Đang tải... (xem toàn văn)
Triển khai các dịch vụ dựa trên CA (Certification authority)
tài khoa h c c p tr I ng Tri n khai d ch v d a CA Gi i thi u Ngày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t Các thông tin truy n m ng u r t quan tr ng, nh mã s tài kho n, thông tin t Tuy nhiên, v i th n tinh vi, nguy c b n c p thông tin qua m ng c ng ngày gia t ng Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP ây giao th c cho phép thông tin c g i t máy tính t i máy tính khác thơng qua m t lo t máy trung gian ho c m ng riêng bi t Chính u ã o c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n hành ng phi pháp Các thông tin truy n m ng u có th b nghe tr m (Eavesdropping), gi o (Tampering), o danh (Impersonation) v.v Các bi n pháp b o m t hi n nay, ch ng h n nh dùng m t kh u, u không m b o có th b nghe tr m ho c b dị nhanh chóng Do v y, b o m t, thông tin truy n Internet ngày u có xu h ng c mã hố Tr c truy n qua m ng Internet, ng i g i mã hố thơng tin, q trình truy n, dù có ''ch n'' c thơng tin này, k tr m c ng không th c c b mã hố Khi t i ích, ng i nh n s s d ng m t công c c bi t gi i mã Ph ng pháp mã hoá b o m t ph bi n nh t ang c th gi i áp d ng ch ng ch s (Digital Certificate) V i ch ng ch s , ng i s d ng có th mã hố thơng tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thơng tin có b thay i khơng), xác th c danh tính c a ng i g i Ngồi ch ng ch s cịn ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g c tài li u ã g i M t cách mã hóa d li u m b o an tồn ó mã hóa khóa cơng khai d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr c i nhà cung c p ch ng ch s ( certification authority – CA) II C s h t ng khóa cơng khai II.1 Khái ni m t PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công ng không b o m t, ch ng h n nh Internet, có th trao i d li u ti n m t cách an tồn thơng qua vi c s d ng m t c p mã khố cơng khai cá nhân c c p phát s d ng qua m t nhà cung c p ch ng th c c tín nhi m N n t ng khố cơng khai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, ch v danh m c có th l u tr c n có th thu h i ch ng ch s M c dù thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p ang mu n a nh ng chu n PKI riêng khác bi t M t tiêu chu n chung v PKI Internet c ng ang trình xây d ng t c s h t ng khố cơng khai bao g m: Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA • t Nhà cung c p ch ng th c s (CA) chuyên cung c p xác minh ch ng ch s M t ch ng ch bao g m khố cơng khai ho c thơng tin v khố cơng khai • t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nh ng i th m tra cho CA tr c m t ch ng ch s c c p phát t i ng i yêu c u • t ho c nhi u danh m c n i ch ng ch s (v i khoá cơng khai c a nó) c l u gi , ph c v cho nhu c u tra c u, l y khố cơng khai c a i tác c n th c hi n giao d ch ch ng th c s • t h th ng qu n lý ch ng ch II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) Trong h th ng qu n lý ch ng th c s ang ho t ng th gi i, Nhà cung p ch ng th c s (Certificate authority - CA) m t t ch c chuyên a qu n lý n i dung xác th c b o m t m t m ng máy tính, khố cơng khai mã hố thơng tin Là m t ph n C s h t ng khố cơng khai (public key infrastructure - PKI), m t CA s ki m soát v i m t nhà qu n lý ng ký (Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng i yêu c u xác th c a N u RA xác nh n thông tin c a ng i c n xác th c, CA sau ós a m t ch ng ch Tu thu c vào vi c tri n khai c s h t ng khố cơng khai, ch ng ch s s bao m khố cơng khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch s u thơng tin khác v ch khố cơng khai II.3 Ch ng ch s II.3.1 Khái ni m Ch ng ch s m t t p tin n t dùng xác minh danh tính m t cá nhân, m t máy ch , m t công ty Internet Nó gi ng nh b ng lái xe, h chi u, ch ng minh th hay nh ng gi y t xác minh cá nhân có ch ng minh th , b n ph i c c quan Công An s t i c p Ch ng ch s ng v y, ph i m t t ch c ng ch ng nh n nh ng thông tin c a b n xác, c g i Nhà cung c p ch ng th c s (Certificate Authority, vi t t t CA) CA ph i m b o v tin c y, ch u trách nhi m v xác c a ch ng ch s mà c p Trong ch ng ch s có ba thành ph n chính: • Thơng tin cá nhân c a ng i c c p • Khố cơng khai (Public key) c a ng i c c p • Ch ký s c a CA c p ch ng ch • Th i gian h p l Thông tin cá nhân Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA ây thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, a ch , n tho i, email, tên t ch c v.v Ph n gi ng nh thông tin ch ng minh th c a m i ng i Khố cơng khai Trong khái ni m m t mã, khố cơng khai m t giá tr c nhà cung c p ch ng ch a nh m t khoá mã hoá, k t h p v i m t khoá cá nhân nh t c o t khố cơng khai t o thành c p mã khoá b t i x ng Nguyên lý ho t ng c a khố cơng khai ch ng ch s hai bên giao d ch ph i bi t khố cơng khai c a Bên A mu n g i cho bên B ph i dùng khố cơng khai c a bên B mã hố thơng tin Bên B s dùng khố cá nhân c a thơng tin ó Tính b t i x ng mã hố th hi n ch khố cá nhân có th gi i mã d li u c mã hoá b ng khố cơng khai (trong m t c p khoá nh t mà m t cá nhân s h u), nh ng khố cơng khai khơng có kh n ng gi i mã l i thông tin, k c nh ng thơng tin khố cơng khai ó ã mã hố ây c tính c n thi t có th nhi u cá nhân B,C, D th c hi n giao d ch có khố cơng khai c a A, nh ng C,D không th gi i mã c thông tin mà B g i cho A ã ch n b t c gói thơng tin g i i m ng t cách hi u nôm na, n u ch ng ch s m t ch ng minh th nhân dân, khố cơng khai óng vai trị nh danh tính c a b n gi y ch ng minh th (g m tên a ch , nh ), cịn khố cá nhân g ng m t d u vân tay c a b n N u coi m t u ph m thơng tin truy n i, c "mã hố" b ng a ch tên ng i nh n c a n, dù ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, h ng không c nhân viên b u n giao b u ki n nh m t d u vân tay không gi ng Ch ký s c a CA c p ch ng ch Còn g i ch ng ch g c ây s xác nh n c a CA, b o m tính xác h p l c a ch ng ch Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki m tra ch ký s c a CA có h p l hay không Trên ch ng minh th , ây u xác nh n c a Cơng An T nh ho c Thành ph mà b n tr c thu c V nguyên t c, ki m tra ch ng minh th , úng u tiên ph i xem d u này, bi t ch ng minh th có b làm gi hay khơng II.3.2 L i ích c a ch ng ch s a) Mã hố L i ích u tiên c a ch ng ch s tính b o m t thông tin Khi ng i g i ã mã hố thơng tin b ng khố cơng khai c a b n, ch c ch n ch có b n m i gi i mã c thông tin c Trong q trình truy n thơng tin qua Internet, dù có c c gói tin ã mã hố này, k x u c ng không th bi t c gói tin có thơng tin ây m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh ng b o m t thông tin Nh ng trao i thông tin c n b o m t cao, ch ng h n giao ch liên ngân hàng, ngân hàng n t , toán b ng th tín d ng, u c n ph i có ch ng ch s m b o an toàn Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA b) Ch ng gi m o Khi b n g i i m t thơng tin, có th m t d li u ho c m t email, có s d ng ch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i hay khơng B t k m t s s a i hay thay th n i dung c a thông p g c u s b phát hi n a ch mail, tên domain u có th b k x u làm gi ánh l a ng i nh n lây lan virus, n c p thông tin quan tr ng Tuy nhiên, ch ng ch s khơng th làm gi , nên vi c trao i thơng tin có kèm ch ng ch s ln m b o an tồn c) Xác th c Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th i tác kinh doanh, ch c ho c c quan quy n - s xác nh rõ c danh tính c a b n Có ngh a dù khơng nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n ng i nh n s d ng, ng i nh n s bi t ch c ch n ó b n ch khơng ph i m t ng i khác Xác th c m t tính n ng r t quan tr ng vi c th c hi n giao d ch n qua m ng, c ng nh th t c hành v i c quan pháp quy n Các ho t ng c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân ây n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có th giao ti p, th c hi n cơng vi c hành v i c quan nhà n c hồn tồn qua ng Có th nói, ch ng ch s m t ph n không th thi u, ph n c t lõi c a Chính ph nt d) Ch ng ch i cãi ngu n g c Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hồn tồn v nh ng thơng tin mà ch ng ch s i kèm Trong tr ng h p ng i g i ch i cãi, ph nh n m t thơng tin ó khơng ph i g i (ch ng h n m t n t hàng qua m ng), ch ng ch s mà ng i nh n có c s b ng ch ng kh ng nh ng i g i tác gi a thơng tin ó Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên s ch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c i e) Ch ký nt Email óng m t vai trò quan tr ng trao i thơng tin hàng ngày c a u m nhanh, r d s d ng Nh ng thơng p có th g i i nhanh chóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p i tác Tuy nhiên, email r t d b c b i hacker Nh ng thơng p có th b c hay b gi m o tr c n ng i nh n ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c nguy c mà v n không làm gi m nh ng l i th c a email V i ch ng ch s cá nhân, b n có th t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a Ch ký n t c ng có tính n ng xác th c thơng tin, toàn v n d li u ch ng ch i cãi ngu n g c Ngoài ra, ch ng ch s cá nhân cho phép ng i dùng có th ch ng th c i m t web server thông qua giao th c b o m t SSL Ph ng pháp ch ng th c d a Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA ch ng ch s c ánh giá t t, an toàn b o m t h n ph ng pháp ch ng th c truy n th ng d a m t kh u f) o m t Website Khi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ng c ích quan tr ng khác, nh ng thông tin trao i gi a b n khách hàng c a b n có th b l tránh nguy c này, b n có th dùng ch ng ch s SSL Server b o t cho Website c a Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a theo giao th c b o m t SSL (Secure Sockets Layer) Lo i ch ng ch s s cung c p cho Website c a b n m t nh danh nh t nh m m b o v i khách hàng c a b n tính xác th c tính h p pháp c a Website Ch ng ch s SSL Server c ng cho phép trao i thơng tin an tồn b o m t gi a Website v i khách hàng, nhân viên i tác c a b n thông qua công ngh SSL mà n i b t tính n ng: + Th c hi n mua bán b ng th tín d ng + B o v nh ng thông tin cá nhân nh y c m c a khách hàng + m b o hacker không th dị tìm c m t kh u g) m b o ph n m m u b n m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem ch ng hàng gi '' cho s n ph m c a ây m t công c không th thi u vi c áp d ng hình th c s h u b n quy n Ch ng ch s Nhà phát tri n ph n m m s cho phép b n ký vào applet, script, Java software, ActiveX control, file d ng EXE, CAB, DLL Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp ng nh ngu n g c xu t x c a s n ph m H n n a ng i dùng s n ph m có th xác th c c b n nhà cung c p, phát hi n c s thay i c a ch ng trình (do vơ tình h ng hay virus phá, b crack bán l u ) i nh ng l i ích v b o m t xác th c, ch ng ch s hi n ã c s d ng r ng rãi th gi i nh m t cơng c xác minh danh tính c a bên giao d ch th ng m i n t ây m t n n t ng công ngh mang tính tiêu chu n tồn u, m c dù m i n c có m t s sách qu n lý ch ng th c s khác M i qu c gia u c n có nh ng CA b n a ch ng v ho t ng ch ng th c s n c Nh ng ra, n u mu n th c hi n TM T v t biên gi i, qu c gia c ng ph i tuân theo chu n công ngh chung, th c hi n ch ng th c chéo, trao i công nh n CA c a III Tri n khai d ch v CA môi tr Trên mơi tr tích h p s n III.1 Cài ng h ng Window Server 2003 u hành Windows Server 2003, CA m t ph n m m t d ch v CA ng nh p vào Windows Server 2003 v i quy n Administrator Click vào Start Control Panel Add Or Remove Programs H p tho i Add Or Remove Programs xu t hi n Trang c tài khoa h c c p tr ng Tri n khai d ch v d a CA Click Add/Remove Windows Components H p tho i Add/Remove Windows Components xu t hi n ch n Certificate Services Click ch n ch n Details H p tho i Certificate Services xu t hi n p tho i c nh báo v thành viên domain ràng bu c i tên máy tính xu t hi n click Yes Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA Trong trang lo i CA, click ch n Enterprise Root CA click Next Trên trang thông tin nh n CA, h p Common name, ánh tên c a server click next Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA Trên trang Certificate Database Settings, ng d n m c database box Certificate database log click Next nh h p Certificate i nh c d ng Internet Information Services xu t hi n click Yes Enable Active Server Pages (ASPs) click Yes 10 Khi trình cài t hoàn t t click Finish III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p Ch ký nt : d ng xác nh n ng i g i thông p, file ho c d li u khác Ch ký n t không h tr b o v d li u truy n Ch ng th c internet: Có th s d ng PKI ch ng th c client server c thi t l p n i k t internet, v y server có th nh n d ng máy client n i k t n client có th xác nh n ã n i k t úng server o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa truy n ch ký s , nh m ng n ch n d li u b l truy n m ng Tri n khai IPSec Windows Server 2003 khơng ph i dùng PKI có c khóa mã hóa c a nó, nh ng có th dùng PKI v i m c ích Secure e-mail: Giao th c e-mail internet truy n thông p mail ch b n rõ, v y n i dung mail d dàng c c truy n V i PKI, ng i g i có th b o t e-mail truy n b ng cách mã hóa n i dung mail dùng khóa cơng khai c a ng i nh n Ngồi ra, ng i g i có th ký lên thơng p b ng khóa riêng c a Smart card logon: Smart card m t lo i th tín d ng Windows Server 2003 có th dùng smart card nh m t thi t b ch ng th c Smart card ch a ch ng ch c a Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA user khóa riêng, cho phép ng i dùng logon t i b t k máy doanh nghi p v i an toàn cao Software code signing: K thu t Authenticode c a Microsoft dùng ch ng ch ch ng th c nh ng ph n m m ng i dùng download cài t xác c a tác gi không c ch nh s a Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch n ng ch ng i dùng ch ng th c úng m i c n i k t m ng khơng có có th nghe giao ti p wireless Có th s d ng Windows Server 2003 PKI o v m ng wireless b ng cách nh n d ng ch ng th c ng i dùng tr c h truy c p m ng III.3 Các lo i CA Windows Server 2003 Trên windows Server 2003 có hai lo i CA: Enterprise: Enterprise CAs c tích h p d ch v Active Directory Chúng d ng m u ch ng ch , xu t b n (publish) ch ng ch CRLs n Active Directory, d ng thông tin c s d li u Active Directory ch p nh n ho c t ch i yêu u c p phát ch ng ch t ng B i v y client c a t ch c CA ph i truy xu t n Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c p phát ch ng ch cho client bên t ch c Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory; chúng l u tr thông tin c c b c a H n n a, m c nh, stand-alone CAs không t ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm Yêu c u ch hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay Dù ng i dùng ch n t o m t enterprise CA m t stand-alone CA, u ph i ch rõ CA g c (root) hay c p d i (subordinate) III.4 C p phát qu n lí ch ng ch s III.4.1C p phát t ng (Auto-Enrollment) Auto-Enrollment cho phép client yêu c u t ng nh n ch ng ch s t CA mà không c n s can thi p c a ng i qu n tr dùng Auto-Enrollment ph i có domain ch y Windows Server 2003, m t enterprise CA ch y Windows Server 2003 client có th ch y Windows XP Professional u n ti n trình AutoEnrollment b ng s ph i h p c a group policy m u ch ng ch s c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c ng i dùng máy tính n m domain cài t, b n m sách cài t Auto-Enrollment, n m th m c Windows Settings\ Sercurity Settings\Public Key Policies c node Computer Configuration User Configuration c a Group Policy Object Editor H p tho i Autoenrollment Settings Properties xu t hi n, n có th c m hoàn toàn auto-enrollment cho i t ng s d ng GPO B n ng có th cho phép i t ng thay i ho c c p nh t ch ng ch s c a chúng t cách t ng Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA t k thu t khác b n có th dùng u n auto-enrollment xây d ng m u ch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng qu n lý m u ch ng ch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình i S d ng cơng c này, b n có th ch rõ th i gian hi u l c th i gian gia h n a lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho chúng Dùng tab Security, b n c ng có th ch rõ nh ng user group c phép yêu u ch ng ch s dùng m u Trang 10 ... click Yes Trang tài khoa h c c p tr ng Tri n khai d ch v d a CA Trong trang lo i CA, click ch n Enterprise Root CA click Next Trên trang thông tin nh n CA, h p Common name, ánh tên c a server click... tài khoa h c c p tr ng Tri n khai d ch v d a CA Trên trang Certificate Database Settings, ng d n m c database box Certificate database log click Next nh h p Certificate i nh c d ng Internet Information... ng wireless b ng cách nh n d ng ch ng th c ng i dùng tr c h truy c p m ng III.3 Các lo i CA Windows Server 2003 Trên windows Server 2003 có hai lo i CA: Enterprise: Enterprise CAs c tích h p d