Đang tải... (xem toàn văn)
Nghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tửNghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tửNghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tửNghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tửNghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tửNghiên cứu ứng dụng cơ sở hạ tầng khóa công khai cho an toàn và bảo mật thư điện tử
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHAN TRỌNG QUÂN NGHI N C U NG D NG C S HAI CH AN T NV B H T NG H A CÔNG T THƯ IỆN T CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN Ã SỐ: 60.48.01.04 LU N VĂN TH C SĨ Ỹ THU T (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: GS.TS NGUYỄN BÌNH HÀ NỘI - 2016 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: GS.TS Nguyễn Bình Phản biện 1: TS Nguyễn Khắc Lịch Phản biện 2: PGS.TS Hà Quốc Trung Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: 35 ngày 20 tháng năm 2016 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông M U Lý chọn đề tài Trong kỷ ngun cơng nghệ thơng tin, tính phổ biến rộng rãi Internet mặt đem lại nhiều ứng dụng tiện lợi, thú vị dần thay hoạt động truyền thống giới thực; mặt khác đặt vấn đề an tồn, tính tin cậy giao dịch Internet Như thấy thư điện t ngày s dụng rộng rãi lĩnh vực đời sống xã hội Hệ thống thư điện t cho ph p thực giao dịch cách nhanh chóng hiệu Tuy nhiên, mơi trường internet thiếu an toàn, thư điện t dễ dàng bị đọc trộm, thay đổi nội dung, mạo danh trước đến người nhận Trong môi trường truyền thống bảo vệ nội dung thư b ng phong bì chữ k C n môi trường truyền thông điện t trực tuyến, thư điện t bảo vệ b ng việc s dụng chứng thư số, chữ k số Quá trình k vào thư điện t tệp đính k m nh m đảm bảo tính xác thực chống chối b giao dịch trực tuyến iều giúp người nhận kiểm tra tính tồn v n thư điện t Mã hóa nội dung thư tệp đính k m để đảm bảo ch người nhận hợp lệ xem nội dung thư Cơ sở hạ tầng khóa cơng khai (PKI) đáp ứng, giải vấn đề cho yêu cầu Dựa dịch vụ chứng thực số chữ k số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người s dụng Không ch n m lĩnh vực thương mại điện t , chứng thực số c n s dụng dạng chứng minh thư cá nhân Các công ty doanh nghiệp lớn nhận cần phải bảo mật cho thư điện t ứng trước nhu cầu thực tế đó, nhiều cơng ty bảo mật phát triển giải pháp, sản ph m để bảo vệ thông tin liên quan đến trao đổi email mơi trường internet Hiện có rât nhiều sản ph m bảo mật thư điện t triển khai, ch ng hạn Ca-microsoft, Safe-mail, Hushmail.com, CipherMail gateway, … Giải pháp CipherMail email encryption gateway máy chủ email MTA d ng để mã hóa giải mã thư điện t vào CipherMail gateway có ưu điểm hồn tồn tương thích với bất k sở hạ tầng thư điện t có ể hiểu biết sâu mã hóa giải mã thư điện t , học viên chọn để tài “Nghiên c u n d n c s h t n o h c n h i cho n toàn t th n t ” làm đề tài luận văn tốt nghiệp c đích, đối t ợn , ph vi ph n pháp n hiên c u Luận văn tiến hành nghiên cứu, tìm hiểu vấn đề trình ứng dụng hạ tầng khóa cơng khai vào k thư điện t tệp đính k m nh m đảm bảo tính xác thực chống chối b q trình g i nhận email T ứng dụng vào việc xây dựng mơ hình giải pháp CipherMail email encryption gateway, máy chủ Mail Transfer Agent (MTA) d ng để mã hóa giải mã thư điện t g i nhận Thông qua phương pháp nghiên cứu l thuyết phương pháp nghiên cứu thực nghiệm, tác giả tiếp cận nghiên cứu vấn đề mã hóa giải mã email T phân tích yêu cầu công việc, vận dụng kết l thuyết để ứng dụng hệ thống cụ thể Viện nghiên cứu phát triển Viettel để đánh giá phân tích kết Cấu trúc lu n văn Nội dung luận văn trình bày ba phần sau: Ph n đ u Ph n nội dun : bao gồm ba chương Ch n 1: T n qu n n toàn Ch n 2: xây dựn h t n tron Ch n toàn n 3: o n d n Ph n ết lu n h o t th n t c n h i P I t th n t h , ch ý số cho th n t n d n P I CHƯ NG 1: T NG QUAN V AN T NV B T THƯ IỆN T 1.1 Lý thuyết chun th n t Hệ thống thư điện t cho ph p người d ng trao đổi thư điện t với Hệ thống bao gồm nhiều máy chủ thư tín (mail server), có cài đặt phần mềm mail server để quản l tài khoản người d ng, thực việc trao đổi thư người d ng trao đổi thư với máy chủ thư tín khác [2] Hệ thống bao gồm bốn phần t chính: MUA (Mail User Agent), MTA (Mail Transfer Agent), MDA (Mail Delivery Agent) MRA (Mail Retrieval Agent) 1.1.1.1 Mail User Agent (MUA) 1.1.1.2 Mail Transfer Agent (MTA) Khi thư g i đến t MUA, MTA có nhiệm vụ nhận diện người g i người nhận t thơng tin đóng gói phần header điền thơng tin cần thiết vào header Sau MTA chuyển thư cho MDA để chuyển đến hộp thư MTA, chuyển cho Remote MTA [2] 1.1.1.3 Mail Delivery Agent (MDA) 1.1.1.4 Mail Retrieval Agent (MRA) 1.1.2 1.2 ột số i o th c ho t độn tron h thốn th n t Hệ thống mail [3] xây dựng dựa số giao thức: SMTP, POP, S/MINE IMAP 1.2.1 Gi o ứ sử dụ để ửi Gi o th c S TP SMTP [2] giao thức tin cậy, chịu trách nhiệm phân phát thư điện t Nó chuyển thư t hệ thống mạng sang hệ thống mạng khác, chuyển thư hệ thống mạng nội 22M s i o ứ sử dụ để ậ Có hai giao thức thường d ng ứng dụng máy thư khách để truy cập thư tín t máy chủ : POP IMAP 1.2.2.1 Giao thức POP 1.2.2.1.1 Khái niệm 1.2.2.2 Giao thức IMAP 1.2.3 i o ứ MM Giao thức MIME [9] quy đinh cách thức định dạng nội dung thông điệp email (email message) thệ thống email ịnh dạng MIME phức tạp, cho ph p đưa bất k dạng file tài liệu vào thơng điệp email text, âm thanh, hình ảnh định dạng liệu 1.2.3.1 Các chức S MIME - Mã hóa thư: + Tạo khóa ngẫu nhiên tương ứng với thuật tốn mã hóa đối xứng chọn + Mã hóa b ng khóa cơng khai người nhận + Mã hóa nội dung thư với khóa ngẫu nhiên v a tạo - Xác thực thư, có chuyển mã: + Chọn hàm băm tương ứng với khả người nhận + Áp dụng hàm băm lên nội dung thư + Mã hóa hàm băm b ng khóa riêng người g i 1.2.3.3 Quá trình chứng thư S MIME: S MIME s dụng chứng thư X.5 [9] phiên M i client có danh sách chứng thư cho CA tin cậy có chứng thư cặp khóa cơng khai khóa riêng Chứng thư cần k CA tin cậy 1.3 Các yếu tố 1.3.1 iể ất n toàn th n tin th n t đ 1.3.2 M o d 1.3.2.1 Mạo danh địa ch IP [3] 1.3.2.2 Mạo danh thư điện t 1.4 Gi i pháp c n n h o v th n t i i -mail i i 1.4.3 i i n toàn s i CipherMail email encryption gateway CipherMail gateway [9] giải pháp mã nguồn mở CipherMail máy chủ email MTA để mã hóa thư điện t vào gateway CipherMail với tính sau: H trợ chu n mã hóa S MIME (mã hóa k số qua CipherMail gateway) H trợ chu n mã hóa PDF H trợ tính DLP 1.4.4 Lự ov o Với phần giới thiệu công nghệ bảo vệ thư an toàn Học viên lựa chọn giải pháp công nghệ CipherMail gateway để bảo vệ an tồn cho thư điện t Vì giải pháp hồn tồn miễn phí, dễ dàng triển khai áp dụng vào hạ tầng có hệ thống thư điện t Ngoài Hệ thống CipherMail gateway s dụng giao thức S MIME d ng để mã hóa k số cho thư điện t 1.5 Lự chọn c n n h tri n h i th n t n toàn Giới thiệu công nghệ thư điện t 1.5.1 Exchange server Exchange server [12] phần mềm Microsoft phát triển chuyên phục vụ giải pháp email trao đổi thông tin doanh nghiệp Phiên Exchange server Exchange Server 2016 Phiên giúp đơn giản hóa cơng việc quản l , bảo vệ thơng tin liên lạc đặc biệt đáp ứng nhu cầu doanh nghiệp việc đồng hóa thiết bị di động 1.5.2 Lotus Domino Hệ thống mail Lotus Domino IBM h trợ giao thức g i nhận mail SMTP, POP3, IMAP MIME ết lu n ch n 1: Chương nói cấu trúc thư điện t , hệ thống thư tín điện t , giao thức s dụng cho thư điện t giao thức bảo mật cho thư điện t ồng thời chương giới thiệu giải pháp công nghệ bảo vệ an toàn thư điện t , t học viên lựa chọn giải pháp mã nguồn mở CipherMail email encryption gateway để bảo vệ hệ thống thư điện t an toàn Ngoài ra, học viên lựa chọn giải pháp Exchange Server cho hệ thống mail server thiết kế theo mơ hình chương luận văn CHƯ NG 2: Â D NG H T NG P IV H A CÔNG NG D NG P I TR NG AN T NB HAI T THƯ IỆN T 2.1 t vấn đề Việc xác thực kiểm tra tính tồn v n liệu trình trao đổi thư điện t biện pháp đảm bảo an tồn thơng tin vấn đề thực cần thiết cấp bách để bảo vệ an toàn cho thư điện t Học viên nghiên cứu l thuyết mã hóa, chữ k số sở hạ tầng khóa cơng khai để đảm bảo an tồn bảo mật thư điện t Hạ tầng khóa cơng khai khung để xây dựng mô hình an ninh, bảo mật thương mại điện t Phương pháp mã hóa cho ph p mã hóa t ng thư điện t mơi trường internet thư điện t bị đọc l n bất k người thực nhận thư Chữ k số cho thư điện t nh m chứng minh nguồn gốc tính xác thực thông báo thư điện t Người s dụng, ngồi hình thức bảo mật thơng thường mật kh u, phải d ng chứng thực số cá nhân để kh ng định danh tính mình, xác nhận hoạt động giao dịch với dịch vụ ngân hàng, thương mại điện t , giao dịch chứng khoán Chứng thực số giúp nhà quản l đảm bảo r ng khách hàng chối cãi giao dịch mình, họ d ng chứng thực số T đặt vấn đề quản l (cấp phát,xác thực) thu hồi cấp phát lại chứng thực số 2.2 C s h t n h c n h i Cơ sở hạ tầng bảo mật khóa cơng khai PKI (Public Key Infrastructure) khái niệm mơ tả tồn tảng sở nh m cung cấp dịch vụ quản l truy cập, tính tồn v n, tính xác thực, tính bí mật tính chống chối b Nền tảng bao gồm hệ thống phần mềm nhà phát hành chứng ch , kho chứa liệu phần cứng s dụng h trợ trình trao đổi khóa, sách … Mã hóa chữ k số trở thành phần thiếu thương mại điện t lĩnh vực đ i h i an toàn bảo mật PKI cung cấp sở hạ tầng giúp cho việc s dụng mã hóa chữ k số cách dễ dàng suốt người s dụng 2 Mậ ãk ó k i Mật mã học khóa cơng khai (Bất đối xứng) : - Mật mã học khóa cơng khai chun ngành mật mã học cho ph p người s dụng trao đổi thông tin mật mà không cần phải trao đổi khóa chung bí mật trước iều thực b ng cách s dụng cặp khóa có quan hệ tốn học với khóa cơng khai khóa cá nhân (hay khóa bí mật) - Trong mật mã học khóa cơng khai, khóa cá nhân phải giữ bí mật khóa cơng khai phổ biến cơng khai Trong khóa, d ng để mã hóa khóa c n lại d ng để giải mã iều quan trọng hệ thống khơng thể tìm khóa bí mật ch biết khóa cơng khai 222Ứ dụ ậ ãk ó k i ây phương pháp s dụng hai mã khóa mã khóa s dụng trình mã hóa mã khóa s dụng q trình giải mã Hai khóa có quan hệ với mặt thuật toán cho liệu mã hóa b ng khóa giải mã b ng khóa Nếu bạn muốn g i email mã hóa, thứ mà cần phải có public key họ Nếu người nhận muốn biết g i email cho họ, họ cần phải có public key người g i để xác nhận danh tính người g i 2.2.3 i i h k ó k i (P ) Khái niệm hạ tầng khóa cơng khai (PKI) thường d ng ch toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) c ng chế liên quan đồng thời với toàn việc s dụng thuật tốn mã hóa cơng khai việc trao đổi thông tin PKI cho phép giao dịch điện t diễn đảm bảo tính bí mật, toàn v n xác thực lẫn mà không cần trao đổi thông tin bảo mật t trước Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa đinh dạng người d ng 2.2.4 P I 10 đưa phương thức mã hóa chiều s dụng thuật toán băm Hàm băm thường d ng bảng băm nh m giảm chi phí tính tốn tìm khối liệu tập hợp (nhờ việc so sánh giá trị băm nhanh việc so sánh khối liệu có kích thước lớn) 2.3.1.2 ảm bảo tính tồn v n liệu - Hàm băm mật mã học có tính chất hàm chiều T khối liệu hay giá trị băm đầu vào ch đưa giá trị băm Như biết tính chất hàm chiều Một người d bắt giá trị băm họ suy ngược lại giá trị, đoạn tin nhắn băm khởi điểm 2.3.2 ữ ký s 2.3.2.1 Chữ k số Chữ k số (Digital Signature) ch tập chữ k điện t Chữ k số chữ k điện t dựa kỹ thuật mã hóa với khóa cơng khai, đó, m i người có cặp khóa (một khóa bí mật khóa cơng khai) Khóa bí mật khơng cơng bố, đó, khóa cơng khai tự s dụng ể trao đổi thơng điệp bí mật, người g i s dụng khóa cơng khai người nhận để mã hóa thơng điệp g i, sau đó, người nhận s dụng khóa bí mật tương ứng để giải mã thơng điệp Chữ k điện t thơng tin mã hố b ng khố riêng người g i, g i k m theo văn nh m đảm bảo cho người nhận định danh, xác thực nguồn gốc tính tồn v n tài liệu nhận Chữ k điện t thể văn g i k người sở hữu khố riêng tương ứng với chứng ch điện t Chữ k số hình thành dựa tảng hạ tầng khóa cơng khai PKI kỹ thuật bao gồm cặp khóa: khóa bí mật khóa cơng khai Trong đó, khóa bí mật người s dụng để k (hay mã hóa) liệu điện t , c n khóa cơng khai người nhận s dụng để mở liệu điện t (giải mã) xác thực danh tính người g i 2.3.2.2 Tạo kiểm tra chữ k số 11 Chữ k số giúp xác định người tạo hay chịu trách nhiệm thông điệp k Một phương pháp chữ k số phải bao gồm thuật tốn chính, thuật tốn d ng để tạo khóa, thuật tốn d ng để tạo chữ k số thuật toán tương ứng để xác nhận chữ k số T o ch ý số: - S dụng giải thuật băm (hash) chiều để thay đổi thông điệp cần truyền Kết thu message digest gọi phân tích văn hay tóm tắt thông điệp - Tiếp tục s dụng giải thuật SHA (Secure Hash Algorithm) nên thu message digest có độ dài 16 bits - S dụng khóa bí mật người g i để mã hóa phân tích văn thu bước trước Trong bước này, thông thường, người ta s dụng giải thuật RSA Kết thu bước chữ k điện t thông điệp ban đầu - Gộp chữ k điện t vào thông điệp ban đầu Công việc gọi k nhận thông điệp - Sau k nhận thông điệp, thay đổi thông điệp bị phát giai đoạn kiểm tra Ngoài ra, việc k nhận đảm bảo người nhận tin tưởng vào thông điệp xuất phát t người g i khác i tr l i th n p: + Người nhận s dụng khóa cơng khai người g i để giải mã chữ k điện t đính k m thơng điệp + S dụng giải thuật SHA để băm thông điệp đính k m + So sánh kết thu hai bước Nếu tr ng ta kết luận thông điệp không bị thay đổi q trình g i, người g i xác ngược lại 12 H nh 2.5: L ợc đồ t o ch H nh : L ợc đồ i ý số tr ch ý số Bản chất thuật toán tạo chữ k số đảm bảo ch biết thơng điệp khó (hầu không thể) tạo chữ k số người g i khơng biết khóa bí mật người g i Nên ph p so sánh cho kết xác nhận người g i xác 2.3.2.3 Ứng dụng chứng thư số Mã hóa thơng tin: Mã hóa thơng tin với khóa cơng khai đảm bảo ch có người chủ khóa cơng khai đọc D thơng tin có bị đánh cắp đường truyền tính bí mật thông tin đảm bảo o vẹ i : Chữ k số cho bạn biết thơng tin có bị thay đổi đường truyền hay khơng Nhưng khơng bảo vệ thơng tin khơng bị s a đổi X ự : Người g i biết r ng thông tin g i đến người hay chưa 13 nhờ vào việc xác thực khóa cơng khai người nhận Người nhận biết người g i có phải đối tác thực hay không nhờ vào chữ k số i ãi : Khi s dụng chứng thư số, người g i phải chịu trách nhiệm hoàn toàn thơng tin có chứng thư số k m Chứng thư số xem b ng chứng để kh ng định tác giả gói tin cố tình chối cãi, phủ nhận liệu khơng phải g i v x 2.3.3 C ự ứ ự s 2.3.3.1 Cấp phát chứng thực số ứ 2.3.4 Trong PKI [5] có số người có th m quyền, người tin cậy tất người d ng khác Họ có nhiệm vụ gắn cặp khóa cơng khai với định danh cho chứng nhận việc gắn kết b ng cách k số cấu trúc liệu có chứa biểu diễn định danh (gọi chứng thư); thành phần gọi Certification Authority - CA i 2.3.5 2.4 2.4.1 n d n P I cho n tồn sở k ó k i o t th n t o PKI [5] cung cấp cặp khóa, có chìa khóa cơng khai (Public key) để s dụng dịch vụ, chìa khóa c n lại chìa khóa bí mật (Private key) mà người s dụng phải giữ bí mật Hai chìa khóa có liên quan mật thiết đến nhau, cho thơng điệp mã hóa chìa khóa mật mã cơng khai ch giải mã chìa khóa bí mật tương ứng 2.4.1.1 Mã hóa 2.4.1.2 Chống giả mạo 2.4.1.3 Xác thực 2.4.1.4 Chống chối b nguồn gốc 14 2.4.1.5 Chữ k điện t 2 ữ ký s d o 2.4.2.1 Q trình mã hóa thư điện t Giả s A muốn g i thơng điệp điện t bí mật cho B giả s A có khóa cơng khai B (có thể B trao đổi trực tiếp cho A hay thơng qua chứng nhận khóa cơng khai B) + Giai đoạn 1: Mã hóa thơng điệp b ng phương pháp mã hóa đối xứng an tồn, Máy tính A phát sinh ngấu nhiên khóa bí mật K s dụng để mã hóa tồn thơng điệp cần g i đến cho B b ng phương pháp mã hóa đối xứng an tồn chọn + Giai đoạn 2: Mã hóa khóa bí mật K b ng phương pháp mã hóa bất đối xứng s dụng khóa cơng khai B Nội dung thơng điệp sau mã hóa giai đoạn c ng với khóa bí mật K mã hóa giai đoạn g i cho B dạng thư điện t 2.4.2.2 Quá trình giải mã thư điện t + Giai đoạn 1: Giải mã khóa bí mật K [3, tr.270,271] : B s dụng khóa riêng để giải mã khóa bí mật K b ng phương pháp mã hóa bất đối xứng mà A d ng để mã hóa khóa K + Giai đoạn 2: Giải mã thơng điệp A: B s dụng khóa bí mật K để giải mã tồn thơng điệp A b ng phương pháp mã hóa đối xứng mà A d ng 2.4.2.3 Nhận x t - ánh giá S dụng kỹ thuật [3, tr.271], người g i thư yên tâm r ng thư ch giải mã người nhận hợp lệ, bời ch có người có mã khóa riêng để giải mã khóa bí mật K t giải mã nội dung thông điệp 15 ết lu n ch n 2: Chương trình bày khái niệm bản, phương pháp, công nghệ kỹ thuật s dụng mã hóa khóa cơng khai để cung cấp sở hạ tầng bảo mật Ứng dụng sở hạ tầng khóa cơng khai cho ph p tổ chức tận dụng tốc độ mạng internet bảo vệ thông tin thư điện t quan kh i việc nghe trộm, giả mạo, truy cập trái ph p 16 CHƯ NG 3: NG D NG Ã H A, CH SỐ CHO THƯ IỆN T 3.1 t vấn đề 3.2 Gi i thi u chun h thốn CipherMail Email Encryption Gateway 3.2 i i i v CipherMail Giải pháp CipherMail [9] máy chủ MTA để mã hóa giải mã email vào Do CipherMail máy chủ SMTP chung, tương thích với bất k sở hạ tầng thư điện t hiên có đặt trước sau máy chủ email triển khai CipherMail thường cài đặt máy chủ “lưu trữ chuyển tiếp” Do thư ch lưu trữ tạm thời CipherMail đến khí chuyển đến đích CipherMail h trợ hai chu n mã hóa S MIME mã hóa PDF S/MIME cung cấp dịch vụ xác thực, toàn v n chống chối b (s dụng chứng ch X.509[8]) bảo vệ chống đánh chặn tin nhắn S MIME s dụng PKI để mã hóa ký 3.2 đặ điể v ứ ă 3.2.2.1 ặc điểm 3.2.2.2 Chức 3.2.3 Lư đồ o đ Mã hóa thư giải mã thư: CipherMail Gateway 17 H nh : S đồ h i i th A muốn g i cho B thư mã hóa, A tiến hành soạn thảo nội dung thư lấy public key B để mã hóa nội dung thư, sau A g i thư mã hóa tới B B nhận thư mã hóa t A g i tới, để đọc nội dung thư, B tiến hành giải mã thư b ng cách lấy private key để giải mã đọc nội dung thư A g i tới Sơ đồ g i thư k m chữ k xác thực Trong ký số s dụng phương pháp tách chữ k liệu k Do vậy, liệu cần k không gh p vào khuân dạng chữ k đầu ra, liệu cần k băm thông qua hàm băm, liệu băm k khóa bí mật người k ID chứng thư số người k gh p với chữ k đầu ể thuận tiện cho xác thực liệu, chứng thư số người k gh p với chữ k đầu Khuân dạng chữ k đầu gồm thơng tin sau: Tên hàm băm s dụng, chữ k số, chứng thư số người k , ID người k Xác thực thực theo quy trình ngược lại với k số Người nhận xác thực chữ k thực bước: Tách thuật toán hàm băm s dụng, s dụng thuật toán băm giống người k để băm liệu rõ tóm lược Tách chữ k số, chứng thư số người k Lấy khóa cơng khai t chứng thư số người k giải mã chữ k để thu tóm lược gốc liệu k Sau so sánh 18 tóm lược tóm lược gốc tóm lược giống nhau, chữ k xác thực Ngược lại, chữ k không xác thực H nh : S đồ i th è ch ý xác thực A muốn g i cho B thư có k m chữ k , A băm nội dung thư d ng private key mã hóa kết băm để sinh khóa Thư g i bao gồm nội dung thư phần chữ k B xác thực xem người g i thư có phải A hay khơng nội dung có bị ch nh s a hay không B băm nội dung thư giải mã chữ k b ng public key A Key Store, kết giải mã chữ k kết băm tr ng xác thực xác A người g i, không tr ng A khơng chủ nhân thư nội dung thư bị ch nh s a 3.3 ột số u nh ợc tri n h i CipherMail gateway 3.4 Thiết ế h thốn th n t n toàn v i CipherMail gateway 19 3.4 ặ 3.4 i o i k o v i CipherMail Thiết kế điển hình mã hóa thư điện t Gateway nhìn thầy hình sau H nh : H thốn H nh 3.9: H thốn h qu CipherMail gateway [9] i i mã qua CipherMail gateway [9] Mail gateway: Một mail gateway máy kết nối mạng d ng giao thức truyền thông khác kết nối mạng khác d ng chung giao thức Ví dụ mail gateway kết nối mạng TCP IP với mạng chạy giao thức SNA (System Network Architure) Một mail gateway đơn giản d ng để kết nối hai mạng d ng chung giao thức mailer Khi mail gateway chuyển mail domain nội domain bên 3.5 y dựn h thốn th n hi 3.5 M iể k i 20 H nh 3.10: 3.5 i đặ v h nh tri n h i CipherMail gateway 3.5.2.1 Yêu cầu phần mềm 3.5.2.2 Cài đặt 3.5.2.3 Cấu hình CipherMail gateway mã hóa S MIME CipherMail h trợ k số mã hóa S MIME Cả người g i người nhận yêu cầu chứng thư số khóa riêng Vì CipherMail cài đặt s n server CA để phát hành chứng thư khóa miễn phí cho người d ng bên bên Người d ng bên ngồi, khơng phải cài đặt CipherMail gateway, d ng bất k mail client có khả để g i nhận mail mã hóa chứng thư số cài đặt Tuy nhiên người d ng bên bên ngồi khơng u cầu s dụng CA cài đặt s n Nếu người nhận bên ngồi có chứng thư số S MIME chứng thư s dụng thay 3.6 ánh iá h thốn th n hi Trường hợp gửi thư khơng mã hóa : Hầu email internet truyền qua giao thức SMTP theo dạng MIME chưa có đảm bảo an tồn Hệ thống thư điện t cho ph p thực giao dịch cách nhanh chóng hiệu Tuy nhiên, mơi trường internet thiếu an tồn, thư điện t dễ dàng bị đọc trộm, thay đổi nội dung, mạo danh trước 21 đến người nhận Giải pháp nguồn mở CipherMail máy chủ email MTA đ ng để mã hóa giải mã thư điện t vào Hệ thống triển khai CipherMail mang lại đầy đủ tính chất cần thiết nh m thiết lập mơi trường an tồn, tin cậy giao tiếp tinh bảo mật, tồn v n, tính xác thực tính chống chối b Hơn hệ thống có khả tích hợp với sở hạ tầng có Thay phải mua giải pháp cơng nghệ để bảo vệ an toàn, bảo mật cho thư điện t giải pháp CipherMail gateway giảm thiểu chi phí hệ thống dễ triển khai nên tiết kiệm thời gian triển khai Hệ thống CipherMail gateway server CA để phát hành chứng thư khóa miễn phí cho người d ng bên bên CipherMail h trợ k số mã hóa b ng giao thức S/MIME nên mail client ch cần thiết lập chứng thư khóa riêng lần Hệ thống CipherMail gateway tận dụng sở hạ tầng có hệ thống thiết kế, cài đặt áp dụng vào môi trường triển khai thực tế cho Viện Nghiên cứu Phát triển Viettel (Viettel R&D) Như hệ thống CipherMail gatewateway giải toàn đặt đảm bảo an toàn, bảo mật chothư điện t di chuyển môi trường internet Hệ thống CipherMail gateway xây dựng ph hợp với triển khai thực tế đảm bảo an toàn bảo mật cho thư điện t Tuy nhiên, thời gian nghiên cứu có hạn, học viên chưa nghiên cứu hết chức hệ thống CipherMail gateway Hệ thống CipherMail gateway d ng chu n mã hóa S MIME đ i h i mail client phải h trợ chu n mã hóa người nhận, g i g i phải có chứng thư khóa riêng Khi s dụng hệ thống CipherMail thời gian thiết lập chứng thư, khóa riêng lần cho mail client Hệ thống CipherMail h trợ tạo chứng thư cho tất người d ng hệ thống thiết kế ch áp dụng cho doanh nghiệp v a nh 22 ết lu n ch n 3: Giải pháp CipherMail email encryption gateway gói phần mềm mã nguồn mở, triển khai hệ thống mã hóa, k số hồn ch nh, đầy đủ chức Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nh m thiết lập mơi trường an tồn, tin cậy giao tiếp tính bảo mật, tồn v n, tính xác thực tính chống chối bổ Hơn hệ thống có khả mở rộng với hệ thống khác cách dễ dàng 23 T LU N ết qu đ t đ ợc ề tài “Nghiên cứu ứng dụng sở hạ tầng khóa cơng khai cho an tồn bảo mật thư điện t ” đề tài khó rộng Trong thời gian nghiên cứu, tìm hiểu, xây dựng đồ án hoàn thành nhiệm vụ đặt ra, cụ thể là: Về mặt l thuyết : - Nghiên cứu tổng quan an toàn bảo mật thư điện t - Ứng dụng sở hạ tầng khóa cơng khai để đảm bảo an tồn bảo mật cho thư điện t - Quan trọng đề tài ứng dụng, triển khai mã hóa, k số cho thư điện t b ng cách s dụng CipherMail gateway Hệ thống CipherMail gateway s dụng chu n giao thức S MIME để mã hóa k số để bảo mật cho thư điện t di chuyển internet H n chế Sau thời gian n lực hết mình, luận văn nghiên cứu ứng dụng mã hóa giải mã thư điện t nh m đảm bảo an toàn bảo mật cho hệ thống cung cấp dịch vụ thư điện t doanh nghiệp Mặc d cố gắng trình độ chun mơn thời gian thực khóa luận c n hạn h p, mức độ phức tạp đề tài, học viên chưa nghiên cứu hết chức hệ thống CipherMail Gateway Kính mong Qu Thầy Cơ tham khảo đóng góp kiến để luận văn hồn thiện ột số h n n hiên c u Sau nghiên cứu xong đề tài, học viên xin đưa số hướng nghiên cứu tiếp theo: - Tích hợp hệ thống CipherMail gateway với giải pháp clustering thư điện t , loadblancing cho máy chủ SMTP, POP3 hệ thống lưu trữ liệu lớn - Nghiên cứu sâu thuật tốn mã hóa giải mã - Nghiên cứu ứng dụng chu n mã hóa PDF cho thư điện t 24 DANH C T I LIỆU THA H Tiến Vi t [1] Trần Duy Lai, Lê Mỹ Tú (2 6), “ i o ứ ự ử”, Học viện Kỹ Thuật Mật Mã, Hà Nội [2] Trần Duy Lai, Hồng Văn Thức (2 6), “Giáo trình A o ử”, Học viện mật mã, Thành phố Hà Nội [3] Trấn Minh Triết, Dương Anh ức, “Mã hóa Ứng dụng”, Khoa cơng nghệ cơng thơng tin, Trường đại học khoa học tự nhiên, ại Học Quốc gia thành phố Hồ Chí Minh Tiến Anh 4] Carlisle Adams, Steve Lloyd (2 2), “Uderstanding PKI, Standards, and Deployment Consideratión”, Addison-Wesley Professional [5] Suranjan Choudhury, Kartik Bhatnagar and Wasim Haque (2 1), “PKI Implementation And Design”, M&T Books [6] Andrew Nash, William Duane, Celia Joseph and Derek Brink (2 1), “PKI Implementing and Managing E-security”, RSA Press [7] RFC 3161 (2001), "Internet X.509 Public Key Infrastructure Time-Stamp protocol (TSP)" [8] ITU-T Recommendation X.509 (2005), "Information technology - Open Systems Interconnection - The Directory: Authentication framework"; Trang web [9] http://www ciphermail.com [10] https://www.hushmail.com/ [11] http://www.safe-mail.net [12] http://technet.microsoft.com [13] http://www.ietf.org/html.chaters/smime-charter.html [14] https://www.ciphermail.com/documents/ciphermail-SMTP-auth-guide [15] https://www.clearswift.com/solutions/email-security/ secure-email-gateway