Hỡnh 4. 5 Xỏc minh chữ ký
Hỡnh 4. 6 Tiến hành băm thụng điệp đi kốm
d/. Xỏc thực bằng chứng chỉ số
* Chứng chỉ số là gỡ
Nhƣ ta đó biết, mật mó khúa cụng khai sử dụng hai khúa khỏc nhau (khúa cụng khai và khúa riờng) để đảm bảo yờu cầu “bớ mật, xỏc thực, toàn vẹn và chống chối bỏ” của những dịch vụ an toàn. Một đặc tớnh quan trọng của lƣợc đồ khúa cụng khai là khúa cụng khai đƣợc phõn phối một cỏch tự do. Ngoài ra, nú cũn cú phải đảm bảo tớnh toàn vẹn.
Khúa cụng khai đặt ở vị trớ cụng khai trong một định dạng đặc biệt. Định dạng này gọi là chứng chỉ. Chứng chỉ (thực ra là chứng chỉ khúa cụng khai – public key certificate (PKC)) là sự gắn kết giữa khúa cụng khai của thực thể và một hoặc nhiều thuộc tớnh liờn quan đến thực thể. Thực thể cú thể là ngƣời, thiết bị phần cứng nhƣ mỏy tớnh, hay một phần mềm xử lý. Chứng chỉ khúa cụng khai (PKC) cũn đƣợc gọi là “digital certificate” – chứng chỉ số, “digital ID”.
Nhƣ vậy, ô chứng chỉ khúa cụng khai là giấy chứng nhận khúa cụng khai
của một thực thể ằ [5]. Chứng chỉ chứa những thụng tin cần thiết nhƣ khúa cụng
khai, chủ thể sở hữu (ngƣời sở hữu) khúa cụng khai, ngƣời cấp và một số thụng tin khỏc.
* Thành phần của chứng chỉ số:
Thụng tin cỏ nhõn của ngƣời đƣợc cấp:
Đõy là cỏc thụng tin của đối tƣợng đƣợc cấp chứng chỉ số, gồm tờn, quốc tịch, địa chỉ, điện thoại, email, tờn tổ chức ... Phần này giống nhƣ cỏc thụng tin trờn chứng minh thƣ của mỗi ngƣời.
Khúa cụng khai (public key) của ngƣời đƣợc cấp:
Trong khỏi niệm mật mó, khoỏ cụng khai là một giỏ trị đƣợc nhà cung cấp chứng thực đƣa ra nhƣ một khoỏ mó hoỏ, đƣợc cụng bố cụng khai cho mọi ngƣời biết. Nú tƣơng ứng với khoỏ bớ mật, chỉ chủ thể của chứng chỉ biết, để tạo thành cặp khoỏ bất đối xứng.
Nguyờn lý hoạt động của khoỏ cụng khai trong chứng chỉ số là hai bờn giao dịch phải biết khoỏ cụng khai của nhau. Bờn A muốn gửi cho bờn B thỡ phải dựng khoỏ cụng khai của bờn B để mó hoỏ thụng tin. Bờn B sẽ dựng khoỏ cỏ nhõn của mỡnh để mở thụng tin đú ra. Tớnh bất đối xứng trong mó hoỏ thể hiện ở chỗ khoỏ cỏ nhõn cú thể giải mó dữ liệu đƣợc mó hoỏ bằng khoỏ cụng khai, nhƣng khoỏ cụng khai hoặc khụng thể, hoặc rất khú và tốn nhiều thời gian, cụng sức để cú thể giải mó lại thụng tin, kể cả những thụng tin do chớnh khoỏ cụng khai đú đó mó hoỏ.
Chứng chỉ số của nhà cung cấp chứng chỉ số (CA)
CA (Certification Authority), một cơ quan cú tƣ cỏch phỏp nhõn thƣờng xuyờn tiếp nhận đăng ký cỏc thụng tin đặc trƣng đại diện cho chủ thể nhƣ khúa cụng khai và lƣu trữ khúa cụng khai cựng lý lịch của chủ thể trong một cơ sở dữ liệu đƣợc bảo vệ chặt chẽ. Điều quan trọng nhất của một CA là uy tớn để khẳng định sự thật, bảo đảm khụng thể cú chuyện “đổi trắng thay đen”.
Thụng thƣờng, CA thực hiện chức năng xỏc thực bằng cỏch cấp chứng chỉ cho cỏc CA khỏc hoặc cho thực thể cuối (ngƣời giữ chứng chỉ) trong hệ thống. Nếu CA nằm ở đỉnh mụ hỡnh phõn cấp PKI và cấp chứng chỉ cho những CA ở mức thấp hơn thỡ chứng chỉ này đƣợc gọi là chứng chỉ gốc “Root certificate”.
* Cơ chế xỏc thực của chứng chỉ số:
Cơ chế 1: Trong mụ hỡnh xỏc thực bằng chứng chỉ. Ngƣời dựng cú thể xỏc thực anh ta bằng cỏch trỡnh cho hệ thống chứng chỉ của chớnh mỡnh. Thụng qua chữ ký của nhà phỏt hành chứng chỉ trờn khoỏ cụng khai và cỏc thụng tin định danh, anh ta cú thể chứng minh rằng mỡnh đang sở hữu một khoỏ riờng tƣơng ứng. Khoỏ riờng thƣờng là một giỏ trị rất lớn (thụng thƣờng khoỏ riờng với giỏ trị vào khoảng 21024). Với giỏ trị nhƣ thế, nú thƣờng đƣợc lƣu trong cỏc file đƣợc bảo vệ bởi mật khẩu, hoặc trong cỏc phần cứng nhƣ thẻ thụng minh. [13]
Cơ chế 2: Cỏc file hay thẻ thụng minh đƣợc bảo vệ bởi mật khẩu hoặc số PIN. Để xỏc thực chớnh mỡnh, anh ta phải đƣa ra những thụng tin về mật khẩu hoặc số PIN mà chỉ cú anh ta mới biết, từ thụng tin này, hệ thống mới cú thể cú đƣợc khoỏ riờng.
Thụng qua cỏc thao tỏc toỏn học, hệ thống chứng minh sự tƣơng ứng giữa khoỏ riờng và khoỏ cụng khai cú trong chứng chỉ. Mặt khỏc khoỏ cụng khai và cỏc thụng tin định danh đƣợc gắn kết với nhau thụng qua chữ ký của nhà phỏt hành chứng chỉ, nờn danh tớnh của anh ta đƣợc xỏc thực. [13]
Cơ chế 3: Sử dụng cỏc giao thức mó hoỏ với thẻ thụng minh để chứng minh rằng ngƣời sử dụng sở hữu khoỏ riờng tƣơng ứng. Khoỏ riờng đƣợc lƣu trong thẻ thụng minh. Hệ thống xỏc thực cung cấp một thụng tin, thẻ thụng minh sử dụng khoỏ riờng mó hoỏ thụng tin đú và gửi trả lại cho hệ thống. Hệ thống sử dụng khoỏ cụng khai trờn chứng chỉ giải mó để lấy lại thụng tin ban đầu. Nếu hai thụng tin là giống nhau thỡ chứng tỏ – thẻ thụng minh cú chứa một khoỏ riờng tƣơng ứng.
Mặc dự xỏc thực bằng chứng chỉ cú ba cơ chế. Nhƣng tất cả đều phải đƣợc xõy dựng trờn sự tin tƣởng vào nhà phỏt hành chứng chỉ. Vỡ nếu chứng chỉ bị giả mạo hay nhà phỏt hành chứng chỉ làm giả chứng chỉ, thỡ hệ thống của chỳng ta sụp đổ hoàn toàn. Nhƣ vậy về bản chất cơ chế xỏc thực cú đƣợc là do chữ ký của nhà phỏt hành chứng chỉ, tức là nhà phỏt hành chứng chỉ đó chứng minh cỏc thụng tin định danh của ngƣời sử dụng thụng qua chữ ký của mỡnh. [13]
4.1.2 Xỏc thực trong đồng bộ OMA
Cựng với cỏc phƣơng thức bảo mật đƣờng truyền, cụng việc đảm bảo an toàn thụng tin trong hệ thống đồng bộ dữ liệu với cỏc thiết bị cầm tay là rất quan trọng. Một trong số đú là việc xỏc thực cỏc mỏy khỏch (cỏc thiết bị cầm tay). Mục đớch là nhằm xỏc định ai là ngƣời đƣợc phộp sử dụng, truy cập và thao tỏc trờn dữ liệu đồng bộ. OMA-SyncML đƣa ra 3 lớp xỏc thực sau [6]:
Xỏc thực mỏy khỏch, mỏy chủ OMA-SyncML (khỏc nhau trờn cỏc lớp giao vận): Là xỏc thực của mỏy khỏch đối mỏy chủ. Đõy là kiểu xỏc thực phổ biến nhất trong đồng bộ dữ liệu OMA-SyncML. Đối với cỏc cài đặt đơn giản thỡ mức xỏc thực này là đủ. Tuy nhiờn, trong trƣờng hợp truy cập tới cỏc kho dữ liệu chứa nhiều thụng tin quan trọng, nhạy cảm thỡ cần thực hiện thờm cỏc mức xỏc thực khỏc.
Xỏc thực kho chứa dữ liệu đồng bộ: Nhằm hạn chế mỏy khỏch đƣợc phộp truy cập vào kho dữ liệu đồng bộ. Mức xỏc thực này cú thể đƣợc cài đặt trong pha bắt tay, thụng bỏo bắt đầu đồng bộ với kho dữ liệu.
Xỏc thực đối tƣợng: Mục đớch của mức xỏc thực này là hạn chế thờm cỏc đối tƣợng đƣợc phộp truy nhập so với mức xỏc thực kho dữ liệu.
OMA-SyncML sử dụng cỏc kiểu xỏc thực sau:
Xỏc thực cơ bản (Basic Authentication):
Kiểu xỏc thực này chỉ sử dụng tờn đăng nhập và mật khẩu. Hai chuỗi này đƣợc nối với nhau bằng dấu hai chấm (":") (vớ dụ: demo:demo123). Để đảm bảo khụng bi lộ thụng tin nhạy cảm, SyncML phải mó húa chuỗi này theo chuẩn mó húa Base64. Phƣơng phỏp xỏc thực đơn giản này chỉ sử dụng trong việc truy cập vào cỏc kho dữ liệu ớt nhạy cảm, nú khụng thể ngăn chặn cỏc tỡnh huống nghe trộm và giải mó chuỗi ký tự nhằm biết tờn và mật khẩu.
Xỏc thực MD5:
Thuật toỏn MD5 cho ra một giỏ trị duy nhất 128 bit khi truyền vào một tập dữ liệu tựy ý. Dữ liệu này cú thể là chuỗi văn bản, hoặc cỏc giỏ trị binary. Thuật toỏn MD5 chỉ sinh ra dữ liệu 128 bits thụng qua thuật toỏn một chiều.
Mó húa Base64:
Là một kiểu mó húa cho phộp mụ tả dữ liệu nhị phõn nhƣ một dóy cỏc ký tự ASCII, để cú thể đƣợc chốn vào một file văn bản hoặc một e-mail. Mó húa Base64 làm việc trờn nguyờn tắc sử dụng 4 byte để chứa 3 byte dữ liệu nguồn và đảm bảo mỗi byte chỉ sử dụng 7 bit thấp để chứa dữ liệu. Điều này cú nghĩa là mỗi byte dữ liệu đƣợc mó húa theo Base64 cú dạng giống nhƣ một ký tự ASCII, nờn cú thể đƣợc lƣu trữ hoặc truyền đi bất cứ nơi đõu cho phộp ký tự ASCII.
4.2 BẢO MẬT ĐƢỜNG TRUYỀN TRONG ĐỒNG BỘ OMA
4.2.1 Bảo mật trong lớp giao vận sử dụng cụng nghệ SSL a/. Giới thiệu về SSL a/. Giới thiệu về SSL
SSL là giao thức đa mục đớch đƣợc thiết kế để tạo ra giao tiếp giữa hai trỡnh ứng dụng trờn một cổng định trƣớc (Socket 443), nhằm mó hoỏ toàn bộ thụng tin đi/đến mà ngày nay đƣợc sử dụng rộng rói trong cỏc giao dịch điện tử nhƣ truyền số hiệu thẻ tớn dụng, mật khẩu, số bớ mật cỏ nhõn (PIN) trờn Internet.
Điểm cơ bản của giao thức SSL là đƣợc thiết kế độc lập với tầng ứng dụng, nằm giữa tầng mạng hƣớng kết nối TCP/IP và tầng ứng dụng, để đảm bảo an toàn, chống giả mạo luồng thụng tin qua Internet giữa hai ứng dụng bất kỳ.
Để bảo vệ những thụng tin mật trờn mạng Internet hay bất kỳ mạng TCP/IP nào, SSL kết hợp những yếu tố sau để thiết lập đƣợc một giao dịch an toàn:
Xỏc thực: đảm bảo tớnh xỏc thực của trang web mà bạn sẽ làm việc ở đầu kia của kết nối. Tƣơng tự, cỏc trang web cũng cần phải kiểm tra tớnh xỏc thực của ngƣời sử dụng.
Mó hoỏ: đảm bảo thụng tin khụng thể bị truy cập bởi đối tƣợng thứ ba. Để loại trừ việc nghe trộm những thụng tin “nhạy cảm” khi nú đƣợc truyền qua Internet, dữ liệu đƣợc mó hoỏ để khụng thể bị đọc đƣợc bởi những ngƣời khỏc ngoài ngƣời gửi và ngƣời nhận.
Toàn vẹn dữ liệu: đảm bảo thụng tin khụng bị sai lệch và nú phải thể hiện chớnh xỏc thụng tin gốc gửi đến.
Hỡnh 4. 8 Khối giao thức SSL [15]
b/. Hoạt động của SSL
SSL khụng phải là một giao thức đơn lẻ, mà là một tập cỏc thủ tục đó đƣợc chuẩn hoỏ để thực hiện cỏc nhiệm vụ bảo mật sau:
Xỏc thực mỏy chủ (server):
Cho phộp ngƣời sử dụng xỏc thực mỏy chủ muốn kết nối. Khi đú, phớa trỡnh duyệt sử dụng cỏc kỹ thuật mó hoỏ cụng khai để chắc chắn rằng chứng chỉ số (certificate) và định danh cụng khai (public ID) của mỏy chủ là cú giỏ trị và đƣợc cấp phỏt bởi một CA (certificate authority) trong danh sỏch cỏc CA đỏng tin cậy của mỏy khỏch.
Xỏc thực mỏy khỏch (Client):
Cho phộp phớa mỏy chủ xỏc thực ngƣời sử dụng muốn kết nối. Phớa mỏy chủ cũng sử dụng cỏc kỹ thuật mó hoỏ cụng khai để kiểm tra xem chứng chỉ số và định danh cụng khai của mỏy khỏch cú giỏ trị hay khụng và đƣợc cấp phỏt bởi một CA (certificate authority) trong danh sỏch cỏc CA đỏng tin cậy của mỏy chủ khụng. Điều này rất quan trọng đối với cỏc nhà cung cấp. Vớ dụ nhƣ khi một ngõn hàng định gửi cỏc thụng tin tài chớnh mang tớnh bảo mật tới khỏch hàng thỡ họ rất muốn kiểm tra định danh của ngƣời nhận.
Mó hoỏ kết nối:
Tất cả cỏc thụng tin trao đổi giữa mỏy khỏch và mỏy chủ đƣợc mó hoỏ trờn đƣờng truyền nhằm nõng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bờn khi cú cỏc giao dịch mang tớnh riờng tƣ. Ngoài ra, tất cả cỏc dữ liệu đƣợc gửi đi trờn một kết nối SSL đó đƣợc mó hoỏ cũn đƣợc bảo vệ nhờ cơ chế tự động phỏt hiện cỏc xỏo trộn, thay đổi trong dữ liệu. (đú là cỏc thuật toỏn băm – hash algorithm).
c/. Thuật toỏn sử dụng trong SSL
Giao thức SSL hỗ trợ rất nhiều cỏc thuật toỏn mó hoỏ, đƣợc sử dụng để thực hiện cỏc cụng việc trong quỏ trỡnh xỏc thực mỏy chủ và mỏy khỏch, truyền tải cỏc chứng chỉ số (certificates) và thiết lập cỏc khoỏ của từng phiờn giao dịch (sesion key). Mỏy khỏch và mỏy chủ cú thể hỗ trợ cỏc bộ mật mó (cipher suite) khỏc nhau tuỳ thuộc vào nhiều yếu tố nhƣ phiờn bản SSL đang dựng, chớnh sỏch của cụng ty về độ dài khoỏ mà họ cảm thấy chấp nhận đƣợc - điều này liờn quan đến mức độ bảo mật của thụng tin,….
DES (Data Encryption Standard): thuật toỏn mó hoỏ cú chiều dài khoỏ là 56 bit.
3-DES (Triple-DES): thuật toỏn mó hoỏ cú độ dài khoỏ gấp 3 lần độ dài khoỏ trong mó hoỏ DES.
DSA (Digital Signature Algorithm) – Thuật toỏn ký số: (trong chuẩn về xỏc thực số đang đƣợc chớnh phủ Mỹ sử dụng).
KEA (Key Exchange Algorithm): thuật toỏn trao đổi khoỏ đang đƣợc chớnh phủ Mỹ sử dụng.
MD5 (Message Digest algorithm) đƣợc phỏt triển bởi Rivest.
RSA: thuật toỏn mó hoỏ cụng khai dựng cho cả quỏ trỡnh xỏc thực và mó hoỏ dữ liệu (Rivest, Shamir, và Adleman phỏt triển)
RSA key exchange: thuật toỏn trao đổi khoỏ dựng trong SSL, dựa trờn thuật toỏn RSA.
RC2 and RC4: cỏc thuật toỏn mó hoỏ đƣợc phỏt triển bởi Rivest, dựng cho việc bảo vệ dữ liệu RSA (RSA Data Security).
SHA-1 (Secure Hash Algorithm): thuật toỏn băm đang đƣợc chớnh phủ Mỹ sử dụng.
4.2.2 Bảo mật lớp giao vận (TLS)
Đƣợc đƣa ra bởi IETF vào năm 1999 (RFC 2246), một phẩn của ủy ban cố vấn internet (IAB- Internet Architecture Board) cú chức năng nghiờn cứu, phỏt triển và quyết định cỏc chuẩn dựng trong internet. Giao thức này dựa trờn SSL v3.0 và PCT. Mặc dự TLS dựa trờn SSL, nhƣng nú khụng phải là phiờn bản sau tƣơng thớch 100% với cỏc bản trƣớc nú. IETF đó thực hiện mụt số cải tiến về an toàn, chẳng hạn nhƣ dựng HMAC thay vỡ MAC, dựng phộp tớnh toỏn khỏc trong bảo mật của mỏy chủ và tài liệu khoỏ (key), thờm cỏc bộ chỉnh sửa, khụng hỗ trợ bộ mó hoỏ Fortezza , v.v… Kết quả của những nõng cấp này là cỏc giao thức khụng hoạt động đƣợc một cỏch đầy đủ và rơi vào quờn lóng.
4.2.3 Bảo mật trong lớp giao vận mạng khụng dõy (WTLS)
WTLS là lớp bảo mật của Wap (Wireless Application Protocol), một lớp đặc tả bảo mật cho phộp ngƣời sử dụng truy nhập thụng tin qua cỏc thiết bị khụng dõy nhƣ điện thoại di động, palm... WTLS cung cấp chớnh sỏch bảo mật, ràng buộc dữ liệu và xỏc thực cho cỏc dịch vụ Wap.
WTLS dựa trờn lớp bảo mật TLS (Transport Layer Security) trong internet, nú sử dụng cỏc ngữ nghĩa giống nhau cho cỏc thiết bị điện thoại băng thụng nhỏ. WTLS cú một số thay đổi so với TLS để phự hợp với việc truyền nhận dữ liệu trờn mạng khụng dõy cú băng thụng nhỏ, bộ nhớ và bộ xử lý của cỏc thiết bị hạn chế: + Cấu trỳc dữ liệu nộn: kớch thƣớc gúi đó đƣợc giảm bằng cỏch loại bỏ những thụng tin thừa, cắt bỏ một số phần tử mật mó.
+ Định dạng chứng chỉ mới: WTLS định nghĩa một định dạng chứng chỉ nộn. Nú tuõn theo cấu trỳc chứng chỉ số X.509 v3, nhƣng sử dụng cấu trỳc dữ liệu nhỏ hơn. + Thiết kờ dựa trờn gúi: WTLS thiết kế để thớch ứng hơn với mạng trờn cơ sở truyền nhận gúi dữ liệu.
* Bảo mật
WTLS sử dụng cỏc thuật toỏn mật mó hiện đại hơn: + Trao đổi khúa và chữ ký: RSA, ECC
+ Mật mó đối xứng: DES, Triple DES, RC5 + Sắp xếp thụng điệp: MD5, SHA1
4.3 PKI TRONG ĐỒNG BỘ DỮU LIỆU OMA-SYNCML
OMA SyncML là một chuẩn cụng nghiệp sử dụng cho việc đồng bộ dữ liệu và thụng tin cỏ nhõn qua nhiều mạng, hạ tầng và cỏc thiết bị. OMA-SyncML sử dụng cỏc kỹ thuật bảo mật đối xứng để đảm bảo bảo mật đối với cỏc thiết bị trờn cỏc mạng tƣơng ứng. Cỏc kỹ thuật này cú lợi điểm là tớnh toỏn xử lý nhanh và đơn giản. Tuy nhiờn với phƣơng phỏp này, mọi mỏy chủ quản lý thiết bị phải xỏc thực cỏc thiết bị kết nối đến nú để lƣu trữ ủy nhiệm (credentials) đối xứng. Kỹ thuật này