FITHOU MỤC LỤC 3I) Thực trạng truyền tin qua mạng 31) Các nguy cơ tiềm ẩn 32) Các phương pháp mã hóa 3a) Mã hóa khóa đối xứng 4b) Mã hóa không đối xứng 5II) Chứng thực khóa công khai – Chứng chỉ số CA.
Trang 1MỤC LỤC
MỤC LỤC 1
a)Khái niệm 7
b)Nhiệm vụ 7
c)Mô hình phân cấp 8
d)Cơ chế hoạt động 10
e)Danh sách một vài CA Server 11
Trang 2I) Thực trạng truyền tin qua mạng.
1) Các nguy cơ tiềm ẩn:
Ngày nay, việc giao tiếp qua Internet đã trở thành một nhu cầu cấpthiết Nhiều dữ liệu quan trọng được truyền trên mạng như mã số tàikhoản, thông tin mật… Tuy nhiên với các thủ đoạn tinh vi, nguy cơ ăncắp thông tin qua mạng cũng ngày càng gia tăng Cũng như trong thờiđại công nghệ thông tin, có lẽ không ai trong chúng ta không sở hưu mộtđịa chỉ Email của riêng mình và thường xuyên thông qua đó để trao đổithông tin cũng như liên lạc với các đối tác trong kinh doanh Vấn đề đặt
ra là với những tài liệu có mức độ quan trọng và riêng tư cao mà takhông muốn cho người thứ 3 biêt Tuy nhiên, chúng ta biết rằng thôngtin qua Internet sử dụng giao thức TCP/IP Đây là giao thức cho phép cácthông tin được gửi từ máy tính này tới máy tính khác qua hàng loạt cácmáy trung gian hoặc các mạng riêng biệt Chính điều này đã tạo cơ hộicho những kẻ trộm công nghệ cao có thể thực hiện những hành động phipháp Các thông tin truyền trên mạng đều có thể bị nghe trộm(Eavesdroping), giả mạo (Tampering), mạo danh (Impersonation).v.v Các biện pháp bảo mật hiện nay như dùng mật khẩu đều không đảmbảo vì có thể bị nghe trộm hoặc nhanh chóng dò ra Để giảm lo lắng vềnguy cơ rò rỉ thông tin, dữ liệu truyền trên Internet ngày nay đều có xuhướng được mã hóa Cơ chế như sau: Ví dụ A có nội dung quan trọngmuốn gửi cho B với nội dung là “xxxxxxx” và A sẽ mã hóa dữ liệu bằngviệc đặt một khóa Key= k và sẽ tiến hành mã hóa nội dung thành
“yyyyyyyyy” Khi đó B nhân được thông tin từ A gửi cho là chuỗi kí tự
“yyyyyyyyy” Để giải mã, B phải có Key mà A cung cấp cho thì mới cóthể đọc được nội dung này Có 2 phương pháp mã hóa và giải mã đó là
mã hóa đối xứng và mã hóa không đối xứng
2) Các phương pháp mã hóa.
a) Mã hóa khóa đối xứng:
Phương pháp mã hóa này giống như cơ chế vừa nêu trên Tưởngnhư an toàn nhưng lại tồn tại những nhược điểm lơn mà hiện tạingười ta không chọn hình thức mã hóa và giải mã kiểu này vì nếunhư ai đó có được Key này thì họ sẽ đọc được toàn bộ dữ liệu màtrước đó ta đã mã hóa Hơn nữa trong thực tế A không chỉ có mình B
là đối tác mà có đến hàng trăm hàng nghìn đối tác khác nữa Với mỗiđối tác A phải có 1 Key riêng và A cũng phải lưu trữ chừng ấy khóa
mà phía đối tác cấp cho
Ví dụ A gửi gói tin Data cho B đã được mã hóa với Key=1 cho rakết quả là gói Data1 B nhận được gói tin trên và tiến hành giải mãvới Key trên mà thu được Data ban đầu
Trang 3Tuy nhiên vì một lý do nào đó C nhặt được gói tin Data1 và Keycủa A gửi cho B Khi đó C sẽ tiến hành giải mã và sửa thông tin, sau
đó lại mã hóa với Key trên và gửi cho B Vì vậy thông tin mà B nhậnđược hoàn toàn sai lệch và không đáng tin cậy nhưng bản thân Bcũng không biết
Trước nguy cơ đó người ta đưa ra phương pháp mã hóa thứ hai
b) Mã hóa không đối xứng:
Người ta chứng minh luôn tồn tại 2 số P và Q với P#Q mà khi mãhóa dữ liệu với P, ngưới ta đem kết quả giải mã với Q sẽ thu được dữliệu ban đầu và ngược lại
Với quy trình này, mỗi người dùng sử dụng công nghệ mã hóa sẽ chỉcần 2 khóa mà thôi Ví dụ như A sử dụng công nghệ mã hóa nên sẽ có:
Khóa PA gọi là Public Key, là khóa công khai, mọi người có thểxem và sử dụng khóa này
Khóa QA gọi là Private Key, là khóa bí mật chỉ có mình A là cóthể xem và sử dụng khóa này
Vì vậy, khi A gửi Data cho B nó sẽ dùng Private Key PB của B để
mã hóa và cho ra kết quả là Data1 Khi đó B nhận được gói Data1 sẽgiải mã bằng Private của mình và thu đươc dữ liệu Data ban đầu
B
Decrypt (Key) Data
Encrypt (P)
Edit C
B
Data1’ Encrypt (Key)
Decrypt (QB) Data
Trang 4Tuy nhiên cách này vẫn chưa thực sự an toàn vì A chỉ lấy Public Key
PB của B sử dụng mà không xác minh tính xác thực có đúng là của B haykhông Khi đó với một thủ thuật nào đó, C lấy Public Key PC của mìnhchèn vào Public Key PB của B nhằm đánh lừa A
Như vậy, vô tình thay vì A dùng PB để mã hóa dữ liệu thì nó lại lấy
PC để mã hóa dữ liệu rồi gửi cho B Như vậy thông tin mà A gửi cho
Chứng chỉ sổ là một tệp tin điện tử dùng để xác minh danh tính một
cá nhân, một máy chủ, một công ty… trên Internet Nố giống như bằnglái xe, hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân
Để có chứng minh thư, ban phải được có quan Công An cấp Và chứngchỉ số cũng như vậy
Chứng chỉ số phải dó một tổ chức đứng ra chứng nhận những thôngtin của bạn là chính xác được gọi là Nhà cung cấp chứng chỉ số (CA –Certificate Authority) CA sẽ là nhà phát hành các chứng thực và quản lýcác chứng thực ấy CA phải đảm bạo độ tin cậy, tính trách nhiệm và độchính xác của chứng chỉ số mà mình cấp
2) Thành phần.
Chứng chỉ số có 3 thành phần chính:
Dữ liệu cá nhân của người được cấp: bao gồm tên, quốc tịch, địachỉ, email, tên tổ chức v.v., phần này giống như các thông tin trênCMT
C - PC
B
Decrypt (QC) Data
Trang 5 Khóa công khai: là một giá trị được CA đưa ra như một khóa mãhóa, kết hợp cùng với một khóa các nhân duy nhất được tạo ra từcác khóa công khai để tạo thành cặp mã hóa bất đối xứng.
Chữ kí số của CA cấp: còn gọi là chứng chỉ gốc, đây là sự xácnhận của CA, đảm bảo tính chính xác và hợp lệ chứng chỉ Muốnkiểm tra chứng chỉ số, đầu tiên phải kiểm tra chữ kí số của CA cóhợp lệ hay không Trên chứng minh thư, đây chính là con dấu xácnhận của Công An tỉnh hoặc thành phố mà bạn trực thuộc Vềnguyên tắc, khi kiểm tra CMT, đầu tiên phải kiểm tra con dâunày để biết CMT có bị làm giả hay không
3) Lợi ích của chứng chỉ số.
Mã hóa và bảo mật: Khi người gửi đã mã hóa thông tin bằng
khóa công khai của bạn, chắc chắn chỉ có bạn mới giải mã đượcthông tin để đọc Trong quá trình truyền trên Internet, dù có đọcđược các gói tin đã mãi hóa này, kẻ xấu cũng thông thể biết đượctrong gói tin có thông tin gì Đây là một tính năng quan trọng giúpngười dùng hoàn toàn tin cậy vào khả năng bảo mật thông tin.Những dữ liệu cần bảo mật cao như giao dịch liên ngân hàng,ngân hàng điện tử, thanh toán bằng thẻ tín dụng đều cần phải cóchứng chỉ số để đảm bảo an toàn
Chống giả mạo: Khi bạn gửi đi một thông tin, có thể là dữ liệu
hoặc một Email, có thể sử dụng chứng chỉ số, người nhận có thểkiểm tra được thông tin của bạn có bị thay đổi hay không Bất kìmột sự sửa đổi hay thay thế nội dung của thông điệp đều sẽ bịphát hiện Địa chỉ mail của bạn, tên domain… đều có thể bị làmgiả để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quantrọng Chứng chỉ số thì không thể làm giả, nên việc trao đổi thôngtin có kèm chứng chỉ số luôn đảm bảo an toàn
Xác thực: Khi bạn gửi thông điệp kèm chứng chỉ số, người nhận
sẽ xác định rõ danh tính của bạn Có nghĩa là dù không nhìn thấybạn nhưng qua hệ thống chứng chỉ sổ mà bạn và người nhận cùng
sử dụng, người nhận sẽ biết chắc đó là bạn chứ không phải ngườikhác Xác thực là một việc rất quan trọng trong các giao dịch điện
tử qua mạng, cũng như các thủ tục hành chính với các cơ quanpháp quyền Các hoạt động này cần phải xác định rõ người gửithông tin để sử dụng tư cách pháp nhân Đây chính là nền tảngcủa một Chính phủ điện tử, môi trường cho phép công dân có thểgiao tiếp, thực hiện các công việc hành chính với các cơ quan nhànước hoàn toàn qua mạng Có thể nói chứng chỉ số là phần khôngthể thiếu, là phần cốt lõi của Chính phủ điện tử
Trang 6 Chống chối cãi nguồn gốc: Khi sử dụng chứng chỉ số, bạn phải
hoàn toàn chịu trách nhiệm về những thông tin mà chứng chỉ số đikèm Trong trường hợp người gửi chối cãi, phủ nhận một thôngtin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàngquan mạng), chứng chỉ số mà người nhận có được sẽ là bằngchứng khẳng định người gừi là tác giả của thông tin đó Trongtrường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽchịu trách nhiệm xác minh thông tin, chứng tỏ nguồn gốc thôngtin được gửi
4) CA Server
a)Khái niệm
Certificate Authority là thực thể phát hành các chứng thực khóa côngkhai cho người dùng Nhà cung cấp chứng thực số đóng vai trò là bênthứ ba (được cả hai bên tin tưởng) để hỗ trợ cho quá trình trao đổithông tin an toàn Các nhà cung cấp chứng thực số là thành phầntrung tâm trong nhiều mô hình hạ tầng khóa công khai (PKI)
b)Nhiệm vụ
Xác minh nhận dạng của đối tượng yêu cầu chứng chỉ: CA
phải thẩm định nhận dạng của đối tượng đầu cuối (như người dùng, máy tính, thiết bị mạng, dịch vụ, v.v ) trước khi cấp chứng chỉ cho họ Điều này giúp đảm bảo đối tượng phải có đủ các
quyền hạn cần thiết mới có thể yêu cầu CA cấp cho một loại
chứng chỉ nào đó Ngoài ra, tổ chức quản lý chứng chỉ có thể gặp mặt và phỏng vấn trực tiếp người yêu cầu
Cấp phát chứng chỉ cho đối tượng yêu cầu: sau khi xác minh
được nhận dạng của đối tượng, CA cấp loại chứng chỉ được yêu cầu cho đối tượng đó Mỗi loại chứng chỉ sẽ có nội dung và mục đích sử dụng khác nhau Ví dụ, nếu yêu cầu cấp chứng chỉ cho IPSec thì kết quả là chứng chỉ này chỉ có thể được dùng bởi máy chủ hoặc máy khách để xác thực các điểm đầu cuối trên kênh truyền thông được bảo vệ bởi IPSec
Quản lý việc thu hồi chứng chỉ: CA sẽ định kỳ phát hành CRL
sau một khoảng thời gian định trước CRL chứa danh sách số thứ
Trang 7tự (serial number) của các chứng chỉ đã bị thu hồi và các mã số lý
do (reason code) cho việc thu hồi
c)Mô hình phân cấp
Trang 8Root CA
Nằm ở đỉnh cao nhất trong mô hình CA phân cấp, Root CA là điểm tin
cậy cho tất cả các chứng chỉ được cấp bởi các CA khác trong mô hình Điều này có nghĩa là một chứng chỉ được coi là tin cậy chỉ khi nó đó được kiểm chứng xuyên qua chuỗi chứng chỉ với điểm kết thúc tại Root CA
Root CA tự cấp chứng chỉ cho chính nó và lúc này các trường Issuer
Name và Subject Name trong chứng chỉ có cùng tên phân biệt
(distinguished name) Cách duy nhất để xác minh chứng chỉ của Root
CA có hợp lệ hay không là kiểm tra xem chứng chỉ đó có nằm trong Trusted Root Store hay không
Root CA có thể cấp chứng chỉ cho các đối tượng đầu cuối nhưng thường
nó chỉ cấp cho các CA khác Khi thực hiện cấp chứng chỉ cho các thực thể, Root CA sẽ sử dụng khóa bí mật của nó để ký lên các chứng chỉ đó
để chống lại các hành động thay đổi nội dung và chỉ ra rằng chứng chỉ được cấp bởi Root CA
Intermediate CA
Trong mô hình CA phân cấp thì một Intermediate CA là CA cấp dưới của
một CA khác Nó sẽ cấp chứng chỉ cho các CA là cấp dưới của nó
Intermediate CA có thể nằm tại bất kỳ cấp độ nào trong mô hình phân cấp ngoại trừ vị trí của Root CA
CA mà cấp chứng chỉ cho một CA khác thường được gọi là parent CA và
Intermediate CA cũng được gọi là Subordinate CA
Policy CA
Là một dạng đặc biệt của Intermediate CA, Policy CA mô tả các chính
sách và thủ tục mà tổ chức cần triển khai để xác minh nhận dạng của chủthể nắm giữ chứng chỉ và bảo đảm an toàn cho các CA Một Policy CA
Trang 9sẽ chỉ cấp chứng chỉ cho các CA khác trông mô hình phân cấp Tất cả các CA (ngoại trừ Root CA) sẽ là cấp dưới của Policy CA và tuân theo các chính sách và thủ tục được định nghĩa tại Policy CA.
Issuing CA
Thường nằm tại bậc thứ 3 trong mô hình phân cấp, một Issuing CA sẽ
cấp chứng chỉ cho các đối tượng đầu cuối
Như đã nói ở trên, Issuing CA cần tuân theo bất kỳ chính sách và thủ tục nào được định nghĩa bởi một Policy CA mà nằm giữa nó và Root CA Issuing CA cũng có thể nằm ở bậc thứ 2 trong mô hình phân cấp và khi
đó nó đóng vai trò của cả Policy CA và Issuing CA thông thường Nó sẽ
tự thẩm định và tuân theo các chính sách và thủ tục của chính nó
d)Cơ chế hoạt động
Với CA Server bản thân nó cũng có một bộ Public Key & Private
Key của riêng mình Khi A,B,C muốn gởi thông tin cho nhau phải
thông qua CA Server này để xin cấp giấy chứng nhận cho riêng mình có như vậy khi thông tin bị đánh cắp hay sửa đổi thì nhờ có CA Server sẽ
xác thực tính tin cậy của dữ liệu nhận được cho người dùng biết Quitrình này như sau:
CA Server sẽ lấy thông tin Public Key của người dùng nào đó gọi
là CRC hay thông tin đặc trưng của người dùng đó.
Kế tiếp nó mã hóa CRC này với chính Private Q của nó cho ra một giá trị S và giá trị này được công khai
Trang 10Như vậy lúc này mỗi tài khoản người dùng sẽ tồn tại 2 Public
Key và 1 Private Key
Có như vậy khi B nhận được một thông tin từ A nó sẽ đem thông tin S của nó giải mã với P của CA Server và thu được CRC nào đó
Nó sẽ lấy tiếp giá trị CRC vừa thu được đem so sánh
với CRC của chính mình nếu trung khớp thì cho qua Ngược lại
nó biết đây chính là nội dung không đáng tin cậy do bị sửa đổi
Chứng thư tiêu chuẩn toàn cầu
Tương thích với 99% các trình duyệt
Trang 11 Cung cấp bởi một trong những CA uy tín nhất thế giới
Định hướng doanh nghiệp với tất cả các dòng sản phẩm
SSL(là một tiểu chuẩn an ninh công nghệ toàn cầu)
Tiết kiệm cho doanh nghiệp với lựa chọn Wildcard,SAN
Ở Việt Nam hiện tại cũng có 1 số CA Server:BKAV,VNPT…
III) Hướng dẫn cài đặt CA Server trên Window Server 2008
Cài đặt CA:
- Nhấn Star trong Administrative Tools.
Trang 12-Mở Server Manager chuột phải Roles chọn Add Roles.
Trang 13- Trong mục Before You Begin, chọn Next
Trang 14- Trong mục Select Server Roles,đánh dấu chọn Active Directoty
Certificate Servers ,Chọn Next
- Trong mục Introdution to Active Directory Certificate
Services,chọn Next
Trang 15- Trong mục Select Role Services,đánh dấu chọn ô Certificate
Authority Web Enrollment,mục Add role services required for Certificate Authority Web Enrollment,chọn Add Required Role Services.
- Hộp thoại Spectify Setup Type,chọn Standalone,chọn
Next
Trang 16- Trong mục Spectity CA Type ,Chọn Root CA
- Trong mục Set Up Private Key,chọn Create a new
private key,chọn Next.
Trang 17- Trong mục Configure Cryptography for CA,chọn Next
- Trong mục Configure CA Name,chọn Next
Trang 18- Trong mục Set Validity Period,chọn Next
- Trong mục Configure Certificate Database,chọn Next
Trang 19- Trong mục Web Server(IIS),chọn Next
- Trong mục Select Role Services,giữ nguyên các lựa chọn mặc định,chọn Next
Trang 20- Trong mục Confirm Installation Selections,chọn Install
- Trong mục Installation Progress,đợi chạy hết chương trình cài đặt,chọn Close
Trang 21- Nhấn Start,trong Administrative Tools,chọn
Certification Authoity,để xem CA đã được cài đặt xong
Trang 22IV) Tài liêu tham khảo
Ebook MCSA 70-291.
mat-thong-tin-truyen-qua-internet.html
http://inet.edu.vn/tin-tuc/2150/chung-chi-so-cong-cu-bao- https://vi.wikipedia.org/wiki/Ch%E1%BB%A9ng_th
%E1%BB%B1c_kh%C3%B3a_c%C3%B4ng_khai