Ứng dụng ca trong bảo mật hệ thống mail exchange

NSu nhu rn6i nguai trong chung ta co rnQt chUng rninh thu d€ xac th\Tc ta chinh la rnQt cong dan cua rnQt qu6c gia, thi trong vi~c truySn dc;ttthong tin,d€ xac nh?n rnQt th\Tcth€ da gui

KHOA CONG NGH~ THONG TIN

GIAo V[EN HU'ONG DAN: TS D~NG TRU'ONG SONSINH VlEN THVC Hn~:N : NGUYEN THANH HUNG

TP HO CHi MINH - 2009

LcneAMON

D~ hoan thanh t6t bai lu~n van t6t nghi~p nay chung em da nh~n duQ'cSlJgiup dO'va huang dfin t~n tinh Clla cac thfiy co va cac b~n khoa Cong Ngh~Thong Tin truOng D~i HQc Ngo~i Ngfr - Tin HQc TP.H6 Chi Minh

Chung em xin cam an cac thfiy co thuQc khoa Cong Ngh~ Thong Tin dacung cfip cho chung em cac ki€n thuc vo dmg qui bau va cftn thi€t trong su6tthai gian hQCt~p t~i truOng d~ chung em co th~ th\Ic hi~n va hoim thanh bailu~n van t6t nghi~p nay

D~c bi~t, chung em xin chan thanh cam an thfty D~ng TruOng San dat~n tinh huang dfin va giup dO'chung em trong su6t thai gian th\IC hi~n d~ tai

Cu6i cung, chung em xin cam an gia dinh cung b~n be da t~o di~u ki~n,dQng vien va giup dO'chung em dii tv tin va nghj l\Ic d~ th\Ic hi~n t6t d~ tai

Do gi6i h~n v~ m~t thai gian va ki€n thuc nen d€ tai ch~c ch~n sekhong tranh kh6i nhfrng sai sot ngoai y mu6n Chung em rfit mong nh~n duQ'cSl!thong cam va dong gop y ki€n clla qui thfiy co va cac b~n

Xin chan thanh cam an

Sinh vien thl,l'Chi~nNguy~n Thanh Hung

ChU'ong 2 : CHU KY s6 vA H~ TANG MA HOA CONG KHAI 20

2.2.1 T6 chuc chfrng thl!c - CA (Certification Authority) 262.2.2 Trung Himdang ky - RA (Registration Authority) 262.2.3 Thl!c th~ cu6i - Client (Nguai gifr chung chi) 27

2.4.6 M6 hinh nguai str dVng trung tam (User Centric Model) 42

Sinh vien : Nguy~n Thanh Hung - 1 - GVHD: TS.D~ng Truang San

ChU'o'ng 3 : Glal THI.t::U MAIL - EXCHANGE SERVER 2007 43

ChU'O'ng 4 : ifNG Dl)NG CA TRONG BAo M~ T H.t:: THONG MAIL

4.3 (fng d •••.ng CA trong bao mit h~ th8ng Mail Exchange 2007 78

Sinh vien : Nguy~n Thanh Hung - 2 - GVHD : TS.D~ng TruOng San

Ngay nay, cac cong ty thuOng rna rQng va dua thuong hi~u cua hQ t6ikhach hang,d6i tac kinh doanh b~ng vi~c tc;tOl?p ra trang web, gui thong tincua chinh cong ty hQ len Internet v6i nhiSu rnl,lc dich khac nhau : quang cao,giao dich chUng khoan, trao d6i thong tin tai chinh, nc;tptiSn vao tai khoanngan hang Khach hang, d6i tac kinh doanh thi co th€ giao dich,lien lc;tcv6icong ty b~ng vi9C gui thong tin len website cua cong ty ho~c gui e-rnai 1 Bencc;tnhnhfrng vi~c trao d6i thong tin duQ'c cho la quan trQng, nhc;tycam, thi cling

co nay sinh ra nhfrng hanh vi, thu doc;tnphi phap nh~rn phl,lc Vl,lcho lQ'iichrieng tu,pha hoc;ti.£>ola cac thong tin nhc;tycam nay co th€ bi rnfit c~p, sua d6inQi dung, rnc;todanh Co sa hc;tt~ng rna khoa cong khai (PKI - Public KeyInfrastructure) cung cac tieu chufm va cac Ung d\mg cong ngh~ cua no duQ'ccoi la rnQtgiai phap t6ng hQ'Pva dQCl?p d€ giai quySt vfin dS nay

NSu nhu rn6i nguai trong chung ta co rnQt chUng rninh thu d€ xac th\Tc

ta chinh la rnQt cong dan cua rnQt qu6c gia, thi trong vi~c truySn dc;ttthong tin,d€ xac nh?n rnQt th\Tcth€ da gui rnQttai li~u t6i th\Tcth€ khac, thi th\Ic th€ guic~n phai co rnQt chUng chi s6 V6i PKI, ban chfit la rnQt h~ th6ng cong ngh~duQ'c su dl,lng d€ khai tc;tO,lUll tm va quan ly cac chUng chi s6, hay con gQi lachung th\Tcdi~n tu(DC - Digital Certificate)

Sang kiSn PKI ra dai narn 1995, khi rna cac chinh phil va cac t6 chuccong nghi~p xay d\Tngcac tieu chuftn chung d\Ia tren phuong phap rna hoa d€h6 trQ' rnQt hc;tt~ng bao rn?t tren rnc;tngInternet Tc;tithai di€rn do, rnl,lCtieuduQ'cd~t ra la xay d\TngrnQtbQ tieu chuftn bao rn?t t6ng hQ'Pcung cac cong Cl,l

va ly thuySt cho phep nguai su dl,lng cling nhu cac t6 chuc (doanh nghi~pho~c phi lQ'inhu?n ) co th€ tc;tOl?p, lUll tru va trao d6i cac thong tin rnQt cach

an toan trong phc;trnvi ca nhan va cong cQng NhiSu chuftn bao rn?t tren rnc;tngInternet hi~n nay, thi dl,l SSL - Secure Sockets Layer, TLS - Transport LayerSecurity va Virtue Private Network (VPN), chinh la kSt qua cua sang kiSnPKI

Phuong phap bao rn?t thong tin b~ng chUng chi s6 dang duQ'c nhiSucong ty va cac t6 chuc doanh nghi~p su dl,lng V6i chUng chi s6, nguai sudl,lng co th€ rna hoa thong tin rnQtcach hi~u qua, ki€rn tra xern nQi dung thongtin khi nh?n co bi thay d6i hay khong, xac th\TcduQ'c danh tinh cua nguai gui

va lam cho nguai gui khong th€ ch6i b6 duQ'c la rninh da gui tai li~u

Sinh vien : NguySn Thanh Hung - 3 - GVHD : TS.£>~ng TruOng Son

D~ tai nay duQ'c trinh bay vai m\lc dich tim hi~u (rng d\lng CA trongbflO m?t h~ th6ng Mail Exchange D6i tuQ'llg rna ta nghien Clrua day, se la

CA cung vai h';ltftng cO'sa rna kh6a cong khai - PKI Va ph';lm vi nghien Clru

se la lam sao d~ xac th\Ic duQ'c mQt d6i tUQ'llggui mQt E-mail tai mQt d6i

tUQ'llgkhac trong moi truOng bao m?t tin C?y PKI

Cung vai ly thuy~t va phftn minh hQa b~ng hinh anh, video clip Chung

ta sc cung lam r5 nQi dung cua d~ tai nay

Sinh vien : Nguy~n Thanh Hung - 4 - GVHD : TS.D~ng TruOng San

MA HOA THONG TIN

CHU'ONG 1 :MA HOA THONG TIN

Hay thi'r nghT t&i vi~c thong tin bi rn~t chi duQ'c ben A va B bi~t bi ro ri

nhu : M~t kh~u tai khoan ngan hang cua cac khach hang bi ti~t lQ, hQ'P d6nghQ'P tac gifra cong ty cung cfip dich V\l Ian va cac chi nhanh nho bi cong khai

ra ngoai Chinh vi Ii do nay, cac thong tin quan trQng dUQ'c trao d6i gifra nhacung efip dieh V\l va khach hang phai duQ'c bao rn~t MQt d~ng bao rn~t ph6bi~n hi~n nay la d\l'a van qua trinh rna hoa dfr li~u (Encryption)

Thi d\l :

A rnu6n gi'ri rnQt van ban eho B, A phai t~o ra rnQt ban rn~t rna tuongung gui cho B thay vi gui van ban roo B nh~n duQ'c ban rn~t rna, r6i khoi ph\lcl~i thanh van ban ro d~ hi~u duqc nQi dung thong tin rna A rnu6n gui chorninh Do van ban thuOng duqc gi'ri di theo con dUOng "cong khai" nen d~ bingmJi ta "lfiy trQrn", nhung vi do la ban rn~t rna nen nguai ta khong th~ hi~uduqc nQi dung Con A co th~ t~o ra ban rn~t rna va B co th~ giai ban rn~t rnathanh ban ro d~ hi~u duQ'c la do hai nguai da co rnQt thoa thu~n v~ rnQt chia khoa chung Chi v&i khoa chung nay, thi A rn&i t~o ra duqc ban rn~t rna va Brn&i co th~ khoi ph\lc ban ro til ban rn~t rna f)~ th\l'c hi~n duQ'c rnQt phep rn~trna, ta con cfin rnQt thu~t toan bi~n ban ro cung v&i khoa rn~t rna thanh banrn~t rna va rnQt thu~t toan nguQ'c l~i bi~n ban rn~t rna cung v&i khoa rn~t rnathanh ban roo Cac thu~t toan do duQ'c gQi tuong trng la thu~t toan l~p rna vathu~t toan giai rna,

rn~t chinh la khoa rn~t rna

1.1 M~t rna hQc (Cryptography) :

- La nganh khoa hQc nghien clm v~ nhfrng cach ehuy~n d6i thong tin tu'd~ng "co th~ hi~u duQ'c" thanh d~ng "khong th~ hi~u dUQ'e" va ngu'Q'c l~i

(t~rn dich la gifiu thong tin) f)i~rn khac nhau can ban nhfit gifra hai khai ni~rn

- M~t rna giup dam bao nhfrng tinh chfit sau cho thong tin:

M.A HOA THONG TIN

• Tinh bi rn~t (confidentiality) : Thong tin chi duQ'c ti~t 1<)cho nhfrng ai duQ'cphep

• Tinh toim v~n (Integrity) Thong tin khong th~ bithay d6i va khong bi phat hi~n

• Tinh xac th\Tc(Authentication) Nguo'i gui (ho~c nguainh~n) co th~ chUng rninh dung hQ

• Tinh khong ch6i b6 (non-repudiation) : Nguai gui ho~c nh~n saunay khong th~ ch6i b6 vi~c da gui ho~c nh~n thong tin

- M<)ts6 thu~t ngfr trong nganh rn~t rna :

d<:mgban dfiu - co th~ hi~u duQ'c thanh d~ng khong hi~u duQ'c,vai rnl,lcdich gifr bi rn~t thong tin do

rna hoa, khoi phl,lc phcii thong tin ban dfiu tu thong tin da duQ'crna hoa

hoa hay giciirna Trong phfin trinh bay nay, gQi tilt la thu~t toano

trinh hay code trong Zip code Trong Crytography, code(rna) co

y nghla gfin nhu la cipher (thu~t toan).Chlmg chi khac nhau a

ch6 : code bi~n d6i thong tin a tfing nghla (tu, c\lrn tir), concipher bi~n d6i thong tin 6' tfing th~p hon, vi d\l nhu chfr cai(ho~c c\lrn chfr cai) d6i vai cac thu~t toan c6 di~n hay tung bit(ho~c nhorn bit) d6i vai cac thu~t toan hi~n d~i

1.2 Chia khoa :

Password : rn~t kh~u, la rn<)thay nhi~u tu rna nguai dung phcii bi~t d~

duQ'c c~p quy~n truy c~p

Trong thvc t~, rn~t kh~u do nguai dung t~o ra thuO'ng khong dti d<)antoan d~ duQ'cdung tn!c ti~p trong thu~t toan Vi v~y, trong b~t Cll'h~ th6ng rnahoa dfr li~u nghiern ruc nao cling phcii co buac chuy~n d6i rn~t kh~u ban dfiu

Sinh vien : Nguyen Thanh Hung - 6 - GVHD: TS.D~ng TruO'ng Son

MA HOA THONG TIN

thanh chia khoa co oQ an toan thich hQ'P.Buac tl;lochia khoa nay thuOng oUQ'c

gQi la key derivation, key stretching hay key initialization

khoa co oQ an toan hon 06i vai oQ t:ln cong ki~u brute-force hay c6 oi~n Hamnay oUQ'cth\Ic hi~n nhiSu l~n tren rn~t khftu ban o~u cung v6'i rnQt s6 ng~unhien o~ tl;lora rnQt chia khoa co oQ an toan cao hon s6 ng~u nhien nay gQi lasalt, con s6 l~n l~p ll;lila iteration

Vi d\l : MQt rn~t khftu la "pandoras BOx", cung v6'i salt la "230391827",

oi qua ham hash SHA-1 1000 l~n cho kSt qua la rnQt chia khoa co oQ dai 160bit nhu sau: 3BD454A72EOE7CD6959DE0580E3C19F51601C359 (th~ hi~ndu6'i dl;lngs6 th~p l\lc phan)

KeyLength (Keysize) : £>Qdai (hay oQ IOn) cua chia khoa Noi rnQt chi a

khoa co oQ dai 128 bit co nghia chia 00 la rnQt s6 nhi phan co oQ dai 128 chus6 MQt thu~t to<lnco chia khoa cang dai thi cang co kha nang ch6ng l~i ki~ut:ln cong ki~u Brute-Force

1.3 H~ rn~t rna :

Khai ni~rn :

H~ rn~t rna oUQ'cojnh nghia la rnQt bQ narn (P,C,K,E,D), trong00:

1 P la t~p huu hl;lncac ban ro co th~

2 C la t~p huu h~n cac ban rna co th~

3 K la t~p huu hl;lncac khoa co th~

4 E la t~p cac ham l~p rna

5 D la t~p cac ham giai rna Vai rn6i k E K, co rnQtham l~p rna

ekE E, ek : P -+ C va rnQtham giai rna dk€ D, dk: C -+ P sao cho

Sinh vien : Nguy~n Thanh Hung - 7 - GVHD : TS.£>~ng TruOng Son

Hinh 1.1 Qui trinh ma hoa va giai ma

Qua trinh ma hoa trong may tinh d\fa vao khoa hQc v~ m?t ma(Crytography) da dugc con ngmJi su d\mg tir Ifm doi Truac thai d?i s6 hoa,nguai su d\mg m?t ma nhi~u nhftt v~n la chinh phu, chu y~u trong ml,lc dichquan S\f Hfm h~t cac phuang phap ma hoa hi~n nay d~u d\fa vao may tinh,dan gian Ia do cac ma do con nguai sinh ra d~u rftt d~ bi pha huy boi cong Cl,lmay tinh

Cac h~ th6ng ma hoa trong may tinh ph6 bi~n nhftt thuQc mQt trong haiIo?i sau :

• Ma hoa vai khoa d6i xung (symmetric-key Encrytion)

• Ma hoa vai khoa cong khai (Asymmetric-key Encrytion)

1.4 Thu~t tmln ma hoa :

1.4.1 CB di~n :

Substitution : Thay th~ - phuang phap ma hoa trong do tung ki

t\f (ho~c tUng nhom ki t\f ) cua van ban ban dclu dugc thay th~ b~ng mQt (haymQt nhom) ki tv khac Tuy khong con dugc S\f dl,lng nhung y tu6ng cllaphuang phap nay v~n dugc ti~p t\Jc phat tri~n trong nhfrng thu?t toan hi~n d?i

Transposition : Hoan vi - phuong phap ma hoa trong do cac ki tvban dclu chi thay d6i vi tri cho nhau, con ban than cac ki t\l' khong h~ bi bi~nd6i

1.4.2 Hi~n d~i :

1.4.2.1 Symmetric crytography :

Sinh vien: Nguy~n Thanh Himg - 8 - GVHD : TS.D~ng Truang San

MA HOA THONG TIN

Ma hoa d6i Xlmg, tuc la ca hai qua trinh rna hoa va giai rna dSu su d\mgchung rnQt chia khoa D~ dam bao an tofm, chia khoa nay phai duQ'c gifr birn~t Vi th~ thu~t toan lo<;1inay con co ten la secret key crytography, nrc lathu~t to£in rna hoa dung chia khoa rieng (bi rn~t) Trong cac h~ rna d6i Xlmgnhu th~ nay, chi co rnQt chia khoa duQ'c chia se gifra cac ben tharn gia lien l<;1c

CU rn6i l~n truySn thong tin bao rn~t, nguai gui A va nguai nh~n B se thoathu~n truac vai nhau rnQt khoa chung K, sau do nguai gui dung ekd~ l~p rnacho thong bao gui di va nguai nh~n dung dk d~ giai rna ban rn~t rna nh~nduQ'c Nguai gui va nguai nh~n dSu co cung rnQt khoa chung K, duQ'c dungcho ca vi~c l~p rna va giai rna

Ma hoa d6i xung co th~ phan thanh hai nhorn ph\l :

*- Thu~t toan kh6i - trong do timg kh6i dfr li~u trong van banban d~u duQ'c thay th~ b~ng rnQt kh6i dfr li~u khac co cung dQdai D(>dai rn6i kh6i duQ'c gQi la block size, thuang duQ'c tinhb~ng don vi bit Vi d\l : thu~t toan 3-Way co kich thuac kh6ib~ng 96 bit

*- Thu~t toan dong - trong do dfr li~u d~u vaG duQ'c rna hoa

timg bit rn(>t Cac thu~t toan dong co t6c d(>nhanh hon cacthu~t toan kh6i, duQ'c dung khi kh6i lUQ'llgdfr li~u c~n rna hoachua duQ'c bi~t truac, vi d\l trong k~t n6i khong day Co th~coi thu~t toan dong la thu~t toan kh6i vai kich thuac rn6i kh6i

la 1bit

Co nhiSu thu~t toan ung d\lng cho 111ahoa khoa bi 111~tnhu:

• Thu~t toan dong: RC4 - Rons Cipher 4, A5/l, A5/2, Chameleon

• Thu~t toan kh6i : DES - Data Encrytion Standard, 3DES - strength DES, RC5, RC6, 3-Way, CAST, Carnelia, Blowfish,MARS, Serpent, Twofish, GOST

triple-Sinh vien : Nguy~n Thanh Hung - 9 - GVHD: TS.D~ng Twang Son

MA HOA THONG TIN

Co dQ bao rn?t cao kha dS dang v~ m~t ly thuySt DQ an toan cua rnahoa d6i Xlmg ph\! thuQc vao S\f bi rn?t cua khoa, chu khong phai S\f bi rn?t cuathu?t toano Co nghla la, vi~c giai rna rnQt thong bao d\fa vao ban rna va cacthong tin v~ thu?t toan rna hoa/giai rna la khong kha thi Noi cach khac, nguai

ta c~n gift khong c~n gift bi rn?t thu?t toan rna la gift bi rn?t khoa Do do, cacaha san xu~t co th~ san xuftt chip thu?t toan rna hoa gia thanh th~p Cac chipnay co s~n va dS dang ghep vai rnQt s6 san phfirn khac

T6c dQ rna hoa dft li~u cua cac thu?t toan cao, thich hQ'P cho vi~c rnahoa cac dft li~u co kich thuac Ian

M~c du cac thu?t toan IO(;linay ly tliemg cho m\lc dich rna hoa dft li~ucua ca nhan hay t6 chuc don Ie nhung bQc IQ h(;ln chS khi thong tin do phaiduQ'c chia se vai rnQt ben thu hai Hay noi cach khac, v~n d~ phan ph6i vath6a thu?n khoa v~n phai duQ'c th\fc hi~n Nhu V?y, phan ph6i va th6a thu?nkhoa la rnQt v~n d~ chua th~ giai quySt trong cac h~ rn?t rna khoa d6i Xlmg

nguai thu ba xern trQrn va co th~ giai rna thong di~p A da rna hoa gui cho B

MA HOA THONG TIN

1.4.2.2 Asymmetric crytography :

Ma hoa d6i xling, sir d\lllg rn(>tc~p chia khoa co lien quan v&i nhau v€rn~t to'ln hQc M(>tchia khoa cong khai dung d~ rna hoa (public key) va rn(>tchia khoa bi rn?t dung d~ giai rna (private key) M(>tthong di~p sau khi duQ'crna hoa boi chia cong khai se chi co th~ duQ'c gi,li rna v&i chia bi rn?t tuongung

f)~ gi,li quy~t v~n d€ phein ph6i va thea thu?n khoa cua rn?t rna khoad6i xlmg, narn 1976 Diffie va Hellman da dua ra khai ni~rn v€ h~ rn?t rnakhoa cong khai va rn(>tphuong phap trao d6i cong khai d~ t(;10ra rn(>tkhoa birn?t chung rna tinh an toan duQ'cbao dam

Trong h~ rn?t rna nay, khoa rna hoa khac v&i khoa giai rna V€ m~t toanhQc thi tir khoa cong khai r~t kho tinh duQ'c khoa rieng Bi~t duQ'c khoa naykhong d€ dang tim duQ'c khoa kia Khoa giai rna duQ'c gift bi rn?t trong khikhoa rna hoa duQ'c cong b6 cong khai MQt ngmJi b~t ky co th~ sir d\lllg khoacong khai d~ rna hoa tin tuc, nhung chi co nguai nao co dung khoa giai rnarn&ico kha nang xern duQ'cban ro

Nguai giri A se rna hoa thong di~p b~ng khoa cong khai cua nguainh?n va nguai nh?n B se giai rna thong di~p v&i khoa rieng tuong ling cuarninh

P ofB

Directory of Public Keys

Hinh 1.2 : Mil hoa thong di~p suodl}.ng khoa cong khai P

Sinh vien : Nguy€n Thanh Hung - 11 - GVHD: TS.f)~ng Truang Son

• M6i h~ th6ng cong b6 khoa rna hoa cua rninh b~ng cach d~t khoanay van trong rnQt thanh ghi cong khai ho~c rnQt file Day chinh lakhoa cong khai Khoa cung c~p duQ'c giG'bi rn~t.

• N~u A rnu6n gui cho B rnQt thong bao, no rna hoa thong bao b~ngkhoa cong khai cua B

• Khi B nh~n duqc thong bao, B sf: dung khoa rieng cua rninh d~ giairna thong bao da dUQ'crna hoa Khong rnQt ngueri nao khac co th~giai rna bi'm thong bao, bo'i vi chi co B rnai bi~t duqc khoa rieng cuarninh

Cac h~ rn~t rna cong khai duqc tri~n khai rQng rai nhu :

~ Rivest Sharnir Adlernan (RSA).• Diffie-Hellman

• Error Correcting Code (ECC)

* EIGarnal

~ H~ duerng cong Elliptic

Trong s6 cac h~ rn~t rna tren, thi h~ RSA la h~ duqc cQng d6ng chufmqu6c t~ va cong nghi~p ch~p nh~n rQng rai trong vi~c thlJc thi rn~t rna khoacong khai

Sinh vien : Nguy~n Thanh Hung - 12 - GVHD: TS.D~ng Truerng San

M.A HOA THONG TIN

Cai ten RSA co ngu6n g6c tuba chfr cai dfiu cua ten ba nguai d6ng thi~t k~ ra

no : Ronald Rivest, Adi Sharnir va Leonard Adlernan Da duQ'c cong b6 bindfiu tien vao thang 8 narn 1977 tren t~p chi Scientific American H~ rn?t rnaRSA duQ'cSU dl,ll1grQng rai trong thl,fc ti~n : giao dich di~n tu, d~c bi~t chornl,lcdich bao rn?t va xac thgc dfr li~u s6

Vi~c phat rninh ra phuong phap rna hoa cong khai t~o ra rnQt cUQc

"cach rn~ng" trong cong ngh~ an toan thong tin di~n tu Nhung tren thgc t~triSn khai cho thfiy t6c dQ rna hoa kh6i dfr li~u IOn b~ng cac thu?t toan rna hoacong khai ch?rn hon rfit nhi~u so vai h~ rna hoa d6i xung

DS d~t duQ'c dQ an toan nhu cac h~ rna d6i xling rn~nh cung thai, RSAdoi hoi thai gian cho vi~c rna hoa rnQt van ban Hiuhon gfip hang ngan l~n Do

do, tren thl,fc t~, nguai ta thuerng S11 d\ll1g rnQt h~ rna hoa lai t~p trong do dfrli~u duQ'c rna hoa b~ng rnQt thu?t toan d6i xling co t6c dQ cao nhu : DES,IDEA, va chi co chia dung cho vi~c rna hoa nay rnai duQ'c rna hoa b~ngthu?t toan bfit d6i xung

Phuong phap nay rfit kha thi trong vi~c rna hoa va giai rna d6i vainhfrng van ban co kich thuac IOn

AlicE

Secret Key S

Hlnh 1.4: Ma hoa thong di~p SUo d1}ng khoa bi rn~t S d~ rna thongdi~p va khoa cong khai P d~ rna khoa bi rn~t S

Sinh vien : Nguy~n Thanh Hung - 13 - GVHD: TS.D~ng Truerng Son

MA HOA THONG TIN

MQt uu di~rn lllJa cua cac h~ rn~t rna khoa cong khai la lmg dVng cua

bao dam tinh to an v~n cua rnQt van ban duQ'c giai quy~t

NhuO'c di~rn :

Ban than cua cac h~ rn~t rna khoa cong khai d~u dva van cac gia thuy~tlien quan d~n cac bai toan kho nen da s6 cac h~ rna nay d~u co t6c dQ rna dichkhong nhanh linn Chinh nhu<;"cdi~rn nay, lam cho h~ rna khoa cong khai khoduQ'c sir dVng rnQt cach dQc l~p

MQt vAn d~ nay sinh nfra la khi s1:1'dl,mg cac h~ rna khoa cong khai lavi~c xac thlJc rna trong rno hinh rn~t rna d6i xlrng khong d~t ra Do cac khoarna cong khai duQ'c cong b6 rnQt cach cong khai tren rn~ng cho nen vi~c dambao r~ng "khoa duQ'c cong b6 co dung la cua d6i tUQ'llg cfin lien l~c hay khong

? " la mQt ke h6 co th~ bi IQ'idl,mg VAn d~ xac th\Tc nay cling duQ'c giai quy~tb~ng chinh cac h~ rn~t rna khoa cong khai Nhi~u thu tvc xac thlJC da duQ'cnghien Clm va suodVng nhu Kerberos, X.509

Cac D'ng dl}ng h~ thang rna hoa cong khai :

M.A HOA THONG TIN

ho~c khoa cong khai cua nguai nh;;in, ho~c ca hai Noi cach khac, chung ta coth~ chia su d\lng cac h~ th6ng rn;;itrna khoa cong khai thanh 3 lo~i :

.: Ma hoal giai rna : N guai gui rna hoa thong bao b~ng khoa congkhai cua nguai nh;;in

minh Qua trinh kY duQ'c th\Ic hi~n nha dung m(>t thu;;it toan m;;itrna d6i vai thong baa ho~c rn(>tkh6i dfr li~u nha

•: Trao d6i khoa : Hai thanh vien trao d6i rn(>t phien khoa Co rn(>tvai huang giai quy~t khac nhau, c~n d~n rn(>t (ho~c nhi~u) khoarieng cua rn(>tho~c hai thanh vien

1.5 Cbii'ky s8 :

M;;it rna khoa cong khai co th~ duQ'c su d\lng theo nhi~u cach khac

toan vvn dfr li~u N~u nguai gui A rna hoa thong di~p hay tai li~u vai khoarieng cua minh thi bftt ky ai cling co th~ giai rna thong di~p vai khoa congkhai cua A Do do, nguai nh;;in co th~ ch~c ch~n r~ng thong di~p rninh nh;;induQ'c chi co th~ la do A rna vi chi co A mai co khoa rieng cua rninh Qua trinhrna hoa thong di~p vai khoa rieng cua nguai gui gQi la qua trinh "ky s6"

ban g6c d~ chung th\Ic tac gia cua van ban va giup nguai nh;;in ki~rn tra tinhtoan vvn cua n(>i dung van ban g6c

Chfr ky s6 duQ'c t~o ra b~ng cach ap d\lng thu;;it toan bam rn(>t chi~u tren

•: HO{lt ilpng eila ehil' kjJ ilifn til' :

MA HOA THONG TIN

2) Si'r dl,mg khoa private key cua nguai gi'ri dS rna hoa message digest thuduQ'ca buac 1 Thong thuang a buac nay ta dung giai thu~t RSA KSt

qua thu duQ'cgQi la digital signature Cllamessage ban d~u

3) GQP digital signature vao message ban d~u r6i gi'ri di Cong vi~c naygQi la "ky nh~n" vao message Sau khi da ky nh~n vao message, mQi SlJthay d6i tren message se bi phM hi~n trong giai dO<;lnkiSm tra Ngoai

ra, vi~c ky nh~n nay dam bao nguai nh~n tin tu6ng message nay xufitphM tit nguai gui chu khong phai la ai khac

Cac bu'O'cki~m tra :

1) Dung public key cua nguai gi'ri(khoa nay duQ'c thong bao tai mQlnguai) dS giai rna chfr ky s6 cua message

2) Dung giai thu~t MD5 ho?c SHA bam message dinh kern

3) So sanh kSt qua thu duQ'ca buac 1 va 2 NSu trung nhau, ta noi r~ng

message nay khong bi thay d6i trong qua trinh truy€n va message nay

la cua nguai gi'ri

1.6 Ham bam :

1.6.1 Gioi thieu chung:

Vi~c suodl,mgcac h~ 111~trna va sO'd6 chfr ky s6 thuang la rna hoa va kys6 tren tung bit cua thong tin, do do thai gian dS rna hoa va ky se ty l~ thu~mvai dung IUQ'ngcua thong tin

Them vao do, co thS xay ra truang hQ'P: vai nhi€u b(rc thong di~p d~uvao khac nhau, su dl,mg h~ m~t rna, sO'd6 ky s6 gi6ng nhau (co thS khac nhau)thi cho ra kSt qua ban rna, ban ky s6 gi6ng nhau (anh X<;lN-1 : nhi€u-mQt).Di€u nay se d~n t6'i mQt s6 r~c r6i v€ sau cho vi~c xac thl,rcthong tin

Sinh vien : NguySn Thanh Hung - 16 - GVHD: TS.D?ng Truang SO'll

MA HOA THONG TIN

NGUON

H~rn~t rna hay

MQt cach dan gian dS giai quy~t vfin d~ tren (vai thong di~p co kichthuac 16n) nay la ch~t thong di~p thanh nhi~u do~n 160 bit, sau do ky len cacdo~n do dQc l~p vai nhau Nhung, su d\lng bi~n phap nay se co mQt s6 vfin d~g~p phai trong vi~c t~o ra cac chfr ky s6 :

Thu' 1 : Vai mQt thong di~p co kich thuac a, thi sau khi ky kich thuacclla chfr ky se la 2a (Trong truang hQ'Psu d\lng DSS)

Thu' 2 : Vai cac chfr ky "an toan" thi t6c dQ ch~m vi chung dung nhi~uphep tinh s6 hQc phuc t~p nhu s6 mii Modulo

Sinh vien : NguySn Thanh Hung - 17 - GVHD: TS.f)~ng Truang San

, I

MA HOA THONG TIN

cua thong di~p co th~ bl xao trQn cac dm:m vai nhau, ho{lc mQt s6 dO(;lntrongchung co th~ bl m~t mat, trong khi ngU<Ji nh~n c~n phai xac minh l(;li thongdi~p Do do, ta c~n phai dam bao tinh toan v~n cua thong di~p

Giai phap cho cac v~n d~ g{lp phai boi chfr ky s6 la dung ham bam d~tn;r giup cho vi~c ky s6

1.6.2 Dinh nghia :

Ham bam - hi~u theo mQt nghla don gian la ham cho ra mQt mang dfi"li~u nha hon mang dfr li~u 16n ban d~u Du<)'c su d\mg rQng rai trong nhi~utmg d1,1ngkhac nhau cua tin hQc, khong chi thuQc plWm vi m~t rna hQc

Ham bam la ham mQt chi~u rna nSu dua mQt IU<)'llgdfr li~u b~t ki quaham nay se cho ra mQt chu6i co dQ dai c6 dlnh 0 d~u ra Ham bam co tacd1,1ngtr<)'giup cho cac sa d6 ky s6 nh&m lam giam dung lu<)'ng cua dfr li~u c~nthi~t d~ truy~n qua m(;lng

Ham bam 0 day du<)'c hi~u la cac thu~t toan khong su d1,1ngkhoa d~ rna

chi~u nao do, r6i dua ra mQt ban bam - gQi la van ban d(;li di~n - co kichthuac c6 dlnh

Gia td cua ham bam la duy nh~t va khong th~ suy nguQ.c l(;li nQi dungban d~u cua thong di~p tu gia trl bam nay

1.6.3 Tinh chftt :

1 Tinh mQt chi~u : Khong th~ suy ra dil li~u ban d~u ttl" k~t quabam

tuc la hai thong di~p khac nhau co cung mQt k~t qua hash, la Cl,l"C

MA HOA THONG TIN

M{h s8 u'ng d\lng ciia ham hash:

i. Ch6ng va phat hi~n xarn nh~p : Chuang trinh ch6ng xarn nh~p sosanh gia tri hash cua rnQt file vai gia tft truac do d~ ki~rn tra xernfile do co bi ai do thay d6i hay khong

.••.Bao v~ tinh toan v~n cua thong di~p duQ'c gui qua rnC;!ngb~ng cach

ki~rn tra gia tri hash cua thong di~p truac va sau khi gui nh~rn phat

hi~n nhfrng thay d6i cho du la nha nh~t

• TC;!ochia khoa tir rn~t khfiu

*- TC;!ochfr ky di~n tu.

1.7 K~t lu~n :

dchuang 1 nay, ta da tim hi~u rn~t rna hQc la gi cung vai cac thu~t ngfrthuOng dung trong rn~t rna hQc Trong chuang nay cling neu ro khai ni~rnchia khoa, h~ rn~t rna, thu~t toan rna hoa c6 diSn va hi~n dC;!ictmg vai uunhuQ'c di~rn cua tUng thu~t toan,chfr ky s6 va ham bam Day la nhfrng phfintien quy€t dS giup chung ta co duQ'c ki€n thuc n~n v~ rn~t rna cling nhu rnahoa khoa cong khai, d~ chung ta di ti€p van chuang thu 2, la chuang noi v~chung chi s6 va hC;!tfing rna khoa cong khai - rnQt dich V\l rna hoa dang duQ'cth€ giai quan tam va su d~l11g

Sinh vien : Nguy~n Thanh Hung - 19 - GVHD: TS.D~ng TruOng San

CHUNG CHI so vA HA TANG MA KH6A CONG KHAT

M~t ma khoa c6ng khai cho d€n nay duQ'c xem la giai phap t6t nhAt d~dam bao duQ'c cac yeu cc1u v~ an toan th6ng tin m"mg : "bao m~t", "toanVttn","xac tht,rc" va "ch6ng ch6i bo"

Trong h~ th6ng ma khoa c6ng khai, khoa rieng (khoa bi m~t) dUQ"c

tucmg tmg l';1iduQ'c c6ng b6 c6ng khai D6i v6i h~ th6ng nhu th€ nay, ta ceinxac djnh va tn1 1ai m(>t s6 diu hoi nhu :

tm (khoa c6ng, djnh danh cua nguai sa hfru va cac th6ng tin khac )7

t - ?ru

dang duQ'c luu tren h~ th6ng lUll trfr 7

D~ tni lai cho nhfrng diu hoi nay, co m(>t giai phap la su d\mg h';1teing

th6ng tin d~ cung cAp djch V\l ma hoa c6ng khai va chfr ky s6 M\lC dich quantrQng cua PKI la d~ quan 1y khoa va chung chi dUQ'Csu d\lng trong m(>t h~th6ng

2.1 Chung chI sa (DC-Digital Certificate) :

Binb ngbia :

Chung chi 1a m(>t djnh d';1ng tai li~u trong do bao g6m : chfr ky s6 cohi~u h,rc cua nguai cAp chUng chi, khoa c6ng khai cua tht,rc th~, va m(>t ho~cnhi~u thu(>c tinh lien quan t6i tht,rc th~

hay m(>t phc1n m~m xu ly

ChUng chi - hay dung ra la chung chi khoa c6ng khai (PKC - Public

nguai cAp ky b~ng chfr ky co hi~u h,rc dam bao deiy du st,r g~n k€t gifra khoa

CHUNG CHI so vA HA TANG MA KH6A CONG KHAI

cong khai, th\1c th~ sa huu khoa cong khai va t~p cac thuQc tinh khac duQ'cvi~t trong chUng chi

Hinh sau minh hQa mQt chung chi s6 :

General IDetails ICertification Path I

This certificate is intended to:

• Ensures the identity of a remote computer • 1

• Proves your identity to a remote computer ::::l

• Ensures software came from software publisher

• Protects software from alteration after publication

• Protects e-mail messages AlIows data to be signed with the current time ~

Tinh hqp l~ cua cac thong tin trong chung chi duQ'c dam bao b~ng chu'

ky s6 cua nguo'i c~p ch(mg chi NgU<Jimio mu6n Slr d\lng ch(mg chi, tru6c h~t

se kiSm tra chu' ky sf>trong chung chi N~u hQp l~, thi se suod\lng ch(mg chiv6i m\lCdich mong mu6n

Co nhi€u lo~i chUng chi, mQt trong s6 do la :Chung chi khoa cong khai X.509

Chung chi khoa cong don gian (Simple Public Key Certificate SPKC)

-Chung chi Prettty Good Privacy (PGP)

Chung chi thuQc tinh (Attribute Certificate - AC)

Sinh vien : Nguy~n Thanh Hung - 21 - GVHD: TS.£)~ng TruOng Son

CHUNG CHI so V A HA TANG MA KHOA CONG KHAT

T~t ca cac chung chi nay d€u co c~u truc dinh d~ng rieng Hi~n naychung chi khoa cong khai X.509 duQ'c SU dt,lllg ph6 bi~n trong hfiu h~t cac h~th6ng PKI

2.1.1 Chung chi khoa cong khai X.509 :

Chung chi X.509 la dinh d~ng chung chi duQ'c Slr dt,lllg ph6 bi~n vaduQ'Chfiu h~t cac nha cung c~p san phflm PKI tri~n khai

Chu'ng chi khoa cong khai X.509 duQ'c HQi vi~n thong qu6c t~ (lTU)dua ra lfin dfiu tien nam 1988 nhu la mQt bQ ph~n cua dich V\!thu m\!c X.500

Chung chi g6m 2 phfin Phfin dfiu la nhfrng truOng cO'ban cfin thi~t phai

co trong chUng chi Phfin thu 2 la chua them mQt s6 truOng ph\!, nhfrng truongph\! nay duQ'c gQi la truOngrna rQng dung d~ xac dinh va dap Ung nhfrng yeucfiu b6 sung cua h~ th6ng

Dinh d~ng cua chung chi X.509 nhu sau :

Version NumberSerial Number

Si matureIssuerValidit PeriodSub'ectSubjectPublic Ke InformationIssuer Uni ue IdentifierSub' ect Uni ue Identifier

Extensions

a Giai thich dic trU'o'ng clla chu'ng chi X.509 :

- Version Number: Xac dinh s6 phien ban cua chung chi

- Serial Number: Do nha c~p chUng chi gan, la dinh danh duy nh~tcua chung chi

- Signature: Thong tin v€ chfr ky 86 tren chung chi Bao g6m ten, t6chuc, dia chi th\fc, dia chi thu di~n tu va s6 di~n tho~i ngU'<Jigtri

- Issuer: Nha cung c~p, nha phcit hanh chung chi

- Validity Period : Khoang thai gian chu'ng chi co hi~u I\fC va k~tthuc

Sinh vien : Nguy~n Thanh Hung - 22 - GVHD: TS.I)~ng TruOng San

CHUNG CHI s6 vA HA TANG MA KH6A CONG KHAT

duQ'c xac nh?n Ten subject phai duy nhftt d6i vai m6i th\Tc th~ rnanha cung cftp chUng chi xac nh?n

tham s6 lien quan Xac dinh thu?t tocin ( thi dl,l : RSA hay DSA)duQ'c Slr dl,lng cung vai khoa

duQ'c sir dl,lng trong tri~n khai th\Tc t~

Slr d\lllg l~i ten cua subject khi qua h~n TruOng nay cling it dm;yc suod\lllg

Phfm rna rQng la nhfrng thong tin v~ cac thuQc Hnh d.n thi~t duQ'c dua

thong tin trong ph~n rna rQng thuOng duQ'c Slr d\lllg d~ qufm ly xac th\Tc phancftp, chinh sach chung chi, thong tin v~ chUng chi bi thu h6i No cling co th~

thi~t k~ vai cO' "critical" ho?c "uncritical"

ch(rng chi, ID nay la duy nhftt va duQ'c dung d~ ki~m tra chfr ky s6 tren chUngchi No cling duQ'c Slr dl,lng d~ phan bi~t gifra cac C?p khoa do mQt nha cungcftp chung chi Sll' dl,lng (trong truOng hQ'P nha cung cftp chung chi co nhi~uhon mQt khoa cong khai) TruOng nay duQ'c slr dl,lng cho tftt ca cac chung chit\Tky s6 (CA -certificate)

duQ'c Slr dl,lng d~ phan bi~t gilra cac khoa n~u nhu co nhi~u khoa duQ'c g~n vaotrong cung chung chi cua nguai Slr dl,lng (N~u chu th~ co nhi~u hon mQt khoacong khai)

ch~) chu'c nang ho?c dich Vl,lduQ'c h6 trQ' qua vi~c su' dl,lng khoa cong khaitrong chUng chi

trong chUng chi Cac gia tri co th~ la : (1) xac th\Tc server TLS, xac th\l'c clientTLS, (3) Ky rna, (4) bao rn?t e-mail, (5) Tern thai gian

CHUNG CHi so vA HA TANG MA KHOA CONG KHAI

- CRL Distribution Point: chi ra vj tri Clla CRL tuc la noi hi~n co thongtin thu h6i chUng chi No co th~ la URI (Uniform Resource Indicator), dja chicua X.500 ho?c LDAP server

- Private Key Usage Period: truOng nay cho bi~t thai gian Slr d\lllg cuakhoa rieng giln vai khoa cong khai trong chung chi

- Certificate Policies: TruOng nay chi ra day cac chinh sach OIDs gilnvai vi~c c~p va Slrd\.lllgchUng chi

- Policy Mappings : Truong nay chi ra chinh sacll xac thvc tuangduang gifra 2 mi~n nha cung c~p chung chi No dU<JcSlr d\lllg trong vi~c thi~tl~p xac thlJc cheo va ki~m tra dUOngdfrn chUng chi

- Subject Alternative Name: Chi ra nhfrng d.;mg ten Iva chQn giln vainguai So' hfi"uchung chi Nhfrng gia trj co th~ la : dja chi e-mail, dja chi IP, dja

- Basic Constraints Field : TruOng nay cho bi~t day co phai la chUngchi CA(nha cung c~p chUng chi) hay khong b~ng cach thi~t l~p cho gia trjlogic (true)

Chung chi CA dung d~ thlJc hi~n mQt s6 chuc nang ChUng chi nay coth~ O'mQt trong 2 d(;1ng.N~u CA t(;10ra chung chi d~ tv suod\lllg, chUng chinay dU<JcgQi la chung chi CA tlJ kyo Khi mQt CA m6i dU<Jcthi~t l~p, CA t(;10

ra mQt chung chi CA t\1'ky d~ ky len chung chi cua nguai suod\.lllg cu6i trongh~ th6ng Va d(;1ngthu 2 la CA c~p chUng chi cho nhfrng CA khac trong h~th6ng

- Path Length Constraint: Truong nay chi ra s6 dQ dai t6i da cua dUOngdfrn chlrng chi co th~ dU<Jcthi~t l~p Gia trj "zero" chi ra r~ng CA chi co th~c~p chlrng chi cho thlJc th~ cu6i, khong c~p chlrng chi cho nhfrng CA khac

- Name Constraints: DU<Jc dung d~ bao g6m ho?c 10(;1itru' cac nhanhtrong nhfrng mi~n khac nhau trong khi thi~t l~p moi truo1lg tin tuang gifra cacmi~n PKI

- Policy Constraints: DU<Jc dung d~ bao g6m ho?c 10(;1itn1 cac chinhsach trong nhfrng mi~n khac nhau trong khi thi~t l~p moi truOng tin tuanggiu'a cac mi~n PKI

Sinh vien : Nguy~n Thanh Hung - 24 - GVHD: TS.D?ng TruOng San

CHUNG CHI s6 vA HA TANG MA KH6A CONG KHAT

.1.L~.lGeneral Details ICertification PathI

<All>

Field aVersion Ei]Serial number rsISignature algorithm rsIIssuer

SValidfrom ffiValid to SSubjectE:lPublic key

\13 IE854B shalRSA

VN, MyCA Group, E15, RootC Wednesday, May 12, 2004 II

Hinh 2.2 N(>i dung chi ti~t cua chung chi s6

2.2 Cae thanh phfin ella PKI :

*" Registration Authorities (RA)

chUng chi hi thu h6i

cu6i

CHUNG CHI so vA HA TANG MA KHOA CONG KHAI

2.2.1 T8 chuc chung thl}'c - CA (Certification Authority)

- M(>t Certificate Authority (CA) la m(>t th\Ic th~ PKl c6 tnlch nhi~mcap chung chi cho cac th\Ic th~ khac trong h~ th6ng

- T6 chuc chUng th\Ic cling duQ'c gQi la ben thu ba duQ'c tin tu6ng vinguai Slr d\lllg cu6i tin tu6ng vao chli ky s6 cua CA tren chung chi trong khith\Ic hi~n nhfrng ho~t d(>ngrna h6a kh6a cong khai dm thi~t

- CA phai dam bao v€ d(>tin c~y, chju trach nhi~m v€ d(>chinh xac cuachtmg chi rna minh da cap

- CA se ki~m soat cung v6i m(>t nha quan ly dang ky (RegistrationAuthority - RA) d~ xac minh thong tin v€ m(>tchung chi s6 rna nguai yeu c~uxac th\IC dua ra N~u RA xac nh~n thong tin cua nguai c~n xac th\Ic, CA saud6 se dua ra m(>tchung chi

- Thong thuang, CA th\Ic hi~n chuc nang xac th\Ic b~ng cach capchUng chi cho cac CA khac va cho cac th\Ic th~ cu6i (nguai gili chUng chi)trong h~ th6ng N~u CA n~m a dinh cua mo hinh phfm cap PKI va chi capchung chi cho cac CA thap han thi chung chi nay duQ'c gQi la chung chi g6c

"root certificate"

2.2.2 Trung Him dang ky - RA (Registration Authority)

M~c du CA c6 th~ th\Ic hi~n nhling chuc nang dang ky c~n thi~t, nhungdoi khi c~n c6 th\Ic th~ d(>cl~p th\Ic hi~n chuc nang nay Th\Ic th~ nay duQ'cgQi la "registration authority" - trung Him dang ky Thi d\l : Khi s6 luQ'g th\Icth~ cu6i trong mi€n PKI tang len va s6 th\Ic the cu6i nay phan tan kh~p nai v€

m~t ,dja ly thi vi~c dang ky t~i m(>t CA trung tam tra thanh van d€ kh6 giai

quyet

f)~ giai quy~t van d€ nay c~n thi~t phili c6 m(>tho~c nhi€u Ras (trungtam dang ky dja phuong) M\lc dich chinh cua RA la d~ giilm tai cong vi~ccho CA Chuc nang th\Ic hi~n cua m(>tRA C\l th~ se khac nhau tuy theo nhuc~u tri~n khai PKI nhung chu y~u bao g6m nhling chuc nang sau :

- Xac nh~n ca nhan chu th~ dang ky chtmg chi

- Ki~m tra tinh hQ'P1~cua thong tin do chu th~ cung cap

,- Xac nh~n quy€n cua chu th~ d6i v6i nhling thu(>ctinh chUng chi duQ'cyeu diu

- Ki~m tra xem chu th~ c6 th\Ic S\Isa hfru kh6a rieng dang duQ'c dang

ky hay khong - di€u nay thuang duQ'c d€ c~p d~n nhu S\Ichung minh sa hei"u

- T~o c~p kh6a bi m~t/cong khai

- Phan ph6i bi m~t duQ'c chia se t6i th\l'c th~ cu6i (Thi d\l : kh6a congkhai cua CA)

- Thay m~t chil th~ th\Ic th~ cu6i khai t~o qua trinh dang ky v6i CA

Sinh vien : NguySn Thanh Hung - 26 - GVHD: TS.f)~ng Truang San

CHUNG CHI so V A HA TANG MA KHOA CONG KHAT

- Luu tnJ kh6a rieng

- Khoi sinh qua trinh khoi ph\lc khoa

- Phan ph6i the bai v~t ly (Thi dl,lnhu the thong minh) chua khoa rieng

MQt cach t6ng quat, RA xu ly vi~c trao d6i (thuOng lien quan t6'i tuongtac nguai dung) gifra chu thS thl,lc thS cu6i va qua trinh dang ky, phan ph6ichung chi va quim ly vong dai chUng chi/khoa Tuy nhien, trong bftt cu

truang hQ'pnao thi RA cling chi dua ra nhfrng khai bao tin c~y ban dftu v~ chuthS Chi CA m6'i co thS cftp chung chi hay dua ra thong tin tr(;lngthai thu h6ichung chi nhu CRL

2.2.3 ThlfC th~ cll8i - Client (NguOl gill' chung chi)

Thl,lc thS cu6i trong PKl co thS Ia con nguai, thiSt bi, va th~m chi IamQt chuong trinh phftn m~m nhung thuOng la nguai sir dl,lng h~ th6ng Thl,lcthS cu6i se thl,lc hi~n nhfrng chuc nang m~t rna (rna hoa, giai rna va ky s6)

2.2.4 H~ th8ng lUll gin' (Repositories)

Chung chi va thong tin thu h6i chung chi phai duQ'c phan ph6i sao chonhfrng nguai cftn dSn chUng chi cling d~u co thS truy c~p va lfty duQ'C.Co 2phuong phap phan ph6i chtrng chi :

a Phan ph6i ca nhan :

Phan ph6i ca nhan Ia cach phan ph6i cO'bim nhftt Trong phuong phapnay thi m6i ca nhan se trl,lc tiSp dua chUng chi hQ cho nguai dung khac Vi~cnay co thS thl,lc hi~n theo m(>t s6 cO' chS khac nhau ChuySn giao b~ng taychtmg chi duQ'c luu trong rna m~m hay trong m(>ts6 moi truang luu trfr khac

Cling co thS phan ph6i b~ng cach g~n chUng chi trong e-mail dS gui cho

nguai khac

Cach nay thl,lc hi~n t6t trong mQt nhom it nguo'i dung nhung khi s6IUQ'llgnguai dung tang len thi co thS xay ra vftn d~ v~ quan ly

b Phan ph6i cong khai :

M(>t phuong phap khac ph6 bi~n hon dS phan ph6i chung chi(va thong tin thu h6i chUng-chiJ-la-eong b6 cac chUng chi rQng rai, cac chungchi nay co thS sir d\llr~ fuQJg~eh-cong kl1ai va duQ'c d~t 0 vi tri co thS truy c~p

-CHUNG CHI so vA HA TANG MA KHOA CONG KHAI

d€ dang Nhfrng vi tri nay duqc g9i la co So' dfr li~u Duai day la thi dl) v~ m(>ts6 h~ th6ng luu trfr :

- X,500 Directory System Agents (DSAs)

- Lightweight Directory Access Protocol (LDAP) Server

- Online Certificate Status Protocol (OCSP) Server

- Domain Name System (DNS) va Web server

- File Transfer Protocol (FTP) Servers va Corporate Databases

2.3 Chil'c nang CO' ban clla PKI :

Nhfrng h~ th6ng cho phep PKI co nhfrng chuc nang khac nhau Nhungnhin chung co hai chuc nang chinh la : chUng th\Tcva th~m tra

2.3.1 Chung thl}'c (Certification) :

Chu'ng th\Tcla chu'c nang quan tr9ng nh~t clla h~ th6ng PKI Day la quatrinh chua rang bu(>ckhoa cong khai vai dinh danh Clla th\Tc th~, CA la th\Tcth~ PKI th\Tchi~n chuc nang chUng th\Tc.Co 2 phuang phap chUng th\Tc :

- T6 chuc chUng th\Tc (CA) t~o ra c~p khoa cong khai/khoa bim~t va chUng chi cho phfin khoa cong khai Cllac~p khoa

- Nguai su dl)ng tv t~o c~p khoa va dua khoa cho CA d~ CA t~ochtrng chi cho khoa cong khai do ChUng chi dam bao tinh toan v~n cllakhoa cong khai va cac thong tin gin cung

2.3.2 Thfim tra (validation)

Qua trinh xac dinh li~u chung chi da dua ra co th~ duqc Sll'dl)ng dungm1,lCdich thich hqp hay khong duqc xem nhu la qua trinh ki~m tra tinh hi~u11,l'cCllachung chi Qua trinh nay bao g6m m(>ts6 buac sau :

- Ki~rn tra xem li~u co dung la CA duqc tin tucmg da ky s6 lenchung chi hay khong (xu ly theo duang d~n chUng chi)

- Ki~rn tra chfr ky s6 CllaCA tren chung chi d~ ki~rn tra tinh toan

v~n.

- Xac dinh xem chUng chi con thai gian co hi~u l\Tchay khong

- Xac dinh xem chUng chi da bi thu h6i hay chua

- Xac dinh xern chung chi dang duqc su dl)ng co dung m1,lcdich,chinh sach, giai h~n hay khong (b~ng cach ki~m tra nhfrng truang rna r(>ngC1,lth~ nhu rna r(>ngchinh sach chUng chi hay rna f(>ngvi~c sir dl)ng khoa )

Sinh vien : Nguy€n Thanh Hung - 28 - GYHD: TS.D~ng Truang San

CHUNG CHI so vA HA TANG MA KHOA CONG KHAI

2.3.3 MQtsA chu'c nang khac :

H~ th6ng PKI thlJC hi~n chuc nang chung th\;l'c,th~rn tra cung vo'i rnQts6 chuc nang ph\l trQ'khac Daai day Ia rnQt s6 chuc nang va dich V\l rna rn6ih~ th6ng PKI dSu cung c~p :

a Dang ky

Dang ky Ia qua trinh dSn ho~c lien l~c vai cac t6 chuc, trung tam tinc~y d~ dang ky cac thong tin va xin c~p chUng chi RA va CA la nhfrng thlJcth~ trong qua trinh dang ky Qua trinh dang ky ph\l thuQc vao chinh sach Cllat6 chuc NSu chUng chi duQ'c cung c~p vai rn\lc dich dung cho nhfrng ho~tdQng bi rn~t thi su d\lng phuong phap g~p rn~t tflJCtiSp NSu chUng chi duQ'c

su d\lng cho nhfrng rn\lc dich, ho~t dQng thuOng thi co th~ dang ky qua nhfrngung d\lng viSt sftn ho~c Ung d\lng di~n ill

b Khoi t~o ban dAu

Khi h~ th6ng tr~rn clla chu th~ nh~n duQ'c cac thong tin d.n thiSt d~ lienl~c vo'i CA thi qua trinh kh6i t~o b~t dfru Nhfrng thong tin nay co th~ Ia khoacong khai cua CA, chUng chi Clla CA, c~p khoa cong khai/khoa bi rn~t Cllachu th~

MQt s6 h~ th6ng khac su d\lng cO' chS d\l'a tren password trong giaido~n kh6i t~o Nguai dung cu6i lien I~c vai CA khi nh~n duQ'c password vasau do thiSt l~p 111Qtkenh bao rn~t d~ truySn nhfrng thong tin cfrn thiSt Giaido~n kh6i t~o thuong tiSp t\lCvai qua trinh chung tht,rc

c Khoi phl}c c~p khoa

Hfru hSt h~ th6ng PKI t~o ra hai c~p khoa cho ngu(Ji su d\lng cu6i, rnQtd~ ky s6 va 111Qtd~ rna hoa Ly do d~ t~o hai c~p khoa xu~t phat tir yeu cfrukhoi ph\lC va sao luu dlJ phong khoa

Tuy theo chinh sach Cllat6 chuc, bQ khoa rna (rna va giai rna) va nhfrngthong tin lien quan dSn khoa cua nguai su d\lng phai duQ'c sao luu d~ co th~l~y l~i duQ'c dfr li~u khi nguai su d\lng rn~t khoa rieng hay rai kh6i dan vi.Con khoa ky s6 duQ'c su d\lng tuy theo rn\lc dich ca nhan nen khong duQ'c saoluu Rieng khoa bi rn~t CllaCA thi duQ'c lUll gifr dV phong trong mQt thai gian

Sinh vien : Nguy~n Thanh Hung - 29 - GVHD: TS.D~ng TruOng Son

CHl1NG CHi so V A HA TANG MA KHOA CONG KHAT

dai dS giai quy~t nhfrng vftn d~ nhftm lfin co thS xay ra trong tuong lai H~th6ng PKl co nhung cong Cl,ldS th\fc hi~n chtrc nang sao luu va khoi phl,lckhoa

d T~o khoa

C~p khoa cong khailbi m~t co thS duQ'c t(;10(y nhi~u nai Chung co thSduQ'c t(;10ra bftng phftn m~m phi a client va duQ'c gui tai CA dS chUng th\fc

CA cling co thS t(;10ra c~p khoa truac khi chung thvc Trong trucmg hQ'Pnay,

CA tv t(;10c~p khoa va gui khoa bi m~t nay cho nguai su dl,lng theo m<)tcach

an toano N~u khoa do ben thu ba t(;10ra thi nhung khoa nay phai duQ'c CA tin

c~y trong mi~n xac nh~n truac khi suodl,lng.

e H~n SUo d\lng va c~p nh~t khoa

M<)ttrong nhfrng thu<)c tinh cua chUng chi la thai gian hi~u Ivc Tho'igian hi~u l\fc cua m6i c~p khoa duQ'c xac dinh theo chinh sach su d"lllg Cacc~p khoa cua nguai su dl,lng nen duQ'c c~p nh~t khi co thong bao v~ ngay h~th(;1n.H~ th6ng se thong bao v~ tinh hu6ng nay trong m<)tthai gian nhftt dinh.Chung chi mai se duQ'c nguai cftp cong b6 tv d<)ngsau thai gian h~t h(;1n

f Xam h~i khoa

Day la truang hQ'Pkhong binh thuang nhung n~u xay ra thi khoa m6'i

se duQ'c cong b6 va tftt ca nguai Slr dl,lng trong h~ th6ng se nh~n thfty di~unay Xam h(;1itai khoa clla CA la m<)ttruang hQ'p d~c bi~t Va trong truang

hQ'Pnay thi CA se cong b6 l(;1itftt ca chung chi vo'i CA-Certificate mO'i cuaminh

g Thu hAi

Chu'ng chi duQ'c cong b6 se duQ'c su dl,lng trong khoang tho'i gian cohi~u l\fc Nhung trong truang hQ'Pkhoa bi xam h(;1ihay co S\f thay d6i trongthong tin cua chUng chi thi chung chi mai se duQ'c cong b6, chUng chi cli se bithu h6i

Sinh vien : Nguy~n Thanh Hung - 30 - GVHD: TS.D~ng Truang Son

CHUNG CHI so V A HA TANG MA KHOA CONG KHAI

h Cong b6 va gfri thong bao thu h&i chu'ng chi

Thong thuOng chung chi se hqp l~ trong khoang thai gian co hi~u h,rc.Nhung trong m(>t s6 truOng hqp chung chi h;li khong hQ'p l~ tru&c thai gianh~t h(;ln.Thi d\l :

- Khoa rieng cua chu th~ bi xam ph(;lm

- Thong tin chua trong chUng chi bi thay d6i

- Khoa rieng cua CA cfrp chUng chi bi xam ph(;lm

Trong nhfrng truang hqp nay c~n co m(>tcO"ch~ d~ thong bao t&i nhfrngnguai Slrd\lng khac M(>ttrong nhfrng phuung phap d~ thong bao t&i nguai Slrd\lng vS tr(;lngthai cua chUng chi la cong b6 CRLs dinh ky ho~c khi c~n thi~t.Ngoai ra, con co m(>ts6 cach h,ra chQn khac d~ thong bao t&i nguai Slr d\lngnhu dung phuung phap tIVc tuy€n Online Certificate Status Protocol

• Certificate Revocation Lists (CRLs) :

• CRLs la cfru truc dfr li~u duQ'c ky nhu chung chi nguai Slr d\lng.CRLs chua danh sach cac chUng chi da bi thu h6i va nhfrngthong tin c~n thi~t khac cua nguai Slr d\lng CRL thuOng do m(>t

CA cfrp Tuy nhien CRL cling co th~ duQ'c Slr d\lng d~ cung cfrpthong tin cho nhiSu CA n~u no duQ'c dinh nghla nhu m(>t CRLgian ti~p Nhfrng thong tin mlY duQ'c chua trong truOng mo' r(>ngCRL Scope

Version NumberSignatureIssuerThis UpdateNext UpdateUser certificate Date OfSerial Number RevocationRevocation ReasonUser certificate Date OfSerial Number RevocationRevocation ReasonCRL ExtensionHinh 2.3 : Khuon d(;lngdanh sach chung chi bi thu h6i

Sinh vien : Nguy~n Thanh Hung - 31 - GVHD : TS.D~ng TruOng Sun

CHUNG CHI so vA HA TANG MA KHOA CONG KHAT

Trong do:

- Version number: chi ra phien bim cua CRL

Signature : nh~n bi€t lo~i ham bam va thu~t to£1nky dm;ycSlr d\lllgd~ ky danh sach thu h6i CRL

Issuer: ten cua th\Tcth~ c~p va ky CRL

This Update: chi ra ngay va tho'i gian CRL duQ'c cong b6

Next Update : chi ra ngay va thai gian danh sach thu h6i k€ ti€pduQ'c c~p

List of revoked certificates : chua danh sach cung vo'i serial cuanhfrng chung chi bi thu h6i

Nhfrng chUng chi da bi CA thu h6i duQ'c ghi vao danh sach theo thu t\Tcua Revoked Certificate M6i dfru vao nh~n bi€t chUng chi thong qua s6 serial

va ngay thu h6i, tren do co ghi ro thai gian va ngay khi chung chi bi CA thuh6i

'i. Authority Revocation Lists (ARL) :

ARL la mQt CRL d~c bi~t chua thong tin thu h6i v~ chung chi CA.ARLs khong chua chung chi cua nguai Slr dVng cu6i Nhfrng thay d6i thongthuang trong ARL thuang hi€m khi xay ra boi vi chung chi cua CA chi bi thuh6i khi khoa rieng cua CA bi xam h~i va do l~i la truang h<;rpkhong thuangxay ra N€u chung chi cheo bi thu h6i thi nguai c~p chung chi cheo nay secong b6 mQt ARL m6i d~ thong bao v6i t~t ca cac th\Tc th~ khac v~ tinhhu6ng nay ARLs duQ'c suod\lllg chu y€u trong qua trinh th:1m tra duang dfinchung chi n€u moi truang tin c~y bao g6m CA co chUng chi xac th\Tccheo

'i. Co ch€ truy v~n On-line (On-line Query Mechanism) :

CRLs va ARLs giup nguai Sll'd\lllg cu6i nh~n bi€t duQ'c v~ tinh tr~ngthu h6i chu'ng chi Nhung co mQt v~n d~ nay sinh la di~u gi se xay ra n€u CAthu h6i chu'ng chi ngay sau khi vim cong b6 CRL Khong co nguai suod\lllgnao nh~n bi€t duQ'c v~ vi~c thu h6i nay d€n khi mQt CRL m6i duQ'c thong bao

MQt luQ'c d6 khac d~ ki~m soat duQ'c tr~ng thai cua chUng chi do IETFphat tri~n OCSP (Online Certificate Status Protocol) LuQ'c d6 nay d\Tatren coch€ truy v~n tr\Tcti€p hon vi~c cong b6 dinh ky CRLs va ARLs OCSP la giaothuc yeu cfru/tra lai dua ra co ch€ d~ nh~n duQ'c thong tin thu h6i tr\Tctuy€n til'th\l'c th~ tin c~y la "OCSP Responder" Nguai su d\lng cu6i th\Tchi~n yeu cfruv6i "OCSP Request" v6i mQt danh sach cac chung chi cfrn duQ'c ki~m tra,

Sinh vien : Nguyen Thanh Hung - 32 - GVHD: TS.D~ng Troang Son

CHUNG CHi s6 vA HA TANG MA KHOA CONG KHAI

OCSP Responder tnl lai yeu cftu "OCSP Reply" vai tr~ng thai cua m6i chUngchi Chung chi co th~ 0' m(>t trong ba tr~ng thai sau

"good", "revoked", "unknown"

Su d\lllg djch V1,1online co m(>ts6 uu di~m sau :

- Tra lai thuang xuyen va luon co tinh ch~t mai,

- Thai gian tra lai nhanh,

- Giam thi~u vi~c su d1,1ngbang thong m~ng s~n co

- T6ng phi xu ly phi a Client th~p

Tuy nhien djch V1,1online co h~n ch€ trong truang hqp cftn ki~m tratr~ng thai thu hili nhung khong online V~n d~ bao m~t cung duQ'c d?t ra khi

su d1,1ngdjch V1,1 nay

~_O

CACertificateDB

OnlineRevocationClient

OnlineRevocationService

LDAPDirectory

Hinh 2.4 : Dich V\}ki~m tra online

i Xac th\fc cheo :

Xac thl!c cheo la m(>t trong nhfrng d?c tinh quan tr()ng nh~t cua h~th6ng PKI Chuc nang nay duQ'c Slr d1,1ngd~ n6i hai mi~n PKI khac nhau Xacthl!c cheo la cach d~ thi€t l~p moi truO'llg tin c~y giu'a hai CA duai nhfrng di~uki~n nh~t dinh Nhfrng di~u ki~n nay duQ'c xac dinh theo yeu cftu cua nguai su

Sinh vien : Nguy~n Thanh Hung - 33- GVHD: TS.D?ng Truang San

CHUNG CHi so vA HA TANG MA KHOA CONG KHAI

dl,mg.Nhfrng nguai Slrdl,mgacac mi~n khac nahu chi co th~ giao ti~p an tofmvai nguai khac sau khi vi~c xac thl,Iccheo duQ'c gifra cac CA thanh congo

Xac thl,Ic cheo duQ'c thi~t l~p b~ng cach t~o chUng chi CA xac thl,Ic lfinnhau

N~u CA-I va CA-2 mu6n thi~t l~p xac thl,Ic cheo thi cfrn thl,Ic hi~n mQt

s6 buac sau :

- CA-l cong b6 CA - certificatc cho CA-2

- CA-2 cong b6 CA - certificate cho CA-l

- CA-l va CA-2 se Slr dl,mg nhfrng truang mo' rQng xac dinh trongchung chi d~ d~t nhfrng giai h~n cfrn thi~t trong CA-certificate

Vi~c xac thl,Ic cheo doi hoi phai co Sl,Iki~m tra cftn th~n cac chinh sachPKI

N~u ca hai d~u co cung ho~c tuong tl,Ichinh sach cua nhau thi vi~c xacthl,l'c cheo se co y nghla NguQ'c l~i, se co nhfrng tinh hu6ng khong mong

mu6n xuftt hi~n trong truong hQ'Pchinh sach PKI cua mQt mi~n tra thanh mQt

phfrn cua mi~n khac

Truang rna rQng "Policy mapping", "name constraints" va "policyconstraints" CllachUng chi X.509 chuftn duQ'c Slr dl,lng trong xac thl,Ic cheo d~dua ra mQt s6 giai h~n trong moi truang tin c~y

Duai day minh h9a duang dfin cftp chUng chi duQ'c xay dl,Ing gifra 2 CA(2 CA nay dii thi~t l~p m6i quan h~ tin c~y Slr dl,lng xac thl,l'c cheo nganghang) Mo hinh chi ra chung chi cheo duQ'c cftp gifra m6i CA va chung chithl,Ic th~ cu6i duQ'c CA cftp Nguai cftp cua mQt chUng chi lei chu thS cuach(mg chi khac Khoa cong khai duQ'c xac nh~n trong mQt chtmg chi tuang(mg vai khoa rieng duQ'cSlrdl,mg d~ ky chUng chi khac

Sinh vien : Nguyen Thanh Hung - 34 - GVHD: TS.D~ng Truang Son

CHUNG CHI so V A HA TANG MA KHOA CONG KHAT

Issuer Marketing Marketing U ser.D

Subject B

Issuer Engineering CA Marketing CA "

Subject Marketing CA

Engineering CA Signature

Marketing CA Public/Private keys

Engineering CA Public/Private keys

Issuer Marketing CA

Subject Enginerring CA

A's public/private keys

B's public/private keys

Hinh 2.5 Duang d~n chung chi cheo

2.4 Mo hlnh tin c~y cho PKI :

M(>tthlJc th~ cu6i tin c~y CA khi thlJc th~ cu6i cho r~ng CA se thi~t l~p

va duy tri SlJg~n k~t cac thu(>ctinh cua khoa cong khai rn(>tcach chinh xac

Co rn(>ts6 rno hinh tin c~y co th~ duqc ap d\ll1g ho~c duQ'c d~ xuc1td~Slrd\ll1gtrong h~ t~ng rna khoa cong khai - PKI d\fa tren X.509 :

Single CA Model (Mo hinh CA don)

- Hierarchical Model (Mo hinh phan cc1p)

Sinh vien : Nguy~n Thanh Hung - 35 - GVHD: TS.D~ng Twang Son

CHUNG CHI s6 vA HA TANG MA KHOA CONG KHAI

2.4.1 Mo hinh CA don:

Day la rna hinh don gic'm nhftt Chi co m(>t CA xac nh?n tftt ca cac th\Tc

CA gf>c(CA root) theo m(>t sf>cO'ch~ nao do

Trong rna hinh nay khang co yeu cftu xac th\Tc cheo Chi co m(>t di~m

: -1 ~~t 1 -:

Hinh 2.6 Mo hinb CA do'n

Ma hinh nay d~ tri~n khai va giarn tf>ithi~u duQ'c nhfi'ng vftn d€ v€ khanang tuO'ng tac Nhung rna hinh nay co rn(>t sf>nhuQ'c di~m sau :

0-nhli'ng mi€n con co nhU'ng yeu c~u khac nhau df>i vai ngueri 0-rni€nkhac

- Co th~ khang co t6 chuc nao tinh nguy~n v~n hanh CA danho~c rn(>t sf>t6 chuc l?i co th~ khang tin tu6'ng vao nhU'ng ngueri v~nhanh CA nay vi m(>t vai ly do nao do

- Vi~c quan tri va khf>i IUQ'llgcang vi~c ky thu~t cua vi~c v~nhanh CA dan se rftt cao trong c(>ng d6ng PKI Ian

Chi co m(>t CA se gay ra thi~u kha nang ho?t d(>ng va CA nay co th~

CHUNG CHI so V A HA TANG MA KHOA CONG KHAT

2.4.2 Mo hloh philo cAp :

M6 hinh nay wong Ung vai cflUtruc phan cc1pvai CA g6c va cac CAcc1pduai CA g6c xac nh~n cac CA cc1pduai, cac CA nay h,lixac nh~n cac CAcc1pthc1phon Cac CA cc1pduai kh6ng c~n xac nh~n cac CA cc1ptren

Trong rn6 hinh nay, rn6i th\Ic th€ se gifr bi'm sao khoa c6ng khai cuaroot CA va ki€rn tra duang dfrn CllachUng chi b~t d~u tu chfr ky cua CA g6c

Root

CA

Hinh 2.7 M6 hinh CA phan cc1p

- M6 hinh nay co th€ dung dugc tnJc ti~p cho nhfrng doanh nghi~pphan cc1pva dQc l~p, cling nhu nhfrng t6 Chll'Cchinh phu va quan d(>i

- Cho phep th\Ic thi chinh sach va chucin th6ng qua h~ t~ng co So'.

- D~ v~n hanh gifra cac t6 Chll'Ckhac nhau

Sinh vien: Nguy~n Thanh Hung - 37 - GVHD: TS.D~ng TruOng Son

CHUNG CHi so vA HA TANG MA KHOA CONG KHAI

* NhU'(~)'edi~rn ella rnB hloh :

- Co th~ khong thich hqp d6i v6i rnoi truOng rna rn6i rni~n khac nhau

dm co chinh ~ach va giai phap PKl khac nhau

- Cac to chuc co the khang tl! nguy~n tin VaGcac ta chuc khac

- Co th~ khang thich hqp cho nhfrng rn6i quan h~ ngang hang gifrachinh phll va doanh nghi~p

- Nhfrng t6 chuc thiSt l?p CA truoc co th~ khong rnu6n tra thanh rnQt

2.4.3 MB hloh rn~t lU'Ol (Xae th• .,I'e eheo) :

Ma hinh m~t luoi la mo hinh dua ra Sl! tin tuang gifra hai ho~c nhi~u

CA M6i CA co th~ a trong rna hinh phan c~p ho~c trong rna hinh m~t luoikhac Trong rna hinh nay khong chi co mot CA g6c rna co nhi~u han mQt CAg6c phan ph6i Sl!tin C?y gifra cac CA voi nhau Thang qua vi~c xac thl!c cheogifra cac CA g6c, cac CA co th~ tin tuang lfin nhau Xac th\lc cheo lien kStcac mi~n khac nhau b~ng vi~c su d\lng thuQc tinh Basic Constraints, NameConstraints, Policy Mapping va Policy Constraints clla X.509 v3 mo-rQng.Trong c~u hinh m~t luoi d5y dll, t~t ca cac CA g6c xac nh?n cheo lfinnhau.f)i~u nay yeu c5u n2 l5n xac thl!c trong h~ t5ng cO'sa.

Hinh 2.8 Ma hinh m~t lu6i

Sinh vien : Nguy~n Thanh Hung - 38 - GVHD: TS.f)~ng TruOng San