a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
M C L C Ụ Ụ
M Đ U Ở Ầ
ầ Ngày nay, vi c giao ti p qua m ng Internet đang tr thành m t nhu c u ệ ế ạ ở ộ
t. Các thông tin truy n trên m ng r t quan tr ng, nh mã s tài c p thi ấ ế ư ề ạ ấ ọ ố
kho n, thông tin m t, quá trình trao đ i thông tin hàng hoá, d ch v và thanh ổ ụ ậ ả ị
toán qua đ ng truy n trên m ng máy tính ho c công ngh đi n t khác trong ườ ệ ệ ử ề ạ ặ
th … Internet đã tr thành công c dùng đ trao đ i các công ươ ng m i đi n t ạ ệ ử ụ ể ở ổ
vi c kinh doanh. Do đó, nhu c u an ninh, an toàn trên m ng máy tính đã tr ệ ầ ạ ở
thành v n đ c p thi ề ấ ấ ế ầ t khi mà h u h t các công vi c, thông tin đang d n ế ệ ầ
đ c s hoá. ượ ố
Đ th c hi n thành công các phiên giao d ch đi n t gi a các vùng thì ể ự ệ ử ữ ệ ị
ả c s h t ng cũng quan tr ng nh các chính sách, các tiêu chu n c n ph i ơ ở ạ ầ ư ẩ ầ ọ
đ c ban hành và thi ượ ế ậ ấ t l p. Các h m t mã khoá công khai có th cung c p ệ ậ ể
môi tr ườ ng an ninh cho vi c th c hi n trao đ i các thông tin th ệ ự ệ ổ ươ ạ ng m i,
nh y c m gi a các t ữ ạ ả ổ ệ ch c cũng nh gi a các cá nhân v i nhau. Các bi n ư ữ ứ ớ
pháp an ninh thích h p đ đ m b o s tin c y c a các cá nhân cũng nh các ậ ủ ả ự ể ả ư ợ
ch c kinh doanh vào các h th ng m ng máy tính qu n lý càng đ t ổ ệ ố ứ ạ ả ượ ặ c đ c
bi t quan tâm h n. ệ ơ
Xu t phát t tình đó, đ tài c a em là tìm hi u, nghiên c u v công ấ ừ ủ ứ ề ể ề
ngh CA và ng d ng trong th ng m i đi n t ứ ụ ệ ươ ệ ử ạ ậ . Trong đ tài c a em t p ủ ề
trung nghiên c u nh ng n i dung sau : ứ ữ ộ
Ch ng 1 : T ng quan v th ươ ề ươ ổ ng m i đi n t ạ . ệ ử
Ch ươ ụ ng 2 : T ng quan v c s h t ng khóa công khai và ng d ng ề ơ ở ạ ầ ứ ổ
. c a nó trong th ủ ươ ng m i đi n t ạ ệ ử
1
Ch ng 3 : CA (Certificate Authority) ươ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
V i kh i l ng công vi c l n và th i gian có h n, trong quá trình tìm ố ượ ớ ệ ớ ạ ờ
hi u, nghiên c u không tránh kh i nh ng thi u sót. Vì v y em r t mong đ ữ ứ ế ể ậ ấ ỏ ượ c
s ng h , đóng góp ý ki n c a th y cô và các b n. ự ủ ế ủ ầ ạ ộ
Em xin chân thành cám n !ơ
Sinh viên Tr n Th Thu Hà ị
2
ầ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
Ch ng 1.
T NG QUAN V TH
NG M I ĐI N T
ươ
Ề ƯƠ
Ổ
Ệ Ử
Ạ
S phát tri n nhanh chóng c a khoa h c công ngh , đ c bi ủ ệ ặ ự ể ọ ệ t là s phát ự
ổ ấ tri n c a công ngh m ng máy tính và k thu t tính toán đã làm thay đ i r t ể ủ ệ ạ ậ ỹ
nhi u ho t đ ng xã h i. Th ra đ i trong b i c nh đó. ạ ộ ề ộ ươ ng m i đi n t ạ ệ ử ố ả ờ
1.1. Khái ni m th ng m i đi n t : ệ ươ ệ ử ạ
Th ng m i đi n t (g i là th tr ng đi n t , th tr ươ ệ ử ạ ị ườ ọ ệ ử ị ườ ng o, E- ả
Commerce hay E-Business) là quy trình mua bán o thông qua vi c truy n d ệ ề ả ữ
ộ li u gi a các máy tính trong chính sách phân ph i c a ti p th . T i đây m t ố ủ ị ạ ữ ế ệ
m i quan h th ng m i hay d ch v tr c ti p gi a ng i cung c p và khách ệ ươ ố ụ ự ữ ế ạ ị ườ ấ
hàng đ c ti n hành thông qua Internet. ượ ế
Đ nh nghĩa : ị
D a trên góc đ xem xét : ự ộ
+ D i góc đ trao đ i thông tin : Th là quá trình trao ướ ộ ổ ươ ng m i đi n t ạ ệ ử
đ i thông tin hàng hoá, d ch v và thanh toán qua đ ị ổ ụ ườ ạ ng truy n trên m ng ề
máy tính ho c công ngh đi n t khác. ệ ệ ử ặ
+ D i góc đ kinh doanh : Th ướ ộ ươ ng m i đi n t ạ ệ ử ụ là quá trình ng d ng ứ
công ngh vào các quá trình giao d ch kinh doanh và quá trình s n xu t. ị ệ ả ấ
+ Theo khía c nh d ch v : Th ạ ụ ị ươ ng m i đi n t ạ ệ ử ụ là m t công c ph c ụ ộ
ng hàng v m c tiêu c t gi m chi phí nh ng v n đ m b o nâng cao ch t l ư ụ ụ ấ ượ ắ ả ẫ ả ả
hoá và tăng t c đ cung c p d ch v và quá trình qu n lý. ố ộ ụ ấ ả ị
T ch c lu t th ng m i qu c t Th ứ ậ ổ ươ ố ế ư đ a ra đ nh nghĩa : ị ạ ươ ạ ng m i
đi n t ng m i thông qua các ph ệ ử là vi c trao đ i thông tin th ổ ệ ươ ạ ươ ệ ng ti n
đi n t và không c n ph i vi t ra gi y b t c công đo n nào c a quá ệ ử ầ ả ế ấ ấ ứ ủ ạ
. trình giao d chị
Th ng m i đi n t đã tr nên khá ph bi n : Nh ng hình th c kinh ươ ệ ử ạ ổ ế ữ ứ ở
doanh m i trên các ph ng ti n đi n t t là d ch ớ ươ ệ ử ệ liên t c xu t hi n, đ c bi ấ ụ ệ ặ ệ ị
3
ạ ộ v kinh doanh n i dung s . M c dù m i hình thành, nh ng các ho t đ ng ụ ư ặ ộ ố ớ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ủ
ệ
ố
c tri n khai r ng kh p và đem l i doanh thu đáng ượ ể ắ ộ ạ
Đ án t ồ TMĐT trong lĩnh v c này đã đ ự
k . ể
t b di đ ng tăng nhanh, Kinh doanh các d ch v giá tr gia tăng qua thi ụ ị ị ế ị ộ
nh d ch v cung c p nh c chuông, hình n n, tra c u thông tin. Kinh doanh ư ị ứ ụ ề ấ ạ
trong các lĩnh v c đào t o tr c tuy n, báo đi n t ạ ệ ử ơ ở ữ ệ ế , c s d li u tr c tuy n, ự ự ự ế
trò ch i tr c tuy n, trò ch i t ng tác qua truy n hình, bình ch n k t qu th ơ ự ơ ươ ế ả ể ề ế ọ
thao, xem phim, nghe nh c tr c tuy n cũng tăng tr ạ ự ế ưở ng m nh. ạ
Cùng v i l ng ng ớ ượ ườ ử ụ i s d ng Internet và th tín d ng tăng nhanh, s ẻ ụ ố
ng ng i tiêu dùng mua s m qua m ng tăng lên nhanh chóng, đ c bi l ượ ườ ắ ạ ặ ệ t
trong gi i tr ớ ẻ ở ổ khu v c đô th . Tâm lý và thói quen mua bán b t đ u thay đ i ắ ầ ự ị
ng th c truy n th ng sang ph ng th c m i c a th t ph ừ ươ ứ ề ố ươ ớ ủ ứ ươ ng m i đi n t ạ . ệ ử
Chính vì v y, bên c nh nh ng l i ích kinh t ữ ậ ạ ợ ế to l n, th ớ ươ ệ ng m i đi n ạ
còn đ i d ng nh là công c đ tác đ ng tiêu c c v kinh t c l và l t ử ượ ợ ụ ự ề ụ ể ư ộ ế ố i
s ng trên toàn xã h i. Chúng ta có th th y đ ố ể ấ ượ ộ c nh ng tiêu c c có th x y ra ự ể ả ữ
và nh ng v n đ liên quan đ n an ninh qu c gia mà chúng ta c n đ phòng. ữ ề ế ề ấ ầ ố
ng m i đi n t : 1.2. An ninh qu c gia trong th ố ươ ệ ử ạ
Nói m t cách hình t ng, Th ộ ượ ươ ng m i đi n t ạ ệ ử ố gi ng nh m t cái “Ch ư ộ ợ
i bán còn có nhi u l u manh, toàn c u”. Đã là ch thì ngoài k mua, ng ợ ẻ ầ ườ ề ư
tr m c p, l a đ o, gian l n, … làm v n đ c môi tr ậ ừ ả ụ ắ ẩ ộ ườ ư ể ế ng. Đó là ch a k đ n
vi c mua bán nhi u m t hàng b c m nh thu c gây nghi n, các lo i đ c có ạ ồ ổ ị ấ ư ề ệ ệ ặ ố
giá tr , các lo i hoá ch t dùng trong công nghi p, buôn bán tr em, ph n , … ụ ữ ệ ẻ ạ ấ ị
và không lo i tr ạ ừ ả c nh ng bí m t liên quan đ n an ninh qu c gia. Đi u đó ế ữ ề ậ ố
nói lên tính ph c t p, khó khăn trong công tác b o v an ninh qu c gia trên ứ ạ ệ ả ố
lĩnh v c th ự ươ ng m i đi n t ạ . ệ ử
M c tiêu c a an ninh qu c gia là gi ụ ủ ố ữ ữ ộ v ng n đ nh chính tr , xã h i, ổ ị ị
- xã h i lành m nh và có hi u qu theo đ nh đ m b o s phát tri n kinh t ả ả ự ể ế ệ ạ ả ộ ị
h ướ ủ ng xã h i ch nghĩa, ti p thu có ch n l c nh ng tinh hoa văn hoá c a ọ ọ ữ ủ ế ộ
4
nhân lo i đ m b o truy n th ng văn hoá dân t c, th c hi n h i nh p kinh t ạ ả ự ề ệ ả ậ ố ộ ộ ế
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ủ
ệ
ố
Đ án t ồ TMĐT trong khu v c và trên ph m vi toàn th gi
i vì s phát tri n kinh t đ t n ự ạ ể ớ ự ể ế ấ ướ c.
Gi v ng n n đ c l p dân t c đ m b o m c tiêu mà Đ ng ta v ch ra là “dân ữ ữ ộ ả ộ ậ ụ ề ạ ả ả
giàu n c m nh, xã h i công b ng, dân ch và văn minh”. ướ ủ ạ ằ ộ
i pháp ch y u nh m đ m b o an ninh qu c gia trong 1.3. Nh ng gi ữ ả ủ ế ố ằ ả ả
th ng m i đi n t : ươ ệ ử ạ
Th c ch t, th ng m i đi n t ự ấ ươ ệ ử ạ là m t lo i hình d ch v Internet. Đ ị ụ ạ ộ ể
đ m b o t ả ả ố t an ninh qu c gia trong th ố ươ ng m i đi n t ạ ệ ử ự , chúng ta nên th c
hi n các bi n pháp sau : ệ ệ
1.3.1. Xây d ng cho đ c m t c s h t ng công ngh đ tin c y : ự ượ ộ ơ ở ạ ầ ệ ủ ậ
ủ H t ng c s công ngh bao g m các chu n c a doanh nghi p, c a ơ ở ạ ầ ủ ệ ệ ẩ ồ
Nhà n ướ c v i s liên k t v i chu n Qu c t ế ớ ớ ự ố ế ớ ỹ ệ ứ , v i k thu t và công ngh ng ẩ ậ
d ng. Đ m b o đ kh năng đáp ng yêu c u (th i gian, dung l ụ ả ủ ứ ả ả ầ ờ ượ ng, d ch v ị ụ
v.v..) và ho t đ ng luôn n đ nh, có tính kinh t và tính c nh tranh cao. ạ ộ ổ ị ế ạ
1.3.2. V n đ an ninh qu c gia trong th ng m i đi n t : ấ ề ố ươ ạ ệ ử
Do thông tin v giao d ch th ề ị ươ ng m i đi n t ạ ệ ử ế ứ là lo i thông tin h t s c ạ
nh y c m vì nó liên quan đ n l i ích kinh t c a ng i tham gia th ế ợ ả ạ ế ủ ườ ươ ạ ng m i
đi n t v ph ng di n Nhà n trên. ệ ử ề ươ ệ ướ c, ngoài nh ng v n đ c n l u ý ấ ề ầ ư ữ ở
Chúng ta c n quan tâm đ phòng nh ng kh năng sau đây mà k thù (Hacker) ữ ẻ ề ầ ả
có th l i d ng: ể ợ ụ
- Truy n t i t ề ả ự ộ đ ng trên m ng Internet, b n x u s s a ch a các th ọ ấ ẽ ử ữ ạ ư
tín, h p đ ng, gi m o ch ký ho c gi m o th t ợ ộ ả ạ ữ ặ ả ạ ư ừ ợ ừ ơ , h p đ ng đánh l a n i ồ
nh n đ ph c v ý đ c a h . ồ ủ ọ ể ụ ụ ậ
ự - C n có nhóm chuyên nghiên c u lý thuy t ch ký s và tính xác th c ứ ữ ế ầ ố
. và ng d ng c a nó trong th ủ ứ ụ ươ ng m i đi n t ạ ệ ử
ứ ộ ả - Ph i xây d ng các thu t toán mã hoá các thông đi p theo m c đ b o ự ệ ả ậ
m t c a t ng lo i thông đi p. Nh ng thu t toán này ph i đ c c quan có ậ ủ ừ ả ượ ữ ệ ạ ậ ơ
5
th m quy n quy đ nh c a Nhà n c thông qua và qu n lý. ủ ề ẩ ị ướ ả
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
ố ớ ề Nh ng d li u nào ch a nh ng thông tin quan tr ng thì đ i v i n n ữ ệ ứ ữ ữ ọ
kinh t ế qu c gia, ho c liên quan đ n nh ng bí m t qu c gia thì d t khoát ữ ứ ế ặ ậ ố ố
không đ c l u trên m ng có k t n i v i Internet. ượ ư ế ố ớ ạ
Trên đây là m t s v n đ có liên quan đ n an toàn d li u và an ninh ộ ố ấ ữ ệ ề ế
6
qu c gia mà chúng ta có th áp d ng khi tham gia th . ụ ể ố ươ ng m i đi n t ạ ệ ử
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
Ch ng 2.
T NG QUAN V C S H T NG KHOÁ CÔNG KHAI
ươ
Ề Ơ Ở Ạ Ầ
Ổ
VÀ VAI TRÒ C A NÓ TRONG TH
NG M I ĐI N T
Ủ
ƯƠ
Ệ Ử
Ạ
2.1. T ng quan v c s h t ng khóa công khai : ề ơ ở ạ ầ ổ
2.1.1. S hình thành c a PKI: ự ủ
PKI (Public key Infrastructure) ra đ i năm 1995, khi mà các t ch c công ờ ổ ứ
nghi p và các Chính ph xây d ng các tiêu chu n chung d a trên ph ự ự ủ ệ ẩ ươ ng
pháp mã hoá đ h tr m t h t ng b o m t thông tin trên m ng Internert. ể ỗ ợ ộ ạ ầ ả ạ ậ
T i th i đi m đó m c tiêu đ ụ ể ạ ờ ượ ả c đ t ra là xây d ng m t b tiêu chu n b o ộ ộ ự ặ ẩ
m t t ng h p cùng các công c và chính sách cho phép ng i s d ng cũng ậ ổ ụ ợ ườ ử ụ
nh các t ch c có th t o l p, l u tr và trao đ i các thông tin m t cách an ư ổ ứ ể ạ ậ ữ ư ổ ộ
toàn trong ph m vi cá nhân và công c ng. ạ ộ
2.1.2. C s h t ng c a khoá công khai : ơ ở ạ ầ ủ
N n t ng khoá công khai cung c p m t ch ng ch s dùng đ xác minh ề ả ỉ ố ứ ể ấ ộ
m t cá nhân hay t ộ ổ ứ ch c và các d ch v danh m c có th l u tr và khi c n có ụ ể ư ụ ữ ầ ị
ề th thu h i các ch ng ch s . M c dù các thành ph n c b n c a PKI đ u ơ ả ỉ ố ủ ứ ể ặ ầ ồ
đ ượ ẩ c ph bi n, nh ng m t s nhà cung c p đang mu n đ a ra nh ng chu n ổ ế ộ ố ư ữ ư ấ ố
PKI riêng khác bi t. M t tiêu chu n chung v PKI trên Internet cũng trong quá ệ ề ẩ ộ
trình xây d ng. PKI theo nghĩa đ y đ g m 3 ph n chính : ầ ủ ồ ự ầ
T p h p các công c , ph Ph n 1:ầ ụ ậ ợ ươ ng ti n, giao th c b o đ m an toàn ứ ả ệ ả
thông tin.
Hành lang pháp lý: Lu t giao d ch đi n t , các quy đ nh d Ph n 2: ầ ệ ử ậ ị ị ướ i
lu t.ậ
Các t ch c đi u hành giao d ch đi n t (CA, RA …) Ph n 3:ầ ổ ứ ệ ử ề ị
ẩ M t c s h t ng mã khoá công khai là s k t h p gi a s n ph m ộ ơ ở ạ ầ ự ế ợ ữ ả
ề ả ph n m m, ph n c ng, chính sách ph c v và th t c. Nó cung c p n n t ng ụ ụ ầ ứ ủ ụ ề ầ ấ
b o m t c b n, c n thi ả ậ ơ ả ầ ế ể ự t đ th c hi n các giao d ch, trao đ i thông tin. PKI ị ệ ổ
7
ạ ộ d a trên c s các nh n d ng s g i là “ch ng th c s ” mà c ch ho t đ ng ự ơ ế ự ố ố ọ ơ ở ứ ậ ạ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ệ
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ủ
Đ án t ồ TMĐT gi ng nh “h chi u đi n t ”, và ràng bu c ch ký s c a ng ố
ư ộ ệ ử ố ủ ữ ế ộ ườ ử ụ ớ i s d ng v i
khoá công khai c a ng i đó. ủ ườ
2.1.3. Ch c năng c a PKI : ứ ủ
PKI d i góc đ kĩ thu t là m t h th ng công ngh v a mang tính tiêu ướ ộ ệ ố ệ ừ ậ ộ
chu n, v a mang tính ng d ng đ ụ ừ ứ ẩ ượ ử ụ ả c s d ng đ kh i t o, l u tr và qu n ở ạ ư ữ ể
lý các ch ng ch s (digital certificate) cũng nh các khoá mã hoá công khai và ỉ ố ư ứ
khoá riêng.
- B o đ m ả bí m tậ các thông tin truy n trên m ng: Th c th không ề ự ể ả ạ
đ c c p quy n, không th xem tr m b n tin. ượ ấ ề ể ả ộ
- B o đ m ả toàn v nẹ các thông tin truy n trên m ng: Th c th không ề ự ể ả ạ
đ ượ ấ c c p quy n có th thay đ i b n tin. ể ổ ả ề
- B o đ m ậ ả xác th cự các thông tin truy n trên m ng: Th c th nh n ự ể ề ả ạ
i. b n tin có th đ nh danh đ ả ể ị ượ c th c th g i b n tin và ng ể ử ả ự c l ượ ạ
. - B o đ m h tr các yêu c u ỗ ợ ầ ch ng ch i cãi ố ố ả ả
Nh nh ng kh năng đó, trên h th ng này, các th c th không bi ệ ố ự ữ ể ả ờ ế t
m t nhau, t ặ ừ xa có th ti n hành các giao d ch trong ni m tin c y l n nhau. ị ậ ẫ ể ế ề
2.1.4. Các yêu c u c a c s h t ng (Infrastructure Requirements) : ầ ủ ơ ở ạ ầ
Th ươ ng m i đi n t ạ ệ ử có th áp d ng trên ph m vi toàn c u khi t p các ạ ụ ể ầ ậ
tiêu chu n b o đ m an ninh c s chung đ ơ ở ẩ ả ả ượ c tho thu n gi a các bên tham ữ ả ậ
gia. Do đó, đ đ m b o thông su t và tin c y cho các giao d ch đi n t ể ả ệ ử ậ , t p ả ậ ố ị
ẩ các d ch v an ninh chung c a c s h t ng c n ph i t o thành m t chu n. ủ ơ ở ạ ầ ả ạ ụ ầ ộ ị
Chu n này ph i có kh năng h tr r ng rãi v nhi u m t, đáp ng đ ỗ ợ ộ ứ ề ề ả ả ẩ ặ ượ ầ c đ y
c s d ng trong các ng d ng kinh đ các kh năng c a các công ngh đ ủ ủ ệ ượ ử ụ ứ ụ ả
có th ch ng l i vi c xem doanh. D ch v đ m b o an ninh cho th đi n t ả ư ệ ử ụ ả ị ể ố ạ ệ
tr m c a đ i t ng gi m o, nó cho phép ng i g i và ng i nh n ki m tra ủ ố ượ ộ ả ạ ườ ử ườ ể ậ
nh n d ng c a nhau. Các giao d ch tài chính c n ph i đ c ký b ng ch ký ả ượ ủ ậ ạ ầ ị ữ ằ
c xác th c đ đ m b o đ tin c y n i nh n. s và có th đ ố ể ượ ự ể ả ậ ở ơ ả ậ ộ
8
2.1.4.1. U thác nh phía th ba (third-party trust): ứ ờ ỷ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
M t mã khoá công khai đòi h i ph i bi t khoá công khai c a ng ậ ả ỏ ế ủ ườ ử i s
và yêu d ng. Tuy nhiên, trên các m ng di n r ng đòi hòi này là không th c t ụ ệ ộ ự ế ạ
t l p tr c các quan h v i t t c c u m i ng ầ ỗ ườ ử ụ i s d ng c n ph i thi ầ ả ế ậ ướ ệ ớ ấ ả
nh ng ng i còn l i là không th th c hi n đ c. ữ ườ ạ ể ự ệ ượ
Third-party trust là yêu c u c b n cho b t kỳ d ch v nào đ m b o an ơ ả ụ ả ả ầ ấ ị
toàn thông tin trên di n r ng nào d a trên h m t mã công khai. Bên th ba tin ệ ộ ệ ậ ự ứ
c có tác d ng đ m b o, cho phép ng i dùng tin t ng vào b t c c y đ ậ ượ ụ ả ả ườ ưở ấ ứ
khoá công khai nào đ c xác th c b i bên th ba này. ượ ự ở ứ
2.1.4.2. Xác th c m c đ tin c y c a ng i dùng (CA): ứ ộ ậ ủ ự ườ
ậ CA là n i t p trung đáp ng các yêu c u v xác th c m c đ tin c y ơ ậ ứ ự ứ ề ầ ộ
c a m i ng ủ ọ ườ ử ụ i s d ng, nó đóng vai trò nh h chi u cho công dân. Third- ư ộ ế
party trust có vai trò nh tr ng h p chúng ta mu n vào m t qu c gia nào thì ư ườ ợ ố ố ộ
ph i xu t trình h chi u, thông qua Third-party trust mà CA có đ ế ấ ả ộ ượ c đ tin ộ
i dùng c y vào nh n d ng c a ng ậ ủ ạ ậ ườ
2.1.4.3. Xác nh n chéo (Cross-certification): ậ
Xác nh n chéo là m r ng c a Third-party trust. Là quá trình mà trong ở ộ ủ ậ
ỗ đó c hai CA đã ch c ch n trao đ i thông tin v khoá mã v i nhau, khi đó m i ề ắ ắ ả ớ ổ
ệ CA có th ki m tra tính tin c y v khoá c a CA kia. Ti n trình bao g m vi c ể ể ủ ế ề ậ ồ
ki m tra chéo gi a hai CA. ữ ể
Vi c th c hi n ki m tra chéo ti n hành nh sau : CA ư ự ế ể ệ ệ t ở ổ ch c th ứ ứ
nh t t o m t nh n d ng c a mình có ch a khoá công khai c a CA t ấ ạ ủ ứ ủ ậ ạ ộ ở ổ ứ ch c
th hai và th c hi n vi c ký, CA ự ứ ệ ệ t ở ổ ộ ch c th hai cũng t o cho mình m t ứ ứ ạ
nh n d ng ch a khoá công khai c a t ch c th nh t và th c hi n ký. Vì ủ ổ ứ ạ ậ ứ ứ ự ệ ấ
i s d ng m i CA đ v y, nh ng ng ữ ậ ườ ử ụ ở ỗ ượ ả ậ c b o đ m r ng m i CA đã tin c y ả ằ ỗ
i s d ng trong m i CA trong khi trao đ i thông tin v l n nhau. M i ng ẫ ỗ ườ ử ụ ổ ỗ ề
khoá mã c n ph i hoàn toàn tuân th các chính sách an ninh c a nh ng ng ủ ủ ữ ầ ả ườ i
khác.
9
i dùng (Certificates) : 2.1.4.4. Nh n d ng ng ậ ạ ườ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
Xác nh n ng i dùng trên m ng gi ng nh m t h chi u đi n t . Nó ậ ườ ư ộ ộ ệ ử ế ạ ố
ch a các thông tin đ c s d ng đ ki m tra xác nh n c a ng ứ ượ ử ụ ậ ủ ể ể ườ ủ ở ữ i ch s h u
nó (ví d nh tên c a ng i s d ng). Ph n cu i c a thông tin ch a trong xác ụ ư ủ ườ ử ụ ố ủ ứ ầ
i dùng này chính là khoá công khai c a ng i s h u, khoá công nh n ng ậ ườ ủ ườ ở ữ
khai này l i có th đ c s d ng đ mã hoá chính ph n d li u dành cho ạ ể ượ ử ụ ữ ệ ể ầ
vi c xác nh n ng ệ ậ ườ ỡ ữ i s h u, ho c dùng đ ki m tra ch ký s c a ng ể ể ố ủ ữ ặ ườ ở i s
h u.ữ
2.2. C s khoa h c v PKI : ọ ề ơ ở
2.2.1. Mã hoá :
T năm 1976, khi h m t mã phi đ i x ng (m t mã khoá công khai) ra ố ứ ệ ậ ừ ậ
đ i, nhi u khái ni m m i g n v i m t mã h c đã xu t hi n: ch ký s , hàm ậ ờ ớ ắ ữ ệ ệ ề ấ ớ ọ ố
băm, mã đ i di n, ch ng ch s . ệ ỉ ố ứ ạ
Các thông đi p c n chuy n đi và c n đ c b o v an toàn g i là b n rõ ệ ầ ầ ượ ả ể ệ ả ọ
(plaintext), và đ c ký hi u là P. Nó có th là m t dòng các bít, các file, âm ượ ể ệ ộ
thanh s hoá, … B n rõ đ c dùng đ l u tr ả ố ượ ể ư ữ ho c đ truy n đ t thông tin. ề ể ặ ạ
Trong m i tr ọ ườ ộ ng h p b n rõ là thông đi p c n mã hoá. Quá trình x lý m t ầ ử ệ ả ợ
thông đi p tr c khi g i đ c g i là quá trình mã hoá (encryption). M t thông ệ ướ ử ượ ọ ộ
đi p đã đ c mã hoá đ c g i là b n mã (ciphetext), và đ ệ ượ ượ ả ọ ượ c ký hi u là C. ệ
Quá trình x lý ng b n mã thành b n rõ đ c l c g i là quá trình gi ử i t ượ ạ ừ ả ả ượ ọ ả i
mã (decryption)
H m t mã là t p h p các thu t toán, các khoá nh m che d u thông tin ệ ậ ậ ậ ằ ấ ợ
cũng nh là rõ nó. ư
M t s đ h th ng m t mã là m t b năm (P,C,K,E,D) trong đó : ộ ơ ồ ệ ố ộ ộ ậ
b n rõ – plaintext. P : Là m t t p h u h n các ký t ộ ậ ữ ạ ự ả
b n mã – ciphertext. C: Là m t t p h u h n các ký t ộ ậ ữ ạ ự ả
K: Là m t t p h u h n các khoá. ộ ậ ữ ạ
E : Là t p hàm l p mã - Encryption. ậ ậ
i mã – Decryption. D: Là t p hàm gi ậ ả
k ˛ E ; là m t ánh x t ộ
10
˛ V i m i k K có : m t hàm l p mã E E ớ ỗ ậ ộ ạ ừ k : P → C
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
k ˛ D ; là m t ánh x t ộ
Và m t hàm gi i mã D D ộ ả ạ ừ k : C → P
Sao cho Dk (Ek(x))=x, " x ˛ P
Hi n nay các h m t mã đ c phân làm hai lo i chính là : H m t mã ệ ậ ệ ượ ệ ậ ạ
đ i x ng và h m t mã phi đ i x ng (hay còn g i là h m t mã khoá công ố ứ ố ứ ệ ậ ệ ậ ọ
khai).
- M t s h m t mã đ i x ng là : DES, IDEA, Triple DES … ộ ố ệ ậ ố ứ
- M t s h m t mã công khai là : RSA, Elgamal, ECC … ộ ố ệ ậ
Secret key
Encryption
Decryption
Plaintext
Ciphertext
Plaintext
Recipient
Sender
Mã hoá đ i x ng : ố ứ
* u đi m c a mã hoá đ i x ng : Ư ể ố ứ ủ
- T c đ mã hoá nhanh. ố ộ
- S d ng đ n gi n: Ch c n dùng m t khoá cho c 2 b c mã hoá và gi ử ụ ỉ ầ ả ả ơ ộ ướ ả i
mã.
* Nh c đi m c a mã hoá đ i x ng : ượ ố ứ ủ ể
- Các ph ng pháp mã hoá c đi n đòi h i ng i mã hoá và ng i gi ươ ổ ể ỏ ườ ườ ả i
mã ph i cùng chung m t khoá. (Chính xác là bi ộ ả ế t khoá này “d dàng” xác đ nh ễ ị
khoá kia). Khi đó khoá ph i đ c gi bí m t tuy t đ i. M c khác 2 ng ả ượ ữ ệ ố ặ ậ ườ i
cùng gi chung m t bí m t thì “khó” “bí m t”. ữ ậ ậ ộ
- V n đ qu n lý và phân ph i khoá là khó khăn và ph c t p khi s ứ ạ ề ấ ả ố ử
i g i và ng d ng h mã hoá c đi n. Ng ụ ổ ể ệ ườ ử ườ ấ ớ i nh n luôn luôn th ng nh t v i ậ ố
11
nhau v v n đ khoá. Vi c thay đ i khoá là r t khó và d b l . ễ ị ộ ề ấ ề ệ ấ ổ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
- Khuynh h ng cung c p khoá dài, l i ph i đ c thay đ i th ướ ấ ạ ả ượ ổ ườ ng
xuyên cho m i ng ọ ườ ẽ ả i, trong khi v n duy trì c tính an toàn và chi phí, s c n ẫ ả
tr r t nhi u t i vi c phát tri n h m t mã c đi n. ở ấ ề ớ ổ ể ệ ậ ệ ể
Plaintext
Ciphertext
Plaintext
Recipient’s public key
Recipient’s private key
Recipient
Senders
Mã khoá công khai :
* u đi m c a mã hoá khoá công khai : Ư ể ủ
- Dùng c p khoá đ mã hoá nên không c n b o m t khoá mã hoá, ch ể ặ ậ ầ ả ỉ
i mã. c n b o m t khoá gi ậ ầ ả ả
- Có th dùng mã hoá khoá công khai đ t o ch ký đi n t ể ạ ệ ử ữ ể , ch ng ch ứ ỉ
s .ố
* Nh c đi m khoá công khai : ượ ể
- T c đ mã hoá / gi ố ộ ả ả i mã ch m, “khó” th c hi n vi c mã hoá các b n ự ệ ệ ậ
tin dài.
2.2.2. Ký s :ố
Ch ký thông th ng (ch ký truy n th ng): ữ ườ ữ ề ố
c ký. - Ch ký là m t b ph n v t lý c a tài li u đ ậ ộ ộ ệ ượ ủ ữ ậ
- Vi c ki m tra ch ký truy n th ng đ ữ ệ ể ề ố ượ c th c hi n b ng cách so sánh ằ ự ệ
nó v i ch ký đã xác th c. ữ ự ớ
- B n sao (copy) c a tài li u đã ký th ủ ệ ả ườ ng là khác v i b n tài li u g c. ớ ả ệ ố
- Ch ký thông th ng trong các tr ng h p quan tr ng th ữ ườ ườ ợ ọ ườ ng ph i có ả
d u “xác th c” “đ chót” đ xác nh n r ng ch ký g n vào tài li u đó đã ấ ậ ằ ữ ự ể ệ ắ ỏ
đ c xác nh n b i c quan có th m quy n. ượ ở ơ ề ậ ẩ
V i tho thu n thông th ng, hai đ i tác xác nh n s đ ng ý b ng cách ả ậ ớ ườ ậ ự ồ ằ ố
12
kí tay vào cu i các h p đ ng. Và b ng cách nào đó ng i ta ph i th hi n đó ằ ố ợ ồ ườ ể ệ ả
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ủ
ệ
ố
m o. M i cách sao chép trên văn
Đ án t ồ TMĐT là ch kí c a h và k khác không th gi ữ
ủ ẻ ọ ể ả ạ ọ
ng d b phát hi n vì b n sao có th phân bi c v i b n g c. t đ b n th ả ườ ễ ị ệ ể ả ệ ượ ớ ả ố
Ch kí thông th ng đ ữ ườ ượ ữ c ki m tra b ng cách so sánh nó v i các ch kí ể ằ ớ
xác th c khác. Ví d , ai đó kí m t t m séc đ mua hàng, ng i bán ph i so ộ ấ ự ụ ể ườ ả
sánh ch kí trên m nh gi y v i ch kí n m m t sau c a th tín d ng đ ằ ở ặ ữ ủ ụ ữ ẻ ả ấ ớ ể
ki m tra. Dĩ nhiên, đây không ph i là ph ng pháp an toàn vì nó d dàng b ể ả ươ ễ ị
gi m o. ả ạ
Ch ký s : ữ ố
c “g n” m t cách h u c v i tài li u đ c ký. - Ch ký s không đ ố ữ ượ ữ ơ ớ ệ ắ ộ ượ
c dùng ph i “trói” ch ký v i tài li u đ c ký theo Do đó, thu t toán ký đ ậ ượ ữ ệ ả ớ ượ
m t cách th c nào đó. ứ ộ
- Vi c ki m tra ch ký s đ ố ượ ử ụ c s d ng m t thu t toán ki m tra đã ậ ữ ệ ể ể ộ
đ c công khai hoá hoàn toàn. Do đó, đ ng v nguyên t c m i ng i có th ượ ứ ề ắ ọ ườ ể
ki m tra ch ký s c a tài li u đó. ố ủ ữ ể ệ
ộ ặ - B n sao c a tài li u ký không khác gì so v i b n g c. Đây là m t đ c ớ ả ủ ệ ả ố
đi m c n l u ý. ầ ư ể
- Ch ký s không c n “d u, đ chót” c a c quan xác th c ch ký mà ủ ơ ự ữ ữ ầ ấ ố ỏ
s có cách ch ng ch i b m i khi anh ta đã ký vào tài li u và ch ng minh ẽ ố ỏ ỗ ứ ệ ố
đ ượ c đó đích th c là ch ký c a anh đã ký vào tài li u đó. ủ ự ữ ệ
Các giao d ch trên m ng cũng đ c th c hi n theo cách ng i g i và ạ ị ượ ự ệ ườ ử
ng ườ ạ i nh n cũng ph i kí vào h p đ ng. Ch khác là văn b n truy n trên m ng ề ậ ả ả ợ ồ ỉ
đ c bi u di n d i d ng “s ” (ch dùng ch s 0 và 1), ta g i văn b n này ượ ể ễ ướ ạ ữ ố ả ố ọ ỉ
là “văn b n s ”. Do đó ch kí trên “văn b n s ” cũng khác v i ch kí trên văn ả ố ả ố ữ ữ ớ
ng. b n gi y thông th ả ấ ườ
m o và sao chép l i đ i v i “văn b n s ” là vi c hoàn toàn d Vi c gi ệ ả ạ ạ ố ớ ả ố ệ ễ
dàng và không th phân bi c b n g c v i b n sao. V y m t ch kí ể t đ ệ ượ ớ ả ữ ả ậ ố ộ ở
cu i văn b n lo i này không th ch u trách nhi m đ i v i toàn b n i dung ố ớ ộ ộ ể ệ ả ạ ố ị
văn b n. Ch kí th hi n trách nhi m đ i v i toàn b văn b n là ch kí đ ể ệ ố ớ ữ ữ ệ ả ả ộ ượ c
13
kí trên t ng bít c a văn b n. B n sao c a “ch kí s ” có t cách pháp lí. ủ ữ ừ ủ ả ả ố ư
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
Đ án t ồ TMĐT
c ki m tra nh dùng m t thu t toán ki m tra công Ch kí s có th đ ố ể ượ ữ ể ể ậ ộ ờ
khai. Nh v y, b t kì ai cũng có th ki m tra đ ể ể ư ậ ấ ượ ộ c ch kí s . Vi c dùng m t ữ ệ ố
TrinkSek
TrinkSek
Recipient
Sender
Digital signature
Sender’s private key
Sender’s public key
c kh năng gi m o. s đ ch kí an toàn có th s ngăn ch n đ ơ ồ ữ ể ẽ ặ ượ ả ả ạ
Đ i di n thông đi p : ạ ệ ệ
, đ u tiên ph i t o đ i di n c a văn Đ ký s trên m t văn b n đi n t ộ ệ ử ầ ệ ủ ả ạ ể ả ạ ố
c đ a qua hàm băm s t o ra m t giá b n nh hàm băm. M t thông đi p đ ả ệ ờ ộ ượ ư ẽ ạ ộ
tr có đ dài c đ nh và ng n h n đ c g i là “Digest”. M i thông đi p đi qua ơ ượ ọ ố ị ắ ộ ị ệ ỗ
m t hàm băm ch cho duy nh t m t i, “khó” tìm đ c 2 ộ “Digest”. Ng ấ ộ ỉ c l ượ ạ ượ
thông đi p khác nhau mà có cùng m t ). ộ “Digest” ( ng vứ ệ ớ i cùng m t hàm băm ộ
Hàm băm th ườ ng k t h p v i ch ký đi n t ớ ế ợ ệ ử ở ữ ạ trên đ t o ra m t lo i ể ạ ộ
ch ký đi n t ệ ử ừ ể ể v a an toàn h n (không th c t/dán), v a có th dùng đ ki m ể ắ ừ ữ ể ơ
tra tính toàn v n c a thông đi p. ẹ ủ ệ
Các b c đ t o ra ch ký đi n t nh sau : ướ ể ạ ệ ử ư ữ
• Đ a thông đi p c n g i qua hàm băm tr ệ ầ ử
c khi đã s hoá thông đi p đó ư ướ ệ ố
“Digest”. đ t o ra ể ạ
• Mã hoá “Digest” b ng khoá private c a ng ằ
i g i đ t o ra ch ký ủ ườ ử ể ạ ữ
• G i b n thông đi p cùng v i ch ký đi n t
đi n t . ệ ử
ử ả ệ ử ế đ n n i nh n theo yêu ậ ữ ệ ớ ơ
c u.ầ
Ng i nh n thông đi p s ki m tra ch ký đi n t ườ ệ ẽ ể ệ ử ữ ậ ệ kèm theo thông đi p
đó b ng khoá công khai c a ng i g i sau đó đem so sánh k t qu ki m th ủ ằ ườ ử ả ể ế ử
c. n u trùng nhau thì ch p nh n ch ký còn không thì v i ớ “Digest” nh n đ ậ ượ ữ ế ấ ậ
14
thông đi p đó ho c gi m o ho c ch ký đó không ph i c a ng i g i. ệ ặ ả ạ ả ủ ữ ặ ườ ử
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
Đ án t ồ TMĐT
Hàm hash đ c s d ng v i m c đích rút g n thông đi p tr c lúc ký ượ ử ụ ụ ệ ọ ớ ướ
vì n u không có hàm hash thì s gây m y b t ti n sau đây : ấ ệ ẽ ế ấ
- Thu t toán xác th c và ký th ng nh n đ u vào là m t dòng bit có đ ự ậ ườ ầ ậ ộ ộ
dài r t ng n (c 64, 128 ho c 160 bít) và t c đ ký r t ch m. Trong lúc đó các ố ộ ặ ắ ấ ấ ậ ỡ
thông báo đ c g i đi th ng có đ dài khác nhau và r t dài, th m chí trong ượ ử ườ ậ ấ ộ
nhi u tr ề ườ ề ng h p đ dài c a m t thông báo ký dài c kbyte ho c nhi u ủ ặ ộ ợ ỡ ộ
megabyte. Nh v y ng i ta ph i c t thông báo thành t ng block có đ dài ư ậ ườ ả ắ ừ ộ
b ng nhau c đ nh r i ti n hành “ký” trên t ng block đó : Có m block thông ằ ồ ế ố ị ừ
ẽ ấ báo thì có m l n ký trên m block đó. Làm nh v y, t c đ th c hi n ký s r t ố ộ ự ư ậ ệ ầ
ch m do ph i ký nhi u block. M t khác, khi s p x p l i r t d x y ra tr ế ạ ấ ễ ả ề ả ậ ặ ắ ườ ng
so v i tr t t ban đ u c a thông báo. Ho c th m chí h p không đúng tr t t ợ ậ ự ớ ậ ự ầ ủ ậ ặ
có th m t block nào đó c a thông báo b th t l c trong quá trình truy n t i. ị ấ ạ ể ộ ề ả ủ
V trí do ch y u trên đây, ng ủ ế ị ườ ệ i ta s d ng hàm hash đ th c hi n ể ự ử ụ
vi c rút g n thông báo tr c lúc ký trên thông báo đó - t c là s ký trên thông ệ ọ ướ ứ ẽ
báo rút g n thay vì ký trên thông báo g c. ọ ố
2.3. Ch ng ch s : ỉ ố ứ
ủ Ch ng ch s là k t qu c a d án phát tri n chu n th m c X.500 c a ả ủ ự ư ụ ỉ ố ứ ế ể ẩ
ITU-T phát tri n vào cu i nh ng năm th p niên 90. Ch ng ch s đ c ITU-T ỉ ố ượ ứ ữ ể ậ ố
trong tài li u X.509 và d n đ c thay đ i qua các phiên b n cho phù đ c t ặ ả ệ ầ ượ ả ổ
. Ch ng ch X.509 phiên b n 3 là phiên b n hi n t i đ c áp h p v i th c t ớ ợ ự ế ệ ạ ượ ứ ả ả ỉ
d ng s d ng trong các h th ng s d ng ch ng ch s . D ch v xác th c s ử ụ ụ ệ ố ử ụ ự ử ỉ ố ứ ụ ị
d ng ch ng ch s X.509 là n n t ng đ xây d ng các d ch v đ m b o an ụ ề ả ụ ả ỉ ố ự ứ ể ả ị
toàn cho h th ng. ệ ố
M t ch ng ch s là m t t p tin đi n t đ ộ ệ ệ ử ượ ử ụ ệ c s d ng đ nh n di n ể ỉ ố ứ ậ ộ
m t cá nhân, m t máy d ch v , m t công ty, ho c m t vài đ i t ng khác và ố ượ ụ ặ ộ ộ ộ ộ ị
ng đó v i m t khoá khoá công khai, gi ng nh g n đ nh danh c a đ i t ắ ố ượ ủ ị ớ ộ ố ư
b ng lái xe, h chi u, ch ng minh th . ư ế ằ ứ ộ
Trong ch ng ch s ch a m t khoá công khai đ c g n v i m t tên duy ỉ ố ứ ứ ộ ượ ắ ớ ộ
15
nh t c a m t đ i t ng (nh tên c a m t nhân viên ho c máy d ch v ). Các ộ ố ượ ấ ủ ư ủ ụ ặ ộ ị
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ệ
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ủ
ệ
Đ án t ồ TMĐT ch ng ch s giúp ngăn ch n vi c s d ng khoá công khai cho vi c gi ệ ử ụ ứ
ỉ ố ệ ặ ả ạ m o.
Ch có khoá công khai đ ỉ ượ ớ c ch ng th c b i ch ng ch s s làm vi c v i ỉ ố ẽ ứ ứ ự ệ ở
khoá bí m t t ng ng. Nó đ ng v i đ nh danh đã đ ậ ươ ứ c s h u b i đ i t ượ ở ữ ở ố ượ ớ ị ượ c
ch ng th c ghi trong ch ng ch s . ỉ ố ự ứ ứ
Ngoài khoá công khai, ch ng ch s còn ch a thông tin v đ i t ề ố ượ ng ỉ ố ứ ứ
nh tên mà nó nh n di n, h n dùng, tên c a CA c p ch ng ch s , mã s … ỉ ố ứ ủ ư ệ ậ ấ ạ ố
Đi u quan tr ng nh t là m t ch ng ch s luôn luôn ch a ch ký s c a CA ố ủ ỉ ố ứ ứ ữ ề ấ ọ ộ
đã c p ch ng ch s đó. Gi ng nh ch ng ch s đã đ ố ỉ ố ỉ ố ư ứ ứ ấ ượ c đóng d u, đ cho ấ ể
ng i s d ng có th ki m tra. ườ ử ụ ể ể
Ch ng ch s có ba thành ph n chính : ỉ ố ứ ầ
- Thông tin cá nhân c a ng c c p. i đ ủ ườ ượ ấ
- Khoá công khai (Public key) c a ng i đ ủ c c p ườ ượ ấ
- Ch ký s c a CA c p ch ng ch ố ủ ứ ữ ấ ỉ
2.4. Các công c ph n m m đ xây d ng lên m t PKI hoàn ch nh : ụ ầ ự ộ ể ề ỉ
2.4.1. Ch ươ ng trình qu n lý khoá : ả
KeyMan là m t công c qu n lý phía client c a PKI (public key ụ ủ ả ộ
infrastrure). KeyMan qu n lý các khoá, các ch ng ch (certificates), danh sách ứ ả ỉ
thu h i ch ng ch (CRLs) và các kho ch a t ng ng đ l u tr và l y ra các ứ ươ ứ ồ ỉ ể ư ứ ữ ấ
ng này. đ i t ố ượ
KeyMan qu n lý kho l u tr ư ả ữ ồ các khoá, ch ng ch và danh sách thu h i ỉ ứ
ch ng ch . M i kho ch a đ ỗ ứ ứ ỉ ượ ộ ậ c g i là m t th (token). M t th là m t t p ẻ ẻ ộ ọ ộ
h p các khoá, ch ng ch và các danh sách thu h i ch ng ch . Th có th đ ợ ể ượ c ứ ứ ẻ ồ ỉ ỉ
l u tr trong nhi u môi tr ư ữ ề ườ ng (ví d nh file, URL, thi ư ụ ế ị t b ph n c ng …). ầ ứ
Có nh ng ki u th bài khác nhau v i nh ng kh năng khác nhau : Th bài ữ ữ ể ẻ ẻ ả ớ
ph n m m, ph n c ng, th bài không đ c b o v ầ ứ ề ẻ ầ ượ ả c b o v ho c th bài đ ặ ệ ẻ ượ ả ệ
b i password ho c PIN. M t th bao g m các thi ở ẻ ặ ộ ồ ế ậ t l p tin c y (trust) ph ậ ụ
ng, m t th thu c ng d ng c th (ví d IBM BlueZ SSLite). Thông th ụ ụ ể ộ ứ ụ ườ ộ ẻ
bao g m nhi u khoá bí m t và các chu i ch ng ch t ậ ỉ ươ ứ ề ồ ỗ ậ ng ng đ xác nh n ể ứ
16
gi a ng i s d ng v i các site khác. Thêm vào đó, m t th n m gi các ữ ườ ử ụ ẻ ắ ớ ộ ữ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ủ
ệ
ố
i đ i tác và t i CA (certification
Đ án t ồ TMĐT ch ng ch c a các k t n i tin c y t ứ
ỉ ủ ế ậ ố ớ ố ớ
authorities).
2.4.2. Công ngh OpenCA : ệ
Open là m t d án đ s , có m c đích xây d ng m t PKI hoàn ch nh, ộ ự ồ ộ ụ ự ộ ỉ
chuyên nghi p, OpenCA đ ệ ượ c phát tri n liên t c t ể ụ ừ năm 1999. T năm 2001, ừ
OpenCA đã b t đ u đ ắ ầ ượ ử ụ c s d ng cho các đ n v c v a và l n. ơ ị ỡ ừ ớ
OpenCA s d ng giao di n web, h tr h u h t các web brower chính, ỗ ợ ầ ử ụ ế ệ
khác v i các s n ph m th ng không h tr ẩ ả ớ ươ ng m i, th ạ ườ ỗ ợ ả s n ph m mã ẩ
ngu n m vì s b canh tranh. ợ ị ở ồ
OpenCA bao g m các module : ồ
- Giao ti p công c ng : Giao di n web đ ng i s d ng có th truy ộ ế ệ ể ườ ử ụ ể
c p qua Internet. Ng ậ ườ i dùng có th đăng ký xin c p ch ng ch tr c ti p qua ấ ỉ ự ứ ế ể
module này.
Danh b công b khoá công khai, ng i dùng - Giao ti p LDAP : ế ạ ố ườ
th ng l y khoá công khai t module này đ th c hi n vi c mã hoá tr c khi ườ ấ ừ ể ự ệ ệ ướ
g i th đ n đ n v dùng openCA. ử ư ế ơ ị
Đ n v đi u hành RA s d ng module này đ nh p các - Giao ti p RA : ế ử ụ ị ề ể ậ ơ
thông tin xác th c cá nhân c a ng ự ủ ườ i xin c p ch ng ch . ỉ ứ ấ
- Giao ti p OCSP : ế ệ ự Module h tr ki m tra xem ch ng ch còn hi u l c ỗ ợ ể ứ ỉ
hay không. Công ngh OCSP có tác d ng nh vi c công b CRL, nh ng tính ụ ư ệ ư ệ ố
năng u vi ư ệ ơ t h n h n CRL. ẳ
Module kí s riêng r cho phép CA làm theo nguyên - Giao ti p CA : ế ố ẽ
t kh i m ng công c ng đ b o v t t c an ninh - tách bi ắ ệ ể ả ệ ố ạ ỏ ộ ậ i đa khoá bí m t.
Đi u này khi n cho openCA tr nên an toàn h n h u h t các ph n m m CA ề ế ế ề ầ ầ ở ơ
hi n nay trên th tr ng. ị ườ ệ
Ngoài nh ng tính năng thi t y u c a 1 PKI, OpenCA có nhi u tính năng ữ ế ế ủ ề
u vi t nh : ư ệ ư
+ Đăng nh p nh p b ng ch ng ch . ỉ ậ ứ ậ ằ
17
+ H th ng qu n lý quy n m m d o. ệ ố ề ề ẻ ả
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
c h t các tính năng c a X.509 m r ng. + S d ng đ ử ụ ượ ế ở ộ ủ
+ OpenCA là ph n m m mã ngu n m mi n phí, có s n tài li u chi ti ễ ệ ề ầ ẵ ở ồ ế t
đ y đ giúp cho vi c tìm hi u openca d dàng h n. ầ ủ ể ệ ễ ơ
OpenCA đ c thi t k cho m t h t ng phân tán. Nó có th không ch ượ ế ế ộ ạ ầ ể ỉ
đi u khi n m t CA offline và m t RA online, mà vi c s d ng chúng còn giúp ệ ử ụ ề ể ộ ộ
b n xây d ng m t c u trúc th b c v i nhi u m c khác nhau. OpenCA không ạ ứ ậ ớ ộ ấ ứ ự ề
ph i là m t gi i đa ả ộ ả i pháp nh cho các nghiên c u v a và nh . Nó h tr t ứ ỗ ợ ố ừ ỏ ỏ
cho các t ch c l n nh các tr ng đ i h c, các công ty l n. ổ ứ ớ ư ườ ạ ọ ớ
2.4.3. Công ngh SSL : ệ
c thi SSL là giao th c đa m c đích đ ứ ụ ượ ế ế ể ạ ữ t k đ t o ra các giao ti p gi a ế
hai ch ng trình ng d ng trên m t c ng d nh tr c (socket 443) nh m mã ươ ộ ổ ụ ứ ị ướ ằ
hoá toàn b thông tin g i/nh n. Giao th c SSL đ ử ứ ậ ộ ượ ể c hình thành và phát tri n
đ u tiên năm 1994 b i nhóm nghiên c u Netscape d n d t b i Elgamal và nay ứ ầ ắ ở ẫ ở
đã tr thành chu n b o m t cài đ t trên Internet. ẩ ả ậ ặ ở
SSL đ c thi ượ ế ế ộ ậ ậ t k đ c l p v i t ng ng d ng đ đ m b o tính bí m t, ụ ớ ầ ể ả ứ ả
an toàn và ch ng gi ố ả ạ ấ m o lu ng thông tin qua Internet gi a hai ng d ng b t ữ ụ ứ ồ
kỳ, thí d gi a webserver và các trình duy t khách (browsers), do đó đ ụ ữ ệ ượ ử c s
ng Internet. d ng r ng rãi trong nhi u ng d ng khác nhau trên môi tr ụ ề ứ ụ ộ ườ
Toàn b c ch và h th ng thu t toán mã hoá s d ng trong SSL đ ậ ộ ơ ế ệ ố ử ụ ượ c
ph bi n công khai, tr khoá phiên (session key) đ c sinh ra t ổ ế ừ ượ ạ ể i th i đi m ờ
trao đ i gi a hai ng d ng là ng u nhiên và bí m t đ i v i ng i quan sát ậ ố ớ ứ ữ ụ ẫ ổ ườ
ả trên m ng máy tính. Ngoài ra, giao th c SSL còn đòi h i ng d ng ch ph i ứ ỏ ứ ủ ụ ạ
đ ng th ba (CA) thông qua ch ng ch đi n t ượ c ch ng th c b i m t đ i t ự ở ộ ố ượ ứ ỉ ệ ử ứ ứ
(digital certificate) d a trên m t mã công khai (ví d RSA). ậ ụ ự
SSL đ c thi t k nh là m t giao th c riêng cho v n đ b o m t có ượ ế ế ề ả ứ ư ậ ấ ộ
th h tr cho r t nhi u ng d ng. Giao th c SSL ho t đ ng bên trên TCP/IP ể ỗ ợ ạ ộ ề ứ ụ ứ ấ
và bên d i các ng d ng t ng cao h n nh là HTTP (HyperText Transfer ướ ư ụ ứ ầ ơ
18
Protocol), LDAP (Lightweight Directory Access Protocol) ho c IMAP (Internet ặ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
ố
Đ án t ồ TMĐT Messaging Access Protocol). Hi n nay SSL đ
c s d ng chính cho các giao ệ ượ ử ụ
d ch trên Web. ị
SSL cho phép m t server có h tr SSL t xác th c v i m t Client cũng ỗ ợ ộ ự ự ớ ộ
xác th c v i server, và cho phép c hai máy h tr SSL, cho phép client t ỗ ợ ự ự ả ớ
thi t l p m t k t n i đ c mã hoá. ế ậ ộ ế ố ượ
- Ch ng th c SSL Server : Cho phép client xác th c đ ứ ự ự ượ ố c sever mu n
k t n i. Lúc này, phía trình duy t s d ng các k thu t mã hoá công khai đ ế ố ệ ử ụ ậ ỹ ể
ch c ch n r ng ch ng ch và publicID c a server là có giá tr và đ ắ ằ ủ ứ ắ ỉ ị ượ ấ c c p
ậ phát b i m t CA (Certificate Authority) trong danh sách các CA đáng tin c y ộ ở
c a client. ủ
- Ch ng th c SSL Client : Cho phép server xác th c đ ứ ự ự ượ ố c client mu n
k t n i. Phía server cũng s d ng các k thu t mã hoá khoá công khai đ ế ố ử ụ ậ ỹ ể
ki m tra ch ng ch c a client và publicID là đúng, đ c c p phát b i m t CA ỉ ủ ứ ể ượ ấ ộ ở
trong danh sách các CA đáng tin c y c a Server. ậ ủ
- Mã hoá k t n i : ế ố T t c các thông tin trao đ i gi a client và server ấ ả ữ ổ
đ c mã hoá trên đ ng truy n nh m nâng cao kh năng b o m t. Đi u này ượ ườ ề ề ả ậ ả ằ
r t quan tr ng đ i v i c hai bên khi có các giao d ch mang tính riêng t ấ ố ớ ả ọ ị ư .
Ngoài ra t t c các d li u đ c mã hoá còn ấ ả ữ ệ ượ c đi trên m t k t n i SSL đã đ ộ ế ố ượ
đ c b o v nh c ch t đ ng phát hi n các xáo tr n, thay đ i trong d ượ ờ ơ ế ự ộ ệ ệ ả ổ ộ ữ
li u.ệ
Giao th c SSL g m hai t ng: ứ ồ ầ
T ng th p nh t là t ng SSL record Protocol. SSL Record Protocol đ ấ ấ ầ ầ ượ c
s d ng đ đóng gói m t vài giao th c ử ụ ứ ở ứ m c cao h n. M t trong nh ng giao ộ ữ ể ộ ơ
th c đ c đóng gói đó là SSL . ứ ượ
ệ Handshake Protocol, giao th c này cho phép sever và client th c hi n ứ ự
vi c xác th c l n nhau, tho thu n m t thu t toán mã hoá và các khoá m t mã ộ ự ẫ ệ ả ậ ậ ậ
tr c khi giao th c ng d ng g i ho c nh n d li u. ướ ậ ữ ệ ứ ứ ử ụ ặ
2.5. Vai trò c a khóa công khai trong th ng m i đi n t : ủ ươ ệ ử ạ
19
2.5.1. Đ i v i ng i dùng : ố ớ ườ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
- Có th truy c p h th ng, s d ng d ch v t ệ ố ử ụ ụ ạ ấ i b t kỳ n i nào có ơ ể ậ ị
Internet.
- Có th th c hi n nh ng ho t đ ng th ng m i, tài chính, xã h i qua ể ự ạ ộ ữ ệ ươ ạ ộ
m ng mà v n đ c đ m b o tính h p l , an toàn … ẫ ượ ả ợ ệ ả ạ
ủ ứ - Ch n l a nh ng thu t toán mã hoá phù h p v i yêu c u c a ng ọ ự ữ ậ ầ ớ ợ
d ng.ụ
- Đ m b o đ c d ch v /máy ch mình truy c p là h p l ả ượ ị . ợ ệ ụ ủ ả ậ
- B ng cách s d ng h th ng PKI ng ệ ố ử ụ ằ ườ i dùng c m th y an tâm b i vì ấ ả ở
t t c các thông tin đ u đ c mã hoá. ấ ả ề ượ
2.5.2. Đ i v i nhà phát tri n, cung c p d ch v : ố ớ ấ ị ụ ể
ề ả - D dàng xây d ng ng d ng, phát tri n ng d ng d a trên n n t ng ể ứ ụ ự ụ ứ ự ễ
b o m t PKI. ậ ả
- T t c các thông tin ki m tra ng i dùng có th đ ấ ả ể ườ ể ượ ự c th c hi n tr c ự ệ
tuy n nh k t n i đ n RA hay off-line. ờ ế ố ế ế
- D dàng phát tri n ng d ng k t h p v i các ng d ng d ch v công, ế ợ ể ứ ụ ụ ứ ụ ễ ớ ị
s n có. ứ ng d ng th ụ ươ ng m i đi n t ạ ệ ử ẵ
INTERNET
ệ ử
ng m i đi n t ạ
PKI
ạ
Th ươ Banking Mua s m qua m ng ắ Video Services
Ng
i dùng
ườ
20
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
Đ án t ồ TMĐT
Ch ng 3. CA(CERTIFICATE AUTHORITY) ươ
3.1. Ch ng ch khoá công khai : ứ ỉ
i (ng i g i) thông báo mu n s d ng k thu t khoá Khi m t ng ộ ườ ườ ử ử ụ ậ ố ỹ
công khai đ mã hoá m t thông báo và g i cho ng ộ ử ể ườ i nh n, ng ậ ườ ử ầ i g i c n
m t b n sao khoá công khai c a ng ộ ả ủ ườ ố i nh n. Khi m t thành viên b t kỳ mu n ấ ậ ộ
c thành viên khác sinhh ra, thành viên ki m tra ch ký s - ch ký s này đ ố ữ ữ ể ố ượ
ki m tra c n m t b n sao khoá công khai c a thành viên ký. Chúng ta g i c ộ ả ọ ả ủ ể ầ
ữ hai thành viên mã hoá thông báo và thành viên ki m tra ch ký s - là nh ng ữ ể ố
ng i s d ng khoá công khai. ườ ử ụ
Khi m t giá tr khoá công khai đ c g i đ n cho m t ng ộ ị ượ ử ế ộ ườ ử ụ i s d ng
khoá công khai thì không c n thi bí m t giá tr khoá công khai này. ầ ế t ph i gi ả ữ ậ ị
Tuy nhiên, ng ườ ử ụ i s d ng khoá công khai ph i đ m b o r ng khoá công khai ả ả ả ằ
đ c s d ng đúng là dành cho thành viên khác (có th là ng i nh n thông ượ ử ụ ể ườ ậ
báo có ch đ nh ho c b sinh ch ký s đ ủ ị ố ượ ữ ặ ộ c yêu c u). N u m t k truy ế ộ ẻ ầ
ợ nh p có th dùng m t khoá công khai khác thay th cho khoá công khai h p ế ể ậ ộ
l , các n i dung c a thông báo đã mã hoá có th b l , nh ng thành viên không ệ ể ị ộ ủ ộ ữ
ch đ nh khác s bi t đ . Nói cách khác, ủ ị ẽ ế ượ c và các ch ký s có th b làm gi ố ể ị ữ ả
c t o ra t các k thu t này) b nh h cách b o v (đ ả ệ ượ ạ ừ ị ả ậ ỹ ưở ế ng hoàn toàn n u
m t k truy nh p có th thay th các khoá công khai không xác th c. ộ ẻ ự ể ế ậ
M t h th ng khoá công khai làm vi c nh sau : M t CA phát hành các ộ ệ ố ư ệ ộ
ch ng ch cho nh ng ng i n m gi ữ ứ ỉ ườ ắ ữ ặ ộ c p khoá công khai và khoá riêng. M t
ạ ch ng ch g m có m t giá tr khoá công khai và thông tin dùng đ nh n d ng ỉ ồ ứ ể ậ ộ ị
duy nh t ch th (subject) c a ch ng ch . Ch th c a ch ng ch có th làm ủ ể ủ ủ ể ứ ứ ủ ể ấ ỉ ỉ
i, thi t b , ho c m t th c th khác có n m gi khoá riêng t m t ng ộ ườ ế ị ự ế ặ ắ ộ ữ ươ ng
ng (xem hình d i). Khi m t ch th c a ch ng ch là m t ng ứ ướ ủ ể ủ ứ ộ ộ ỉ ườ ộ i ho c m t ặ
th c th h p pháp nào đó, ch th th ng đ ủ ể ườ ể ợ ự ượ ự c nh c đ n nh là m t th c ư ế ắ ộ
21
th (subscriber) c a CA. Các ch ng ch đ c CA ký, b ng cách s d ng khoá ỉ ượ ứ ủ ể ử ụ ằ
ị
riêng c a CA. ủ Sinh viên : Tr n Th Thu Hà L p : ớ ầ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
Khoá riêng c a ủ CA
Thông tin đ i t
ng
ố ượ
Sinh ch ký s
ữ
ố
ng
Khoá công khai c a ủ đ i t ố ượ
Tên CA
Ch ký CA
ữ
Ch ng ch khoá công khai d a trên CA ứ ự ỉ
M t khi các ch ng ch này đ c thi t l p, nhi m v c a ng ứ ộ ỉ ượ ế ậ ụ ủ ệ ườ ử i s
thi t r ng, m t ng i s d ng khoá d ng khóa công khai r t đ n gi n. Gi ụ ấ ơ ả ả ế ằ ộ ườ ử ụ
công khai đã có khoá công khai c a CA m t cách bí m t (ví d : Thông qua ụ ủ ộ ộ
phân ph i khoá công khai th công) và ng ủ ố ườ ử ụ ậ i s d ng khoá công khai tin c y
CA phát hành các ch ng ch h p l ỉ ợ ệ ứ . N u ng ế ườ ử ụ ầ i s d ng khoá công khai c n
khoá công khai c a m t trong các thuê bao c a CA này, ng i s d ng khoá ủ ủ ộ ườ ử ụ
công khai có th thu đ ể ượ ấ c khoá công khai c a m t thuê bao b ng cách l y ộ ủ ằ
m t b n sao ch ng ch c a thuê bao, l y ra giá tr khoá công khai, ki m tra ộ ả ỉ ủ ứ ể ấ ị
ch ký c a CA có trên ch ng ch hay không b ng cách s d ng khoá công ử ụ ủ ữ ứ ằ ỉ
khai c a CA. M t ng i s d ng khoá công khai s d ng các ch ng ch nh ủ ộ ườ ử ụ ử ụ ứ ỉ ư
cách trên đ c coi là m t thành viên tin c y. ượ ậ ộ
“Các ch ng ch có th đ c phát hành mà không c n ph i b o v thông ể ượ ứ ỉ ả ả ệ ầ
qua các d ch v an toàn truy n thông đ đ m b o s tin c n xác th c và tính ả ự ể ả ự ụ ề ẩ ị
toàn v n”.ẹ
L i ích c b n c a m t h th ng c p ch ng ch là : M t ng ộ ệ ố ơ ả ứ ủ ấ ợ ộ ỉ ườ ử i s
c m t s l d ng khoá công khai có th có đ ụ ể ượ ộ ố ượ ủ ng l n các khoá công khai c a ớ
các thành viên khác m t cách đáng tin c y, xu t phát t ấ ậ ộ ừ thông tin v khoá công ề
22
ộ khai c a m t thành viên, đó chính là khoá công khai c a CA. L u ý r ng m t ủ ư ủ ằ ộ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
ố
i s d ng khoá công khai tin c y CA phát hành ườ ử ụ ậ
Đ án t ồ TMĐT ch ng ch ch h u ích khi ng ỉ ữ ứ
ỉ
các ch ng ch h p l . ỉ ợ ệ ứ
1.Ng
ườ
ậ
ữ 4. Máy d ch v dùng ch ng ch và ch ký
ứ
ụ
ị
i dùng nh p tên và m t ậ ẩ
kh u cho xác th c ự
i dùng
s xác đ nh đ nh danh ng ị ố
ị
ỉ ườ
ề
ậ
ị
5. Máy d ch v xác nh n quy n truy nh p vào nh ng tài nguyên nào cho
ậ
ỉ
ụ ữ ng
i dùng
ườ
3.Máy khách g i ch ng ch và ử ch ký qua m ng
ứ ạ
ữ
3.2. Xác th c d a trên ch ng ch s : ự ự ỉ ố ứ
ố
2.Máy khách l y khoá bí m t ậ ấ t o ch ký s ữ ạ
Ch ng ch s ch ng th c cho máy khách k t n i t
i máy d ch v
ỉ ố ứ
ế ố ớ
ự
ứ
ị
ụ
Các b hình trên có s d ng thêm giao th c b o m t SSL. Máy c ướ ở ử ụ ứ ả ậ
khách ph i có m t ch ng ch s đ cho máy d ch v có th nh n di n. S ỉ ố ể ụ ứ ệ ể ả ậ ộ ị ử
c xem là có l d ng ch ng ch s đ ch ng th c đ ụ ỉ ố ể ứ ự ượ ứ ợ ậ i th h n khi dùng m t ế ơ
kh u. B i vì nó d a trên nh ng gì mà ng ữ ự ẩ ở ườ ử ụ ậ i s d ng có : Khoá bí m t và m t ậ
ủ ủ kh u đ b o v khoá bí m t. Nh ng có m t đi u c n chú ý là ch có ch c a ề ầ ể ả ữ ệ ậ ẩ ộ ỉ
máy khách m i đ ớ ượ ẩ c phép truy nh p vào máy khách và ph i nh p m t kh u ả ậ ậ ậ
ng trình có s d ng khoá bí m t (m t kh u này đ vào c s d li u c a ch ể ơ ở ữ ệ ủ ươ ử ụ ậ ẩ ậ
• Ch ng th c d a trên ch ng ch s c n ph i truy nh p m c v t lý t
c). có th ph i nh p l ả ậ ạ ể i trong m t kho ng th i gian đ nh kỳ cho tr ờ ả ộ ị ướ
ỉ ố ầ ứ ứ ự ự ứ ậ ả ậ ớ i
ể ể các máy cá nhân và m t kh u. Mã hoá khoá công khai ch có th ki m ẩ ậ ỉ
tra vi c s d ng m t khoá bí m t t ng ng v i m t khoá khoá công ệ ử ụ ậ ươ ộ ứ ớ ộ
khai trong m t ch ng ch s . Nó không đ m nh n trách nhi m b o v ỉ ố ứ ệ ả ậ ả ộ ệ
ộ m c v t lý và m t kh u s d ng khoá bí m t. Trách nhi m này thu c ẩ ử ụ ứ ệ ậ ậ ậ
i s d ng. v ng ề ườ ử ụ
3.3. Th i gian t n t ồ ạ ờ i và vi c thu h i ch ng ch : ồ ứ ệ ỉ
Ch ng ch c b n và các mô hình đ c mô t ỉ ơ ả ứ ườ ng d n ch ng th c đ ứ ự ẫ ượ ả
23
nh trên đòi h i yêu c u nào đó đ i v i t ng ng d ng th c t . Tr ố ớ ừ ự ế ụ ứ ư ầ ỏ ướ ế c h t,
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ệ
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ủ
ệ
Đ án t ồ TMĐT ả ph i nh n ra tính đúng lúc, c p khoá công khai và c p khoá riêng không ph i ả
ậ ặ ặ
mãi mãi. h p l ợ ệ
Trong m t h th ng k thu t, m t c p khoá b t kỳ có th i gian t n t ộ ặ ộ ệ ố ồ ạ i ậ ấ ờ ỹ
i h n nh m ki m soát các c h i th m mã và h n ch th i gian có th b gi ị ớ ạ ế ờ ơ ộ ể ằ ẩ ạ ể
x y ra t n công tho hi p. Vì v y, m t ch ng ch có th i gian h p l ả ả ệ ợ ệ ượ c đ ứ ấ ậ ờ ộ ỉ
c, đ nh nghĩa ngày/gi b t đ u và ngày/gi quy đ nh tr ị ướ ị ờ ắ ầ ờ ế ộ k t thúc. Sau khi m t
ứ ch ng ch h t h n, s ràng bu c gi a khoá công khai và ch th c a ch ng ủ ể ủ ỉ ế ạ ữ ứ ự ộ
ch có th không còn h p l n a và ch ng ch không còn đ ợ ệ ữ ứ ể ỉ ỉ ượ ộ c tin c y. M t ậ
ng i s d ng khoá công khai không nên s d ng m t ch ng ch h t h n, tr ườ ử ụ ỉ ế ạ ử ụ ứ ộ ừ
khi mu n ch ng th c l c đó (theo m t cách đã s d ng trong ự ạ ứ ố i ho t d ng tr ạ ộ ướ ử ụ ộ
th i gian h p l c a m t ch ng ch ); ví d : khi ki m tra ch ký trên m t tài ợ ệ ủ ụ ữ ứ ể ờ ộ ộ ỉ
li u cũ. ệ
ứ D a vào th i h n k t thúc c a m t ch ng ch , n u ch th c a ch ng ủ ể ủ ờ ạ ỉ ế ủ ứ ự ế ộ
ch này v n còn m t khoá công khai h p l ợ ệ ẫ ộ ỉ ộ (ho c cùng m t khoá ho c m t ộ ặ ặ
khoá m i) thì m t CA có th phát hành m t ch ng ch m i cho thuê bao này. ỉ ớ ứ ể ớ ộ ộ
H n n a, trong tr ng h p vi c tho hi p khoá b phát hi n ho c b nghi ng ơ ữ ườ ả ệ ặ ị ệ ệ ợ ị ờ
ữ là có tho hi p thì th i h n k t thúc c a m t ch ng ch có th b o v nh ng ủ ả ệ ờ ạ ể ả ứ ế ệ ộ ỉ
ng i s d ng khoá công khai ch ng l i vi c ti p t c s d ng khoá công khai ườ ử ụ ố ạ ế ụ ử ụ ệ
c phát hành tr c khi tho hi p. đây có – thông qua m t ch ng ch đã đ ộ ứ ỉ ượ ướ ả ệ Ở
nhi u tr ề ườ ứ ng h p trong đó có m t CA mu n hu b ho c thu h i m t ch ng ỷ ỏ ặ ợ ộ ố ồ ộ
ch tr ỉ ướ c khi th i h n s d ng c a nó k t thúc. Ví d , các ch ng ch b thu ế ờ ạ ử ụ ủ ụ ứ ị ỉ
ng h p phát hi n ho c nghi ng có tho hi p khoá riêng t h i trong tr ồ ườ ả ệ ệ ặ ợ ờ ươ ng
ng.ứ
3.4. Revocation :
Khi phát hành ra m t certificate, nó đã đ ộ ượ ờ c đ nh ra m t kho ng th i ộ ả ị
gian s d ng nh t đ nh. Tuy nhiên, vì m t s lý do nào đó mà ng ộ ố ử ụ ấ ị ườ ử ụ i s d ng
ộ mu n hu b certificate này khi ch a h t h n s d ng X.509 đ nh nghĩa m t ư ế ạ ử ụ ỷ ỏ ố ị
ph ng pháp hu b certificate, ph ươ ỷ ỏ ươ ấ ng pháp này cho phép các CAs ch p
24
c g i là m t CRL (Certificate Revocation List). nh n h y b certificate, đ ỏ ủ ậ ượ ọ ộ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT Danh sách này li
t kê t ệ ấ ả ộ t c các certificate b hu b (theo s serial). Khi m t ỷ ỏ ố ị
h th ng b o m t s d ng certificate, thì h th ng này không nh ng ki m tra ệ ố ậ ử ụ ệ ố ữ ể ả
ặ ủ ch ký c a certificate và tính hi u l c c a nó mà còn ki m tra s có m t c a ệ ự ủ ự ủ ữ ể
serial này trong CRL đó (t t nhiên là CRL này ph i đ ấ ả ượ c c p nh t trên toàn ậ ậ
b h th ng theo m t đ nh kỳ nào đó). N u s serial này có trong CRL thì coi ộ ệ ố ế ố ộ ị
nh certificate đó đã b hu b . ỷ ỏ ư ị
3.5. Quy trình phát hành ch ng ch s : ỉ ố ứ
Ph n m m c p ch ng ch s ch y trên môi tr ỉ ố ạ ứ ề ầ ấ ườ ệ ng Linux 7.2, giao di n
th c hi n các thao tác c p ch ng ch đ ỉ ượ ứ ự ệ ấ ệ c th c hi n thông qua trình duy t ự ệ
ệ Web, c th trong tài li u này chúng tôi s d ng giao di n c a trình duy t ụ ể ử ụ ủ ệ ệ
Netscape.
Đ sinh m t ch ng ch s cho m t ng ỉ ố ứ ể ộ ộ ườ ử ụ ỉ ầ i s d ng, chúng ta ch c n
th c hi n ba ch c năng trên giao di n chính c a ph n m m, đó là : Input ệ ủ ự ứ ề ệ ầ
User’s Data, Sign Certificate Requests và Generate PKCS12 Certificate.
Các b c th c hi n vi c c p m t ch ng ch s : ướ ệ ấ ỉ ố ứ ự ệ ộ
B c 1 : Nh p thông tin v ng c c p (Input User’s Data) ướ i đ ề ườ ượ ấ ậ
Ng t nh p các thông tin c a ng ườ i th c hi n l n l ệ ầ ượ ự ủ ậ i đ ườ ượ ấ c c p
ch ng ch vào các m c trên giao di n. ụ ứ ệ ỉ
- H và tên (Fullname) ọ
- S ch ng minh nhân dân (ID Card Number). ố ứ
- Ngày c p ch ng minh (ID Card Issued Date). ứ ấ
- Ngày tháng năm sinh (Date of Birth).
- Phòng ban (Office).
- Đ a ch Email (Email). ỉ ị
- Ch c năng c a ch ng ch đ ủ ỉ ượ ấ ố ớ ứ c c p (Certificate Type), đ i v i ng ứ ứ
cũng ph i ch n là “User d ng Mail ki u ch ng ch bao gi ụ ứ ể ỉ ờ ả ọ
Certificate”.
- S PIN, s PIN s t đ ng đ c tăng lên khi thông tin m t ng ẽ ự ộ ố ố ượ ộ ườ i
25
đ c ch p nh n. ượ ậ ấ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
Đ án t ồ TMĐT
Sau khi nh p đ y đ các thông tin trên, ng ủ ầ ậ ườ ệ i th c hi n ch n nút l nh ự ệ ọ
“Accept”.
Ch ng trình s t đ ng sinh yêu c u c p ch ng ch s (Certificate ươ ẽ ự ộ ỉ ố ứ ấ ầ
Request) v i các thông tin trên. Quá trình sinh yêu c u k t thúc. ế ầ ớ
B c 2 : ướ Ký yêu c u ch p ch ng ch s (Sign Certificate Requests) ỉ ố ứ ầ ấ
Ng i mã khoá bí m t c a CA ườ ử ụ i s d ng nh p m t kh u dùng đ gi ậ ể ả ậ ẩ ậ ủ
t l p h th ng. Quá trình phát hành (m t kh u nàu đ ẩ ậ ượ ặ c đ t khi th c hi n thi ự ệ ế ậ ệ ố
ch ng ch thành công khi có thông báo “OK!”, vi c phát hành là không thành ứ ệ ỉ
công n u thay b i thông báo “OK!” ch ng trình thông báo “Failed!”. ế ở ươ
B c 3 : Chuy n đ i đ nh d ng c a ch ng ch (Generate PKCS12 ướ ổ ị ủ ứ ể ạ ỉ
Certificate).
Sau khi đã phát hành ch ng ch s , đ cài đ t đ ứ ỉ ố ể ặ ượ ứ c ch ng ch cho ng ỉ ứ
d ng Mail ho c l u vào thi ụ ặ ư ế ị t b Ikey, thì ch ng ch s c n đ ứ ỉ ố ầ ượ ổ c chuy n đ i ể
đ nh d ng thành d ng PKCS12, đ th c hi n s d ng ch c năng “Generate ị ệ ử ụ ể ự ứ ạ ạ
PKCS12 Certificate”.
Ng i đ ườ i th c hi n nh p s PIN c a ng ậ ố ủ ự ệ ườ ượ ấ ọ c c p ch ng ch r i ch n ỉ ồ ứ
“OK”. Ng i qu n tr nh p m t kh u mã hoá khoá bí m t trong t p pkcs#12 ườ ệ ả ậ ậ ậ ẩ ị
r i ch n “OK”. ồ ọ Quá trình sinh ch ng ch k t thúc. ứ ỉ ế
B c 4 : C p ch ng ch cho ng i dùng . ướ ứ ấ ỉ ườ
B n ch t c a b ấ ủ ả ướ c này là copy ch ng ch vào đĩa m m cho ng ỉ ứ ề ườ ử i s
d ng. Đ th c hi n m màn hình commandline, chuy n th m c hi n hành ụ ư ụ ể ự ệ ệ ể ở
thành /MyCA/user.
Cho đĩa m m vào và th c hi n l nh “./copyUserCert”. ề ổ ệ ệ ự
Ng i s d ng c n copy ch ng ch ườ i th c hi n nh p s PIN c a ng ậ ố ủ ự ệ ườ ử ụ ứ ầ ỉ
s .ố
Quá trình copy ch ng ch s c a ng ứ ỉ ố ủ ườ ử ụ i s d ng và ch ng ch c a CA ứ ỉ ủ
lên đĩa m m đ c th c hi n. ề ượ ự ệ
Quá trình c p ch ng ch s k t thúc. Ng i s d ng đ c c p m t đĩa ỉ ố ế ứ ấ ườ ử ụ ượ ấ ộ
26
i đ nh d ng PKCS12 và ch ng ch m m trên đó có ch ng ch s c a h d ứ ỉ ố ủ ộ ướ ị ứ ề ạ ỉ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
ố
ườ ử ụ ụ i s d ng s th c hi n cài đ t các ch ng ch này cho ng d ng ẽ ự ứ ứ ệ ặ ỉ
Đ án t ồ TMĐT c a CA. Ng ủ
Mail.
B c 5 : C p nh t ch ng ch v a phát hành lên LDAP server. ướ ỉ ừ ứ ậ ậ
Đ th c hi n, ng i qu n tr ch n ch c năng “Export Certificates to ể ự ệ ườ ứ ả ọ ị
LDAP server”.
Ngoài các ch c năng trên, trên giao di n chính còn hai ch c năng : ứ ứ ệ
- “Pending Requests List” : Hi n th các yêu c u ch a đ c ký. ư ượ ể ầ ị
- “Issue Certificate” : Hi n th danh sách các ch ng ch đã c p. ứ ể ấ ị ỉ
B c 6 : In n i dung ch ng ch ướ ứ ộ ỉ.
S d ng trang http://printcert . ử ụ
3.6. Qui trình hu b ch ng ch : ỷ ỏ ứ ỉ
Hu b m t ch ng ch : ỷ ỏ ộ ứ ỉ
Ch n ch c năng “Revoke a certificate by Administrator”. Ng ứ ọ ườ i qu n tr ả ị
ọ th c hi n gõ ID c a ch ng ch c n hu b vào m c “Input ID”, r i ch n ỷ ỏ ỉ ầ ụ ự ứ ủ ệ ồ
“Continue”. Ti p theo ng c s d ng đ làm ế ườ i qu n tr nh p m t kh u đ ậ ả ậ ẩ ị ượ ử ụ ể
khoá gi ả ỷ ỏ ứ i mã khoá bí m t c a CA, sau đó ch n “OK”, quá trình hu b ch ng ậ ủ ọ
ch có ID đ c nh p trên đ c th c hi n. ỉ ượ ậ ở ượ ự ệ
Phát hành CRL và c p nh t lên LDAP: ậ ậ
Trên máy CA ng ườ i qu n tr ch n m c Issue New CRL. ụ ị ọ ả
Ng m đ nh hi u l c c a danh sách các ch ng ch hu b s là 7 ngày ệ ự ủ ỷ ỏ ẽ ứ ầ ị ỉ
ả ư (có th thay đ i), ch n Issue new CRL, xu t hi n c nh báo b n s ph i đ a ạ ẽ ệ ể ấ ả ọ ổ
danh sách này công khai trên toàn h th ng CA, t c là đ a ra máy LDAP ệ ố ứ ư
server sau khi phát hành. Công vi c cu i cùng mà ng ệ ố ườ ự i qu n tr CA ph i th c ả ả ị
hi n đó là đ a danh sách này công khai trên toàn h th ng. Sau b c này thì ệ ố ư ệ ướ
i s d ng có yêu c u hu b đã đ c phát hành và ch ng ch c a các ng ỉ ủ ứ ườ ử ụ ỷ ỏ ầ ượ
đ a lên LDAP Server. T t c các máy trên h th ng CA ph i c p nh t danh ư ệ ố ả ậ ấ ả ậ
sách này vào h th ng c a mình thông qua trang publicdatabase đ t trên máy ệ ố ủ ặ
LDAP.
27
C p ch ng nh n hu b ch ng ch cho ng i s d ng : ỷ ỏ ứ ứ ậ ấ ỉ ườ ử ụ
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
ố
LDAP server v máy CA :
Đ án t ồ TMĐT T i CRL t ả
ừ ề
Đ t i CRL hi n t i t ể ả ệ ạ ừ ậ LDAP server, ph c v cho vi c in ch ng nh n ụ ụ ứ ệ
i qu n tr trên máy CA th c hi n : h y b , ng ủ ỏ ườ ự ệ ả ị
Trong t p /etc/hosts b sung dòng: ệ ổ
200.1.1.1 publicdatabase
(Trong đó đ a ch IP 200.1.1.1 là đ a ch c a máy LDAP server). ỉ ủ ị ị ỉ
In ch ng nh n hu b cho ng i s d ng : ỷ ỏ ứ ậ ườ ử ụ
28
M trang http ://printcert. Ng ở ườ i qu n tr ch n ch c năng “Print CRL”. ứ ị ọ ả
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ứ
ụ
ệ
ệ
ủ
Đ án t ồ TMĐT
K T LU N
Ậ
Ế
V i nh ng l ữ ớ ợ i ích v b o m t và xác th c, ch ng ch s hi n đã đ ự ỉ ố ệ ề ả ứ ậ ượ c
i nh m t công c xác minh danh tính c a các s d ng r ng rãi trên th gi ử ụ ế ớ ộ ư ộ ủ ụ
bên trong giao d ch th . Đây là m t n n t ng công ngh mang ị ươ ng m i đi n t ạ ệ ử ộ ề ả ệ
tính tiêu chu n trên toàn c u, m c dù ầ ẩ ặ m i n ở ỗ ướ ả c có m t s chính sách qu n ộ ố
lý ch ng th c s khác nhau. M i qu c gia đ u c n có nh ng CA b n đ a đ ố ự ố ữ ứ ề ầ ả ỗ ị ể
ch đ ng v các ho t đ ng ch ng th c s trong n ự ố ạ ộ ủ ộ ứ ề ướ ế c. Nh ng ngoài ra, n u ư
mu n th c hi n TMĐT v t ra ngoài biên gi i, các qu c gia cũng ph i tuân ự ệ ố ượ ớ ả ố
theo các chu n công ngh chung, và th c hi n ch ng th c chéo, trao đ i và ự ự ứ ệ ệ ẩ ổ
công nh n các CA c a nhau. Đây cũng là nh ng y u t ế ố ữ ủ ậ ố ớ quan tr ng đ i v i ọ
m t qu c gia đang trong quá trình phát tri n th ng m i đi n t ể ố ộ ươ ệ ử ạ nh Vi ư ệ t
Nam.
D a trên nhi m v và m c đích c a đ tài em đã nghiên c u và tìm ủ ứ ụ ự ụ ệ ề
c nh ng ki n th c c b n v c s h t ng khoá công hi u và t ng h p đ ổ ể ợ ượ ề ơ ở ạ ầ ứ ơ ả ữ ế
khai, ch ng ch s nh m xây d ng m t môi tr ằ ỉ ố ự ứ ộ ườ ng an ninh đ ng d ng trong ể ứ ụ
lĩnh v c th ự ươ ng m i đi n t ạ . ệ ử
ữ Do th i gian có h n và kh năng còn h n ch nên em v n còn có nh ng ế ạ ả ẫ ạ ờ
29
thi u sót . Mong th y, cô và các b n thông c m. ế ầ ạ ả
ầ
ị
Sinh viên : Tr n Th Thu Hà L p : ớ CT702
a nó trong
ố
t nghi p Tìm hi u công ngh CA và ng d ng c ể
ụ
ứ
ệ
ệ
ủ
Đ án t ồ TMĐT
TÀI LI U THAM KH O
Ả
Ệ
1. TS.Đ i tá H Văn Canh,
Có th tham kh o chi ti i các ngu n sau : ể ả t t ế ạ ồ
Th đi n t và th ng m i đi n t ạ ồ ư ệ ử ươ ệ ử, Chuyên ạ
2. PGS.TS Tr nh Nh t Ti n, ị
đ 2001. ề
ự ế Đ tài c p thành ph : Nghiên c u xây d ng ố ứ ề ậ ấ
ạ c s h t ng khóa công khai đ m b o an toàn truy n tin trên m ng ơ ở ạ ầ ề ả ả
máy tính. Mã s : CNTT/05-2005-1. ố
3. Lý thuy t m t mã & an toàn thông tin – Phan Đình Di u ệ ế ậ
4. Giáo trình : Th - Tr n Ng c Thái ươ ng m i đi n t ạ ệ ử ầ ọ
6. http://www.OpenCA
5. http://www.openCA.org
30
Guide for version 0.9.2t
