3.3.2 Quy trình xác thực thông tin
Giả sử một tổ chức, doanh nghiệp, công ty..., ký hiệu là thực thể A gửi một tài liệu M cho một thực thể B. Tài liệu M có thể là một giấy phép nhập khẩu xuất bản phẩm không kinh doanh, xuất bản phẩm nhập khẩu không kinh doanh…, quy trình xác thực như sau:
1. Trên thực thể người sử dụng A:
• A truy nhập vào Server RA tìm khóa công khai của B:PUB
• Mã hóa tài liệu M bằng thuật toán mật mã đối xứng với khóa bí mật là KABchung của thực thể A và B: MK = E(M, KAB)
• A gửi thông tin sang B bằng bản mã khóa riêng của B:
E[(MK+KAB+CA] = E[MK +K+ (IDA +PUA +TA + DSA+ DSCA-A), PUB]
2. Trên thực thể B:
• B nhận:
E[(MK+KAB+CA] = E[MK+ K+(IDA+ PUA+ TA + DSA+ DSCA-A), PUB]
Người sử dụng
(User)
(IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A)
Máy chủ AS
E[(IDA + PUA + TA + DSA+ DSCA-A), PUA]
CA = (IDA + PUA + TA + DSA+ DSCA-A)
• Giải mã:D[E[MK+KAB+(IDA + PUA+ TA+ DSA+DSCA-A), PUB], PRB]
• Kết quả giải mã:MK + KAB + (IDA + PUA + TA + DSA+ DSCA-A)
• Giả mã bằng khóa chung KABnhận được bản rõ:D(MK , K) =M
• Thực thể B yêu cầu Server RA xác minh thẻ “Chứng thực khóa”A: E[(IDA
+ PUA + TA + DSA+ DSCA-A), PUCA-B]
3. Máy chủ RA xác minh chữ ký số và thẻ “Chứng thực khóa” của A:
• Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B], PUCA-B]
• Thông tin sau giải mã: IDA + PUA + TA + DSA+ DSCA-A • Xác minh:
ü Mã định danh IDA là của A ü Chữ ký sốDSA là của A ü Chữ ký sốDSCA-A là của CA ü Thời gian TA có còn hiệu lực
• Server RA trả lời cho thực thể B kết quả xác minh
Để bắt đầu trao đổi thông tin với nhau, các thực thể sử dụng mật mã bất đối xứng. Hai thực thể A và B trao đổi chứng thực khóa cho nhau để thực thể này nhận được khoá công khai của thực thể kia.
Nhờ thực thể tin cậy thứ 3 làm trung gian để tạo ra chứng thực khóa, khoá công khai có thể được phân phối một cách an toàn mà không bị giả mạo.
3.3.3 Một số nhận xét
Mô hình xác thực thông tin trong môi trường cơ sở hạ tầng khóa công khai PKI, sử dụng chữ ký số ký qua bên thứ 3 tin cậy, có tính pháp lý. Quy trình đảm bảo được
− Thông tin trao đổi giữa các thực thể là đảm bảo bí mật và toàn vẹn trên hai khía cạnh nội dung và nguồn gốc thông tin
− Xác minh được nguồn gốc nơi phát sinh và nơi nhận thông tin
− Các thực thể tham gia không thể phủ nhận được tính pháp lý của giao dịch. Không thể chối cãi được nguồn gốc thông tin đã gửi hoặc nhận.
− Mỗi thực thể đều có thể đọc các chứng thực khóa để biết được khóa công khai cũng như nhận diện chủ sở hữu của khóa đó.
− Mỗi thực thể đều có thể xác thực thông tin trong chứng thực khóa là chính xác nhờ vào chữ ký của một thực thể được tin cậy thứ 3.
− Chỉ có người chứng thực (Certificate Authority hay CA) mới có quyền tạo ra và cập nhật các chứng thực khóa.
− Mô hình xác thực thông tin trong môi trường PKI sử dụng hai máy chủ tại Trung tâm xác thực:
ü Server CA có chức năng chỉ lưu trữ thẻ “Chứng thực khóa” và thông tin
các nhân của các thực thể đầu cuối. Nó hoạt động hoàn toàn độc lập với môi trường mạng. Vì vậy, không thể có bất kỳ người sử dụng đầu cuối hợp lệ hay không hợp lệ nào lại có thể truy xuất trực tiếp vào nó, mà phải thông qua máy chủ trung gian RA của Trung tâm. Vì vậy dữ liệu trên máy chủ CA là hoàn toàn tuyệt mật, đảm bảo tuyệt đối an toàn thông tin cho hệ thống.
ü Server RA là máy chủ trung gian, có chức năng giao tiếp trực tiếp giữa người sử dụng với hệ thống. Tiếp nhận, xử lý các yêu cầu truy nhập của các thực thể đầu cuối. Có chức năng kiểm tra, giám sát các hoạt động hệ thống. Nó chỉ kết nối với máy chủ CA khi kết nối an toàn. Nó làm việc trên bản sao chứng thực khóa, thường xuyên cập nhật cho máy chủ CA
Tóm lại mô hình xác thực thông tin trong môi trường cơ sở hạ tầng khóa công khai PKI, đảm bảo an toàn, bí mật cho các giao dịch điện tử
3.4 Triển khai thử nghiệm
Ứng dụng java mô phỏng quá trình ký và xác thực chữ ký
Trình tạo khóa tạo ra cặp khóa 1024 bit. Nội dung thông điệp là tập tin được nạp vào và sử dụng khóa bí mật tạo ra hàm băm SHA1 đầu vào sau đó tạo thành chữ ký. Việc này tương ứng với cặp mã bí mật công khai được tạo ra trong các USB token, trong đó khóa bí mật được lưu trữ trên USB token, khóa công khai được lưu trữ tại máy chủ Root-CA.
Quá trình giải mã dựa vào chữ ký được tạo ra trong quá trình ký nội dung văn bản, đối chiếu với hàm băm SHA1 và khóa công khai để kiểm tra xem văn bản có toàn vẹn hay không, đã bị sửa chữa hay chưa, đồng thời kiểm tra xác thực người ký văn bản với cặp mã công khai và bí mật.
3.5 Kết quả thử nghiệm
- Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao. Ứng dụng hoạt động chính xác, kiểm tra chính xác văn bản, tệp tin không bị thay đổi. Nếu có thay đổi bất kỳ hệ thống sẽ báo file đã bị thay đổi.
- Xác định chính xác định danh của khóa công khai do cặp khóa bí mật, công khai là duy nhất. Khi thay đổi khóa công khai hoặc khóa bí mật bị thay đổi trước khi mã hóa tệp tin thì thông xác nhận được tệp tin được ký chính xác.
Đánh giá kết quả 100 lần thử nghiệm với các thao tác: Thay đổi khóa bí mật, thay đổi khóa công khai, thay đổi file gốc khi file gốc là ảnh, thay đổi file gốc khi file gốc là text. Kết quả thử nghiệm được ghi chép trong bảng 3.2.
Bảng 3.1 Kết quả thử nghiệm STT Nội dung Số lần thử nghiệm Kết quả nhận dạng đúng Tỷ lệ nhận dạng
1 Thay đổi khóa bí mật 100 100 100%
2 Thay đổi khóa công khai 100 100 100% 3 Thay đổi input file ảnh 100 100 100% 4 Thay đổi input file text 100 100 100%
- Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao. Ứng dụng hoạt động chính xác, kiểm tra chính xác văn bản, tệp tin không bị thay đổi. Nếu có thay đổi bất kỳ hệ thống sẽ báo file đã bị thay đổi.
- Xác định chính xác định danh của khóa công khai do cặp khóa bí mật, công khai là duy nhất. Khi thay đổi khóa công khai hoặc khóa bí mật bị thay đổi trước khi mã hóa tệp tin thì thông xác nhận được tệp tin được ký chính xác.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Những kết quả nghiên cứu lý thuyết an toàn và xác thực thông tin:
Xác thực là một cơ chế cơ bản nhất có vai trò bảo đảm an toàn cho các thực thể khi trao đổi thông tin giữa các hệ thống. Kỹ thuật mật mã chỉ bảo vệ được tính bí mật và tính toàn vẹn của thông tin.
Kỹ thuật mật mã hiện đại được chia thành hai loại: Mật mã khóa đối xứng (Symmetric Key Encryption) còn được gọi là mật mã khóa bí mật và mật mã khóa bất đối xứng (Asymmetric Key Encryption) hay gọi là mật mã khóa công khai.
Mật mã khóa đối xứng sử dụng một khóa duy nhất cho việc mã hóa và giải mã. Yêu cầu phải giữ tuyệt đối bí mật trong việc trao đổi thông tin giữa các thực thể tham gia giao dịch. Nó rất thích hợp với việc thực thi trên phần cứng, tốc độ mã hoá cao, dung lượng thông tin lớn. Các thuật toán mật mã khóa đối xứng phổ biến bao gồm DES, Blowfish, IDEA, AES …
Mật mã khóa bất đối xứng sử dụng hai khóa khác nhau cho quá trình mã hóa và giải mã. Một trong hai khóa là khóa công khai (Public Key) được phổ biến công khai cho bất kỳ thực thể nào cũng có thể truy xuất được và khóa còn lại là khóa riêng (Private Key) còn gọi là khóa bí mật, được giữ bí mật, chỉ có chủ thể của khóa đó biết. Mã hóa khóa công khai được xây dựng dựa chủ yếu trên các hàm toán học, do đó rất thích hợp với thực thi bằng phần mềm và tốc độ mã hoá thấp, phù hợp với tài liệu dung lượng nhỏ. RSA là thuật toán mật mã khóa bất đối xứng phổ biến nhất hiện nay.
Mật mã khóa bất đối xứng có nhiều ứng dụng khác nhau như: mật mã thông tin, tạo chữ ký số, trao đổi khóa bí mật của mật mã khóa đối xứng …
Hàm băm bảo mật (Secure Hash Function) là cơ chế dùng trong việc xác thực thông tin (Message Authentication). Nguyên tắc của hàm băm là biến đổi khối thông tin gốc thành một giá trị kiểm tra có kích thước cố định gọi là giá trị băm (mã băm), giá trị này được gửi đính kèm với thông tin gốc. Khi nhận, thông tin nhận cũng được đưa vào hàm băm để tạo ra giá trị kiểm tra. Nếu hai giá trị băm bên gửi và bên nhận trùng nhau, thông tin được xem là xác thực. Nếu giá trị băm được mã hóa bằng khóa công khai của mật mã bất đối xứng, tạo thành chữ ký số là thành
phần của một số thuật toán mật mã dùng trong các thuật toán xác thực thông tin (Message Authentication),
Chữ ký số (digital signature) là kỹ thuật nhận dạng một thực thể thông tin cùng với thông tin do thực thể này tạo ra. Ứng dụng cơ bản nhất của chữ ký số là chứng thực và đảm bảo tính không thể phủ nhận (Non Repudiation) của thông tin. Có thể chữ ký số ký trực tiếp và ký thông qua trọng tài. Chuẩn chữ ký số RSA sử dụng thuật toán RSA, tạo ra chữ ký số dựa trên các hàm băm bảo mật (MD5, SHA) và kỹ thuật mật mã khóa bất đối xứng (RSA).
Mật mã khóa công khai chỉ có ưu điểm khi nó có một cơ chế phân phối khóa công khai một cách an toàn và hiệu quả cho các thực thể trong hệ thống. Chứng thực khóa công khai (Certificate) mà một cơ chế hiệu quả để thực hiện vấn đề này. Mỗi chứng thực khóa bao gồm nhận dạng thực thể đầu cuối, khóa công khai của thực thể đầu cuối và xác nhận (bằng chữ ký số) của một thực thể thứ 3. Một hệ thống cung cấp cơ chế tạo ra và quản lý chứng thực khóa được gọi là cơ sở hạ tầng khóa công khai PKI.
Về ứng dụng thực tế, em đề xuất các mô hình xác thực cho hệ thống thông tin về các dịch vụ hành chính công theo mô hình phân tán. Yêu cầu phải quản lý các thực thể truy xuất thông tin sao cho phải đảm bảo tuyệt đối an toàn cho hệ thống và cho các thực thể tham gia các hoạt động giao dịch trong hệ thống. Các mô hình được xây dựng theo mô hình xác thực người sử dụng tham gia các giao dịch truy xuất thông tin. Nghĩa là các thực thể muốn có quyền truy xuất thông tin trên hệ thống, trước tiên các thực thể đó phải đăng ký và phải được hệ thống cấp phép. Và khi được quyền truy xuất các thực thể phải được hệ thống kiểm soát bằng mô hình xác thực sử dụng các dịch vụ thông tin của hệ thống
Với những kết quả đạt được và trong xu thế phát triển mạnh của ngành an toàn và bảo mật dữ liệu, em nhận thấy rằng các kỹ thuật xác thực cần tiếp tục nghiên cứu, cải tiến và áp dụng rộng rãi hơn nữa trong thực tế.
Trong quá trình thực hiện luận văn, vì điều kiện thời gian cũng như kiến thức còn hạn chế, luận văn không thể tránh khỏi những sai sót, em rất mong được sự tham gia góp ý của quý thầy cô và các bạn để bản luận văn hoàn chỉnh hơn.
TÀI LIỆU THAM KHẢO
Tiếng Việt:
[1] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, NXB Đại học Quốc Gia Hà Nội, 2002.
[2] Nguyễn Linh Giang, An toàn và An ninh thông tin mạng, Đại học Bách khoa Hà Nội, 2015.
[3] Trịnh Nhật Tiến, An toàn dữ liệu, NXB Đại học Quốc Gia Hà Nội, 2008.
Tiếng Anh:
[4] Jin Li, Kui Ren, Kwangjo Kim, Accountable Attribute Based Encyption for Abuse Free Access Control, Cryptology ePrint Archive, Report 2009/118, 2009 http://eprint.iacr.org
[5] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005.
[6] Svetlin Nakov How, Digital Signatures Work: Digitally Signing Message, 2005.
[7] Carlisle Adams vµ Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003.
[8] Federal Information, Processing Standards Publication 180 (1995), Secure Hash Standard (SHA).