Tìm hiểu và ứng dụng của CA trên môi trường windows server 2008

Tìm hiểu và ứng dụng của CA trên môi trường windows server 2008

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN -o0o -

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VÀ ỨNG DỤNG CỦA CA TRÊN MÔI

TRƯỜNG WINDOWS SERVER 2008.

Sinh Viên Thực Hiện:

Giáo Viên Hướng Dẫn:

TS ĐẶNG TRƯỜNG SƠN

THÀNH PHỐ HỒ CHÍ MINH

Chúng em xin cảm Thầy Cô, bạn bè cùng khoá đã dìu dắt, giúp đỡ chúng em tiến bộ trong suốt những năm học qua Xin cảm ơn gia đình và bè bạn, những người luôn bên cạnh, khuyến khích và giúp đỡ chúng em trong mọi hoàn cảnh khó khăn

Được hoàn thành trong thời gian rất hạn hẹp, đồ án này chắc chắn còn nhiều khiếm khuyết, kính mong quý Thầy Cô và các bạn tận tình chỉ bảo Chúng em xin cảm ơn những thầy cô, bạn bè và người thân đã và sẽ có những góp ý chân tình cho nội dung của đồ án này, để chúng em có thể tiếp tục đi sâu tìm hiểu và ứng dụng trong thực tiễn công tác.

Một lần nữa chúng em xin chân thành cảm ơn các Thầy đã dìu dắt và hướng dẫn tận tình trong thời gian qua Xin kính chúc các Thầy dồi dào sức khỏe và thành công trong cuộc sống.

Nhóm sinh viên thực hiện.

LỜI NÓI ĐẦU



Tình trạng an toàn mạng tại Việt Nam ngày một nghiêm trọng, không phải vìtrình độ của những tin tặc hackers quá cao khó đối phó, nhưng những lý do kháchquan khác nhau đã làm cho giới IT bị khó khăn khi cần bảo vệ an toàn thông tin.Theo báo cáo mới nhất của Ban Cơ Yếu Chính Phủ, gần 60% các website củanhững cơ quan nhà nước, các cơ quan kinh doanh trên mạng, hay các tổ chức tíndụng bị hacker thâm nhập và tấn công nhằm tìm những thông tin có lợi cho chúng

Tình trạng hacker thì nước nào cũng có, thậm chí nước càng phát triển caothì hacker càng nhiều và càng tỏ ra có tay nghề hết sức khó đối phó Việt Nam đang

là nước có tình trạng tin tặc lộng hành khá phổ biến tuy lãnh vực internet của ViệtNam chưa được xem là cao nhất trong khu vực Nhiều website của Việt Nam đanghoạt động trên mạng toàn cầu có tính chất thông tin là chủ yếu chứ chưa đạt tới mứcmua bán, trao đổi trực tuyến như đa số các nước khác

Việc này gây lo ngại không những cho chính phủ mà những doanh nghiệp tưnhân cũng bất an không kém, đặc biệt là những doanh nghiệp đang chuẩn bị việcmua bán trên mạng Viễn cảnh thiếu an toàn đã khiến không ít cơ sở ngưng triểnkhai việc tạo những trang nhà phục vụ yêu cầu kinh doanh trao đổi hay mua bántrực tuyến Việc này cũng trực tiếp gây trở ngại cho tăng trưởng kinh tế trong thờiđại hội nhập toàn cầu hiện nay

Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu cầu cấpthiết Các thông tin truyền trên mạng đều rất quan trọng, như mã số tài khoản, thôngtin mật Tuy nhiên, với các thủ đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua mạngcũng ngày càng gia tăng Hiện giao tiếp qua Internet chủ yếu sử dụng giao thứcTCP/IP Đây là giao thức cho phép các thông tin được gửi từ máy tính này tới máytính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt Chính

điều này đã tạo cơ hội cho những ''kẻ trộm''công nghệ cao có thể thực hiện các hànhđộng phi pháp Các thông tin truyền trên mạng đều có thể bị nghe trộm(Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) v.v Các biệnpháp bảo mật hiện nay, chẳng hạn như dùng mật khẩu, đều không đảm bảo vì có thể

bị nghe trộm hoặc bị dò ra nhanh chóng

Do vậy, để bảo mật, các thông tin truyền trên Internet ngày nay đều có xuhướng được mã hoá Trước khi truyền qua mạng Internet, người gửi mã hoá thôngtin, trong quá trình truyền, dù có ''chặn'' được các thông tin này, kẻ trộm cũng khôngthể đọc được vì bị mã hoá Khi tới đích, người nhận sẽ sử dụng một công cụ đặcbiệt để giải mã Phương pháp mã hoá và bảo mật phổ biến nhất đang được thế giới

áp dụng là chứng chỉ số (Digital Certificate) Với chứng chỉ số, người sử dụng cóthể mã hoá thông tin một cách hiệu quả, chống giả mạo (cho phép người nhận kiểmtra thông tin có bị thay đổi không), xác thực danh tính của người gửi Ngoài rachứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn ngườigửi chối cãi nguồn gốc tài liệu mình đã gửi

Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưađược tìm thấy Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trởnên đơn giản hơn Nhiều hãng khác cũng cung cấp các giải pháp PKI, song nếu bạn

đã từng đầu tư cho các công nghệ của Microsoft trong doanh nghiệp của mình, bạn

có thể sẽ tận dụng được những lợi thế mà tập đoàn khổng lồ này đã có được

PKI cho phép bạn tạo ra một quan hệ tin cậy giữa các chứng thực của các tổchức khác nhau và giải pháp PKI của Windows Server 2008 cũng bao gồm tínhnăng này Nó giúp bạn bắt đầu với một phạm vi quan hệ tin cậy không lớn và chophép bạn mở rộng phạm vi này trong tương lai PKI là công nghệ xác thực đầu tiên

và hoàn thiện nhất sử dụng phương pháp mã hoá dựa trên khoá bí mật và khoá côngcộng Tuy nhiên, PKI cũng bao gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mậtkhác, bao gồm dịch vụ dữ liệu tin cậy, thống nhất dữ liệu về tổng thể và quản lý mãkhoá

Đồ án “Tìm hiểu và ứng dụng của CA trên môi trường Windows Server2008” giới thiệu những kiến thức tổng quát về hệ thống cung cấp dịch vụ chứng chỉ

số CA, hạ tầng khóa công khai PKI, chứng chỉ số và các thành phần quan trọngkhác để xây dựng hệ thống mã hóa, cung cấp chứng chỉ số, bảo đảm thông tin traođổi trên mạng

Mục lục

Lời cảm ơn

Lời nói đầu

Danh mục các từ viết tắt

Danh mục các hình

Mục lục

Chương 1: Tổng quan

1.1 Đặt vấn đề

1.2 Tình hình sử dụng dịch vụ chứng chỉ số

1.2.1 Ở Việt Nam

1.2.2 Tình hình ở một số nước khác

1.2.3 Nhiệm vụ đồ án

Chương 2: Chứng chỉ số và hạ tầng cơ sở khóa công khai

2.1 Chứng chỉ số

2.2 Định dạng X.509

2.2.1 Định dạng X.509 version 1

2.2.2 Định dạng X.509 version 2

2.2.3 Định dạng X.509 version 3

2.3 Các loại chứng chỉ số

2.3.1 Chứng chỉ số CA

2.3.2 Chứng chỉ số thực thể cuối

2.3.3 Lợi ích của chứng chỉ số

2.3.4 Ứng dụng của chứng chỉ số

2.4 Tổng quan về hạ tầng khóa công khai – PKI

2.4.1 Giới thiệu

2.4.2 Các thành phần cơ bản của PKI

2.4.3 Chức năng của PKI

2.4.4 Các mô hình tin cậy của PKI

Kết chương

Chương 3: CA trên Windows Server 2008

3.1 Các loại CA

3.1.1 Root và Subordinate CA

3.1.2 Enterprise CA và Stand-alone CA

3.1.2.1 Enterprise CA

3.1.2.2 Standalone CA

3.2 Quá trình cài đặt một CA

3.2.1 Cài đặt Root CA

3.2.2 Cài đặt Subordinate CA

3.3 Cấp phát và quản lý chứng chỉ số

3.3.1 Cấp phát tự động

3.3.2 Cấp phát không tự động

3.4 Chứng chỉ số mẫu

3.4.1 Chứng chỉ số mẫu version 1

3.4.2 Chứng chỉ số mẫu version 2

3.4.3 Chứng chỉ số mẫu version 3

3.4.4 Các mẫu chứng chỉ mặc định trong Windows Server 2008

3.5 Yêu cầu chứng chỉ số

3.5.1 Sử dụng Certificate Request Wizard

3.5.2 Sử dụng Web Enrollment

Kết chương

Chương 4: Kết quả thực nghiệm

4.1 Mô hình demo và các bước chuẩn bị

CHƯƠNG 1: TỔNG QUAN

1.1 Đặt vấn đề:

Muốn bảo vệ dữ liệu mà chỉ dựa vào việc mã hoá dữ liệu là rất nguy hiểm.Ngày có nhiều tin tặc có thể đọc trộm dữ liệu, tráo đổi dữ liệu và mạo danh để xâmnhập một cách táo tợn và thiện nghệ

Cho tới nay việc mật mã hóa dữ liệu là một phương pháp đủ mạnh để bảo vệnhững dữ liệu quan trọng hoặc riêng tư không bị xâm phạm bởi sự soi mói tọc mạchhay dụng tâm có ác ý Tuy nhiên, các phương tiện truyền thông thế giới tường thuậtkhá nhiều về khả năng để rò rỉ dữ liệu cá nhân của khách hàng như mã số bảo hiểm

xã hội, thông tin thẻ tín dụng …

Để đáp ứng những tiêu chuẩn nghiêm ngặt vốn đòi hỏi dữ liệu phải được lưutrữ và bảo vệ trong suốt thời gian nào đó, các công ty phải tuyên chiến với nạn đánhcắp, tráo đổi dữ liệu bằng một biện pháp gồm nhiều tầng lớp mà mức thấp nhất làmật mã hóa và mức cao nhất là tích hợp nhiều chữ ký điện tử, chứng thực điện tử vàquản lý khóa theo trật tự cấp bậc (hierachical key)

Việc kết nối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP.TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khácthông qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể

đi tới được đích Tuy nhiên, chính vì tính linh hoạt này của giao thức TCP/IP đã tạo

cơ hội cho “bên thứ ba” có thể thực hiện các hành động bất hợp pháp, cụ thể là:

- Nghe trộm (Eavesdropping): Thông tin vẫn không hề bị thay đổi, nhưng sự

bí mật của nó thì không còn Ví dụ, một ai đó có thể biết được số thẻ tín dụng, cácthông tin cần bảo mật của bạn

- Giả mạo (Tampering): Các thông tin trong khi truyền đi bị thay đổi hoặcthay thế trước khi đến người nhận Ví dụ, một ai đó có thể sửa đổi một đơn đặt hànghoặc thay đổi lý lịch của một cá nhân

- Mạo danh (Impersonation): Thông tin được gửi tới một cá nhân mạo nhận

là người nhận hợp pháp Có hai hình thức mạo danh sau:

+ Bắt chước (Spoofing): Một cá nhân có thể giả vờ như một người khác Ví

dụ, dùng địa chỉ mail của một người khác hoặc giả mạo một tên miền của mộttrang web

+ Xuyên tạc (Misrepresentation): Một cá nhân hay một tổ chức có thể đưa ranhững thông tin không đúng sự thật về họ Ví dụ, có một trang web mạo nhậnchuyên về kinh doanh trang thiết bị nội thất, nhưng thực tế nó là một trangchuyên ăn cắp mã thẻ tín dụng và không bao giờ gửi hàng cho khách

Nhiều sản phẩm thực hiện lưu trữ thường hay truyền và lưu dữ liệu ở dạngđơn giản hoặc thông qua một giải thuật mật mã hóa đơn sơ Trong khi nhiều kỹthuật tinh xảo được dùng để đảm bảo dữ liệu lưu ở phương tiện bộ nhớ ban đầukhông thể truy cập bởi người không có thẩm quyền thì dữ liệu lưu ở phương tiệnbackup lại để cho những người không có thẩm quyền truy cập và khôi phục mộtcách thoải mái

Mật mã hóa là một cách làm tốt nhưng lợi ích của nó còn hạn chế Đó là lý

do tại sao sự an toàn trong dữ liệu cần phải tích hợp các chữ ký điện tử, các chứngthực điện tử và phương pháp quản lý khóa theo trật tự cấp bậc

Áp dụng chứng chỉ số cho chứng thực điện tử là giải pháp hữu hiệu nhất đểbảo đảm an toàn thông tin, là cơ sở cho người gửi, nhận và cung cấp dữ liệu, thôngtin qua mạng, ký kết các hợp đồng, thanh toán điện tử, hóa đơn, chứng từ điện tử …

Cùng với sự phát triển của các ứng dụng trên mạng đặc biệt các ứng dụngnhư Chính phủ điện tử, thương mại điện tử thì chứng thực điện tử trở thành một yếu

tố không thể thiếu được Việc ra đời của chứng thực điện tử không những đáp ứngđược các nhu cầu hiện nay của xã hội mà còn có tác dụng rất to lớn trong việc pháttriển các ứng dụng trên mạng Chứng thực điện tử là hoạt động chứng thực danhtính của những người tham gia vào việc gửi và nhận thông tin qua mạng, đồng thờicung cấp cho họ những công cụ, những dịch vụ cần thiết để thực hiện việc bảo mậtthông tin, chứng thực nguồn gốc và nội dung thông tin Hạ tầng công nghệ củachứng thực điện tử là cơ sở hạ tầng khóa công khai ( PKI – Public KeyInfrastructure) với nền tảng là mật mã khóa công khai và chữ ký số

Người sử dụng chứng thực điện tử sẽ các cơ quan cung cấp dịch vụ chứngthực điện tử (CA – Certification Authority) cung cấp cho chứng chỉ số và phải đượcgán một cặp khóa mã ( khóa bí mật và khóa công khai ) để có thể tham gia sử dụngchứng thực điện tử trong các ứng dụng mà mình tham gia.

Chứng thực điện tử có các chức năng chính sau:

- Tính xác thực: Đảm bảo xác định được thực thể hợp pháp

- Tính bảo mật: Mã hóa thông tin gửi đi trên mạng, đảm bảo bí mật thông tin

- Tính toàn vẹn dữ liệu: Xác định thông tin nhận được có đúng như thông tinđược gửi đi không hay đã bị thay đổi

- Tính không thể chối bỏ: Chứng thực điện tử đảm bảo cho người sử dụngkhông thể chối bỏ các dữ liệu mà mình đã gửi

Chính vì có những tính năng như vậy nên chứng thực điện tử được sử dụng trongkhá nhiều các ứng dụng như:

- Ký vào tài liệu điện tử

- Thư điện tử bảo đảm

- Thương mại điện tử

- Bảo vệ mạng WLAN (Wireless Local Area Network )

- Bảo đảm an toàn cho các dịch vụ Web

Tiêu chuẩn ITU-T X.509 được sử dụng rộng rãi nhất hiện nay dựa trên hạtầng khóa công khai PKI

Tại Việt Nam, hiện chưa có tiêu chuẩn nào về khuôn dạng chứng chỉ số, nêncác tổ chức cung cấp chứng chỉ số vẫn dựa theo mẫu khuôn dạng của các tổ chứcphát hành chứng chỉ số lớn trên thế giới (như Verisign).

Dự thảo tiêu chuẩn về chứng chỉ số được xây dựng nhằm mục đích đưa ramột tiêu chuẩn chung về khuôn dạng các chứng chỉ số, áp dụng phù hợp với điềukiện thực tế trong nước, có khả năng tương thích với khu vực và thế giới Tiêuchuẩn sẽ được khuyến khích áp dụng trong phạm vi toàn quốc, góp phần thúc đẩytriển khai các dịch vụ chứng thực chữ ký số và trao đổi dữ liệu điện tử an toàn tạiViệt Nam

Trong bối cảnh mạng Internet phát triển mạnh mẽ, các nhà cung cấp dịch vụviễn thông trong nước đang nỗ lực phát triển các dịch vụ thương mại điện tử nhằmtạo ưu thế cạnh tranh

Trước nhu cầu sử dụng chứng thực điện tử ngày càng tăng cao, trong thờigian qua tại Việt Nam đã có một số đơn vị cung cấp và thử nghiệm dịch vụ chứngthực điện tử như công ty VASC, công ty VDC, Trung tâm tin học - Bộ Khoa học vàCông nghệ, Ban Cơ yếu Chính phủ, một số ngân hàng

Ngoài ra còn một số đơn vị cũng thử nghiệm xây dựng các tổ chức cung cấpchứng chỉ số CA (Certificate Authority) nội bộ Các nhà cung cấp chứng chỉ số nàyhầu hết là các CA riêng rẽ, nghĩa là tự cấp chứng chỉ cho mình, chỉ có CA của VDC

là đại lý cho CA của công ty VeriSign Ngoài ra trong các nhà cung cấp chứng chỉ

số CA đã nêu chỉ có CA của VASC và CA của VDC là cung cấp dịch vụ chứngthực cho cộng đồng Các ứng dụng sử dụng chứng thực điện tử ở Việt Nam chủ yếu

là ký vào dữ liệu điện tử, thư điện tử bảo đảm, xác thực quyền truy nhập, thanh toánđiện tử…

Ở Việt Nam, đã có hành lang pháp lý về giao dịch điện tử là các đạo luật nhưLuật Giao dịch Điện tử, Nghị định số 26/2007/NĐ-CP quy định chi tiết thi hànhLuật giao dịch điện tử về chữ kỹ số và chứng thực điện tử; Nghị định số27/2007/NĐ-CP về giao dịch điện tử trong hoạt động tài chính

Hiện tại, chúng ta đã và đang xây dựng bốn văn bản pháp lý liên quan đếnhoạt động chứng thực điện tử, đó là :

- Pháp lệnh thương mại điện tử do Bộ Thương mại chủ trì

- Luật Giao dịch điện tử do Uỷ ban Khoa học Công nghệ và Môi trường củaQuốc hội chủ trì

- Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứngthực điện tử do Bộ Bưu chính, Viễn thông chủ trì

- Nghị định của Chính phủ quy định việc nghiên cứu, sản xuất và sử dụng mật

mã không thuộc phạm vi bí mật nhà nước do Ban Cơ yếu Chính phủ chủ trì.Ngoài ra còn phải kể đến Luật Công nghệ thông tin do Bộ Bưu chính, Viễn thôngchủ trì soạn thảo

Ba trong bốn văn bản pháp lý đã nêu ở trên dù ít hay nhiều trong bản dự thảođều có đề cập đến tính pháp lý của chữ ký số cũng như quy định một số điều liênquan đến việc quản lý, cung cấp, sử dụng dịch vụ chứng thực điện tử Văn bản cònlại liên quan đến việc sử dụng mật mã trong chứng thực điện tử

Vấn đề đặt ra là sự phối hợp giữa các đơn vị xây dựng các văn bản pháp lýnày như thế nào để tránh được sự chồng chéo về nội dung chứng thực điện tử trongcác văn bản này

Cùng với việc phát triển của các ứng dụng trên mạng, chứng thực điện tửngày càng đóng vai trò quan trọng Chứng thực điện tử ra đời không những đáp ứngnhu cầu sử dụng của xã hội mà còn có tác động quan trọng trong việc thúc đẩy cácứng dụng trên mạng Chính vì vậy việc triển khai cung cấp dịch vụ chứng thực điện

tử tại nước ta là rất cần thiết Tuy nhiên không phải vì thế mà chúng ta đẩy nhanhviệc triển khai cung cấp dịch vụ chứng thực điện tử một cách vội vã Với lợi thế lànước triển khai sau, chúng ta cần tham khảo kinh nghiệm của các nước đi trước,cũng như cần có những bước chuẩn bị hợp lý để khi ra đời chứng thực điện tử pháthuy được hết tác dụng của nó và đóng góp mạnh mẽ trong việc phát triển kinh tế xãhội nước nhà nói chung cũng như đẩy mạnh các ứng dụng trên mạng nói riêng Hyvọng với những nỗ lực của các cơ quan hữu quan và toàn thể cộng đồng xã hộinhững điều mong mỏi đó sớm trở thành hiện thực

1.2.2 Tình hình ở một số nước khác:

Rất nhiều quốc gia trên thế giới đã cung cấp dịch vụ chứng thực điện tử Một

số CA nổi tiếng trên thế giới có thể kể đến như CA của các công ty VeriSign,WISeKey, eTrust hiện đã phổ biến và có chi nhánh tại rất nhiều nước trên thếgiới

So với các nước và lãnh thổ trong khu vực, Việt Nam đi khá chậm trong xâydựng dựng cơ sở pháp lý về giao dịch điện tử Malaysia đã ban hành Luật Chữ ký

Số vào năm 1997, Singapore ban hành Luật Giao dịch điện tử vào năm 1998, HongKong có Sắc lệnh về Giao dịch điện tử vào năm 2000 Hàn Quốc có Luật Chữ kýđiện tử vào năm 1999 và sửa đổi vào năm 2001 Thái Lan và Nhật Bản cũng đã cócác văn bản luật liên quan đến giao dịch điện tử vào năm 2001

Để hỗ trợ phát triển dịch vụ chứng thực điện tử, nhiều nước đã ban hành cácvăn bản pháp lý về hoạt động chứng thực điện tử, cấp phép cho các CA và tổ chức

hệ thống CA Về cấu trúc hệ thống cung cấp dịch vụ chứng thực điện tử, có nước tổchức theo sơ đồ hình cây trong đó mức cao nhất là root CA quốc gia, mức dưới làcác CA cấp dưới Bên cạnh đó cũng có quốc gia không thành lập root CA mà tổchức các CA theo dạng mắt lưới hoặc riêng rẽ

Chứng thực điện tử được sử dụng trong khá nhiều ứng dụng, theo số liệuđiều tra công bố vào tháng 8/2003 của tổ chức OASIS (Organization for theAdvancement of Structured Information Standards) thì 24,1% sử dụng trong việc kývào các dữ liệu điện tử, 16,3% sử dụng để bảo đảm cho Email, 13,2% dùng trongthương mại điện tử, 9,1% sử dụng để bảo vệ WLAN, 8% sử dụng bảo đảm an toàncho các dịch vụ Web, 6% sử dụng bảo đảm an toàn cho Web Server, 6% sử dụngtrong các mạng riêng ảo (VPN) …

Tuy chứng thực điện tử phát triển khá nhanh và được sử dụng khá hiệu quảtrong rất nhiều ứng dụng như vậy nhưng không phải không có những yếu tố cản trở

sự phát triển của nó Ở đây có thể nêu lên một số yếu tố chính cản trở sự phát triểncủa chứng thực điện tử, đó là :

- Còn ít phần mềm ứng dụng hỗ trợ sử dụng chứng thực điện tử

- Giá thành hệ thống CA cũng như phí cung cấp dịch vụ cao.

- Thiếu hiểu biết về PKI

- Có quá nhiều công nghệ được sử dụng

- Khó sử dụng đối với người dùng

- Khả năng kết hợp làm việc giữa các hệ thống chưa tốt

- Thiếu việc hỗ trợ quản lý

Tóm lại việc phát triển chứng thực điện tử là một xu hướng tất yếu trên thếgiới nhưng trong quá trình phát triển cũng gặp những rào cản nhất định Các nướchầu hết đã triển khai cung cấp dịch vụ chứng thực điện tử đặc biệt là những nước cócác ứng dụng trên mạng phát triển

1.3 Nhiệm vụ đồ án:

Mục tiêu của đề tài “Tìm hiểu và cài đặt CA trên môi trường WindowsServer 2008” là tìm hiểu kỹ về hệ thống quản lý cung cấp dịch vụ chứng chỉ số CA,các định dạng của CA, hạ tầng PKI, tìm hiểu về cách tổ chức hoạt động, qui trìnhcấu hình và cài đặt CA … Xây dựng mô hình đơn giản với ứng dụng mã hóa webtrên môi trường Windows Server 2008

CHƯƠNG 2:

CHỨNG CHỈ SỐ VÀ CƠ SỞ HẠ TẦNG

KHÓA CÔNG KHAI

Chúng ta biết rằng ta có thể “ký tên” hoặc “xác nhận là đúng” cho một cuộctruyền tin qua mạng, để mặc thông tin được truyền đó ở dạng văn bản đơn sơ nhưngcho phép người nhận thẩm tra rằng người gửi thông điệp là xác đáng và thông điệp

ấy đã không bị sửa đổi dọc đường Và chúng ta có thể dùng các khóa công khai vàriêng tư để trao đổi các khóa phiên giao dịch, vốn có thể được dùng để mã hóa toàn

bộ một cuộc truyền tin, cả xác nhận nó là đúng lẫn đảm bảo rằng không ai “xen”vào nó

Nhưng cho đến nay, có một điều mà chúng ta phần nào đã lấp liếm đi đểtránh phiền phức: cách thức phát tán khóa công khai đó đi khắp nơi Làm thế nàotrình e-mail client có thể tìm được khóa công khai của client khác ngay từ đầu đểdùng trong việc thẩm tra thông điệp của client khác đó? Khi ta nắm lấy khóa côngkhai đó, làm thế nào ta biết được ta đang nhìn vào trang Web mà ta muốn truy cập,

và không phải đó là bản sao giả mạo tài tình mà một kẻ xấu nào đó đã tạo ra trongkhi làm trệch hướng những cuộc tra cứu DNS của ta về địa chỉ Website mà ta muốntruy cập? Cho nên chúng ta cần một phương pháp khác để chuyển giao các khóa

công khai Phương pháp đó là sử dụng các chứng chỉ số.

2.1 Chứng chỉ số:

Chứng chỉ số là nền móng của cơ sở hạ tầng khóa công khai Chứng chỉ sốkhông phải là một chứng chỉ vật lý với một khung viền hấp dẫn; thay vì vậy, nó làmột mớ byte dữ liệu được kết hợp bởi cặp khóa công khai và riêng tư, đại diện chongười dùng, máy tính, thiết bị mạng, hay các services được cấp phát bởi một nhàcung cấp chứng chỉ số ( CA – Certification Authority ) Hay nói một cách đơn giảnhơn, nó là một khóa công khai và một số thông tin nhận diện về thực thể mà chứngchỉ đó chứng nhận Dĩ nhiên là còn nữa chứ không phải chỉ có thế Các chứng chỉ sốkhông phải là phát minh của Microsoft; chúng dựa trên các tiêu chuẩn được chấp

nhận rộng rãi và các nhà chế tạo khác hơn Microsoft đã là những người sử dụngPKI trong nhiều năm trước khi Microsoft chú ý đến lĩnh vực này Một tiêu chuẩn

mà ta thường nghe nói nhiều là X.509, một dạng thức chứng chỉ mà Microsoft đãchấp nhận dùng cho các dịch vụ chứng chỉ của họ

Một chứng chỉ số là một tập hợp các chữ ký số của thông tin có kích thướckhoảng 2 – 4 KB Một chứng chỉ số thông thường bao gồm những thông tin sau:

 Thông tin về người dùng, máy tính hay thiết bị mạng nắm giữ khóa riêng tưtương ứng với chứng số được cấp phát

 Thông tin về CA cấp phát chứng chỉ

 Khóa công khai của thực thể đó

 Tên của các thuật toán mã hóa và/hay ký tên số hóa được hỗ trợ bởi chứngchỉ số

 Một danh sách của định dạng X.509 version 3

 Thông tin về việc xác định tình trạng thu hồi và thời hạn có hiệu lực củachứng chỉ

 Những thông tin nhận diện khác, biến đổi tùy theo loại chứng chỉ

Hình 2.1: Minh họa một chứng chỉ số

Để có được một chứng chỉ số đầu tiên chúng ta tạo ra một cặp khóa côngkhai và riêng tư Kế tiếp, chúng ta liên hệ với một công ty nào phát hành các chứngchỉ số, tức một hãng có thẩm quyền cấp chứng chỉ ( CA) Ví dụ tiêu biểu về nhữngcông ty như thế là VeriSign, Thawte, Baltimore Chúng ta trao cho họ khóa côngkhai của chúng ta và yêu cầu họ tạo ra một chứng chỉ số ( Hoặc, chúng ta có thể tạo

ra một CA của riêng mình rồi bắt đầu tạo ra những chứng chỉ của chính mình)

Sau đó, CA ấy muốn bảo đảm rằng chúng ta thực sự là chúng ta, cho nênthường thì họ muốn nhìn thấy thứ gì đó xác nhận tính hợp lệ của lời khẳng định củachúng ta Ví dụ, nếu như chúng ta muốn có một chứng chỉ dành cho

khi CA được thuyết phục rằng chúng ta chính là chúng ta, thì họ sẽ xây dựng dữliệu cho chứng chỉ mà chúng ta yêu cầu, bao gồm tên và khóa công khai của chúng

ta, nhật kỳ hết hạn, CA phát hành chứng chỉ đó Sau đó CA đưa chúng qua hàmbăm của nó và luật vựng (digest) dành cho chứng chỉ đó được xuất ra Kế tiếp CA

sẽ lấy khóa riêng tư của nó ra để mã hóa digest đó Kết hợp tất cả những dữ liệu đólại với nhau sẽ có được chứng chỉ cần thiết

2.2 Định dạng X.509:

2.2.1 Định dạng X.509 Version 1:

Chứng chỉ định dạng X.509 là chứng chỉ sử dụng phổ biến nhất, được hiệphội viễn thông quốc tế ITU (International Telecommunications Union ) giới thiệuvào năm 1988 Khuôn dạng chứng chỉ X.509 version 1 được trình bày trong hìnhsau:

Hình 2.2 Định dạng X.509 V1

Một chứng chỉ định dạng X.509 phiên bản 1 chứa những trường sau:

- Version: chứa một giá trị chỉ định rằng đây là chứng chỉ X.509 phiên

bản 1

- Serial Number: cung cấp một yếu tố nhận diện có dạng một chuỗi số và

chuỗi số này là duy nhất đối với mỗi chứng chỉ được cấp bởi CA

- CA Signature Algorithm: Tên của thuật toán mà CA sử dụng để ký vào

nội dung của một chứng chỉ số Ví dụ như SHA1, RSA, DSA …

- Issuer Name: Tên của nhà cung cấp chứng chỉ.

- Validity Period: Khoảng thời gian mà chứng chỉ có hiệu lực Trong một

vài trường hợp, trường Validity Period chia ra làm hai phần: Valid From và

Valid To.

- Subject Name: Tên của máy tính, người dùng, thiết bị mạng, hoặc tên

của dịch vụ được thể hiện trong chứng chỉ

- Subject Public Key Info: thông tin về khóa công khai của người giữ

chứng chỉ Khóa công khai được cung cấp đến CA trong việc yêu cầuchứng chỉ và kèm trong chứng chỉ được cấp phát Trường này cũng chứathông tin nhận dạng thuật toán khóa công khai, thuật toán khóa công khaiđược sử dụng để tạo ra cặp khóa kết hợp với chứng chỉ

- Signature Value: chứa giá trị của chữ ký, giá trị này là kết quả của thuật

toán về chữ ký của CA được sử dụng để ký vào chứng chỉ số

V1

X.509 Version 1 Certificate

Version Serial Number

CA Signature Alg Issuer Name Validity Period Subject Name Subject Public Key Signature Value

Signed by the CA

2.2.2 Định dạng X.509 Version 2:

Định dạng X.509 version 1 cung cấp những thông tin cơ bản về người nắmgiữ chứng chỉ và một ít thông tin về nhà cấp phát chứng chỉ Ngoài một số trường

như Issuer Name, CA Signature Algorithm và Signature Value…, định dạng X.509

version 1 không có bất cứ sự cung cấp nào sự đổi mới của CA

Khi chứng chỉ của CA được cấp mới lại, thì hai chứng chỉ đó sẽ có cùng giá

trị ở trường Issuer Name Như vậy, có khả năng một tổ chức khác tạo ra một CA

với tên nhà cấp phát giống nhau Đây là nguyên nhân ra đời của phiên bản tiếp theo– X.509 version 2 Phiên bản này được giới thiệu vào năm 1993, được bổ sung thêm

2 trưởng mới để nhận dạng tên nhà cấp phát

Hình 2.3 Định dạng X.509 V2

Phiên bản này được giới thiệu thêm hai trường mới sau:

- Issuer Unique ID: Trường tùy chọn này chứa một yếu tố nhận dạng duy

nhất dành cho Issuing CA (sẽ được giới thiệu ở phần sau), giá trị này là một

chuỗi ở dạng thập lục Khi một CA làm mới lại chứng chỉ của nó thì một

Issuer Unique ID mới được sinh ra với phiên bản của chứng chỉ đó.

V2

X.509 Version 2 Certificate

Version Serial Number

CA Signature Alg Issuer Name Validity Period Subject Name Subject Public Key

Signature Value

Signed by the CA

Issuer Unique ID Subject Unique ID

- Subject Unique ID: Trường tùy chọn này cũng chứa một yếu tố nhận

dạng duy nhất dành cho subject của chứng chỉ được định nghĩa bởi Issuing

CA và cũng là một chuỗi dạng thập lục Nếu subject là một CA thì giá trị

nhận dạng này được đặt trong trường Issuer Unique ID.

Những trường được bổ sung thêm cho phép phân biệt sự khác nhau giữa cácchứng chỉ của CA khi CA làm mới một chứng chỉ Phương pháp này cũng cho

phép phân biệt giữa các CA có cùng Subject Name ( Có khả năng những chứng chỉ

của CA có tên giống nhau sẽ gia tăng khi những cái tên đơn giản được sử dụng

nhiều – ví dụ như, CN=Root CA thì được sử dụng nhiều hơn là CN= Fabrikam

Industries Inc Coporate Root CA, O=Fabrikam, C=NL…).

Mặc dù được bổ sung thêm hai trường Issuer Unique ID và Subject Unique

ID nhưng vẫn có khả năng xuất hiện đụng độ Đụng độ xuất hiện khi hai chứng chỉ

có cùng Subject Name và Subject Unique ID.

2.2.3 Định dạng X.509 Version 3:

Phát hành năm vào 1996, được bổ sung thêm các trường mở rộng, đây làđịnh dạng được sử dụng phổ biến nhất hiện nay và được hầu hết các nhà cung cấpsản phẩm PKI triển khai Một chứng chỉ X.509 v3 có thể chứa một hoặc nhiềutrường mở rộng, các trường này được trình bày như hình bên dưới:

Hình 2.4 Định dạng X.509 V3

Mỗi phần mở rộng trong một chứng chỉ X.509 V3 gồm có 3 phần:

- Extension Identifier: là một yếu tố nhận dạng đối tượng (OID - Object

Identifier ), nó cho biết định dạng và những định nghĩa của phần mở rộng

- Criticality Flag: việc chỉ dẫn những tín hiệu thông tin trong phần mở

rộng là rất quan trọng Nếu một ứng dụng không thể nhận ra phần mở rộngthen chốt, hoặc phần mở rộng chứa giá trị “No”, thì chứng chỉ không thể

được chấp nhận hay không thể được sử dụng Nếu cờ Criticality không

được thiết lập, thì một ứng dụng nào đó có thể sử dụng chứng chỉ ngay cảkhi ứng dụng đó không nhận ra phận mở rộng

- Extension Value: là giá trị được gán cho phần mở rộng Giá trị này thay

đổi tùy thuộc vào từng phần mở rộng riêng biệt

Trong một chứng chỉ X.509 V3 có thể tồn tại các phần mở rộng sau:

V3

X.509 Version 3

Certificate

Signed by the CA

Private Key Usage Period No Certificate Policies No Policy Mappings No Subject Alternative Name See RFC3280 Issuer Alternative Name SeeRFC3280 Subject Dir Attribute No Basic Constraints Yes Name Constraints Yes Policy Constraints Maybe Extended Key Usage Maybe Application Policies No Authority Info Access No CRL Distribution Point No

- Authority Key Identify: phần mở rộng này có thể chứa một trong hai

- Subject Key Identifier: chứa phần mã hóa khóa công khai của chứng

chỉ hiện hành

- Key Usage: Mỗi một CA, người dùng, máy tính, thiết bị mạng hay các

dịch vụ có thể có nhiều hơn một chứng chỉ Phần mở rộng này định nghĩacác dịch vụ bảo mật cho các chứng chỉ có thể được sử dụng Những tùychọn đó có thể được sử dụng kết hợp với nhau và có thể bao gồm nhữngphần sau:

 Digital Signature: khóa công khai có thể được dùng để kiểm tra chữ

ký Khóa này cũng được dùng để chứng thực client và thẩm tra dữliệu ban đầu

 Non – Repudiation: khóa công khai có thể được sử dụng để thẩm tra

ID của người ký, ngăn chặn việc người ký từ chối rằng họ đã ký vàođối tượng nào đó

 Key Encipherment: khóa công khai có thể được dùng cho việc vận

chuyển khóa cho các tiến trình như là quá trình trao đổi khóa đốixứng Giá trị của Key Usage này được sử dụng khi một khóa RSAđược dùng để quản lý khóa

 Data Encipherment: khóa công khai có thể được dùng cho dữ liệu

mã hóa trực tiếp hơn là trao đổi một khóa đối xứng cho việc mã hóa

 …

- Private Key Usage Period: định nghĩa khoảng thời gian có hiệu lực của

khóa bí mật Phần mở rộng này có thể được thiết lập với một khoảng thờigian ngắn hơn khoảng thời gian có hiệu lực của chứng chỉ Điều này làmcho khóa bí mật có khả năng ký vào các tài liệu trong khoảng thời gianngắn hơn ( ví dụ là một năm) , trong khi đó khóa công khai có thể được sửdụng để xác nhận chữ ký cho toàn bộ các chứng chỉ trong khoảng thời gian

có hiệu lực là năm năm

- Certificate Policies: mô tả những chính sách và thủ tục được sử dụng để

xác nhận thực thể của chứng chỉ trước khi chứng chỉ được cấp phát Nhữngchính sách của chứng chỉ được miêu tả bởi OIDs (Object Identifier)

- Policy Mappings: trường này chỉ ra chính sách xác thực tương đương

giữa hai miền CA Nó được sử dụng trong việc thiết lập xác thực chéo vàkiểm tra đường dẫn chứng chỉ Trường này chỉ có trong chứng chỉ CA

- Subject Alternative Name: cung cấp một danh sách những dạng tên lựa

chọn gắn với người sở hữu chứng chỉ Những giá trị có thể là: UserPrincipal Name (UPN), địa chỉ e-mail, địa chỉ IP, hay Domain NameSystem (DNS)

- Issuer Alternative Name: cung cấp một danh sách những dạng tên gắn

với nhà cung cấp chứng chỉ (Issuing CA), phần mở rộng này có thể chứa tên

e-mail được kết hợp với CA

- Subject Directory Attribute: trường này chỉ ra dãy các thuộc tính gắnvới người sở hữu chứng chỉ Trường mở rộng này không được sử dụng rộngrãi Nó được dùng để chứa những thông tin liên quan đến đặc quyền

- Basic Constraint: trường này cho biết đây có phải là chứng chỉ CA hay

không bằng cách thiết lập giá trị logic (true) Trường này chỉ có trongchứng chỉ CA

Chứng chỉ CA dùng để thực hiện một số chức năng Chứng chỉ này

có thể ở một trong hai dạng Nếu CA tạo ra chứng chỉ để tự sử dụng, chứngchỉ này được gọi là chứng chỉ CA tự ký Khi một CA mới được thiết lập,

CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ của người sử dụngcuối trong hệ thống Và dạng thứ hai là CA cấp chứng chỉ cho những CAkhác trong hệ thống.

Phần mở rộng này cũng bao gồm Path Length Constraint - chỉ ra số

độ dài tối đa của đường dẫn chứng chỉ có thể được thiết lập Giá trị “zero”chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối , không cấp chứngchỉ cho những CA khác (Trường này chỉ có trong chứng chỉ của CA)

- Name Constraint: được dùng để bao gồm hoặc loại trừ các nhánh trong

những miền khác nhau trong khi thiết lập môi trường tin tưởng giữa cácmiền PKI

- Policy Constraint: trường này chỉ có trong các chứng chỉ CA Nó ngăn

chặn việc ánh xạ chính sách giữa các CA với nhau

- Enhanced Key Usage: trường này chỉ định cụ thể việc sử dụng khóa

công khai của chứng chỉ Ví dụ như: OIDs có trong Chứng thực Client,Chứng thực Server và Secure Mail Khi một chứng chỉ được gửi đến mộtứng dụng thì ứng dụng có thể cần đến một Enhanced Key Usage OID riêngbiệt cho ứng dụng đó

- CRL Distribution Point: chứa một hoặc nhiều URLs, là nơi mà danh

sách thu hồi chứng chỉ cơ sở ( base CRL – Certificate Revocation List) của

CA cấp phát được phát hành Nếu việc kiểm tra thu hồi được kích hoạt, thìứng dụng sẽ sử dụng địa chỉ URL để lấy ra CRL mới nhất Các URL có thểđược dùng như là HTTP, LDAP, hoặc File

- Freshest CRL: chứa một hoặc nhiều URL, nơi mà danh sách delta CRL

của CA cấp phát được phát hành Delta CRL chỉ chứa những chứng chỉ bịthu hồi kể từ bản danh sách base CRL cuối cùng được phát hành Nếu việckiểm tra thu hồi được kích hoạt thì ứng dụng sẽ sử dụng địa chỉ địa chỉURL này để lấy ra danh sách delta CRL đã cập nhật Các URL có thể được

sử dụng như HTTP, LDAP, hoặc File (Windows Server 2008 hỗ trợ cho

việc cấp phát hai loại CRL: base CRL và delta CRL).

- Authority Information Access: phần mở rộng này chứa một hoặc nhiều

URL nơi mà chứng chỉ của Issuing CA được phát hành Một ứng dụng sử

dụng URL khi xây dựng một loạt chứng chỉ để lấy chứng chỉ CA nếu nókhông tồn tại trong bộ nhớ cache của ứng dụng

- Subject Information Access: phần mở rộng này chứa những thông tin

theo cách nào đó để truy cập chi tiết về thực thể được cấp chứng chỉ Nếuchứng chỉ là một chứng chỉ CA, thì thông tin có thể gồm những phần đặcbiệt về những dịch vụ xác nhận chứng chỉ hoặc chính sách của CA Nếuchứng chỉ được cấp phát cho một người dùng, máy tính, thiết bị mạng haydịch vụ thì phần mở rộng này có thể chứa thông tin về các dịch vụ đượccung cấp bởi thực thể của chứng chỉ và cách nào để truy cập đến nhữngdịch vụ này

2.3 Các loại chứng chỉ số:

Có nhiều chứng chỉ số khác nhau, các chứng chỉ số kết hợp với một thông tin nhậndiện nào đó và thường thì là một thuộc tính nào đó của một máy tính, người dùnghoặc dịch vụ… Các chứng chỉ số đó được phân ra làm hai loại: chứng chỉ số CA vàchứng chỉ số thực thể cuối

2.3.1 Chứng chỉ số CA :

Là chứng chỉ ban hành bởi một CA cho CA khác hay cho chính mình Các

CA có các chứng chỉ có tác dụng nhận diện họ là những hãng có thẩm quyểnphát hành chứng chỉ Đây là những chứng chỉ gốc của một mô hình CA phâncấp Chứng chỉ số CA lại được phân loại thành:

- Chứng chỉ tự ký( self-signed certificate ): là chứng chỉ nhận diện của

chính CA tự phát hành cho mình CA đó tự tạo chứng chỉ và đồng thời kýluôn chứng chỉ đó Chứng chỉ này còn được gọi là chứng chỉ gốc, có đặcđiểm là tên của chủ thể chứng chỉ trùng với tên của tổ chức phát hànhchứng chỉ

- Chứng chỉ tự ban hành (self-issued certificate): chứng chỉ tự ban hành

là chứng chỉ mà tên chủ thể chứng chỉ trùng với tên của tổ chức pháthành chứng chỉ Root CA sử dụng chứng chỉ tự ban hành trong trườnghợp thay đổi khóa để chứng thực việc chuyển đổi từ khóa cũ sang khóamới

Khi một Root CA muốn cặp nhật một cặp khóa mới, CA phải tạo ra bachứng chỉ tự ban hành

(1) Tạo một cặp khóa mới

(2) Tạo một chứng chỉ bao gồm khóa công khai cũ được ký với khóa riêngmới ( thời gian hiệu lực của chứng chỉ bắt đầu từ ngày sinh cặp khóa cũ

và kết thúc vào thời điểm cặp khóa cũ không còn giá trị sử dụng ).(3) Tạo một chứng chỉ bao gồm khóa công khai mới ký với khóa riêng cũ( thời gian hiệu lực của chứng chỉ bắt đầu từ ngày sinh cặp khóa mới vàkết thúc vào thời điểm CA này đưa cặp khóa mới vào sử dụng )

(4) Tạo một chứng chỉ bao gồm khóa công khai mới ký với khóa riêng mới( thời gian hiệu lực của chứng chỉ bắt đầu từ ngày sinh cặp khóa mới vàkết thúc vào thời điểm cặp khóa mới không còn giá trị sử dụng )

Phương thức này đảm bảo cho việc ban hành cặp khóa của chứng chỉ Root

CA mới trước khi hết hạn

- Chứng chỉ chéo (cross-CA certificate ): là chứng chỉ CA được ban hành

bởi CA khác để chứng thực lẫn nhau Chứng chỉ chéo có đặc điểm tên củachủ thể chứng chỉ và tên của tổ chức phát hành chứng chỉ là các CA khácnhau

Thuật ngữ “chứng chỉ chéo” thường chỉ chứng chỉ do CA trong phân cấpnày cấp cho CA trong phân cấp kia để chứng thực chéo

Hình 2.5 Chứng thực chéo

Trong một phân cấp, chứng chỉ do CA cấp trên (thường là Root CA)cấp cho CA cấp dưới (Sub-ordinate CA) cũng là chứng chỉ chéo nhưngđược gọi là chỉ cấp dưới (Sub-ordinate Certificate)

2.3.2 Chứng chỉ số thực thể cuối ( End-entity Certificate):

Là chứng chỉ ban hành bởi một CA cho một thực thể không phải là CA.Chứng chỉ này còn được gọi là chứng chỉ công cộng Người sử dụng chứng chỉ thựcthể cuối là các cá nhân, doanh nghiệp … được dùng vào các mục đích như: chứngthực e-mail, bảo đảm danh tính cá nhân, doanh nghiệp …

- E-mail: đây là chứng chỉ được dùng để ký tên mail hay để mã hóa

e-mail Tại sao có hai chứng chỉ khác biệt cho ký tên và mã hóa? Bởi vì tadùng chúng theo những cách khác nhau Ta cần có chứng chỉ mã hóa đểgiải mã những bức thư mã hóa mà người khác gửi đến ta Ta cần chứng chỉ

ký tên để chứng tỏ rằng ta chính là ta qua e-mail Ta có hai chứng chỉ vì tacần lưu dự phòng chứng chỉ mã hóa, và ta không bao giờ muốn lưu dựphòng chứng chỉ ký tên Nếu làm mất chứng chỉ mã hóa thì sẽ không thểđọc được những bức thư đã mã hóa cũ cũng như mới nào, cho nên ta muốnkhôi phục lại khóa đó Nhưng nếu làm mất chứng chỉ ký tên thì sẽ không

có vấn đề gì, ta chỉ việc kiếm một chứng chỉ ký tên khác là ổn Ta khôngnên lưu dự phòng chứng chỉ ký tên của mình vì nếu ai đó nắm được bản

lưu dự phòng đó và cài đặt nó trên máy của họ có thể mạo danh và đánhcắp e-mail của ta Các chứng chỉ e-mail thường được liên kết với mộtngười dùng.

- Web browser: giả sử ta muốn truy cập vào một website bị hạn chế

(restricted) Làm thế nào ta chứng tỏ được ta là ai? Một cách để làm điều

đó là tạo ra chứng chỉ Web browser rồi liên kết nó với tài khoản ngườidùng Điều này khác với một chứng chỉ e-mail, bởi vì nó thường được liênkết với tài khoản người dùng cụ thể trên Web server ấy

- Server: nếu dùng IPSec để bảo vệ những cuộc truyền tin giữa hai máy

tính và muốn dùng các chứng chỉ, thì mỗi máy tính đó hẳn phải có mộtchứng chỉ server – loại chứng chỉ liên kết với một máy tính chứ không phảimột người

- EFS recovery agent: ta có thể chỉ định những người dùng phát sinh thêm,

có khả năng khôi phục các file đã mã hóa, tức các nhân viên khôi phục

EFS (EFS recovery agent), chỉ bằng cách phát hành các chứng chỉ nhận

diện người đó

- Software: Microsoft ký tên vào các driver bằng những chứng chỉ không

thiên về người dùng hay thiên về máy tính, mà thay vào đó, chứng nhậnrằng có người đã thử nghiệm một phần mềm nào đó

2.3.3 Lợi ích của chứng chỉ số:

Bình thường, mọi người vẫn sử dụng mạng Internet để có thể liên lạc vớinhau, nhưng thông tin phải đi qua một loạt các máy trung gian Trong số đó cómột số người cần bảo mật các thông tin cá nhân và kinh doanh của họ May mắnthay, việc sử dụng chứng chỉ số và các công nghệ có liên quan có thể thực hiệncác nhiệm vụ sau:

- Xác thực: Xác thực đối tượng mà người sử dụng đang giao dịch, đôi khi

là một bên hoặc đôi khi là xác thực ở cả 2 bên

- Không thể chối cãi nguồn gốc: Người sở hữu chứng chỉ số phải chịu

trách nhiệm với những thông tin mà chứng chỉ số đi kèm Việc phủ nhận

thông tin gửi kèm chứng chỉ sẽ là khó thể vì chứng chỉ số mà người nhận

có được sẽ là bằng chứng để khẳng định người gửi là tác giả của thôngtin

- Chống mạo danh: Do chứng chỉ có lưu thông tin của người sở hữu nó,

việc giả mạo bất kỳ thông tin nào của người sở hữu chứng chỉ sẽ ngay lậptức bị phát hiện

- Mã hóa và giải mã: Trên chứng chỉ số có chứa khóa công khai của đối

tượng sở hữu chứng chỉ số đó, và việc truyền tin giữa người gửi và ngườinhận sẽ được mã hóa bằng khóa công khai có trên chứng chỉ đó Nhờ vậythông tin được đảm bảo an toàn, chỉ người có khóa bí mật tương ứng vớikhóa công khai trên chứng chỉ mới có thể giải mã thông điệp đã được mã

hóa.

- Đảm bảo phần mềm: Chứng chỉ số cũng cho phép ký trên các phần

mềm, nhờ đó có thể đảm bảo tính hợp pháp cũng như nguồn gốc xuất xứcủa sản phẩm, qua đó người sử dụng có thể xác thực được nhà cung cấp

và phát hiện được sự thay đổi chương trình (do hỏng, hoặc virus…)

- Phân phối khóa an toàn: Chứng chỉ số xác thực cho mỗi cặp khóa công

khai bí mật tương ứng cho mỗi đối tượng thông qua chữ ký của nhà pháthành chứng chỉ Nhờ đó các chứng chỉ có thể lưu tại các vị trí khôngđược bảo vệ hoặc lưu truyền trên mạng công khai mà vẫn đảm bảo đượctính an toàn của khóa công khai

- Bảo mật website: Với việc sử dụng chứng chỉ SSL Server cho phép thiết

lập cấu hình website theo giao thức bảo mật SSL (Secure Socket Layer).Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảomật giữa Website với khách hàng, nhân viên và đối tác của bạn thông quacông nghệ SSL mà nổi bật là các tính năng:

 Thực hiện mua bán bằng thẻ tín dụng

 Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng

 Đảm bảo hacker không thể dò tìm được mật khẩu

- Chữ ký điện tử: Email đóng một vai trò khá quan trọng trong trao đổi

thông tin hàng ngày của chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng.Những thông điệp có thể gửi đi nhanh chóng, qua Internet, đến nhữngkhách hàng, đồng nghiệp, nhà cung cấp và các đối tác Tuy nhiên, emailrất dễ bị tổn thương bởi các hacker Những thông điệp có thể bị đọc hay

bị giả mạo trước khi đến người nhận.Bằng việc sử dụng chứng chỉ số cánhân, bạn sẽ ngăn ngừa được các nguy cơ này mà vẫn không làm giảmnhững lợi thế của email

Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vàoemail như một bằng chứng xác nhận của mình Chữ ký điện tử cũng cócác tính năng xác thực thông tin, toàn vẹn dữ liệu và chống chối cãinguồn gốc Ngoài ra, chứng chỉ số cá nhân còn cho phép ngườidùng có thể chứng thực mình với một web server thông qua giao thức bảomật SSL Phương pháp chứng thực dựa trên chứng chỉ số được đánh giá

là tốt, an toàn và bảo mật hơn phương pháp chứng thực truyền thống dựatrên mật khẩu

- Xử lý độc lập tại máy khách: Chứng chỉ số cho phép việc thực hiện các

xử lý tại máy khách nhờ các thông tin lưu trên nó, nhờ đó sẽ giảm được 1khối lượng xử lý đáng kể cho các hệ thống trung tâm

- ….v v

Với những lợi ích về bảo mật và xác thực, chứng chỉ số hiện đã được sửdụng rộng rãi trên thế giới như một công cụ xác minh danh tính của các bêntrong giao dịch thương mại điện tử Đây là một nền tảng công nghệ mang tínhtiêu chuẩn trên toàn cầu, mặc dù ở mỗi nước có một số chính sách quản lýchứng thực số khác nhau Mỗi quốc gia đều cần có những CA bản địa để chủđộng về các hoạt động chứng thực số trong nước Nhưng ngoài ra, nếu muốnthực hiện thương mại điện tử vượt ra ngoài biên giới, các quốc gia cũng phảituân theo các chuẩn công nghệ chung, và thực hiện chứng thực chéo, trao đổi vàcông nhận các CA của nhau Đây cũng là những yếu tố quan trọng đối với mộtquốc gia đang trong quá trình phát triển thương mại điện tử như Việt Nam

3.3.4 Ứng dụng của chứng chỉ số

a) Smart Card

Nhiều tổ chức thực hiện hai giải pháp xác thực để tăng cường bảo mật mạng.Hai nhân tố xác thực tăng cường bảo mật được yêu cầu một vài thứ mà bạn có, nhưmột Smart Card hay thiết bị khác với một Smart Card Chip, như USB nhận dạng vàmột vài thứ khác mà bạn biết như mã PIN (Personal Identification Number) choSmart Card hay USB nhận dạng

Để thực hiện dùng Smart Card để xác thực thì một tổ chức phải triển khai tươngứng cả phần cứng và phần mềm trên mỗi Desktop

 Phần cứng là một Smart Card Reader

 Phần mềm là dịch vụ cung cấp mã hóa (Cryptographic Service Provider(CPS)) Smart Card cung cấp các trình ứng dụng mã hóa của Microsoft đểtương tác với Smart Card

Yêu cầu của chứng chỉ Smart Card:

Để triển khai Smart Card trong môi trường windows Server 2000 và 2003Active Directory, cần thực hiện các yêu cầu sau:

 Tất cả các Domain Controller và máy tính trong forest phải là trust root CAcủa một chuổi chứng chỉ trong chứng chỉ Smart Card

 CA cấp phát chứng chỉ Smart Card phải bao gồm trong nơi lưu trữ ActiveDirectory’s NT (NTAuth) Khi một chứng chỉ CA được thêm vào một objectcủa NTauth trong AD (CN=NTAuthCertificates, CN=Public Key Services,CN=Services, CN=Configuration, DC=ForestRootDomain) thì một dấu hiệunhận diện ( thumbprint) của chứng chỉ của CA được tự động phân phối tớitất cả thành viên trong domain

 Chứng chỉ Smart Card phải chứa đựng Object nhận dạng (OID) của SmartCard logon và xác thực Client trong Enhanced Key Usage (EKU) hay chínhsách trình ứng dụng mở rộng.

 Chứng chỉ Smart Card phải chứa thông tin UPN của User trong trườngSubject Alternative Name Extension

b) SSL cho Web Server

Web Browsing trên Internet hay trên Intranets cục bộ, là một trong hầu hếtcác trình ứng dụng phổ biến được sử dụng trong một tổ chức Mặc định, giao thứcHypertext Transfer Protocol (HTTP) không hỗ trợ mã hóa dữ liệu khi trao đổi giữaWeb Server và Web Client

Với một chứng chỉ Web Server được cài đặt tại Web Server có thể đảm bảogiao tiếp giữa Client và Server , tuy nhiên Web Server có thể thực hiện giao thức

mã hóa Secure Sockets Layer (SSL) để mã hóa dữ liệu khi truyền Thực hiện SSLtại Web Server sẽ thực hiện được hai điều sau

 Web Browser của Client xác nhận tính đúng đắn của Web Server bằng cáchkiểm tra chứng chỉ của Web Server

 Dữ liệu được mã hóa khi truyền giữa Web Server và Web Browser củaClient

Hoạt động của SSL

Khi một Web Client kết nối tới Web Server SSL, có các tiến trình kiểm tra WebServer và mã hóa dữ liệu sau đây :

1 Một kết nối SSL được thiết lập khi User click vào URL bắt đầu với https

2 Khi kết nối được thiết lập, Web Server truyền chứng chỉ của nó tới WebBrowser

3 Để xác nhận Web Server, Web Browser thực hiện kiểm tra chứng chỉbằng cách kiểm tra như sau:

 Đảm bảo chắc chắn rằng chuổi chứng chỉ Web Server được tin cậy

 Đảm bảo chắc chắn rằng tên DNS (Domain Name System) trongchứng chỉ tương ứng với DNS trong HTTPs URL.

 Đảm bảo chắc chắn rằng chứng chỉ Web Server còn hiệu lực

 Đảm bảo chắc chắn rằng chứng chỉ Web Server chưa bị thu hồi

4 Nếu chứng chỉ Web Server bị lỗi trong các bước kiểm tra, thì WebBrowser sẽ cảnh báo

5 Nếu chứng chỉ Web Server không bị lỗi, thì Web Browser sẽ Extractkhóa công khai của mình

6 Web Browser tạo ra một chuổi bit ngẩu nhiên, chiều dài của chúng đượcxác định bằng sự sắp xếp giữa Web Server và Web Browser

7 Web Browser sẽ mã hóa chuổi bit đó bằng khóa công khai của WebServer và gửi cho Web Server

8 Web Server sẽ mã hóa chuổi bít đó bằng khóa cá nhân

9 Phụ thuộc trên CPS (Cryptographic Service Provider ) được cài đặt trênWeb Server như Diffie-Hellman hay Rivest Shamir Adleman (RSA), chophép Web Server và Web Client sử dụng chuổi bit đó tạo ra khóa phiênđối xứng

10 Khóa phiên đối xứng được sử dụng bởi Web Server và Web Client để mãhóa dữ liệu khi trao đổi Khóa phiên được sử dụng cho đến khi WebClient hay Web Server ngưng kết nối

Chứng Chỉ Yêu Cầu Cho SSL

Chứng chỉ Web Server: Chứng chỉ Web Server là chứng chỉ bắt buộc phải cókhi thực hiện SSL cho Web Server Chứng chỉ Web Server cung cấp mã hóa chuổibit bí mật (pre-master secrect) khi nó được gửi từ Web Client tới Web Server.Ngoài ra, chứng chỉ Web Server cho phép Web Client kiểm tra Web Server, đảmbảo Web Server không bị kẽ tấn công mạo danh Chứng chỉ Web Server phải bao

gồm chức năng nhận dạng đối tượng chứng thực (Server Authentication objectidentifier) trong trường mở rộng Enhanced Key Usage.

Chứng chỉ Web Client: Khi một Web Site yêu cầu xác thực để nhận dạng Userhiện tại đang kết nối tới Web Site Web Client có thể sử dụng chứng chỉ xác thực.Chứng chỉ xác thực không yêu cầu bắt buộc cho kết nối SSL, nhưng có nó sẽ làmtăng cường khả năng bảo mật Chứng chỉ Web Client cũng phải bao gồm chức năngnhận dạng đối tượng chứng thực (Client Authentication object identifier) trongtrường mở rộng Enhanced Key Usage

Có hai phương thức có thể thực hiện để bảo vệ Email

 Secure / Multipurpose Internet Mail Extensions (S/MIME):S/MIME cho phép chương trình Email cung cấp cả dịch vụ chữ kýđiện tử và mã hóa dữ liệu cho quá trình phân phát Email S/MIME

là sự mở rộng của MIME cho phép ký vào thông điệp khi gửi đi.Chữ ký điện tử Email sử dụng cặp khóa của người gửi vì thế ngườinhận có thể kiểm tra nguồn gốc của thông điệp Quá trình thực hiệnchữ ký Email giống quá trình thực hiện chữ ký điện tử, chỉ khác làchữ ký điện tử thực hiên cho các văn bản bình thường còn chữ kýEmail thực hiện cho Email Quá trình thực này như sau:

Plaintext Message

Digest

Encrypted Digest

Encrypted Digest

Private Key

Digest

Encrypted Digest

Receiver

11 Người gửi tạo ra thông điệp Email

12 Người gửi sử dụng giải thuật hàm băm để băm thông điệp ban đầu(plaintext message) thành thông điệp rút gọn (message digest)

13 Thông điệp rút gọn được mã hóa bằng khóa cá nhân của người gửi

14 Thông điệp ban đầu và thông điệp rút gọn được gửi tới người nhận

15 Người nhận sẽ giải mã thông điệp rút gọn bằng khóa công khai của ngườigửi

16 Người nhận chạy chạy thuật toán hàm băm được sử dụng bởi người gửi

để tạo ra thông điệp rút gọn riêng cho Email Thông điệp này được tạotrái ngược với thông điệp ban đầu nhận được từ người tạo ra thông điêp

17 Người nhận so sánh thông điệp rút gọn riêng của mình và thông điệp rútgọn nhận được Nếu chúng khác nhau tức là một trong hai thông điệphay hàm băm bị thay đổi trong suốt quá trình truyền đi

 Đảm bảo dữ liệu khi truyền giửa mail client và mail Server Dòng

dữ liệu được bảo vệ bằng cách thực hiện Secure Sockets Layer

(SSL) hay Transport Layer Security (TLS) để nhận dạng MailServer và mã hóa dữ liệu khi được truyền.

d) Virtual Private Networking (VPN)

Mạng riêng ảo cho phép User có thể kết nối tới các tài nguyên bên trong mạng cục bộ của tập tổ chức từ bên ngoài thông qua các liên kết ảo được truyền quaInternet, thay cho các kết nối thật khá phức tạp như đường dây thuê bao số

Khi lập kế hoạch triển khai chứng thực cho giải pháp VPN, một tiêu chuẩn chính cho việc yêu cầu chứng thực là giao thức Tunneling, và giao thức xác thực User được sử dụng với giao thức Tunneling

e) Point-to-Point Tunneling Protocol (PPTP)

PPTP không yêu cầu bất kỳ chứng chỉ nào cho VPN Client và VPN Server.Microsoft Point-to-Point Encryption (MPPE) không yêu cầu chứng chỉ cho việc mãhóa dữ liệu khi truyền giữa hai máy tính PPTP chỉ yêu cầu chứng chỉ nếu xác thựcEAP/TLS bắt buộc cho kết nối VPN Khi xác thực EAP/TLS được yêu cầu, haichứng chỉ sau đây được yêu cầu

Chứng thực User: Được sử dụng tại VPN Server để xác nhận tài khoản User.

Chứng chỉ này phải có đầy đủ các yêu cầu sau

 Chứng chỉ này phải thuộc NTAuth Object trong AD

 Chứng chỉ này phải là một chuổi chứng chỉ tin cậy cho cả Vpn ClientComputer và Vpn Server xác thực

 Chứng chỉ này phải bao gồm Object Identifier (OID) Enhanced Key Usage(EKU)

 Chứng chỉ này phải thông qua tất cả các quá trình kiểm tra chứng chỉ

 Chứng chỉ này phải có giá trị User Principal Name (UPN) trong trườngSubject Alternative Name Extension

Chứng chỉ Server: Được sử dụng tại Server xác thực Nếu VPN Server thực

hiện xác thực Windows, thì chứng chỉ máy tính phải được cài đặt tại VPN Server

Nếu VPN Server thực hiện xác thực từ xa qua dịch vụ RADIUS thì chứng chỉ máytính phải được cài đặt tại RADIUS Server Chứng chỉ này phải :

 Là một chuổi chứng chỉ tin tưởng cho cả Vpn client và Vpn Server

 Phải có Server Authentication application policy OID

f) Layer Two Tunneling Protocol (L2TP) với IPSec

L2TP không có cơ chế mã hóa như PPTP, để cung cấp mã hóa trong giaotiếp L2TP thì phải kết hợp Internet Protocol Security (IPSec) với EncapsulatingSecurity Payload (ESP) Khi thực hiện L2TP cho giải pháp VPN, cần yêu cầu tốithiểu hai chứng chỉ số cho IPSec xác thục thực thể cuối

Chứng chỉ Vpn Server: Được sử dụng tại máy tính Vpn dùng để xác thực kết

hợp với IPSec được thiết lập giữa Vpn Server và Vpn client Chứng chỉ này phải:

 Là một chứng chỉ gốc tin tưởng được CA cấp phát cho Vpn client

 Bao gồm tên DNS của Vpn Server trong trường chủ thể của chứng chỉ

Chứng chỉ Client Computer: Được sử dụng tại Vpn computer để cung cấp

xác thực kết hợp với IPSec Chứng chỉ này phải:

 Là một chuổi chứng chỉ gốc tin tưởng

 Bao gồm IP Security IKE Intermediate policy OID

 Bao gồm tên DNS của Client Computer

g) Mạng không dây Wireless

Mạng không dây Wireless là giải pháp văn phòng hiện nay, cho phép nguời dùng kết nối đến Internet, mạng nội bộ thông qua các Access Point mà không cần phải thực hiện kết nối dây Nhưng do có kết nối không dây, nên không thể kiểm soát được người đang truy cập vào mạng, kẽ tấn công dể dàng kết nối truy cập tài nguyên nếu tổ chức không thiết lập một cơ chế bảo mật thích hợp

Để bảo vệ mạng Wireless nguời ta thường dùng các biện pháp như:

 MAC Filtering: Thực hiện lọc địa chỉ MAC (Media Access Control)

 Thực hiện mã hóa với các chuẫn mã hóa Wired Equivalent Privacy (WEP),Wi-Fi Protected Access (WPA), WPA2

Bên cạnh đó để xác thực người truy cập vào mạng Wireless, ta có thể áp dụng các biện pháp xác thực dực trêncác chuẩn sau:

Chuẩn xác thực 802.1x

Microsoft windows server 2003 cung cấp chứng chỉ cần thiết cho chuẩn 802.1x

để xác thực cho mạng Wireless và mạng Wired Khi User hay Computer thực hiện chuẩn xác thực 802.1x , có hai kiểu xác thực sau đây

 Extensible Authentication Protocol with Transport Layer Security(EAP/TLS)

 Protected Extensible Authentication Protocol (PEAP)

EAP/TLS Authentication

EAP/TLS là chứng chỉ xác thực (certificate-based authentication), có cung cấp

cơ chế xác thực nhiều người giữa User hay Computer và Remote Authentication Dial-In User Service (RADIUS) khi thực hiện giải pháp mạng Wireless Để thực hiện EAP/TLS, các chứng chỉ sau đây được yêu cầu

 Chứng chỉ Client Computer hay User: Các Client cuối của kết nối mạng

Wireless phải có chứng chỉ với Client Authentication EKU Object Identifier(OID) Chứng chỉ này cung cấp sự nhận dạng Client Computer hay tài khoảncủa User

 Chứng chỉ Server Server cuối của kết nối mạng Wireless phải có chứng chỉ

với Server Authentication EKU OID Chứng chỉ này cung cấp sự nhận dạngcủa RADIUS tới tất cả các kết nối Client

PEAP Authentication

PEAP authentication cho phép truyền theo kiểu khác của EAP trong kênh bảo mật TSL Khi PEAP authentication được sử dụng, User phải nhập Username và

password để gửi tới RADIUS Server Sự nhận dạng User được cung cấp thông qua Username User và password, tài khoản của User được bảo vệ bằng cách sử dụng Microsoft Challenge Authentication Protocol version 2 (MS-CHAPv2) RADIUS Server vẫn yêu cầu chứng chỉ Server Authentication EKU OID để nhận dạng và bảo

vệ password của User khi truyền tới Server Tuy nhiên, PEAP Authentication khôngyêu cầu chứng chỉ đối với User

Chuẩn 802.1x cho phép một tổ chức yêu cầu User và Computer phải chứng thựctrước khi có đầy đủ quyền truy cập tài nguyên Quá trình này bao gồm Client

Computer hay tài khoản User bắt buộc phải chứng thực lẩn nhau thông qua

RADIUS Server

h) Code Signing

Code Signing cho phép User và máy tính tin tưởng vào các phần mềm công bố trên mạng công cộng, như Internet Khi kết nối tới Internet ta có thể download các thiết bị driver của các hệ điều hành hệ thống, điều khiển Active X hay Java Applets

để mở rộng nội dung Web.

Hoạt động của Code Signing

Code Signing được gắn vào chữ ký điện tử để thực thi file mở rộng(.exe), hay file liên kết động (.dll), Active X control, file cab, file java (.jar), a Java applet, hay một Script Chữ ký phần mềm bảo vệ người sử dụng phần mềm bằng hai cách

 Chữ ký phần mềm chỉ ra xuất xứ của phềm mềm, cho phép người sử dụng cókiến thực có thể lựa chọn có nên cho phép hay ngăn chặn quá trình cài đặt

 Chữ ký phần mềm cho phép ta có thể xác định xem phần mềm có bị thay đổihay không giữa thời gian chữ ký được thực hiện và thời gian quyết định càiđặt phần mềm

Chứng chỉ của Code Signing

Sự hiệu quả của code signing chỉ có thể tốt nếu như sử dụng chứng chỉ tin tưởng

để ký trên các trình ứng dụng Các tiến trình khác nhau được sử dụng để chứng thựcphần mềm, phụ thuộc trên chứng chỉ số nhận được từ tổ chức thương mại hay tàinguyên trong Internal

a Chứng chỉ thương mại

Khi chứng chỉ Code Signing nhận được từ một tổ chức thương mại, kiểu chứngchỉ này được gọi là Software Publishing Certificate (SPC) Để nhận được chứng chỉnày, người yêu cầu phải thực hiện các tiêu chuẩn sau đây được quy định bởi tổ chứccấp phát thương mại

 Sự nhận dạng Người yêu cầu phải đăng ký tên, địa chỉ hay các thông tinkhác Quá trình nhận dạng còn yêu cầu phải đối diện với người kiểm tra

 Sự cam kết Người yêu cầu phải đảm bảo chắc chắn rằng họ sẽ không đượcphân phối phần mềm mà họ biết có virus hay có thể gây thiệt hại

 Phân loại Dun & Bradstreet Người yêu cầu của tổ chức phải có khả năng tàichính ổn định trong thương mại Thường thì, điều này được chỉ ra trongphương pháp Dun & Bradstreet Nếu tổ chức không có Dun & Bradstreet thìphải chấp nhận để sắp xếp trước đề có một chứng chỉ Code Signing được cấpphát bởi các tổ chức thương mại

 Chứng chỉ cho toàn tổ chức: Đây là cách thức để đảm bảo tất cả các CodeSigning thông qua sự chấp thuận Thực tế, một vài tổ chức kiểm tra trình ứngdụng trong một Certification Forest trước khi ký vào phần mềm để đãm bảokhông có hư hõng

 Chứng chỉ cho tổ chức phân cấp: Trong một tổ chức phân quyền, khu vựchay bộ phận khác nhau có thể có các chữ ký tương ứng trong trình ứng dụng

để họ triển khai Trong trường hợp này, trường subject của chứng chỉ sốcũng bao gồm thông tin bộ phận, phòng ban

 Chứng chỉ cho cá nhân: Trong một vài tổ chức, mổi Developer tương ứngvới chứng chỉ phần mềm cho code mà họ thiết kế Bằng cách thực hiện