Tất cả các mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa côngkhai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được.. Qu
Trang 1ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA
TRONG MAIL SERVER
Sinh viên thực hiện:
1 Nguyễn Vũ Hoàng Cương 1097530009
2 Vương Minh Hữu 1097530052
3 Trần Vũ Thùy Linh 1097530066
4 Trương Thị Ngọc Bích 1097530008
5 Nguyễn Thanh Sơn 1097530099
Trang 2I KHÁI NIỆM VỀ CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn bản,
hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu đó
Chữ ký điện tử (CKĐT) là sản phẩm tin học, là công cụ hỗ trợ cho quá trình xử lý thông tin
số, nhưng nó hàm chứa các quy định cho phép các tổ chức cung ứng dịch vụ thanh toánnhắm đến đích của mình là cải tiến các dịch vụ thanh toán hiện có sao cho nhanh chóng, antoàn và hiệu quả hơn
CKĐT là một dãy ký tự lựa chọn ở bàn phím của máy tính hay còn được gọi là mật khẩu vàdãy ký tự này cũng phải đăng ký theo các quy định
II ĐẶC ĐIỂM CỦA CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử (E-mail, File text,bảng tính )
Chữ ký điện tử gồm :
Public key : được sử dụng để mã hoá những thông tin mà bạn muốn chia sẻ với bất
cứ ai,chính vì vậy bạn có thể tự do phân phát nó cho bất cứ ai mà bạn cần chia sẻthông tin ở dạng mã hoá
Private Key : giống như password là thông tin riêng của mỗi cá nhân , không nên chongười khác biết
Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó đểđảm bảo tính toàn vẹn (thông tin) và tính xác thực Ví dụ như một bản dự thảo hợp đồngsoạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử)
Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (nhưgiá trị kiểm tra - checksum ) Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thayđổi hay chưa Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửalỗi
Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗtrợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook) Tất cả các
mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa côngkhai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được Ởđây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn
Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc Việc đảmbảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập
III NGUYÊN LÝ HOẠT ĐỘNG CỦA CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử hoạt động dựa trên công nghệ public key, nó sử dụng chứng thực số (digital certificate) để ký và mã hoá các tài liệu và giao dịch
Trang 3 Quá trình ký điện tử Signing:
Đầu tiên, thông điệp (message) được tính toán bởi hàm băm một chiều (one-way hashfunction), hàm này tính toán thông điệp và trả về một bản tóm tắt của thông điệp (messagedigest), hàm băm một chiều đảm bảo rằng bản tóm tắt của thông điệp này là duy nhất và bất
kỳ một sửa đổi dù nhỏ nhất trên thông điệp cũng sẽ gây ra thay đổi cho bản tóm tắt này Sau
đó người gửi sẽ dùng khoá riêng của mình mã hoá bản tóm tắt này Nội dung sau khi được
mã hoá chính là "chữ ký điện tử" (digital signature) của thông điệp đó được ký bởi ngườigửi Chữ ký điện tử này sẽ được gửi đến cho người nhận kèm với thông điệp
Quá trình kiểm tra chữ ký điện tử - Verification:
Khi người nhận nhận được thông điệp, để kiểm tra tính hợp lệ của nó, đầu tiên người nhận
sẽ dùng khoá chung của người gửi (khoá chung thường được phổ biến rộng rãi) để giải mãchữ ký điện tử Kết quả của quá trình giải mã chữ ký điện tử này chính là bản tóm tắt củathông điệp đã gửi đi Sau đó, người nhận dùng hàm băm một chiều để tính toán bản tóm tắtqua nội dung của thông điệp một lần nữa rồi lấy kết quả đem so sánh với bản tóm tắt vừađược giải mã ở trên, nếu kết quả giống nhau thì quá trình kiểm tra thành công Ngược lại cóthể kết luận đây là thông điệp giả mạo hoặc thông tin đã bị thay đổi trên quá trình gửi đi
Trang 4IV CÁC NGUY CƠ BẢO MẬT CHO THƯ ĐIỆN TỬ
Email là dịch vụ mạng phổ biến nhất hiện nay, tuy nhiên việc gửi và nhận thư hầu hết chưa được bảo mật Có những nguy cơ thường gặp như :
Nguy cơ 1: thư bị đọc trộm trong quá trình chuyển đi trên mạng
Nguy cơ 2: thư dễ dãng bị dã mạo bởi người khác
Trang 5 Nguy cơ 3: tính toàn vẹn nội dung thư không được đảm bảo
V CẤU HÌNH MAIL SERVER CÓ CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA
1 Môi trường thực hiện:
- Windows Server 2003
- Mail Daemon 6.0
2 Các bước tiến hành:
a/ Cấu hình AD (Active Directory):
- Cấu hình IP tĩnh cho server: 192.168.1.1
Trang 6- Vào Run chạy lệnh dcpromo
- Ấn phím Next
Trang 7- Ấn phím Next.
- Ấn phím Next
- Ấn phím Next
Trang 8- Gõ vào tên miền (Ví dụ:ueh.edu.vn) Ấn phím Next
Trang 9- Cài DNS bằng cách chọn tuỳ chọn ở giữa, Ấn phím Next.
Trang 10- Ấn phím Next, đợi khoảng 5 phút để quá trình cấu hình AD hoàn tất, restart máy.
Trang 11* Bên cạnh đó, cần chỉnh lại một số group policy để demo:
Vì tạo user a và b có password là 123 là password đơn giản, và điều này policy củaWindows Server cấm, vì vậy cần chỉnh policy để có thể đặt được password đơn giản
Vào Start -> Administrative Tools -> Domain Security Policy
Thay đổi:
- Minimum password length -> 0 characters
- Password must meet complexity requirements -> Disabled
Vì Win2k3 không cho user thường log in vào máy Win2k3 (user a, b được tạo ra là user thường thì sẽ không thể login vào máy win2k3) nên để khắc phục điều này cần phải chỉnh trong group policy:
Vào Start -> Administrative Tools -> Domain Controller Security Policy
Thêm vào Users rồi ấn OK
Sau khi chỉnh group policy xong cần phải dùng lệnh sau để những hiệu chỉnh trong group policy có hiệu lực
Vào run -> gõ cmd -> gõ gpupdate /force
Trang 12b/ Tạo user a, b:
- Vào Start -> Administrative Tools -> Active Directory Users and Computers
Trang 13- Điền thông tin cho user a
- Chọn Password never expires, ấn Next, finish, rồi tạo tương tự cho user b
Trang 14c/ Cấu hình DNS:
- Tạo Host mới
- Đánh vào địa chỉ server là 192.168.1.1, rồi ấn nút Add Host
Trang 15- Cấu hình reverse DNS, chuột phải Reverse Lookup Zones chọn New Zone…
- Ấn Next
Trang 16- Ấn Next
- Ấn Next
- Gõ vào dãy IP cùng mạng với server
Trang 17- Ấn Next
- Ấn Finish để hoàn tất
Trang 18- Tạo Pointer trỏ đến server
- Trỏ đến kt là tên server
Trang 19d/ Cài và cấu hình Mail Daemon
- Ấn vào file cài đặt là md_en.exe, cứ ấn next cho đến khi quá trình cài đặt hoàn thành
Trang 22- Quá trình cài đặt hoàn tất thì restart lại máy
Trang 23e/ Cấu hình Mail Daemon
- Mở Mail Daemon lên, vào Setup -> Primary Domain, khai báo như hình sau:
- Tạo tài khoản mail cho user a và user b Vào Account -> Account Manager… Chọn nút New
Trang 24- Gõ vài thông tin cho user a như hình sau, với Account password là 123
- Thực hiện tương tự tạo user b với account password là 123
Trang 25f/ Cài Stand alone root CA(user có thể gởi mail kèm chữ ký điện tử)
- Ấn Start -> Control Panel -> Add or Remove Programs -> Add/Remove Windows Components -> Application Server -> Details -> ASP.NET -> OK -> Next
Lưu ý: Hoàn tất bước cài ASP.NET trước khi sang bước tiếp theo
- Cài Stand-alone root CA: ấn start->Control Panel->Add or Remove Programs -> Add/Remove Windows Componen t-> Certificate Services
Trang 26- Đặt tên cho Root CA
Trang 27- Chọn Yes
- Chọn Yes
Mô hình user xin cấp CA và admin phát hành CA cho user mail
Yêu cầu xin cấp CA
Yêu cầu xin cấp CAUser a
Stand-Alone root CA
AdminXem xét và duyệt cấp CA cho user
Stand-Alone root CAUser a
User b
cấp CA cho User
User tiến hành cài đặt CA
User tiến hành cài đặt CA
Trang 28g/ User a, b xin CA
- Đăng nhập vào user a
- Mở IE -> dòng Address gõ http://localhost/certsrv -> Request a certificate -> E-Mail Protection Certificate -> Name: a, Email: a@ueh.edu.vn -> Nhấn Submit
- Chọn Yes
User b xin Certificate, làm tương tự như trên
Trang 29h/ Admin cấp phát Certificate cho user a, b
Trang 30- Double-click certificate của user a -> đọc lại các thông tin trong Tab General
- Đọc các thông tin trong Tab Details Lưu ý: 2 dòng Subject và Public Key
Trang 31i/ User a, b cài Certificate nhận được từ Admin
Trang 32VI GỬI EMAIL THÔNG THƯỜNG – KHÔNG CÓ CHỮ KÝ ĐIỆN TỬ VÀ KHÔNG MÃ HÓA
Log on user a, a gởi mail cho user b
Administrator sửa mail của a đã gởi cho b
- Log on Administrator
- Dùng Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b
- sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123)
Trang 33 User B check Mail
- Log on user b, check mail
- Mail đã bị sửa mà b không biết
VII GỬI EMAIL CÓ CHỮ KÝ ĐIỆN TỬ VÀ KHÔNG MÃ HÓA
* User a gởi mail có chữ ký điện tử và không mã hoá cho b
Log on a gởi mail cho b: nhấn Sign, sau đó nhấn Send
Administrator sửa mail của user a gởi cho user b
- Log on Administrator, Administrator vẫn đọc được nội dung mail
- Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b
- sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123)
Trang 34 User b check Mail
Trang 35VIII GỬI EMAIL CÓ CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA
* User a gởi mail có chữ ký điện tử và có mã hoá cho user b
Log on user a, gửi mail cho b Nhấn Sign, nhấn Encrypt, sau đó nhấn Send
Trang 36 Administrator xem mail của a gởi cho b
- Log on Administrator, Tuy nhiên lần này Administrator không đọc được nội dung mail của a gởi cho b
- Windows Explorer -> C:\Mdaemon\Users\ueh.edu.vn\b
- sửa file md5xxxxxxxxxx.msg ( thêm dòng chữ 123)
- Nếu Administrator chỉ xem mail thôi thì user b vẫn mở được mail bình thường
Trang 37 Tuy nhiên nếu Administrator sửa mail của a gởi cho b thì b sẽ không thể đọc đượcnội dung mail, do là phần sửa của admin là gõ vào bình thường nên khi b giải mãphần mã hoá của a và phần gõ thêm của Administrator sẽ gây nên lỗi.
- Administrator thêm vào 1 dòng chữ 123
B không thể đọc được mail vì Administrator đã thêm nội dung rồi