Tiểu luận môn an ninh mạng viễn thông Mục lục Nhóm Tiểu luận mơn an ninh mạng viễn thông Giới thiệu Trong mật mã học, chứng thực khóa cơng khai (còn gọi chứng thực số/chứng thực điện tử) chứng thực sử dụng chữ ký số để gắn khóa cơng khai với thực thể (cá nhân, máy chủ công ty ) Một chứng thực khóa cơng khai tiêu biểu thường bao gồm khóa cơng khai thơng tin (tên, địa ) thực thể sở hữu khóa Chứng thực điện tử sử dụng để kiểm tra khóa cơng khai thuộc Việc sử dụng chứng thực tạo điều kiện áp dụng rộng rãi mật mã hóa cơng khai Đối với hệ thống mã hóa khóa bí mật, việc trao đổi khóa người sử dụng quy mô lớn khơng thể thực Hệ thống mã hóa khóa cơng khai tránh vấn đề Trên ngun tắc An muốn Bình gửi thơng tin mật cho An cần cơng bố khóa cơng khai mình, Bình dùng khóa cơng khai để mã hóa thơng tin gởi cho An Tuy nhiên, người có khả đưa khóa cơng khai khác giả mạo khóa An Bằng cách làm kẻ cơng đọc số thơng tin gửi cho An Nếu An đưa khóa cơng khai vào chứng thực chứng thực bên thứ (Trent) xác nhận chữ ký điện tử tin tưởng vào Trent kiểm tra khóa cơng khai An Trent nhà cung cấp chứng thực số (CA) Trong mơ hình mạng lưới tín nhiệm, Trent người dùng mức độ tin tưởng vào chứng thực tùy thuộc vào đánh giá người dùng Khi áp dụng chứng thực quy mơ lớn, có nhiều CA hoạt động Vì An khơng đủ tin tưởng với CA Bình Do chứng thực Bình phải bao gồm chữ ký CA mức cao CA Quá trình dẫn đến việc hình thành mạng lưới quan hệ phức tạp phân tầng CA Một chứng thực khóa cơng khai bị thu hồi khóa bí mật bị lộ mối liên hệ khóa cơng khai chủ thể sở hữu thay đổi Điều xảy mức độ không thường xuyên người sử dụng phải ln kiểm tra tính pháp lý chứng thực sử dụng Điều thực cách so sánh chứng thực với danh sách chứng thực bị thu hồi (certificate revocation list - CRL) Việc đảm bảo danh sách xác cập nhật chức hạ tầng khóa cơng cộng tập trung Tuy nhiên cơng việc đòi hỏi nhân công ngân sách nên thường không thực đầy đủ Để thực đạt hiệu quả, danh sách phải sẵn sàng cho cần đến vào thời điểm nơi Một cách kiểm tra khác truy vấn vào nơi cung cấp chứng thực với giao thức kiểm tra chứng thực online OCSP (Online Certificate Status Protocol) Một chứng thực tiêu biểu gồm thành phần sau: Nhóm Tiểu luận mơn an ninh mạng viễn thơng • Khóa cơng khai; • Tên: tên người, máy chủ tổ chức; • Thời hạn sử dụng; • Địa URL trung tâm thu hồi chứng thực (để kiểm tra) Tiêu chuẩn chứng thực khóa cơng khai phổ biến X-509 ITUT ban hành X.509 đề nghị ITU (International Telecommunication Union) định nghĩa framework chứng thực (certificate) X.509 dựa X.500, mà thân X.500 chưa định nghĩa hồn hảo Kết chuẩn X.509 diễn giải theo số cách, tùy theo công ty cung cấp định sử dụng X.509 lần công bố vào năm 1988, phiên đưa để giải vấn đề an toàn, cố xảy bất ngờ lần công bố X.509 hỗ trợ hai mã đối xứng mã công khai Về bản, người có trách nhiệm chứng nhận đặt khóa cơng khai người có nhu cầu chứng thực vào thủ tục chứng thực sau xác thực lại khóa riêng Điều nầy bắt buộc khóa thủ tục chứng thực phải ln kèm với Bất cần dùng khóa cơng cộng đối tượng mở thủ tục chứng thực khóa cơng cộng đối tượng nầy người có trách nhiệm chứng thực cung cấp (các khóa cơng cộng nầy ký khóa khóa riêng người có trách nhiệm chứng thực) Vì vậy, người sử dụng phải tin người có trách nhiệm chứng thực bảo đảm việc hợp lệ hóa người chủ khóa cơng khai thực khóa cơng khai khóa cơng khai người có trách nhiệm chứng thực Trong trình sử dụng, phiên tỏ không hiệu cần bổ sung Một vấn đề quan trọng, cần thêm trường để xử lý thông tin thư điện tử Để đáp ứng yêu cầu trên, tổ chức ITU-T ISO/IEC ANSI X9 phát triển X.509 v3 X.509 v3 mở rộng phiên với 16 trường mở rộng Với phiên đời đáp ứng yêu cầu dịch vụ từ phía doanh nghiệp Hiện nhiều tổ chức cung cấp chứng thư số Verisign, tổ chức cung cấp chứng thư số liên bang Mỹ… ban hành chứng thư số X.509 phiên song song với phiên 2, để đáp ứng nhu cầu sử dụng cho nhiều dịch vụ Sự khác biệt lớn phiên phiên trường mở rộng Trường mở rộng mang lại khả ứng dụng mềm dẻo khơng mang thơng tin khóa tên Trường mở rộng chuẩn hóa bao gồm thuộc tính chủ thể tổ chức phát hành chứng thư, thơng tin sách chứng thưu, quy tắc sử dụng khóa số thơng tin khác Bên cạnh có trường kiểm tra trạng thái thu hồi chứng thư hỗ trợ sử dụng nhiều giao thức khác bao gồm PEM, PKCS, S-HTTP SSL Nhóm Tiểu luận mơn an ninh mạng viễn thơng Đặc tính ITU-T X-509 • Chứng thư số hóa cơng khai - Vấn đề khố cơng khai: Khi A nhận khố cơng khai từ B (từ web, email… ) Làm biết khố công khai B người mạo danh - Giải pháp: thẩm quyền chứng thư tin cậy (trusted certification authority - CA) • Giả mạo chữ ký số: • Chứng thực số CA: Chứng thực số (certification authority - CA): Liên kết khố cơng khai với thực thể cụ thể E - E đăng ký khố cơng khai với CA - E cung cấp ’bằng chứng đinh danh’ (proof of identity) cho CA - CA mở chứng thư (certificate) buộc E với khố cơng khai - Chứng thư chứa khóa cơng khai E được ký số CA: CA thơng báo “Đây khóa cơng khai E” • Chứng thư khố cơng khai (2): - Khi A muốn khóa cơng khai B: - Lấy chứng thư số B (từ B hoặc từ đâu đó) - Áp dụng khóa cơng khai CA cho chứng thư B, giải mã để lấy khóa cơng khai B Nhóm Tiểu luận môn an ninh mạng viễn thông Cấu trúc chứng thực a Sơ đồ nguyên tắc để sinh chứng thực X.509 Sơ đồ tạo chứng X-509 Cấu trúc chứng X.509 gồm có thành phần sau: Nhóm Tiểu luận mơn an ninh mạng viễn thơng Cấu trúc ví dụ chứng X.509 b Ý nghĩa trường:  Version: phiên X.509 chứng này, có phiên 1,  Serial Number: số serial chứng trung tâm chứng thực CA ban hành  Certificate Signature Algorithm: thuật toán ký chứng chỉ, gồm loại hàm Hash phương pháp mã hóa khóa cơng khai  Issuer name: Tên trung tâm chứng thực CA (CN: common name, O: organization, OU: organization unit)  Validity: thời gian hiệu lực chứng  Subject: tên chủ sở hữu chứng chỉ, gồm có CN, O, OU,…  Subject Public Key Algorithm: thuật tốn mã hóa khóa cơng khai mà tương ứng với khóa cơng khai chứng  Subject Public Key: khóa cơng khai chứng chỉ, tức khóa cơng khai chủ sở hữu Đối với RSA thuộc tính lưu giữ giá trị Modulus Exponent nối tiếp (N e)  Issuer Unique Identifier, Subject Unique Identifier: dành cho version 2, sử dụng Nhóm Tiểu luận mơn an ninh mạng viễn thơng  Extension: dành cho version  Certificate Signature Algorithm: thuật toán ký chứng chỉ, giống mục thứ  Certificate Signature Value: giá trị chữ ký Đối với version phần Extension gồm thơng tin sau: - - - - Authority key identifier: Một số dùng để định danh trung tâm chứng thực Thuộc tính Issuer Name cung cấp tên trung tâm chứng thực dạng text, điều gây nhầm lẫn Subject key identifier: Một số dùng để định danh người sử dụng chứng thực Tương tự Issuer Name, thuộc tính Subject cung cấp tên người dạng text, điều gây nhầm lẫn Ngồi việc dùng số định danh cho phép người sử dụng có nhiều chứng khác Key Usage: mục đích sử dụng chứng Mỗi chứng có nhiều mục đích sử dụng như: mã hóa liệu, mã hóa khóa, chữ ký điện tử, khơng thối thác CRL Distribution Point: địa để lấy danh sách chứng hết hạn hay bị thu hồi (certificate revocation list) Một chứng thường lưu file có phần mở rộng cer Xem nội dung chứng thực Firefox 2.0 (dùng giao thức SSL) Nhóm Tiểu luận mơn an ninh mạng viễn thơng Vì chứng ký khóa riêng CA, nên bảo đảm chữ ký bị làm giả tin tưởng vào khóa cơng khai CA tin tưởng vào chứng mà CA cấp phát Do khóa công khai CA phải cung cấp cách tuyệt đối an toàn đến tay người sử dụng Trong ví dụ chứng thực Yahoo cung cấp Equifax Secure FireFox tin tưởng vào Equifax khóa cơng khai Equifax tích hợp sẵn cài đặt FireFox Vì duyệt đến trang web Yahoo, FireFox có chứng Yahoo, FireFox tin tưởng vào Equifax nên tin tưởng vào Yahoo cho phép người sử dụng duyệt trang web Trên giới có nhiều tổ chức cung cấp chứng thực X509 VeriSign, Equifax, Thawte, SecureNet… VeriSign tổ chức lớn Verisign cung cấp chứng X509 theo ba mức độ (class): - Class 1: ID đối tượng email đối tượng Sau đối tượng đăng ký email public key qua mạng Internet, Verisign gửi email để kiểm tra địa email hợp lệ cấp chứng thực - Class 2: ID địa nơi đối tượng, Verisign gửi confirm qua đường bưu điện để kiểm tra địa hợp lệ - Class 3: đối tượng cần có giấy tờ pháp lý để chứng minh tư cách pháp nhân Phân cấp chứng thực Trên giới khơng thể có trung tâm chứng thực CA mà có nhiều trung tâm chứng thực Những người sử dụng khác đăng ký chứng thực CA khác Do để trao đổi liệu, người cần phải tin tưởng vào khóa công khai tất trung tâm chứng thực Để giảm bớt gánh nặng này, X.509 đề chế phân cấp chứng thực Ví dụ, An tin tưởng vào trung tâm chứng thực X1, chứng thực Bình trung tâm chứng thực X2 cung cấp Nếu An khơng có khóa cơng khai X2, An kiểm tra chứng thực Bình?  Biện pháp giải An đọc Authority key identifier (tức ID X2) chứng thực Bình Sau An kiểm tra xem X1 có cấp chứng thực cho X2 hay khơng • Nếu có, An tìm thấy khóa cơng khai X2 tin tưởng vào khóa (do X1 xác nhận) Từ An kiểm tra tính xác thực chứng Bình • Nếu khơng An ko thể tìm khóa cơng khai X2 Nhóm Tiểu luận môn an ninh mạng viễn thông  Việc phân cấp chứng thực không giới hạn hai trung tâm chứng thực mà thơng qua dãy trung tâm chứng thực tạo thành mạng lưới chứng thực (Web of Trust) Hình minh họa ví dụ thực tế Minh họa mơ hình phân cấp chứng thực  Trong ví dụ chứng thực MSN-Passport Microsoft chứng thực “Verisign Class Extended Validation SSL CA”, Firefox khơng có sẵn khóa cơng khai trung tâm Tuy nhiên Firefox có khóa Nhóm Tiểu luận mơn an ninh mạng viễn thông công khai “Verisign Class Public Primary CA”, từ FireFox chứng thực trung tâm “Verisign Class Public Primary CA – G5” qua chứng thực “Verisign Class Extended Validation SSL CA” Các định dạng file chứng • Dạng DER (.cer): nội dung chứng X.509 lưu format DER, định dạng liệu binary chuẩn cho mơi trường máy tính • Dạng PEM (.pem): dạng DER mã hóa dạng text theo chuẩn Base64 Một file text PEM bắt đầu dòng -BEGIN CERTIFICATE - kết thúc dòng -END CERTIFICATE • Dạng PKCS#7 (.p7c hay p7b): định dạng liệu mã hóa hay ký Do có kèm chứng • Dạng PKCS#10 (.p10 hay p10): định dạng dùng để gửi yêu cầu cấp chứng X509 đến trung tâm chứng thực Định dạng có ID public key người yêu cầu • Dạng PKCS#12 (.p12): lưu trữ chứng X509 private key tương ứng (có password bảo vệ) file • Dạng PFX (.pfx): lưu chứng X509 private key theo định dạng Microsoft Một chứng Verisign cung cấp dạng PEM 10 Nhóm Tiểu luận mơn an ninh mạng viễn thơng Tổng kết ITU-T ban hành hình thức in ấn điện tử phân loại thành khuyến cáo theo chủ đề đánh số Các xuất khác lập kế hoạch quản lý môi trường, hệ thống, thiết bị, mạng lưới dịch vụ truyền thông xuất chỉnh lý cần thiết, bổ sung cho khuyến cáo Việc tiếp cận với thông tin ITU-T, Cục tiêu chuẩn hóa truyền thơng (TSB) khuyên cáo thực quan dịch vụ IUT online Các khuyến nghị ITU-T xây dựng ban hành sở đồng thuận tiêu chuẩn bắt buộc áp dụng Tuy hiệu lực bắt buộc áp dụng khuyến nghị ITU-T thường nước tuân thủ chúng sở kỹ thuật cho việc đảm bảo cho khả tương thích hệ thống, mạng lưới cho phép cung cấp dịch vụ viễn thơng phạm vi tồn cầu Các khuyến nghị nước thành viên nghiên cứu tham khảo xây dựng tiêu chuẩn viễn thơng nước Tiêu chuẩn ITU-T X.509 định nghĩa nội dung chứng thực, bao gồm số phiên bản, số serial, ID chữ ký, tên cơng bố, thời điểm có hiệu lực, định nghĩa chủ đề, phần mở rộng chữ ký trường Về bản, người có trách nhiệm chứng nhận đặt khóa cơng khai người có nhu cầu chứng thực vào thủ tục chứng thực sau xác thực lại khóa riêng Điều bắt buộc khóa thủ tục chứng thực phải kèm với Tài liệu tham khảo [1] [2]“ITU-T Recommendations” ITU-T X.509 (10/2012) 11 Nhóm 12 Nhóm ... xây dựng tiêu chuẩn viễn thơng nước Tiêu chuẩn ITU-T X.509 định nghĩa nội dung chứng thực, bao gồm số phiên bản, số serial, ID chữ ký, tên cơng bố, thời điểm có hiệu lực, định nghĩa chủ đề, phần... Việc tiếp cận với thông tin ITU-T, Cục tiêu chuẩn hóa truyền thơng (TSB) khun cáo thực quan dịch vụ IUT online Các khuyến nghị ITU-T xây dựng ban hành sở đồng thuận tiêu chuẩn bắt buộc áp dụng Tuy... kiểm tra) Tiêu chuẩn chứng thực khóa cơng khai phổ biến X-509 ITUT ban hành X.509 đề nghị ITU (International Telecommunication Union) định nghĩa framework chứng thực (certificate) X.509 dựa X.500,