BÀI tập NHÓM môn MẠNG máy TÍNH và TRUYỀN THÔNG bản dịch sáchCompTIA security + study guide exam SY0 101

Mỗi người dùng của hệ thốngPKI có một chứng chỉ có thể được sử dụng để xác minh tính xác thực của người dùng.. Các hệ thống CA này có thể được sửdụng để tạo các chứng chỉ nội bộ được sử

TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ

BÀI TẬP NHÓM MÔN:

MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Bản dịch sách: CompTIA Security + Study Guide

Exam SY0-101 (trang 301-313,321-327)

TP HCM, tháng 12 năm 2021

Mục lục

Sử dụng tổ chức phát hành chứng chỉ 301

Làm việc với cơ quan đăng ký và cơ quan đăng ký địa phương 302

Chứng chỉ triển khai 304

Hiểu rõ về việc thu hồi chứng chỉ Thu hồi 305

Triển khai mô hình Tin cậy 306

Chuẩn bị cho các cuộc tấn công mật mã 311

Tóm lại 312

Những điều cần thiết cho kỳ thi 313

Chương8 Tiêu chuẩn Crytography 321

Hiểu các tiêu chuẩn và giao thức mật mã 322

Nguồn gốc của các tiêu chuẩn mã hóa 323

PKIX / PKCS 326

X.509 327

301 Chương 7 Cơ bản và Phương pháp Mật

mã

4 Bạn gửi tin nhắn cho anh ta

5 Jordan sử dụng khóa riêng của mình để giải mã tin nhắn

Mục tiêu chính của PKI là xác định một cơ sở hạ tầng hoạt động trên nhiều nhà cungcấp, hệ thống và mạng Điều quan trọng cần nhấn mạnh là PKI là một khuôn khổ chứkhông phải một công nghệ cụ thể Việc triển khai PKI phụ thuộc vào quan điểm củacác nhà sản xuất phần mềm thực hiện nó Đây là một trong những khó khăn lớn vớiPKI: Mỗi nhà cung cấp có thể giải thích các tài liệu về cơ sở hạ tầng này và triển khai

nó theo cách họ chọn Nhiều triển khai PKI hiện tại không tương thích với nhau; tuynhiên, tình hình này sẽ thay đổi trong vài năm tới vì khách hàng mong đợi khả năngtương thích

Hầu hết các tổ chức có Tài liệu Chính sách PKI mô tả việc sử dụng nghệ kýđiện tử Các tài liệu liên quan thuộc danh mục này thường bao gồm Tài liệuchính sách về chứng chỉ bảo mật và Tài liệu về chính sách chứng chỉ chữ ký số

Các phần sau giải thích các chức năng và thành phần chính của cơ sở hạ tầng PKI vàcách chúng hoạt động trong mối quan hệ với toàn bộ mô hình

Trong mọi trường hợp, bạn không nên tiết lộ hoặc gửi khóa cá nhân của mình.Làm như vậy sẽ gây nguy hiểm cho sự đảm bảo của bạn rằng chỉ bạn mới cóthể làm việc với dữ liệu và có thể làm hỏng tính bảo mật của bạn không thể sửachữa được

Sử dụng tổ chức phát hành chứng chỉ

Cơ quan cấp chứng chỉ (CA) là một tổ chức chịu trách nhiệm cấp, thu hồi và phân phốichứng chỉ Chứng chỉ không gì khác hơn là một cơ chế liên kết khóa công khai vớimột cá nhân Nó chứa rất nhiều thông tin về người dùng Mỗi người dùng của hệ thốngPKI có một chứng chỉ có thể được sử dụng để xác minh tính xác thực của người dùng

Ví dụ, nếu Mike muốn gửi cho Jeff một tin nhắn riêng tư, cần có một cơ chế để xácminh với Jeff rằng tin nhắn nhận được từ Mike thực sự là từ Mike Nếu một bên thứ baxác nhận cho Mike và Jeff tin tưởng bên thứ ba đó, Jeff có thể cho rằng thông điệp đó

là xác thực vì bên thứ ba nói như vậy Hình 7.10 cho thấy quá trình này xảy ra trongcuộc giao tiếp giữa Mike và Jeff; các mũi tên trong hình này hiển thị đường dẫn giữa

CA và người sử dụng CA cho mục đích xác minh

CA có thể là riêng tư hoặc công khai Nhiều nhà cung cấp hệ điều hành cho phép hệthống của họ được cấu hình như hệ thống CA Các hệ thống CA này có thể được sửdụng để tạo các chứng chỉ nội bộ được sử dụng trong doanh nghiệp hoặc trong các càiđặt bên ngoài lớn

Quá trình cung cấp chứng chỉ cho người dùng, mặc dù có hiệu quả trong việc giúpđảm bảo an ninh, nhưng yêu cầu phải có máy chủ Theo thời gian, máy chủ có thể trởnên quá tải và cần hỗ trợ Một thành phần bổ sung, cơ quan đăng ký (RA), có sẵn đểgiúp giảm tải công việc từ CA Cơ quan đăng ký sẽ được thảo luận trong phần tiếptheo

k WAR

302 Chương 7 Cơ bản và Phương pháp Mật

mã

HÌNH 7.10 Quy trình tổ chức phát hành chứng chỉ

Jeff có thể xác minh rằng tin nhắn có chứng chỉ từ Mike là hợp lệ nếu anh ấy tin tưởng CA.

Làm việc với cơ quan đăng ký và cơ quan đăng ký địa phương

Cơ quan đăng ký (RA) giảm tải một số công việc từ CA Hệ thống RA hoạt động nhưmột người trung gian trong quá trình này: Nó có thể phân phối khóa, chấp nhận đăng

ký cho CA và xác thực danh tính RA không cấp chứng chỉ; trách nhiệm đó vẫn thuộc

về CA Hình 7.11 cho thấy một RA hoạt động ở San Francisco, trong khi CA nằm ởWashington, D.C Người dùng Seattle nhận được ủy quyền cho phiên từ RA ở SanFrancisco Người dùng Seattle cũng có thể sử dụng San Francisco RA để xác thực tínhxác thực của chứng chỉ từ người dùng Miami Các mũi tên giữa người dùng Seattle vàmáy chủ RA đại diện cho yêu cầu chứng chỉ từ người dùng từ xa RA có một liên kếtliên lạc với CA ở Washington Vì CA ở Washington gần hơn, người dùng Miami sẽ sửdụng nó để xác minh chứng chỉ

Cơ quan đăng ký địa phương (LRA) tiến hành thêm một bước nữa Nó có thể được

sử dụng để xác định hoặc thiết lập danh tính của một cá nhân để cấp chứng chỉ Nếungười dùng ở Seattle cần một chứng chỉ mới, sẽ không thực tế nếu bay trở lạiWashington, D.C để lấy một chứng chỉ khác Một LRA có thể được sử dụng để xácminh và chứng nhận danh tính của cá nhân thay mặt cho CA Sau đó, LRA có thểchuyển tiếp các tài liệu xác thực đến CA để cấp chứng chỉ

Sự khác biệt cơ bản giữa RA và LRA là cái sau có thể được sử dụng để xác định hoặctlKgUập danh tính của một cá nhân

303 Chương 7 Cơ bản và Phương pháp Mật mã

HÌNH 7.11 Một công việc giảm RA khỏi CA

304 Chương 7 Cơ bản và Phương pháp Mật

mã

Miami

này xảy ra giữa LRA và

CA LRA sẽ liên quan

cá nhân hoặc quy trình

để xác minh danhtính của người cần

Một người dùng ở Seattle muốn

gửi tin nhắn cho một người dùng ở Miami.

CA

San Francisco

Was j hington, D.C

305 Chương 7 Cơ bản và Phương pháp Mật

mã

trong Hình 7.12 cho thấy đường dẫn từ người dùng đã yêu cầu chứng chỉ (thông quaLRA) đến CA cấp chứng chỉ; các mũi tên chỉ ra đường dẫn từ CA gửi lại chứng chỉmới cho người dùng

HÌNH 7.12 LRA xác minh danh tính cho CA

LRA liên quan đến việc nhận dạng vật lý của người yêu cầu chứng chỉ

User presents credentials

to an LRA to get a

certiticate írom a CA

Phần tiếp theo cung cấp chi tiết hơn về chứng chỉ và việc sử dụng chúng, bao gồm xácthực người dùng, hệ thống và thiết bị Một chứng chỉ cũng có những đặc điểm nhấtđịnh mà chúng ta cần giải thích ngắn gọn.

Chứng chỉ triển khai

Các chứng chỉ, như bạn có thể nhớ lại, cung cấp phương pháp chính để xác định rằngmột người dùng nhất định là

có giá trị Chứng chỉ cũng có thể được sử dụng để lưu trữ thông tin ủy quyền Một yếu

tố quan trọng khác là xác minh hoặc chứng nhận rằng hệ thống đang sử dụng đúngphần mềm và quy trình để giao tiếp Chứng chỉ có ích gì để giúp đảm bảo tính xácthực nếu hệ thống sử dụng hệ thống mật mã cũ hơn có vấn đề về bảo mật?

Một số phần tiếp theo mô tả cấu trúc chứng chỉ X.509 và một số cách sử dụng chứngchỉ phổ biến hơn

X.509

Chứng chỉ phổ biến nhất được sử dụng là X.509 phiên bản 3 X.509 là định dạngchứng chỉ tiêu chuẩn được hỗ trợ bởi Liên minh Viễn thông Quốc tế (ITU) và nhiều tổchức tiêu chuẩn khác Việc áp dụng định dạng chứng chỉ tiêu chuẩn là điều quan trọng

để các hệ thống được đảm bảo khả năng tương tác trong môi trường hướng chứng chỉ.Định dạng và nội dung của chứng chỉ mẫu được thể hiện trong Hình 7.13

HÌNH 7.13 Một chứng chỉ minh họa một số thông tin được lưu trữ

chứa các định danh củahai thuật toán khácnhau

được sử dụng trongquá

trình này Trongtrường

hợp này, thuật toánchữ

ký là Md2RSA vàthuật

toán chữ ký số là sha1.Chứng chỉ này cũng cómột số sê-ri duy nhấtdo

Cơ quan chứng nhậnchứng chỉ (CA)

Số seri 1234 D123 4567

Thuật toán Chữ ký Md2RSA

Người phát hành Giấy chứng nhận mẫu

Có hiệu lực từ: Thứ năm, ngày 8 tháng 9 năm 2005

Có hiệu lực đến: Thứ năm, ngày 15 tháng 9 năm 2005

Chủ thể Mr Your Name Here, Myco

Khóa công khai Giá trị được mã hóa của khóa

Tiện ích mở rộng Chủ đề Loại = Thực thể Cuối cùng

Thuật toán Chữ ký Shal

Dữ liệu được mã hóa

Chứng chỉ X.509 có nhiều trường hơn được minh họa; ví dụ này chỉ nhằm mụcđích cung cấp cho bạn cái nhìn tổng quan về chứng chỉ trông như thế nào

Chính sách chứng chỉ

Hãy nhớ rằng CPS là một tài liệu chi tiết được sử dụng để thực thi chính sáchtại CA; chính sách chứng chỉ không liên quan đến CA mà liên quan đến chínhchứng chỉ

Hiểu rõ về việc thu hồi chứng chỉ Thu hồi

Chứng chỉ là quá trình thu hồi chứng chỉ trước khi chứng chỉ đó hết hạn Chứng chỉ có

thể cần phải được thu hồi vì nó đã bị đánh cắp, một nhân viên chuyển đến một công tymới hoặc ai đó đã bị thu hồi quyền truy cập của họ Việc thu hồi chứng chỉ được xử lýthông qua Danh sách thu hồi chứng chỉ (CRL) hoặc bằng cách sử dụng Giao thứctrạng thái chứng chỉ trực tuyến (OCSP) Kho lưu trữ chỉ đơn giản là một cơ sở dữ liệuhoặc máy chủ cơ sở dữ liệu nơi các chứng chỉ được lưu trữ.

Quá trình thu hồi chứng chỉ bắt đầu khi CA được thông báo rằng một chứng chỉ cụ thểcần được thu hồi Việc này phải được thực hiện bất cứ khi nào khóa cá nhân được biếtđến Chủ sở hữu chứng chỉ có thể yêu cầu thu hồi chứng chỉ bất kỳ lúc nào hoặc yêucầu có thể được thực hiện bởi quản trị viên

CA đánh dấu chứng chỉ là đã bị thu hồi Thông tin này được xuất bản trong CRL và cósẵn bằng giao thức OCSP Quá trình thu hồi thường rất nhanh chóng; thời gian dựatrên khoảng thời gian xuất bản cho CRL Việc phổ biến thông tin thu hồi cho ngườidùng có thể mất nhiều thời gian hơn Sau khi chứng chỉ đã bị thu hồi, nó không baogiờ có thể được sử dụng— hoặc đáng tin cậy — một lần nữa.

CA xuất bản CRL thường xuyên, thường là hàng giờ hoặc hàng ngày CA gửi hoặccông bố danh sách này cho các tổ chức đã chọn nhận nó; quá trình xuất bản này xảy ra

tự động trong trường hợp PKI Khoảng thời gian từ khi CRL được cấp đến khi nó đếntay người dùng có thể quá lâu đối với một số ứng dụng Khoảng cách thời gian nàyđược gọi là độ trễ OCSP giải quyết vấn đề độ trễ: Nếu người nhận hoặc bên phụ thuộc

sử dụng OCSP để xác minh, câu trả lời sẽ có ngay lập tức Hiện tại, giao thức này đangđược đánh giá và có thể sẽ được thay thế trong tương lai

Chương 8, “Tiêu chuẩn mật mã”, cũng thảo luận về CRL.

Khi khóa bị xâm phạm, CA phải yêu cầu thu hồi ngay lập tức Có thể mất một ngàyhoặc lâu hơn để CRL được phổ biến cho mọi người sử dụng CA đó

Triển khai mô hình Tin cậy

Để hạ tầng khóa công khai (PKI) hoạt động, các khả năng của CA phải sẵn sàng chongười dùng Mô hình đã được chỉ ra cho đến thời điểm này là mô hình tin cậy đơngiản Tuy nhiên, mô hình tin cậy đơn giản này có thể không hoạt động khi việc triểnkhai PKI ngày càng lớn hơn Về mặt khái niệm, mọi người dùng máy tính trên thế giới

sẽ có một chứng chỉ Tuy nhiên, việc hoàn thành điều này sẽ cực kỳ phức tạp và sẽ tạo

ra các vấn đề lớn về quy mô hoặc tăng trưởng

Bốn loại chính của mô hình tin cậy được sử dụng với PKI:

Mô hình tin cậy phân cấp

Trong mô hình tin cậy phân cấp — còn được gọi là cây — một CA gốc ở trên cùngcung cấp tất cả thông tin Các CA trung gian tiếp theo trong hệ thống phân cấp và chỉtin cậy thông tin được cung cấp bởi CA gốc CA gốc cũng tin tưởng các CA trung giannằm trong hệ thống phân cấp của chúng và không có CA nào không có Sự sắp xếpnày cho phép mức độ kiểm soát cao ở tất cả các cấp của cây phân cấp

Đây có thể là cách triển khai phổ biến nhất trong một tổ chức lớn muốn mở rộng khảnăng xử lý chứng chỉ của mình Mô hình phân cấp cho phép kiểm soát chặt chẽ cáchoạt động dựa trên chứng chỉ.

Hình 7.14 minh họa cấu trúc tin cậy phân cấp Trong tình huống này, các CA trunggian chỉ tin tưởng các CA trực tiếp bên trên hoặc bên dưới chúng

Hệ thống CA gốc có thể có sự tin cậy giữa chúng, cũng như giữa CA trung gian và CA

lá CA lá là bất kỳ CA nào nằm ở cuối mạng hoặc chuỗi CA Cấu trúc này cho phépbạn sáng tạo và hiệu quả khi tạo các hệ thống kết hợp

HÌNH 7.14 Một cấu trúc tin cậy phân cấp

Hierarchical Trust Model

Mô hình tin cậy cầu nối

Trong mô hình tin cậy cầu nối, tồn tại mối quan hệ ngang hàng giữa các CA gốc Các

CA gốc có thể giao tiếp với nhau, cho phép chứng nhận chéo Sự sắp xếp này cho phépmột quy trình chứng nhận được thiết lập giữa các tổ chức hoặc bộ phận Mỗi CA trunggian chỉ tin cậy các CA ở trên và dưới nó, nhưng cấu trúc CA có thể được mở rộng màkhông cần tạo thêm các lớp CA

Tính linh hoạt bổ sung và khả năng tương tác giữa các tổ chức là những lợi thế chínhcủa mô hình cầu nối Thiếu độ tin cậy của các CA gốc có thể là một bất lợi lớn Nếumột trong các CA gốc không duy trì bảo mật nội bộ chặt chẽ xung quanh các chứngchỉ của nó, thì một vấn đề bảo mật có thể được tạo ra: Một chứng chỉ bất hợp pháp cóthể có sẵn cho tất cả người dùng trong cấu trúc cầu nối và các CA cấp dưới hoặc trunggian của nó.

Mô hình này có thể hữu ích nếu bạn đang giao dịch với một tổ chức lớn, phân tán vềmặt địa lý hoặc bạn có hai tổ chức đang làm việc cùng nhau Một tổ chức lớn, phân tán

về mặt địa lý có thể duy trì một CA gốc tại mỗi địa điểm từ xa; các CA gốc sẽ có hệthống phân cấp nội bộ của riêng họ và người dùng sẽ có thể truy cập chứng chỉ từ bất

kỳ vị trí nào trong cấu trúc CA

Hình 7.15 minh họa cấu trúc bắc cầu Trong ví dụ này, các CA trung gian chỉ giao tiếpvới CA gốc tương ứng của chúng Tất cả chứng nhận chéo được xử lý giữa hai hệthống CA gốc

Mô hình tin cậy lưới

Mô hình tin cậy lưới mở rộng các khái niệm về mô hình cầu nối bằng cách hỗ trợnhiều đường dẫn và nhiều CA gốc Mỗi CA gốc được hiển thị trong Hình 7.16 có thểxác nhận chéo với các CA gốc khác trong lưới Sự sắp xếp này cũng được gọi là cấutrúc web Mặc dù không được hiển thị trong hình minh họa, nhưng mỗi CA gốc cũng

có thể giao tiếp với các CA trung gian trong cấu trúc phân cấp tương ứng của chúng

HÌNH 7.15 Mô hình tin cậy cầu nối

Hình 7.16 Mô hình tin cậy cầu nối

Leaf CA Intermediate CA

CA CA

Mô hình này có thể hữu ích trong tình huống một số tổ chức phải chứng nhận chéo cácchứng chỉ Ưu điểm là bạn có thể linh hoạt hơn khi định cấu hình các cấu trúc CA.Nhược điểm chính của một lưới là mỗi CA gốc phải đáng tin cậy để duy trì bảo mật.

Mô hình tin cậy hỗn hợp

Một cấu trúc kết hợp có thể sử dụng các khả năng của bất kỳ hoặc tất cả các cấu trúcđược thảo luận trong các phần trước Bạn có thể cực kỳ linh hoạt khi xây dựng cấutrúc ủy thác hỗn hợp

Tính linh hoạt của mô hình này cũng cho phép bạn tạo môi trường lai Hình 7.17minh họa cấu trúc như vậy Lưu ý rằng trong cấu trúc này, máy chủ CA trung gian duynhất ở phía bên phải của hình minh họa là máy chủ duy nhất được CA bên dưới nó biếtđến Các cấp dưới của CA ở giữa bên trái được liên kết với hai CA ở hai bên của nó.Hai CA này không biết về các CA khác, vì chúng chỉ được liên kết với CA cung cấpkết nối cho chúng

Hai máy chủ trung gian ở giữa hình minh họa và cấp dưới của họ tin tưởng lẫn nhau;

họ không tin tưởng những người khác không có trong liên kết

Khó khăn lớn đối với các mô hình tin cậy là chúng có thể trở nên phức tạp và khóhiểu Người dùng có thể vô tình có được sự tin tưởng mà lẽ ra họ không nên có được.Trong ví dụ của chúng tôi, một người dùng có thể vô tình được gán cho một trong các

CA ở vòng tròn giữa Là thành viên của vòng kết nối đó, người dùng có thể truy cậpthông tin chứng chỉ chỉ có sẵn từ CA gốc của họ Ngoài ra, các mối quan hệ giữa các

CA có thể tiếp tục kéo dài về mức độ hữu ích của chúng; trừ khi ai đó biết về họ,những mối quan hệ này có thể tồn tại ngay cả sau khi các tổ chức mẹ đã chấm dứt mốiquan hệ của họ

Intermediate ÌỊBÌ

Trusted CAs

Real VVorld Scenario

Thiết kế cấu trúc CA cho tổ chức của bạn

Bạn đã được chỉ định triển khai cấu trúc CA cho tổ chức của mình Tổ chứccủa bạn có một số nhà máy quốc gia lớn và các cơ sở nhỏ ở xa trên khắp đấtnước Một số cơ sở này có mạng tốc độ cao; những người khác có khả năngquay số tốc độ thấp Ban quản lý của bạn báo cáo rằng lưu lượng truy cậpmạng rất cao và họ không muốn làm quá tải mạng với lưu lượng CA này Bạn

có thể hoàn thành điều này như thế nào?

Có lẽ bạn nên lắp đặt hệ thống CA tại mỗi cơ sở lớn trên cả nước Ngoài ra,bạn có thể muốn cài đặt CA ở các vị trí địa lý quan trọng, nơi cần quyền truycập chứng chỉ Bạn cần thiết lập một thủ tục để cho phép các chứng chỉ đượccấp trong các vị trí xa và bạn cũng cần thực hiện quy trình RA ở các vị trí lớnhơn của mình Người dùng từ xa có thể nhận chứng chỉ qua e-mail hoặc bằngcác phương pháp ngoài băng tần nếu quyền truy cập mạng bị hạn chế

Chuẩn bị cho các cuộc tấn công mật mã

Mục tiêu cuối cùng của một cuộc tấn công vào hệ thống mật mã là giải mã các thôngđiệp hoặc làm gián đoạn mạng Hệ thống mật mã có thể dễ bị tấn công DoS, đã đượcgiải thích trong Chương 2, "Xác định các rủi ro tiềm ẩn."