2.Chứng chỉ số bao gồm khoá công khai của Server cùng với thông tin định danh. Client giải mã chữ ký điện tử của CA bằng khoá công khai của CA, thực hiện HASH để xác thực rằng chứng chỉ số không bị thay đổi. Như vậy khoá công khai của CA đã được sử dụng để chứng thực khoá công khai trong chứng chỉ số của người gửi. Khi khoá công khai của người gửi được xác nhận, nó được dùng để chứng thực chữ ký điện tử trong thông điệp của nó.
Để cung cấp một chứng chỉ bảo đảm hoặc hệ thống chữ ký, những điều kiện sau phải được thoả mãn :
Nhà cung cấp dịch vụ chứng chỉ phải cung cấp chứng chỉ cho cả bên gửi
và bên nhận.
Bên nhận phải có khả năng sử dụng chứng chỉ của CA để kiểm chứng
khoá công khai của bên gửi.
Khoá công khai đã được chứng thực của bên gửi phải được sử dụng để
2.2. Các giao thức xác thực
2.2.1. Mật khẩu
Trong số các cơ chế xác thực, cơ chế xác thực dựa trên thông tin mà thực thể truy xuất biết (what you know) là cơ chế đơn giản nhất và được sử dụng nhiều nhất. Thông tin này thường là mật khẩu (password), được liên kết với một thực thể dùng để xác thực thực thể đó.
Mật khẩu thường là một chuỗi ký tự. Không gian mật khẩu (password space) là tập hợp tất cả các chuỗi ký tự có thể xuất hiện trong mật khẩu. Mỗi hệ thống xác thực có một không gian mật khẩu khác nhau. Không gian mật khẩu càng lớn thì khả năng bị tấn công mật khẩu theo phương thức vét cạn (Brute Force) lại càng thấp.Mật khẩu được gọi là phức tạp nếu nó khó bị phát hiện bằng phương pháp dò mật khẩu theo từ điển (Dictionary Attack).
Theo khảo sát, những loại mật khẩu được dùng phổ biến nhất hiện nay:
- Người sử dụng có thói quen dùng tên của người sử dụng (User Name hoặc Account Name), hoặc ngày sinh, số điện thọai… để làm mật khẩu
- Dùng tên đăng nhập (Logon Name) làm mật khẩu.
- Dùng tên máy tính (Computer Name) làm mật khẩu.
- Dùng những từ khóa đặc biệt như computer, hacker, …
- Lấy tên của những người có quan hệ mật thiết, như vợ, chồng, con, người thân làm mật khẩu ….
- Những mật khẩu như trên đều có độ phức tạp rất thấp và do đó dễ dàng
bị tiết lộ. Các hệ thống xác thực thường đưa ra các chính sách về mật khẩu (Password Policy) đối với người sử dụng. Các chính sách này thường quy định những ràng buộc sau đây:
- Chiều dài tối thiểu và độ khó của mật khẩu, mật khẩu không được chứa
User Name hoặc logon-name (Password Complexity).
- Thời gian sử dụng tối đa của mật khẩu (Password Age).
- Thường xuyên thay đổi mật khẩu, …
- Về phía người sử dụng, những nguyên tắc chung để tăng độ an toàn cho
- Sử dụng nhiều loại ký tự khác nhau để làm mật khẩu, mục đích là mở rộng không gian mật khẩu (dùng chữ cái, chữ số, các ký hiệu đặc biệt, dùng phối hợp giữa chữ hoa và chữ thường, …)
- Không sử dụng các mật khẩu quá ngắn.
- Không sử dụng những từ khóa hoặc từ có nghĩa trong mật khẩu.
- Thường xuyên thay đổi mật khẩu.
- Không ghi chép mật khẩu lên bất kỳ vị trí nào.
- Không tiết lộ mật khẩu cho người khác, cả những tình huống an toàn nhất.
Trên các máy chủ xác thực, mật khẩu của người sử dụng thường không được lưu trữ một cách trực tiếp dưới dạng ký tự gốc (cleartext) mà phải được mã hoá dưới một dạng nào đó để đảm bảo an toàn. Ngoài ra, để mật khẩu không bị đánh cắp khi truyền đi trên mạng, nhiều thủ tục xác thực phức tạp được xây dựng để đảm bảo rằng mật khẩu không được truyền đi trực tiếp (Cleartext) trên mạng.
2.2.2. Các giao thức xác thực trong mô hình điểm - điểm
Một thực thể bên ngoài hệ thống thông tin muốn truy xuất hệ thống như một chủ thể của thệ thống thì phải cung cấp các thông tin để hệ thống xác thực nhận dạng của chủ thể. Các thông tin này thường là mật khẩu, thẻ xác thực, dấu vân tay, … Quá trình xác thực một thực thể bao gồm việc lấy thông tin mà thực thể cung cấp, phân tích và xác định xem thông tin có liên kết với thực thể đó hay không.
Có hai mô hình thực tế của một hệ thống xác thực là xác thực tại chỗ (Local Authentication) và xác thực từ xa (Remote Authentication) thông qua môi trường mạng. Mô hình thứ nhất được sử dụng khi người sử dụng đăng nhập trực tiếp vào một thống nội bộ (Local Logon), thông tin xác thực (tên người dùng và mật khẩu) được cung cấp trực tiếp cho hệ thống xác thực (server). Trong mô hình thứ hai, người sử dụng đăng nhập vào một hệ thống ở xa. Tình huống này bắt buộc các thông tin xác thực phải được gửi đi trên mạng và do đó, nguy cơ bị nghe lén thông tin là rất cao. Các giao thức xác thực được thiết kế để giảm thiểu các nguy cơ này.
Trong các hệ thống cổ điển, kết nối từ xa thường được thực hiện bằng các giao thức điểm – điểm như SLIP (Serial Line Internet Protocol) hoặc PPP (Point to Point Protocol). Các thủ tục xác thực đều là một chiều, tức là chỉ có máy chủ xác thực
người sử dụng chứ không có thủ tục ngược lại. Hai giao thức xác thực thường được dùng trong các hệ thống này là PAP và CHAP
PAP (Password Authentication Protocol) là giao thức xác thực đơn giản nhất
và do đó kém an toàn nhất. Để xác thực với một hệ thống Server ở xa, người sử dụng chỉ gửi tên đăng nhập và mật khẩu một cách trực tiếp (Clear Text) cho Server trong gói tin yêu cầu xác thực (Authenticate Request Packet). Server sẽ kiểm tra thông tin xác thực chứa trong gói dữ liệu này, nếu trùng với thông tin đã lưu trữ trong cơ sở dữ liệu thì sẽ trả lời bằng một gói tin xác nhận (Authenticate Ack Packet) và quá trình xác thực thành công. Ngược lại, nếu thông tin xác thực không đúng, Server trả lời bằng gói từ chối (Authenticate Nak Packet).