Được CCITT giới thiệu vào năm 1988 và đến năm 1993 thì được sửa đổi và phát hành. Khuôn dạng chứng chỉ X.509 gồm 3 phiên bản, phiên bảo 1 ra đời vào năm 1988, phiên bản 2 ra đời vào năm 1993 và phiên bản 3 ra đời vào năm 1996.
X.509 là một máy chủ chứa cơ sở dữ liệu về thông tin của nhóm người dùng. Thông tin bao gồm sự ánh xạ từ tên người dùng tới địa chỉ mạng cũng như các thuộc tính và thông tin khác về người dùng.
X.509 là một tiêu chuẩn quan trọng bởi vì nó xác định một khung làm việc cho các dịch vụ chứng thực bởi thư mục X.509 tới nhóm người dùng của nó và X.509 được sử dụng một cách rộng rãi. Thêm vào đó cấu trúc và các giao thức chứng thực trong X.509 có thể được sử dụng trong các ngữ cảnh khác chẳng hạn nó được sử dụng trong PEM (Privary Enhanced Mail). X.509 dựa trên việc sử dụng hệ mật mã khóa công khai và chữ ký số.
2.5.4.1 Sự chứng thực ngƣời dùng
Sự chứng thực của người dùng được tạo bởi CA có các đặc điểm sau:
Bất kỳ người dùng nào truy suất khóa công khai của CA thì có thể khôi phục khóa công khai của người dùng mà đã chứng thực.
Chỉ có CA mới có thể làm thay đổi được sự chứng thực. Bởi vì sự chứng thực là không thể đoán trước nên chúng có thể được đặt trong một thư mục mà không cần thiết phải cố gắng để bảo vệ chúng.
Nếu tất cả người dùng hướng tới cùng một CA thì có cùng độ tin cậy với CA đó. Tất cả chứng thực của người dùng có thể được đặt trong thư mục cho tất cả các người dùng truy xuất. Ngoài ra, người dùng có thể truyền chứng thực của mình trực tiếp tới các người dùng khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Nếu nhóm người dùng ở trong một mạng truyền thông lớn thì không thể áp dụng cho tất cả nhóm được mô tả bởi cùng một CA bởi, mỗi người dùng tham gia phải có một bản sao khóa công khai của riêng CA để làm rõ chữ ký. Khóa công khai này phải được cung cấp tới mỗi người dùng trong cách thức bảo mật tuyệt đối để cho mỗi người dùng đảm bảo tính bí mật trong sự chứng thực liên quan.
Giả sử A đã đưa ra một chứng thực từ CA X1 và B đã đưa ra một chứng thực từ CA X2. Nếu A không biết sự bảo mật khóa công khai của X2 thì chứng thực của B không có ích với A. A có thể đọc chứng thực của B nhưng A không thể làm rõ chữ ký. Tuy nhiên nếu hai CA có sự trao đổi một cách bảo mật các khóa công khai của chúng thì thủ tục sau sẽ cho phép A đưa ra khóa công khai của B:
o A đưa ra thư mục sự chứng thực của X2 được ký bởi X1. Bởi vì A biết khóa công khai của X1 nên A có thể đưa ra khóa công khai của X2 từ sự chứng thực của nó và làm rõ nó bằng chữ ký trên bản chứng thực của X1.
o Sau đó A quay lại thư mục và đưa ra bản chứng thực của B được ký bởi X2. Bởi vì giờ đây A đã có một bản sao tin cậy về khóa khai của X2 nên A có thể làm rõ chữ ký và đưa ra khóa công khai của B. A đã sử dụng một dây truyền các chứng thực để đưa ra khóa công khai của B như sau:
X1 <<X2>>X2<<B>>
Tương tự B có thể đưa ra khóa công khai của A: X2 <<X1>>X1<<A>>
Mở rộng dây truyền với N phần tử:
X1 <<X2>>X2<< X3>>…Xn<<B>>
Trong dây truyền này mỗi cặp CA (Xi, Xi+1) tạo chứng thực cho mỗi cặp khác. Tất cả sự chứng thực của các CA bởi CA này cần xuất hiện trong thư mục và người dùng cần biết làm sao để liên kết chúng theo một đường dẫn tới sự chứng thực khóa công khai của người dùng khác. Trong tiêu chuẩn X.509 về hệ thống hạ tầng khóa công khai, mạng lưới CA tạo thành cây từ trên xuống với gốc là một CA trung tâm mà không cần được chứng thực bởi một bên thứ 3 nào khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.5.4.2 Huỷ bỏ sự chứng thực
Vì mỗi chứng thực chỉ có một thời gian hợp lệ nên một chứng thực mới sẽ được tạo ra đúng khi chứng thực cũ hết hạn. Ngoài ra, người ta mong muốn có dịp để hủy bỏ chứng thực trước khi nó hết hạn vì một trong các lý do sau:
o Khóa bí mật của người dùng được giả thiết là đã được thỏa hiệp. o Một thời gian dài người dùng không được chứng thực bởi CA này. o Khóa bí mật của CA được giả thiết là đã được thỏa hiệp.
Mỗi CA phải duy trì một danh sách bao gồm tất cả các chứng thực bị hủy nhưng chưa hết hạn tới các người dùng và CA khác. Danh sách này cũng nên được gửi tới thư mục. Mỗi danh sách hủy bỏ chứng thực đã gửi tới thư mục và một mục từ (entry) cho mỗi chứng thực bị hủy. Mỗi entry bao gồm số serial của chứng thực và ngày tháng hủy bỏ chứng thực đó.
Khi người dùng nhận được chứng thực trong đoạn tin thì người dùng phải xác định có bị hủy chưa. Người dùng có thể kiểm tra thư mục mỗi lần nhận được chứng thực. Để tránh sự trì hoãn và các chi phí có thể liên quan đến thư mục tìm kiếm, thật là tốt nếu người dùng duy trì một bộ nhớ (cache) cục bộ về các chứng thực và danh sách các chứng thực đã hủy.
2.5.4.3 Các thủ tục chứng thực
X.509 bao gồm ba thủ tục chứng thực đó là chứng thực một phía, chứng thực hai phía, chứng thực ba phía. Mỗi chứng thực này áp dụng cho từng ứng dụng khác nhau và chúng đều sử dụng chữ ký số.
Nó được giả thiết rằng hai người tham gia phải biết khóa công khai lẫn nhau hoặc bằng cách đưa ra chứng thực lẫn nhau từ thư mục hoặc chứng thực bao gồm trong đoạn tin khởi tạo từ mỗi phía.
Chứng thực một phía (hình 2.9a)
Đây là sự truyền thông đơn thông tin từ người dùng A đến người dùng B và thiết lập các việc sau:
1. Định danh của A và đoạn tin được tạo bởi A 2. Đoạn tin dự kiến cho B
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Chứng thực hai phía (hình 2.9b)
Ngoài ba phần tử ở chứng thực một phía thì chứng thực hai phía còn thiết lập thêm các phần tử sau:
4. Định danh của B và đoạn tin đáp lại được tạo ra bởi B. 5. Đoạn tin dự kiến cho A
6. Tính tường minh và nguồn gốc của sự hồi âm.
Chứng thực hai phía cho phép hai đối tác truyền thông làm rõ định danh lẫn nhau.
Chứng thực ba phía (hình 2.9c)
Tương tự như chứng thực hai phía nhưng có thêm sự đáp lại rB từ A tới B. Với kiểu thiết kế này thì nhãn thời gian không cần thiết phải được kiểm tra bởi vì mỗi một khoảng thời gian đều được quay lại phía gửi, nên mỗi phía có thể kiểm tra khoảng thời gian quay về đó để dò các cuộc tấn công lặp lại. Cách tiếp cận này thì cần thiết khi đồng hồ đồng bộ không có sẵn. Hình 2.9 Các thủ tục chứng thực ngƣời dùng B Hình a ngƣời dùng A 1 Hình b ngƣời dùng A ngƣời dùng B 1 2 Hình c ngƣời dùng A ngƣời dùng B 1 2 3
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.6 Kết luận chƣơng
Chữ ký số là tập con của chữ ký điện tử. Chữ ký điện tử là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký số khóa công khai (hay hạ tầng khóa công khai) là mô hình sử dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai - bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các thông tin mật. Khóa công khai thường được phân phối thông qua chứng thực khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký và kiểm tra chữ ký. Hiện tại có 2 loại chữ ký số là: RSA và DSA. Trong đó RSA được sử dụng cho cả mã hóa và chữ ký số, còn DSA chỉ dùng tạo chữ ký số.
Trong đó độ an toàn của RSA phụ thuộc vào bài toán phân tích một số nguyên m thành thừa số lại cần đến một thời gian tăng theo cấp số luỹ thừa so với chiều dài của m. Mà thuật toán phân tích một số nguyên m thành thừa số lại cần đến một thời gian tăng theo cấp số luỹ thừa so với chiều dài của m . Nghĩa là nếu chỉ thêm cho m vài ký tự, thời gian cần để đặt m thành thừa số sẽ tăng gấp đôi. Vì khi thêm vài ký tự vào R là làm cho nó lớn thêm hàng trăm hay ngàn lần nhiều hơn, tức là gia tăng danh sách các cặp thừa số có thề dùng làm p và q. Vậy nếu giả như bất ngờ có ai tìm ra được một kỹ thuật mới giúp cho việc đặt thành thừa số có thể thực hiện hàng tỷ tỷ lần nhanh hơn, thì ta chỉ cần chọn một số m khác dài hơn chừng mười ký tự, tình trạng sẽ trở lại như ban đầu... Thuật toán RSA chỉ bị phá vỡ khi tìm được một cách nào đó cho ta trực tiếp các thừa số nguyên tố của một số.
Trong mật mã học, chứng thực khóa công khai là một chứng thực sử dụng chữ ký số để gắn một khóa công khai với một thực thể. Khi một khoá công khai được sử dụng để mã hoá thông báo, hoặc để kiểm tra chữ ký số, việc sử dụng này mang tính thiết yếu vì nó có thể đảm bảo cho người sử dụng biết khoá công khai mà họ sử dụng đúng là khoá của người nhận thông báo hoặc từ người ký. Một chứng thực khóa công khai tiêu biểu thường bao gồm khóa công khai và các thông tin về thực thể sở hữu khóa đó.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
CHƢƠNG 3: BẢO MẬT TRANG THÔNG TIN ÐIỆN TỬ
Chúng ta đã tìm hiểu được cách tạo chữ kí số, độ an toàn của chữ kí các thuật toán và ý nghĩa hàm băm, khi sử dụng chữ kí số chúng ta phải nói đến chứng thực khóa công khai để quản lí khóa công khai khi sử dụng chữ kí số.
Trong chương này sẽ giới thiệu khái niệm thế nào là một trang thông tin điện tử, phân loại trang thông tin điện tử, các thành phần tạo nên một trang thông tin điện tử, các khái niệm về bảo mật an toàn thông tin và cách bảo đảm thông tin trên mạng.
3.1 Giới thiệu trang thông tin điện tử
3.1.1 Khái niệm trang thông tin
Cổng thông tin là địa chỉ tổng hợp các ứng dụng của một tổ chức như thư điện tử, chia sẻ tài liệu, lịch công tác thông qua giao diện Web. Các thành viên của doanh nghiệp có thể thông qua giao diện web (hay gọi là cổng thông tin, webportal) mà truy cập và sử dụng các ứng dụng của doanh nghiệp đơn giản tiện lợi.
Thông qua mạng internet người dùng có thể thực hiện không hạn chế các chức năng mà thông thường chỉ thực hiện được đối với mạng intranet (mạng nội bộ doanh nghiệp). Cổng thông tin trở thành công cụ đắc lực cho các hoạt động của mọi doanh nghiệp.
Cổng thông tin giúp người dùng có thể tận dụng tối đa những tài nguyên có sẵn và nâng cao giá trị của thông tin.
Những yêu cầu này nảy sinh từ mục tiêu ban đầu: cổng thông tin là điểm đi tới của tất cả các ứng dụng khác (cùng cung cấp bởi một hãng, công ty). Chúng ta sử dụng khái niệm sau cho trang thông tin điện tử tích hợp:
“Trang thông tin điện tử tích hợp là điểm truy cập tập trung và duy nhất,
tích hợp các kênh thông tin, các dịch vụ và ứng dụng, phân phối tới người sử dụng thông qua một phương thức thống nhất và đơn giản trên nền tảng Web”
3.1.2 Phân loại trang thông tin
Trang thông tin cung cấp cho người dùng cuối nhiều loại dịch vụ khác nhau với nhiều nhu cầu khác nhau, có thể phân loại các công thông tin như sau:
Trang thông tin công cộng (Public portals): ví dụ như Yahoo, loại trang thông tin này thường được sử dụng để ghép nối các thông tin lại với nhau từ nhiều
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
nguồn, nhiều ứng dụng và từ nhiều người, cho phép cá nhân hoá (personalization) các website theo tuỳ từng đối tượng sử dụng.
Trang thông tin doanh nghiệp (“Enterprise portals” hoặc “Corporate Desktops”): được xây dựng để cho phép các thành viên của doanh nghiệp sử dụng và tương tác trên các thông tin và ứng dụng nghiệp vụ tác nghiệp của doanh nghiệp. Cổng giao dịch điện tử (Marketplace portals): ví dụ như eBay và ChemWeb, trang thông tin này là nơi liên kết giữa người bán và người mua.
Trang thông tin ứng dụng chuyên biệt (Specialized portals): ví dụ như SAP portal, trang thông tin loại này cung cấp các ứng dụng chuyên biệt khác nhau.
3.1.3 Các tính năng cơ bản của một portal
Tuy có nhiều loại trang thông tin khác nhau, cung cấp nhiều loại dịch vụ và ứng dụng khác nhau, nhưng tất cả các loại trang thông tin đều có chung một số tính năng cơ bản. Các tính năng này là được sử dụng như là một tiêu chuẩn để phân biệt giữa trang thông tin với một website tổng hợp tin tức, với ứng dụng quản trị nội dung web (web content management system - Web CMS), hoặc với một ứng dụng chạy trên nền tảng Web (web application).
Các tính năng cơ bản (bắt buộc phải có) của một portal bao gồm:
Khả năng cá nhân hoá (Customization hay Personalization): cho phép thiết đặt các thông tin khác nhau cho các loại đối tượng sử dụng khác nhau theo yêu cầu. Tính năng này dựa trên hoạt động thu thập thông tin về người dùng và cộng đồng người dùng, từ đó cung cấp các thông tin chính xác tại thời điểm được yêu cầu.
Tích hợp nhiều loại thông tin (Content aggregation): cho phép xây dựng nội dung thông tin từ nhiều nguồn khác nhau cho nhiều đối tượng sử dụng. Sự khác biệt giữa các nội dung thông tin sẽ được xác định qua các ngữ cảnh hoạt động của người dùng (user-specific context), ví dụ như đối với từng đối tượng sử dụng sau khi thông qua quá trình xác thực thì sẽ được cung cấp các thông tin khác nhau, hoặc nội dung thông tin sẽ được cung cấp khác nhau trong quá trình cá nhân hoá thông tin.
Xuất bản thông tin (Content syndication): thu thập thông tin từ nhiều nguồn khác nhau, cung cấp cho người dùng thông qua các phương pháp hoặc giao thức (protocol) một cách thích hợp. Một hệ thống xuất bản thông tin chuyên nghiệp phải
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
có khả năng xuất bản thông tin với các định dạng đã được quy chuẩn, ví dụ như RDF (Resource Description Format), RSS (Realy Simple Syndication), NITF (News Industry Text Format) và NewsXML. Ngoài ra, các tiêu chuẩn dựa trên XML cũng phải được áp dụng để quản trị và hiển thị nội dung một cách thống nhất, xuyên suốt trong quá trình xuất bản thông tin. Các tiêu chuẩn dựa trên XML này cho phép đưa ra giải pháp nhanh nhất để khai thác và sử dụng thông tin trên các Website khác nhau thông qua quá trình thu thập và bóc tách thông tin với các định dạng đã được quy chuẩn.
Hỗ trợ nhiều môi trường hiển thị thông tin (Multidevice support): cho phép hiển thị cùng một nội dung thông tin trên nhiều loại thiết bị khác nhau như: màn hình máy tính (PC), thiết bị di động (Mobile phone, Wireless phone, PDA), sử dụng để in hay cho bản fax…. tự động bằng cách xác định thiết bị hiển thị thông qua các thuộc tính khác nhau.
Khả năng đăng nhập một lần (Single Sign On - SSO): cho phép dịch vụ xuất bản thông tin hoặc các dịch vụ khác của portal lấy thông tin về người dùng khi hoạt