Thực hành: Một số giao dịch dùng chữ Ký điện tử




Tài liệu thực hành này trích trong chương trình đào t
ạo
bảo mật trực tuyến 2006
Khái niệm về chữ ký số (chữ ký điện tử):
Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung tương tự như ch
ữ ký viết
tay. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xu
ất phát từ thực tế, chữ kí
điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu n
ào
đó: văn bản, ảnh, video, và dữ liệu đó trong quá trình chuy
ển nhận có bị thay đổi hay
không.
Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các tài liệu
và
cũng là để thực hiện việc kiểm tra tài liệu có thực sự đư
ợc gửi bởi chủ thể cần giao dịch
hay không.
Chữ ký số dùng kỹ thuật m
ã hóa khóa công khai và khóa riêng (public key/private key
cryptography).
Bạn có thể cung cấp khóa công khai của bạn (public key) đến bất cứ người nào c
ần nó.
Nhưng khóa riêng (private key) th

ì chỉ có bạn là người nắm giữ.

Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa ri
êng. Mike đưa khóa
công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi mu
ốn chuyển
tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu n
ày dùng chính khóa riêng
của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa công khai c
ủa Mike,
để có thể kiểm tra tài liệu mà cô ấy nhận được, thực sự được gửi bởi Mike.

Ứng dụng thứ nhất: dùng chữ ký điện tử cho Email

Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức dùng ch
ũ
ký điện tử trong một giao dịch thông thường.
Trong mô ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3.
Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng đ
ể
gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-
mails và
kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike )
Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nh
ắc lại,
Mike chính là người gửi (sender) và Amanda sẽ là ngư
ời nhận mails (receiver). Trong ví
dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một nh
à
cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung c

ấp
dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho Mike v
à
Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên dùng e-
mail


tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương tr
ình Mail client
mặc định của mình.

Cài đặt một tài khoản email POP3

1. Mike sử dụng Outlook Express là chương trình mail client mặc định của mình.
Đăng
nhập vào Windows XP Computer của mình (Pro-1).
Mở Outlook Express từ menu chọn Tools, chọn Accounts.



2. Click vào Mail tab sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hư
ớng dẫn
Mike từng bước để điền name, email address và thông tin về tài kho
ản POP3. các thông
tin về tài khoản mail được cung cấp bởi ISAP hoặc nhà cung c
ấp dịch vụ Web (web
hosting).




Lưu
ý: Bạn cần cài đặt thêm một tài khoản POP3 thứ hai dành cho
Amanda theo cùng
cách thức trên để kiểm tra chữ ký điện tử của các tài liệu nhận được từ email của Mike.

Thuê một chứng chỉ số cá nhân (personal certificate) từ một nhà cung c
ấp chứng chỉ
số công cộng (public CA)

3. Bước kế tiếp, để có thể gửi mail với chũ ký điện tử, Mike cần liên hệ và thuê ch
ứng chỉ
số cá nhân từ một nhà cung cấp chứng chỉ số tin cậy (trusted public CA), chẳng hạn nh
ư


Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba (3rd party) đư
ợc đánh
giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến một ngư
ời nhận
không cùng trong tổ chức của bạn. Vì thông thư
ờng, trong một tổ chức, để đảm bảo an
toàn cho các giao dịch nội bộ dùng chữ ký điện tử, tổ chức đó thư
ờng sử dụng dịch vụ
cung cấp chứng chỉ số an toàn của riêng mình (ví dụ cài đặt và tri
ển khai dịch vụ cung
cấp chứng chỉ số Certificate Authority –
CA, trên Windows Server 2003) . Tuy nhiên nhà
cung cấp chứng chỉ số cục bộ này không thường đư
ợc sử dụng cho các giao dịch điện tử
với các giao dịch không cùng tổ chức của bạn.

Chính vì những lý do này, nên công ty Storks đã quy
ết định sử dụng chứng chỉ số của
nhà cung c
ấp Thawte (www.thawte.com), để trang bị cho Mike trong các giao dịch email
dùng chứng chỉ số cá nhân.
Và Mike có thể đăng ký cho mình một tài khoản Per
sonal Email Certificate hoàn toàn
miễn phí tại đây. Truy cập weblink sau và tiến hành đăng ký đ
ể nhận chứng chỉ số cá
nhân







Lưu
ý quan trọng:

Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn. Các thông
tin này là


cần thiết và sẽ được các hệ thống CA của Thawte xử lý trong tiến trình c
ấp pháp chứng
chỉ số cho bạn. Đảm bảo phải đọc tất cả các thông tin về việc cung cấp chứng chỉ số tr
ên
Website của Thawte và biết những việc gì cần thiết phải thực hiện trong suốt quá tr
ình

đăng ký.

Bạn cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi xác nhận cho chính m
ình.Sau khi
đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hư
ớng dẫn cụ thể cách
thức hoàn thành việc xin cấp chứng chỉ số.
Sau quy trình này, b
ạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của
Thawte đã được cấp cho bạn. Chỉ cần click vào các link trên Email này và tiến h
ành cài
đặt chứng chỉ số. Click Yes và OK khi thông báo Certificate Installation Complete xu
ất
hiện .





Xác nhận điện tử cho các emails

Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm ch
ữ ký
số và mã hóa các email gửi đi.



1. Mở Outlook Express dùng tài khoản email POP3 đầu tiên đã tạo ở trên. Chọn
Tools, chọn Options và chọn Security tab. Trên tab này, chúng ta sẽ có một tùy ch
ọn

encrypt and digitally sign your outgoing messages. Click Apply và OK.




2. Click vào Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên ph
ải.
Điều này có nghĩa là email mà bạn gửi đi sẽ được xác nhận với chữ ký số. điền vào To
:
người nhận địa chỉ email là Amanda (email POP3 thứ 2 bạn tạo)
Sau đó click Send.






3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận đư
ợc từ Mike. Bạn
sẽ thấy message mà Amanda nhận sẽ tương tự màn hình bên dưới. Click vào Continue
để xem thông điệp thực sự .



Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda bi
ết rằng
Mike đã tiến hành gửi mail này dùng chữ ký số. Click vào biểu tượng ruy băng Đỏ đ
ể
xem chữ ký số từ người gửi (sender). Kiểm tra và thấy rằng nội dung mail đã không b
ị

thay đổi và chữ ký số này là đáng tin c
ậy. Có thể xem thông tin về chứng chỉ số cá nhân
của sender bằng cách click View Certificate.






Mã hóa Emails

Mã hóa là một phương pháp b
ảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông
thường (plain text) thành dạng không thể đọc theo cách thông thường (unreadable t
ext)
nhằm đảm bảo sự cẩn mật (confidentiality), tính tích hợp (integrity) và tính ch
ất xác thực
(authenticity) của dữ liệu . Khi bạn mã hóa email, thì toàn bộ email sẽ được m
ã hóa bao
gồm phần thông điệp và các file đính kèm (attachments). Một chữ ký số sẽ đ
ảm bảo tính
chất xác thực (đúng là người gửi) và tính tích hợp (dữ liệu đã không bị thay đổi) nh
ưng
không đảm bảo được tính chất bí mật (confidentiality) vì nội dung mail đã không đư
ợc
mã hóa.

1. Mở Outlook Express dùng tài khoản mail POP3 thứ 2 tức của Amanda’. Chọn
Tools, chọn Options. Click vào Security tab. Đánh dấu vào hộp
Encrypt contents and

attachments for all outgoing messages. Click Apply và OK.






2. Click vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa lock ở góc tr
ên bên
phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào đ
ịa chỉ email
người nhận là tài khoản POP3 của Mike và click Send.



3. Quay trở lai tài khoản mail POP3 của Mike và mở email mà Amanda v
ừa gửi. khi bạn
mở email, bạn sẽ nhận được một thông điệp
An application is requesting access to a
protected item.






4. Click OK và sau đó chọn Continue để đọc nội dung email đã mã hóa.





5. Bạn có thể click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đ
ã
mã hóa . Amanda đã không xác nhận chữ ký số cho message này nên tại
Digital
Signature tất cả các dòng đều xác nhận không sử dụng n/a (not available).






Ứng dụng thứ hai: Dùng PGP để mã hóa files

PGP (Pretty Good Privacy) là phần mềm miễn phí cung cấp khả năng m
ã hóa PGP trong
gửi nhận email và truyền file hàng đầu hiện nay. Tuy nhiên n
ếu sử dụng cho mục đích
thương mại, bạn cần mua phiên bản thương mại của PGP bao gồm nhiều tính năng h
ơn so
với phiên bản miễn phí. Mục đích chính của PGP là mã hóa files nhằm đảm bảo an to
àn
khi được truyền qua Internet.

Với PGP Freeware chỉ được sử dụng giới hạn như sau:

• Được sử dụng mang tính chất cá nhân tại nhà, không liên quan đ
ến các hoạt động sinh
lợi nhuận (như tại môi trường của công ty)
• Sinh viên tại các trường, học viên phi lợi nhuận

• Các hội từ thiện, các viện, tổ chức phi lợi nhuận
Có thể download phiên bản miễn phí của PGP tại weblink sau:




Cài đặt PGP

1. Đăng nhập vào Windows XP có tên Pro-1 của bạn với quyền Administrator v
à
khởi động quy trình cài đặt PGP bằng cách click đúp vào File cài đ
ặt vừa


download. Click
Next
, đọc các thỏa thuận về License, click
Yes
. Màn hình
Read
Me xuất hiện, click Next sau khi đọc xong phần này. Chọn No, I’m a New User
,
vì bạn là người mới sử dụng, chưa từng tạo và sử dụng các khóa của PGP trư
ớc
đó (pre-existing keys).




2. Giữ nguyên các giá trị mặc định cho Destination Folder và click Next. Ch

ọn các
thành phần như hình minh họa, click Next. Click Next lần nữa và Finish đ
ể khởi
động lại máy.





3. Đăng nhập lại vào máy với tài khoản của Mike (hoặc nếu Mike chính l
à
Administrator , thì đăng nhập bình thường như lần trước).
PGP New User
Configuration Wizard xuất hiện hướng dẫn Mike các thao tác. Click Next đ
ể
tiếp tục. Chọn Yes sau đó click Next.






4. Kế tiếp chọn I am a New User. Create new keyring files for me. Click Next
,
sau đó Click Finish để hoàn thành.







5.

Bạn sẽ thấy xuất hiện hộp thoại
PGP License
. Nếu đang dùng phiên b
ản free ,
click Later, ngược lại nếu muốn mua license, click Authorize.




6. PGP Key Generation Wizard sẽ xuất hiện. Click Next tiếp tục. Điền vào họ tên đ
ầy
đủ của bạn, và địa chỉ email, sau đó click Next.
Trong ví dụ này là tên và địa chỉ email của Mike






7. Màn hình kế tiếp nhắc bạn điền vào passphrase, mục đích của passphrase là b
ảo vệ
việc truy cập vào khóa riêng (private key). Nên sử dụng một passphrase sao cho an to
àn
(không dễ dàng có thể đoán hoặc dò ra).
Điền một passphrase và xác nhận (confirm), sau đó click Next. Và chú ý rằng bạn l
à
Mike , private key được tạo dành cho bạn, và không bao giờ được quên passphrase c

ủa
mình.






8. Click Next sau đó, chọn Finish hoàn tất quá trình kích hoạt khóa.




Xuất khóa công khai (Public PGP Key)

Tại sao cần phải xuất (export) khóa công khai PGP. Câu trả lời đơn giản như sau. M
ục
tiêu của ví dụ này là làm sao Amanda có thể mã hóa một text file và sau đó g
ửi nó cho
Mike dưới dạng file đính kèm (attachment) qua email. Để làm được điều n
ày, Amanda
cần phải có khóa công khai (public key) của Mike.
Mike đã cài đặt và kích hoạt khóa PGP, và ti
ếp theo anh ấy sẽ xuất khóa công khai của
mình, và sau đó chuyển khóa này đến cho Amanda để cô ấy có thể mã hóa n
ội dung text
file và sau đó gửi trở lại cho Mike dưới dạng file đính kèm. Còn ngược lại trong trư
ờng
hợp Mike sẽ gửi các files mã hóa cho Amanda, thì chính Amanda ph
ải xuất các khóa

công khai và chuyển nó cho Mike, để giao dịch an toàn xảy ra.

1. click chuột phải vào PGP lock nằm ở khay hệ thống và click tiếp PGPkeys.






2. Click Keys và sau đó Export. Điền vào tên file và lưu lại vào bất kỳ nơi nào d
ễ nhớ ví
dụ: ổ C: hoặc đĩa mềm FDD 1.44”. Mike đã lưu file này vào đĩa mềm và chuy
ển đĩa
mềm này đến cho Amanda.
Và Amanda cũng sẽ làm tương tự.



Và chú ý trong ví dụ thực hành này, các thao tác tiến hành cài đặt và cấu h
ình PGP trên
máy của Amanda, cũng sẽ tương tự như các thao tác mà các bạn đang thực hiện tr
ên máy


Mike n
ếu Mike muốn gửi các dữ liệu an toàn qua email cho Amanda, và như v
ậy Amanda
sẽ dùng PGP kích hoạt khóa cho mình, sau đó xuất khóa công khai, lưu giữ vào đ
ĩa mềm
và chuyển khóa này cho Mike, Mike sẽ dùng khóa này đễ mã hóa d

ữ liệu , sau đó gửi dữ
liệu cho Amanda

Nhập khóa công khai PGP key

Một khi Amanda đã nhận được khóa công khai từ Miketrên đ
ĩa mềm, co ấy cần nhập
khóa này vào PGP software.

1. Click phải chuột vào PGP lock từ khay hệ thống và click PGPkeys. Click Keys
và
chọn Import.



2.Chọn khóa dưới tên file là Mike Bowers đã save vào đĩa mềm và click Open.





3. Select Mike Bowers và click Import. Thoát khỏi PGPkeys
window. Và chú ý:
theo hướng ngư
ợc lại Mike cũng cần nhập khóa công khai của Amanda gửi cho
mình.





Kiểm tra việc mã hóa file sẽ gửi dùng PGP encryption



1.

Tạo một text file trên desktop có tên Confidential. Click phải vào file và ch
ọn
PGP, chọn Encrypt & Sign.



2. Chọn người nhận là Mike Bowers (recipient) và click OK.






3. Điền vào passphrase của Amanda vào và click OK. Mục đích của việc này nh
ằm
xác nhận File đã được mã hóa để Mike có thể biết chắc chắn Amanda thực sự l
à
người gửi.




4. Khi File đã được mã hóa dùng PGP, biểu tượng file sẽ thay đổi như h
ình minh

họa. Và chỉ có những người sau đây có thể mở file này: Amanda (với
passphrase
của mình), Mike (với passphrase của anh ấy) và người nào đó đánh cắp đư
ợc


passphrase của Amanda hoặc Mike.




5. Amanda sau đó sẽ gửi file mã hóa này dưới dạng Attachment đính kèm em
ail cho
Mike.






6. Bấy giờ khi Mike tiến hành nhận mail và lưu file đính kèm trên Desktop.




7. Khi Mike click đúp vào file mã hóa, anh ấy cần đưa chính xác passphrase c
ủa


mình vào và click

OK
. Nếu passphrase đúng, file sẽ được giải mã.




8. Mike đã mở file và xem được nội dung bên trong





PGP – Wipe (tính năng xóa File vĩnh viễn của PGP)



Khi một File đã được hệ thống delete thường vẫn còn tồn tại trên đĩa cứng của bạn v
à có
thể dễ dàng được phục hồi chỉ với một phần mềm phục hồi dữ liệu và chút ít kỹ năn
g.
Điều này khá nguy hiểm, vì những dữ liệu này có thể bị khai thác. Thông tin đã b
ị xóa
vẫn hiện diện trên đĩa cứng và thường chỉ mất đi nếu bị các thông tin mới ghi đ
è lên
(overwritten) , ngay cả trong trường hợp này, với một số siêu công cụ phục hồi dữ li
ệu
vẫn có thể phục hồi. Và PGP đã cung c
ấp cho chúng ta một tính năng, xóa dữ liệu vĩnh
viễn là PGP’s Wipe , thông tin đã xác định xóa với PGP wipe, mãi mãi sẽ không có c
ơ

hội phục hồi. Sử dụng phương pháp ghi đè lên thông tin bị xóa một số các thông tin ng
ẫu
nhiên vào những thời điểm đã xác định.

1. Mike sẽ kiểm tra tính năng này trên computer của mình. Right click trên
Confidential
file và chọn PGP, chọn Wipe.




2. Chọn file được liệt kê và click Yes. File sẽ bị xóa vĩnh viễn.