Tài liệu Căn bản về mật mã: Căn bản về mật mã
• Khái niệm
• Các giải thuật
• Ứng dụng của mật mã
• Hạ tầng khóa công khai (PKI)
• Quản lý khóa và chứng chỉ số
Chương 4
10/08/2010 1Bộ môn MMT&TT
10/08/2010Bộ môn MMT&TT 2
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về mật
mã và ứng dụng của mật mã trong an ninh mạng.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Trình bày được khái niệm về mật mã.
▫ Phân biệt được các giải thuật dùng trong mật mã như giải thuật
băm, đối xứng và bất đối xứng.
▫ Trình bày được ứng dụng của mật mã trong an ninh mạng.
▫ Hiểu được khái niệm cơ sở hạ tầng khóa công khai (PKI).
▫ Trình bày được khái niệm chữ ký số, chứng chỉ số và việc quản lý
chữ ký điện tử và chứng chỉ số.
10/08/2010Bộ môn MMT&TT 3
Khái niệm về mật mã
• Mật mã (cryptography)
Đầu vào là
dữ liệu gốc
(plaintext)
l
li
( l i t t) Đầu ra là dữ
liệu đã mã hóa
(ciphertext)
r l
li
( i rt t)
Mật mã sử dụng các giải thuật :
• Băm (hashing)
• Mã hóa đối xứng (sy...
43 trang |
Chia sẻ: putihuynh11 | Lượt xem: 614 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Căn bản về mật mã, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Căn bản về mật mã
• Khái niệm
• Các giải thuật
• Ứng dụng của mật mã
• Hạ tầng khóa công khai (PKI)
• Quản lý khóa và chứng chỉ số
Chương 4
10/08/2010 1Bộ môn MMT&TT
10/08/2010Bộ môn MMT&TT 2
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về mật
mã và ứng dụng của mật mã trong an ninh mạng.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Trình bày được khái niệm về mật mã.
▫ Phân biệt được các giải thuật dùng trong mật mã như giải thuật
băm, đối xứng và bất đối xứng.
▫ Trình bày được ứng dụng của mật mã trong an ninh mạng.
▫ Hiểu được khái niệm cơ sở hạ tầng khóa công khai (PKI).
▫ Trình bày được khái niệm chữ ký số, chứng chỉ số và việc quản lý
chữ ký điện tử và chứng chỉ số.
10/08/2010Bộ môn MMT&TT 3
Khái niệm về mật mã
• Mật mã (cryptography)
Đầu vào là
dữ liệu gốc
(plaintext)
l
li
( l i t t) Đầu ra là dữ
liệu đã mã hóa
(ciphertext)
r l
li
( i rt t)
Mật mã sử dụng các giải thuật :
• Băm (hashing)
• Mã hóa đối xứng (symmetric)
• Mã hóa bất đối xứng (Asymmetric)
t i i t t :
• ( i )
• i ( tri )
• t i ( tri )
Mật mã là 1 nghệ thuật làm biến đổi
dữ liệu gốc và sau đó sẽ khôi phục
lại để sử dụng trong tương lai.
t l t t l i i
li i
l i tr t l i.
Khóa (dưới nhiều
dạng khác nhau)
luôn được yêu cầu
( i i
)
l
10/08/2010Bộ môn MMT&TT 4
Các giải thuật trong mật mã
• Giải thuật băm (hashing)
• Băm dùng để tạo ra “dấu vân tay”
(MAC-message authentication code
hay message digest) của dữ liệu.
• Giá trị này được gửi kèm với dữ
liệu để nơi nhận kiểm tra tính toàn
vẹn dữ liệu.
• t r “ t ”
( - t ti ti
i t) li .
• i trị i i
li i i t tí t
li .
Băm (hashing) công dụng không
phải là mã hóa (encryption)
( i )
i l ( r ti )
Các giải thuật băm:
• Message-Digest 5 (MD5)
• Secure Hash Algorithm 1
(SHA-1)
i i t t :
• - i t ( )
• r l rit
( - )
10/08/2010Bộ môn MMT&TT 5
Các giải thuật trong mật mã
• Giải thuật băm MD5
• Được phát minh bởi Ron Rivest
của RSA Security.
• Mô tả trong RFC-1321
• t i i i t
rit .
• t tr -
MD5 thường dùng để kiểm tra phần
checksum của những phần mềm cho
phép download từ Internet nhằm đảm
bảo đó không phải là phần mềm giả mạo.
t i tr
l t I t r t
i l i .
• Đầu ra của MD5 luôn là 1 digest
có giá trị 128 bits hay 32 ký tự Hex.
• Không thể “dịch ngược“ lại được
dữ liệu gốc từ digest của MD5.
• r l l i t
i trị it t .
• t “ ị “ l i
li t i t .
10/08/2010Bộ môn MMT&TT 6
Các giải thuật trong mật mã
• Giải thuật băm SHA-1
• Được tạo ra bởi chính phủ Mỹ
(NIST và NSA).
• Mô tả trong RFC-3174
• Khắc phục điểm yếu trong MD5.
• t r i í
( I ).
• t tr -
• i tr .
SHA-1 thông thường được sử dụng
trong việc cài đặt IPSec.
- t t
tr i i t I .
• Đầu ra của SHA luôn là 1 digest
có giá trị 160 bits.
• Bảo mật hơn MD5
• r l l i t
i trị it .
• t
10/08/2010Bộ môn MMT&TT 7
Các giải thuật trong mật mã
• Giải thuật băm HMAC
Các giải thuật băm có điểm
yếu khi gặp dạng tấn công
“Kẻ đứng giữa” (Man-in-the-
middle): giả mạo dữ liệu và
cả digest gửi kèm.
i i t t i
i t
“ i ” ( -i -t -
i l ): i li
i t i .
HMACs đưa vào thêm 1
khóa bí mật trước khi
dùng giải thuật băm:
Data + key => Digest
t
í t tr i
i i t t :
t i t
• Cơ chế dùng thêm khóa bí mật gọi là “Message Authentication Codes” (MAC).
• Khóa bí mật chỉ được biết bởi người gửi và người nhận.
• Dùng HMAC với 2 giải thuật băm chính:
o HMAC + MD5 = HMAC-MD5 sử dụng khóa 128 bits
o HMAC + SHA-1 = HMAC-SHA-1 sử dụng khóa 160 bits
• t í t i l “ t ti ti ” ( ).
• í t ỉ i t i i i i .
• i i i t t í :
- it
- - - it
10/08/2010Bộ môn MMT&TT 8
Các giải thuật trong mật mã
Thông tin download file: ti l fil :
Kiểm tra lại sau khi download: ( tr l i i l : ( tt :// .fil f r t.i f /t l/ . t )
10/08/2010Bộ môn MMT&TT 9
Các giải thuật trong mật mã
• Giải thuật mã hóa (encryption algorithms)
• Mã hóa là 1 hình thức của mật mã
• Mã hóa tạo ra sự bí mật (bảo mật)
cho dữ liệu khi lưu trữ hay truyền đi
trên mạng.
• l ì t t
• t r í t ( t)
li i l tr tr i
tr .
• Mã hóa sử dụng những giải thuật để
biến đổi dữ liệu gốc (plaintext) sang dạng
dữ liệu không thể hiểu được (ciphertext).
• Các giải thuật mã hóa dùng khóa (key)
để mã hóa và giải mã.
• Khóa càng dài => bảo mật càng cao.
• i i t t
i i li ( l i t t)
li t i ( i rt t).
• i i t t ( )
i i .
• i t .
Có 2 dạng mã hóa:
• Đối xứng (symmetric key encryption):
sử dụng chung 1 khóa cho mã hóa và
giải mã.
• Bất đối xứng (Asymmetric key
encryption ): sử dụng 2 khóa
- 1 khóa cho mã hóa
- 1 khóa cho giải mã
:
• i ( tri r ti ):
i i .
• t i ( tri
r ti ):
-
- i i
10/08/2010Bộ môn MMT&TT 10
Các giải thuật trong mật mã
• Giải thuật mã hóa đối xứng (Symmetric)
Còn gọi là “mã hóa với
khóa bí mật” hay “mã
hóa với khóa chia sẻ”
i l “ i
í t” “
i i ”
• Có thể bị các tấn công “vét cạn” để
tìm ra khóa.
• Có tốc độ nhanh và cài đặt đơn giản
hơn so với mã hóa bất đối xứng.
• SSL sử dụng mã hóa đối xứng.
• t ị t “ t ”
tì r .
• t i t i
i t i .
• i .
Một số giải thuật mã hóa đối xứng:
• Data Encryption Standard (DES)
• Triple Data Encryption Standard (3DES)
• Advanced Encryption Standard (AES)
• International Data Encryption Algorithm (IDEA)
• Twofish
• Carlisle Adams/Stafford Tavares (CAST)
t i i t t i :
• t r ti t r ( )
• ri l t r ti t r ( )
• r ti t r ( )
• I t r ti l t r ti l rit (I )
• fi
• rli l / t ff r r ( )
10/08/2010Bộ môn MMT&TT 11
Các giải thuật trong mật mã
• Giải thuật mã hóa DES
• Phát triển từ thuật toán Lucifer
của Horst Feistel (IBM).
• Được chuẩn hóa năm 1976.
• t tri t t t t if r
r t i t l (I ).
• .
• Mã hóa từng khối dữ liệu 64 bits.
• Độ dài khóa 64 bits: 56 bits cho
khóa và 8 bits cho kiểm tra (parity).
• Dữ liệu được chia làm 2 (32 bits) xử
lý qua 16 chu trình (mạng Feistel).
• Mỗi hàm Feistel thực thi sẽ sử dụng
1 khóa con 48 bits (tính ra từ khóa
chính 56 bits).
• t i li it .
• i it : it
it i tr ( rit ).
• li i l ( it )
l trì ( i t l).
• i i t l t t i
it (tí r t
í it ).
•Giải thuật được sử dụng rộng rãi vì tốc
độ mã hóa nhanh,
• Hiện nay, DES được xem là không đủ
an toàn vì độ dài khóa ngắn (56bits)
=> chuyển qua dùng 3DES
• i i t t r r i ì t
,
• i , l
t ì i ( it )
10/08/2010Bộ môn MMT&TT 12
Các giải thuật trong mật mã
• Giải thuật mã hóa 3DES
Thay thế dần cho DES
vì an toàn hơn
t
ì t
• Dùng 3 lần liên tiếp thuật toán DES với 3 khóa khác nhau K1, K2 và K3.
• Khóa sử dụng = 3 x 56 bits = 168 bits
• Gần như không thể dò tìm được khóa bằng phương pháp vét cạn.
• Phiên bản khác là 2TDES có khóa là 112 bits vì sử dụng khóa K1=K3.
• Tốc độ thực thi chậm nên được thay thế dần bởi thuật toán AES.
• l li ti t t t i , .
• it it
• t tì t .
• i l l it ì .
• t t i t t i t t t .
10/08/2010Bộ môn MMT&TT 13
Các giải thuật trong mật mã
• Giải thuật mã hóa AES
• Được phát triển bởi 2 nhà mật mã người
Bỉ Joan Daemen và Vincent Rijmen, lấy tên
là thuật toán Rijndael.
• Tạm dịch là “Tiêu chuẩn mã hóa tiên tiến”
• t tri i t i
ỉ i t ij , l t
l t t t ij l.
• ị l “ i ti ti ”
• Sử dụng thuật toán thay thế hoán vị.
• Khối dữ liệu 128 bits.
• Khóa 128, 192 hoặc 256 bits.
• Số chu trình thực hiện là 10, 12
hoặc 14 tùy theo độ dài khóa.
• t t t t t ị.
• i li it .
• , it .
• trì t i l ,
t t i .
• Được sử dụng phổ biến vì dễ thực hiện,
tốc độ cao và ít tốn bộ nhớ.
• Được Mỹ áp dụng làm tiêu chuẩn mã hóa
vào tháng 5 năm 2002.
• i ì t i ,
t ít t .
• l ti
t .
10/08/2010Bộ môn MMT&TT 14
Các giải thuật trong mật mã
• Giải thuật mã hóa bất đối xứng (Asymmetric)
Còn gọi là “mã hóa với
khóa công khai”
i l “ i
i”
• Dùng khóa công khai để mã hóa và
dùng khóa bí mật để giải mã lại.
• Khóa bí mật được lưu giữ cẩn thận,
khóa công khai công bố cho mọi người.
• Giải thuật thực thi chậm.
• i
í t i i l i.
• í t l i t ,
i i i.
• i i t t t t i .
Một số giải thuật mã hóa bất đối xứng:
• RSA (Rivest Shamir Adleman)
• DSA (Digital Signature Algorithm)
• DH (Diffie-Hellman)
• ECC (Error Correcting Code)
• El Gamal
t i i t t t i :
• ( i t ir l )
• ( i it l i t r l rit )
• ( iffi - ll )
• ( rr r rr ti )
• l l
10/08/2010Bộ môn MMT&TT 15
Các giải thuật trong mật mã
• Giải thuật mã hóa RSA
• Được phát minh vào năm 1977 bởi
Rivest, Shamir và Adleman tại MIT.
• Mã hóa dữ liệu: dùng khóa chung
(public key) để mã hóa, khóa riêng
(private key) để giải mã.
• Tạo chữ ký số: khóa riêng để mã
hóa, khóa chung để giải mã.
• t i i
i t, ir l t i I .
• li :
( li ) , ri
( ri t ) i i .
• : ri
, i i .
• Khóa có độ dài từ 1024-2048 bits.
• Giải thuật rất phức tạp, sử dụng nhiều
công thức toán học.
• Gần như không có một phương pháp
nào tìm ngược lại được khóa riêng từ
dữ liệu được mã hóa và khóa chung.
• i t - it .
• i i t t r t t , i
t t .
• t
tì l i ri t
li .
• RSA được sử dụng trong IPSec.
• Tốc độ thực thi chậm hơn DES và
các giải thuật mã hóa đối xứng khác.
• tr I .
• t t i
i i t t i .
10/08/2010Bộ môn MMT&TT 16
Các giải thuật trong mật mã
• Giải thuật mã hóa DSA
• Được tạo ra bởi NIST vào năm 1994.
• Là chuẩn của chính phủ Mỹ trong
việc tạo ra chữ ký điện tử.
• t r i I .
• í tr
i t r i t .
• Sử dụng SHA-1 cho giải thuật băm
• Khóa có độ dài từ 512 – 1024 bits
• Hiện nay, được khuyến cáo nên
dùng 2048 bits cho khóa.
• - i i t t
• i t it
• i ,
it .
•Tốc độ tương đương như RSA
khi tạo ra chữ ký số.
• Chậm hơn 10-40 lần khi kiểm
tra chữ ký số.
• t
i t r .
• - l i i
tr .
10/08/2010Bộ môn MMT&TT 17
Các giải thuật trong mật mã
• Giải thuật mã hóa DH (Diffie-Hellman)
Giải thuật DH dùng để tạo ra “Khóa bí mật chia sẻ” (sử dụng cho
mã hóa đối xứng) giữa 2 host trên đường truyền không an toàn.
i i t t t r “ í t i ” (
i ) i t tr tr t .
• Được tạo ra năm 1976
bởi Whitfield Diffie và
Martin Hellman.
• DH có điểm yếu với
dạng tấn công kẻ đứng
giữa.
• DH dùng cung cấp cơ
chế bảo mật, nhưng
không cung cấp dịch
vụ chứng thực.
• t r
i itfi l iffi
rti ll .
• i i
t
i .
•
t,
ị
t .
Bob Alice
10/08/2010Bộ môn MMT&TT 18
Ứng dụng của mật mã
• Ứng dụng của mật mã trong an ninh mạng
Mật mã có thể được sử dụng trong nhiều dịch vụ an ninh cung
cấp các khả năng như:
• Tính bảo mật (confidentiality)
• Tính toàn vẹn (integrity)
• Chứng thực (authentication)
• Tính không thể phủ nhận (nonrepudiation)
t t tr i ị i
:
• í t ( fi ti lit )
• í t (i t rit )
• t ( t ti ti )
• í t ( r i ti )
10/08/2010Bộ môn MMT&TT 19
Ứng dụng của mật mã
• Trong dịch vụ bảo mật
• Cơ chế để bảo vệ dữ liệu
khỏi sự truy cập trái phép.
• Sự bảo mật được thực
hiện thông qua mã hóa.
• li
i tr tr i .
• t t
i t .
Mã hóa dùng khóa công khai
(public key ) của bên nhận
i
( li )
10/08/2010Bộ môn MMT&TT 20
Ứng dụng của mật mã
• Trong dịch vụ toàn vẹn
• Cơ chế để có thể kiểm tra được dữ liệu có bị
biến đổi hay không.
• Sự dụng giải thuật băm MD5 hay SHA-1.
• t i tr li ị
i i .
• i i t t - .
10/08/2010Bộ môn MMT&TT 21
Ứng dụng của mật mã
• Trong dịch vụ chứng thực tại các điểm cuối
• Chứng thực được thực hiện
thông qua việc chấp nhận khóa
của thuật toán DH.
• Có 3 cách để chứng thực:
+ Sử dụng khóa bí mật chia sẻ
+ Sử dụng chữ ký số
+ Sử dụng số ngẫu nhiên
được mã hóa
• t t i
t i
t t t .
• t :
í t i
i
Chứng thực sẽ mã hóa dùng
khóa bí mật (private key) của
bên gửi
t
í t ( ri t )
i
10/08/2010Bộ môn MMT&TT 22
Ứng dụng của mật mã
• Trong dịch vụ không thể phủ nhận (nonreputation)
• Chứng tỏ rằng một thực thể đã làm 1 việc gì và đã được “ký nhận” vào
tài liệu. Sau này, thực thể đó không thể chối bỏ được việc làm đó.
• Tính không thể phủ nhận được thực hiện qua chữ ký số.
• Chữ ký số là duy nhất, xác nhận đúng là cá nhân hay thực thể đó.
• t r t t t l i ì “ ”
t i li . , t t t i i l .
• í t t i .
• l t, l t t .
10/08/2010Bộ môn MMT&TT 23
Ứng dụng của mật mã
• Chữ ký số (Digital signature)
Chữ ký số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh,
video...) nhằm mục đích xác định người chủ của dữ liệu đó.
l t ti i t li ( , ì ,
i ...) í ị i li .
Chữ ký số hoạt động bằng cách sử
dụng giải thuật băm và 1 trong 2 dạng:
• Mã hóa đối xứng
• Mã hóa bất đối xứng.
t
i i t t tr :
• i
• t i .
Chữ ký số là 1 tập con của chữ
ký điện tử (electronic signature).
l t
i t ( l tr i i t r ).
10/08/2010Bộ môn MMT&TT 24
Ứng dụng của mật mã
• Chữ ký số
1. Người gửi tạo tài liệu
2. Băm tài liệu => tạo ra Digest
3. Sử dụng khóa bí mật để mã
hóa số digest đó.
4. Gắn số Digest được mã hóa
(chữ ký số) vào tài liệu
5. Gửi qua người nhận
. i i t t i li
. t i li t r i t
. í t
i t .
. i t
( ) t i li
. i i
1. Người nhận tách tài liệu và chữ ký số ra
2. Sử dụng khóa công khai để giải mã chữ ký
số thành số Digest1.
3. Băm tài liệu => tạo ra số Digest2
4. So sánh 2 số Digest1 và Digest2:
+ Nếu trùng: xác nhận đúng người gửi
+ Nếu sai: không phải
. i t t i li r
. i i i
t i t .
. t i li t r i t
. i t i t :
tr : i i
i: i
Quá trình sử dụng chữ ký số bao gồm 2
quá trình: tạo chữ ký và kiểm tra chữ ký
trì
trì : t i tr
10/08/2010Bộ môn MMT&TT 25
10/08/2010Bộ môn MMT&TT 26
10/08/2010Bộ môn MMT&TT 27
Ứng dụng của mật mã
• Chữ ký số
Thông tin của
1 chữ ký số
ti
Người kýi
Giải thuật bămi i t t
Giải thuật mã
hóa chữ ký số
i i t t
Thông tin của
1 chứng chỉ
số đi kèm
ti
ỉ
i
10/08/2010Bộ môn MMT&TT 28
Hạ tầng khóa công khai (PKI)
• Khái niệm
Là cơ chế để cho một bên thứ 3 (thường là
nhà cung cấp chứng chỉ số - CA) cung cấp
và chứng thực định danh các bên tham gia
vào quá trình trao đổi thông tin.
t t (t l
ỉ - )
t ị t i
trì tr i t ti .
Từng bên tham gia sẽ cung cấp cặp khóa
công khai và khóa bí mật:
• Mã hóa: mã hóa bằng khóa công khai,
giải mã bằng khóa bí mật.
• Chữ ký điện tử: mã hóa bằng khóa bí
mật, giải mã bằng khóa công khai.
t i
i í t:
• : i,
i i í t.
• i t : í
t, i i i.
Ứng dụng của PKI:
• Open PGP: mã hóa email và chứng thực
người gửi email.
• Mã hóa và xác thực văn bản.
• Chứng thực người dùng ứng dụng: đăng
nhập bằng smartcard, trong SSL.
• Trong các giao thức truyền thông an
toàn.
I:
• : il t
i i il.
• t .
• t i :
rt r , tr .
• r i t tr t
t .
10/08/2010Bộ môn MMT&TT 29
Hạ tầng khóa công khai (PKI)
• Chứng chỉ số (Digital certificate)
CA: nhà cung
cấp chứng chỉ số
:
ỉ
Jeff có thể kiểm tra thông điệp với chứng chỉ số
kèm theo từ Mike là hợp lệ nếu Jeff tin tưởng
nhà cung cấp chứng chỉ số
ff t i tr t i i ỉ
t t i l l ff ti t
ỉ
Điều 4 của luật giao dịch điện tử Việt Nam:
Chứng thư điện tử là thông điệp dữ liệu do tổ
chức cung cấp dịch vụ chứng thực chữ ký điện tử
phát hành nhằm xác nhận cơ quan, tổ chức, cá
nhân được chứng thực là người ký chữ ký điện tử
i l t i ị i t i t :
t i t l t i li t
ị t i t
t , t ,
t l i i t
10/08/2010Bộ môn MMT&TT 30
Hạ tầng khóa công khai (PKI)
• Nhà cung cấp chứng chỉ số (CA)
Certificate Authority:
• Là đối tác thứ 3
được tin cậy
• Cung cấp và ký xác
nhận các chứng chỉ số
tifi t t it :
• i t t
ti
•
ỉ
• Người dùng điền 1 form với các thông tin: tên, tổ chức,
khóa công khai, giải thuật dùng để tạo khóa công khai,
• Mã hóa form đó và gửi cho nhà cung cấp chứng chỉ số
• i i f r i t ti : t , t ,
i, i i t t t i,
• f r i ỉ
“Chuẩn mật mã
khóa công khai”
(PKCS#10)
• CA nhận form, xác nhận thông tin người dùng, tạo ra
chứng chỉ số và gửi chứng chỉ số trở lại cho người dùng.
• Chứng chỉ số được tạo ra theo chuẩn X.509 version 3.
• f r , t ti i , t r
ỉ i ỉ tr l i i .
• ỉ t r t . r i .
10/08/2010Bộ môn MMT&TT 31
Hạ tầng khóa công khai (PKI)
• Chứng chỉ số (Digital certificate)
10/08/2010Bộ môn MMT&TT 32
Hạ tầng khóa công khai (PKI)
• Các mô hình tín nhiệm (trust models)
(Leaf CA)
Mô hình phân cấp được sử
dụng nhiều nhất
10/08/2010Bộ môn MMT&TT 33
Hạ tầng khóa công khai (PKI)
• Sự hủy bỏ (Revocation)
Chứng chỉ số (trước khi hết hạn)
có thể bị hủy bỏ khi khóa bí mật
bị lộ hay thông tin của người chủ
chứng chỉ số có thay đổi.
ỉ (tr i t )
t ị i í t
ị l t ti i
ỉ t i.
• Mỗi chứng chỉ số đều có 1 số serial number.
• Hủy bỏ chứng chỉ số là đưa số serial number đó
vào 1 danh sách CRL (Certificate Revocation List)
• Khi chứng thực, host sẽ kiểm tra danh sách
CRL, nếu chứng chỉ số có serial number trong
danh sách thì ngắt nối kết.
• i ỉ ri l r.
• ỉ l ri l r
( rtifi t ti i t)
• i t , t i tr
, ỉ ri l r tr
t ì t i t.
Registration
Authority
10/08/2010Bộ môn MMT&TT 34
Hạ tầng khóa công khai (PKI)
• Chính sách cho chứng chỉ số (certificate policy)
CA phải định nghĩa tốt các chính
sách và cơ chế an ninh để đảm
bảo dịch vụ mà họ cung cấp phải
thật sự tin cậy.
i ị ĩ t t í
i
ị i
t t ti .
Chính sách cho chứng chỉ số
được định nghĩa trong X.509
và mô tả trong RFC-3647
í ỉ
ị ĩ tr .
t tr -
Chính sách cho chứng chỉ số là tập
các quy định chung về việc chứng
chỉ số được sử dụng, quản lý và
triển khai trong tổ chức như thế nào.
í ỉ l t
ị i
ỉ , l
tri i tr t t .
• Phải rõ ràng, súc tích.
• Giới hạn trong 2 trang
• Có xác nhận của lãnh đạo cấp cao.
• Viết theo dạng gạch đầu dòng.
• i r r , tí .
• i i tr tr
• l .
• i t t .
10/08/2010Bộ môn MMT&TT 35
Hạ tầng khóa công khai (PKI)
• Chỉ dẫn thực tế cho chứng chỉ số (certificate
pratice statements – CPS)
CPS thường do bộ phận điều
hành (có liên quan đến IT)
soạn thảo và duy trì.
Có tính kỹ thuật hơn so với
chính sách về chứng chỉ số.
t i
( li I )
t trì.
tí t t i
í ỉ .
CPS mô tả chi tiết việc thực hiện
chính sách về chứng chỉ (CP)
trong ngữ cảnh của kiến trúc
hệ thống và quy trình hoạt
động của tổ chức.
t i ti t i t i
í ỉ ( )
tr i t
t t ì t
t .
• CP trình bày về việc gì (what)
• CPS trình bày về cách thực hiện
như thế nào (how)
• trì i ì ( t)
• trì t i
t ( )
10/08/2010Bộ môn MMT&TT 36
Quản lý khóa và chứng chỉ số
• Khái niệm
• Khóa là 1 thành phần bên trong chứng chỉ số.
• Chứng chỉ số thực thi vai trò vận chuyển khóa.
• l t tr ỉ .
• ỉ t t i i tr .
• Khóa số phải được bảo quản như khóa của 1 căn nhà.
• Tương tự như mật khẩu và mã, khóa được tạo ra, phân
phối, thay đổi phải tuân theo các cơ chế bảo mật.
• Khóa phải được quản lý an toàn suốt dòng đời của nó.
• i .
• t t , t r ,
i, t i i t t t.
• i l t t i .
Có 2 phương pháp thông dụng để lưu trữ và phân phối khóa là:
• Trung tâm phân phối khóa (Key Distribution Center – KDC)
• Giải thuật trao đổi khóa (Key Exchange Algorithm – KEA)
t l tr i l :
• r t i ( i tri ti t r )
• i i t t tr i ( l rit )
10/08/2010Bộ môn MMT&TT 37
Quản lý khóa và chứng chỉ số
• Tập trung hay không tập trung
Ưu điểm:
•Dễ quản lý, tạo mới và phục hồi khóa.
• Các khóa được tạo ra trong môi trường an toàn.
Nhược điểm:
• Nếu CA có vấn đề sẽ ảnh hưởng đến hoạt động
của toàn thể các người dùng.
• Số lượng người dùng gia tăng và chiều dài
khóa tăng => xử lý nhiều hơn => ảnh hưởng đến
hiệu năng của toàn hệ thống.
• Hình thành mục tiêu chính cho hacker tấn công.
i :
• l , t i i .
• t r tr i tr t .
i :
• t
t t i .
• l i i t i i
t l i
i t t .
• ì t ti í r t .
• Tạo, quản lý
và phân phối
khóa tập trung.
• Doanh nghiệp
lớn sử dụng
mô hình này.
• , l
i
t tr .
• i
l
ì .
• Tạo, quản lý
và phân phối
khóa không tập
trung.
• Verisign sử
dụng mô hình
này.
• , l
i
t
tr .
• ri i
ì
.
Ưu điểm:
• Người dùng tự tạo và quản lý khóa bí mật.
• Khóa được user tạo ra nhanh hơn và chỉ cần gửi
cho RA (Registration Authority). RA sẽ chuyển lên
cho CA tạo ra chứng chỉ số.
Nhược điểm:
• Gặp khó khăn khi khóa bị thất lạc hay muốn khôi
phục lại khóa.
• Có thể sẽ mất dữ liệu đã mã hóa khi khóa bị
hỏng hay bị mất.
i :
• i t t l í t.
• r t r ỉ i
( i tr ti t rit ). l
t r ỉ .
i :
• i ị t t l i
l i .
• t t li i ị
ị t.
10/08/2010Bộ môn MMT&TT 38
Quản lý khóa và chứng chỉ số
• Lưu trữ và phân phối khóa
• Khóa được lưu trữ, quản lý và
phân phối bởi trung tâm phân phối
khóa (KDC) thông qua giải thuật
trao đổi khóa (KEA).
• Một khi cần xác nhận khóa,
Client sẽ gửi 1 yêu cầu đến KDC.
• Nếu chứng thực không thành
công, Client sẽ bị loại bỏ.
• l tr , l
i i tr t i
( ) t i i t t
tr i ( ).
• t i ,
li t i .
• t t
, li t ị l i .
Có 2 cách lưu trữ khóa:
• Bằng phần mềm:
+ Mềm dẻo
+ Kém an toàn
• Bằng phần cứng: card, flash disk
+ Không mềm dẻo
+ An toàn và tin cậy cao hơn
l tr :
• :
t
• : r , fl i
t ti
10/08/2010Bộ môn MMT&TT 39
Quản lý khóa và chứng chỉ số
• Lưu giữ (Escrow)
Escrow là nơi lưu trữ các
bản sao của khóa bí mật
trong hệ thống quản lý
khóa tập trung.
r l i l tr
í t
tr t l
t tr .
• Người dùng nếu bị mất hay làm hỏng khóa, có thể phục hồi lại
khóa bí mật này từ Escrow.
• Người dùng có thể lưu nhiều bản sao tại nhiều công ty Escrow.
• Tuy nhiên, người quản trị trong công ty hay hacker có thể tấn
công vào nơi lưu trữ Escrow đó để lấy được khóa của người dùng.
• i ị t l , t i l i
í t t r .
• i t l i t i i t r .
• i , i trị tr t r t t
i l tr r l i .
10/08/2010Bộ môn MMT&TT 40
Quản lý khóa và chứng chỉ số
• Hết hạn, hủy bỏ và tạm dừng
• Khóa và chứng chỉ số (giống như
thẻ tín dụng) đều có hạn sử dụng .
• Khi hết hạn sử dụng, khóa và
chứng chỉ sẽ bị hủy bỏ.
• ỉ ( i
t tí ) .
• i t ,
ỉ ị .
• Khi phát hiện khóa bị lộ hay mất,
người dùng có thể yêu cầu hủy bỏ
chứng chỉ số.
• CA sẽ đưa số serial number của
chứng chỉ đó vào danh sách đen.
• Danh sách đen đó gọi là CRL và CA
phải công bố danh sách đó.
• i t i ị l t,
i t
ỉ .
• ri l r
ỉ .
• i l
i .
• Khi muốn tạm thời ngưng sử dụng
khóa hay chứng chỉ, người dùng có
thể yêu cầu tạm dừng.
• Khóa và chứng chỉ khi tạm dừng có
thể được khôi phục lại sau này.
• i t t i
ỉ, i
t t .
• ỉ i t
t i l i .
10/08/2010Bộ môn MMT&TT 41
Quản lý khóa và chứng chỉ số
• Gia hạn
• Trước khi khóa hay chứng chỉ số hết hạn, người dùng có thể
gửi yêu cầu được gia hạn (làm mới) lại khóa và chứng chỉ.
• Việc sử dụng khóa cũ sẽ vi phạm chính sách về bảo mật =>
sẽ là rủi ro => cẩn thận và cân nhắc khi gia hạn.
• r i ỉ t , i t
i i (l i) l i ỉ.
• i i í t
l r i r t i i .
10/08/2010Bộ môn MMT&TT 42
Quản lý khóa và chứng chỉ số
• Tiêu hủy (destruction)
Khi các khóa và chứng chỉ không còn sử dụng nữa thì các
thông tin về khóa và chứng chỉ phải được gở bỏ trong phần
mềm hoặc phần cứng lưu trữ thông tin này phải bị tiêu hủy để
tránh kẻ xấu lợi dụng.
i ỉ t ì
t ti ỉ i tr
l tr t ti i ị ti
tr l i .
10/08/2010Bộ môn MMT&TT 43
Quản lý khóa và chứng chỉ số
• Sử dụng khóa
Chiến lược sử dụng khóa:
• Phải xác định khóa được sử dụng như thế nào?
• Sử dụng khóa đối xứng hay bất đối xứng ?
• Sử dụng 1 khóa hay cần thêm nhiều khóa khác?
• Ngoài khóa, có cần thêm các mức bảo mật khác?
i l :
• i ị t
• i t i
• t i
• i , t t
Khóa được sử dụng rộng rãi trong:
• VPN như IPSec.
• Các giao thức SSL và TSL
• SSL trong HTTP : HTTPS
• HTTP bảo mật: Secure HTTP (SHTTP)
• Truy cập từ xa an toàn: SSH
• Bảo mật Email: PGP, S/MIME
i t :
• I .
• i t
• tr :
• t: r ( )
• r t t :
• t il: , / I
Các file đính kèm theo tài liệu này:
- an_toan_chuong4_0385_1997427.pdf