CHƢƠNG 2 : NGHIấN CỨU MỘT SỐ KỸ THUẬT PHềNG THỦ
2.1. Một số kỹ thuật phũng thủ
2.1.3 Mó húa cụng khai và chứng thực thụng tin
2.1.3.1 Tổng quan về cơ sở hạ tầng mó húa cụng khai (Public Key Infrastructure - PKI)
Khỏi niệm hạ tầng cơ sở mật mó khúa cụng khai.
Là cơ chế cho một bờn thứ 3 cung cấp và xỏc định định danh cỏc bờn tham gia vào quỏ trỡnh trao đổi thụng tin. Mục tiờu của PKI là cho phộp những ngƣời tham gia xỏc thực lẫn nhau và sử dụng thụng tin từ cỏc chứng thực khúa cụng khai để mó húa và giải mó thụng tin.
Cỏc dịch vụ và phạm vi ứng dụng của PKI.
a. Cỏc dịch vụ của PKI cú khả năng đảm bảo 5 yếu tố sau:
- Bảo mật thụng tin: Cỏc thực thể khụng đƣợc cấp quyền thỡ khú cú thể xem bản tin.
- Toàn vẹn thụng tin: Đảm bảo cho thụng tin khú bị thay đổi bởi cỏc thực thể khụng đƣợc cấp quyền.
- Xỏc thực thực thể: Cỏc thực thể nhận bản tin biết giao dịch với thực thể nào.
- Chống chối bỏ: Cỏc thực thể khụng thể chối bỏ những hành động đó thực hiện.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
- Tớnh phỏp lý: Thụng tin phải ở dạng cố định đƣợc ký bởi tất cả cỏc bờn hợp phỏp và phải cho phộp thực hiện thẩm tra.
b. Phạm vi ứng dụng của PKI.
- PKI đƣợc cho là giải phỏp hữu hiệu hiện nay trong việc đảm bảo an ninh an toàn cho hệ thống thụng ti.
- Phạm vi ứng dụng của PKI bao gồm: Mó húa email hoặc xỏc thực ngƣời gửi email; Mó húa hoặc nhận thực văn bản; Xỏc thực ngƣời dựng ứng dụng; Cỏc giao thức truyền thụng an toàn trao đổi khúa bằng khúa bất đối xứng, cũn mó húa bằng bất đối xứng.
c. Cỏc thành phần phần của PKI.
PKI bao gồm 3 thành phần chớnh:
- Phần 1: Tập hợp cỏc cụng cụ, phƣơng tiện, cỏc giao thức đảm bảo an toàn thụng tin.
- Phần 2: Hành lang phỏp lý là luật, cỏc qui định dƣới luật về giao dịch điện tử.
- Phần 3: Cỏc tổ chức điều hành giao dịch điện tử (CA, RA,…).
d. Một số chức năng của PKI.
Quản lý khúa.
- Sinh khúa:
Khúa sinh ra phải đảm bảo về chất lƣợng. Cú 2 cỏi mà hệ thống sử dụng khúa để tạo khúa:
+ Ngƣời sử dụng tự sinh cặp khúa cho mỡnh sau đú gửi khúa cụng khai cho tổ chức cấp giấy chứng nhận (Certification Authority - CA).
+ Cặp khúa sinh bởi một hệ thống chuyờn chịu trỏch nhiệm sinh khúa. Khúa cụng khai đƣợc gửi cho CA quản lý, khúa bớ mật đƣợc gửi cho ngƣời dựng theo một kờnh an toàn.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
+ Phõn phối khúa: Thụng qua cỏc kờnh truyền thụng cần đảm bảo an toàn. Khúa bớ mật đƣợc phõn phối cho ngƣời dựng thụng qua cỏc kờnh truyền an toàn.
+ Thu hồi, treo khúa: Thụng qua việc thu hồi chứng chỉ, là quỏ trỡnh thu hồi khúa tạm thời, khúa đú cú thể đƣợc sử dụng lại.
- Cập nhật thụng tin về cặp khúa:
+ Cặp khúa của cỏc đối tƣợng tham gia vào hệ thống PKI cần phải đƣợc cập nhật một cỏch thƣờng xuyờn, vỡ cỏc cặp khúa cú thể đƣợc thay đổi bằng cặp khúa mới.
- Cập nhật thụng tin về cặp khúa của CA:
Cũng giống nhƣ sử dụng chứng chỉ, cặp khúa của CA đƣợc cập nhật thƣờng xuyờn.
- Khụi phục khúa:
Hầu hết hệ thống PKI tạo ra hai cặp khúa cho ngƣời sử dụng cuối, một để ký số và một để mó húa để sao lƣu dự phũng khúa.
Quản lý chứng chỉ.
- Đăng ký và xỏc nhận ban đầu.
CA sẽ cấp cho đối tƣợng đăng ký một chứng chỉ số và gửi chứng chỉ số này cho hệ thống lƣu trữ.
- Cập nhật thụng tin về chứng chỉ số.
Mỗi chứng chỉ số chỉ cú tỏc dụng trong khoảng thời gian nhất định. Khi cỏc chứng chỉ số hết hạn, CA sẽ tạo một chứng chỉ số mới và cập nhật thụng tin về chứng chỉ số này.
- Phỏt hành chứng chỉ và danh sỏch chứng chỉ bị hủy bỏ.
Khi CA phỏt hành một chứng chỉ số, trƣớc hết nú phải dựa trờn định dạng của chứng chỉ số cần cấp. Sau khi cú đƣợc danh sỏch cỏc thụng tin về
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
chớnh sỏch quản trị, CA sẽ tổ chức chỳng theo định dạng đó biết, khi đú chứng chỉ số mới hoàn thiện.
- Hủy bỏ chứng chỉ số.
Hệ thống PKI sẽ thực hiện hủy bỏ chứng chỉ số nếu đối tƣợng sử dụng chứng chỉ số bị phỏt hiện cú những dấu hiệu sử dụng phạm phỏp.
- Quản lý thời gian.
Thời gian trong hệ thống PKI cú tớnh nhất quỏn, đồng bộ giữa tất cả cỏc thành phần.
- Giao tiếp giữa cỏc PKI.
Cỏc thành phần trong hệ thống giao tiếp đƣợc với nhau, cỏc hệ thống PKI khỏc cũng cú thể giao tiếp đƣợc nhƣ cỏc thành phần khỏc trong cựng hệ thống.
e. Cỏc thành phần đảm bảo an toàn thụng tin.
- Kỹ thuật bảo mật thụng tin: Hệ mó húa thƣờng đƣợc sử dụng nhất trong cỏ hệ PKI phục vụ bảo mật thụng tin là hệ mó húa cụng khai RSA.
- Kỹ thuật xỏc thực: Sử dụng sơ đồ chữ ký RSA.
f. Hệ thống cung cấp và quản lý chứng chỉ số.
Chứng chỉ số (Hỡnh 3-9).
- Khỏi niệm.
Chứng chỉ số là một dạng kết hợp giữa 3 thành phần:
+ Cỏc thụng tin mụ tả về bản thõn đối tƣợng: Số định danh, tờn, địa chỉ email, loại chứng chỉ, hạn sử dụng, phạm vi ỏp dụng…
+ Khúa cụng khai tƣơng ứng.
+ Chữ ký điện tử của cỏc cơ quan cấp phỏt chứng chỉ số cho cỏc thụng tin trờn.
- Mục đớch và ý nghĩa của chứng chỉ số.
+ Mó húa thụng tin: Lợi ớch đần tiờn của chứng chỉ số là tớnh an toàn bảo mật thụng tin.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
+ Chống giả mạo: Khi gửi đi một thụng tin cú sử dụng chứng chỉ số, ngƣời nhận cú thể kiểm tra đƣợc thụng tin của ngƣời gửi cú bị thay đổi hay khụng. + Xỏc thực: Khi gửi một thụng tin giao dịch đớnh kốm chứng chỉ số, ngƣời nhận sẽ xỏc định rừ đƣợc danh tớnh của ngƣời gửi.
+ Chống từ chối: Khi sử dụng một chứng chỉ số, ngƣời gửi phải chịu hoàn toàn trỏch nhiệm về những thụng tin mà chứng chỉ số đi kốm.
- Chứng chỉ khúa cụng khai X.509.
+ Sử dụng phổ biến trong hầu hết cỏc hệ thống PKI. Chứng chỉ X.509 v3 là định dạng chứng chỉ đƣợc sử dụng phổ biến và đƣợc nhà cung cấp PKI triển khai.
+ Cú 6 trƣờng hợp bắt buộc là: Số phỏt hành (Serial Number).
Kỹ thuật mó húa ký số (Certificate Signature Algorithm Identifier). Tờn của CA phỏt hành chứng chỉ (Certificate Issuer Name).
Thời hạn hiệu lực của chứng chỉ (Certificate Validity Period). Khúa cụng khai (Public Key).
Tờn của chủ thể (Subject Name).
Nhà phỏt hành chứng chỉ (Certificate Authority).
Thành phần này thực hiện cỏc chức năng chớnh của hệ thống nhƣ: - Tạo chứng chỉ số cho ngƣời dựng (xỏc thực cho cỏc khúa cụng khai). - Bảo trỡ cơ sở dữ liệu hệ thống, cho phộp phục hồi cỏc cặp khúa ngƣời dựng.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Hỡnh 2.9. Cấu trỳc bờn trong chia sẻ hệ thống chi sẻ
Mụ hỡnh tổ chức chứng thực số.
Hiện nay trờn thế giới cú ba mụ hỡnh tổ chức chứng thực số là: - Mụ hỡnh phõn cấp hay mụ hỡnh chứng thực gốc – Hỡnh 3-10.
Cho phộp xõy dựng một hệ thống CA hỡnh cõy với một gốc duy nhất gọi là Root CA, dƣới Root CA cú thể là cỏc Sub CA và dƣới Sub CA lại cú thể là cỏc Sub CA khỏc.
- Mụ hỡnh CA dạng lưới (Mesh CA Model) – Hỡnh 3-11
Là một mụ hỡnh trong đú cỏc CA ngang hàng, khụng phụ thuộc vào nhau, tin tƣởng lẫn nhau tạo thành một mạng lƣới tin tƣởng qua lại với nhau.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
- Mụ hỡnh CA cầu nối (Bridge Certification Authority CA Model).
Là một biến thể của mụ hỡnh CA dạng lƣới, khi số lƣợng cỏc CA cần tin tƣởng qua lại với nhau là quỏ lớn, lỳc này phỏt sinh nhu cầu cần tỡm một CA đủ tin tƣởng để cỏc CA khỏc cựng tin tƣởng vào CA đú và cỏc CA thể hiện qua cầu nối trung gian.
2.1.3.2. Nguyờn lý mó húa
Khi hai bờn trao đổi thụng tin phải biết khúa cụng khai (ek) của nhau. Việc biết khúa cụng khai (ek) khụng cho phộp tớnh ra đƣợc khúa riờng (dk). Nhƣ vậy trong hệ thống mỗi cỏ thể k khi đăng ký vào hệ thống đƣợc cấp 1 cặp khúa (ek, dk). Trong đú ek là chỡa khúa lập mó, dk là chỡa khúa giải mó.
2.1.3.3. Nguyờn lý mó húa
Thuật toỏn Hàm băm
a. Hàm băm.
Là hàm sinh ra cỏc giỏ trị băm tƣơng ứng với cỏc khối dữ liệu. Giỏ trị băm đúng vai trũ nhƣ một khúa để phõn biệt cỏc khối dữ liệu, tuy nhiờn ngƣời ta chấp nhận hiện tƣợng trựng khúa hay cũn gọi là đụng độ và cố gắng cải thiện giải thuật để giảm thiểu đụng độ đú. Hàm băm thƣờng đƣợc dựng trong bảng băm nhằm giảm chi phớ tớnh toỏn khi tỡm một khối dữ liệu trong một tập hợp.
b. Đảm bảo tớnh nguyờn vẹn dữ liệu.
Hàm băm mật mó học là hàm băm và cú tớnh chất là hàm một chiều. Từ khối dữ liệu hay hàm băm đầu vào chỉ cú thể đƣa ra một giỏ trị băm duy nhất. Đối với tớnh chất của hàm một chiều. Một ngƣời nào đú dự cú bắt đƣợc giỏ trị băm, cũng khụng thể suy ngƣợc lại giỏ trị, đoạn tin nhắn băm khởi điểm.
c. Một số hàm băm thụng dụng
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
- Thuật toỏn hàm băm MD5: Đƣợc dựng trong nhiều ứng dụng bảo mật và phổ biến để kiểm tra tớnh toàn vẹn của tập tin, cú ƣu điểm tốc độ xử lý rất nhanh, thớch hợp với cỏc thụng điệp dài và cho giỏ trị băm dài 128 bit.
- Chuẩn băm an toàn SHS.
SHS (Security Hash Standard) là chuẩn gồm cỏc tập hợp cỏc thuật toỏn băm mật mó an tồn (Security Hash Algorithm – SHA) nhƣ SHA-1, SHA- 224, SHA-256, SHA-384, SHA-512 dựa trờn phƣơng phỏp của MD4 và MD5.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.1.3.4. Chữ ký số và quản lý khúa
Chữ ký số (Hỡnh 3-13)
Chữ ký số là thụng tin đƣợc mó húa bằng khúa riờng của ngƣời gửi đƣợc đớnh kốm theo văn bản đảm bảo cho ngƣời nhận xỏc thực đỳng nguồn gốc, tớnh toàn vẹn của dữ liệu.
Hỡnh 2.13. Quy trỡnh ký và thẩm tra chữ ký số
Sử dụng chữ ký số như thế nào
Chữ ký số chỉ dựng đƣợc trong mụi trƣờng số, giao dịch điện tử với mỏy tớnh và mạng internet; Chữ ký số cú thể sử dụng trong cỏc giao dịch thƣ điện tử, mua bỏn hàng trực tuyến, đầu tƣ chứng khoỏn trực tuyến, chuyển tiền ngõn hàng, thanh toỏn trực tuyến…
Quy trỡnh sử dụng chữ ký số
a. Ký gửi chữ ký điện tử (mó húa)
Khi muốn gửi một văn bản quan trọng, đũi hỏi văn bản phải đƣợc ký xỏc nhận chớnh danh từ ngƣời gửi văn bản, ngƣời gửi văn bản sẽ thực hiện việc ký chữ ký điện tử.
b. Xỏc thực chữ ký điện tử (giải mó)
Sau khi nhận đƣợc một văn bản cú đớnh kốm chữ ký của ngƣời gửi, ngƣời nhận phải giải mó trở lại văn bản trờn và kiểm tra xem văn bản này cú
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
bị thay đổi bởi bờn thứ ba hay khụng và chữ ký đớnh kốm trờn văn bản cú đỳng của ngƣời gửi hay khụng.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
c. Sơ đồ chữ ký số.
Sơ đồ chữ ký là một băm (P, A, K, S, V), trong đú: - P: là tập hợp hữu hạn cỏc văn bản cú thể. - A: là tập hợp hữu hạn cỏc chữ ký cú thể. - K: là tập hợp hữu hạn cỏc khúa cú thể. - S: là tập hợp cỏc thuật toỏn ký.
- V: là tập hợp cỏc thuật toỏn kiểm thử.
d. Phõn loại chữ ký số.
- Phõn loại chữ ký theo đặc trƣng kiểm tra chữ ký. - Phõn loại chữ ký theo mức an toàn.
- Phõn loại theo ứng dụng đặc trƣng.
Quản lý khúa
Quản lý khúa là vấn đề cần quan tõm để đảm bảo an tồn cho hệ mó húa. Đối tƣợng thỏm mó thƣờng tấn cụng cả hai hệ mó húa đối xứng và cụng khai thụng qua hệ quản lý khúa.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Hỡnh 2.15. Quản lý khúa sử dụng Private Key