PHẦN I: CERTIFICATE AUTHORITY 1. MỞ ĐẦU: Hiện nay, hầu hết mọi người sử dụng Internet đều có một địa chỉ email riêng, nó được dùng để trao đổi thông tin với bạn bè cũng như các đối tác trong kinh doanh. Vấn đề đặt ra là ta không muốn người thứ ba biết được nội dung của cuộc trao đổi này, hay giả như việc trao đổi với đối tác là những tài liệu có mức độ quan trọng thì chuyện giữ bí mật là điều hiển nhiên. Nhưng với việc sử dụng mail như trước nay thì thông tin có thể bị bên thứ ba nhòm ngó, vì lẽ đó mà việc mã hóa dữ liệu bằng cách sử dụng chử ký số (hay chứng thực) là an toàn hơn rất nhiều. 2. KHÁI NIỆM: CA (Certification Authority), một thành phần trong hệ thống khóa mã công khai PKI, có nhiệm vụ xác nhận và quản lý chứng thực (digital certificate certificate), cấp phát và thu hồi, cho cá nhân, đơn vị tổ chức, các thiết bị và cho chính nó. Chứng thực này xác nhận quyền sở hữu public key cho đối tượng được cấp. Điều này cho phép những người khác dựa vào chữ ký hoặc xác nhận được tạo bởi private key tương ứng với public key. Trong mô hình này, CA là một bên thứ ba được tin cậy bởi cả 2 phía gồm chủ nhân của chứng thực và phía làm việc dựa trên chứng thực. Certificate Template mẫu dùng để đặc tả cấu trúc của một chứng thực. Có rất nhiều loại chứng thực khác nhau. Certificate Revocation List danh sách thu hồi chứng thực là danh sách chứa các chứng thực không còn giá trị sử dụng, hoặc có thể do người sử dụng yêu cầu hủy bỏ. Certificate Renewal một phần nhỏ của chính sách chứng chỉ liên quan đến việc gia hạn chứng thực, liệu chứng thực có được phép được gia hạn, nếu được gia thì chứng thực được đổi mới như thế nào. Đổi mới giấy chứng thực cùng với kháo cho phép người dùng kéo dài tuổi thọ của một cặp khóa publicprivate. Tuy nhiên, gia hạn chứng thực với một khóa công khai khác nhau sau khi chứng thực của người sử dụng hết hạn có thể gây khó khăn để đọc các tin nhắn được mã hóa trước đó. Mã hóa bất đối xứng asymmetric cipher còn gọi là mã hóa công khai, là loại mã hóa sử dụng một cặp khóa privatepublic: với public key là khóa để mã hóa và private key là khóa giải mã dữ liệu (bị mã hóa). Message>Public Key>Encrypted Message>Private Key>Message Với public key phân phối cho người bạn muốn trao đổi, và private key chỉ của riêng bạn. Điều này đảm bảo là mọi người gởi cho bạn một bức thư được mã hóa và chỉ có bạn là người duy nhất giải mã được nội dung bức thư. Cặp khóa mã này sử dụng số nguyên tố để tạo khóa, cho nên ngay cả khi public key nằm trong tay người khác thì độ dài khóa mã sẽ đảm bảo rằng rất khó để giải mã dữ liệu nếu không có private key. Chữ ký số digital signature, dựa trên cặp khóa privatepublic. Chữ ký số dễ thấy nhất là SIGN cho mail Tính toàn vẹn dự liệu data integrity: chữ ký số cung cấp khả năng xác thực dữ liệu gốc (ai là người sở hữu dữ liệu) và tính xác thực (dữ liệu có bị thay đổi hay không). Rất khó để tìm 2 đầu vào để tạo ra mã băm có cùng giá trị. Vì thế, bất kỳ sự thay đổi dữ liệu nào cũng sẽ cho ra một mã băm khác nhau, dẫn đến việc chữ ký không được xác nhận. Nếu chữ ký được xác nhận thành công, thì người nhận có thể cảm thấy tự tin khi dữ liệu đã được toàn vẹn Các thư mục của Certification Authority Revoked Certification: chứa các chứng thực bị thu hồi Issue Certificate: các chứng thực được cấp cho user Pending Request: chứa các yêu cầu cấp chứng thực từ user Failed Request: chứa các yêu cầu thất bại từ user
Trang 1NGHIÊN CỨU VÀ TRIỂN KHAI
XÁC THỰC CA CHO WEBSITE, MAIL
SINH VIÊN: NGUYỄN HOÀNG PHÚC GVHD: TRƯƠNG VĂN CƯỜNG
Trang 2PHẦN I: CERTIFICATE AUTHORITY
1 MỞ ĐẦU:
Hiện nay, hầu hết mọi người sử dụng Internet đều có một địa chỉ email riêng, nó được dùng để trao đổi thông tin với bạn bè cũng như các đối tác trong kinh doanh Vấn đề đặt ra là ta không muốn người thứ ba biết được nội dung của cuộc trao đổi này, hay giả như việc trao đổi với đối tác là những tài liệu có mức độ quan trọng thì chuyện giữ bí mật là điều hiển nhiên Nhưng với việc sử dụng mail như trước nay thì thông tin có thể bị bên thứ ba nhòm ngó, vì lẽ đó mà việc mã hóa dữ liệu bằng cách sử dụng chử ký số (hay chứng thực) là an toàn hơn rất nhiều
2 KHÁI NIỆM:
CA (Certification Authority), một thành phần trong hệ thống khóa mã công khai
PKI, có nhiệm vụ xác nhận và quản lý chứng thực (digital certificate/
certificate), cấp phát và thu hồi, cho cá nhân, đơn vị tổ chức, các thiết bị và cho
chính nó Chứng thực này xác nhận quyền sở hữu public key cho đối tượng được cấp Điều này cho phép những người khác dựa vào chữ ký hoặc xác nhận được tạo bởi private key tương ứng với public key Trong mô hình này, CA là một bên thứ
ba được tin cậy bởi cả 2 phía gồm chủ nhân của chứng thực và phía làm việc dựa trên chứng thực
Certificate Template mẫu dùng để đặc tả cấu trúc của một chứng thực Có rất
nhiều loại chứng thực khác nhau
Certificate Revocation List danh sách thu hồi chứng thực là danh sách chứa các
chứng thực không còn giá trị sử dụng, hoặc có thể do người sử dụng yêu cầu hủy bỏ
Certificate Renewal một phần nhỏ của chính sách chứng chỉ liên quan đến việc
Trang 3Mã hóa bất đối xứng asymmetric cipher còn gọi là mã hóa công khai, là loại mã
hóa sử dụng một cặp khóa private/public: với public key là khóa để mã hóa và private key là khóa giải mã dữ liệu (bị mã hóa)
Message >[Public Key] >Encrypted Message >[Private Key] >Message
Với public key phân phối cho người bạn muốn trao đổi, và private key chỉ của riêng bạn Điều này đảm bảo là mọi người gởi cho bạn một bức thư được mã hóa
và chỉ có bạn là người duy nhất giải mã được nội dung bức thư Cặp khóa mã này
sử dụng số nguyên tố để tạo khóa, cho nên ngay cả khi public key nằm trong tay người khác thì độ dài khóa mã sẽ đảm bảo rằng rất khó để giải mã dữ liệu nếu không có private key
Chữ ký số digital signature, dựa trên cặp khóa private/public Chữ ký số dễ thấy
nhất là SIGN cho mail
Tính toàn vẹn dự liệu data integrity: chữ ký số cung cấp khả năng xác thực dữ
liệu gốc (ai là người sở hữu dữ liệu) và tính xác thực (dữ liệu có bị thay đổi hay không) Rất khó để tìm 2 đầu vào để tạo ra mã băm có cùng giá trị Vì thế, bất kỳ
sự thay đổi dữ liệu nào cũng sẽ cho ra một mã băm khác nhau, dẫn đến việc chữ
ký không được xác nhận Nếu chữ ký được xác nhận thành công, thì người nhận
có thể cảm thấy tự tin khi dữ liệu đã được toàn vẹn
Các thư mục của Certification Authority
- Revoked Certification: chứa các chứng thực bị thu hồi
- Issue Certificate: các chứng thực được cấp cho user
- Pending Request: chứa các yêu cầu cấp chứng thực từ user
- Failed Request: chứa các yêu cầu thất bại từ user
Trang 4PHẦN 2: TRIỂN KHAI XÁC THỰC CA TRÊN WINDOWS SERVER 2003
1 STANDALONE CA:
Yêu cầu:
- Windows server 2003 (server)
- Windows XP (client)
Cài đặt phía Server
Cài đặt IIS và ASP.Net
Cài CA service
Trang 5Chi tiết của Default Web site (IIS Manager)
2 Mailbox được thêm vào server (athena.edu.vn)
Trang 6Gởi nhận mail có chữ ký và mã hóa
Mail chưa bị sữa đổi
Trang 7Mail đã bị thay đổi nội dung
Trang 8Mail được mã hóa
Thiết lập CA cho website
Trang 9Website có chứng thực, dùng giao thức https
Trang 112 ENTERPRISE CA:
- Windows server 2003 (server)
- Windows XP (client)
Để cài đặt Enterprise CA, trước tiên ta cần cấu hình DNS
Trang 12Gõ địa chỉ 10.0.0.1/certsrv, do đây là môi trường domain nên cần phải nhập
username, password
Giao diện request certificate vẫn y như bên Standalone CA
Do đây là môi trường domain nên chỉ có user certificate
Trang 13SVTT: Nguyễn Hoàng Phúc 13