intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Luận văn Thạc sĩ Khoa học máy tính: Phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ Cryptosys

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:69

12
lượt xem
2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đề tài này tập trung vào hướng phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ Cryptosys PKI (PKI- Public Key Infrastructure). Các kết quả của đề tài sẽ được ứng dụng trong xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Luận văn Thạc sĩ Khoa học máy tính: Phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ Cryptosys

  1. ĐẠI HỌC THÁI 1 NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG \ PHAN THỊ KIM QUẾ LỜI CẢM ƠN Em xin gửi lời cảm ơn tới Khoa CNTT- ĐHTN, nơi các thầy cô đã tận tình giúp đỡ truyền đạt các kiến thức cho em trong suốt quá trình học tập. Em xin cảm ơn Ban chủ nhiệm khoa và các cán bộ đã tạo điều kiện tốt nhất cho em học tập và hoàn thành đề tàiPHÁT TRIỂN tốt nghiệp của mình.MỘT HẠ TẦNG KHÓA EmCÔNG xin gửi lờiKHAI CƠthành cảm ơn chân BẢNnhấtDỰA đến T.S TRÊN Lương ThếBỘ CÔNG Dũng đã tận tình giúp đỡ, chỉ bảo cũng như tạo CỤ điều kiện để em có thể hoàn thành thực hiện đề tài CRYPTOSYS này. Bên cạnh đó em cũng nhận được nhiều sự giúp đỡ, lời động viên từ các anh, các chị, bạn bè,… Em xin hết lòng ghi ơn. Tuy nhiên, do thời gian hạn hẹp, mặc dù đã hết sức mình, nhưng chắc luận văn khó tránh khỏi thiếu sót. Em rất mong nhận được sự thông cảm và chỉ bảo tình của quý thầy cô và các bạn. LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Em xin chân thành cảm ơn! Thái Nguyên, tháng 10 năm 2015 Học viên Thái Nguyên - 2015 Phan Thị Kim Quế Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  2. 2 LỜI CAM ĐOAN Em xin cam đoan, toàn bộ nội dung liên quan tới đề tài được trình bày trong luận văn là bản thân em tự tìm hiểu và tìm tòi dưới sự hướng dẫn khoa học của thầy T.S Lương Thế Dũng. Các tài liệu, số liệu tham khảo được trích dẫn đầy đủ nguồn gốc. Em xin chịu trách nhiệm trước pháp luật lời cam đoan của mình. Học viên thực hiện Phan Thị Kim Quế Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  3. 3 MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN MỤC LỤC ................................................................................................................. 3 DANH MỤC CÁC TỪ VIẾT TẮT .......................................................................... 6 DANH MỤC HÌNH VẼ ............................................................................................ 7 Chương 1.TỔNG QUAN VỀ PKI .......................................................................... 11 1.1.Giới thiệu chung ....................................................................................... 11 1.2.Mật mã khóa đối xứng và mật mã khóa bất đối xứng.............................. 12  Mật mã khóa đối xứng ......................................................................... 12  Mật mã khóa bất đối xứng ................................................................... 14 1.3.Chữ kí số .................................................................................................. 16 1.3.1. Khái niệm ............................................................................................ 16 1.3.2. Tạo chữ kí số ....................................................................................... 17 1.4.Hạ tầng khóa công khai PKI .................................................................... 18 1.4.1.Định nghĩa PKI.............................................................................. 18 1.4.2.Các thành phần chính của PKI ...................................................... 18  Toàn vẹn .................................................................................................... 22  Bảo mật ...................................................................................................... 22 1.4.3.Các dịch vụ của PKI...................................................................... 22 1.4.4.Kiến trúc PKI hiện hành ............................................................... 23 1.5.Kết chương ............................................................................................... 25 Chương 2. TÌM HIỂU KIẾN TRÚC VÀTHUẬT TOÁN TRONG CRYPTOSYS ........ 26 2.1.Giới thiệu Cryptosys PKI ......................................................................... 26 2.1.1. Các hàm được sửa đổi trong các phiên bản ........................................ 26 2.1.2. Quy ước trong tài liệu này .................................................................. 29 2.2.Các thuật toán hỗ trợ trong Cryptosys PKI .............................................. 29 2.2.1. Thuật toán ký số và mã hóa công khai ............................................... 29 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  4. 4 2.2.2. Thuật toán mật mã khối đối xứng cho mã hóa nội dung .................... 30 2.2.3. Thuật toán mã hóa khối cho việc đóng gói khóa ................................ 30 2.2.4. Thuật toán băm Message digest .......................................................... 30 2.2.5. Thuật toán băm khóa HMAC ............................................................. 30 2.2.6. Các thuật toán mã hóa dựa trên mật khẩu........................................... 31 2.2.7. Định dạng khóa RSA .......................................................................... 31 2.2.8. Các kiểu nội dung CMS ...................................................................... 32 2.2.9. Chứng chỉ X509. ................................................................................. 32 2.2.10.Các thuật toán không được hỗ trợ trong Cryptosys PKI ................... 32 2.2.11.Các định dạng lưu trữ khóa ............................................................... 32 2.3.Chứng thư số ........................................................................................... 33 2.3.1. Chứng thư khóa công khai .................................................................. 33 2.3.2. Khuôn dạng chứng thư X.509 ............................................................. 35 2.4.Cài đặt và sử dụng thư viện CryptoSysPKI ............................................. 38 2.4.1. Cài đặt ................................................................................................. 38 2.4.2. Sử dụng với C và C++ ........................................................................ 39 2.4.3. Sử dụng với .NET: C# và VB.NET .................................................... 39 2.4.4. Phát hành an toàn ................................................................................ 40 2.4.5. An toàn khóa ....................................................................................... 41 2.4.6. Các tùy chọn an toàn cho khóa bí mật được mã hóa .......................... 42 2.4.7. Sinh số ngẫu nhiên ( Random Number Generator) ............................ 43 2.4.8. Xác định những định danh riêng biệt ................................................. 44 2.4.9. Tham số mở rộng X509 ...................................................................... 45 2.4.10.Danh sách một số hàm trong CryptoSysPKI .................................... 46 1.Hàm CMS ................................................................................................ 46 2.Các hàm khóa công khai RSA ............................................................... 46 3.Hàm RSA gốc .......................................................................................... 47 4.Hàm chứng chỉ X509 .............................................................................. 47 5.Hàm PFX ................................................................................................. 48 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  5. 5 6.Các hàm mật mã khối ............................................................................. 48 7.Các hàm băm Message Digest ............................................................... 48 8.Các hàm HMAC ...................................................................................... 49 9.Các hàm chuyển đổi mã hóa .................................................................. 49 10.Các hàm chuyển đổi tập tin nhị phân và PEM .................................. 49 11.Các hàm sinh số ngẫu nhiên ................................................................ 49 2.5.Các hoạt động chính trong hệ thống PKI ................................................. 49 2.5.1. Giai đoạn khởi tạo chứng chỉ .............................................................. 50 2.5.2. Giai đoạn sau phát hành ...................................................................... 52 2.5.3. Giai đoạn hủy bỏ chứng thư................................................................ 53 2.5.4. Các hoạt động phục hồi ...................................................................... 54 CHƢƠNG 3.XÂY DỰNG CHƢƠNG TRÌNH THỬ NGHIỆM ....................... 55 3.1. Mục tiêu phát biểu bài toán ..................................................................... 55 3.2. Sơ đồ hoạt động của chương trình .......................................................... 55 3.3. Một số chức năng chính và lựa chọn môi trường công cụ ...................... 56 3.4. Ứng dụng chứng thư số sử dụng hệ thống PKI để bảo mật .................... 60 3.4.1. Ứng dụng truyền tin an toàn ............................................................... 60 3.4.2.Ứng dụng xác thực người dùng và kiểm tra tính toàn vẹn ................. 61 3.5. Đánh giá kết quả thử nghiệm ........................................................................... 61 KẾT LUẬN ............................................................................................................. 63 Tiếng Việt: ............................................................................................................. 65 Tiếng Anh: ............................................................................................................. 65 PHỤ LỤC. Chương trình mô phỏng hệ thống PKI .............................................. ..66 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  6. 6 DANH MỤC CÁC TỪ VIẾT TẮT CA Certificate Authority CRLs Certificate Revocation Lists DES Data Encryption Standard DNS Domain Name System DSA Directory System Agent DSS Directory Service Server IEEE Institute of Electrical & Electronic Engineers LDAP Lightweight Directory Access Protocol MAC Message Authentication Code MD5 Message Digest 5 Hash Algorithm OCSP Online Certificate Status Protocol PGP Pretty Good Privacy PKC Public Key Certificate PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman S/MIME Secure Multipurpose Internet Mail Extensión SHA-1 Secure Hash Standard SSL Secure Socket Layer TTP Trusted Third Party TLS Transport Layer Security Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  7. 7 DANH MỤC HÌNH VẼ Hình 1.1. Mô hình mã hóa và giải mã sử dụng mật mã ......... Error! Bookmark not defined. Hình 1.2. Mô hình đơn giản của hệ thống mã hóa đối xứng.................................. 12 Hình 1.3. Mô hình đơn giản của mật mã khóa bất đối xứng................................... 15 Hình 1.4. Mô hình tạo chữ kí số.............................................................................. 17 Hình 1.5. Mô hình trao đổi thông tin sử dụng chữ ký số ........................................ 18 Hình 1.6. Ví dụ về việc áp dụng chữ ký số trong thực tế ....................................... 18 Hình 1.7.Các thành phần của chứng chỉ ................................................................. 19 Hình 1.8.Quá trình yêu cầu đăng ký chứng thư số.................................................. 19 Hình 1.9. Mô hình kiến trúc hệ thống PKI.............................................................. 21 Hình 1.10.Mô hình hệ thống CA một cấp ............................................................... 24 Hình 1.11.Mô hình hệ thống CA phân cấp ............................................................. 25 Hình 1.12.Mô hình hệ thống CA ngang cấp ........................................................... 25 Hình 2.1.Chứng thư khóa công khai đơn giản ........................................................ 34 Hình 2.2.Khuôn dạng chứng thư số phiên bản 1 và 2 dạng X.509 ......................... 36 Hình 2.3. Phần mở rộng của khuôn dạng chứng thư số trong phiên bản 3 dạng X.509 ...... 37 Hình 2.4.Thư viện Cryptosys PKI........................................................................... 39 Hình 2.5. Tóm tắt quá trình hoạt động cơ bản trong hệ thống PKI ........................ 51 Hình 2.6. Giai đoạn khởi tạo ................................................................................... 52 Hình 2.7. Giai đoạn hủy bỏ chứng chỉ .................................................................... 53 Hình 3.1. Sơ đồ hoạt động của chương trình .......................................................... 55 Hình 3.2. Giao diện chính của chương trình ........................................................... 56 Hình 3.3. Giao diện chức năng cấp phát chứng chỉ ................................................ 58 Hình 3.4. Giao diện yêu cầu tạo chứng chỉ ............................................................. 59 Hình 3.5. Giao diện danh sách chứng thư được cấp ............................................... 59 Hình 3.6. Giao diện kiểm tra chứng thư số ............................................................. 59 Hình 3.7. Chứng chỉ số do CA cấp ......................................................................... 60 Hình 3.8. Giao diện cập nhật chứng thư số hết hạn ................................................ 60 Hình 3.9. Giao diện kiểm tra chứng thư bị thu hồi ................................................. 61 Hình 3.10. Giao diện chương trình ứng dụng truyền tin bảo mật ........................... 61 Hình 3.11. Sơ đồ hoạt động của ứng dụng xác thực, kiểm tra tính toàn vẹn ......... 61 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  8. 8 MỞ ĐẦU 1. Lý do chọn đề tài Trong kỷ nguyên của công nghệ thông tin, tính phổ biến rộng rãi của Internet một mặt đem lại nhiều ứng dụng tiện lợi, thú vị và dần thay thế các hoạt động truyền thống trong thế giới thực, mặt khác nó đặt ra các vấn đề về sự an toàn, tính tin cậy của những giao dịch trên Internet. Cơ sở hạ tầng khóa công khai (PKI) có thể đáp ứng, giải quyết những vấn đề cơ bản nhất cho những yêu cầu trên. Dựa trên các dịch vụ cơ bản về chứng thực số và chữ ký số, một PKI chính là bộ khung của các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo mật của người sử dụng. Không chỉ nằm trong lĩnh vực thương mại điện tử, chứng thực số hiện còn được sử dụng như một dạng chứng minh thư cá nhân. Tại các nước công nghệ phát triển, chứng thực số CA được tích hợp vào các chip nhớ nằm trong thẻ căn cước, thẻ tín dụng để tăng cường khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình trên nhiều hệ thống khác nhau, chẳng hạn như xe Bus, thẻ rút tiền ATM, kiểm soát hải quan v.v.. Từ tính cấp thiết của các vấn đề trong thực tế, em xin mạnh dạn trình bày tổng quát về cơ sở hạ tầng khóa công khai. Đề tài đi vào hướng “ Phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ Cryptosys”. 2. Mục đích và nhiệm vụ * Mục đích Đề tài này tập trung vào hướng phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ Cryptosys PKI (PKI- Public Key Infrastructure). Các kết quả của đề tài sẽ được ứng dụng trong xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI. * Nhiệm vụ Nghiên cứu các quá trình thực hiện mã hóa và giải mã công khai Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  9. 9 Tìm hiểu các thuật toán Thực hiện đưa ra các giải pháp Ứng dụng trong hệ mã cụ thể PKI So sánh với kết quả thực thi của hệ mã khi chưa áp dụng 3. Phƣơng pháp nghiên cứu Nghiên cứu dựa trên việc tìm hiểu các giải thuật xử lý dựa trên bộ công cụ Cryptosys PKI. Thu thập các tài liệu đã xuất bản, các bài báo trên các tạp trí khoa học và các tài liệu trên mạng Internet có liên quan đến vấn đề đang nghiên cứu. Tìm hiểu, vận dụng và kế thừa các thuật toán và qui trình mã đã công bố kết quả. 4. Đối tƣợng và phạm vi nghiên cứu  Đối tƣợng nghiên cứu Đi vào nghiên cứu kỹ thuật, công nghệ, triển khai hạ tầng mật mã khóa công khai (PKI- Public Key Infrastructure) áp dụng an toàn một số giao dịch qua cổng thông tin điện tử, từ đó phân tích và nêu ra các giải pháp phù hợp. Từ các kết quả thu được, đề tài đưa ra cách xây dựng thử nghiệm mô hình triển khai hạ tầng mật mã khóa công khai PKI.  Phạm vi nghiên cứu Đề tài thực hiện triển khai hạ tầng mật mã khóa công khai (PKI- Public Key Infrastructure) áp dụng an toàn một số giao dịch qua cổng thông tin điện tử. Đề tài giới hạn trong phạm vi nghiên cứu để đưa ra giải pháp, việc triển khai ứng dụng thực tiễn cần có thêm các điều kiện về thời gian và quy mô. 5. Ý nghĩa khoa học của đề tài Nghiên cứu tổng hợp cơ sở lý thuyết, phương pháp luận, các công cụ cho việc phát triển hệ thống cơ sở hạ tầng khóa công khai phục vụ cho việc cấp phát chứng chỉ số. Góp phần giải quyết bài toán xác thực các thực thể tham gia vào trao đổi thông tin liên lạc qua cổng giao dịch điện tử. Các phương pháp mật mã gồm: Phương pháp mã hoá khóa bí mật và phương pháp mã hóa khóa công khai. Phương pháp mã hóa khóa công khai thì tập trung vào Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  10. 10 mã khóa công khai (PKI) cơ bản dựa trên nền bộ thư viện Cryptosys PKI. Với Phương pháp mã bí mật chỉ trình bày sơ bộ mang tính so sánh. 6. Bố cục của luận văn Luận văn được trình bày trong chương, có phần mở đầu, phần kết luận, phần tài liệu tham khảo. Các nội dung cơ bản của luận văn được trình bày theo cấu trúc như sau: Mở đầu 1. Lý do chọn đề tài 2. Mục đích và nhiệm vụ 3. Phương pháp nghiên cứu 4. Đối tượng và phạm vi nghiên cứu 5. Ý nghĩa khoa học của đề tài. Chƣơng 1: Tổng quan về PKI Chƣơng 2: Kiến trúc và các thuật toán trong Cryptosys PKI Chƣơng 3: Xây dựng chƣơng trình thử nghiệm Kết luận Đánh giá và nêu ưu nhược điểm của đề tài. Trình bày các kết quả thu được sau khi thực hiện đề tài. Hướng phát triển tiếp theo của đề tài. 6. Đóng góp của luận văn Luận văn hệ thống các cơ sở lý thuyết cơ bản về hệ mật mã khóa công khai. Xây dựng chương trình thử nghiệm mô hình PKI cơ bản dựa trên nền bộ công cụ lập trình Cryptosys PKI (PKI- Public Key Infrastructure). Mô hình này hoàn toàn có thể phát triển tạo ra cơ sở hạ tầng khóa công khai đáp ứng trong thực tế. Giúp người sử dụng hiểu rõ hơn về khả năng ứng dụng mật mã trong các bài toán bảo mật thông tin. Ngoài ra giúp người sử dụng hiểu rõ hơn hệ thống PKI, từ đó có thể vận hành tốt các hệ thống PKI trong thực tế. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  11. 11 Chƣơng 1. TỔNG QUAN VỀ PKI 1.1. Giới thiệu chung Mật mã được sử dụng để bảo vệ tính bí mật của thông tin khi thông tin được truyền trên các kênh truyền công cộng như kênh bưu chính, mạng truyền thông tin máy tính, điện thoại, mạng Internet,… Mật mã đã được con người sử dụng từ lâu đời[1]. Các hình thức mật mã sơ khai đã được tìm thấy từ khoảng bốn nghìn năm trước trong nền văn minh Ai Cập cổ đại. Trải qua hàng nghìn năm lịch sử, mật mã được sử dụng rộng rãi ở khắp nơi trên thế giới từ Đông sang Tây để giữ bí mật cho việc giao lưu thông tin trong nhiều lĩnh vực hoạt động giữa con người và các quốc gia, đặc biệt trong các lĩnh vực quân sự, chính trị, ngoại giao. Mật mã trước hết là một loại hoạt động thực tiễn, nội dung chính của nó là để giữ bí mật thông tin. Ví dụ một văn bản được gửi từ người A đến người nhận B mà không muốn bất kì một ai khác B đọc được văn bản đó. A mã hóa văn bản đó thành bản mã tương ứng thay vì gửi văn bản thì A chỉ gửi bản mã cho B, B nhận được bản mã và giải mã lại văn bản để hiểu được thông tin mà A muốn gửi cho mình. Do văn bản gửi đi thường được chuyển qua các con đường công khai nên người ngoài có thể “ đánh cắp” được, nhưng vì đó là bản mã nên không thể đọc hiểu được. Hình 1.1. Mô hình mã hóa và giải mã sử dụng mật mã. A có thể tạo ra bản mã và B có thể giải mã thành văn bản rõ để hiểu được là do hai người đã có một thoả thuận về một chìa khoá chung, chỉ với khoá chung này Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  12. 12 thì A mới tạo được bản mã từ bản rõ và B mới khôi phục được bản rõ từ bản mã. Khoá chung đó được gọi là khoá mã. Để thực hiện được một phép mã, ta còn cần có một thuật toán biến bản rõ cùng với khoá mã thành bản mã và một thuật toán ngược lại biến bản mã cùng với khoá mã thành bản rõ. Các thuật toán đó được gọi tương ứng là thuật toán lập mã và thuật toán giải mã. Các thuật toán này thường không nhất thiết phải giữ bí mật, mà cái luôn cần được giữ bí mật là khoá mã. Trong thực tiễn, có những hoạt động ngược lại với hoạt động bảo mật là khám phá bí mật từ các bản mã “lấy trộm” được, hoạt động này thường được gọi là mã thám hay phá khoá. 1.2. Mật mã khóa đối xứng và mật mã khóa bất đối xứng  Mật mã khóa đối xứng Mật mã khóa đối xứng còn có tên gọi khác như Private Key Cryptography – mã hóa hóa bí mật. Mã hóa đối xứng sẽ sử dụng một khóa chung cho cả hai quá trình mã hóa và giải mã.[1] Trước khi truyền dữ liệu hai bên gửi và nhận phải thỏa thuận về khóa dùng chung cho quá trình mã hóa và giải mã. Khóa sẽ được phân phối bằng cách an toàn nào đó như đĩa mềm, dùng bên thứ 3 tin cậy, hoặc bằng phương pháp mã hóa công khai,… Hai bên phải giữ bí mật về khóa dùng chung này. Sau đó, bên gửi sẽ mã hóa bản rõ bằng cách sử dụng khóa bí mật đã được thỏa thuận giữa 2 bên và gửi thông điệp được mã hóa sang cho bên nhận. Bên nhận sau khi nhận được thông điệp này sẽ dùng khóa bí mật để giải mã và sẽ nhận được bản rõ. Hình 1.2. Mô hình đơn giản của hệ thống mã hóa đối xứng Mã hóa đối xứng có thể phân làm 2 loại sau:  Block Cipher ( mã khối): Tác động trên bản rõ theo từng khối bits, từng nhóm Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  13. 13 bits này còn được gọi là khối (Block). Từng khối dữ liệu trong văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Ví dụ như thuật toán DES với khối dữ liệu có độ dài là 64 bits, 3DES (Triple DES), AES với khối dữ liệu có độ dài là 128 bits và khóa có độ dài là 128, 192 hoặc 256 bits  Stream Cipher (mã dòng): Tác động lên bản rõ theo từng bits một. Dữ liệu của văn bản được mã hóa từng bits một. Các thuật toán mã dòng này có tốc độ nhanh hơn các thuật toán mã khối và nó thường được áp dụng khi lượng dữ liệu cần mã hóa chưa biết trước. Phương pháp này tạo ra lỗi ít hơn so với phương pháp mã khối và nếu có xảy ra lỗi cũng chỉ ảnh hưởng trên 1 bit. Các thuật toán được dùng như là RC5, SEAL,… Thuật toán mã hóa đối xứng cũng có thể được dùng để xác thực tính toàn vẹn và nguồn gốc dữ liệu. A sử dụng khóa của mình để sinh ra ciphertext (bản mã) cho toàn bộ plaintext (bản rõ). Sau đó gửi bản plaintext và 1 phần của ciphertext cho B. Một phần của ciphertext đó được gọi là đoạn mã xác thực thông điệp (MAC). B sử dụng bản sao khóa của mình để sinh ra ciphertext, lấy một phần tương tự của ciphertext và so sánh nó với MAC nhận được. Nếu chúng giống nhau thì B biết được rằng A đã gửi thông điệp đó cho anh. Tuy nhiên, phương pháp này không cung cấp khả năng chống chối bỏ. A có thể phủ nhận việc gửi thông điệp đó, bởi vì chính B cũng có thể sinh ra thông điệp như vậy. A và B cần chia sẻ một khóa đối xứng trước khi A mã hóa hay tạo ra một MAC cho một thông điệp. Cần thành lập một nơi để chia sẻ khóa gọi là hệ thống quản lý khóa (key management), nhưng đây vẫn là một vấn đề rất khó. Hệ thống quản lý khóa có thể được thực hiện với mật mã khóa đối xứng, nhưng đó là một vấn đề nan giải. Để sử dụng mật mã đối xứng, A và B cần chia sẻ một cách bí mật. Nơi đầu tiên chia sẻ khóa phải được thành lập thông qua kỹ thuật “out-of- band” (một kênh giao tiếp riêng). Nó có thể chấp nhận được nếu A chỉ liên lạc với B. Nếu A liên lạc với một cộng đồng lớn hơn, thì việc thành lập từng mối quan hệ trở nên phức tạp và khó để đạt được các dịch vụ bảo mật. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  14. 14 Tuy nhiên, vấn đề này có thể trở thành dễ sử dụng thông qua sự giới thiệu của một bên thứ ba tin cậy (Trusted Third Party). Nếu A và người mà A muốn liên lạc đều tin vào TTP, họ có thể lấy một khóa mới cho ý định đó từ TTP. Mỗi bên phải thành lập một out-of-band bí mật với TTP như một điểm khởi đầu. Tuy nhiên, A sẽ không cần lặp lại quá trình đó cho mỗi người mới mà A muốn liên lạc. Ưu, nhược điểm của mật mã khóa đối xứng: + Ưu điểm:  Có thể được thiết kế để đạt tốc độ cao. Các thiết bị phần cứng hỗ trợ có thể đạt tốc độ hàng trăm megabytes mỗi giây trong khi việc thực thi bằng phần mềm chỉ đạt được khoảng vài megabytes mỗi giây.  Khóa bí mật dùng cho việc mã hóa và giải mã tương đối ngắn.  Được xem như thành phần cơ bản có thể triển khai để xây dựng các kỹ thuật mã hóa khác bao gồm khởi tạo các số ngẫu nhiên, các hàm băm, các kỹ thuật tính toán.  Có thể được kết hợp để tạo ra các thuật toán mã hóa mạnh hơn. + Nhược điểm:  Trong quá trình truyền thông giữa hai người, khóa phải được giữ bí mật cho cả hai phía.  Trong một hệ thống mạng lớn, số lượng khóa cần được quản lý rất nhiều. Ví dụ để đảm bảo giao thông liên lạc an toàn cho tất cả mọi người trong một nhóm gồm n người, tổng số lượng khóa cần phải có là . Do vậy việc quản lý khóa một cách hiệu quả đòi hỏi sử dụng một bộ phận tin cậy thứ ba (TTP :Trusted Third Party).  Khóa bí mật cần được thay đổi thường xuyên.  Mật mã khóa bất đối xứng Mật mã khóa bất đối xứng hay còn được gọi là mật mã công khai (Public Key Cryptography). Trong thuật toán này sẽ có hai khóa được sử dụng, một được dùng để mã hóa và một được dùng để giải mã. Khóa dùng để mã hóa được gọi là khóa công khai (Public key), còn khóa dùng để giải mã được gọi là khóa bí mật (private key). Một người dùng bất kỳ có thể dùng khóa công khai để mã hóa dữ liệu nhưng chỉ có người có khóa giải mã tương ứng mới có thể đọc được dữ liệu đó mà thôi. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  15. 15 Hình 1.3. Mô hình đơn giản của mật mã khóa bất đối xứng Mã hóa khóa công khai ra đời nhằm giải quyết vấn đề phân phối khóa của các phương pháp mã hóa đối xứng. Quá trình này được thực hiện như sau:  Bên gửi sẽ yêu cầu lấy khóa công khai của bên nhận đến bên nhận hoặc có thể gửi yêu cầu này đến trung tâm phân phối khóa.  Sau đó hai bên sẽ thống nhất thuật toán dùng để mã hóa dữ liệu, bên gửi sẽ sử dụng khóa công khai của người nhận cùng với thuật toán đã thống nhất để mã hóa dữ liệu gửi đi.  Khi nhận được thông tin mã hóa bên nhận sẽ dùng khóa bí mật tương ứng để giải mã thông điệp nhận được. Với phương pháp mã hóa này thì khóa bí mật không phải phân phối thủ công hoặc qua mạng, mà người dùng chỉ cần bảo vệ khóa bí mật do vậy sẽ an toàn hơn. Nhưng tốc độ thực hiện của mã hóa bất đối xứng chậm hơn nhiều so với mã hóa đối xứng. Một số thuật toán mã hóa bất đối xứng điển hình là, Elgamal, Diffie – hellman, RSA ... Ưu, nhược điểm của mật mã khóa bất đối xứng:  Ưu điểm:  Chỉ có khóa riêng thì cần được giữ bí mật (tuy nhiên việc xác nhận của các khóa công khai cần được đảm bảo).  Việc quản trị các khóa trên mạng đòi hỏi sự tồn tại duy nhất một thành phần tin cậy TTP.  Cặp khóa riêng và công khai có thể được sử dụng trong thời gian dài.  Nhiều mô hình khóa công khai được phát triển hình thành nên các kỹ thuật Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  16. 16 chữ ký số hiệu quả. Khóa được sử dụng cho hàm kiểu công khai thì nhỏ hơn rất nhiều so với dùng khóa đối xứng  Trong một mạng lớn, số lượng các khóa cần thiết được quan tâm ít hơn so với việc dùng khóa đối xứng.  Nhược điểm:  Tốc độ cho các phương thức mã hóa công khai thì chậm hơn rất nhiều so với các mô hình khóa đối xứng.  Kích thước khóa lớn hơn rất nhiều so với cơ chế mã hóa khóa đối xứng.  Không có mô hình khóa công khai nào được chứng minh là an toàn. Phần lớn các mô hình mã hóa hiệu quả ngày nay có sự an toàn dựa trên các giả thuyết của một tập nhỏ của các vấn đề lý thuyết số học.  Hệ thống mã hóa công khai không có bề dày lâu đời như hệ thống mã hóa khóa đối xứng, nó chỉ được tìm ra vào giữa khoảng những năm 1970. 1.3. Chữ kí số 1.3.1. Khái niệm Theo nghị định 26/2007/NĐ-CP “chữ kí số” là một dạng chữ kí điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác.[2] Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa; Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  17. 17 1.3.2. Tạo chữ kí số Mật mã khóa công khai có thể được sử dụng theo nhiều cách khác nhau. Chữ kí số là một ví dụ minh chứng cho việc đảm bảo xác thực người dùng và toàn vẹn dữ liệu. Nếu người gửi A mã hóa thông điệp hay tài liệu với khóa riêng của mình thì bất kì ai cũng có thể giải mã thông điệp với khóa công khai của A. Do đó, người nhận có thể chắc chắn rằng thông điệp mình nhận chỉ có thể do A mã vì chỉ có A mới có khóa riêng của mình. Quá trình mã hóa thông điệp với khóa riêng của người gửi gọi là quá trình “ký số”.[8] Hình 1.4. Mô hình tạo chữ kí số Chữ kí số được sử dụng để xác thực người gửi và kiểm tra tính toàn vẹn của dữ liệu. Hình 1.5. Mô hình trao đổi thông tin sử dụng chữ ký số Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  18. 18 Hình 1.6. Ví dụ về việc áp dụng chữ ký số trong thực tế Ví dụ người A gửi thông điệp cho người B. Người nhận B sau khi nhận được thông điệp đầu tiên sẽ giải mã bản băm với khóa công khai của người gửi. Nếu giải mã được thì xác định đúng là do A gửi. Còn giải mã không được thì không phải do A gửi. Sau đó băm thông điệp đi kèm bằng thuật toán băm tương ứng với thuật toán băm người gửi đã sử dụng. B so sánh hai giá trị băm nếu giống nhau thì chắc chắn rằng thông điệp A gửi cho B còn nguyên vẹn. 1.4. Hạ tầng khóa công khai PKI 1.4.1. Định nghĩa PKI Có nhiều định nghĩa khác nhau về PKI (Public Key Infratructure): PKI là cơ sở của một hạ tầng an ninh rộng khắp, các dịch vụ cơ bản của nó được cài đặt và được thực hiện bằng cách sử dụng các khái niệm và kỹ thuật của mật mã khóa công khai.[4] PKI là một tập hợp các phần cứng, phần mềm, con người, các chính sách và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu hồi các chứng thư khóa công khai dựa trên mật mã khóa công khai.[2] Chứng thư số (Certificate): Là đại lượng điện tử đại diện cho người dùng, máy tính, dịch vụ hoặc thiết bị trong mạng. Nó liên kết định danh của chủ sở hữu nó với một cặp khóa và thường có những thông tin cơ bản sau: Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  19. 19 Hình 1.7. Các thành phần của chứng chỉ  Version: phiên bản  Serial Number: Số Serial của chứng chỉ  CA Signature Alg: Thuật toán ký số của CA  Issuer Name: Tên người phát hành  Validity Period: Thời gian hết hạn  Subject Name: Tên chủ thể  Subject Public Key: Khóa công khai của chủ thể 1.4.2. Các thành phần chính của hệ thống PKI Certificate Authority (CA) là một tổ chức được tin tưởng trong việc cấp phát chứng thư số và công nhận các nội dung thông tin lưu giữ trong chứng thư số. CA được coi là trái tim của hệ thống PKI, là tổ chức quản lý của PKI. Registration Authority (RA) là cơ quan chịu trách nhiệm xác nhận về tính trung thực của yêu cầu sử dụng chứng thư số. RA không có trách nhiệm sinh và ký chứng thư. RA sau khi nhận yêu cầu sẽ chuyển sang CA để thực hiện.Kết quả của CA sẽ được chuyển tới yêu cầu thông qua RA. Hình 1.8. Quá trình yêu cầu đăng ký chứng thư số Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
  20. 20 RA được thiết kế để chia sẻ bớt công việc mà CA thường phải đảm trách và không thể thực hiện bất kỳ một dịch vụ nào mà tổ chức CA của nó không thực hiện được. Quan trọng nhất là RA được ủy quyền và có quyền thực hiện các công việc mà CA cho phép vì lợi ích của CA. Một RA chỉ nên phục vụ cho một CA, trong khi đó một CA có thể được hỗ trợ bởi nhiều RA. Thông qua việc chia sẻ bớt nhiệm vụ cho các RA, một CA sẽ có thể đáp ứng nhanh các yêu cầu của thực thể cuối. Mục đích chính của một RA là xác minh danh tính của thực thể cuối và quyết định xem thực thể này có được cấp chứng nhận khóa công khai hay không. RA phải tuân theo các chính sách và các thủ tục được định nghĩa trong CP và CPS. Chức năng đặc trưng của RA là thẩm tra yêu cầu cấp chứng nhận của thực thể cuối bằng cách kiểm tra tên, ngày hiệu lực, các ràng buộc thích hợp, khóa công khai, sự gia hạn chứng nhận và các thông tin liên quan. RA còn có thể có trách nhiệm về việc thực hiện các kiểm tra chi tiết thực thể cuối đơn giản như việc chắc chắn rằng tên của thực thể cuối là duy nhất trong phạm vi của PKI Local Registration Authority (LRA) là đại diện của RA tại địa phương, thực hiện các chức năng của RA tại khu vực quản lý của mình. Các chức năng của một LRA đó là :  Xác nhận các thông tin về người đăng ký  Chấp thuận các yêu cầu đăng ký sử dụng  Gửi yêu cầu cấp mới tới CA  Gửi yêu cầu gia hạn tới CA  Gửi yêu cầu hủy bỏ chứng thư tới CA  Hỗ trợ tại chỗ cho người sử dụng Chứng thư số là phần quan trọng để đảm bảo an toàn cho khóa công khai tránh được các lỗ hổng an toàn như giả mạo hay sửa đổi. Kho chứng thư: Kho lưu trữ chứng thư (CR) là nơi để chứa các thông tin và trạng thái của các chứng thư số được phát hành bởi CA và cũng có thể chứa cả danh sách thu hồi chứng thư số (CRL). Kho chứa còn lưu trữ các chứng thực chéo của CA này được phát hành bởi CA khác, chứng nhận chéo của CA khác phát hành Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
3=>0