TRIỂN KHAI hệ THỐNG CUNG cấp CHỨNG CHỈ số ỨNG DỤNG TRONG bảo mật EMAIL TRÊN WINDOWS SERVER

Chương 1. Tổng quan về hệ thống cung cấp chứng chỉ số Nội dung chính của chương này là nghiên cứu tổng quan về hệ thống cung cấp chứng chỉ số, thực trạng sử dụng emai và những nguy cơ mất an toàn thông tin khi gửi nhận email, một số biện pháp bảo mật email và vấn đề bảo mật email sử dụng hệ thống cung cấp chứng chỉ số.Chương 2. Chứng chỉ số và cơ sở hạ tầng mã hóa công khaiChương này tìm hiểu về chứng chỉ số và các lợi ích của chứng chỉ số, các dịch vụ CA, cơ sở hạ tầng mã khóa công khai (PKI), các thành phần, chức năng cơ bản của PKI.Chương 3. Triển khai hệ thống cung cấp chứng chỉ số ứng dụng trong bảo mật email trên windows server 2003Nội dung chính của chương này là Xây dựng demo triển khai, mô phỏng hệ thống cung cấp chứng chỉ số ứng dụng trong bảo mật email trên Windows Server 2003.

MỤC LỤC

DANH MỤC VIẾT TẮT iii

DANH MỤC HÌNH iv

PHẦN MỞ ĐẦU 1

1 Tính cấp thiết của Chuyên đề 1

2 Mục tiêu của Chuyên đề 1

3 Đối tượng nghiên cứu 2

4 Phạm vi nghiên cứu 2

5 Phương pháp nghiên cứu 2

6 Nội dung nghiên cứu 2

7 Giới thiệu khái quát nội dung trong báo cáo chuyên đề 3

Chương 1 TỔNG QUAN VỀ HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 4

1.1 Giới thiệu 4

1.2 Tổng quan về chứng chỉ số và tổ chức chứng thực 5

1.2.1 Khái niệm chứng chỉ số 5

1.2.2 Tổ chức chứng thực (CA – Certificate Authentication) 6

1.3 Khái quát về bảo mật email sử dụng hệ thống cung cấp chứng chỉ số 7

1.3.1 Thực trạng sử dụng dịch vụ thư điện tử (email) và những nguy cơ mất an toàn thông tin khi gửi nhận mail 7

1.3.2 Một số biện pháp bảo mật email 8

Chương 2 CHỨNG CHỈ SỐ VÀ CƠ SỞ HẠ TẦNG MÃ HÓA CÔNG KHAI 13

2.1 Chứng chỉ số 13

2.1.1 Chứng chỉ khóa công khai X.509 v3 13

2.2 Lợi ích của chứng chỉ số 16

2.2.1 Bảo mật thông tin 16

2.2.2 Chống giả mạo 17

2.2.3 Xác thực 17

2.2.4 Chống chối cãi nguồn gốc 17

2.2.5 Chữ ký điện tử 17

2.2.6 Bảo mật các dịch vụ 18

2.3 Dịch vụ CA trên môi trường Windows Server 2003 18

2.3.1 Các dịch vụ chứng chỉ CA 18

2.3.2 Các loại CA trên Windows Server 2003 19

2.3.3 Cấp phát và quản lý các chứng chỉ số 19

2.4 Cơ sở hạ tầng mã hóa công khai 26

2.4.1 Các thành phần của PKI 26

2.4.2 Chức năng cơ bản của PKI 26

Chương 3 TRIỂN KHAI HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ ỨNG DỤNG TRONG BẢO MẬT EMAIL TRÊN WINDOWS SERVER 2003 29

3.1 Cài đặt phần mềm MDaemon Mail Server 29

3.2 Cài đặt CA 32

3.3 Gửi nhận mail khi chưa xin cấp chứng chỉ số (gửi nhận mail không an toàn) 36

3.4 Gửi nhận mail khi đã xin cấp chứng chỉ số (gửi nhận mail an toàn) 41

KẾT LUẬN 53

1 Kết quả đạt được 53

2 Tồn tại 53

3 Hướng phát triển 53

DANH MỤC TÀI LIỆU THAM KHẢO 54

OCSP Online Certificate Status Protocol

SMTP Simple Mail Transfer ProtocolPOP3 Post Office Protocol version 3

DANH MỤC HÌNH

Hình 1.1 Mô hình mã hóa đối xứng 9

Hình 1.2 Mô hình mã hóa và giải mã với hệ mã hóa đối xứng 10

Hình 1.3 Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa đối xứng 10

Hình 1.4 Mô hình mã hóa và giải mã với hệ mã hóa không đối xứng 11

Hình 1.5 Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa không đối xứng 11

Hình 1.6 CA xác thực thông tin cho A 12

Hình 2.1 Chứng chỉ số 13

Hình 2.2 Khuôn dạng chứng chỉ X.509 14

Hình 2.3 Cài đặt cấp phát chứng chỉ số tự động 20

Hình 2.4 Cấp phát chứng chỉ số tự động 21

Hình 2.5 Cấp phát chứng chỉ số không tự động 22

Hình 2.6 Yêu cầu cấp phát chứng chỉ số thông qua Web 23

Hình 2.7 Khuôn dạng danh sách chứng chỉ bị thu hồi 24

Hình 2.8 Dịch vụ kiểm tra online 25

Hình 3.1 Khai báo tên Domain 29

Hình 3.2 Để MDaemon hoạt động ở chế độ Advanced 30

Hình 3.3 Cài đặt MDaemon như một System service 30

Hình 3.4 Kết thúc quá trình cài đặt MDaemon 31

Hình 3.5 Giao diện của MDaemon 31

Hình 3.6 Giao diện Add or Remove Programs 32

Hình 3.7 Giao diện Windows Components 33

Hình 3.8 Giao diện Cài đặt dịch vụ Internet Information Service (IIS) 33

Hình 3.9 Hộp thoại cảnh báo Microsoft Certificate Servies 34

Hình 3.10 Giao diện CA Type 34

Hình 3.11 Giao diện CA Identifying Information 35

Hình 3.12 Hộp thoại Microsoft Certificate Services 35

Hình 3.13 Giao diện của Certification Authority 36

Hình 3.14 Giao diện quản lý tài khoản của MDaemon 37

Hình 3.15 Tạo tài khoản thi1@tranly.com.vn 37

Hình 3.16 Cài đặt tài khoản trunggian@tranly.com.vn 38

Hình 3.17 Cấu hình Outlook Express cho tài khoản thi1@tranly.com.vn 39

Hình 3.18 Nhập địa chỉ IP vào các dịch vụ SMTP và POP3 39

Hình 3.19 Cấu hình Outlook Express cho tài khoản thi2@tranly.com.vn 40 Hình 3.20 Tài khoản thi1@tranly.com.vn gửi thư cho tài khoản thi2@tranly.com.vn 40

Hình 3.21 Truy cập vào tài khoản trunggian@tranly.com.vn 41

Hình 3.22 Nội dung thư mà tài khoản trunggian@tranly.com.vn nhận được .41

Hình 3.23 Yêu cầu chứng thực 42

Hình 3.24 Yêu cầu chứng thực cho tài khoản thi1@tranly.com.vn 42

Hình 3.25 Xin cấp chứng chỉ số cho tài khoản thi1@tranly.com.vn 43

Hình 3.26 Xác nhận của Server cho Request ID 2 43

Hình 3.27 Hộp thoại View the Status of a Pending Certificate Request 43

Hình 3.28 Hộp thoại Certificate Issued 44

Hình 3.29 Hộp thoại Potential Scripting Violation 44

Hình 3.30 Cài đặt chứng chỉ số thành công 44

Hình 3.31 Xin cấp chứng chỉ số cho tài khoản thi2@tranly.com.vn 45

Hình 3.32 Xác nhận của Server cho Request ID 3 45

Hình 3.33 Hộp thoại Potential Scripting Violation 46

Hình 3.34 Hộp thoại Security Warning 46

Hình 3.35 Cài đặt chứng chỉ số lên tài khoản thi2@tranly.com.vn thành công 47

Hình 3.36 Hộp thoại Select Default Account Digital ID 47

Hình 3.37 Cài đặt tài khoản thi2@tranly.com.vn sau khi đã cài chứng chỉ số 48

Hình 3.38 Thư đính kèm sign từ thi1@tranly.com.vn gửi tới thi2@tranly.com.vn 48

Hình 3.39 Thông báo thư được đảm bảo 49

Hình 3.40 thi2@tranly.com.vn nhận thư được gửi từ thi1@tranly.com.vn49 Hình 3.41 Tài khoản thi1@tranly.com.vn gửi thư đã mã hóa cho thi2@tranly.com.vn 50

Hình 3.42 Thông báo thư nhận được đã được mã hóa 50

Hình 3.43 thi2@tranly.com.vn nhận được thư đã mã hóa gửi từ thi1@tranly.com.vn 51

Hình 3.44 Tài khoản trunggian@tranly.com.vn không đọc được nội dung thư 51Hình 3.45 Nội dung thư đã được mã hóa 52

PHẦN MỞ ĐẦU

1 Tính cấp thiết của Chuyên đề

Ngày nay khoa học và công nghệ trên thế giới đang phát triển mạnh mẽ, tạo

ra những bước tiến nhảy vọt, đặc biệt trong các lĩnh vực điện tử - viễn thông, tin học và công nghệ thông tin Công nghệ thông tin ngày càng đóng vai trò quan trọng trong đời sống xã hội Nó đã ở một bước phát triển cao đó là số hóa tất cả các dữ liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau Mọi loại thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ, xử lý và chuyển tiếp cho nhiều người Những công cụ và sự kết nối của thời đại kỹ thuật số cho phép chúng ta dễ dàng thu thập, chia sẻ thông tin và hành động trên cơ sở những thông tin này theo phương thức hoàn toàn mới Việc giao tiếp và trao đổi thông tin qua mạng Internet đang trở thành một nhu cầu không thể thiếu Tuy nhiên việc giao tiếp trao đổi thông tin qua mạng một cách phổ biến như vậy sẽ tiềm ẩn rất nhiều nguy cơ bị đánh cắp thông tin, tạo cơ hội cho những ''kẻ trộm'' công nghệ cao có thể thực hiện các hành vi phạm pháp Các thông tin quan trọng được truyền qua mạng như: mã số tài khoản, tài liệu mật, các thông tin vể cá nhân có thể bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation)…một cách dễ dàng Chính vì vậy vấn đề bảo mật khi truyền tin qua mạng Internet hiện nay là một vấn đề rất đáng được quan tâm

Hiện nay, phương pháp mã hoá và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số (Digital Certificate) Với chứng chỉ số, người sử dụng có thể mã hoá thông tin một cách hiệu quả, bảo mật tốt các thông tin, chống giả mạo (cho phép người nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của người gửi Ngoài ra chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình

đã gửi Do vậy việc triển khai mô phỏng hệ thống cung cấp chứng chỉ số (CA - Certificate Authentication) để thực hiện việc bảo mật là một việc vô cùng cần thiết Hơn nữa việc nghiên cứu chuyên đề này còn phục vụ cho việc học tập, tự nghiên cứu và nâng cao tư duy logic, khả năng làm việc tự lập và trang bị nhữngkiến thức, kinh nghiệm quý báu giúp ích cho quá trình đi thực tập và làm việc của chúng em sau này

2 Mục tiêu của Chuyên đề

- Tập trung nghiên cứu về hệ thống cung cấp chứng chỉ số và ứng dụng trong bảo mật email, tìm hiểu về thực trạng tình hình sử dụng email hiện nay và những nguy cơ mất an toàn thông tin khi gửi nhận email đồng thời đưa ra một sốbiện pháp bảo mật email, những ưu nhược điểm của các biện pháp bảo mật email này

- Nghiên cứu và hiểu về chứng chỉ số, các dịch vụ CA và cơ sở hạ tầng mã hóa công khai để từ đó hiểu được cách thức bảo mật email khi áp dụng hệ thống cung cấp chứng chỉ số

- Nghiên cứu xem làm thế nào để xây dựng được hệ thống cung cấp chứng chỉ số Cuối cùng là phải mô phỏng được quá trình xây dựng hệ thống cung cấp chứng chỉ số (CA) ứng dụng trong bảo mật email.

3 Đối tượng nghiên cứu

- Các tài liệu về hệ thống cung cấp chứng chỉ số và biện pháp bảo mật email

- Bảo mật email bằng hệ thống cung cấp chứng chỉ số

- Các dịch vụ CA và cơ sở hạ tầng mã hóa công khai

- Về lý thuyết, nghiên cứu về chứng chỉ số, hệ thống cung cấp chứng chỉ

số, vấn đề bảo mật email sử dụng hệ thống cung cấp chứng chỉ số, tìm hiểu về

cơ sở hạ tầng mã khóa công khai (PKI)

- Về thực nghiệm, sử dụng phần mềm MDaemon Mail Server và Outlook Express cùng với chương trình để thực hành việc bảo mật email sử dụng hệ thống cung cấp chứng chỉ số trên hệ thống máy ảo

5 Phương pháp nghiên cứu

- Phương pháp phân tích, tổng hợp lý thuyết và kinh nghiệm

- Phương pháp phân loại và hệ thống hóa lý thuyết

- Phương pháp thực nghiệm: cài đặt và sử dụng các phần mềm trên máy ảo

và tiến hành gửi, nhận email

- Phương pháp quan sát khoa học

- Phương pháp khai thác sử dụng phần mềm của máy tính: Nghiên cứu và

sử dụng phần mềm MDaemon Mail Server và chương trình Certification

Authority

- Phương pháp nghiên cứu tài liệu: Tìm kiếm nguồn tài liệu liên quan đến

hệ thống cung cấp chứng chỉ số và vấn đề bảo mật email bằng hệ thống cung cấpchứng chỉ số

6 Nội dung nghiên cứu

Nội dung 1: Nghiên cứu tổng quan về hệ thống cung cấp chứng chỉ số, thựctrạng sử dụng emai và những nguy cơ mất an toàn thông tin khi gửi nhận email, một số biện pháp bảo mật email và vấn đề bảo mật email sử dụng hệ thống cung cấp chứng chỉ số

Nội dung 2: Tìm hiểu về chứng chỉ số và các lợi ích của chứng chỉ số, các dịch vụ CA, cơ sở hạ tầng mã khóa công khai (PKI).

Nội dung 3: Xây dựng demo triển khai, mô phỏng hệ thống cung cấp chứngchỉ số ứng dụng trong bảo mật email trên Windows Server 2003

7 Giới thiệu khái quát nội dung trong báo cáo chuyên đề

Chuyên đề này được thực hiện với mục đích triển khai mô phỏng hệ thống cung cấp chứng chỉ số, bố cục của chuyên đề bao gồm 3 chương và phần mở đầu, phần kết luận

PHẦN MỞ ĐẦU

Nội dung chính của phần này là tính cấp thiết của chuyên đề, mục tiêu của chuyên đề, đối tượng nghiên cứu, phạm vi nghiên cứu, phương pháp nghiên cứu,nội dung nghiên cứu của chuyên đề

Chương 1 Tổng quan về hệ thống cung cấp chứng chỉ số

Nội dung chính của chương này là nghiên cứu tổng quan về hệ thống cung cấp chứng chỉ số, thực trạng sử dụng emai và những nguy cơ mất an toàn thông tin khi gửi nhận email, một số biện pháp bảo mật email và vấn đề bảo mật email

sử dụng hệ thống cung cấp chứng chỉ số

Chương 2 Chứng chỉ số và cơ sở hạ tầng mã hóa công khai

Chương này tìm hiểu về chứng chỉ số và các lợi ích của chứng chỉ số, các dịch vụ CA, cơ sở hạ tầng mã khóa công khai (PKI), các thành phần, chức năng

cơ bản của PKI

Chương 3 Triển khai hệ thống cung cấp chứng chỉ số ứng dụng trong bảo mật email trên windows server 2003

Nội dung chính của chương này là Xây dựng demo triển khai, mô phỏng hệthống cung cấp chứng chỉ số ứng dụng trong bảo mật email trên Windows

Server 2003

KẾT LUẬN

Phần kết luận nêu lên các mặt đã làm được trong chuyên đề, các mặt chưa

đạt được và hướng phát triển của chuyên đề

Chương 1 TỔNG QUAN VỀ HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ 1.2 Giới thiệu

Ngày nay, mạng Internet đã trở thành nền tảng chính cho sự trao đổi thông tin trên toàn cầu Giao tiếp qua Internet sử dụng giao thức TCP/IP, là giao thức cho phép các thông tin được gửi từ máy này tới máy khác thông qua một loạt máy trung gian hoặc máy riêng biệt Chính vì điều này đã tạo cơ hội cho "kẻ trộm" công nghệ cao có thể thực hiện các hành động phi pháp Do đó, những yêu cầu được đặt ra đối với việc trao đổi thông tin trên mạng là:

- Bảo mật tuyệt đối thông tin trong giao dịch

- Đảm bảo tính toàn vẹn của thông tin

- Chứng thực được tính đúng đắn về pháp lí của thực thể tham gia trao đổi thông tin

- Đảm bảo thực thể không thể phủ nhận hay chối bỏ trách nhiệm của họ về những hoạt động giao dịch trên Internet

Từ thực tế đó cần có phương pháp bảo mật thông tin nhằm cải thiện an toàntrên Internet Việc tìm ra giải pháp bảo mật dữ liệu, cũng như việc chứng nhận quyền sở hữu của cá nhân là một vấn đề luôn luôn mới Bảo mật phải được nghiên cứu và cải tiến để theo kịp sự phát triển không ngừng của cuộc sống.[ CITATION Pha1 \l 1033 ]

- Làm sao để bảo mật dữ liệu?

- Làm sao để tin tức truyền đi không bị mất mát hay bị đánh tráo?

- Làm sao để người nhận biết được thông tin mà họ nhận được có chính xáchay không? Thông tin đã bị thay đổi gì chưa?

- Làm sao để biết được thông tin này do ai gửi đến?

- Thuộc quyền sở hữu của ai?

Những câu hỏi được đặt ra là một thách thức rất lớn đối với những người nghiên cứu về bảo mật Có rất nhiều cách thức để bảo vệ thông tin trên đường truyền, nhiều giải pháp được đề xuất như: sử dụng mật khẩu (password), mã hóa

dữ liệu Cùng với sự phát triển của các biện pháp bảo mật ngày càng phức tạp, thì các hình thức tấn công ngày càng tinh vi hơn Do đó vấn đề đặt ra ở đây là làm sao đưa ra một giải pháp thích hợp, có hiệu quả theo kịp thời gian và sự pháttriển mạnh mẽ của khoa học kỹ thuật

Để đảm bảo bí mật, các thông tin truyền trên Internet ngày nay đều có xu hướng được mã hóa trước khi truyền qua mạng Internet, người gửi mã hóa thôngtin trong quá trình truyền dù có thể "chặn" được các thông tin này kẻ trộm cũng không thể đọc được vì đã bị mã hóa Khi tới đích người nhận sẽ sử dụng một công cụ đặc biệt để giải mã Phương pháp mã hóa và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số (Digital Certificate) Với chứng chỉ

số, người sử dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo

(cho phép người nhận kiểm tra thông tin có bị thay đổi hay không), xác thực danh tính của người gửi Ngoài ra chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi Để hiểu sâu hơn về vấn đề này, sau đây chuyên đề sẽ trình bày về việc triển khai mô phỏng hệ thống cung cấp chứng chỉ số.[ CITATION Trị \l 1033 ]

1.3 Tổng quan về chứng chỉ số và tổ chức chứng thực

1.3.1 Khái niệm chứng chỉ số

Chứng chỉ số là một tập tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty trên Internet Nó giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ cá nhân

Để có chứng minh thư, bạn phải được công an sở tại cấp Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác, được gọi là nhà cung cấp chứng chỉ số (Certificate Authority, viết tắt

là CA) CA phải đảm bảo độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cung cấp

Trong chứng chỉ số có 4 thành phần chính:

- Thông tin cá nhân được cấp

- Khóa công khai (Public key) của người được cấp

- Chữ ký của CA cấp chứng chỉ

- Thời gian hợp lệ

Thông tin cá nhân: Đây là các thông tin của đối tượng được cấp chứng chỉ

số, gồm tên, quốc tịch, địa chỉ, điên thoại, email, tên tổ chức Phần này giống như các thông tin trên chứng minh thư của mỗi người

Khóa công khai: Trong khái niệm về mật mã, khóa công khai là một giá trị được nhà cung cấp chứng chỉ đưa ra như một khóa mã hóa, kết hợp với cùng một khóa cá nhân duy nhất được tạo ra từ khóa công khai để tạo thành cặp mã bất đối xứng.[ CITATION Pha \l 1033 ]

Nguyên lý hoạt động của khóa công khai trong chứng chỉ số là hai bên giaodịch phải biết khóa công khai của nhau Bên A muốn gửi cho bên B thì phải dùng khóa công khai của bên B để mã hóa thông tin Bên B sẽ dùng khóa cá nhân của mình để mở thông tin đó ra Tính chất bất đối xứng trong mã hóa thể hiện ở chỗ khóa cá nhân có thể giãi mã dữ liệu được mã hóa bằng khóa công khai (trong cùng một cặp khóa duy nhất mà mỗi cá nhân sỡ hữu), nhưng khóa công khai không có khả năng giải mã lại thông tin, kể cả những thông tin do chính khóa công khai đó đã mã hóa Đây là đặc tính cần thiết cần thiết vì có thể

có nhiều cá nhân B,C,D cùng thực hiên giao dịch và có khóa công khai của A, nhưng C,D không thể giải mã được các thông tin mà B gửi cho A dù cho đã chặn bắt được các gói thông tin trên mạng

Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân, thì khóa công khai đóng vai trò như danh tính của bạn trên giấy chứng minh thư

(gồm tên, địa chỉ, ảnh), còn khóa cá nhân là gương mặt và dấu vân tay của bạn Nếu coi một bưu phẩm là thông tin truyền đi được mã hóa bằng địa chỉ và tên người nhận của bạn, thì dù ai đó có dùng chứng minh thư của bạn với mục đích lấy bưu phẩm này cũng không được nhân viên bưu điên giao bưu kiện vì ảnh và dấu vân tay không giống.

Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc Đây chính là

sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không Trên chứng minh thư đây chính là con dấu xác nhận của Công An Tỉnh hoặc thành phố mà bạn đang trực thuộc Về nguyên tắc, khi kiểm tra chứngminh thư, đúng ra đầu tiên là phải xem con dấu này, để biết chứng minh thư có

bị làm giả hay không.[ CITATION Pha1 \l 1033 ]

1.3.2 Tổ chức chứng thực (CA – Certificate Authentication)

Trong các hệ thống quản lý chứng chỉ số đang hoạt động trên thế giới, nhà cung cấp chứng chỉ số (Certificate authority - CA) là một tổ chức chuyên đưa ra

và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các khóa công khai để mã hóa thông tin Một CA sẽ kiểm tra cùng với một nhà quản

lý đăng ký (Registration Authority - RA)[ CITATION Ada \l 1033 ] để xác minh thông tin về một chứng chỉ số mà người yêu cầu xác thực đưa ra Nếu RA xác nhận thông tin của người cần xác thực, CA sau đó sẽ đưa ra một chứng chỉ.Trong hạ tầng cơ sở khóa công khai, chứng chỉ có vai trò gắn kết giữa định danh với khóa công Một CA là một thực thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống Tổ chức chứng thực - CA cũng được gọi làbên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số của CAtrên chứng chỉ trong khi thực hiện những hoạt động mã hóa khóa công khai cần thiết

Thông thường, CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối (người giữ chứng chỉ) trong hệ thống Nếu

CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ởmức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.Hiện nay có rất nhiều dịch vụ mạng sử dụng hệ thống cung cấp chứng chỉ

số như: Dịch vụ nhận và gửi email, dịch vụ VPN, dịch vụ Web sử dụng SSL…

Do thời gian nghiên cứu có hạn nên đề tài này chỉ tập trung nghiên cứu và triển khai mô phỏng hệ thống cung cấp chứng chỉ số đối với dịch vụ gửi và nhận email

1.4 Khái quát về bảo mật email sử dụng hệ thống cung cấp chứng chỉ số

1.4.1 Thực trạng sử dụng dịch vụ thư điện tử (email) và những nguy cơ mất

an toàn thông tin khi gửi nhận mail

Email là dịch vụ mạng được coi trọng và sử dụng rộng rãi nhất thế giới.- Trung bình một nhân viên văn phòng gửi đi 3.840 email/năm - tương đương với 158.064 email trong suốt cuộc đời làm việc của người này Trong một vài năm trở lại đây, hạ tầng truyền thông IT ngày càng được mở rộng khi người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng sử dụng Email trên các mạng công cộng Ngoài ra, email cũng là một hình thức đặc trưng nhất trong năm hình thức giao dịch của thương mại điện tử Với thương mại điện tử, email được dùng như

là một công cụ thông dụng nhất để giao tiếp với đối tác kinh doanh, với khách hàng, thu thập thông tin khách hàng, có những chiến lược quảng cáo, giới thiệu sản phẩm, những dịch vụ hữu ích một cách nhanh nhất Người ta cũng có thể trao đổi thông tin đặt đơn mua hàng, những thông tin cần thiết trước một giao ước Tóm lại mọi giao dịch, trao đổi đều có thể thông qua thư điện tử Tuy nhiêntrên môi trường truyền thông này, ngoài mặt tích cực Internet cũng tiềm ẩn những tiêu cực của nó đối với vấn đề bảo vệ thông tin[ CITATION Trị \l 1033 ].Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như Mcafree, Kaspersky hay CheckPoint…, năm 2011 Việt Nam tiếp tục được nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và các hãng bảo mật Nguy cơ mất an toàn thông tin tại Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin cao nhất trong năm 2010

Việc hack địa chỉ email của ai đó là một việc rất thú vị đối với các loại hìnhtội phạm thông tin cá nhân Thứ rõ ràng nhất mà những hacker này muốn là tăngtruy cập vào các cuộc chuyện trò riêng tư, lấy trộm các dữ liệu và thông tin cá nhân nhạy cảm Bên cạnh đó hacker cũng có thể xóa các tin nhắn với ý đồ muốnphá hủy các thông tin có giá trị.[ CITATION Pha \l 1033 ]

Với những người dùng online thông thường, mối đe dọa nghiêm trọng nhất khi email bị hack là tội phạm có thể sử dụng tài khoản của họ nhằm tìm kiếm chìa khóa để mở các tài khoản trực tuyến khác, chẳng hạn như các dịch vụ tài chính Banking và PayPal Nhiều website có các portal đăng nhập an toàn, cho phép người dùng có thể lấy lại được username hoặc password bị quên Khi các site này gửi thông tin đó đến tài khoản email đã được đăng ký của bạn, nó được cho là chỉ mình bạn có thể truy cập vào tài khoản đó Một hacker đã hack được tài khoản email nào đó sẽ có thể tăng truy nhập trực tiếp đến nhiều thứ từ tài khoản Facebook đến các tài khoản đầu tư, banking và các tiện ích khác Theo cách nói của hacker, các phần mềm đánh hơi (sniffer) chính là kiểu phần mềm

có thể thông dịch dữ liệu di chuyển trong mạng Phụ thuộc vào mức độ an toàn của mạng mà nó có thể đánh hơi các kết nối không dây và chạy dây Việc đánh hơi có thể cực kỳ hữu dụng cho việc tìm kiếm ra các thông tin mật khẩu và đăngnhập khi nó được truyền tải trong mạng

Ngày 9-9, một cơ sở dữ liệu chứa gần 5 triệu tài khoản Gmail của Google bao gồm tên người dùng và mật khẩu đã xuất hiện trên một diễn đàn của Nga Người tiết lộ danh sách này cho biết hơn 60% mật khẩu trong số đó vẫn đang hoạt động Với danh sách này, ai cũng có thể sử dụng tên người dùng và mật khẩu để đăng nhập tài khoản Gmail của người khác một cách dễ dàng Đại diện Ban Quản trị website bảo mật SecurityDaily của Việt Nam (thành viên Hiệp hội

An toàn thông tin Việt Nam - VNISA) cho biết trong 5 triệu tài khoản bị tiết lộ, các chuyên gia công nghệ đã thống kê có khoảng 50.000 tài khoản Gmail là của người dùng Việt Nam.[ CITATION Trị \l 1033 ]

Như vậy nguy cơ mất an toàn thông tin là một vấn đề đáng lo ngại Chính

vì vậy việc bảo mật khi truyền tin qua mạng Internet hiện nay là vô cùng cần thiết

1.4.2 Một số biện pháp bảo mật email

1.4.2.1 Biện pháp thông thường cho người sử dụng

- Hạn chế tối đa việc sử dụng máy tính cá nhân truy cập hòm thư điện tử công vụ thông qua mạng Internet không quen thuộc như mạng không dây tại quán ăn, quán nước giải khát

- Không sử dụng hòm thư điện tử công vụ do cơ quan cấp cho mục đích cá nhân như đăng ký dịch vụ thương mại, dịch vụ trao đổi chia sẻ thông tin cá nhân

- Không đặt chế độ chuyển thư tự động từ hòm thư điện tử công vụ được cấp tới hòm thư khác không phải do các cơ quan nhà nước cấp

- Hạn chế sử dụng ứng dụng duyệt thư điện tử có sẵn trên các thiết bị di động như smartphone hoặc máy tính bảng để truy cập vào hòm thư điện tử công

vụ được cấp

- Luôn chú ý cảnh giác với những thư điện tử có nội dung, nguồn gốc khả nghi và tiến hành kiểm tra và xử lý thư giả mạo theo hướng dẫn kiểm tra thư giả mạo của VNCERT

- Đánh dấu Spam ngay khi nhận được các thư rác

- Không gửi, nhận tệp tin thực thi (.exe) qua hệ thống thư điện tử và hạn chế việc dùng tệp tin nén có mã hóa

- Xóa thư khi không còn cần thiết để tránh bị mất mát thông tin nếu tài khoản bị lộ

- Sử dụng mật khẩu đủ mạnh

Các biện pháp bảo vệ email trên chỉ làm hạn chế một phần các mối đe dọa

từ tội phạm công nghệ cao, nên chưa phải là biện pháp tối ưu để bảo mật thông tin Dưới đây là một số biện pháp bảo mật email chuyên nghiệp hơn như: sử dụng hệ mật mã để mã hóa dữ liệu, đặc biệt là bảo mật email sử dụng hệ thống cung cấp chứng chỉ số được đánh giá cao và ứng dụng nhiều trong thực tế

1.4.2.2 Bảo mật email sử dụng hệ thống cung cấp chứng chỉ số

Hệ thống cung cấp chứng chỉ số cùng các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể sử dụng giải quyết vấn

đề về bảo mật email

Trước tiên ta hãy tìm hiểu về qui trình mã hóa và giải mã dữ liệu Ví dụ A

có một thông tin quan trọng muốn gửi cho B có nội dung là "GC Com Co" chẳng hạn và A muốn mã hóa dữ liệu ra chứ không gửi tường minh như vậy, nên

A sẽ đặt ra một khóa ví dụ là "1" (Key=1) chẳng hạn và tiến hành mã hóa nó thành một chuỗi đại khái "JKHeifuyoiuIOYUOf" Khi đó B nhận được thông tin

từ A gửi cho vẫn là một chuỗi ký tự rườm rà trên Để giải mã tất nhiên B phải cóKey mà A cung cấp cho thì mới có thể đọc được nội dung này, đây chính là kiểu

mã hóa đối xứng Có 2 cách mã hóa và giải mã dữ liệu là mã hóa đối xứng và

mã hóa không đối xứng như sau:[ CITATION Pha \l 1033 ]

Mã hóa đối xứng:

Ví dụ về mã hóa đối xứng như đã nói ở trên, với cách này tưởng chừng như

an toàn nhưng lại tồn tại những nhược điểm lớn mà hiện tại người ta không chọnhình thức mã hóa và giải mã kiểu này, vì nếu như một ai đó có được Key này họ

sẽ đọc được toàn bộ dữ liệu mà trước đó ta đã mã hóa hơn nữa trong thực tế A không chỉ có một mình B là đối tác mà có đếm hàng trăm hàng nghìn đối tác khác nữa Với mỗi đối tác A phải có một Key riêng cho đối tác đó, A cũng phải lưu trữ chừng ấy khóa mà phía đối tác cấp cho

Hình 1.1 Mô hình mã hóa đối xứng

Ví dụ: A gửi một gói tin tên là Data cho B đã được mã hóa với Key = 1 cho

ra kết quả là gói tin Data’ B nhận được gói tin trên và tiến hành giải mã với Key trên và thu được Data ban đầu

Hình 1.2 Mô hình mã hóa và giải mã với hệ mã hóa đối xứng

Tuy nhiên vì một lý do nào đó C nhặt được gói tin Data’ và Key của A gửi cho B Khi đó nó tiến hành giải mã và sửa thông tin sau đó nó tiếp tục mã hóa với Key trên và gửi cho B Vì vậy thông tin mà B nhận hoàn toàn bị sai lệch không đáng tin cậy nhưng bản thân B cũng không biết

Hình 1.3 Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa đối xứng

Trước nguy cơ đó người ta đưa ra cách mã hóa dữ liệu thứ 2

Mã hóa không đối xứng:

Người ta chứng minh rằng luôn tồn tại 2 số P,Q với P # Q Khi mã hóa dữ liệu với P người ta đem kết quả thu được giải mã với Q sẽ thu được dữ liệu ban đầu và ngược lại

Với qui trình này mỗi người dùng sử dụng công nghệ mã hóa sẽ chỉ cần 2 khóa mà thôi ví dụ A sử dụng công nghệ mã hóa nên A có:

Khóa PA gọi là Public Key khóa này là khóa công khai mọi người đều có thể xem và sử dụng khóa này

Khóa QA gọi là Private Key khóa này là khóa bí mật chỉ có mình A là có thể xem và sử dụng khóa này

Vì vậy khi A gửi gói tin Data cho B nó sẽ dùng Public Key PB của B để mãhóa và cho ra kết quả là Data’

Khi đó B thu được Data’ nó dùng Private Key của riêng mình để giải mã dữliệu và thu được Data ban đầu.

Hình 1.4 Mô hình mã hóa và giải mã với hệ mã hóa không đối xứng

Tuy nhiên cách này vẫn chưa thực sự an toàn vì A chỉ lấy Public Key PB của B sử dụng mà không xác minh tính xác thực của nó có đúng là của B hay không Khi đó với một thủ thuật nào đó C lấy Public Key PC của mình chèn vàoPublic Key PB của B nhằm đánh lừa A Như vậy vô tình thay vì A dùng PB của

B thì nó lại lấy PC của C để mã hóa dữ liệu, lúc này C sẽ lấy gói tin đã mã hóa trên và tiến hành giải mã bằng khóa bí mật của nó sau đó khai thác thông tin và chỉnh sửa nội dung Tiếp đến nó lấy nội dung đã chỉnh sửa đó mã hóa với PB của B và gửi đến B Như vậy thông tin mà A gửi cho B đến lúc này vẫn chưa thực sự an toàn.[ CITATION Pha \l 1033 ]

Hình 1.5 Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa không đối xứng

Trước nguy cơ đó, Microsoft đã xây dựng cho ta công cụ Certificate

Authority đóng vai trò như một nhà cấp phát giấy chứng thực và quản lý các thông tin chứng thực ấy Như vậy vấn đề ở đây là ta phải dựng một CA Server chuyên cấp các chứng thực cho người dùng, trên thực tế các CA Server do ta xâydựng mà ta xây dựng sẽ không được người sử dụng tin tưởng mà có hẳn các công ty chuyên cung cấp CA Server mà các hãng phần mềm lớn như

google.com, yahoo.com vẫn thuê để sử dụng Tuy nhiên vì chúng ta đang nghiêncứu nên để tiết kiệm chi phí ta sẽ tự xây dựng một CA Server riêng

Với CA Server bản thân nó cũng có một bộ Public Key và Private Key của riêng mình Khi A, B, C muốn gửi thông tin cho nhau phải thông qua CA Server này để xin cấp giấy chứng nhận cho riêng mình

Như vậy thì nhờ có CA Server xác thực nên ta có thể bảo mật tuyệt đối thông tin trong giao dịch, chứng thực được tính đúng đắn về pháp lí của thực thểtham gia trao đổi thông tin, ngoài ra còn đảm bảo thực thể không thể phủ nhận hay chối bỏ trách nhiệm của họ về những hoạt động giao dịch trên Internet… Qui trình này như sau: CA Server sẽ lấy thông tin Public Key của người dùng nào đó gọi là CRC hay thông tin đặc trưng của người dùng đó Kế tiếp nó mã hóa CRC này với chính Private Q của nó cho ra một giá trị S và giá trị này được công khai Như vậy lúc này mỗi tài khoản người dùng sẽ tồn tại 2 Public Key và

1 Private Key

Hình 1.6 CA xác thực thông tin cho A

Chương 2 CHỨNG CHỈ SỐ VÀ CƠ SỞ HẠ TẦNG MÃ HÓA CÔNG

KHAI 2.1 Chứng chỉ số

Hình 2.7 Chứng chỉ số

Có nhiều loại chứng chỉ, một trong số đó là:

- Chứng chỉ khóa công X.509

- Chứng chỉ khóa công đơn giản (Simple Public Key Certificates – SPKC)

- Chứng chỉ Pretty Good Privacy (PGP)

- Chứng chỉ thuộc tính (Attribute Certificates – AC)

Tất cả các loại chứng chỉ này đều có cấu trúc định dạng riêng Hiện nay chứng chỉ khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI Hệ thống chương trình cấp chứng chỉ số thử nghiệm cũng sử dụng định dạng chứng chỉ theo X.509, nên chuyên đề này tập trung vào xem xét chi tiết chứng chỉ công khai X.509 Trong chuyên đề, thuật ngữ chứng chỉ

“certificate” được sử dụng đồng nghĩa với chứng chỉ khóa công khai X.509 v3[ CITATION Ada \l 1033 ]

2.1.1 Chứng chỉ khóa công khai X.509 v3

Chứng chỉ X.509 v3 là định dạng chứng chỉ được sử dụng phổ biến và được hầu hết các nhà cung cấp sản phẩm PKI triển khai

Chứng chỉ khóa công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ralần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500

Chứng chỉ gồm 2 phần Phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ Phần thứ hai chứa thêm một số trường phụ, những trường phụ

này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống Khuôn dạng của chứng chỉ X.509 được chỉ ra như trong hình2.2 dưới đây:

Hình 2.8 Khuôn dạng chứng chỉ X.509

2.1.1.1 Những trường cơ bản của chứng chỉ X.509

- Version number: xác định số phiên bản của chứng chỉ

- Certificate Serial Number: do CA gán, là định danh duy nhất của chứng chỉ

- Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ

Có thể là thuật toán RSA hay DSA…

- Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho phép sử dụng lại tên người cấp Trường này hiếm được sử dụng trong triển khai thực tế

- Subject Unique ID (Optional): là trường tùy chọn cho phép sử dụng lại tên của subject khi quá hạn Trường này cũng ít được sử dụng

- Extensions (Optional): chỉ có trong chứng chỉ v.3

- Certification Authority’s Digital Signture: chữ ký số của CA được tính từ những thông tin trên chứng chỉ với khóa riêng và thuật toán ký số được chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ.

Tính toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trên chứng chỉ Khóa công khai của CA được phân phối đến người sử dụng chứng chỉ theo một số cơ chế bảo mật trước khi thực hiện thao tác PKI Người sử dụng kiểm tra hiệu lực của chứng chỉ được cấp với chữ ký số của CA và khóa công khai của CA.[ CITATION Pha \l 1033 ]

2.1.1.2 Những trường mở rộng của chứng chỉ X.509

Phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào

để gắn những thuộc tính này với người sử dụng hay khóa công Những thông tintrong phần mở rộng thường được dùng để quản lý xác thực phân cấp, chính sáchchứng chỉ, thông tin về chứng chỉ bị thu hồi… Nó cũng có thể được sử dụng để định nghĩa phần mở rộng riêng chứa những thông tin đặc trưng cho cộng đồng nhất định Mỗi trường mở rộng trong chứng chỉ được thiết kế với cờ “critical” hoặc “uncritical”

- Authority Key Indentifier: Chứa ID khóa công khai của CA, ID này là duy nhất và được dùng để kiểm tra chữ ký số trên chứng chỉ Nó cũng được sử dụng để phân biệt giữa các cặp khóa do một CA sử dụng (trong trường hợp hết

CA có nhiều hơn một khóa công khai) Trường này được sử dụng cho tất cả các chứng chỉ tự ký số (CA – certificates)

- Subject Key Identifier: Chứa ID khóa công khai có trong chứng chỉ và được sử dụng để phân biệt giữa các khóa nếu như có nhiều khóa được gắn vào trong cùng chứng chỉ của người sử dụng (Nếu chủ thể có nhiều hơn một khóa công khai)

- Key Usage: Chứa một chuỗi bit được sử dụng để xác định (hoặc hạn chế) chức năng hoặc dịch vụ được hỗ trợ qua việc sử dụng khóa công khai trong chứng chỉ

- Extended Key Usage: Chứa một hoặc nhiều OIDs (định danh đối tượng Object Identifier) để xác định cụ thể việc sử dụng khóa công trong chứng chỉ Các giá trị có thể là: (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký

Mã, (4) bảo mật e-mail, (5) Tem thời gian

- CRL Distribution Point: Chỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng chỉ Nó có thể là URL (Uniform Resource Indicator), địa chỉ của X.500 hoặc LDAP server

- Private Key Usage Period: Trường này cho biết thời gian sử dụng của khóa riêng gắn với khóa công khai trong chứng chỉ

- Certificate Policies: Trường này chỉ ra dãy các chính sách OIDs gắn với việc cấp và sử dụng chứng chỉ

- Policy Mappings: Trường này chỉ ra chính sách xác thực tương đương giữa hai miền CA Nó được sử dụng trong việc thiết lập xác thực chéo và kiểm tra đường dẫn chứng chỉ Trường này chỉ có trong chứng chỉ CA.

- Subject Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với người

sở hữu chứng chỉ Những giá trị có thể là: địa chỉ e-mail, địa chỉ IP, địa chỉ URI…

- Issuer Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với người cấp chứng chỉ

- Subject Directory Attributes: Trường này chỉ ra dãy các thuộc tính gắn vớingười sở hữu chứng chỉ Trường mở rộng này không được sử dụng rộng rãi Nó được dùng để chứa những thông tin liên quan đến đặc quyền

- Basic Constraints Field: Trường này cho biết đây có phải là chứng chỉ CAhay không bằng cách thiết lập giá trị logic (true) Trường này chỉ có trong chứngchỉ CA

Chứng chỉ CA dùng để thực hiện một số chức năng Chứng chỉ này có thể ởmột trong hai dạng Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này được gọi là chứng chỉ CA tự ký Khi một CA mới được thiết lập, CA tạo ra một chứngchỉ CA tự ký để ký lên chứng chỉ của người sử dụng cuối trong hệ thống Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống

- Path Length Constraint: trường này chỉ ra số độ dài tối đa của đường dẫn chứng chỉ có thể được thiết lập Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác Trường này chỉ có trong chứng chỉ của CA

- Name Constrainsts: được dùng để bao gồm hoặc loại trừ các nhánh trong những miền khác nhau trong khi thiết lập môi trường tin tưởng giữa các miền PKI

- Policy Constrainsts: được dùng để bao gồm hoặc loại trừ một số chính sách chứng chỉ trong khi thiết lập môi trường tin tưởng giữa các miền PKI

2.2 Lợi ích của chứng chỉ số

2.2.1 Bảo mật thông tin

Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin Khi người gửi

đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới giải

mã được thông tin để đọc Trong quá trình truyền thông tin qua Internet, dù có bắt được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói tin có thông tin gì Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn

2.2.2 Chống giả mạo

Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị thay đổihay không Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều

sẽ bị phát hiện Địa chỉ mail của bạn, tên domain đều có thể bị kẻ xấu làm giả

để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng Tuy nhiên, chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ

số luôn đảm bảo an toàn

2.2.3 Xác thực

Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận - có thể là đối tác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ được danh tính của bạn Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống chứng chỉ số

mà bạn và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó là bạn chứkhông phải là một người khác Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây chính là nền tảng của một Chính phủ điện tử, môi trường cho phép công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn qua mạng Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử

2.2.4 Chống chối cãi nguồn gốc

Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm Trong trường hợp người gửi chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin đó Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được gửi

2.2.5 Chữ ký điện tử

Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày của chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng Những thông điệp có thể gửi

đi nhanh chóng, qua Internet, đến những khách hàng, đồng nghiệp, nhà cung cấp

và các đối tác Tuy nhiên, email rất dễ bị tổn thương bởi các hacker Những thông điệp có thể bị đọc hay bị giả mạo trước khi đến người nhận Bằng việc sử dụng chứng chỉ số cá nhân, bạn sẽ ngăn ngừa được các nguy cơ này mà vẫn không làm giảm những lợi thế của email

Chữ ký điện tử là đoạn dữ liệu gắn với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của văn bản gốc

Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán Băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi làfingerprint, sau đó mã hóa bằng Private Key để tạo ra chữ ký đính kèm với văn

bản gốc và gửi đi Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint và so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký điện tử Như vậy ta có thể xác định được thông điệp bị gửi

đi không bị sửa hay can thiệp trong quá trình gửi.[ CITATION Trị \l 1033 ]

Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào email như một bằng chứng xác nhận của mình Chữ ký điện tử cũng có các tính năng xác thực thông tin, toàn vẹn dữ liệu và chống chối cãi nguồn gốc Ngoài ra,chứng chỉ số cá nhân còn cho phép người dùng có thể chứng thực mình với một web server thông qua giao thức bảo mật SSL Phương pháp chứng thực dựa trên chứng chỉ số được đánh giá là tốt, an toàn và bảo mật hơn phương pháp chứng thực truyền thống dựa trên mật khẩu

2.2.6 Bảo mật các dịch vụ

Chứng chỉ số ứng dụng trong bảo mật VPN, Email, Website…Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quantrọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị

lộ Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL Server để bảo mật cho Website của mình Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer) Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằmđảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng:

- Thực hiện mua bán bằng thẻ tín dụng

- Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng

- Đảm bảo hacker không thể dò tìm được mật khẩu

2.3 Dịch vụ CA trên môi trường Windows Server 2003

Bảo mật IP (IP Security - IPSec): Mở rộng IPSec cho phép mã hóa và truyền chữ ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng Triển khai IPSec trên Windows Server 2003 không phải dùng PKI để có được mã hóa của

nó, nhưng có thể dùng PKI với mục đích này

Bảo mật E-mail: Giao thức E-mail trên Internet truyền thông điệp E-mail ở chế độ bản rõ, vì vậy nội dung mail dễ dàng đọc khi được truyền Với PKI, người gửi có thể bảo mật E-mail khi truyền bằng cách mã hóa nội dung mail

dùng khóa công khai của người nhận Ngoài ra người gửi có thể ký lên thông điệp bằng khóa riêng của mình.

Đăng nhập bằng thẻ thông minh (Smart card logon): Smart card là một thẻ tín dụng Windows Server 2003 có thể dùng Smart card như là một thiết bị chứng thực Smart card chứa chứng chỉ của user và khóa riêng, cho phép người dùng logon tới bất kỳ máy nào trong doanh nghiệp với độ an toàn cao

Software code signing: Kỹ thuật Authenticode của Microsoft dùng chứng chỉ để chứng thực những phần mềm người dùng download và cài đặt chính xác

là của tác giả và không được chỉnh sửa.[ CITATION Pha \l 1033 ]

Xác thực mạng không dây (Wireless network authentication): Khi cài đặt một LAN wireless, phải chắc chắn rằng chỉ người dùng chứng thực đúng thì mớiđược nối kết mạng và không có ai có thể nghe lén khi giao tiếp trên wireless Cóthể sử dụng Windows Server 2003 PKI để bảo vệ mạng wireless bằng cách nhậndạng và chứng thực người dùng trước khi họ cần truy cập mạng

2.3.2 Các loại CA trên Windows Server 2003

Trên windows Server 2003 có hai loại CA Enterprise và Stand - alone:

Enterprise: Enterprise CAs được tích hợp trong dịch vụ Active Directory

Chúng sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ và CLRs đến

Active Directory, sử dụng thông tin trong cơ sở dữ liệu Active Directory để chấpnhận hoặc từ chối yêu cầu cấp phát chứng chỉ tự động Bởi vậy client của tổ chức CA phải truy xuất đến Active Directory để nhận chứng chỉ, nhiều tổ chức

CA không tích hợp cho việc cấp phát chứng chỉ cho các client bên ngoài tổ chức

Stand-alone: Stand-alone CAs không dùng mẫu chứng chỉ hay Active

Directory chúng lưu trữ thông tin cục bộ của nó Hơn nữa, mặc định, stand-aloneCAs không tự động đáp lại yêu cầu cấp phát chứng chỉ số giống như enterprise CAs làm Yêu cầu chờ trong hàng đợi để chờ người quản trị chấp nhận hoặc từ chối bằng tay

Dù người dùng chọn tạo ra một enterprise CA hay là một stand-alone CA, đều phải chỉ rõ CA là gốc (root) hay cấp dưới (subordinate)

2.3.3 Cấp phát và quản lý các chứng chỉ số

2.3.3.1 Cấp phát tự động (Auto-Enrollment)

Auto-Enrollment cho phép client yêu cầu tự động và nhận chứng chỉ số từ

CA mà không cần sự can thiệp của người quản trị, để dùng Auto-Enrollment thì phải có Domain chạy Windows Server 2003, một enterprise CA chạy Windows Server 2003 và client có thể chạy Windows XP Professional Điều khiển tiến trình Auto-Enrollment bằng sự phối hợp của roup policy và mẫu chứng chỉ số.Mặc định, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho tất

cả các người dùng và máy tính nằm trong Domain Để cài đặt, bạn mở chính sách cài đặt Auto-Enrollment, nằm trong thư mục Windows Settings\ Sercurity

Hình 2.9 Cài đặt cấp phát chứng chỉ số tự động

Settings XPublic Key Policies trong cả 2 node Computer Configuration và User Configuration của Group Policy Object Editor Hộp thoại Autoenrollment Settings Properties xuất hiện bạn có thể cấm hoàn toàn auto-enrollment cho các đối tượng sử dụng GPO này Bạn cũng có thể cho phép các đối tượng thay đổi hoặc truy cập chứng chỉ số của chúng một cách tự động.[ CITATION Trị \l

1033 ]

Một kỹ thuật khác bạn có thể dùng để điều khiển auto-enrollment là xây dựng chứng chỉ có xác định đặc tính của kiểu chứng chỉ số rõ ràng Để quản lý mẫu chứng chỉ số, bạn dùng mẫu chứng chỉ số có sẵn (Certificate Templates snap-in) Sử dụng công cụ này, bạn có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn của loại chứng chỉ đã chọn, chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng Dùng tab Security, cũng có thể chỉ rõ những user và group được phép yêu cầu chứng chỉ số dùng mẫu này

Hình 2.10 Cấp phát chứng chỉ số tự động

Khi client yêu cầu một chứng chỉ số, CA kiểm tra đặc tính đối tượng ActiveDirectory của client để quyết định liệu client có quyền tối thiểu được nhận chứng chỉ không? Nếu Client có quyền thích hợp thì CA sẽ cấp phát chứng chỉ

số một cách tự động

2.3.3.2 Cấp phát không tự động (Manual Enrollment)

Stand-alone CAs không thể dùng auto-enrollment, vì vậy khi một Stand- alone CA nhận yêu cầu về chứng chỉ số từ client, nó sẽ lưu trữ những yêu cầu đóvào trong một hàng đợi cho tới khi người quản trị quyết định liệu có cấp phát chứng chỉ số hay không? Để giám sát và xử lý các yêu cầu vào, người quản trị dùng Certification Authority console như hình sau:

Hình 2.11 Cấp phát chứng chỉ số không tự động

Trong Certification Authority console, tất cả yêu cầu cấp phát chứng chỉ số xuất hiện trong thư mục Pending Request Sau khi đánh thông tin trong mỗi yêu cầu, người quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu Người quản trị cũng có thể xem đặc tính của việc cấp phát chứng chỉ và thu hổi chứng chỉ khi cần

2.3.3.3 Các yêu cầu cấp phát CA

a Sử dụng Certificates Snap - in

Certificates Snap-in là một công cụ dùng để xem và quản lý chứng chỉ số của một user hoặc computer cụ thể Màn hình chính của snap-in bao gồm nhiều thư mục chứa tất cả hạng mục chứng chỉ số được chỉ định cho user hoặc

computer Nếu tổ chức của người dùng sử dụng enterprise CAs, Certificate Snap-in cũng cho phép người dùng yêu cầu và thay đổi chứng chỉ số bằng cách dùng Certificate Request Wizard và Certificate và Renewal Wizard

b Yêu cầu cấp phát thông qua Web (Web Enrollment)

Khi cài đặt Certificate Services trên máy tính chạy Windows Server 2003, người dùng có thể cài đặt module Certificate Services Web Enrollment Support

Để hoạt động một cách đúng đắn, module này yêu cầu người dùng phải cài đặt IIS trên máy tính trước Chọn module này trong quá trình cài đặt Certificate Services tạo Web trên máy tính chạy CA, những trang Web này cho phép người dùng gửi yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn

Giao diện Web Enrollment Support được dùng cho người sử dụng bên ngoài hoặc bên trong mạng truy xuất đến stand-alone CAs Vì stand-alone serverkhông dùng mẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin người sử dụng chứng chỉ số

Khi Client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ đã được định nghĩa trước hoặc

tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong formWeb-based.

Hình 2.12 Yêu cầu cấp phát chứng chỉ số thông qua Web

2.3.3.4 Công bố và gửi thông báo thu hồi chứng chỉ số

Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực Nhưng trong một số trường hợp chứng chỉ lại không hợp lệ trước thời gian hết hạn, ví dụ như:

- Khóa riêng của chủ thể bị xâm phạm

- Thông tin chứa trong chứng chỉ bị thay đổi

- Khóa riêng của CA cấp chứng chỉ bị xâm phạm

Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như dùng phương pháp trực tuyến Online Certificate Status Protocol

a Certificate Revocation Lists (CRLs)

CRLs là cấu trúc dữ liệu được ký như chứng chỉ người sử dụng CRLs chứadanh sách các chứng chỉ đã bị thu hồi và những thông tin cần thiết khác của người sử dụng CRL thường do một CA cấp Tuy nhiên CRL cũng có thể được

sử dụng để cung cấp thông tin cho nhiều CA nếu nó được định nghĩa như một CRL gián tiếp Những thông tin này được chứa trong trường mở rộng CRL Scope

Hình 2.13 Khuôn dạng danh sách chứng chỉ bị thu hồi

Trong đó:

- Version number: chỉ ra phiên bản của CRL

- Signature: nhận biết loại hàm băm và thuật toán ký được sử dụng để ký danh sách thu hồi CRL

- Issuer: tên của thực thể cấp và ký CRL

- This Update: chỉ ra ngày và thời gian CRL được công bố

- Next Update: chỉ ra ngày và thời gian danh sánh thu hồi kế tiếp được cấp

- List of revoked certificates: chứa danh sách cùng với serial của những chứng chỉ bị thu hồi

Những chứng chỉ đã bị CA thu hồi được ghi vào danh sách theo thứ tự của revoked Certificates Mỗi đầu vào nhận biết chứng chỉ thông qua số serial và ngày thu hồi trên đó có ghi rõ thời gian và ngày khi chứng chỉ bị CA thu hồi

b Authority Revocation List (ARLs)

ARL là một CRL đặc biệt chứa thông tin thu hồi về chứng chỉ CA ARLs không chứa chứng chỉ của người sử dụng cuối Những thay đổi thông thường trong ARL thường hiếm khi xảy ra bởi vì chứng chỉ của CA chỉ bị thu hồi khi khóa riêng của CA bị xâm hại và đó lại là trường hợp không thường xảy ra Nếu chứng chỉ chéo bị thu hồi thì người cấp chứng chỉ chéo này sẽ công bố một ARLmới để thông báo với tất cả các thực thể khác về tình huống này ARLs được sử dụng chủ yếu trong quá trình thẩm tra đường dẫn chứng chỉ nếu môi trường tin cậy bao gồm CA có chứng chỉ xác thực chéo