Hệ thống cung cấp chứng chỉ số MyCA được cài đặt chạy trờn hệ điều hành Linux 7.3 và Fedora Core 2. Mỏy trạm sử dụng hệ điều hành Microsoft Windows 98, 2000, trỡnh duyệt IE và Netscape. Cỏc thao tỏc cấp chứng chỉ được thực hiện thụng qua trỡnh duyệt Web.
Hệ thống cú thể quản lý được số lượng lớn người dựng (240).
Cho phộp người sử dụng tự sinh cặp khoỏ (cụng khai và bớ mật), đảm bảo khoỏ sinh ra khụng bị trựng phụ thuộc vào ID của từng người.
Trong quỏ trỡnh cấp phỏt và huỷ bỏ chứng chỉ, mọi yờu cầu khi truyền đi đều được ký, đảm bảo tớnh toàn vẹn, xỏc thực và chống chối bỏ.
Khả năng ứng dụng của hệ thống cấp chứng chỉ số MyCA:
- Sử dụng cho dịch vụ web qua giao thức https. - Sử dụng cho dịch vụ thư tớn điện tử.
- Kết hợp chứng chỉ số với một số cụng nghệ khỏc để vệ tài liệu điện tử. - Dựng thiết bị iKey để lưu chứng chỉ và khoỏ bớ mật.
- Cú thể phối kết hợp hệ thống với cỏc giải phỏp khỏc để đảm bảo an ninh an toàn cho một hệ thống mạng nội bộ.
Dưới đõy là mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số và một số giải phỏp đảm bảo an toàn cho hệ thống mạng nội bộ.
Hỡnh 3.10: Mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số cựng cỏc giải phỏp đảm bảo an toàn hệ thống mạng nội bộ Hệ thống cấp chứng chỉ số Hệ thống tường lửa Mạng nội bộ Hệ thống giỏm sỏt IDS và hệ thống kiểm tra, diệt virus
KẾT LUẬN
Nghiờn cứu và thiết kế một hệ thống đảm bảo an toàn cho cỏc dịch vụ trờn mạng là một vấn đề phức tạp và luụn cần hoàn thiện. Hệ thống cung cấp chứng chỉ số MyCA được xõy dựng dựa trờn chuẩn cụng nghệ PKI. Quỏ trỡnh nghiờn cứu và phỏt triển hệ thống cung cấp chứng chỉ số núi riờng và PKI núi chung là một quỏ trỡnh lõu dài và đi cựng với quỏ trỡnh chấp nhận của người sử dụng. Tỷ lệ người sử dụng tăng lờn khi cỏc chuẩn cụng nghệ trở nờn hoàn thiện, chứng minh được khả năng ứng dụng và hiện thực hoỏ là khả thi.
Hiện nay, việc sử dụng mật mó khoỏ cụng khai và dịch vụ cung cấp chứng chỉ số hay cũn gọi là dịch vụ chứng thực điện tử để đảm bảo an toàn thụng tin trong cỏc hoạt động giao dịch điện tử là giải phỏp được nhiều quốc gia trờn thế giới sử dụng. Ở Việt Nam, chữ ký số và dịch vụ cung cấp chứng chỉ số là vấn đề mới và chưa được triển khai trong thực tế. Trong thời gian gần đõy, một số đơn vị, cơ quan đó cú những hoạt động ban đầu nghiờn cứu cụng nghệ, xõy dựng hệ thống kỹ thuật, phỏt triển cỏc ứng dụng và thử nghiệm cung cấp dịch vụ chứng thực điện tử. Việc triển khai dịch vụ cung cấp chứng thực điện tử yờu cầu một sự đầu tư lõu dài và nghiờm tỳc mới mang lại kết quả như mong muốn. Phần khú khăn nhất trong triển khai dịch vụ này là ở khõu tổ chức thực hiện và thay đổi nhận thức của người sử dụng. Tớnh phỏp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra và cần giải quyết. Cỏc tổ chức, cỏ nhõn cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng thời cú quyền, nghĩa vụ nhất định. Chữ ký số và bản ghi điện tử được ký số theo đỳng qui định của phỏp luật sẽ cú giỏ trị phỏp lý như văn bản viết thụng thường.
Ngoài ra một hạ tầng cơ sở cụng nghệ yếu, chưa cú sự tin tưởng vào nhà cung cấp và những e ngại về tõm lý của người dựng này cũng là cỏc trở ngại trong việc triển khai dịch vụ cung cấp chứng chỉ số một cỏch rộng rói.
Kết quả nghiờn cứu
Luận văn này đó cú những tỡm hiểu về khỏi niệm, cụng nghệ, mụ hỡnh tổ chức và xõy dựng một hệ thống PKI, cựng với việc xõy dựng một hệ thống cung cấp chứng chỉ số ứng dụng cho Cục Cụng nghệ tin học nghiệp vụ và một số đơn vị khỏc trong Bộ Cụng an. Đõy là những kết quả nghiờn cứu ban đầu và sản phẩm đang trong giai đoạn triển khai thử nghiệm. Tuy nhiờn, với nhận định về ưu điểm của PKI và trước những yờu cầu thực tế đặt ra, chỳng tụi tin và quyết tõm đẩy mạnh hơn nữa việc nghiờn cứu, xõy dựng và triển khai dịch vụ cung cấp chứng chỉ số để đảm bảo an toàn thụng tin theo yờu cầu đặt ra trong toàn ngành.
Một số vấn đềđang được tiếp tục nghiờn cứu phỏt triển:
Tỡm hiểu về đường cong elliptic. Cài đặt hệ chữ ký số trờn đường cong Elliptic ECDSA.
TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt
1. Phạm Huy Điển, Hà Huy Khoỏi (2003), Mó hoỏ thụng tin cơ sở toỏn học và
ứng dụng, Nhà xuất bản Đại học Quốc gia Hà nội.
2. Phan Đỡnh Diệu (1999), Lý thuyết mật mó và an toàn thụng tin, Đại học Quốc Gia Hà Nội, Hà Nội.
3. Trịnh Nhật Tiến (2004), Một số vấn đề về an toàn dữ liệu, Hà Nội.
Tài liệu tiếng Anh
4. Adams, C. (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis.
5. Alfred Menezes (1996), Handbook of Applied Cryptography, CRC Press, LLC.
6. Andrew Nash, William Duance, Celia Joseph, and Derek Brink (2001), PKI Implementing and managing E-Security, McGraw –Hill Co.
7. Ellison, C.M. (1996), “Simple Public Key Certificate”.
8. Fegghi, J.(1999), Digital Certificates and Applied Internet Security, Addison-Wesley Longman, Inc.
9. ITU-T Recommendation X.509 (2000), “The Directory: Public key and Attribute Certificates Framework”.
10. NIST FIPS PUB 180 – 1 (1994), “Secure Hash Standard”.
11. NIST PKI Project Team (2001), “Certificate Issuing and Management Components Protection Profile”.
12. Rivest, R.L., A.Shamir, and L.M.Adleman (1978), “A method for obtaining digital signatures and public-key cryptosystems”, Communications of the ACM.
Một số RFC
13. Boeyen, S., T.Howes and P.Richard (1999), Internet X.509 Public Key Infrastructure Operational Protocols – LDAP2, RFC 2559.
14. Chokhani, S. (1999), Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, RFC 2527.
15. Housley, R. (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459.
16. Housley, R., and P.Hoffman (1999), Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP, RFC 2585.
17. Myers, M. (1999), Internet X.509 Certificate Request Message Format, RFC 2511.
18. Myers, M. (1999), X.509 Internet Public Key Infrastrure On-line Certificate Status Protocol, RFC 2560.
19. Santesson, S. (2001), Internet X.509 Public Key Infrastructure Qualified Certificates Profile , RFC 3039.
Một số Website
20. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure TimeStamp Protocols”
21. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure Data Certification Server Protocols”
22. http://www.ietf.org/ids.by.wg/pkix.html“Internet X.509 Public Key Infrastructure Certificate Management Protocols”
23. http://www.ietf.org/ids.by.wg/pkix.html“Simple Certificate Validation Protocol (SCVP)”
24. http://www.rsasecurity.com 25. http://www.openca.org
PHỤ LỤC 1. Mụi trường phỏt triển
Hệ thống cung cấp chứng chỉ số MyCA đó trỡnh bày ở trờn được phỏt triển trờn hệ điều hành Linux, sử dụng một số cụng cụ mó nguồn mở dưới đõy:
Apache mod_ssl OpenSSL OpenLDAP Perl
2. Một số chuẩn mật mó khoỏ cụng khai (PKCS)
PKCS - Public Key Cryptography Standards là chuẩn mó hoỏ khoỏ cụng khai do phũng thớ nghiệm RSA phỏt triển. Chuẩn PKCS cung cấp những định nghĩa cơ bản về định dạng dữ liệu và thuật toỏn là cơ sở nền tảng của việc triển khai PKI.
- PKCS#1 RSA Encryption Standard – Mó và ký sử dụng hệ mó cụng khai RSA
- PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoỏ
Diffie-Hellman. PKCS#3 mụ tả phương phỏp thực hiện trao đổi khoỏ Diffie-Hellman.
- PKCS#5 Password-based Encrytion Standard - Chuẩn mó hoỏ dựa trờn
password. PKCS#5 mụ tả phương phỏp mó xõu bỏt phõn sử dụng khoỏ bớ mật được tớnh từ password để sinh ra xõu bỏt phõn được mó hoỏ. PKCS # 5 cú thể được sử dụng để mó hoỏ khoỏ riờng trong việc truyền khoỏ bớ mật.
- PKCS#6 Extended Certificate Syntax Standard - Chuẩn cỳ phỏp chứng
chỉ mở rộng. PKCS # 6 định nghĩa cỳ phỏp chứng chỉ X.509 mở rộng.
- PKCS#7 Crytographic Message Syntax Standard - Chuẩn cỳ phỏp thụng
điệp mật mó. PKCS#7 xỏc định cỳ phỏp tổng thể dữ liệu được mó hoỏ vớ dụ như chữ ký số. PKCS#7 cung cấp một số lựa chọn định dạng: message khụng mó hoỏ hoặc ký số, message được mó hoỏ, message được ký số và message cú cả ký số và mó hoỏ.
- PKCS#8 Private Key Information Syntax Standard - Chuẩn cỳ phỏp
thụng tin riờng. PKCS#8 định nghĩa cỳ phỏp thụng tin khoỏ riờng và cỳ phỏp khoỏ riờng được mó hoỏ.
- PKCS#9 Selected Attribute Types - Những loại thuộc tớnh được lựa chọn.
PKCS#9 định nghĩa những loại thuộc tớnh được lựa chọn sử dụng trong chứng chỉ mở rộng PKCS#6, thụng điệp ký số PKCS#7, thụng tin khoỏ riờng PKCS#8 và yờu cầu ký chứng chỉ PKCS#10. Những thuộc tớnh chứng chỉ được chỉ rừ ở đõy gồm cú địa chỉ thư, loại nội dung, bản túm tắt thụng điệp, thời gian ký, password yờu cầu và những thuộc tớnh chứng chỉ mở rộng. - PKCS#10 Certification Request Syntax Standard - Chuẩn cỳ phỏp yờu
cầu chứng chỉ. PKCS#10 định nghĩa cỳ phỏp yờu cầu chứng chỉ. Yờu cầu chứng chỉ gồm tờn phõn biệt, khoỏ cụng và tập cỏc thuộc tớnh tuỳ chọn, chữ ký của thực thể yờu cầu chứng chỉ.
- PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ
bài mật mó. PKCS#11 xỏc định giao diện lập trỡnh ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thụng tin mó hoỏ (cũng như khoỏ mó hoỏ và chứng chỉ) và thực hiện chức năng mó hoỏ. Smart Card là thiết bị đặc trưng thực hiện Cryptoki.
- PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cỳ
phỏp trao đổi thụng tin cỏ nhõn. PKCS#12 định nghĩa định dạng thụng tin nhận diện cỏ nhõn bao gồm khoỏ riờng, chứng chỉ, bớ mật đặc tớnh khỏc nhau và mở rộng. PKCS#12 làm cho việc truyền chứng chỉ và khoỏ bớ mật gắn kốm được thuận tiện, giỳp người sử dụng cú thể chuyển thụng tin nhận diện cỏ nhõn từ thiết bị này sang thiết khỏc.
- PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mó đường
cong elliptic. PKCS#13 bao gồm việc tạo tham số đường cong elliptic và kiểm tra hiệu lực, tạo khoỏ và cụng nhận giỏ trị, chữ ký số và mó hoỏ khoỏ cụng khai cũng như thoả thuận khoỏ.
- PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số
giả ngẫu nhiờn. Nhiều hàm mật mó cơ bản được sử dụng trong PKI như tạo khoỏ và thoả thuận khoỏ bớ mật Diffie – Hellman sử dụng dữ liệu ngẫu nhiờn. Tuy nhiờn nếu dữ liệu ngẫu nhiờn lại khụng ngẫu nhiờn mà được chọn từ tập giỏ trị cú thể tiờn đoỏn được thỡ hàm mật mó khụng bảo mật được đầy đủ. Do đú tạo số giả ngẫu nhiờn an toàn là điều quan trọng đối với bảo mật PKI.
3. Một số màn hỡnh giao diện của hệ thống đó xõy dựng
Giao diện Khởi tạo cơ sở dữ liệu và tạo cặp khoỏ cho RootCA