Bảo mật website với SSL certificate luận văn tốt nghiệp đại học

Vai trò to lớn của việc ứng dụng công nghệ thôngtin đã và đang diễn ra sôi động, không chỉ thuần túy là quảng bá thông tin,hình ảnh mà còn được sử dụng trong thương mại điện tử, các giao

b ảo mật w eb s it e với s s l c ert if ic a t e

khóa luận TốT NGHIệP đại học

Giáo viên hớng dẫn: ThS nguyễn công nhật

Sinh viên thực hiện: Trần thị kiều

Lớp: 48B - CNTT

Vinh - 2011

LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành tới quý thầy, cô giáo khoa công nghệthông tin trường đại học vinh nói chung và thầy cô giáo trong tổ bộ môn mạngmáy tính và truyền thông nói riêng đã giúp đỡ và tạo điều kiện cho em trongsuốt quá trình làm khóa luận

Em xin chân thành cảm ơn thầy giáo Nguyễn Công Nhật đã giúp đỡ,chỉ bảo và hướng dẫn tận tình Trong quá trình làm khóa luận, tuy đã cốgắng hết sức nhưng cũng không thể tránh khỏi những thiếu sót Rất mongnhận được ý kiến giúp đỡ của các thầy, cô để khóa luận của em được hoànthiện hơn

Em xin cảm ơn!

Sinh viên thực hiện

Trần Thị Kiều

MỤC LỤC

LỜI MỞ ĐẦU 0

DANH MỤC TỪ VIẾT TẮT 4

CHƯƠNG I TỔNG QUAN VỀ SECURE SOCKET LAYER CERTIFICATE 5

I KHÁI NIỆM VỀ SECURE SOCKET LAYER CERTIFICATE 5

1.1.1 Khái niệm về Certificate (Chứng chỉ số): 5

1.1.2 Tại sao cần một chứng chỉ số ? 5

1.1.3 Cách thức hoạt động của Certificate 6

1.1.4 Certificate Authority (CA) là gì? 6

1.1.5 Khái niệm về Secure Socket Layer (SSL) 7

1.1.6 Lịch sử phát triển của giao thức SSL 7

1.1.7 Cấu trúc của giao thức SSL: 8

1.1.8 Tầm quan trọng của SSL Certificate: 9

1.1.9 SSL Certificate và ứng dụng thương mại điện tử 9

II CHỨC NĂNG, HOẠT ĐỘNG CỦA SSL CERTIFICATE 10

1.2.1 Chức năng của SSL Certificate 10

1.2.2 SSL Certificate chống lại những gì? 11

1.2.2.1 Chống lại việc Hacking: 11

1.2.2.1 Chống lại việc sữa đổi mã: 11

1.2.2.3 Từ chối các dịch vụ đính kèm: 11

1.2.2.4 Chống tấn công trực tiếp: 12

1.2.2.5 Chống nghe trộm: 12

1.2.2.6 Chống lại sự giả mạo: 12

1.2.2.7 Chống mạo danh 12

1.2.3 Cách thức làm việc của giao thức SSL Certificate 12

1.2.4 Phương pháp mã hóa dữ liệu của SSL 15

1.2.4.1 Mã hóa khóa bí mật: 15

1.2.4.2 Mã hóa khóa công khai: 15

1.2.5 Các thuật toán mã hóa và xác thực của SSL 16

CHƯƠNG II CÀI ĐẶT SSL CERTIFICATE TỪ VERISIGN.COM

18

I Các bước thực hiện: 18

II Chuẩn bị: 18

III Thực hiện: 18

2.1 Tạo file Request Certificate: 18

2.2 Xin SSL Certificate từ Verisign.com 24

2.3 Cấu hình Trusted Root Certificate Authority 29

2.4 Import SSL Certificate cho Web Server 34

2.5 Kiểm tra kết quả 40

CHƯƠNG III KẾT LUẬN 42

I ĐÁNH GIÁ KẾT QUẢ 42

3.1.1 Kết quả đạt được của giải pháp bảo mật Web với SSL Certificate .42

3.2.1 Những vấn đề chưa làm được 42

II HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 42

III LỜI KẾT 43

TÀI LIỆU THAM KHẢO 44 NHẬN XÉT CỦA GIÁO VIÊN

LỜI MỞ ĐẦU

Trong thực tế hiện nay, bảo mật thông tin đang đóng một vai trò thiếtyếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứngdụng công nghệ thông tin Vai trò to lớn của việc ứng dụng công nghệ thôngtin đã và đang diễn ra sôi động, không chỉ thuần túy là quảng bá thông tin,hình ảnh mà còn được sử dụng trong thương mại điện tử, các giao dịch trựctuyến …Vấn đề nảy sinh là khi phạm vi ứng dụng của các ứng dụng Internetngày càng được mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao,trở thành đối tượng cho nhiều người tấn công với nhiều mục đích khác nhau

Với những công cụ tự động tìm lỗ hổng cũng giúp ích rất nhiều cho cácnhà lập trình Web nhưng cũng không thể ngăn chặn toàn bộ vì công nghệWeb đang phát triển nhanh chóng (chủ yếu chú ý đến thẫm mỹ, tốc độ…) Nêndẫn đến nhiều khuyết điểm mới phát sinh Sự tấn công không nằm trongkhuôn khổ vài kỹ thuật đã được phát hiện mà linh động và tăng lên tùy vàonhững sai sót của nhà quản trị hệ thống cũng như những nhà lập trình ứngdụng

Giao tiếp HTTP được coi là tốt cho các máy chủ Web thông thường chỉchứa các trang thông tin thuần túy Nhưng với các trang thương mại điện tửhoặc các dịch vụ Web cần các giao dịch bảo mật, thì cần bảo mật giao tiếpgiữa máy chủ Web với máy khách hàng, cách thức phổ biến nhất là sử dụngSecure Socket Layer (SSL), cách thức dùng một mã khóa công khai để bảo vệcác thông tin bí mật của khách hàng (như số liệu thẻ tín dụng hoặc mật khẩutài khoản ngân hàng) khi truyền qua môi trường Web

Để biết thêm về vai trò và cách thức hoạt động của SSL, em đã chọn đề

tài “Bảo mật Website với Secure Socket Layer Certificate” làm đề tài khóa

luận tốt nghiệp của mình Qua đề tài sẽ cho chúng ta thấy được tầm quantrọng của việc bảo mật thông tin trên Internet Vai trò của SSL Certififcatetrong việc bảo mật Website

II Phương pháp nghiên cứu:

 Đọc kỹ và nắm bắt được các yêu cầu của khóa luận đề ra

 Đi sâu vào việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất

 Tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn

III Bố cục của khóa luận gồm 3 chương:

 Chương I: Tổng quan về SSL Certificate

 Chương II: Cài đặt SSL Certificate từ Verisign.com

 Chương III: Kết luận

DANH MỤC TỪ VIẾT TẮT

5 Hypertext Transfer Protocol HTTP

6 Hypertext Transfer Protocol Secure HTTPS

7 Internet Message Access Protocol IMAP

9 Network Interface Controller NIC

12 Private Communication Technology PCT

15 Digital Signature Algorithm DSA

CHƯƠNG I TỔNG QUAN VỀ SECURE SOCKET LAYER CERTIFICATE

I KHÁI NIỆM VỀ SECURE SOCKET LAYER CERTIFICATE 1.1.1 Khái niệm về Certificate (Chứng chỉ số):

Chứng chỉ số là một tệp tin điện tử, được sử dụng để nhận dạng một cánhân, một máy chủ, một công ty hoặc một vài đối tượng khác và gắn chỉ danhcủa đối tượng đó với một khóa công khai (public key) Chứng chỉ số đượcdùng để chứng thực chỉ danh của bạn hoặc xem xét quyền truy nhập hệ thống

và dịch vụ của bạn một cách trực tuyến

1.1.2 Tại sao cần một chứng chỉ số ?

Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là mộttrong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cảthế giới, nó mở ra các cơ hội kinh doanh mới như mua bán trực tuyến, dịch vụ

ký nhận thông tin trực tuyến hay các giao dịch của ngân hàng…Chính vì mộtkhả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máytính rất lớn

Đó là các nguy cơ bị tấn công của mạng máy tính, tấn công để lấy dữliệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tínhlớn, tấn công để thay đổi cơ sở dữ liệu Các nguy cơ bị tấn công ngày càngnhiều và ngày càng tinh vi hơn, nguy hiểm hơn Chính vì vậy, khi các doanhnghiệp, các công ty thực hiện công việc kinh doanh, trao đổi thông tin, ký kếthợp đồng thương mại trên Internet thì việc bảo đảm an toàn và bảo mật chocác thông tin đó là vấn đề quan trọng hàng đầu Điều này đã được các công tynhận thức một cách rõ ràng, an toàn và bảo mật trong trao đổi thông tin quamạng đã là một chính sách không thể thiếu của họ

Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra nhưdùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoảntruy xuất mạng đòi hỏi có mật khẩu…nhưng những giải pháp đó chỉ bảo vệmột phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính

đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệthống dữ liệu Giải pháp khác cho vấn đề này là dùng một chứng chỉ số, nó sẽđảm bảo an ninh hơn nhiều so với các phương pháp bảo mật khác Chứng chỉ

số chứng thực rằng Website giao dịch của bạn đã được bảo mật an toàn bởicác cơ quan an ninh mạng đáng tin cậy

Đối với mỗi công ty sử dụng chứng chỉ số thì được các nhà cung cấpchứng chỉ số thẩm định rõ ràng sự tồn tại của họ về cơ sở pháp lý, điều này sẽlàm tăng sự tin tưởng của khách hàng vào doanh nghiệp đó Và xa hơn nữa làcung cấp mức pháp lý cho khách hàng khi họ tham gia giao dịch với cácdoanh nghiệp đã được nhà cung cấp chứng chỉ chứng thực cho việc cấp chứngchỉ số.

1.1.3 Cách thức hoạt động của Certificate

Chứng chỉ số là sự kết hợp chỉ danh với một cặp khóa, cặp khóa nàydùng để xác thực sự giao dịch giữa máy chủ và máy khách, giúp cho việc mãhóa và giải mã thông tin sau này

Trong chứng chỉ số chứa một khóa gắn một tên duy nhất của một đốitượng (như tên của một nhân viên hay một server) Chứng chỉ số giúp ngănchặn việc sử dụng khóa công khai cho việc giả mạo Chỉ có khóa công khai đãđược chứng thực bởi chứng chỉ số mới được làm việc với khóa riêng (privatekey) tương ứng được sở hữu bởi đối tượng có chỉ danh đã được chứng thựcnằm trong chứng chỉ số

Ngoài khóa công khai một chứng chỉ số còn chứa thêm tên một đốitượng mà nó nhận diện, hạn dùng, tên của nhà cấp chứng chỉ số đó(Certificate Authority-viết tắt là CA), mã số thứ tự và những thông tin khác.Điều quan trọng nhất là một chứng chỉ số luôn chứa chữ ký số của CA đã cấpchứng chỉ số đó Nó cho phép chứng chỉ số như đã được đóng dấu để chongười sử dụng biết và tin cậy vào CA

Chứng chỉ số đảm bảo an toàn cho các giao dịch của các tổ chức doanhnghiệp, cá nhân thông qua mạng

1.1.4 Certificate Authority (CA) là gì?

Đây là một tổ chức tin cậy phát hành các chứng thực điện tử (electroniccertificate) cho các đối tác cần trao đổi thông tin, giao dịch với nhau thôngqua các phương tiện giao tiếp điện tử như: Internet, Smartcard, Securitycard…CA cung cấp và quản lý các electronic certificate cho các đối tác như:kiểm tra đối tác đăng kí (registration), cấp phát (issue), thu hồi certificate

CA được cấu trúc theo mô hình phân cấp X.500 và cho phép các phâncấp con có thể chứng thực cho các đối tác khác (intermediate) Các thông tintrong một certificate bao gồm public key của server, tên của đối tác đăng kí,

Algorithm ID được dùng để kí lên certificate, ngày hết hạn certificate, tên của

AUTHENTICATION: Bảo đảm được tính xác thực của đối tác đăng

ký, không ai có thể giả mạo được

1.1.5 Khái niệm về Secure Socket Layer (SSL)

SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữahai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mãhóa toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền

số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (mã Pin) trên Internet

Vậy SSL Certificate là gì?

SSL dùng một chứng nhận số được phát hành bởi nhà cung cấp chứngnhận (CA) hợp lệ để xác thực cho cả hai bên trong giao dịch (máy khách vàmáy chủ) Chứng chỉ số cung cấp và chứng thực cho các khóa public key vàprivate key để mã hóa và giải mã dữ liệu do SSL đã mã hóa, nhằm đảm bảotính bí mật, an toàn của thông tin

1.1.6 Lịch sử phát triển của giao thức SSL

Giao thức SSL được hình thành và phát triển đầu tiên vào năm 1994 bởinhóm nghiên cứu Netscape được dẫn dắt bởi Elgammal và ngày nay đã thànhchuẩn bảo mật thực hành trên internet

Cho đến bây giờ, có 3 phiên bản của SSL:

1 SSL 1.0: Được sử dụng nội bộ chỉ bởi Netscape Communications Nó

chứa một số khiếm khuyết nghiêm trọng và không bao giờ được tung ra bênngoài

2 SSL 2.0: Được kết nhập vào Netscape 1.0 đến 2.x Nó có một số

điểm yếu liên quan đến sự hiện thân cụ thể của cuộc tấn công của đối tượngtrung gian Trong một nỗ lực nhằm dùng sự không chắc chắn của công chúng

về bảo mật SSL, Microsoft đã giới thiệu giao thức PCT (Private

Communication Technology) cạnh tranh trong lần tung ra Internet Explorerđầu tiên của nó vào năm 1996

3 SSL 3.0: Netscape Communications đã phản ứng lại sự thách thức

PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đềtrong SSL 2.0 và thêm một số tính năng mới Vào thời điểm này Microsoftnhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên bản phần mềm dựavào TCP/IP của nó

Thông số kỹ thuật mới nhất của SSL 3.0 đã được tung ra chính thức vàotháng 3 năm 1996 Nó được thực thi trong tất cả các trình duyệt chính baogồm: Microsoft Explorer, Netscape Navigator 3.0

Phiên bản SSL 3.0 hiện nay vẫn đang được tiếp tục bổ sung và hoànthiện để đáp ứng mức độ bảo mật ngày càng cao của website

1.1.7 Cấu trúc của giao thức SSL:

Cấu trúc của giao thức SSL được mô tả như hình 1.1 dưới đây

Hình 1.1 Cấu trúc của giao thức SSL Theo hình này, SSL ám chỉ là một lớp bảo mật trung gian giữa lớp vậnchuyển (Transport Layer) và lớp ứng dụng (Application Layer) SSL được xếplớp lên trên một dịch vụ vận chuyển định hướng nối kết và đáng tin cậy Vềkhả năng nó có thể cung cấp các dịch vụ bảo mật cho các giao thức ứng dụngtùy ý dựa vào TCP chứ không phải HTTP

Thực tế, một ưu điểm chính của các giao thức bảo mật lớp vận chuyển

và giao thức SSL nói riêng là chúng độc lập với các ứng dụng Hình 1.1 minh

họa một số giao thức ứng dụng bao gồm: HTTP, FTP, Telnet, IMAP và POP3.Tất cả chúng có thể được bảo vệ bằng cách xếp chúng lên trên SSL

1.1.8 Tầm quan trọng của SSL Certificate:

SSL Certificate có vai trò quan trọng trong các giao dịch trực tuyếnnhư: đặt hàng, thanh toán, trao đổi thông tin….đặc biệt là trong các lĩnh vựcthương mại điện tử, sàn giao dịch vàng và chứng khoán, ngân hàng điện tử,chính phủ điện tử Khi được sử dụng, mọi dữ liệu trao đổi giữa người dùng vàWebsite được mã hóa (ở phía người gửi) và giải mã (phía người nhận) bởi cơchế SSL mạnh mẽ nhất hiện nay

Nếu Website không sử dụng SSL certificate, mọi dữ liệu sẽ được truyền

đi nguyên bản Khi đó, nguy cơ dữ liệu bị xâm nhập trong quá trình trao đổigiữa người gửi và người nhận sẽ rất cao Một hậu quả trước mắt là khách hàng

sẽ không tin tưởng, và dẫn đến không sử dụng dịch vụ của Website đó

Bởi vậy, để tạo niềm tin và đảm bảo quyền lợi cho khách hàng khi thamgia các giao dịch với công ty qua Website thì việc cung cấp một SSLCertificate cho Website là rất cần thiết

1.1.9 SSL Certificate và ứng dụng thương mại điện tử

Trong thực tiễn, sự hiểu biết của người sử dụng về cơ chế bảo mật trongcác giao dịch điện tử trên Internet là ít ỏi và mờ nhạt Tất cả phần lớn dựa vào

sự tin tưởng vào các hãng có uy tín (Verisign, Visacard…) và sản phẩm cótính năng tốt của các hãng nổi tiếng (Microsoft, Netscape…) Bảo mật và antoàn là vấn đề quan trọng trong việc quyết định sự phát triển mạnh mẽ thươngmại điện tử hoặc chính phủ điện tử và tạo niềm tin cho khách hàng và côngchúng

Việc triển khai các hệ thống ứng dụng sử dụng hạ tầng truyền thôngInternet đòi hỏi có độ bảo mật cao (đặc biệt trong ngân hàng, tài chính, quốcphòng…) cần phải được xây dựng dựa trên sơ đồ gồm các lớp bảo mật nhiềutầng độc lập nhằm hạn chế tối đa các “lỗ hổng” bảo mật của hệ thống giaothương điện tử Ngoài ra cũng cần lưu ý các sản phẩm về bảo mật ứng dụnghiện nay trên mạng máy tính phần lớn được phát minh từ Mỹ, được bảo hộ vàkiểm soát chặt chẽ bởi luật pháp Mỹ dẫn đến khi thực hành xây dựng và triểnkhai các hệ thống thông tin và giao dịch thương mại điện tử của chúng ta cầnthận trọng và cân nhắc

Hình 1.2 Mô hình ứng dụng SSL

II CHỨC NĂNG, HOẠT ĐỘNG CỦA SSL CERTIFICATE

1.2.1 Chức năng của SSL Certificate

SSL Certificate thực hiện các chức năng bảo mật sau:

- Xác thực Server: Cho phép người sử dụng xác thực được Server muốnkết nối Lúc này, phía Browser sử dụng các kỹ thuật mã hóa công khai để chắcchắn rằng certificate và public ID của Server là có giá trị và được cấp phát bởimột CA trong danh sách các CA đáng tin cậy của Client Điều này rất quantrọng đối với người dùng Ví dụ khi gửi mã số credit card qua mạng thì ngườidùng thực sự muốn kiểm tra liệu Server sẽ nhận thông tin này có đúng làServer mà họ định gửi đến không

- Xác thực Client: Cho phép phía Server xác thực được người sử dụngmuốn kết nối Phía Server cũng sử dụng các kỹ thuật mã hóa công khai đểkiểm tra xem certificate và public ID của Client có giá trị hay không và đượccấp phát bởi một CA có trong danh sách các CA đáng tin cậy của Server haykhông Điều này rất quan trọng đối với các nhà cung cấp Ví dụ như khi mộtngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàngthì họ rất muốn kiểm tra định danh người nhận

- Mã hóa kết nối: Tất cả các thông tin trao đổi giữa Client và Serverđược mã hóa trên đường truyền nhằm nâng cao khả năng bảo mật Điều nàyrất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư.Ngoài ra tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hóa

còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữliệu (đó là các thuật toán băm- hash algorithm).

1.2.2 SSL Certificate chống lại những gì?

SSL Certificate chống lại những sự tấn công từ bên ngoài

1.2.2.1 Chống lại việc Hacking:

Hacker là những người hiểu biết và sử dụng máy tính rất thành thạo và

là những người lập trình rất giỏi Khi phân tích và khám phá ra các lỗ hổng hệthống nào đó, sẽ tìm ra những cách thích hợp để truy cập và tấn công hệthống Có thể sử dụng các kỹ năng khác nhau để truy cập vào các Website màkhông được phép truy cập, nhằm mục đích lấy cắp thông tin, tạo thông tingiả…Nhiều công ty, doanh nghiệp, tổ chức thực hiện các giao dịch trênInternet đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker Và trênthực tế thì điều này đã diễn ra, một số hacker xâm nhập vào hệ thống của ngânhàng đánh cắp tài khoản, mật mã để chuyển tiền ra ngoài Chính vì vậy, để tìm

ra phương pháp bảo mật dữ liệu được trao đổi trên Internet thì SSL certificate

có thể làm được điều này SSL certificate chỉ cho phép các đối tượng đã đượcchứng thực bởi chứng chỉ số truy cập, trao đổi thông tin qua hệ thống

1.2.2.1 Chống lại việc sửa đổi mã:

Khả năng này xảy ra khi một kẻ tấn công sửa đổi hoặc thay thế tính xácthực của các đoạn mã bằng cách sử dụng virut và những chương trình có chủtâm Khi tải file từ Internet có thể dẫn tới download các đoạn mã có dã tâm,những file download có thể thực thi những quyền theo mục đích của ngườidùng trên một số trang Website

1.2.2.3 Từ chối các dịch vụ đính kèm:

Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công Lời đe dọatới tính liên tục của hệ thống mạng là kết quả của nhiều phương thức tấn cônggiống như làm tràn ngập thông tin hay là sửa đổi đường đi không được phép.Bởi thuật ngữ làm tràn ngập thông tin, là một người xâm nhập tạo ra một sốthông tin không xác thực để gia tăng lưu lượng trên mạng và làm giảm cácdịch vụ tới người dùng thực sự Hoặc một kẻ tấn công có thể ngấm ngầm pháhoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm này

sẽ tấn công hệ thống theo thời gian đã xác định trước

1.2.2.4 Chống tấn công trực tiếp:

Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp Thông quacác chương trình dò tìm mật khẩu với một số thông tin về người sử dụng nhưngày sinh, tuổi, địa chỉ…và kết hợp với sự trao đổi thông tin giữa người dùngvới máy chủ, kẻ tấn công có thể dò được mật khẩu Trong một số trường hợpkhả năng thành công có thể rất cao Ví dụ như chương trình dò tìm mật khẩuchạy trên hệ điều hành Unix có tên là Crack.

Cách thứ hai: tấn công trực tiếp khi đang có sự giao dịch giữa máyServer và Client để đánh cắp toàn bộ thông tin giao dịch

1.2.2.5 Chống nghe trộm:

Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thôngqua các chương trình cho phép đưa giao tiếp qua mạng (NIC) vào chế độ nhậntoàn bộ thông tin lưu truyền qua mạng SSL certificate có thể mã hóa thôngtin giao tiếp để tránh bị nghe trộm

1.2.2.6 Chống lại sự giả mạo:

SSL Certificate cho phép người nhận có thể kiểm tra thông tin có bịthay đổi hay không Bất kì một sự thay đổi hay thay thế nội dung của thôngđiệp gốc đều sẽ bị phát hiện

1.2.2.7 Chống mạo danh

SSL Certificate có thể xác lập quyền hạn cho từng cá nhân cụ thể vàquản lý họ theo chỉ danh Người ngoài không thể giả mạo tên truy cập để xâmnhập vào hệ thống Đồng thời nó cũng xác thực việc thông tin được gửi từngười dùng nào

1.2.3 Cách thức làm việc của giao thức SSL

Điểm cơ bản của SSL là được thiết kế độc lập với tầng ứng dụng đểđảm bảo tính bí mật, sự an toàn và chống giả mạo luồng thông tin qua Internetgiữa hai ứng dụng bất kì, do đó được sử dụng rộng rãi trong nhiều ứng dụngkhác nhau trong môi trường Internet Toàn bộ cơ chế hoạt động và hệ thốngthuật toán mã hóa sử dụng trong SSL được phổ biến công khai, trừ khóa chia

sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫunhiên và bí mật đối với người quan sát trên mạng máy tính Ngoài ra, giaothức SSL đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớpthứ 3 (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mãcông khai (ví dụ RSA)

Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay”(handshake protocol) và giao thức “bản ghi” (record protocol)

Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng cónhu cầu trao đổi thông tin hoặc dữ liệu Còn giao thức bản ghi xác định khuôndạng cho việc tiến hành mã hóa và truyền tin hai chiều giữa hai đối tượng đó

Khi trình duyệt khách khởi tạo một kết nối bảo mật, quá trình bắt taySSL diễn ra Trình duyệt kiểm tra chứng nhận số để xác thực định danh củamáy chủ, sự xác thực của nhà cung cấp chứng nhận và xác nhận chứng nhận

đó chưa hết hạn Sau đó máy khách và máy chủ thỏa thuận các thuật toán mãhóa và các khóa được sử dụng

Sau khi kiểm tra chứng chỉ điện tử của máy chủ, ứng dụng máy trạm sửdụng các thông tin trong chứng chỉ điện tử để mã hóa thông điệp gửi lại máychủ mà chỉ có máy chủ đó mới có thể giải mã được Trên cơ sở đó, hai ứngdụng trao đổi khóa chính (master key)- khóa bí mật hay khóa đối xứng – đểlàm cơ sở cho việc mã hóa luồng thông tin/dữ liệu qua lại giữa hai ứng dụngchủ khách

Ứng dụng công nghệ xác thực máy chủ SSL trong các giao dịch thươngmại trực tuyến được diễn ra theo các bước sau:

(1) Một khách hàng làm quen với Website và truy nhập một địa chỉURL an toàn, được đảm bảo bằng mã số máy chủ Điều này có thể là một mẫuđơn đặt hàng trực tuyến thu thập những thông tin cá nhân từ khách hàng nhưđịa chỉ, số điện thoại, số thẻ tín dụng hoặc các thông tin thanh toán khác

(2) Trình duyệt của khách hàng tự động truyền cho máy chủ số phiênbản SSL của trình duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫunhiên và những thông tin khác mà máy chủ đó cần để giao tiếp với kháchhàng sử dụng SSL

(3) Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụngxác nhận số Website cùng với số phiên bản SSL của máy chủ, các thiết lậpmật mã

(4) Trình duyệt của người sử dụng xem xét các thông tin chứa trong xácnhận máy chủ đó và xác nhận rằng: Chứng nhận của máy chủ đó có giá trị vàcòn trong thời hạn sử dụng Cơ quan chức năng xác thực CA cho máy chủ này

có quyền được ký và là một cơ quan xác thực tin cậy, xác thực của cơ quan

này được liệt kê sẵn trong trình duyệt đang sử dụng, xác nhận tính hợp lệ củachữ ký điện tử của người cung cấp Tên miền được chỉ định bằng xác thựcmáy chủ khớp với tên miền thực của máy chủ đó.

Nếu máy chủ này không được xác thực, người sử dụng sẽ được cảnhbáo rằng một kết nối được mã hóa, được xác thực có thể không thiết lập được

(5) Nếu máy chủ đó được xác thực thành công, trình duyệt web củakhách hàng này sẽ tạo ra một khóa phiên (session key) duy nhất để mã hóa tất

cả các giao tiếp với Website đó bằng việc sử dụng mã hóa không đối xứng

(6) Trình duyệt của người sử dụng tự mã hóa khóa phiên đó bằng khóacông cộng (public key) của site sao cho chỉ có site đó mới có thể đọc đượckhóa phiên đó, rồi gửi nó tới máy chủ

(7) Máy chủ giải mã cho khóa phiên đó bằng việc sử dụng khóa cá nhân(private key) của chính nó

(8) Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủbiết rằng các thông điệp tiếp sau đó từ khách hàng sẽ được mã hóa bằng khóaphiên đó

(9) Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với kháchhàng rằng các thông điệp tiếp sau đó từ máy chủ sẽ được mã hóa bằng khóaphiên đó

(10) Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập Máychủ SSL sau đó sử dụng mã hóa đối xứng để mã hóa và giải mã thông điệpbên trong phiên giao dịch an toàn SSL này

(11) Một khi phiên giao dịch kết thúc, khóa phiên sẽ được vô hiệu hóa.Tất cả quá trình trên diễn ra tự động trong vài giây, chính vì thế mà giaothức xác thực máy chủ SSL giúp cho các giao dịch điện tử này thực hiện trựctuyến an toàn; đồng thời nó cũng không gây ra bất cứ phiền toái nào chongười sử dụng, tạo điều kiện cho việc mở rộng các ứng dụng thương mại điệntử

Toàn bộ cấp độ bảo mật và an toàn của dữ liệu phụ thuộc một số tham

số sau:

- Số nhận dạng theo phiên làm việc ngẫu nhiên

- Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL

- Độ dài khóa chính (length key) sử dụng cho lược đồ mã hóa thông tin

1.2.4 Phương pháp mã hóa dữ liệu của SSL

Mã hóa dữ liệu là sử dụng một phương pháp biến đổi dữ liệu từ dạngbình thường sang một dạng khác, mà một người không có thẩm quyền, không

có phương tiện giải mã thì không thể đọc hiểu được Giải mã dữ liệu là quátrình ngược lại, là sử dụng một phương pháp biến đổi dữ liệu đã được mã hóa

về dạng thông tin ban đầu

Hình 1.3 Quy trình mã hóa dữ liệu

1.2.4.1 Mã hóa khóa bí mật:

Phương pháp mã hóa khóa bí mật (secret key cryptography) còn đượcgọi là mã hóa đối xứng (symmetric cryptography) Với phương pháp này,người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã dữliệu Trước khi mã hóa dữ liệu để truyền đi trên mạng hai bên gửi và nhậnphải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã Cónhiều thuật toán ứng dụng cho mã hóa khóa bí mật như: DES, RC2 và RC4

Nhược điểm chính của phương pháp này là khóa được truyền trên môitrường mạng nên tính bảo mật không cao

Ưu điểm: Tốc độ mã hóa và giải mã rất nhanh

1.2.4.2 Mã hóa khóa công khai:

Phương pháp mã hóa khóa công khai (public key cryptography) đã giảiquyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóapublic key và private key Public key được gửi công khai trên mạng trong khi

đó private key được giữ kín Public key và private key có vai trò trái ngượcnhau, public key dùng để mã hóa còn private dùng để giải mã

Phương pháp này còn được gọi là mã hóa bất đối xứng, vì nó sử dụnghai khóa khác nhau để mã hóa và giải mã dữ liệu Phương pháp này sử dụngthuật toán RSA (tên của 3 nhà phát minh: Ron Rivest, Adi Samir và LeonardAdleman) và thuật toán DH (Diffie- Hellman)

Giả sử B muốn gửi cho A thông điệp bí mật sử dụng phương pháp mãhóa khóa công khai Ban đầu, A có cả public key và private key, A sẽ giữprivate key ở nơi an toàn và gửi public key cho B B mã hóa và gửi cho Athông điệp đã được mã hóa bằng public key nhận được của A Sau đó A sẽgiải mã thông điệp bằng private key của mình Ngược lại A muốn gửi thôngđiệp cho B thì A phải mã hóa thông điệp bằng public key của B.

Ưu điểm của phương pháp này là cho phép trao đổi khóa một cách dễdàng và tiện lợi, thông tin được bảo mật cao hơn

Nhược điểm: Tốc độ mã hóa khá chậm

1.2.5 Các thuật toán mã hóa và xác thực của SSL

(5) RC2, RC4- Mã hóa Rivest, phát triển bởi công ty RSA

(6) RSA- Thuật toán khóa công khai, cho mã hóa và xác thực, phát triểnbởi Rivest, Shamir và Adleman

(7) RSA exchange key- Thuật toán trao đổi khóa cho SSL dựa trênthuật toán RSA

(8)SKIPJACK- Thuật toán khóa đối xứng phân loại

Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảomật trên hiện nay là phổ biến rộng rãi và công khai trừ các giải pháp thực hiệntrong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng, phầnmềm)

Hiện nay, khi public một website lên internet để áp dụng cơ chế mã hóaSSL chúng ta phải thuê SSL Certificate cho Website từ các tổ chức cung cấpDigital Certificate như: Verisign, Cyber Trust, End Trust…Trong đó,

Verisign® là thương hiệu nổi tiếng nhất thế giới hiện nay trong lĩnh vực cung

cấp chứng chỉ số Một website có gắn biểu tượng "VeriSign Secured Seal" sẽgia tăng mức độ tin cậy từ phía khách hàng lên rất nhiều.

Sau đây chúng ta sẽ tìm hiểu các cài đặt SSL Certificate củaVerisign.com

CHƯƠNG II CÀI ĐẶT SSL CERTIFICATE TỪ VERISIGN.COM

I Các bước thực hiện:

1 Tạo file Request Certificate

2 Xin SSL Certificate từ Verisign.com

3 Cấu hình Trusted Root Certification Authority

4 Import SSL Certificate cho Web Server

5 Kiểm tra kết quả

II Chuẩn bị:

- Máy cài hệ điều hành Windows Server 2003

- Cài đặt dịch vụ Internet Information Services (IIS)

III Thực hiện:

2.1 Tạo file Request Certificate:

- Từ menu Program/ Administrative Tool, mở Internet InformationServices/ Web site/ chuột phải Default Web Site, chọn Properties

- Hộp thoại Default Web Site, qua tab Directory Security, chọn ServerCertificate Nó sẽ khởi tạo Web Server Certificate Wizard

- Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next:

- Trên trang Certificate Wizard, bạn sẽ thấy các tùy chọn sau: Tạo mộtchứng nhận mới, Gán một chứng nhận có sẵn, Nhập một chứng nhận từ tệp tinsao lưu Key manager, Nhập một chứng nhận từ một tệp tin pfx hoặc Sao chéphay di chuyển một chứng nhận từ một máy chủ từ xa tới Website này

Ở đây ta sẽ chọn mục tạo một chứng nhận mới, rồi nhấn Next

- Trong hộp thoại Delayed or Immediate Request chọn Prepare therequest now, but send it later

- Hộp thoại Name and Security Settings, bạn đặt tên cho chứng nhậnmới, chọn Next

- Hộp thoại Organization Information, nhập thông tin như hình dưới

- Trong hộp thoại Your Site’s Common Name, nhập www.athena.bizvào ô Common name, chọn Next