Chủ đề 7: Chứng nhận khóa cơng & Tổ chức chứng nhận khóa cơng (Digital Certificate &Certificate Authority) Nội dung Mở đầu Chữ ký điện tử Chứng nhận số Certificate Authority (CA) Mơ hình PKI Ứng dụng… Demo1 Văn phịng B cần thực giao dịch hàng rút tiền với Ngân hàng A Khách phải đến tận nơi để giao dịch $ 5,000,000 OK ! ? Người gửi: Gửi email Văn phòng B Người nhận: Ngân hàng A Người gửi: Ngày gửi: Người nhận: Ngân hàng A 20/ 10 / 2007 Văn phòng B ? Nội dung: Ngày gửi: …… Nội dung: Rút $5,000,000 …… Mã tài khoản: NHB-212551245 Rút $5,000,000 … Mã tài khoản: NHB-212551245 Ngân hàng A … Gửi Văn phòng B 20 / 10 / 2007 Nhắc lại Chữ ký điện tử Tạo chữ ký Dữ liệu Hash Dữ liệu MessageHash Sign Khố bí mật Signature Nhắc lại Chữ ký điện tử Kiểm tra chữ ký Dữ liệu Hash Signature Verify Khố cơng cộng ? Demo2 Giải mã & kiểm tra chữ ký Ok! Chấp nhận yêu cầu & gửi tiền $ 5,000,000 email Người gửi: Văn phịng B Mã hóa & Ký Người gửi: Văn phòng B Người nhận: Ngân hàng A Người nhận: Ngân hàng A Ngày gửi: Ngày gửi: 20 / 10 / 2007 20 / 10 / 2007 Nội dung: Nội dung: …… …… Rút $5,000,000 Rút $5,000,000 Mã tài khoản: NHB-212551245 Mã tài khoản: NHB-212551245 … … Demo3 Dữ liệu bị công đường truyền MIM (Man in Middle) ? …… Rút Chuyển $5,000,000 khoản $5,000,000 Mã qua tài tài khoản: khoản NHB-8888888 NHB-212551245 Mã tài khoản: NHB-212551245 … … Digital Certificate Chứng nhận điện tử chứng thực sở hữu khóa cơng khai Nội dung chứng nhận Thông tin người sở hữu khóa cơng khai Khóa cơng cộng Chữ ký tổ chức thứ ba đáng tin cậy Chứng nhận điện tử giải vấn đề MIM Tạo chứng nhận Fran’s X509 certificate Subject Name Public Key Subject Name (Other fields) Public Key (Other fields) Signature Hash algorithm Encryption Hash digest Signature CA’s Private key Kiểm tra chứng nhận Fran’s X509 certificate CA’s X509 certificate Subject Name Subject Name Public Key Public Key (Other fields) (Other fields) Signature Signature Signature CA’s public key Decryption Fran’s Cert Info Subject Name Public Key (Other fields) Hash digest Hash algorithm =? Hash digest Chuẩn X.509 (ver 3.0) Issuer Unique ID&Subject Unique ID: sử dụng từ X.509 phiên 2, dùng để xác định hai tổ chức CA hai chủ thể chúng có DN RFC 2459 đề nghị không nên sử dụng hai trường Extensions: Chứa thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng nhận Được đưa X.509 phiên Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Chuẩn X.509 (ver 3.0) Signature: chữ ký điện tử tổ chức CA áp dụng Tổ chức CA sử dụng khóa bí mật có kiểu quy định trường thuật toán chữ ký Chữ ký bao gồm tất phần khác giấy chứng nhận Ỵ CA chứng nhận cho tất thông tin khác giấy chứng nhận không cho tên chủ thể khóa cơng cộng Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Certificate Authority System Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số CA Tìm kiếm chứng nhận Cấp phát chứng nhận Kiểm tra chứng nhận Tạo chứng nhận Hủy chứng nhận Certificate Authority System CA(S) Mơ hình phân cấp Mơ hình tập trung CA trung ương CA chi nhá nh CA Web of Trust CA chi nhánh CA CA Người sử dụng CA Certificate Authority System CA(S) Initialize CA Khởi tạo CA root Khởi tạo CA Khởi tạo CA Create Cert Thông tin người dùng Client Cặp khoá Yêu cầu chứng nhận Server Chứng nhận Certificate Authority System – CA(S) Revoke Cert Chứng nhận Khóa bí mật Version Signature Algorithm Issuer Name Client This Update Next Update Revoked Certificates Chứng nhận Chữ ký Serial Number Revocation Date Server Hủy chứng nhận & Cập nhật CRL CRL Entry Extensions CRL Extensions Signature Phiên theo chuẩn CRL Certificate Authority System – CA(S) Update Cert Chứng nhận Chứng nhận Thông tin cập nhật Client Chữ ký Server Chứng nhận tạo Thông tin Khố bí mật Search Cert Client Server Thơng tin tìm kiếm Danh sách chứng nhận tìm thấy Import chứng nhận Tạo chứng nhận cần import Certificate Authority System – CA(S) Verify Cert Root CA1 Cert5 Client yêu cầu kiểm tra Cert5 CA2 Cert1 Tìm thấy Cert5 Kiểm tra thành cơng Kiểm tra chứng nhận theo mơ hình CA phân cấp Cert2 Public-key Infrastructure Mơ hình quản lý khóa KeyDB Upload keys Save keys Get keys Delete keys Retrieve Keys Update keys Client Delete keys Update keys (Add cert, pic, userID, revoker; update trust…) Server Key management model Mơ hình quản lý chứng nhận Certificate sDB Certificate Add Certificate Get certificates Certificate Request Revoke certificates Search Certificates Retrieve Certificates Delete certificates Add revoked certific Update certificates Revoke certificates Client Delete certificates Update certificates CRL request CRL broadcast Verify certificate CRL DB CAServer Get CRL Verify certificate Certificate management model Mơ hình chứng thực CA phân cấp Demo4 Giải mã & liệu Xác Tài nhận chữ ký Tổ chức chứng nhận (CA) Chứng nhận hợp lệ Thông tin & giáPublic trị Ok! Đáng Tin tưởng chấp tin & cậy ? nhận đề nghị Tạo chứng nhận Xác thực chứng nhận Chứng nhận Yêu cầu cấp Ký X.509 chứng nhận theo & Chuẩn X.509 MãPrivate hóa Tài Public liệu Thông tin key key key Demo5 Giaocấp Xin dịch chứng với nhận Ngân hàng Yêu cầu chứng thực Chứng Chấp nhậnnhận giao dịch xác thực thực ?OK! Chứng nhận xác thực Chứng nhận khơng tồn Demo6 Khóa bí mật bị CA BẺ ! ? Xác thực Hủy chứng chứng nhận nhận Private key ChYứng nh cầuậH n đỦã bị H Y chứỦnY g nnhgậàny 20/10/200 3: 10:22 Hủy Chứng nhận bị HỦY vào 20/10/2007 3:10:22 Cần Cần chứng chứng thực thực giao dịch giấy giấy chứng chứng nhận nhận ... với nhận Ngân hàng Yêu cầu chứng thực Chứng Chấp nhậnnhận giao dịch xác thực thực ?OK! Chứng nhận xác thực Chứng nhận khơng tồn Demo6 Khóa bí mật bị CA BẺ ! ? Xác thực Hủy chứng chứng nhận nhận... Authority System Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số CA Tìm kiếm chứng nhận Cấp phát chứng nhận Kiểm tra chứng nhận Tạo chứng nhận Hủy chứng nhận Certificate... Certificate Chứng nhận điện tử chứng thực sở hữu khóa cơng khai Nội dung chứng nhận Thơng tin người sở hữu khóa cơng khai Khóa cơng cộng Chữ ký tổ chức thứ ba đáng tin cậy Chứng nhận điện tử giải vấn đề