Đang tải... (xem toàn văn)
Trong một vài năm lại đây, hạ tầng truyền thông công nghệ thông tin càng ngày càng được mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin kinh doanh nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi trong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với việc chúng ta phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Cấu trúc cơ sở hạ tầng mã hóa khoá công khai cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể được sử dụng để giải quyết vấn đề này. PKI đang trở thành một phần trung tâm của các kiến trúc an toàn dành cho các tổ chức kinh doanh. PKI được xem là một điểm trọng tâm trong nhiều khía cạnh quản lý an toàn. Hầu hết các giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo và hệ thống xác thực người dùng đăng nhập đơn đều sử dụng chứng chỉ khóa công khai. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử cũng như các mã khoá công khai và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng. PKI ngày càng thể hiện rõ vai trò của mình trong lĩnh vực an toàn thông tin. Hiện nay, có rất nhiều cách thức xây dựng PKI . Một trong những cách thức xây dựng PKI đó là dựa trên mã nguồn mở EJBCA. Đề tài “Nghiên cứu, xây dựng hệ thống PKI dựa trên mã nguồn mở EJBCA” được thực hiện với mục đích tìm hiểu, nghiên cứu và xây dựng PKI dựa trên mã nguồn mở EJBCA. Nội dung đề tài bao gồm các khái niệm tổng quan về mật mã, các khái niệm liên quan tới PKI , các mô hình và các kiểu kiến trúc của PKI. Về phần EJBCA, đề tài nêu lên được đặc điểm, chức năng cũng như so sánh giữa EJBCA với phần mềm mã nguồn mở OpenCA. Với giới hạn về các vấn đề tìm hiểu và nghiên cứu, nội dung tìm hiểu đề tài của em bao gồm phần. Chương I: Cơ sở mật mã khoá công khai và khoá bí mật. Chương I trình bày về mật mã khoá bí mật và mật mã khoá công khai cùng các thuật toán được sử dụng trong mật mã. Chương I cũng nêu ra khái niệm về chữ ký số, hàm băm và bản tóm lược thông báo. Chương II: Tổng quan về PKI. Chương này trình bày về các khái niệm của PKI và các khái niệm có liên quan tới PKI. Chương này nêu lên mục tiêu, chức năng cơ bản của PKI, những khía cạnh an toàn mà PKI cung cấp. Mục đích của chương này là thể hiện cái nhìn tổng quan nhất về PKI. Chương III: Các thành phần và cách thức làm việc của PKI, các mô hình và các kiểu kiến trúc của PKI. Chương II đã nêu lên những cái nhìn tổng quan nhất về PKI, còn chương III khai thác sâu hơn về các khía cạnh kỹ thuật được sử dụng trong PKI, cách thức làm việc của PKI và các kiểu kiến trúc, các mô hình của PKI. Chương IV: Xây dựng mô hình PKI dựa trên mã nguồn mở EJBCA Chương này trình bày về mã nguồn mở EJBCA: Cấu trúc, những đặc điểm so sánh của EJBCA với OpenCA. Đồng thời là triển khai một hệ thống PKI đơn giản dựa trên EJBCA.
MỤC LỤC DANH SÁCH HÌNH DANH MỤC CÁC TỪ VIẾT TẮT AES API APXS CA CDP: CRL CRR CPS Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến Application Programming Interface Giao diện lập trình ứng dụng Apache Extention (tool) Công cụ mở rộng Apache Certificate Authority Thẩm quyền chứng thực CRL Distribution Point Điểm phân phối CRL Certificate Revocation List Danh sách huỷ bỏ chứng Certificate Revocation Request Yêu cầu huỷ bỏ chứng Certification Pratice Statement Hướng dẫn thực hành chứng CSR DES DN DSO Email FTP HTTP HTTPS: IDEA: IKE: IMAP ITU: LDAP: MAC MD: NCSA OCSP OSI PEM: PGP: PKCS: PKI: POP: Certificate Signing Request Yêu cầu ký chứng Data Encryption Standard Tiêu chuẩn Mã hóa Dữ liệu Distingished Name Tên phân biệt Dynamic Shared Object Đối tượng chia sẻ động Electronice mail Thư điện tử File Transfer Protocol Giao thức truyền tập tin Hypertext Transfer Protocol Giao thức truyền siêu văn Secure Hypertext Transfer Protocol Giao thức truyền siêu văn an toàn International Data Encryption AlgorithmThuật toán mã hoá liệu quốc tế Internet Key Exchange Trao đổi khoá Internet Internet Message Access Protocol Giao thức truy cập thông báo Internet Internet Telecommunication Union Liên minh viễn thông quốc tế Lightweight Directory Access Protocol Giao thức truy cập nhanh thư mục Message Authentication Code Mã xác thực thông báo Message Degist Tóm lược thông báo Online Certificate Status Protocol Giao thức trạng thái chứng Open System Interconnection Mô hình kết nối hệ thống mở Privacy Enhanced Mail Thư riêng tư tăng cường Pretty Good Privacy Public Key CryptoGraphy Standards Chuẩn mật mã khoá công khai Pulic Key Infracstructure Cơ sở hạ tầng khóa công khai Post Office Protocol RSA: SCEP: SHA: S/MIME SMTP SPKC SSH TCP/IP TLS Rivest Shamir Adleman Simple Certificate Enrollment Protocol Giao thức đăng ký chứng đơn giản Secure Hash Algorithm Thuật toán băm Secure Multipurpose Internet Mail Extensions Simple Mail Transfer Protocol Giao thức truyền thư đơn giản Simple Public Key Certificate Chứng khoá công khai đơn giản Secure Shell Transmission Control Protocol /Internet Protocol Giao thức điều khiển truyền thông/giao thức Internet Transport layer Security Giao thức đảm bảo an toàn lớp vận chuyển LỜI NÓI ĐẦU Trong vài năm lại đây, hạ tầng truyền thông công nghệ thông tin ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông 3 tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vô tình tiết lộ thông tin Cấu trúc sở hạ tầng mã hóa khoá công khai tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đề PKI trở thành phần trung tâm kiến trúc an toàn dành cho tổ chức kinh doanh PKI xem điểm trọng tâm nhiều khía cạnh quản lý an toàn Hầu hết giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa công khai PKI chất hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng thực điện tử mã khoá công khai cá nhân Sáng kiến PKI đời năm 1995, mà tổ chức công nghiệp phủ xây dựng tiêu chuẩn chung dựa phương pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ lý thuyết cho phép người sử dụng tổ chức (doanh nghiệp phi lợi nhuận) tạo lập, lưu trữ trao đổi thông tin cách an toàn phạm vi cá nhân công cộng PKI ngày thể rõ vai trò lĩnh vực an toàn thông tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở EJBCA Đề tài “Nghiên cứu, xây dựng hệ thống PKI dựa mã nguồn mở EJBCA” thực với mục đích tìm hiểu, nghiên cứu xây dựng PKI dựa mã nguồn mở EJBCA Nội dung đề tài bao gồm khái niệm tổng quan mật mã, khái niệm liên quan tới PKI , mô hình kiểu kiến trúc PKI Về phần EJBCA, đề tài nêu lên đặc điểm, chức so sánh EJBCA với phần mềm mã nguồn mở OpenCA Với giới hạn vấn đề tìm hiểu nghiên cứu, nội dung tìm hiểu đề tài em bao gồm phần Chương I: Cơ sở mật mã khoá công khai khoá bí mật 4 Chương I trình bày mật mã khoá bí mật mật mã khoá công khai thuật toán sử dụng mật mã Chương I nêu khái niệm chữ ký số, hàm băm tóm lược thông báo Chương II: Tổng quan PKI Chương trình bày khái niệm PKI khái niệm có liên quan tới PKI Chương nêu lên mục tiêu, chức PKI, khía cạnh an toàn mà PKI cung cấp Mục đích chương thể nhìn tổng quan PKI Chương III: Các thành phần cách thức làm việc PKI, mô hình kiểu kiến trúc PKI Chương II nêu lên nhìn tổng quan PKI, chương III khai thác sâu khía cạnh kỹ thuật sử dụng PKI, cách thức làm việc PKI kiểu kiến trúc, mô hình PKI Chương IV: Xây dựng mô hình PKI dựa mã nguồn mở EJBCA Chương trình bày mã nguồn mở EJBCA: Cấu trúc, đặc điểm so sánh EJBCA với OpenCA Đồng thời triển khai hệ thống PKI đơn giản dựa EJBCA CHƯƠNG I: CƠ SỞ MẬT MÃ HỌC Mật mã sử dụng từ lâu đời Các hình thức mật mã sơ khai tìm thấy từ khoảng bốn nghìn năm trước văn minh Ai Cập cổ đại Mật mã tồn hàng nghìn năm lịch sử sử dụng rộng rãi để giữ bí mật truyền tin đặc biệt lĩnh vực quân sự, trị, an ninh quốc phòng Mật mã chia thành hai loại mật mã khóa bí mật (hay gọi mật mã đối xứng) mật mã khóa công khai (hay gọi mật mã phi đối xứng) Để truyền tin sử dụng mật mã hai bên truyền tin phải có khóa 5 Một khóa mã hóa mẫu thông tin đặc biệt kết hợp với thuật toán để thi hành mã hóa giải mã Mỗi khóa khác tạo văn mã hóa khác nhau, ta không chọn khóa mở liệu mã hóa , cho dù biết mã hóa văn dùng thuật toán Sử dụng khóa phức tạp, mã hóa mạnh Việc chuyển đổi từ tin ban đầu thành tin mã hoá gọi mã hoá, chuyển đổi ngược lại từ tin mã hoá thành tin ban đầu gọi giải mã Bản tin ban đầu gọi rõ, tin ban đầu mã hoá trở thành mã Toàn chế bí mật gọi mật mã 1.1.Mật mã khoá bí mật 1.1.1.Giới thiệu mật mã khoá bí mật khái niệm có liên quan Trong mật mã đối xứng bên tham gia liên lạc sử dụng khóa để mã hóa giải mã Trước truyền tin, hai thực thể A B thỏa thuận với khóa dùng chung (K) Thực thể A dùng khóa để mã hóa tin (eK) sau gửi cho thực thể B Thực thể B dùng khóa K, thực phép giải mã (dK) để giải mã mã nhận Khóa bí mật phải bí mật 1.1.2.Một vài thuật toán sử dụng mật mã khoá đối xứng a DES Hệ mật DES xây dựng Mỹ năm 70 theo yêu cầu Văn phòng Quốc Gia chuẩn thẩm định an ninh quốc gia DES kết hợp hai phương pháp thay chuyển dịch DES mật mã khối Độ dài khối 64 bit Khoá dùng DES có độ dài tổng thể 64 bit, nhiên có 56 bit thực dùng, bit lại dùng cho việc kiểm tra Đây thuật toán mật mã sử dụng rộng rãi b.IDEA IDEA thuật toán mã hoá khối 6 IDEA tao thác khối 64 bit, mã khối 64bit plaintext thành khối 64bit ciphertext Độ dài khoá khoá dùng thuật toán IDEA 128 bit c Triple DES 3DES (Triple DES), thuật toán mã hóa khối khối thông tin 64 bit mã hóa lần thuật toán mã hóa DES với khoá khác Do đó, chiều dài khóa mã lớn độ an toàn cao so với DES 3DES dùng khóa khác để mã hóa liệu Bộ xử lý thực bước sau : Khóa dùng để mã hóa liệu Sau đó, khóa thứ hai dùng để giải mã liệu vừa mã hóa Cuối cùng, khóa thứ ba mã hóa lần thứ hai Toàn trình xử lý 3DES tạo thành thuật giải có độ an toàn cao Nhưng thuật giải phức tạp nên thời gian thực lâu hơn, gấp lần so với phương pháp DES d.CAST-128 Là thuật toán mật mã đặt tên theo tên người phát triển Carlisle Adams Stafford Tavares Chiều dài khoá 128 bit e.AES AES thuật toán mã hoá khối AES làm việc với khối liệu 128 bít khóa có độ dài 128, 192 256 bít 7 Hình 1: Mật mã khoá bí mật 1.2.Mật mã khoá công khai 1.2.1.Khái niệm Mật mã khóa công khai dạng mật mã cho phép người sử dụng trao đổi thông tin mật mà không cần phải trao đổi khóa bí mật trước Trong mật mã khóa công khai sử dụng cặp khóa khóa công khai/khóa riêng Khóa công khai dùng để mã hóa khóa riêng dùng để giải mã Điều quan trọng hệ thống tìm khóa bí mật biết khóa công khai 8 Hình 2: Mật mã khoá công khai 1.2.2 Các thuật toán sử dụng mật mã khoá công khai a RSA Thuật toán RSA Ron Rivest, Adi Shamir Len Adleman mô tả lần vào năm 1977 Học viện Công nghệ Massachusetts (MIT) RSA thuật toán mã hóa khóa công khai Thuật toán phù hợp với việc tạo chữ ký điện tử đồng thời với việc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa công khai RSA sử dụng phổ biến thương mại điện tử cho đảm bảo an toàn với điều kiện độ dài khóa đủ lớn Độ an toàn hệ thống RSA dựa vấn đề toán học: toán phân tích thừa số nguyên tố số nguyên lớn toán RSA RSA có tốc độ thực chậm đáng kể so với DES thuật toán mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật toán mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thông thường khóa ngắn nhiều so với văn bản) 9 b.Phương thức trao đổi khoá Diffie Hellman Phương thức phát minh Whitfield Diffie Matty Hellman Standford Đây sơ đồ khoá công khai Tuy nhiên, sơ đồ mã hoá khoá công khai thực sự, mà dùng cho trao đổi khóa Các khoá bí mật trao đổi cách sử dụng trạm trung gian riêng tin cậy Phương pháp cho phép khoá bí mật truyền an toàn thông qua môi trường không bảo mật Trao đổi khoá Diffie-Hemall dựa tính hiệu toán logarit rời rạc Tính bảo mật trao đổi khoá Diffie-Hellman nằm chỗ: tính hàm mũ modulo số nguyên tố dễ dàng tính logarit rời rạc khó 1.3 Chữ ký số Một ứng dụng mật mã khóa công khai chữ ký số Chữ ký số phần liệu đính kèm với tin, dùng để nhận dạng xác thực người gửi liệu tin, sử dụng mã hoá khoá công khai Người gửi sử dụng hàm hash chiều để tạo mã hash có độ dài 32 bit từ liệu tin Sau đó, người gửi mã hoá mã hash đó(hash-code) khoá riêng người gửi Người nhận tính toán lại mã hash từ liệu giải mã mã hash khoá công khai người gửi Nếu hai mã hash giống nhau, người nhận chắn liệu không bị sửa đổi liệu người gửi 1.3.1.Quá trình ký Đầu tiên, thông báo tính toán hàm băm chiều , hàm tính toán thông báo trả tóm lược thông báo (message digest), hàm băm chiều đảm bảo tóm lược thông báo sửa đổi dù nhỏ thông báo gây thay đổi cho tóm tắt Sau người gửi dùng khoá riêng mã hoá tóm tắt Nội dùng sau mã hoá chữ ký số (digital signature) thông báo ký người gửi Chữ ký số gửi tới cho người nhận kèm với thông báo 10 10 Hình 21: Mô hình hệ thống triển khai Trong CA “KCNTT” có hai CA khác CA “BMLAPTRINH” dùng để cung cấp chứng nhận cho môn lập trình CA “BMMANG” cung cấp chứng nhận cho môn mạng Tên CA nói riêng tên thực thể phát hành chứng nhận đặt theo chuẩn tên phân biệt X.500 sau: CA Tên HVKTMM CN=HVKTMM, OU=HV KTMM, O= Truong HV KTMM, C=VN KCNTT CN=KCNTT, OU=Khoa CNTT, O= Truong HV KTMM, C=VN KDTVT CN=KDTVT, OU=Khoa DTVT, O= Truong HV KTMM, C=VN KATTT CN=KATTT, OU=Khoa ATTT, O= Truong HV KTMM, C=VN Hệ thống triển khai môi trường Linux ( Centos 5.x) sử dụng hệ quản trị sở liệu MySQL ( gói phần mềm mã nguồn mở) Hệ thống mức đơn giản, tập trung máy Song cung cấp cho 50 50 người sử dụng (yêu cầu cấp chứng nhận, chứng thực người sử dụng web, ký văn bản, …) quản trị viên (cấu hình CA, thêm CA con, thêm RA,…) 4.3 Kết triển khai Hệ thống sau triển khai đáp ứng đủ mục tiêu đề Hình 24 cho thấy CA gốc “HVKTMM” hình 25 cho thấy CA CA gốc “HVKTMM” đồng thời CA trực tiếp “BMLAPTRINH” “CA KCNTT” Hình 22: Giao diện web CA gốc “HVKTMM” 51 51 Hình 23: Giao diện web CA CA gốc CA “BMLAPTRINH” Hệ thống cấp chứng nhận cho thực thể cuối (người sử dụng) cho họ ứng dụng vào số lĩnh vực như: * Chứng thực sử dụng web: cấp chứng nhận cho quản trị CA, RA, giám sát viên siêu quản trị viên để đăng nhập vào hệ thống quản trị CA trình duyệt web Internet Explorer Fire Fox Hình 26 cho thấy chứng nhận cấp cho người sử dụng với tên “CAAdmin (BMLAPTRINH)” để người đăng nhập vào CA “BMLAPTRINH” với quyền cài đặt 52 52 Hình 24: Chứng nhận cho người dùng tên “CAAdmin (BMLAPTRINH)” Hình 25: Giao diện quản trị toàn quyền “Super Admin” 53 53 Hình 27 cho thấy, người dùng sử dụng chứng nhận (được cấp phát với quyền siêu quản trị) để đăng nhập vào hệ thống CA HVKTMM Các hình 28, hình 29 hình 30 bên cho thấy người dùng khác đăng nhập vào hệ thống với quyền quản trị CA, RA giám sát viên Hình 26: Giao diện quản trị CA người dùng “CAAdmin (BMLAPTRINH)” 54 54 Hình 27: Giao diện quản trị CA người dùng “RAAdmin (BMLAPTRINH)” Hình 28: Giao diện quản trị CA người dùng “Supervisor (BMLAPTRINH)” 55 55 * Ký xác nhận tài liệu điện tử : Chứng nhận cấp cho người sử dụng sử dụng để ký văn PDF Hình 31 cho thấy người dùng ký vào tài liệu Hình 29: Ký xác nhận chữ ký tài liệu điện tử PDF 56 56 CHƯƠNG V: KẾT LUẬN 5.1 Một số kết đạt Dựa nghiên cứu, phân tích hạ tầng khóa công khai (PKI) bao gồm thuật toán sử dụng mật mã khóa bí mật công khai (Chương I), tổng quát PKI khái niệm, chức (Chương II), hiểu rõ thành phần, chế, mô hình kiến trúc PKI (Chương III), đề tài xác định nhìn tổng quan chất PKI vấn đề cần tập trung Hạt nhân quan trọng hạ tầng khóa công khai (PKI) hệ thống mã khóa công khai Do đề tài tìm hiểu mật mã học mật mã khóa bí mật, mật mã khóa công khai thuật toán hệ mật Trên sở tìm hiểu phân tích, chất PKI đề tài tập trung làm rõ Cuối cùng, nhằm mục đích tận dụng tính ổn định gói phần mềm mã nguồn mở có sẵn, đồng thời kiểm soát trình phát triển độ an toàn hệ thống, đề tài chọn gói phần mềm mã nguồn mở “EJBCA” để phân tích triển khai hệ thống đơn giản EJBCA gói phần mềm mã nguồn mở tiếng, cho phép triển khai hệ thống PKI hoàn chỉnh, đầy đủ chức 5.2 Hướng phát triển - Tìm hiểu cách công mã đại tìm cách khắc phục nhằm đảm bảo an toàn thông tin - Tiếp tục tìm hiểu giải pháp, mô hình để xây dựng hệ thống PKI an toàn - Tiếp tục nghiên cứu phân tích gói phần mềm EJBCA nhằm phát điểm yếu khác để khắc phục Ngoài ra, cần triển khai toàn diện hệ thống PKI/CA để đưa vào hoạt động thực tế quy mô lớn, thời gian dài để đánh giá xác tính hiệu hệ thống 5.3 Kết luận 57 57 Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn EJBCA vấn đề mẻ cần hoàn thiện Quá trình nghiên cứu, xây dựng phát triển hệ thống PKI dựa mã nguồn EJBCA trình lâu dài cần phải có chấp nhận người sử dụng Tỷ lệ người dùng tăng chuẩn công nghệ trở nên hoàn thiện hơn, chứng minh khả ứng dụng thực hoá tính khả thi Hiện nay, việc áp dụng mật mã khoá công khai dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin hoạt động giao dịch điện tử giải pháp nhiều quốc gia giới sử dụng Ở Việt Nam, vấn đề có tiến triển, gặp nhiều khó khăn Một vài năm trở lại đây, số đơn vị, quan có hoạt động ban đầu nghiên cứu công nghệ, xây dựng hệ thống kỹ thuật, phát triển ứng dụng thử nghiệm cung cấp dịch vụ chứng thực điện tử Việc triển khai dịch vụ cung cấp chứng thực điện tử yêu cầu đầu tư lâu dài nghiêm túc mang lại kết mong muốn Phần khó khăn triển khai dịch vụ khâu tổ chức thực thay đổi nhận thức người Tính pháp lý chữ ký số dịch vụ chứng thực điện tử vấn đề đặt Hiện nay, Việt Nam ban hành số điều luật lĩnh vực Luật công nghệ thông tin ban hành ngày 29/6/2006, Luật giao dịch điện tử ban hành ngày 29/11/2005, Luật nội dung chữ ký số ban hành ngày 15/2/2007 Các tổ chức, cá nhân cung cấp sử dụng dịch vụ chứng thực điện tử cần phải quản lý, đồng thời có quyền , nghĩa vụ định Ngoài sở hạ tầng có công nghệ yếu tin tưởng nhà cung cấp dịch vụ e ngại tâm lý người dùng trở ngại việc triển khai sở hạ tầng an ninh rộng khắp 58 58 TÀI LIỆU THAM KHẢO Tiếng việt [1] Phan Đình Diệu, Lý thuyết mật mã an toàn thông tin ,NXB ĐHQG Hà Nội, Hà Nội (2002) [2] Phạm Huy Điển, Hà Huy Khoái (2003), Mã hóa thông tin – Cơ sở toán học ứng dụng, NXB ĐHQG Hà Nội, Hà Nội [3] Bùi Doãn Khanh, Nguyễn Đình Thúc (2004), Giáo trình mã hóa thông tin – Lý thuyết ứng dụng, NXB LĐXH [4] C.P.Pfleeger, An toàn tính toán, HVKTMM (2001) Tiếng Anh [1] Carlisle Adams, Steve Lloyd , Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition Addison Wesley (2002) URL [1] http://manthang.wordpress.com/2012/04/13/gi%E1%BB%9Bi-thi %E1%BB%87u-v%E1%BB%81-h%E1%BA%A1-t%E1%BA%A7ng-khoacong-khai-pki-1/ [2] http://manthang.wordpress.com/2012/04/13/cac-ki%E1%BA%BFn-trucpki-2/ [3] http://manthang.wordpress.com/2012/05/04/certificate-validation-crlocsp/ [4] http://manthang.wordpress.com/2012/07/20/cac-phien-ban-cua-chungchi-so-x-509-pki-4/ [5] http://manthang.wordpress.com/2012/07/21/ve-certification-authoritypki-5/ [6] http://vntelecom.org/diendan/showthread.php?t=126 [7] http://majic.rs/book/free-software-x509-cookbook/setting-up-ejbca-ascertification-authority [8] http://www.shaktisaran.com/EJBCA_RA_Create_Admin_Limited_Privleges html [9] http://www.ietf.org/rfc/rfc2459.txt [10] http://ejbca.org/installation.html#Ubuntu%20quick%20start 59 59 Phụ lục A 1.Cài đặt EJBCA môi trường linux Các bước triên khai EJBCA môi trường Linux (Centos), sử dụng hệ quản trị sở liệu MySQL sau: Bước 1: Các phần mềm yêu cầu: (download phần mềm lưu /usr/local/ejbca - Apache-ant-1.8.2-bin.zip - Mysql server - Apache - Mysql-connector-java-5.0.8.tar.gz - Jboss-5.1.0.GA.zip - Jce_policy-6.zip - Jdk-6u26-linux-i586-rpm.bin - Ejbca_4_0_3.zip Bước 2: ( Login terminal với root) - Tạo user :ejca - Tạo biến môi trường: Bước 3: Cài đặt JDK [root@seubn ejbca]# chmod 755 jdk-6u26-linux-i586-rpm.bin [root@seubn ejbca]# / jdk-6u26-linux-i586-rpm.bin Bước 4: Cài đặt JCE [root@seubn ejbca]# unzip jce_policy-6.zip [root@seubn ejbca]# cd jce [root@seubn ejbca]# cp US_export_policy.jar local_policy.jar $JAVA_HOME/jre/lib/security (Chép đè file) 60 60 Bước 5: Giải nén apache [root@seubn ejbca]# unzip apache-ant-1.8.2-bin.zip Bước 6: Cài đặt MySQL [root@seubn ejbca]# yum install mysql mysql-server mysql-devel [root@seubn ejbca]# service mysqld start [root@seubn ejbca]# mysql –u root –p Password mặc định rỗng [mysql]# create database ejbca; [mysql]# use ejbca; [mysql]# GRANT ALL PRIVILEGES ON ejbca.* TO ‘ejbca’@’localhost’ IDENTIFIED BY ‘ejbca’; [mysql]# exit Bước 7: Cài đặt J-Connector [root@seubn ejbca]# tar –zxvf mysql-connector-java-5.0.8.tar.gz [root@seubn ejbca]# cd mysql-connector-java-5.0.8.tar.gz [root@seubn ejbca]# cp mysql-connector-java-5.0.8-bin.jar /usr/local/ejbca/jboss-5.1.0.Ga/server/default/lib/ Bước 8: Config EJBCA [root@seubn ejbca]# unzip ejbca_4_0_3.zip [root@seubn ejbca]# cd ejbca_4_0_3/conf/ [root@seubn ejbca]# cp e jbca.properties.sample ejbca.properties [root@seubn ejbca]# vi ejbca.properties Thay đổi nội dụng dòng sau: - appserver.home=/usr/local/ejbca/jboss-5.1.0.GA - appserver.type=jboss [root@seubn ejbca]# cp database.properties.sample database.properties [root@seubn ejbca]# vi database.properties Thay đổi nội dụng dòng sau: 61 61 - database.name=mysql database.url=jdbc:mysql://127.0.0.1:3306/ejbca database.driver=com.mysql.jdbc.Driver database.username=ejbca database.password=ejbca Copy file bat dau bang bc- thu muc /ejbca/lib toi jboss/server/default/lib Có thể cấu hình sẵn thông số khác cách copy bỏ phần example file cấu hình Ở sử dụng mặc định, ta thay đổi sau [root@seubn ejbca]# ant clean [root@seubn ejbca]# ant bootstrap < BUILD_SUCCESSFUL> Bước 9: Start JBOSS [root@seubn ejbca]# cd /usr/local/ejbca/jboss-5.1.0.GA/bin [root@seubn bin]# /run.sh –b 0.0.0.0 Đợi đến jboss start xong Bật terminal khác thực lệnh sau [root@seubn]# cd /usr/local/ejbca/ejbca_4_0_3 [root@seubn ejbca]# ant install < BUILD_SUCCESSFUL> Tại terminal start jboss, stop jboss cách ấn ctrl+c Tại terminal ejbca: [root@seubn ejbca]# ant deploy < BUILD_SUCCESSFUL> Tại terminal jboss, start jboss [root@seubn bin]# /run.sh Bước 10: Kiểm tra cài đặt Tới forder: /usr/local/ejbca/p12/ copy file superadmin.p12 import vào 62 62 trình duyệt Vào trình duyệt web truy nhập địa - https:// ipadress:8443/ejbca/adminweb/index.jsp - https://ipadress:8443/ejbca/index.jsp 2.Các chuẩn mật mã PKCS chuẩn mật mã khoá công khai phòng thí nghiệm RSA phát triển Chuẩn PKCS cung cấp định nghĩa định dạng liệu thuật toán tảng để triển khai PKI PKCS#1(Encryption Standard) : Chuẩn mật mã RSA PKCS#2: Chuẩn liên kết thành chuẩn PKCS#1 PKCS#3 (Diffie-Hellman Key Agreement Standard): Chuẩn trao đổi khóa Diffie-Hellman Miêu tả phương pháp thực trao đổi khoá Diffie-Hellman PKCS#4: Chuẩn liên kết thành chuẩn PKCS#1 PKCS#5 (Password-based Encryption Standard): Chuẩn mã hoá liệu dựa vào password Chuẩn mô tả phương pháp mã dạng xâu bát phân sử dụng khoá bí mật tính từ password để sinh xâu bát phân mã hoá PKCS#5 sử dụng để mã hoá khoá riêng việc truyền khoá bí mật PKCS#6 (Extended Certificate Syntax Standard): Chuẩn cú pháp chứng mở rộng Chuẩn định nghĩa cú pháp chứng X.509 mở rộng PKCS#7 (Cryptographic Message Syntax Standard): Chuẩn cú pháp thông báo mật mã Chuẩn xác định cú pháp tổng thể liệu mã hoá ví dụ chữ ký số PKCS#7 cung cấp số lựa chọn định dạng thông báo thông báo không mã hoá ký số, thông báo mã hoá, thông báo ký số thông báo có ký số mã hoá PKCS#8 (Private Key Information Syntax Standard): Chuẩn cú pháp thông tin riêng Chuẩn định nghĩa cú pháp thông tin khoá riêng cú pháp khoá riêng mã hóa PKCS#9 (Selected Attribute Types):Những loại thuộc tính lựa chọn Chuẩn định nghĩa loại thuộc tính lựa chọn sử dụng chứng mở rộng PKCS#6, thông điệp ký số PKCS#7, thông tin khoá riêng 63 63 PKCS#8 yêu cầu chứng PKCS#10 Những thuộc tính chứng rõ gồm có địa thư , loại nội dung, tóm lược thông báo, thời gian ký, mật yêu cầu thuộc tính chứng mở rộng PKCS#10 (Certification Request Syntax Standard): Chuẩn cú pháp yêu cầu chứng PKCS#10 định nghĩa cú pháp yêu cầu chứng Yêu cầu chứng gồm có tên phân biệt, khoá công khai tập thuộc tính tuỳ chọn, chữ ký thực thể yêu cầu chứng PKCS#11(Cryptographic Token Interface Standard): Chuẩn giao diện thẻ mật mã Chuẩn xác định giao diện lập trình ứng dụng (API) cho thiết bị người dùng chứa thông tin mã hoá thực chức mã hoá PKCS#12 (Personal Information Exchange Syntax Standard): Chuẩn cú pháp trao đổi thông tin cá nhân Chuẩn định nghĩa dạng thông tin nhận diện cá nhân bao gồm khoá riêng, chứng chỉ, bí mật đặc tính khác mở rộng Chuẩn PKCS#12 làm cho việc truyền chứng khóa bí mật gắn kèm thuận tiện, giúp người sử dụng chuyển thông tin nhận diện cá nhân từ thiết bị sang thiết bị khác PKCS#13 (Elliptic Curve Cryptography Standard): Chuẩn mã đường cong Elliptic PKCS#13 bao gồm việc tạo tham số đường cong Elliptic kiểm tra hiệu lực, tạo khoá công nhận giá trị, chữ ký số mã hoá khoá công khai thoả thuận khoá PKCS#14 (Pseudo-Random Number Generation Standard): Chuẩn tạo số giả ngẫu nhiên Nhiều hàm mật mã sử dụng PKI tạo khoá thoả thuận khoá bí mật Diffie-Hellman sử dụng liệu ngẫu nhiên Tuy nhiên, liệu ngẫu nhiên lại không ngẫu nhiên mà chọn từ tập giá trị tiên đoán hàm mật mã không bảo mật đầy đủ Do tạo số giả ngẫu nhiên an toàn điều tối quan trọng bảo mật PKI PKCS#15: Chuẩn mẫu thông tin thẻ mật mã Tên theo chuẩn X.500 X.500 giới thiệu cách đặt tên riêng biệt (Distinguished Name – DN), bảo đảm đối tượng có tên khác Các thành phần: - Quốc gia (Country – C) - Tỉnh/Thành phố (State or Province – SP) - Địa phương (Locality – L) - Tổ chức (Organization – O) - Bộ phận (Organizational Unit – OU) - Tên chung (Common Name – CN) 64 64