Mỗi người dùng của hệ thốngPKI có một chứng chỉ có thể được sử dụng để xác minh tính xác thực của người dùng.. Các hệ thống CA này có thể được sửdụng để tạo các chứng chỉ nội bộ được sử
Trang 1
BÀI TẬP NHÓM MÔN:
MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
Bản dịch sách: CompTIA Security + Study Guide
Exam SY0-101 (trang 301-313,321-327)
4 Nguyễn Thị Hồng Thu 030236200160
TP HCM, tháng 12 năm 2021
Trang 2Chứng chỉ triển khai 304
Hiểu rõ về việc thu hồi chứng chỉ Thu hồi 305
Triển khai mô hình Tin cậy 306
Chuẩn bị cho các cuộc tấn công mật mã 311
Tóm lại 312
Những điều cần thiết cho kỳ thi 313
Chương8 Tiêu chuẩn Crytography 321
Hiểu các tiêu chuẩn và giao thức mật mã 322
Nguồn gốc của các tiêu chuẩn mã hóa 323
PKIX / PKCS 326
X.509 327
Trang 34 Bạn gửi tin nhắn cho anh ta.
5 Jordan sử dụng khóa riêng của mình để giải mã tin nhắn
Mục tiêu chính của PKI là xác định một cơ sở hạ tầng hoạt động trên nhiều nhà cungcấp, hệ thống và mạng Điều quan trọng cần nhấn mạnh là PKI là một khuôn khổ chứkhông phải một công nghệ cụ thể Việc triển khai PKI phụ thuộc vào quan điểm củacác nhà sản xuất phần mềm thực hiện nó Đây là một trong những khó khăn lớn vớiPKI: Mỗi nhà cung cấp có thể giải thích các tài liệu về cơ sở hạ tầng này và triển khai
nó theo cách họ chọn Nhiều triển khai PKI hiện tại không tương thích với nhau; tuynhiên, tình hình này sẽ thay đổi trong vài năm tới vì khách hàng mong đợi khả năngtương thích
Hầu hết các tổ chức có Tài liệu Chính sách PKI mô tả việc sử dụng nghệ kýđiện tử Các tài liệu liên quan thuộc danh mục này thường bao gồm Tài liệuchính sách về chứng chỉ bảo mật và Tài liệu về chính sách chứng chỉ chữ ký số
Các phần sau giải thích các chức năng và thành phần chính của cơ sở hạ tầng PKI vàcách chúng hoạt động trong mối quan hệ với toàn bộ mô hình
Trong mọi trường hợp, bạn không nên tiết lộ hoặc gửi khóa cá nhân của mình.Làm như vậy sẽ gây nguy hiểm cho sự đảm bảo của bạn rằng chỉ bạn mới cóthể làm việc với dữ liệu và có thể làm hỏng tính bảo mật của bạn không thể sửachữa được
Sử dụng tổ chức phát hành chứng chỉ
Cơ quan cấp chứng chỉ (CA) là một tổ chức chịu trách nhiệm cấp, thu hồi và phân phốichứng chỉ Chứng chỉ không gì khác hơn là một cơ chế liên kết khóa công khai vớimột cá nhân Nó chứa rất nhiều thông tin về người dùng Mỗi người dùng của hệ thốngPKI có một chứng chỉ có thể được sử dụng để xác minh tính xác thực của người dùng
Ví dụ, nếu Mike muốn gửi cho Jeff một tin nhắn riêng tư, cần có một cơ chế để xácminh với Jeff rằng tin nhắn nhận được từ Mike thực sự là từ Mike Nếu một bên thứ baxác nhận cho Mike và Jeff tin tưởng bên thứ ba đó, Jeff có thể cho rằng thông điệp đó
là xác thực vì bên thứ ba nói như vậy Hình 7.10 cho thấy quá trình này xảy ra trongcuộc giao tiếp giữa Mike và Jeff; các mũi tên trong hình này hiển thị đường dẫn giữa
CA và người sử dụng CA cho mục đích xác minh
CA có thể là riêng tư hoặc công khai Nhiều nhà cung cấp hệ điều hành cho phép hệthống của họ được cấu hình như hệ thống CA Các hệ thống CA này có thể được sửdụng để tạo các chứng chỉ nội bộ được sử dụng trong doanh nghiệp hoặc trong các càiđặt bên ngoài lớn
Quá trình cung cấp chứng chỉ cho người dùng, mặc dù có hiệu quả trong việc giúpđảm bảo an ninh, nhưng yêu cầu phải có máy chủ Theo thời gian, máy chủ có thể trởnên quá tải và cần hỗ trợ Một thành phần bổ sung, cơ quan đăng ký (RA), có sẵn đểgiúp giảm tải công việc từ CA Cơ quan đăng ký sẽ được thảo luận trong phần tiếptheo
Trang 4Certific ate
Sự khác biệt cơ bản giữa RA và LRA là cái sau có thể được sử dụng để xác định hoặc
thiết lập danh tính của một cá nhân
HÌNH 7.10 Quy trình tổ chức phát hành chứng chỉ
Certificate Authority
Mike Jeff
Jeff có thể xác minh rằng tin nhắn có chứng chỉ từ Mike là hợp lệ nếu anh ấy tin tưởng CA.
Làm việc với cơ quan đăng ký và cơ quan đăng ký địa phương
Cơ quan đăng ký (RA) giảm tải một số công việc từ CA Hệ thống RA hoạt động nhưmột người trung gian trong quá trình này: Nó có thể phân phối khóa, chấp nhận đăng
ký cho CA và xác thực danh tính RA không cấp chứng chỉ; trách nhiệm đó vẫn thuộc
về CA Hình 7.11 cho thấy một RA hoạt động ở San Francisco, trong khi CA nằm ởWashington, D.C Người dùng Seattle nhận được ủy quyền cho phiên từ RA ở SanFrancisco Người dùng Seattle cũng có thể sử dụng San Francisco RA để xác thực tínhxác thực của chứng chỉ từ người dùng Miami Các mũi tên giữa người dùng Seattle vàmáy chủ RA đại diện cho yêu cầu chứng chỉ từ người dùng từ xa RA có một liên kếtliên lạc với CA ở Washington Vì CA ở Washington gần hơn, người dùng Miami sẽ sửdụng nó để xác minh chứng chỉ
Cơ quan đăng ký địa phương (LRA) tiến hành thêm một bước nữa Nó có thể được
sử dụng để xác định hoặc thiết lập danh tính của một cá nhân để cấp chứng chỉ Nếungười dùng ở Seattle cần một chứng chỉ mới, sẽ không thực tế nếu bay trở lạiWashington, D.C để lấy một chứng chỉ khác Một LRA có thể được sử dụng để xácminh và chứng nhận danh tính của cá nhân thay mặt cho CA Sau đó, LRA có thểchuyển tiếp các tài liệu xác thực đến CA để cấp chứng chỉ
Trang 5HÌNH 7.11 Một công việc giảm RA khỏi CA
Một người dùng ở Seattle muốn
gửi tin nhắn cho một người dùng ở Miami.
San Francisco Miami
Hình 7.12 cho thấy quá trình này xảy ra giữa LRA và CA LRA sẽ liên quan đến một
cá nhân hoặc quy trình để xác minh danh tính của người cần chứng chỉ Các mũi têntrong Hình 7.12 cho thấy đường dẫn từ người dùng đã yêu cầu chứng chỉ (thông quaLRA) đến CA cấp chứng chỉ; các mũi tên chỉ ra đường dẫn từ CA gửi lại chứng chỉmới cho người dùng
HÌNH 7.12 LRA xác minh danh tính cho CA
LRA liên quan đến việc nhận dạng vật lý của người yêu cầu chứng chỉ
Trang 6Phần tiếp theo cung cấp chi tiết hơn về chứng chỉ và việc sử dụng chúng, bao gồm xácthực người dùng, hệ thống và thiết bị Một chứng chỉ cũng có những đặc điểm nhấtđịnh mà chúng ta cần giải thích ngắn gọn.
Chứng chỉ triển khai
Các chứng chỉ, như bạn có thể nhớ lại, cung cấp phương pháp chính để xác định rằngmột người dùng nhất định là
có giá trị Chứng chỉ cũng có thể được sử dụng để lưu trữ thông tin ủy quyền Một yếu
tố quan trọng khác là xác minh hoặc chứng nhận rằng hệ thống đang sử dụng đúngphần mềm và quy trình để giao tiếp Chứng chỉ có ích gì để giúp đảm bảo tính xácthực nếu hệ thống sử dụng hệ thống mật mã cũ hơn có vấn đề về bảo mật?
Một số phần tiếp theo mô tả cấu trúc chứng chỉ X.509 và một số cách sử dụng chứngchỉ phổ biến hơn
X.509
Chứng chỉ phổ biến nhất được sử dụng là X.509 phiên bản 3 X.509 là định dạngchứng chỉ tiêu chuẩn được hỗ trợ bởi Liên minh Viễn thông Quốc tế (ITU) và nhiều tổchức tiêu chuẩn khác Việc áp dụng định dạng chứng chỉ tiêu chuẩn là điều quan trọng
để các hệ thống được đảm bảo khả năng tương tác trong môi trường hướng chứng chỉ.Định dạng và nội dung của chứng chỉ mẫu được thể hiện trong Hình 7.13
HÌNH 7.13 Một chứng chỉ minh họa một số thông tin được lưu trữ
Lưu ý rằng chứng chỉchứa các định danh củahai thuật toán khác nhauđược sử dụng trong quátrình này Trong trườnghợp này, thuật toán chữ
ký là Md2RSA và thuậttoán chữ ký số là sha1.Chứng chỉ này cũng cómột số sê-ri duy nhất do
Cơ quan chứng nhậnchứng chỉ (CA)
Chứng chỉ X.509 có nhiều trường hơn được minh họa; ví dụ này chỉ nhằm mụcđích cung cấp cho bạn cái nhìn tổng quan về chứng chỉ trông như thế nào
Chính sách chứng chỉ
Phiên bản V3
Số seri 1234 D123 4567
Thuật toán Chữ ký Md2RSA
Người phát hành Giấy chứng nhận mẫu
Có hiệu lực từ: Thứ năm, ngày 8 tháng 9 năm 2005
Có hiệu lực đến: Thứ năm, ngày 15 tháng 9 năm 2005
Chủ thể Mr Your Name Here, Myco
Khóa công khai Giá trị được mã hóa của khóa
Tiện ích mở rộng Chủ đề Loại = Thực thể Cuối cùng
Thuật toán Chữ ký Shal
Chữ ký Dữ liệu được mã hóa
Trang 7Chính sách chứng chỉ xác định những gì chứng chỉ có thể được sử dụng để làm CA cókhả năng cấp một số loại chứng chỉ khác nhau: chẳng hạn như một chứng chỉ dành choe-mail, một chứng chỉ dành cho thương mại điện tử và một chứng chỉ dành cho cácgiao dịch tài chính Chính sách có thể chỉ ra rằng nó không được sử dụng để ký hợpđồng hoặc mua thiết bị Chính sách chứng chỉ ảnh hưởng đến cách chứng chỉ đượcphát hành và cách sử dụng chứng chỉ Một CA sẽ có các chính sách liên quan đến khảnăng tương tác hoặc chứng nhận của một trang CA khác; quá trình yêu cầu khả năngtương tác được gọi là chứng nhận chéo Các tổ chức sử dụng chứng chỉ cũng có quyềnquyết định loại chứng chỉ nào được sử dụng và cho mục đích gì Đây là một quá trình
tự nguyện trong đó mỗi tổ chức có liên quan có thể quyết định những gì và làm thế nào
để phê duyệt việc sử dụng chứng chỉ Tổ chức nhận có thể sử dụng chính sách này đểxác định xem chứng chỉ có đến từ một nguồn hợp pháp hay không Hãy suy nghĩ về nótheo cách này: chứng chỉ PKI có thể được tạo theo bất kỳ cách nào bằng cách sử dụngbất kỳ số lượng máy chủ nào Chính sách cho biết chứng chỉ nào sẽ được chấp nhậntrong một ứng dụng nhất định
Tuyên bố về chứng chỉ Hành nghề
Tuyên bố về chứng chỉ Hành nghề (CPS) là một tuyên bố mà CA sử dụng để cấpchứng chỉ và thực hiện các chính sách của CA Đây là tài liệu chi tiết được sử dụng đểthực thi chính sách tại CA CA cung cấp thông tin này cho người dùng các dịch vụ củamình Những tuyên bố này nên thảo luận về cách chứng chỉ được cấp, những biệnpháp nào được thực hiện để bảo vệ chứng chỉ và các quy tắc mà người dùng CA phảituân theo để duy trì tính đủ điều kiện của chứng chỉ Những chính sách này phải có sẵncho người dùng CA Nếu một CA không muốn cung cấp thông tin này cho ngườidùng, thì bản thân CA đó có thể không đáng tin cậy và nên đặt câu hỏi về mức độ đángtin cậy của những người dùng của CA đó
Hãy nhớ rằng CPS là một tài liệu chi tiết được sử dụng để thực thi chính sáchtại CA; chính sách chứng chỉ không liên quan đến CA mà liên quan đến chínhchứng chỉ
Hiểu rõ về việc thu hồi chứng chỉ Thu hồi
Chứng chỉ là quá trình thu hồi chứng chỉ trước khi chứng chỉ đó hết hạn Chứng chỉ cóthể cần phải được thu hồi vì nó đã bị đánh cắp, một nhân viên chuyển đến một công tymới hoặc ai đó đã bị thu hồi quyền truy cập của họ Việc thu hồi chứng chỉ được xử lýthông qua Danh sách thu hồi chứng chỉ (CRL) hoặc bằng cách sử dụng Giao thứctrạng thái chứng chỉ trực tuyến (OCSP) Kho lưu trữ chỉ đơn giản là một cơ sở dữ liệuhoặc máy chủ cơ sở dữ liệu nơi các chứng chỉ được lưu trữ
Quá trình thu hồi chứng chỉ bắt đầu khi CA được thông báo rằng một chứng chỉ cụ thểcần được thu hồi Việc này phải được thực hiện bất cứ khi nào khóa cá nhân được biếtđến Chủ sở hữu chứng chỉ có thể yêu cầu thu hồi chứng chỉ bất kỳ lúc nào hoặc yêucầu có thể được thực hiện bởi quản trị viên
Trang 8CA đánh dấu chứng chỉ là đã bị thu hồi Thông tin này được xuất bản trong CRL và cósẵn bằng giao thức OCSP Quá trình thu hồi thường rất nhanh chóng; thời gian dựatrên khoảng thời gian xuất bản cho CRL Việc phổ biến thông tin thu hồi cho ngườidùng có thể mất nhiều thời gian hơn Sau khi chứng chỉ đã bị thu hồi, nó không baogiờ có thể được sử dụng— hoặc đáng tin cậy — một lần nữa.
CA xuất bản CRL thường xuyên, thường là hàng giờ hoặc hàng ngày CA gửi hoặccông bố danh sách này cho các tổ chức đã chọn nhận nó; quá trình xuất bản này xảy ra
tự động trong trường hợp PKI Khoảng thời gian từ khi CRL được cấp đến khi nó đếntay người dùng có thể quá lâu đối với một số ứng dụng Khoảng cách thời gian nàyđược gọi là độ trễ OCSP giải quyết vấn đề độ trễ: Nếu người nhận hoặc bên phụ thuộc
sử dụng OCSP để xác minh, câu trả lời sẽ có ngay lập tức Hiện tại, giao thức này đangđược đánh giá và có thể sẽ được thay thế trong tương lai
Chương 8, “Tiêu chuẩn mật mã”, cũng thảo luận về CRL.
Khi khóa bị xâm phạm, CA phải yêu cầu thu hồi ngay lập tức Có thể mất một ngàyhoặc lâu hơn để CRL được phổ biến cho mọi người sử dụng CA đó
Triển khai mô hình Tin cậy
Để hạ tầng khóa công khai (PKI) hoạt động, các khả năng của CA phải sẵn sàng chongười dùng Mô hình đã được chỉ ra cho đến thời điểm này là mô hình tin cậy đơngiản Tuy nhiên, mô hình tin cậy đơn giản này có thể không hoạt động khi việc triểnkhai PKI ngày càng lớn hơn Về mặt khái niệm, mọi người dùng máy tính trên thế giới
sẽ có một chứng chỉ Tuy nhiên, việc hoàn thành điều này sẽ cực kỳ phức tạp và sẽ tạo
ra các vấn đề lớn về quy mô hoặc tăng trưởng
Bốn loại chính của mô hình tin cậy được sử dụng với PKI:
Mô hình tin cậy phân cấp
Trong mô hình tin cậy phân cấp — còn được gọi là cây — một CA gốc ở trên cùngcung cấp tất cả thông tin Các CA trung gian tiếp theo trong hệ thống phân cấp và chỉtin cậy thông tin được cung cấp bởi CA gốc CA gốc cũng tin tưởng các CA trung giannằm trong hệ thống phân cấp của chúng và không có CA nào không có Sự sắp xếpnày cho phép mức độ kiểm soát cao ở tất cả các cấp của cây phân cấp
Trang 9Hình 7.14 minh họa cấu trúc tin cậy phân cấp Trong tình huống này, các CA trunggian chỉ tin tưởng các CA trực tiếp bên trên hoặc bên dưới chúng
Hệ thống CA gốc có thể có sự tin cậy giữa chúng, cũng như giữa CA trung gian và CA
lá CA lá là bất kỳ CA nào nằm ở cuối mạng hoặc chuỗi CA Cấu trúc này cho phépbạn sáng tạo và hiệu quả khi tạo các hệ thống kết hợp
HÌNH 7.14 Một cấu trúc tin cậy phân cấp
Hierarchical Trust Model
Mô hình tin cậy cầu nối
Trong mô hình tin cậy cầu nối, tồn tại mối quan hệ ngang hàng giữa các CA gốc Các
CA gốc có thể giao tiếp với nhau, cho phép chứng nhận chéo Sự sắp xếp này cho phépmột quy trình chứng nhận được thiết lập giữa các tổ chức hoặc bộ phận Mỗi CA trunggian chỉ tin cậy các CA ở trên và dưới nó, nhưng cấu trúc CA có thể được mở rộng màkhông cần tạo thêm các lớp CA
End Entities
Trang 10Mô hình này có thể hữu ích nếu bạn đang giao dịch với một tổ chức lớn, phân tán vềmặt địa lý hoặc bạn có hai tổ chức đang làm việc cùng nhau Một tổ chức lớn, phân tán
về mặt địa lý có thể duy trì một CA gốc tại mỗi địa điểm từ xa; các CA gốc sẽ có hệthống phân cấp nội bộ của riêng họ và người dùng sẽ có thể truy cập chứng chỉ từ bất
kỳ vị trí nào trong cấu trúc CA
Hình 7.15 minh họa cấu trúc bắc cầu Trong ví dụ này, các CA trung gian chỉ giao tiếpvới CA gốc tương ứng của chúng Tất cả chứng nhận chéo được xử lý giữa hai hệthống CA gốc
Mô hình tin cậy lưới
Mô hình tin cậy lưới mở rộng các khái niệm về mô hình cầu nối bằng cách hỗ trợnhiều đường dẫn và nhiều CA gốc Mỗi CA gốc được hiển thị trong Hình 7.16 có thểxác nhận chéo với các CA gốc khác trong lưới Sự sắp xếp này cũng được gọi là cấutrúc web Mặc dù không được hiển thị trong hình minh họa, nhưng mỗi CA gốc cũng
có thể giao tiếp với các CA trung gian trong cấu trúc phân cấp tương ứng của chúng
HÌNH 7.15 Mô hình tin cậy cầu nối
Hình 7.16 Mô hình tin cậy cầu nối
Root Root
Trang 11Mô hình tin cậy hỗn hợp
Một cấu trúc kết hợp có thể sử dụng các khả năng của bất kỳ hoặc tất cả các cấu trúc được thảo luận trong các phần trước Bạn có thể cực kỳ linh hoạt khi xây dựng cấu trúc ủy thác hỗn hợp
igTính linh hoạt của mô hình này cũng cho phép bạn tạo môi trường lai Hình 7.17 minh họa cấu trúc như vậy Lưu ý rằng trong cấu trúc này, máy chủ CA trung gian duynhất ở phía bên phải của hình minh họa là máy chủ duy nhất được CA bên dưới nó biếtđến Các cấp dưới của CA ở giữa bên trái được liên kết với hai CA ở hai bên của nó Hai CA này không biết về các CA khác, vì chúng chỉ được liên kết với CA cung cấp kết nối cho chúng
Hai máy chủ trung gian ở giữa hình minh họa và cấp dưới của họ tin tưởng lẫn nhau;
họ không tin tưởng những người khác không có trong liên kết
Khó khăn lớn đối với các mô hình tin cậy là chúng có thể trở nên phức tạp và khóhiểu Người dùng có thể vô tình có được sự tin tưởng mà lẽ ra họ không nên có được.Trong ví dụ của chúng tôi, một người dùng có thể vô tình được gán cho một trong các
CA ở vòng tròn giữa Là thành viên của vòng kết nối đó, người dùng có thể truy cậpthông tin chứng chỉ chỉ có sẵn từ CA gốc của họ Ngoài ra, các mối quan hệ giữa các
CA có thể tiếp tục kéo dài về mức độ hữu ích của chúng; trừ khi ai đó biết về họ,những mối quan hệ này có thể tồn tại ngay cả sau khi các tổ chức mẹ đã chấm dứt mốiquan hệ của họ
Hình 7.17 M ô hình tin cậy hỗn hợp