Qui trỡnh đăng ký, cấp phỏt và huỷ bỏ chứng chỉ

3.3.1 Qui trỡnh đăng ký và cấp chứng chỉ

Người sử dụng cú nhu cầu được cấp chứng chỉ đến trung tõm làm thủ tục đăng ký. Khi đến trung tõm người sử dụng cần đem theo những giấy tờ cú liờn quan đến bản thõn (vớ dụ chứng minh thư). Việc thực hiện quỏ trỡnh đăng ký được nhõn viờn của hệ thống thực hiện qua form RAO.

Hỡnh 3.7: Mụ hỡnh đăng ký và cấp chứng chỉ số

Hỡnh 3.7 ở trờn là mụ hỡnh qui trỡnh đăng ký và cấp chứng chỉ. Cỏc thủ tục cần thực hiện được mụ tả cụ thể như sau:

1a. Cỏ nhõn (hoặc tổ chức) nào đú cú nhu cầu sử dụng chứng chỉ số lờn trung tõm đăng ký, cú đem theo một số giấy tờ cần thiết.

1b. Người quản trị mỏy RAO (nơi đăng ký) đưa thụng tin đó đăng ký từ phớa người sử dụng lờn mỏy RA thụng qua trang putDB (trang này đặt trờn mỏy RA và được thiết lập https). Sau bước này người sử dụng đó cú trỡnh sinh khoỏ riờng gắn với một IDkey duy nhất.

1c. Người sử dụng đem trỡnh sinh khoỏ về (bước này cú thể cú hoặc khụng). Nếu người sử dụng hoàn toàn tin tưởng vào trung tõm thỡ cú thể sinh khoỏ luụn tại trung tõm. 4 1b 5b RA ^CA 2 5c RAO LDAP User 1a 1c 3 5a

2. Người sử dụng sinh khoỏ (bằng trỡnh sinh khoỏ đó được cấp) và sinh yờu cầu cấp chứng chỉ. Sau đú, gửi yờu cầu này lờn trung tõm (mỏy RA).

3. Người quản trị mỏy RA thực hiện so sỏnh thụng tin đó đăng ký với thụng tin gửi lờn trung tõm qua đường cụng khai, đồng thời kiểm tra chữ ký của người dựng trong yờu cầu cấp chứng chỉ (bằng khoỏ cụng khai được gửi đến). Nếu hoàn toàn hợp lệ thỡ RA sẽ ký lờn yờu cầu cấp chứng chỉ và gửi yờu cầu này sang mỏy CA.

4. Người quản trị mỏy CA kiểm tra chữ ký của RA trờn yờu cầu cấp chứng chỉ của người sử dụng và idKey trong cơ sở dữ liệu xem cú bị trựng khụng, nếu hợp lệ thỡ CA chấp nhận yờu cầu cấp chứng chỉ đú, phỏt hành chứng chỉ (thực hiện ký trờn chứng chỉ) và gửi sang mỏy RA.

5a. Người sử dụng lờn trung tõm đó đăng ký để nhận chứng chỉ số và giấy chứng nhận chứng chỉ số. Để chặt chẽ hơn thỡ khi lờn người sử dụng phải đem theo yờu cầu cấp chứng chỉ (đó cú khi sinh yờu cầu cấp chứng chỉ) lưu trong tệp cú dạng ID.req_txt để trung tõm so sỏnh thụng tin đó đăng ký và khoỏ cụng khai tương ứng với chứng chỉ số. Đõy là bước đảm bảo cấp chứng chỉ số cho đỳng người sử dụng và đảm bảo về mặt phỏp lý.

5b. Người quản trị mỏy RAO lấy chứng chỉ số trờn mỏy RA và cấp chứng chỉ số cựng giấy chứng nhận đó được cấp chứng chỉ số cho người dựng.

5c. Chứng chỉ số của người dựng khi đú đó được cụng nhận trờn toàn bộ hệ thống

CA, được người quản trị mỏy RAO đưa cụng khai lờn mỏy LDAP và người

Hỡnh 3.8: Giấy chứng nhận chứng chỉ số 3.3.2 Qui trỡnh huỷ bỏ chứng chỉ

Trong quỏ trỡnh sử dụng chứng chỉ khi chưa hết thời hạn sử dụng người dựng cú thể yờu cầu huỷ bỏ chứng chỉ với nhiều lý do: chuyển cụng tỏc, thay đổi địa chỉ e-mail, nghi ngờ lộ khoỏ bớ mật….

Qui trỡnh huỷ bỏ chứng chỉ được mụ tả trong hỡnh 3.9.

Hỡnh 3.9: Mụ hỡnh huỷ bỏ chứng chỉ RAO _RA LDAP CA User 2 4b 4a 3 1

1. Người sử dụng gửi yờu cầu huỷ bỏ chứng chỉ lờn mỏy RA.

2. RA kiểm tra chữ ký trờn yờu cầu huỷ bỏ chứng chỉ, nếu thấy đỳng thỡ ký sau đú chuyển sang mỏy CA.

3. CA kiểm tra chữ ký của RA trờn yờu cầu huỷ bỏ, nếu đỳng thỡ ký và sau đú chuyển sang mỏy LDAP.

4a. Người quản trị cập nhật danh sỏch cỏc chứng chỉ bị huỷ bỏ.

4b. Người dựng được cấp giấy chứng nhận huỷ bỏ chứng chỉ.

3.4 Thử nghiệm sản phẩm

Hệ thống sau khi xõy dựng được đưa vào thử nghiệm ở hai phớa: người quản trị và người sử dụng.

3.4.1 Thử nghiệm phớa quản trị

Nội dung thử nghiệm cho người quản trị hệ thống cung cấp chứng chỉ số : - Thiết lập CA:

+ Khởi tạo CA

+ Xử lý yờu cầu của RA + Quản lý chứng chỉ

+ Quản lý cỏc chứng chỉ hết hiệu lực - Thiết lập RA:

+ Khởi tạo RA và RAOs

+ Xử lý cỏc yờu cầu của người sử dụng - Thiết lập RAO:

+ Sinh khoỏ, yờu cầu cấp chứng chỉ cho cỏc RAO + Ký cỏc yờu cầu RAO

+ Tạo file định dạng PKCS#12 với cỏc chứng chỉ nhận được

+ Cài đặt PKCS#12 vào trỡnh duyệt (trờn mỏy RAO)

3.4.2 Thử nghiệm phớa người dựng

Người sử dụng sau khi thực hiện đăng ký được cấp phỏt mềm sinh khoỏ, sinh tệp yờu cầu chứng chỉ, chuyển đổi định dạng của chứng chỉ số khi được cấp và một số tiện ớch khỏc phục vụ cho việc đăng ký và sử dụng chứng chỉ.

Nội dung thử nghiệm phớa người sử dụng:

- Đăng ký và nhận chứng chỉ:

+ Đăng ký

+ Sinh tệp khoỏ, tệp yờu cầu cấp chứng chỉ + Nhận chứng chỉ được cấp

- Cài đặt chứng chỉ cho trỡnh duyệt IE: + Cài đặt tiện ớch trợ giỳp

+ Chuyển đổi định dạng chứng chỉ + Cài đặt chứng chỉ cho IE

- Cập nhật chứng chỉ của người dựng khỏc

- Tớch hợp chứng chỉ số được cấp trong eToken (iKey 2000, iKey 2032) - Sử dụng chứng chỉ được cấp trong dịch vụ thư điện tử và web

3.5 Đỏnh giỏ chung

Hệ thống cung cấp chứng chỉ số MyCA được cài đặt chạy trờn hệ điều hành Linux 7.3 và Fedora Core 2. Mỏy trạm sử dụng hệ điều hành Microsoft Windows 98, 2000, trỡnh duyệt IE và Netscape. Cỏc thao tỏc cấp chứng chỉ được thực hiện thụng qua trỡnh duyệt Web.

Hệ thống cú thể quản lý được số lượng lớn người dựng (2⁴⁰).

Cho phộp người sử dụng tự sinh cặp khoỏ (cụng khai và bớ mật), đảm bảo khoỏ sinh ra khụng bị trựng phụ thuộc vào ID của từng người.

Trong quỏ trỡnh cấp phỏt và huỷ bỏ chứng chỉ, mọi yờu cầu khi truyền đi đều được ký, đảm bảo tớnh toàn vẹn, xỏc thực và chống chối bỏ.

Khả năng ứng dụng của hệ thống cấp chứng chỉ số MyCA:

- Sử dụng cho dịch vụ web qua giao thức https. - Sử dụng cho dịch vụ thư tớn điện tử.

- Kết hợp chứng chỉ số với một số cụng nghệ khỏc để vệ tài liệu điện tử. - Dựng thiết bị iKey để lưu chứng chỉ và khoỏ bớ mật.

- Cú thể phối kết hợp hệ thống với cỏc giải phỏp khỏc để đảm bảo an ninh an toàn cho một hệ thống mạng nội bộ.

Dưới đõy là mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số và một số giải phỏp đảm bảo an toàn cho hệ thống mạng nội bộ.

Hỡnh 3.10: Mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số cựng cỏc giải phỏp đảm bảo an toàn hệ thống mạng nội bộ Hệ thống cấp chứng chỉ số Hệ thống tường lửa Mạng nội bộ Hệ thống giỏm sỏt IDS và hệ thống kiểm tra, diệt virus

KẾT LUẬN

Nghiờn cứu và thiết kế một hệ thống đảm bảo an toàn cho cỏc dịch vụ trờn mạng là một vấn đề phức tạp và luụn cần hoàn thiện. Hệ thống cung cấp chứng chỉ số MyCA được xõy dựng dựa trờn chuẩn cụng nghệ PKI. Quỏ trỡnh nghiờn cứu và phỏt triển hệ thống cung cấp chứng chỉ số núi riờng và PKI núi chung là một quỏ trỡnh lõu dài và đi cựng với quỏ trỡnh chấp nhận của người sử dụng. Tỷ lệ người sử dụng tăng lờn khi cỏc chuẩn cụng nghệ trở nờn hoàn thiện, chứng minh được khả năng ứng dụng và hiện thực hoỏ là khả thi.

Hiện nay, việc sử dụng mật mó khoỏ cụng khai và dịch vụ cung cấp chứng chỉ số hay cũn gọi là dịch vụ chứng thực điện tử để đảm bảo an toàn thụng tin trong cỏc hoạt động giao dịch điện tử là giải phỏp được nhiều quốc gia trờn thế giới sử dụng. Ở Việt Nam, chữ ký số và dịch vụ cung cấp chứng chỉ số là vấn đề mới và chưa được triển khai trong thực tế. Trong thời gian gần đõy, một số đơn vị, cơ quan đó cú những hoạt động ban đầu nghiờn cứu cụng nghệ, xõy dựng hệ thống kỹ thuật, phỏt triển cỏc ứng dụng và thử nghiệm cung cấp dịch vụ chứng thực điện tử. Việc triển khai dịch vụ cung cấp chứng thực điện tử yờu cầu một sự đầu tư lõu dài và nghiờm tỳc mới mang lại kết quả như mong muốn. Phần khú khăn nhất trong triển khai dịch vụ này là ở khõu tổ chức thực hiện và thay đổi nhận thức của người sử dụng. Tớnh phỏp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra và cần giải quyết. Cỏc tổ chức, cỏ nhõn cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng thời cú quyền, nghĩa vụ nhất định. Chữ ký số và bản ghi điện tử được ký số theo đỳng qui định của phỏp luật sẽ cú giỏ trị phỏp lý như văn bản viết thụng thường.

Ngoài ra một hạ tầng cơ sở cụng nghệ yếu, chưa cú sự tin tưởng vào nhà cung cấp và những e ngại về tõm lý của người dựng này cũng là cỏc trở ngại trong việc triển khai dịch vụ cung cấp chứng chỉ số một cỏch rộng rói.

Kết quả nghiờn cứu

Luận văn này đó cú những tỡm hiểu về khỏi niệm, cụng nghệ, mụ hỡnh tổ chức và xõy dựng một hệ thống PKI, cựng với việc xõy dựng một hệ thống cung cấp chứng chỉ số ứng dụng cho Cục Cụng nghệ tin học nghiệp vụ và một số đơn vị khỏc trong Bộ Cụng an. Đõy là những kết quả nghiờn cứu ban đầu và sản phẩm đang trong giai đoạn triển khai thử nghiệm. Tuy nhiờn, với nhận định về ưu điểm của PKI và trước những yờu cầu thực tế đặt ra, chỳng tụi tin và quyết tõm đẩy mạnh hơn nữa việc nghiờn cứu, xõy dựng và triển khai dịch vụ cung cấp chứng chỉ số để đảm bảo an toàn thụng tin theo yờu cầu đặt ra trong toàn ngành.

Một số vấn đềđang được tiếp tục nghiờn cứu phỏt triển:

Tỡm hiểu về đường cong elliptic. Cài đặt hệ chữ ký số trờn đường cong Elliptic ECDSA.

TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt

1. Phạm Huy Điển, Hà Huy Khoỏi (2003), Mó hoỏ thụng tin cơ sở toỏn học và

ứng dụng, Nhà xuất bản Đại học Quốc gia Hà nội.

2. Phan Đỡnh Diệu (1999), Lý thuyết mật mó và an toàn thụng tin, Đại học Quốc Gia Hà Nội, Hà Nội.

3. Trịnh Nhật Tiến (2004), Một số vấn đề về an toàn dữ liệu, Hà Nội.

Tài liệu tiếng Anh

4. Adams, C. (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis.

5. Alfred Menezes (1996), Handbook of Applied Cryptography, CRC Press, LLC.

6. Andrew Nash, William Duance, Celia Joseph, and Derek Brink (2001), PKI Implementing and managing E-Security, McGraw –Hill Co.

7. Ellison, C.M. (1996), “Simple Public Key Certificate”.

8. Fegghi, J.(1999), Digital Certificates and Applied Internet Security, Addison-Wesley Longman, Inc.

9. ITU-T Recommendation X.509 (2000), “The Directory: Public key and Attribute Certificates Framework”.

10. NIST FIPS PUB 180 – 1 (1994), “Secure Hash Standard”.

11. NIST PKI Project Team (2001), “Certificate Issuing and Management Components Protection Profile”.

12. Rivest, R.L., A.Shamir, and L.M.Adleman (1978), “A method for obtaining digital signatures and public-key cryptosystems”, Communications of the ACM.

Một số RFC

13. Boeyen, S., T.Howes and P.Richard (1999), Internet X.509 Public Key Infrastructure Operational Protocols – LDAP2, RFC 2559.

14. Chokhani, S. (1999), Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, RFC 2527.

15. Housley, R. (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459.

16. Housley, R., and P.Hoffman (1999), Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP, RFC 2585.

17. Myers, M. (1999), Internet X.509 Certificate Request Message Format, RFC 2511.

18. Myers, M. (1999), X.509 Internet Public Key Infrastrure On-line Certificate Status Protocol, RFC 2560.

19. Santesson, S. (2001), Internet X.509 Public Key Infrastructure Qualified Certificates Profile , RFC 3039.

Một số Website

20. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure TimeStamp Protocols”

21. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure Data Certification Server Protocols”

22. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure Certificate Management Protocols”

23. http://www.ietf.org/ids.by.wg/pkix.html“Simple Certificate Validation Protocol (SCVP)”

24. http://www.rsasecurity.com 25. http://www.openca.org

PHỤ LỤC 1. Mụi trường phỏt triển

Hệ thống cung cấp chứng chỉ số MyCA đó trỡnh bày ở trờn được phỏt triển trờn hệ điều hành Linux, sử dụng một số cụng cụ mó nguồn mở dưới đõy:

Apache mod_ssl OpenSSL OpenLDAP Perl

2. Một số chuẩn mật mó khoỏ cụng khai (PKCS)

PKCS - Public Key Cryptography Standards là chuẩn mó hoỏ khoỏ cụng khai do phũng thớ nghiệm RSA phỏt triển. Chuẩn PKCS cung cấp những định nghĩa cơ bản về định dạng dữ liệu và thuật toỏn là cơ sở nền tảng của việc triển khai PKI.

- PKCS#1 RSA Encryption Standard – Mó và ký sử dụng hệ mó cụng khai RSA

- PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoỏ

Diffie-Hellman. PKCS#3 mụ tả phương phỏp thực hiện trao đổi khoỏ Diffie-Hellman.

- PKCS#5 Password-based Encrytion Standard - Chuẩn mó hoỏ dựa trờn

password. PKCS#5 mụ tả phương phỏp mó xõu bỏt phõn sử dụng khoỏ bớ mật được tớnh từ password để sinh ra xõu bỏt phõn được mó hoỏ. PKCS # 5 cú thể được sử dụng để mó hoỏ khoỏ riờng trong việc truyền khoỏ bớ mật.

- PKCS#6 Extended Certificate Syntax Standard - Chuẩn cỳ phỏp chứng

chỉ mở rộng. PKCS # 6 định nghĩa cỳ phỏp chứng chỉ X.509 mở rộng.

- PKCS#7 Crytographic Message Syntax Standard - Chuẩn cỳ phỏp thụng

điệp mật mó. PKCS#7 xỏc định cỳ phỏp tổng thể dữ liệu được mó hoỏ vớ dụ như chữ ký số. PKCS#7 cung cấp một số lựa chọn định dạng: message khụng mó hoỏ hoặc ký số, message được mó hoỏ, message được ký số và message cú cả ký số và mó hoỏ.

- PKCS#8 Private Key Information Syntax Standard - Chuẩn cỳ phỏp

thụng tin riờng. PKCS#8 định nghĩa cỳ phỏp thụng tin khoỏ riờng và cỳ phỏp khoỏ riờng được mó hoỏ.

- PKCS#9 Selected Attribute Types - Những loại thuộc tớnh được lựa chọn.

PKCS#9 định nghĩa những loại thuộc tớnh được lựa chọn sử dụng trong chứng chỉ mở rộng PKCS#6, thụng điệp ký số PKCS#7, thụng tin khoỏ riờng PKCS#8 và yờu cầu ký chứng chỉ PKCS#10. Những thuộc tớnh chứng chỉ được chỉ rừ ở đõy gồm cú địa chỉ thư, loại nội dung, bản túm tắt thụng điệp, thời gian ký, password yờu cầu và những thuộc tớnh chứng chỉ mở rộng. - PKCS#10 Certification Request Syntax Standard - Chuẩn cỳ phỏp yờu

cầu chứng chỉ. PKCS#10 định nghĩa cỳ phỏp yờu cầu chứng chỉ. Yờu cầu chứng chỉ gồm tờn phõn biệt, khoỏ cụng và tập cỏc thuộc tớnh tuỳ chọn, chữ ký của thực thể yờu cầu chứng chỉ.

- PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ

bài mật mó. PKCS#11 xỏc định giao diện lập trỡnh ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thụng tin mó hoỏ (cũng như khoỏ mó hoỏ và chứng chỉ) và thực hiện chức năng mó hoỏ. Smart Card là thiết bị đặc trưng thực hiện Cryptoki.

- PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cỳ

phỏp trao đổi thụng tin cỏ nhõn. PKCS#12 định nghĩa định dạng thụng tin nhận diện cỏ nhõn bao gồm khoỏ riờng, chứng chỉ, bớ mật đặc tớnh khỏc nhau và mở rộng. PKCS#12 làm cho việc truyền chứng chỉ và khoỏ bớ mật gắn kốm được thuận tiện, giỳp người sử dụng cú thể chuyển thụng tin nhận diện cỏ nhõn từ thiết bị này sang thiết khỏc.

- PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mó đường

cong elliptic. PKCS#13 bao gồm việc tạo tham số đường cong elliptic và kiểm tra hiệu lực, tạo khoỏ và cụng nhận giỏ trị, chữ ký số và mó hoỏ khoỏ cụng khai cũng như thoả thuận khoỏ.

- PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số

giả ngẫu nhiờn. Nhiều hàm mật mó cơ bản được sử dụng trong PKI như tạo khoỏ và thoả thuận khoỏ bớ mật Diffie – Hellman sử dụng dữ liệu ngẫu nhiờn.