CHƯƠNG 3- HỆ THỐNG BẢO MẬT INTERNET BANKING NHCT VN
3.4 Xây dựng hệ thống an ninh máy chủ IncomeBank
3.4.2 Quản lý khóa mã hóa
Các kỹ thuật quản lý khóa giao dịch (Transaction Key) và khóa chủ/phiên (Master/Session Key) đƣợc xây dựng trong hệ thống ANMC. Độ an toàn của việc quản lý khóa đƣợc bảo đảm bởi việc sử dụng một hệ thống phân cấp khóa bắt buộc và việc sử dụng đa cặp khóa chủ cục bộ (Local Master Key-LMK). Hệ thống ANMC có thể sử dụng thẻ thông minh (Smart card) tương thích với chuẩn ISO 7816 để cho ta những điều kiện thuận tiện trong việc kiểm soát các LMK. Dưới đây là sơ đồ phân cấp khóa của hệ thống ANMC:
Hình 9 - Sơ đồ phân cấp khóa mã hóa
Các loại khóa đƣợc sử dụng trong Hệ thống ANMC:
LMK - Khóa chủ cục bộ (Local Master Key)
Khóa chủ cục bộ LMK là một tập các khóa mã chuẩn DES (Data Encryption Standard) được lưu trong hệ thống ANMC. Tất cả các khóa khác và các dữ liệu đều được mã hóa bằng khóa LMK trên kho lưu trữ cục bộ. Có tới 20 cặp khóa LMK đƣợc sử dụng với kỹ thuật mã hóa Triple DES với độ dài gấp đôi độ dài mã khóa DES chuẩn (tức là dài 112 bit).
Với bất cứ một xử lý nào của hệ thống ANMC, các khóa LMK đều phải đƣợc khởi tạo và nạp vào hệ thống ANMC. Vì giải thuật mã hóa DES phụ thuộc vào một khóa đƣợc giữ bí mật, và vì độ bảo mật của tất cả các khóa và dữ liệu đƣợc mã hóa trong kho phụ thuộc vào LMK, nên LMK cần đƣợc khởi tạo và duy trì một cách bí mật và an toàn. Cần dự phòng để có thể thay đổi đƣợc khóa LMK và các khóa, các dữ liệu đƣợc mã hóa bằng LMK cũng đƣợc chuyển đổi theo sang dạng mã hóa bằng các LMK mới.
Tất cả các khóa được lưu cục bộ (do đó không được trao đổi giữa các hệ thống) đều đƣợc mã hóa bằng khóa LMK.
ZMK - Khóa chủ vùng (Zone Master Key)
Khóa chủ vùng ZMK là một khóa mã hóa khóa (key-encrypting key) đƣợc phân bổ "thủ công" giữa hai hay nhiều site truyền thông trong một mạng đƣợc chia sẻ để các khóa sau này sẽ được trao đổi một cách tự động (mà con người không phải can thiệp). ZMK đƣợc sử dụng để mã hóa các khóa ở mức thấp cho việc truyền nhận. Ở kho cục bộ, ZMK đƣợc mã hóa bằng một cặp khóa LMK. Trong hệ thống VISA, ZMK có tên là ZCMK.
ZPK - Khóa PIN vùng (Zone PIN Key)
Khóa PIN vùng ZPK là một khóa mã hóa dữ liệu đƣợc phân bổ tự động và đƣợc sử dụng để mã hóa các số PIN trong việc truyền nhận giữa các bên tham gia kết nối. Đối với việc truyền nhận, ZPK đƣợc mã hóa bằng một khóa ZMK. Với kho cục bộ, ZMK đƣợc mã hóa bởi một cặp khóa LMK.
TMK - Khóa chủ trạm đầu cuối (Terminal Master Key)
Khóa chủ trạm đầu cuối TMK là một khóa mã hóa khóa đƣợc phân bổ thủ công hoặc tự động trong một hệ TMK đã được thiết lập trước. Nó được sử dụng để phân bổ các khóa mã hóa dữ liệu (data-encryption key) trong một mạng cục bộ không chia sẻ, ví dụ nhƣ các trạm ATM, POS (Point Of Sale - Điểm bán hàng) hoặc một số hệ tương tự. TMK được sử dụng để mã hóa các khóa TMK khác hoặc các khóa ở mức thấp trong quá trình truyền nhận dữ liệu (transmission). Với kho cục bộ, TMK cũng đƣợc mã hóa bởi một cặp khóa LMK.
TPK - Khóa PIN trạm đầu cuối (Terminal PIN Key)
Khóa PIN trạm đầu cuối TPK là một khóa mã hóa dữ liệu đƣợc sử dụng để mã hóa số PIN cho một lần truyền nhận (transmission) trên một mạng cục bộ, giữa một trạm và trạm nhận dữ liệu. Trong khi truyền nhận, TPL đƣợc mã hóa bởi TMK;
trong kho cục bộ, nó đƣợc mã hóa bởi một cặp khóa LMK.
TAK - Khóa xác thực trạm đầu cuối (Terminal Authentication Key)
Khóa xác thực trạm đầu cuối TAK là khóa mã hóa dữ liệu đƣợc sử dụng để tạo và kiểm chứng mã xác thực thông điệp MAC khi dữ liệu đƣợc truyền đi trong một mạng cục bộ, giữa một trạm đầu cuối và trạm nhận dữ liệu. Trong quá trình truyền nhận, TAK đƣợc mã hóa bởi khóa TMK hoặc một khóa ZMK; trong kho cục bộ, nó đƣợc mã hóa bởi một cặp khóa LMK.
PVK - Khóa kiểm chứng PIN (PIN Verification Key)
Khóa kiểm chứng PIN PVK khóa mã hóa dữ liệu đƣợc sử dụng để tạo và kiểm chứng số PIN, kiểm chứng số liệu, và do đó nó kiểm chứng tính xác thực của số PIN. Trong truyền nhận, PVK đƣợc mã hóa bởi khóa TMK hoặc khóa ZMK;
trong kho cục bộ, nó đƣợc mã hóa bởi một cặp khóa LMK.
CVK - Khóa kiểm chứng thẻ( Card Verification Key)
Khóa kiểm chứng thẻ CVK tương tự như khóa PVK nhưng được sử dụng cho các thông tin trên thẻ thay vì sử dụng cho số PIN.
Hình 10 - Sơ đồ phân cấp khóa mã hóa chia sẻ trên mạng
Hình 11 - Sơ đồ phân cấp khóa mã hóa mạng cục bộ
Khóa chủ/phiên (Master/Session Key)
Lƣợc đồ quản lý khóa chủ/phiên bao gồm việc thiết lập một khóa chủ giữa hai bên kết nối. Bằng việc sử dụng khóa này, các khóa mã hóa dữ liệu sẽ đƣợc trao đổi để sử dụng trong một phiên giao dịch.