CHƯƠNG I : T NG QUAN AN TOÀN BẢO MẬT HỆ TH NG THÔNG TIN
2.5 Chứng thực số trong mơi trường hạ tầng khóa cơng khai PKI [9]
2.5.1 Khái niệm
Chứng thực số (Digital Certificate) còn được gọi là chứng nhận điện tử, là một tệp tin điện tử được đính kèm với một thơng báo thư điện tử hoặc một chương trình được nhúng vào một trang Web nhằm kiểm tra tính xác thực của một người sử dụng hoặc một Website, dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty, ... trên Internet. Chứng thực số do một tổ chức đứng ra cấp phát, chứng nhận được gọi là nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng thực số mà nó cấp.
Khi một thực thể muốn có một chứng thực số, CA sẽ yêu cầu thực thể đó cung cấp bằng chứng nhận dạng thích hợp. Nếu đáp ứng theo yêu cầu, CA sẽ phát hành chứng thực, bao gồm các nội dung:
Thông tin cá nhân: Là các thông tin của thực thể xin cấp chứng thực số, gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v. Phần này giống như các thông tin trên chứng minh thư của mỗi người.
Khố cơng khai: Khố cơng khai là một giá trị được nhà cung cấp chứng thực đưa ra như một khoá mã hoá, kết hợp cùng với một khoá riêng duy nhất được tạo ra từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng.
Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc. Đây là sự xác
nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ đã được cấp. Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay khơng. CA ký lên chứng thực và khơng cần giữ bí mật chứng thực đối với bất kỳ người nào nhận chứng thực.
Yêu cầu nhận dạng của các CA cũng khác nhau, các chứng thực được phân loại thành các lớp đảm bảo thấp, trung bình hoặc cao phụ thuộc phần lớn vào yêu cầu nhận dạng cần phải đáp ứng.
Chứng thực (Certificate) thực chất là q trình kết hợp thơng tin Public Key vài tên của thực thể để định danh tính duy nhất cho thực thể đó (khái niệm tên của thực thể có thể là tên của một Server, tên một cá nhân, tên một Object,…). Thực thể là những đối tượng cần định danh qua Certificate. Các tham số, thuộc tính của thực thể là những nội dung thông tin để định danh một thực thể duy nhất. Một thực thể có thể là một cá nhân, một thiết bị phần cứng như Router, máy chủ, hay là một phần mềm,…Các thơng số, thuộc tính định dạng một Certificate gọi là Certificate Subject. Chứng thực số có các lợi ích: Mã hố: Chống giả mạo, Xác thực Chống chối cãi nguồn gốc, Chữ ký điện tử người gửi
Mã hoá: Khi người gửi đã mã hố thơng tin bằng khố cơng khai thì
người khác khơng thể giải mã. Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin.
Chống giả mạo: Khi gửi đi một tài liệu bản rõ có sử dụng chứng thực số,
người nhận sẽ kiểm tra được thơng tin nhận được có bị thay đổi hay khơng.
Xác thực: Khi gửi một thông tin kèm chứng thực số, người nhận sẽ xác
Chống chối cãi nguồn gốc: Khi sử dụng một chứng thực số, người gửi và
người nhận phải chịu trách nhiệm hoàn tồn về những thơng tin mà chứng thực số đi kèm. Trong trường hợp chối cãi, CA cung cấp chứng thực số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được gửi.
Chữ ký điện tử người gửi: Những tài liệu có thể gửi đi nhanh chóng bằng
qua Internet có thể bị đọc hay bị giả mạo trước khi đến người nhận. Bằng việc sử dụng chứng thực số cá nhân, người gửi có thể tạo thêm một chữ ký điện tử vào tài liệu như là một bằng chứng xác nhận. Chữ ký điện tử có các tính năng xác thực thơng tin, tồn vẹn dữ liệu và chống chối bỏ nguồn gốc.
2.5.2 Xác thực thông tin dùng chữ ký điện tử và chứng thực điện tử
Quá trình xác thực dùng chứng chỉ số và chữ ký điện tử như sau:
a)Thiết lập phiên làm việc:
Trước tiên, User truy nhập khoá riêng của mình cho Client
Client của người sử dụng truy tìm khố riêng và sử dụng nó để tạo chữ ký
điện tử cho User
Client gửi chứng thực sốvà chữ ký điện tửcủa User tới Server
Server sử dụng chứng thực số và chữ ký số đã nhận xác thực định danh
User có đúng hay khơng
Nếu đúng, Server xác thực quyền truy nhập cho User và cho phép User
bắt đầu phiên làm việc giữa Client và Server.
Hình 2.10: Minh hoạ xác thực sử dụng chứng chỉ số và chữ ký điện tử
User enters
private-key password
Client
retrieves private key and uses it to create digital signature Client sends certificate and digital signature across network. Server authorizes access for authenticated identity. Server user
certificate and digital signature to authenticate the user’s identity.
Signed Certificate PUU (Public Key)
User Certificate Request PRCA Certifying Authority b) Quá trình xin cấp một chứng chỉ số
1. User: Tạo một cặp khoá PRU và PUU (Private và Public Key).
2. Gửi khố cơng khai của User PUU và một số thông tin định danh khác –
M, tạo thành một chứng thực số (Certificate) đến CA. Như vậy có thể
hiểu một chứng thực bao gồm: Certificate = {PUU và M}. Thông tin định
danh cá nhân thường là họ tên, số điện thoại, email ... Thông tin định danh của các nhân hay của một Website thường là các định danh tài nguyên URL của site đó.
3. CA sẽ băm H(M + PUU), mã hoá bằng khoá riêng của CA (CA Private
key) - PRCA tạo thành chữ ký số của CA, đính vào chứng chỉ số (Certificate) tạo thành một chứng chỉ số đã ký SC (Signed Certificate): E[H(M+PUU), PRCA]
4. Trả chứng chỉ số đã ký SC về cho người dùng.
Hình 2.11: Sơ đồ minh hoạ quá trình xin cấp chứng chỉ số c) Quá trình sử dụng chứng chỉ số c) Quá trình sử dụng chứng chỉ số
1. Giả sử Client đã được Server cấp chứng chỉ số đã ký SC. Client có thể định danh được Server.
2. Chứng chỉ số bao gồm khố cơng khai của Server cùng với thông tin định
danh. Client giải mã chữ ký điện tử của CA bằng khố cơng khai của CA, thực hiện HASH để xác thực, rằng chứng chỉ số không bị thay đổi. Như
vậy khố cơng khai của CA đã được sử dụng để chứng thực khố cơng khai trong chứng chỉ số của người gửi. Khi khố cơng khai của người gửi được xác nhận, nó được dùng để chứng thực chữ ký điện tử trong thơng điệp của nó.
Để cung cấp một chứng chỉ bảo đảm hoặc hệ thống chữ ký, những điều kiện sau phải được thoả mãn :
Nhà cung cấp dịch vụ chứng chỉ phải cung cấp chứng chỉ cho cả bên gửi
và bên nhận.
Bên nhận phải có khả năng sử dụng chứng chỉ của CA để kiểm chứng khố cơng khai của bên gửi.
Khố cơng khai đã được chứng thực của bên gửi phải được sử dụng để
kiểm chứng chữ ký điện tử của thơng điệp của nó.
Kết luận chương
Xác thực là một thủ tục nhằm kiểm tra các thơng tin nhận được có đến từ một nguồn hợp lệ và có bị sửa đổi hay khơng. Mặt khác xác thực cũng có thể kiểm tra trình tự và tính đúng lúc của các thơng tin nhận được. Kỹ thuật xác thực thông tin bao gồm các kỹ thuật sử dụng các thuật tốn mật mã khóa đối xứng và bất đối xứng, kỹ thuật sử dụng mã xác thực MAC (Message Authentication Code) và kỹ thuật sử dụng các hàm băm bảo mật (Secure Hash Function).
Giải pháp cơ sở hạ tầng khóa cơng khai, sử dụng chứng thực số, dựa trên chữ ký điện tử là sự kết hợp nhiều biện pháp bảo mật hiệu quả, đảm bảo được sự an tồn thơng tin trong giao dịch trên mạng Internet. Đây là một nền tảng cơng nghệ mang tính tiêu chuẩn trên tồn cầu và cũng là giải pháp rất cần thiết đối với một quốc gia đang trong quá trình phát triển các ứng dụng giao dịch điện tử trong nhiều lĩnh vực như ở Việt Nam.
CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM BÀI TOÁN XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ