] Máy chủ RA xác minh chữ ký số thẻ “Chứng thực khóa” A: • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B], PUCA-B] • Thơng tin sau giải mã: IDA + PUA + TA + DSA+ DSCA-A • Xác minh: ü Mã định danh IDA A ü Chữ ký sốDSA A ü Chữ ký sốDSCA-A CA ü Thời gian TA có cịn hiệu lực • Server RA trả lời cho thực thể B kết xác minh Để bắt đầu trao đổi thông tin với nhau, thực thể sử dụng mật mã bất đối xứng Hai thực thể A B trao đổi chứng thực khóa cho để thực thể nhận khố cơng khai thực thể Nhờ thực thể tin cậy thứ làm trung gian để tạo chứng thực khóa, khố cơng khai phân phối cách an tồn mà không bị giả mạo 3.3.3 Một số nhận xét Mô hình xác thực thơng tin mơi trường sở hạ tầng khóa cơng khai PKI, sử dụng chữ ký số ký qua bên thứ tin cậy, có tính pháp lý Quy trình đảm bảo − Thơng tin trao đổi thực thể đảm bảo bí mật tồn vẹn hai khía cạnh nội dung nguồn gốc thông tin − Xác minh nguồn gốc nơi phát sinh nơi nhận thông tin − Các thực thể tham gia phủ nhận tính pháp lý giao dịch Khơng thể chối cãi nguồn gốc thông tin gửi nhận − Mỗi thực thể đọc chứng thực khóa để biết khóa cơng khai nhận diện chủ sở hữu khóa − Mỗi thực thể xác thực thơng tin chứng thực khóa xác nhờ vào chữ ký thực thể tin cậy thứ 65 − Chỉ có người chứng thực (Certificate Authority hay CA) có quyền tạo cập nhật chứng thực khóa − Mơ hình xác thực thơng tin môi trường PKI sử dụng hai máy chủ Trung tâm xác thực: ü Server CA có chức lưu trữ thẻ “Chứng thực khóa” thơng tin nhân thực thể đầu cuối Nó hoạt động hồn tồn độc lập với mơi trường mạng Vì vậy, khơng thể có người sử dụng đầu cuối hợp lệ hay khơng hợp lệ lại truy xuất trực tiếp vào nó, mà phải thơng qua máy chủ trung gian RA Trung tâm Vì liệu máy chủ CA hoàn toàn tuyệt mật, đảm bảo tuyệt đối an tồn thơng tin cho hệ thống ü Server RA máy chủ trung gian, có chức giao tiếp trực tiếp người sử dụng với hệ thống Tiếp nhận, xử lý yêu cầu truy nhập thực thể đầu cuối Có chức kiểm tra, giám sát hoạt động hệ thống Nó kết nối với máy chủ CA kết nối an tồn Nó làm việc chứng thực khóa, thường xuyên cập nhật cho máy chủ CA Tóm lại mơ hình xác thực thơng tin mơi trường sở hạ tầng khóa cơng khai PKI, đảm bảo an tồn, bí mật cho giao dịch điện tử 3.4 Triển khai thử nghiệm Ứng dụng java mơ q trình ký xác thực chữ ký Hình 3.3: Giao diện chương trình demo chữ ký số 66 Trình tạo khóa tạo cặp khóa 1024 bit Nội dung thông điệp tập tin nạp vào sử dụng khóa bí mật tạo hàm băm SHA1 đầu vào sau tạo thành chữ ký Việc tương ứng với cặp mã bí mật cơng khai tạo USB token, khóa bí mật lưu trữ USB token, khóa cơng khai lưu trữ máy chủ Root-CA Quá trình giải mã dựa vào chữ ký tạo trình ký nội dung văn bản, đối chiếu với hàm băm SHA1 khóa cơng khai để kiểm tra xem văn có tồn vẹn hay khơng, bị sửa chữa hay chưa, đồng thời kiểm tra xác thực người ký văn với cặp mã công khai bí mật Hình 3.4: Giao diện kiểm tra chuỗi tồn vẹn 3.5 Kết thử nghiệm - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt động xác, kiểm tra xác văn bản, tệp tin khơng bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi - Xác định xác định danh khóa cơng khai cặp khóa bí mật, cơng khai Khi thay đổi khóa cơng khai khóa bí mật bị thay đổi trước mã hóa tệp tin thơng xác nhận tệp tin ký xác Đánh giá kết 100 lần thử nghiệm với thao tác: Thay đổi khóa bí mật, thay đổi khóa cơng khai, thay đổi file gốc file gốc ảnh, thay đổi file gốc file gốc text Kết thử nghiệm ghi chép bảng 3.2 67 Bảng 3.1 Kết thử nghiệm STT Nội dung Số lần thử nghiệm 100 Kết nhận dạng 100 Tỷ lệ nhận dạng 100% Thay đổi khóa bí mật Thay đổi khóa công khai 100 100 100% Thay đổi input file ảnh 100 100 100% Thay đổi input file text 100 100 100% - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt động xác, kiểm tra xác văn bản, tệp tin khơng bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi - Xác định xác định danh khóa cơng khai cặp khóa bí mật, cơng khai Khi thay đổi khóa cơng khai khóa bí mật bị thay đổi trước mã hóa tệp tin thơng xác nhận tệp tin ký xác 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Những kết nghiên cứu lý thuyết an toàn xác thực thông tin: Xác thực chế có vai trị bảo đảm an tồn cho thực thể trao đổi thông tin hệ thống Kỹ thuật mật mã bảo vệ tính bí mật tính tồn vẹn thơng tin Kỹ thuật mật mã đại chia thành hai loại: Mật mã khóa đối xứng (Symmetric Key Encryption) cịn gọi mật mã khóa bí mật mật mã khóa bất đối xứng (Asymmetric Key Encryption) hay gọi mật mã khóa cơng khai Mật mã khóa đối xứng sử dụng khóa cho việc mã hóa giải mã Yêu cầu phải giữ tuyệt đối bí mật việc trao đổi thông tin thực thể tham gia giao dịch Nó thích hợp với việc thực thi phần cứng, tốc độ mã hoá cao, dung lượng thơng tin lớn Các thuật tốn mật mã khóa đối xứng phổ biến bao gồm DES, Blowfish, IDEA, AES … Mật mã khóa bất đối xứng sử dụng hai khóa khác cho q trình mã hóa giải mã Một hai khóa khóa cơng khai (Public Key) phổ biến công khai cho thực thể truy xuất khóa cịn lại khóa riêng (Private Key) cịn gọi khóa bí mật, giữ bí mật, có chủ thể khóa biết Mã hóa khóa công khai xây dựng dựa chủ yếu hàm tốn học, thích hợp với thực thi phần mềm tốc độ mã hoá thấp, phù hợp với tài liệu dung lượng nhỏ RSA thuật tốn mật mã khóa bất đối xứng phổ biến Mật mã khóa bất đối xứng có nhiều ứng dụng khác như: mật mã thông tin, tạo chữ ký số, trao đổi khóa bí mật mật mã khóa đối xứng … Hàm băm bảo mật (Secure Hash Function) chế dùng việc xác thực thông tin (Message Authentication) Nguyên tắc hàm băm biến đổi khối thông tin gốc thành giá trị kiểm tra có kích thước cố định gọi giá trị băm (mã băm), giá trị gửi đính kèm với thơng tin gốc Khi nhận, thơng tin nhận đưa vào hàm băm để tạo giá trị kiểm tra Nếu hai giá trị băm bên gửi bên nhận trùng nhau, thông tin xem xác thực Nếu giá trị băm mã hóa khóa cơng khai mật mã bất đối xứng, tạo thành chữ ký số thành 69 phần số thuật toán mật mã dùng thuật tốn xác thực thơng tin (Message Authentication), Chữ ký số (digital signature) kỹ thuật nhận dạng thực thể thông tin với thông tin thực thể tạo Ứng dụng chữ ký số chứng thực đảm bảo tính khơng thể phủ nhận (Non Repudiation) thơng tin Có thể chữ ký số ký trực tiếp ký thông qua trọng tài Chuẩn chữ ký số RSA sử dụng thuật toán RSA, tạo chữ ký số dựa hàm băm bảo mật (MD5, SHA) kỹ thuật mật mã khóa bất đối xứng (RSA) Mật mã khóa cơng khai có ưu điểm có chế phân phối khóa cơng khai cách an tồn hiệu cho thực thể hệ thống Chứng thực khóa cơng khai (Certificate) mà chế hiệu để thực vấn đề Mỗi chứng thực khóa bao gồm nhận dạng thực thể đầu cuối, khóa công khai thực thể đầu cuối xác nhận (bằng chữ ký số) thực thể thứ Một hệ thống cung cấp chế tạo quản lý chứng thực khóa gọi sở hạ tầng khóa cơng khai PKI Về ứng dụng thực tế, em đề xuất mơ hình xác thực cho hệ thống thơng tin dịch vụ hành cơng theo mơ hình phân tán u cầu phải quản lý thực thể truy xuất thông tin cho phải đảm bảo tuyệt đối an toàn cho hệ thống cho thực thể tham gia hoạt động giao dịch hệ thống Các mơ hình xây dựng theo mơ hình xác thực người sử dụng tham gia giao dịch truy xuất thông tin Nghĩa thực thể muốn có quyền truy xuất thơng tin hệ thống, trước tiên thực thể phải đăng ký phải hệ thống cấp phép Và quyền truy xuất thực thể phải hệ thống kiểm sốt mơ hình xác thực sử dụng dịch vụ thông tin hệ thống Với kết đạt xu phát triển mạnh ngành an toàn bảo mật liệu, em nhận thấy kỹ thuật xác thực cần tiếp tục nghiên cứu, cải tiến áp dụng rộng rãi thực tế Trong trình thực luận văn, điều kiện thời gian kiến thức cịn hạn chế, luận văn khơng thể tránh khỏi sai sót, em mong tham gia góp ý q thầy bạn để luận văn hoàn chỉnh 70 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, NXB Đại học Quốc Gia Hà Nội, 2002 [2] Nguyễn Linh Giang, An tồn An ninh thơng tin mạng, Đại học Bách khoa Hà Nội, 2015 [3] Trịnh Nhật Tiến, An toàn liệu, NXB Đại học Quốc Gia Hà Nội, 2008 Tiếng Anh: [4] Jin Li, Kui Ren, Kwangjo Kim, Accountable Attribute Based Encyption for Abuse Free Access Control, Cryptology ePrint Archive, Report 2009/118, 2009 http://eprint.iacr.org [5] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005 [6] Svetlin Nakov How, Digital Signatures Work: Digitally Signing Message, 2005 [7] Carlisle Adams vµ Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003 [8] Federal Information, Processing Standards Publication 180 (1995), Secure Hash Standard (SHA) ... NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI PKI ỨNG DỤNG CHỨNG THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ Chuyên ngành:... khố cơng khai CA, thực HASH để xác thực chứng số khơng bị thay đổi Như khố cơng khai CA sử dụng để chứng thực khố cơng khai chứng số người gửi Khi khố cơng khai người gửi xác nhận, dùng để chứng. .. điện tử xuất 19 1.4 Cơ sở hạ tầng khóa cơng khai PKI [3] 1.4.1 Khái niệm Cơ sở hạ tầng khóa cơng khai PKI (Public Key Infrastructure) hệ thống hạ tầng bao gồm thiết bị phần cứng, hệ thống phần