ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA TRONG MAIL SERVER     !"#  ! $%&$'(  )) *$%$+,   / $0   I. KHÁI NIỆM VỀ CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký điện tử (CKĐT) là sản phẩm tin học, là công cụ hỗ trợ cho quá trình xử lý thông tin số, nhưng nó hàm chứa các quy định cho phép các tổ chức cung ứng dịch vụ thanh toán nhắm đến đích của mình là cải tiến các dịch vụ thanh toán hiện có sao cho nhanh chóng, an toàn và hiệu quả hơn. CKĐT là một dãy ký tự lựa chọn ở bàn phím của máy tính hay còn được gọi là mật khẩu và dãy ký tự này cũng phải đăng ký theo các quy định. II. ĐẶC ĐIỂM CỦA CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử (E-mail, File text, bảng tính ) Chữ ký điện tử gồm : • Public key : được sử dụng để mã hoá những thông tin mà bạn muốn chia sẻ với bất cứ ai,chính vì vậy bạn có thể tự do phân phát nó cho bất cứ ai mà bạn cần chia sẻ thông tin ở dạng mã hoá. • Private Key : giống như password là thông tin riêng của mỗi cá nhân , không nên cho người khác biết . Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử). Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như giá trị kiểm tra - checksum ). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa lỗi. Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn. Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập. III. NGUYÊN LÝ HOẠT ĐỘNG CỦA CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử hoạt động dựa trên công nghệ public key, nó sử dụng chứng thực số (digital certificate) để ký và mã hoá các tài liệu và giao dịch.  Quá trình ký điện tử Signing: Đầu tiên, thông điệp (message) được tính toán bởi hàm băm một chiều (one-way hash function), hàm này tính toán thông điệp và trả về một bản tóm tắt của thông điệp (message digest), hàm băm một chiều đảm bảo rằng bản tóm tắt của thông điệp này là duy nhất và bất kỳ một sửa đổi dù nhỏ nhất trên thông điệp cũng sẽ gây ra thay đổi cho bản tóm tắt này. Sau đó người gửi sẽ dùng khoá riêng của mình mã hoá bản tóm tắt này. Nội dung sau khi được mã hoá chính là "chữ ký điện tử" (digital signature) của thông điệp đó được ký bởi người gửi. Chữ ký điện tử này sẽ được gửi đến cho người nhận kèm với thông điệp.  Quá trình kiểm tra chữ ký điện tử - Verification: Khi người nhận nhận được thông điệp, để kiểm tra tính hợp lệ của nó, đầu tiên người nhận sẽ dùng khoá chung của người gửi (khoá chung thường được phổ biến rộng rãi) để giải mã chữ ký điện tử. Kết quả của quá trình giải mã chữ ký điện tử này chính là bản tóm tắt của thông điệp đã gửi đi. Sau đó, người nhận dùng hàm băm một chiều để tính toán bản tóm tắt qua nội dung của thông điệp một lần nữa rồi lấy kết quả đem so sánh với bản tóm tắt vừa được giải mã ở trên, nếu kết quả giống nhau thì quá trình kiểm tra thành công. Ngược lại có thể kết luận đây là thông điệp giả mạo hoặc thông tin đã bị thay đổi trên quá trình gửi đi. IV. CÁC NGUY CƠ BẢO MẬT CHO THƯ ĐIỆN TỬ Email là dịch vụ mạng phổ biến nhất hiện nay, tuy nhiên việc gửi và nhận thư hầu hết chưa được bảo mật. Có những nguy cơ thường gặp như : • Nguy cơ 1: thư bị đọc trộm trong quá trình chuyển đi trên mạng. • Nguy cơ 2: thư dễ dãng bị dã mạo bởi người khác. • Nguy cơ 3: tính toàn vẹn nội dung thư không được đảm bảo V. CẤU HÌNH MAIL SERVER CÓ CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA 1. Môi trường thực hiện: - Windows Server 2003 - Mail Daemon 6.0 2. Các bước tiến hành: a/ Cấu hình AD (Active Directory): - Cấu hình IP tĩnh cho server: 192.168.1.1 - Vào Run chạy lệnh dcpromo - Ấn phím Next - Ấn phím Next. - Ấn phím Next. - Ấn phím Next. - Gõ vào tên miền (Ví dụ:ueh.edu.vn). Ấn phím Next - Cài DNS bằng cách chọn tuỳ chọn ở giữa, Ấn phím Next. - Ấn phím Next, đợi khoảng 5 phút để quá trình cấu hình AD hoàn tất, restart máy. [...]... CHỮ KÝ ĐIỆN TỬ VÀ KHÔNG MÃ HÓA • Log on user a, a gởi mail cho user b • Administrator sửa mail của a đã gởi cho b - Log on Administrator - Dùng Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b - sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123) • User B check Mail - Log on user b, check mail - Mail đã bị sửa mà b không biết VII GỬI EMAIL CÓ CHỮ KÝ ĐIỆN TỬ VÀ KHÔNG MÃ HÓA * User a gởi mail có chữ ký điện. .. báo Message has been tampered with Nghĩa là mail đã bị giả mạo Nhấn vào Open Message ở cuối mail để đọc mail -> b vẫn đọc được mail nhưng biết mail đã bị sửa VIII GỬI EMAIL CÓ CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA * User a gởi mail có chữ ký điện tử và có mã hoá cho user b • Log on user a, gửi mail cho b Nhấn Sign, nhấn Encrypt, sau đó nhấn Send • Administrator xem mail của a gởi cho b - Log on Administrator,... máy e/ Cấu hình Mail Daemon - Mở Mail Daemon lên, vào Setup -> Primary Domain, khai báo như hình sau: - Tạo tài khoản mail cho user a và user b Vào Account -> Account Manager… Chọn nút New - Gõ vài thông tin cho user a như hình sau, với Account password là 123 - Thực hiện tương tự tạo user b với account password là 123 f/ Cài Stand alone root CA(user có thể gởi mail kèm chữ ký điện tử) - Ấn Start... mail có chữ ký điện tử và không mã hoá cho b • Log on a gởi mail cho b: nhấn Sign, sau đó nhấn Send • Administrator sửa mail của user a gởi cho user b - Log on Administrator, Administrator vẫn đọc được nội dung mail - Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b - sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123) • User b check Mail - Log on user b - Chạy Outlook Express, nhận mail, trong đó có dòng... b c/ Cấu hình DNS: - Tạo Host mới - Đánh vào địa chỉ server là 192.168.1.1, rồi ấn nút Add Host - Cấu hình reverse DNS, chuột phải Reverse Lookup Zones chọn New Zone… - Ấn Next - Ấn Next - Ấn Next - Gõ vào dãy IP cùng mạng với server - Ấn Next - Ấn Finish để hoàn tất - Tạo Pointer trỏ đến server - Trỏ đến kt là tên server d/ Cài và cấu hình Mail Daemon - Ấn vào file cài đặt là md_en.exe, cứ ấn next... user thường thì sẽ không thể login vào máy win2k3) nên để khắc phục điều này cần phải chỉnh trong group policy: Vào Start -> Administrative Tools -> Domain Controller Security Policy Thêm vào Users rồi ấn OK Sau khi chỉnh group policy xong cần phải dùng lệnh sau để những hiệu chỉnh trong group policy có hiệu lực Vào run -> gõ cmd -> gõ gpupdate /force b/ Tạo user a, b: - Vào Start -> Administrative Tools... tin trong Tab General - Đọc các thông tin trong Tab Details Lưu ý: 2 dòng Subject và Public Key i/ User a, b cài Certificate nhận được từ Admin - Log on user a - Nhấn Start -> Run -> gõ http://localhost/certsrv -> View the status of a pending certificate request -> E -Mail Protection Certificate -> Install this certificate • Log on user b, làm tương tự như trên VI GỬI EMAIL THÔNG THƯỜNG – KHÔNG CÓ CHỮ... để demo: Vì tạo user a và b có password là 123 là password đơn giản, và điều này policy của Windows Server cấm, vì vậy cần chỉnh policy để có thể đặt được password đơn giản Vào Start -> Administrative Tools -> Domain Security Policy Thay đổi: - Minimum password length -> 0 characters - Password must meet complexity requirements -> Disabled Vì Win2k3 không cho user thường log in vào máy Win2k3 (user a,... xin cấp CA Danh sách user chờ duyệt User b Admin Xem xét và duyệt cấp CA cho user User a cấp CA cho User User b User tiến hành cài đặt CA User tiến hành cài đặt CA Stand-Alone root CA g/ User a, b xin CA - Đăng nhập vào user a - Mở IE -> dòng Address gõ http://localhost/certsrv -> Request a certificate -> E -Mail Protection Certificate -> Name: a, Email: a@ueh.edu.vn -> Nhấn Submit - Chọn Yes • User b... Administrator xem mail của a gởi cho b - Log on Administrator, Tuy nhiên lần này Administrator không đọc được nội dung mail của a gởi cho b - Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b - sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123) - Nếu Administrator chỉ xem mail thôi thì user b vẫn mở được mail bình thường  . khẩu và dãy ký tự này cũng phải đăng ký theo các quy định. II. ĐẶC ĐIỂM CỦA CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử (E -mail, File text, bảng tính ) Chữ. VỀ CHỮ KÝ ĐIỆN TỬ Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký điện tử. ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA TRONG MAIL SERVER     !"#