Luân văn Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành nhất tới PGS TS Nguyễn Văn Tam, người thầy đã cho tôi những định hướng và những ý kiến rất quý báu về công nghệ PKI. Tôi xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá đã dìu dắt, giúp đỡ tôi tiến bộ trong suốt những năm học qua. Xin cảm ơn gia đình và bè bạn, những người luôn khuyến khích và giúp đỡ tôi trong mọi hoàn cảnh khó khăn. Tôi xin cảm ơ n Cục Tin học nghiệp vụ đã hết sức tạo điều kiện cho tôi trong quá trình học và làm luận văn này. Được hoàn thành trong thời gian rất hạn hẹp, luận văn này chắc chắn còn nhiều khiếm khuyết. Tôi xin cảm ơn những thầy cô, bạn bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của luận văn này, để tôi có thể tiếp tục đi sâu tìm hiểu và đưa PKI vào ứng dụng trong th ực tiễn công tác. Lương Nguyễn Hoàng Hoa - 1 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai MỤC LỤC MỤC LỤC 1 Danh mục từ viết tắt 3 Danh mục hình vẽ 5 MỞ ĐẦU 7 CHƯƠNG 1 - TỔNG QUAN VỀ MẬT MÃ 10 1.1 Giới thiệu chung 10 1.2 Khái niệm hệ mật mã 11 1.3 Hệ mật mã khoá đối xứng 11 1.4 Hệ mật mã khoá công khai 12 1.5 Chữ ký số 16 1.6 Hàm băm 20 CHƯƠNG 2 - CHỨNG CHỈ SỐ VÀ HẠ TẦNG MÃ KHOÁ CÔNG KHAI 23 2.1. Chứng chỉ số (digital certificates) 24 2.1.1 Giới thiệu 24 2.1.2 Chứng chỉ khoá công khai X.509 26 2.1.3 Thu hồi chứng chỉ 30 2.1.4 Chính sách của chứng chỉ 31 2.1.5 Công bố và gửi thông báo thu hồi chứng chỉ 32 2.2 Các thành phần của PKI 35 2.2.1 Tổ chức chứng thực (Certification Authority) 36 2.2.2 Trung tâm đăng ký (Registration Authorities) 37 2.2.3 Thực thể cuối ( Người giữ chứng chỉ và Clients) 38 2.2.4 Hệ thống lưu trữ (Repositories) 38 2.3 Chức năng cơ bản của PKI 39 2.3.1 Chứng thực (certification) 39 2.3.2 Thẩm tra (validation) 39 2.3.3 Một số chức năng khác 39 2.4 Mô hình tin cậy cho PKI 43 2.4.1 Mô hình CA đơn 44 2.4.2 Mô hình phân cấp 45 2.4.3 Mô hình mắt lưới (xác thực chéo) 46 2.4.4 Mô hình Hub và Spoke (Bridge CA) 48 2.4.5 Mô hình Web (Trust Lists) 49 2.4.6 Mô hình người sử dụng trung tâm (User Centric Model) 51 - 2 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai CHƯƠNG 3 - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 53 3.1 Tổng quan về hệ thống 53 3.1.1 Mô hình hệ thống 53 3.1.2 Một số đặc tính của hệ thống cung cấp chứng chỉ số 54 3.2 Chức năng và quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng chỉ số MyCA 58 3.2.1 Certificate Authority - CA 58 3.2.2 Registration Authority - RA 59 3.2.3 RAO 60 3.2.4 LDAP và Public Database Server 60 3.3 Qui trình đăng ký, cấp phát và huỷ bỏ chứng chỉ 62 3.3.1 Qui trình đăng ký và cấp chứng chỉ 62 3.3.2 Qui trình huỷ bỏ chứng chỉ 64 3.4 Thử nghiệm sản phẩm 65 3.4.1 Thử nghiệm phía quản trị 65 3.4.2 Thử nghiệm phía người dùng 65 3.5 Đánh giá chung 66 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 70 PHỤ LỤC 72 1. Môi trường phát triển 72 2. Một số chuẩn mật mã khoá công khai (PKCS) 72 3. Một số màn hình giao diện của hệ thống đã xây dựng 74 - 3 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai Danh mục từ viết tắt ARLs Authority Revocation Lists CA Certificate Authority CAO Certificate Authority Operator CMS Cryptographic Message Syntax COST Commercial of the Shelf CRLs Certificate Revocation Lists CRR Certificate Revocation Request CSP Certification Service Provider DAP Directory Access Protocol DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard ECC Elliptic Curve Cryptography HTTPS Secure Hypertext Transaction Standard IANA Internet Assigned Numbers Authority IEEE Institute of Electrical & Electronic Engineers IETF Internet Engineering Task Force ISO International Organization for Standardization ITU-T Internet Telecommumications Union- Telecommunication LDAP Lightweight Directory Access Protocol MD5 Message Digest 5 Hash Algorithm OCSP Online Certificate Status Protocol PEM Privacy Enhanced Mail PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards - 4 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai PKI Public Key Infrastructure PKIX Extended Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensions SHA-1 Secure Hash Standard SSL Secure Socket Layer TLS Transport Layer Security - 5 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai Danh mục hình vẽ Hình 1.1: Quá trình mã hoá và giải mã 11 Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai P 13 Hình 1.3: Giải mã thông điệp sử dụng khoá riêng của người nhận 13 Hình 1.4: Sơ đồ hệ mật mã RSA 14 Hình 1.5: Mã hoá thông điệp sử dụng khoá bí mật S để mã thông điệp và khoá công khai P để mã khoá bí mật S 15 Hình 1.6: Giải mã thông điệp sử dụng khoá bí mật S để giải mã thông điệp và khoá riêng P để giải mã khoá bí mật S 15 Hình 1.7: Sơ đồ chữ ký RSA 18 Hình 1.8: Sơ đồ mô tả các công đoạn người A làm trước khi gửi thông điệp cho người B (sử dụng hàm băm rồi ký số) 19 Hình 1.9: Sơ đồ mô tả các công đoạn kiểm tra chữ ký sau khi người B nhận được thông điệp 20 Hình 1.10: Nhiều thông điệp nguồn cho cùng 1 kết quả đích sau mã hoá/ ký số. 21 Hình 2.1: Chứng chỉ số 25 Hình 2.2: Khuôn dạng chứng chỉ X.509 26 Hình 2.3: Nội dung chi tiết của chứng chỉ 30 Hình 2.4: Khuôn dạng danh sách chứng chỉ bị thu hồi 33 Hình 2.5: Dịch vụ kiểm tra online 35 Hình 2.6: Các thành phần PKI 36 Hình 2.7: Đường dẫn chứng chỉ chéo 43 Hình 2.8: Mô hình CA đơn 44 Hình 2.9: Mô hình phân cấp 45 Hình 2.10: Mô hình mắt lưới 47 Hình 2.11: Mô hình Hub và Spoke (Bridge CA) 49 Hình 2.12: Danh sách các CA tin cậy trong Microsoft Explorer 50 Hình 3.1: Mô hình hệ thống cung cấp chứng chỉ số 53 Hình 3.2: Tệp yêu cầu cấp chứng chỉ 55 Hình 3.3: Chứng chỉ lưu khoá công khai của rootCA trong hệ thống MyCA 56 Hình 3.4: Chứng chỉ của người sử dụng 57 Hình 3.5: Mô hình mô phỏng hệ thống MyCA phân cấp hai tầng 59 Hình 3.6: Mô hình quan hệ và trao đổi dữ liệu giữa các thành phần trong hệ thống 61 - 6 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai Hình 3.7: Mô hình đăng ký và cấp chứng chỉ số 62 Hình 3.8: Giấy chứng nhận chứng chỉ số 64 Hình 3.9: Mô hình huỷ bỏ chứng chỉ 64 Hình 3.10: Mô hình kết hợp hệ thống cung cấp chứng chỉ số cùng các giải pháp đảm bảo an toàn hệ thống mạng nội bộ 67 - 7 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai MỞ ĐẦU Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được mở rộng khi người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp. Sự thay đổi trong các hoạt độ ng truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng chỉ số hay ta còn gọi là chứng thực điện tử (digital certificate) cũng như các khoá công cộng (khoá công khai) và cá nhân (khoá riêng). Sáng kiến PKI ra đời năm 1995, khi mà các chính phủ và các tổ chức công nghiệp xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng. Cho tớ i nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là thuật toán - 8 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai mã hoá phi đối xứng được xây dựng dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai khoá mã: khoá công khai (public key) và khoá riêng (private key). Trong trường hợp này, một người sử dụng có thể mã hoá tài liệu của mình với khoá riêng và sau đó giải mã thông tin đó bằng khoá công khai. Nếu một văn bản chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó b ằng mã khoá riêng của mình và người nhận sẽ giải mã sử dụng khoá công khai của người gửi. Khoá công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó. Mặt khác, do có khá nhiều thuật toán phi đối xứng nên các chuẩn công khai hiện có thường xuyên được nghiên cứu cải tiến để phù hợp với các thuật toán này. Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dị ch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người sử dụng. Luận văn này được thực hiện với mục đích tìm hiểu nghiên cứu về PKI, bao gồm các khái niệm tổng quan về mật mã, chứng chỉ số, các khái niệm cơ sở về PKI, chức năng và các thành phần PKI. Luận văn cũng tập trung vào việc tìm hiểu các mô hình tin cậy của PKI, ưu và nhược điểm của các mô hình này; các dịch vụ, giao thức và chuẩn định dạng liên quan đến việc xây dựng ứng dụng PKI, qua đó vận dụng để xây dựng một hệ thống cung cấp chứng chỉ số có khả năng ứng dụng cho cơ quan công tác và một số đơn vị khác. Với giới hạn những vấn đề tìm hiểu và nghiên cứu như trên, luận văn bao gồm 3 chương: Chương 1: Tổng quan về mật mã Giới thiệu các khái niệm về hệ mật mã đối xứng, hệ mật mã phi đối xứng hay còn được gọi là hệ mật mã khoá công khai; ưu và nhược điểm của các hệ mã này; khái niệm về chữ ký số và hàm băm, sơ đồ chữ ký số được sử dụng trong hệ thống thử nghiệm. [...]... mt mó cụng khai Nhng do bn thõn cỏc h mt mó khoỏ cụng khai u da vo cỏc gi thit liờn quan n cỏc bi toỏn khú nờn a s cỏc h mt mó ny u cú tc mó dch khụng nhanh lm Chớnh nhc im ny lm cho cỏc h mt mó khoỏ cụng khai khú c dựng mt cỏch c lp Mt vn na ny sinh khi s dng cỏc h mt mó khúa cụng khai l vic xỏc thc m trong mụ hỡnh h mt mó i xng khụng t ra Do cỏc khoỏ mó cụng khai c cụng b mt cỏch cụng khai trờn... (văn bản, âm thanh, hình ảnh) Bản băm Hỡnh 1.8 a: Bm thụng ip Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 19 - Ký số Bản băm (văn bản đại diện) z (sử dụng các sơ đồ ký số RSA, Elgamal, DSS) Bản ký số y = sig K (z) sig K(z) Khoá bí mật của ngời gửi Hỡnh 1.8 b: Ký trờn bn bm Ngời gửi (A) Thông điệp, Bản ký số (x, y) Ngời nhận (B) Hỡnh 1.8 c: Truyn d liu thụng tin cn gi Hỡnh 1.8: S... thu hi chng ch khoỏ cụng khai da trờn mt mó khoỏ cụng khai[ 25] PKI l h tng c s cú th h tr qun lý khoỏ cụng khai h tr cỏc dch v xỏc thc, mó hoỏ, ton vn hay chng chi b [9] PKI l h tng c s bo mt cú nhng dch v c trin khai v chuyn giao s dng cụng ngh v khỏi nim khoỏ cụng khai [4] Nhỡn chung, PKI cú th c nh ngha nh mt h tng c s s dng cụng ngh thụng tin cung cp dch v mó hoỏ khoỏ cụng khai v ch ký s Mt mc ớch... H mt mó khoỏ cụng khai gii quyt vn phõn phi v tho thun khoỏ ca mt mó khoỏ i xng, nm 1976 Diffie v Hellman ó a ra khỏi nim v h mt mó khoỏ cụng khai v mt phng phỏp trao i cụng khai to ra mt khoỏ bớ mt chung m tớnh an ton c bo m bi khú ca mt bi toỏn toỏn hc c th (l bi toỏn Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 13 - tớnh logarit ri rc) H mt mó khoỏ cụng khai hay cũn c gi l... cụng khai ca A, c z (Hỡnh 1.9 a) 2 B dựng mt thut toỏn bm tng ng vi thut toỏn bm m A dựng bm thụng ip x i kốm, nhn c h(x) (Hỡnh 1.9 b) 3 B so sỏnh 2 giỏ tr bm z v h(x), nu ging nhau thỡ chc chn rng thụng ip x m A mun gi cho B cũn nguyờn vn, bờn cnh ú cng xỏc thc c ngi gi thụng tin l ai (Hỡnh 1.9 c) Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 20 - y = sig K (z) True Bản ký số. .. h mó khoỏ i xng l vn qun lý khoỏ v gii quyt vn ny h mó khoỏ cụng khai ó c a ra nh mt gii phỏp Trong h thng mt mó khoỏ cụng khai, khoỏ riờng (khoỏ bớ mt) c ngi dựng gi bớ mt trong khi khoỏ cụng khai vi tờn ca ngi s hu tng ng li c cụng b cụng khai i vi h thng nh th ny, ta cn xỏc nh v tr li mt s cõu hi nh: - Ai s to ra cp khoỏ cụng khai bớ mt? - D liu s c lu di nh dng nh th no trong h thng lu tr (khoỏ... sig k(x) RSA cng l thut toỏn c dựng nhiu cho mc ớch ký s S ch ký RSA c mụ t nh trong hỡnh 1.7 [3] Ngoi ra, cũn cú mt s thut toỏn cụng khai khỏc c dựng ký s, vớ d nh chun ch ký s DSS Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 18 - Cho n = p*q vi p,q l s nguyờn t ln t P = A = Zn K = {(n, p, q, a, b)/ n = p*q, a*b 1 mod (n)} trong ú (n,b) l cụng khai, (a, p, q) l bớ mt Vi mi K... cụng khai X.509 v3 2.1.2 Chng ch khoỏ cụng khai X.509 Chng ch X.509 v3 l nh dng chng ch c s dng ph bin v c hu ht cỏc nh cung cp sn phm PKI trin khai Chng ch khoỏ cụng khai X.509 c Hi vin thụng quc t (ITU) a ra ln u tiờn nm 1988 nh l mt b phn ca dch v th mc X.500 Chng ch gm 2 phn Phn u l nhng trng c bn cn thit phi cú trong chng ch Phn th hai cha thờm mt s trng ph, nhng trng ph ny c gi l trng m rng dựng. .. bớ mt S mó thụng ip v khoỏ cụng khai P mó khoỏ bớ mt S Symmetric Key S Private Key P of Bob Hỡnh 1.6: Gii mó thụng ip s dng khoỏ bớ mt S gii mó thụng ip v khoỏ riờng P gii mó khoỏ bớ mt S Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 16 - * u v nhc im ca h mt mó khoỏ cụng khai Vn cũn tn ng ca h mt mó khoỏ i xng c gii quyt nh h mt mó khoỏ cụng khai Chớnh u im ny ó thu hỳt nhiu... nhau, s dng h mt mó, s ký s ging nhau (cú th khỏc nhau) thỡ Xõy dng h thng cung cp chng ch s da trờn h tng khoỏ cụng khai - 21 - cho ra kt qu bn mó, bn ký s ging nhau (ỏnh x N-1: nhiu mt), nh hỡnh 1.10 iu ny s dn n mt s rc ri v sau cho vic xỏc thc thụng tin Thông điệp x Thông điệp y Hệ mật mã hay Sơ đồ ký số Bản mã hay Bản ký số Thông điệp z Nguồn Đích Hỡnh 1.10: Nhiu thụng ip ngun cho cựng 1 kt qu . - 2 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai CHƯƠNG 3 - XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 53 3.1 Tổng quan về hệ thống 53 3.1.1 Mô hình hệ thống 53. 2. Một số chuẩn mật mã khoá công khai (PKCS) 72 3. Một số màn hình giao diện của hệ thống đã xây dựng 74 - 3 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai . of Bob - 16 - Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai * Ưu và nhược điểm của hệ mật mã khoá công khai Vấn đề còn tồn đọng của hệ mật mã khoá đối xứng được