1
An toàn dữ liệu2007
An toàn dữ liệu
Trương Thị Thu Hiền
Bộ môn Các hệ thống thông tin –
trường Đạihọc Công nghệ - ĐHQGHN
2
An toàn dữ liệu2007
Bài giảng Tuần8
•Chứng chỉ số
•Hạ tầng mật mã khóa công khai
• Ứng dụng của chứng chỉ số
3
An toàn dữ liệu2007
Chứng chỉ số (Digital Certificate)
A
B
C
D
E
F
• Xác thực thực thể
–Người dùng – Người dùng, Người dùng –
Máy tính, Máy tính – Máy tính
• Xác thực thông tin trao đổi bởi thực thể
–Văn bản, Thông điệp, Thư điện tử
4
An toàn dữ liệu2007
Các phương pháp xác thực
•Mật khẩu
–Khónhớ, dễ bị tấn công
•Sơ đồ định danh
–Giao thức phức tạp, yêu cầu nhiều giao tiếp hỏi đáp
–Chỉ dùng được cho xác thực thực thể
•Chứng chỉ số/ chữ ký điện tử
–Chứng chỉ số lưu trên các thiết bị như smart card, e-token
•Cần hạ tầng khóa công khai
•Nhận dạng sinh học
–Dấu vân tay, mẫu giọng nói, chữ ký tay
•Phức tạp, cần sự hỗ trợ của các thiết bị hiện đại
5
An toàn dữ liệu2007
Ví dụ về chứng chỉ trong thực tế
•Chứng minh thư, bằng lái xe, hộ chiếu, thẻ thanh
toán.
• Các thông tin:
–Cóchữ ký, con dấu
– Được một tổ chức có thẩm quyền cấp
–Gồm các thông tin định danh
•Tên
•Số thẻ
•Quyền hạn
6
An toàn dữ liệu2007
Tại sao chúng ta tin “chứng chỉ”
•Trong thế giới thực, chúng ta tin chứng chỉ vì nó
có đặc điểm:
– Khó làm giả
–Chữ ký của cơ quan phát hành là đáng tin
•Trong thế giới số, chúng ta cũng đòi hỏi chứng
chỉ số phải có các tính chất tương tự:
– Khó làm giả chứng chỉ số (tức là khó giả mạo chữ ký
số)
–Cơ quan phát hành chứng chỉ số là đáng tin cậy. Cơ
quan này gọi là CA (Certification Authority)
7
An toàn dữ liệu2007
Định dạng chứng chỉ số
• CA là nhà cấp chứng chỉ là thành viên trung gian phát hành chứng chỉ
số và quản lý hoạt động của chứng chỉ số.
– Khóa công khai của thực thể
– Định danh thực thể
– Thông tin về CA
–Thời gian hiệu lực
–Số Serial
–Chữ ký củaCA
Public key
Public key
Subject:
Subject:
C=CH, O=CERN,
C=CH, O=CERN,
OU=GRID, CN=Andrea Sciaba
OU=GRID, CN=Andrea Sciaba
8968
8968
Issuer: C=CH, O=CERN,
Issuer: C=CH, O=CERN,
OU=GRID, CN=CERN CA
OU=GRID, CN=CERN CA
Expiration date:
Expiration date:
Aug 26 08:08:14
Aug 26 08:08:14
2005 GMT
2005 GMT
Serial number: 625 (0x271)
Serial number: 625 (0x271)
CA Digital signature
CA Digital signature
Cấu trúc chứng chỉ X.509
8
An toàn dữ liệu2007
Cấu trúc tên (DN - Distinguished Names)
• Tên là duy nhất cho một chứng chỉ số trong phạm
vi phát hành của CA
• Thông thường, tên của chứng chỉ CA gồm:
– C=CA Country, O=CA Name, OU=Kiểu chứng chỉ số,
CN=Tên thông thường, E=Địa chỉEmail
• Tên của chủ thể gồm: C=country, O=tổ chức,
OU=đơn vị, CN=tên thông thường,E=email
9
An toàn dữ liệu2007
Chuẩn X.509
• X.509 quy định các thông tin chuẩn được lưu trên
chứng chỉ. Phiên bản mới nhất của X.509 là
X.509v3
• PKIX – Tổ chức thuộc IETF đưa ra các quy định
và khuyến cáo trong việc sử dụng chứng chỉ
X.509
• ASN.1: cú pháp mô tả khuôn dạng chứng chỉ số
• DER: quy tắc mã hóa lưu chứng chỉởdạng nhị
phân
10
An toàn dữ liệu2007
Kiểm tra tính hợp lệ của chứng chỉ
•Dựa vào chứng chỉ của CA, dùng khóa
công khai trên chứng chỉ của CA để kiểm
tra chữ ký của CA trên chứng chỉ của
thực thể.
• Trong trường hợp, các CA phân cấp nhau,
chúng ra phải xuất phát từ chứng chỉ thực
thể rồi kiểm tra các chứng chỉ mức trên,
đến khi gặp chứng chỉ gốc thì kết thúc.
• Issuer trong chứng chỉ con phải trùng với
Subject trong chứng chỉ cha
•Nếu chứng chỉ gốc được tin cậy thì
chứng chỉ thực thể cũng được tin cậy.
11
An toàn dữ liệu2007
Các chứng chỉ gốc được tin cậy
12
An toàn dữ liệu2007
Mô hình CA thứ bậc
13
An toàn dữ liệu2007
Đường dẫn chứng chỉ
• Alice tin chứng chỉ của Bob nếu đường dẫn
chứng chỉ đó đến RootCA là tin cậy.
CA EE
Root
CA
CA
EE
Root CA
CA
Root CA
Root CA
14
An toàn dữ liệu2007
Mô hình CA cầu
CA2
CA1
EE1
Root
CA1
EE2
EE3
Root
CA2
Bridge
CA
15
An toàn dữ liệu2007
Quản lý chứng chỉ -cấp mới
Lưu bí mật
khóa riêng
trên đĩa
Yêucầu cấp
chứng chỉ
ID
Cert
Sinh cặp khóa
công khai/ bí mật.
Thông tin định danh
Kiểm tra các thông tin
16
An toàn dữ liệu2007
Quản lý chứng chỉ -thu hồi
•Trong thời gian chứng chỉ vẫn còn hiệu lực
nhưng:
– Khóa bí mật bị lộ
–Chứng chỉ bị dùng sai mục đích
THU HỒI
•Các chứng chỉ bị thu hồi chứa trong danh sách
CRL (Certificate Revocation List)
•Khi sử dụng chứng chỉ cần kiểm tra xem nó có
trong CRL hay không, nếu có không nên tin dùng.
17
An toàn dữ liệu2007
Ứng dụng chứng chỉ số
• Các giao thức xác thực: SSL, TLS
• Xác minh Chữ ký điện tử
•Mỗi chứng chỉ dùng theo các quy định riêng của
nhà phát hành chứng chỉ
• Là thành phần quan trọng xây dựng hạ tầng mật
mã khóa công khai: hạ tầng cho phép đảm bảo
vấn đề an toàn thông tin, bao gồm: công cụ mã
hóa, ký số, hệ thống cấp phát chứng chỉ số, luật
giao dịch điện tử.
18
An toàn dữ liệu2007
Câu hỏi?
☺ ☺ ☺