Mô hình tin cậy cho PKI

Một phần của tài liệu hạ tầng khóa công khai (PKI) triển khai và ứng dụng trong các giao dịch điện tử (Trang 44 - 76)

X.509 ựịnh nghĩa sự tin cậy như sau: ỘMột thực thể có thể ựược nói là tin cậy với một thực thể thứ hai nếu nó (thực thể ựầu tiên ) tạo ra sự ựảm bảo rằng thực thể thứ hai sẽ thực hiện chắnh xác như thực thể thứ nhất mong ựợiỢ.

định nghĩa này có thể ựược diễn ựạt lại về mặt PKI như sau: một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lập và duy trì sự gắn kết các thuộc tắnh của khoá công một cách chắnh xác.

Có một số mô hình tin cậy có thể ựược áp dụng hoặc ựược ựề xuất ựể sử dụng trong hạ tầng mã khoá công khai - PKI dựa trên X.509:

- Single CA Model (mô hình CA ựơn ) - Hierarchical Model (Mô hình phân cấp )

- Mesh Model (Mô hình mắt lưới Ờ mô hình xác thực chéo) - Hub and Spoke (Bridge CA) Model (Mô hình cầu CA) - Web Model (Trust Lists) (Mô hình web)

- User Centric Model (Mô hình người sử dụng trung tâm ) 2.7.1. Mô hình CA ựơn

đây là mô hình tổ chức CA cơ bản và ựơn giản nhất. Trong mô hình CA ựơn chỉ có một CA xác nhận tất cả các thực thể cuối trong miền PKI. Mỗi người sử dụng trong miền nhận khoá công khai của CA gốc (root CA) theo một số cơ chế nào ựó.

Trong mô hình này không có yêu cầu xác thực chéo. Chỉ có một ựiểm ựể tất cả người sử dụng có thể kiểm tra trạng thái thu hồi của chứng chỉ ựã ựược cấp. Mô hình này có thể ựược mở rộng bằng cách có thêm các RA ở xa CA nhưng ở gần các nhóm người dùng cụ thể.

Mô hình này ựược minh hoạ trong hình 2.13.

Hình 2.13: Mô hình CA ựơn.

Mô hình này dễ ựể triển khai và giảm tối thiểu ựược những vấn ựề về khả năng tương tác. Nhưng mô hình này có một số nhược ựiểm sau:

- Không thắch hợp cho miền PKI lớn vì một số người sử dụng ở những miền con

có những yêu cầu khác nhau ựối với người ở miền khác.

- Có thể không có tổ chức nào tình nguyện vận hành CA ựơn hoặc một số tổ chức

lại có thể không tin tưởng vào những người vận hành CA này vì một vài lý do nào ựó.

- Việc quản trị và khối lượng công việc kỹ thuật của việc vận hành CA ựơn sẽ rất

cao trong cộng ựồng PKI lớn.

- Chỉ có một CA sẽ gây ra thiếu khả năng hoạt ựộng và CA này có thể trở thành mục tiêu tấn công.

2.7.2. Mô hình phân cấp

Mô hình này tương ứng với cấu trúc phân cấp với CA gốc và các CA cấp dưới. CA gốc xác nhận các CA cấp dưới, các CA này lại xác nhận các CA cấp thấp hơn. Các CA cấp dưới không cần xác nhận các CA cấp trên.

Hình 2.14: Mô hình phân cấp.

Mô hình phân cấp ựược minh hoạ như Hình 2.14 ở trên.

Trong mô hình này, mỗi thực thể sẽ giữ bản sao khoá công khai của root CA và kiểm tra ựường dẫn của chứng chỉ bắt ựầu từ chữ ký của CA gốc. đây là mô hình PKI tin cậy sớm nhất và ựược sử dụng trong PEM.

* Ưu ựiểm của mô hình:

- Mô hình này có thể dùng ựược trực tiếp cho những doanh nghiệp phân cấp và ựộc lập, cũng như những tổ chức chắnh phủ và quân ựội.

- Cho phép thực thi chắnh sách và chuẩn thông qua hạ tầng cơ sở. - Dễ vận hành giữa các tổ chức khác nhau.

* Nhược ựiểm:

- Có thể không thắch hợp ựối với môi trường mà mỗi miền khác nhau cần có chắnh sách và giải pháp PKI khác nhau.

- Các tổ chức có thể không tự nguyện tin vào các tổ chức khác.

- Có thể không thắch hợp cho những mối quan hệ ngang hàng giữa chắnh phủ và doanh nghiệp.

- Những tổ chức thiết lập CA trước có thể không muốn trở thành một phần của mô hình.

- Có thể gây ra sự trội hơn của sản phẩm ựối với vấn ựề về khả năng tương tác. - Chỉ có một CA gốc nên có thể gây ra một số vấn ựề như thiếu khả năng hoạt ựộng. Thêm vào ựó, trong trường hợp khoá bắ mật của CA bị xâm phạm, khoá công khai mới của CA gốc phải ựược phân phối ựến tất cả các người sử dụng cuối trong hệ thống theo một số cơ chế khác nhau.

Mặc dù có những nhược ựiểm, song mô hình này vẫn thắch hợp với yêu cầu của các tổ chức chắnh phủ vì cấu trúc phân cấp tự nhiên sẵn có.

2.7.3. Mô hình mắt lưới (xác thực chéo)

Mô hình mắt lưới là mô hình ựưa ra sự tin tưởng giữa hai hoặc nhiều CA. Mỗi CA có thể ở trong mô hình phân cấp hoặc trong mô hình mắt lưới khác. Trong mô hình này không chỉ có một CA gốc mà có nhiều hơn một CA gốc phân phối sự tin cậy giữa các CA với nhau. Thông qua việc xác thực chéo giữa các CA gốc, các CA có thể tin tưởng lẫn nhau. Xác thực chéo liên kết các miền khác nhau bằng việc sử dụng thuộc

tắnh BasicConstraints, Name Constraints, PolicyMapping và PolicyConstraints của X.509 v3 mở rộng.

Trong cấu hình mắt lưới ựầy ựủ, tất cả các CA gốc xác nhận chéo lẫn nhau.

điều này yêu cầu n2 lần xác thực trong hạ tầng cơ sở. Hình 2.15 là minh hoạ biểu diễn bằng ựồ thị mô hình này.

Hình 2.15: Mô hình mắt lưới.

*Ưu ựiểm của mô hình:

- Linh hoạt hơn và phù hợp với nhu cầu giao dịch hiện nay.

- Cho phép những nhóm người sử dụng khác nhau có thể tự do phát triển và thực thi những chắnh sách và chuẩn khác nhau.

- Cho phép cạnh tranh.

- Không phải là mô hình phân cấp và khắc phục ựược những nhược ựiểm của mô hình phân cấp tin cậy ở trên.

* Nhược ựiểm:

- Phức tạp và khó ựể quản lý vì việc xác thực chéo.

- Khó có khả năng thực hiện và có thể không hoạt ựộng vì những lý do do giao tác.

- Phần mềm người sử dụng có thể gặp phải một số vấn ựề khi tìm chuỗi chứng chỉ. - để tìm chuỗi chứng chỉ và CRLs với những mô hình khác thì việc sử dụng thư mục có thể trở nên khó hơn.

Hiện nay, các tổ chức chắnh phủ và công ty ựang thiết lập CA riêng theo yêu cầu PKI của mình. Khi có yêu cầu xử lý giao tiếp giữa các tổ chức khác nhau, những CA này sẽ tiến hành xác thực chéo ựộc lập với nhau dẫn ựến sự phát triển của thế giới Internet sẽ diễn ra trong mô hình tin cậy theo các hướng khác nhau.

2.7.4. Mô hình Hub và Spoke (Bridge CA)

Trong mô hình Hub và Spoke, thay bằng việc thiết lập xác thực chéo giữa các CA, mỗi CA gốc thiết lập xác thực chéo với CA trung tâm. CA trung tâm này làm cho việc giao tiếp ựược thuận lợi hơn. CA trung tâm ựược gọi là hub (hoặc bridge) CA . động cơ thúc ựẩy mô hình này là giảm số xác thực chéo từ n2 xuống n. Một ựiểm quan trọng khác với cấu hình này là CA trung tâm không tạo ra sự phân cấp. Tất cả các thực thể trong cấu hình ựều giữ khoá công khai của CA cục bộ, không có khoá

của CA trung tâm. Như vậy, rõ ràng mô hình này giảm ựi nhược ựiểm của mô hình mạng nhưng lại gặp phải khó khăn trong việc thiết lập bridge CA làm việc với các CA khác trong hạ tầng cơ sở ựể các CA này có thể hoạt ựộng ựược với nhau.

Mô hình này do US Federal PKI phát triển ựầu tiên. Nó mở rộng PKIs qua một số tổ chức lớn chia sẻ những chắnh sách có khả năng tương thắch một cách ựặc biệt và có những CA ựã ựược thiết lập trước ựây. Minh hoạ biểu diễn cho mô hình hub và spoke ựược thể hiện trong hình 2.16.

Hình 2.16: Mô hình Hub và Spoke (Bridge CA) 2.7.5. Mô hình Web (Trust Lists)

Khái niệm về mô hình web ựược lấy ra từ tên của nó (www). Trong mô hình này, mỗi nhà cung cấp trình duyệt gắn vào trình duyệt một hoặc nhiều khoá công khai của một số root CA phổ biến hoặc nổi tiếng. Mô hình này thiết lập một mô hình tin tưởng tự ựộng giữa các các root CA mà khoá của các CA này ựược gắn trong trình duyệt và người sử dụng.

Hình 2.17: Danh sách các CA tin cậy trong Microsoft Explorer

Danh sách tin cậy phần lớn ựược sử dụng ựể xác thực web server mà những web server này ựược CA xác nhận trong danh sách trình duyệt client. Quá trình này ựược thực hiện một cách tự ựộng với giao thức SSL.

* Ưu ựiểm:

- Dễ ựể triển khai vì danh sách ựã có sẵn trong trình duyệt

- Không cần thay ựổi khi làm việc với trình duyệt web (Internet Explorer, Netscape Navigator) và tiện ắch e-mail (Outlook Express, Microsoft Outlook, Netscape Navigator).

* Nhược ựiểm:

- Về mặt công nghệ thì có thể thêm hay sửa ựổi một root CA mới nhưng hầu hết người dùng trình duyệt lại không quen thuộc với công nghệ PKI và phụ thuộc vào những CA ở trong trình duyệt này

- Người sử dụng phải tin tưởng vào danh sách CA trong trình duyệt. Nhưng một câu hỏi ựặt ra là làm thế nào ựể có thể ựảm bảo chắc chắn về tắnh chất tin cậy của CA? Các kết quả nghiên cứu cho thấy rằng hiện nay chưa có cách nào ựể phân biệt mức ựộ xác thực giữa các chứng chỉ.

- Không thể thông báo ựến tất cả trình duyệt của người sử dụng nếu khoá công khai của một CA nào ựó bị xâm hại.

Mô hình này ựơn giản trong việc thực thi và ựối với người dùng. Do ựó có khả năng ựể triển khai nhanh và sử dụng với các giải pháp COST (Commercial of the Shelf) sẵn có.

Mô hình này ựặc biệt thắch hợp cho yêu cầu PKI của những ứng dụng dựa trên Web.

2.7.6. Mô hình người sử dụng trung tâm (User Centric Model)

Trong mô hình này, mỗi người sử dụng trực tiếp và hoàn toàn có trách nhiệm trong việc quyết ựịnh tin tưởng hay từ chối chứng chỉ. Mỗi người sử dụng giữ một khoá vòng và khoá này ựóng vai trò như CA của họ. Khoá vòng chứa khoá công khai ựược tin cậy của những người sử dụng khác trong cộng ựồng. Mô hình này ựược Zimmerman phát triển ựể sử dụng trong chương trình phần mềm bảo mật PGP.

Mô hình này có một số hạn chế sau:

- Không có khả năng mở rộng và thắch hợp với những miền lớn.

- Khó ựể ựặt mức ựộ tin cậy ựối với khoá công ựược lấy từ người khác. Không có

sự nhất quán của quá trình xác thực vì nó phụ thuộc vào người sử dụng

- Người sử dụng phải quản lý PKI và cần phải hiểu sâu về nó. Mặc dù có những nhược ựiểm song mô hình này vẫn thắch hợp cho việc sử dụng cá nhân trên Internet.

Mỗi mô hình ựều có ưu và nhược ựiểm riêng. Việc lựa chọn mô hình nào tuỳ thuộc vào những yêu cầu mục ựắch của cộng ựồng người dùng, tổng chi phắ, thời gian triển khai, nhân lực quản lý, công nghệ hỗ trợ và một số vấn ựề liên quan khác.

CHƯƠNG III: TRIỂN KHAI VÀ ỨNG DỤNG CHỨNG CHỈ SỐ TRONG MỘT SỐ GIAO DỊCH đIỆN TỬ

để có thể triển khai ựược dịch vụ chứng thực số, cần xây dựng một server ựảm nhiệm việc cấp phát, thu hồi chứng thực số.

Trong ựề tài này, tác giả sử dụng phần mềm Certificate Authority trên nền tảng Windows Server 2003 ựể cung cấp chứng chỉ số cho các dịch vụ.

Một số dịch vụ ựiển hình trong các giao dịch trên Internet có thể sử dụng chứng chỉ số nhằm nâng cao tắnh bảo mật cho các giao dịch:

Chữ ký ựiện tử: Sử dụng ựể xác nhân người gửi thông ựiệp, file hoặc dữ

liệu khác. Chữ ký ựiện tử không hỗ trợ bảo vệ dữ liệu khi truyền.

Chứng thực internet: Có thể sử dụng PKI ựể chứng thực client và server

ựược thiết lập nối kết trên internet, vì vây server có thể nhân dạng máy client nối kết ựen nó và client có thể xác nhân ựã nối kết ựúng server.

Bảo mật IP ( IP Security - IPSec): mở rộng IPSec cho phép mã hóa và

truyền chữ ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng. Triển khai IPSec trên Windows Server 2003 không phải dùng PKI ựể có ựược khóa mã hóa của nó, nhưng có thể dùng PKI với mục ựắch này.

Secure e-mail: Giao thức e-mail trên internet truyền thông ựiệp mail ở che

ựộ bản rõ, vì vây nội dung mail dễ dàng ựọc ựược khi truyền. Với PKI, người gửi có thể bảo mât e-mail khi truyền bằng cách mã hóa nội dung mail dùng khóa công khai của người nhân. Ngoài ra, người gửi có thể ký lên thông ựiệp bằng khóa riêng của mình.

Smart card logon: Smart card là một loại thẻ tắn dụng. Windows Server

2003 có thể dùng smart card như là một thiết bị chứng thực. Smart card chứa chứng chỉ của user và khóa riêng, cho phép người dùng logon tới bất kỳ máy nào trong doanh nghiệp với ựộ an toàn cao.

Software code signing: Kỹ thuật Authenticode của Microsoft dùng chứng

chỉ ựể chứng thực những phần mềm người dùng download và cài ựặt chắnh xác là của tác giả và không ựược chỉnh sửa.

Wireless network authentication: Khi cài ựặt một LAN wireless, phải chắc

chắn rằng chỉ người dùng chứng thực ựúng thì mới ựược nối kết mạng và không có ai có thể nghe lén khi giao tiếp trên wireless. Có thể sử dụng Windows Server 2003 PKI ựể bảo vệ mạng wireless bằng cách nhân dạng và chứng thực người dùng trước khi họ truy cập mạng.

2.1. Cài ựặt dịch vụ và Quản lý Certificate Authority (CA) 3.1.1. Cài ựặt CA trên Windows Server 2003 3.1.1. Cài ựặt CA trên Windows Server 2003

đăng nhập vào Windows Server 2003 với quyền Administrator.

1. Click vào Start -> Control Panel -> Add Or Remove Programs. Hộp thoại Add Or Remove Programs xuất hiện.

2. Click Add/Remove Windows Components. Hộp thoại Add/Remove Windows Components xuất hiện -> chọn Certificate Services.

3. Click chọn -> chọn Details. Hộp thoại Certificate Services xuất hiện.

4. Hộp thoại cảnh báo về thành viên domain và ràng buộc ựổi tên máy tắnh xuất hiện - > click Yes.

6. Trên trang thông tin nhân ra CA, trong hộp Common name, ựánh tên của server -> click next.

7. Trên trang Certificate Database Settings, ựể ựường dẫn mặc ựịnh trong hộp Certificate database box và Certificate database log -> click Next.

8. Lời nhắc dừng Internet Information Services xuất hiện -> click Yes. 9. Enable Active Server Pages (ASPs) -> click Yes.

Như vậy, về cơ bản ta ựã hoàn thành việc cài ựặt một server cung cấp dịch vụ Certificate Serivices.

3.1.2. Quản lý dịch vụ trên CA

3.1.2.1. Sử dụng Certificates Snap-in:

Certificate Snap-in là một công cụ dùng ựể xem và quản lý chứng chỉ của một user hoặc computer cụ thể. Màn hình chắnh của snap-in bao gồm nhiều thư mục chứa tất cả hạng mục chứng chỉ số ựược chỉ ựịnh cho user hoặc computer. Neu tổ chức của người dùng sử dụng enterprise CAs, Certificate Snap-in cũng cho phép người dùng yêu cầu và thay ựổi chứng chỉ số bằng cách dùng Certificate Request Wizard và Certificate Renewal Wizard.

3.1.2.2. Yêu cầu cấp phát thông qua Web (Web Enrollment)

Khi bạn cài ựặt Certificate Services trên máy tắnh chạy Windows Server 2003, người dùng có thể chọn cài ựặt module Certificate Services Web Enrollment Support. đe hoạt ựộng một cách ựúng ựắn, module này yêu cầu người dùng phải cài ựặt IIS trên máy tắnh trước. Chọn module này trong quá trình cài ựặt Certificate Services tạo ra trang Web trên máy tắnh chạy CA, những trang Web này cho phép người dùng gửi yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.

Giao diện Web Enrollment Support ựược dùng cho người sử dụng bên ngoài hoặc bên trong mạng truy xuất ựen stand-alone CAs. Vì stand-alone server không dùng mẫu chứng chỉ so, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin về người sử dụng chứng chỉ số.

Một phần của tài liệu hạ tầng khóa công khai (PKI) triển khai và ứng dụng trong các giao dịch điện tử (Trang 44 - 76)

Tải bản đầy đủ (PDF)

(76 trang)