Tải bản đầy đủ (.pdf) (144 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Xây dựng hệ thống chứng chỉ số và ứng dụng chữ ký số trong thư điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (68.47 MB, 144 trang )

Đ Ạ I H Ọ C Q U Ố C G I A H Ả N Ộ I
K H O A C Ô N G N G H Ệ

NGUYỀN MẠNH HÙNG
X Â Y D Ư N G H Ê T H Ố N G C H Ứ N G C H Ỉ S Ó V À
• •
Ứ N G D Ụ N G C H Ữ K Ý S Ố T R O N G T H Ư Đ I Ệ N T Ử
Chuyên ngành : Công nghệ thông tin
Mã số : 01.01.10
LUẬN VĂN THẠC sĩ
NGƯỜI HƯỚNG DẢN KHOA HỌC: TS ĐỎ TRUNG TUÂN
ĐẠI HOC. QUỐC GIA HÀ NÔI
TRuNGTÂM THÔNG TIN .THư VIỆN
No \ L L Q J 1 M
HÀ NỘI - 2003
MỤC LỤC
I . B ả o m ậ t I n t e r n e t , m ậ t m ã v à a n to à n t h ô n g t i n

6
1.1 Bảo mật Internet 6
a. Hiểm hoạ về an ninh mạng 6
b. Hiểm hoạ đe doạ dịch vụ 7
1.2 Mật mã và An toàn thông t in
8
1.2.1 Các hệ mật mã cổ điển 9
a. Mã dịch chuyển (Shift Cipher) 10
b. Mã thay thế (Substitation) 10
c. M ãApphin 11
d. Mã Vigenere 11
e. Mã H ill 12
f. Mã hoán v ị 12


g. Mã dòng (Stream ciphers) 12
1.2.2 Hệ mật mã chuẩn DES (Data Encryption Standard) 13
1.2.3 Các hệ mật mã khoá công kh ai 15
a. Hệ mật mã RSA và Ranbin 16
b. Hệ mật mã ElGamal và các hệ tương tự 17
c. Các hệ mật mã dựa trên bài toán NP đầy đủ 18
Nhận xét 21
I I . C h ứ n g c h i s ô v à C á c v ấ n đ ê liê n q u a n 22
II. 1 Chứng chỉ số 22
a. Giới thiệu Chứng chỉ s ố 22
b. Hoạt động của chứng chỉ s ổ 22
c. Các loại chứng c h i 23
Lòi mỏ’ đ ầ u 4
2
11.2 Các vấn đề liên quan đến Chứng chỉ s ố 25
a. Cơ sở hạ tầng chìa khoá công cộng (Public Key Infrastructure)

25
b. Chữ ký số 30
c. Sự khác nhau giữa cặp chìa khoá mã hoá và chìa khoá ký 33
d. Khuôn dạng của chứng chỉ
34
e. Xác nhận Chứng chi (Certification Authority - CA ) 35
f. Tổ chức đãng ký (Registration Authority - R A ) 36
I I I . G iớ i t h i ệ u h ệ t h ô n g t h ư đ iệ n t ử v à S /M I M E 39
III. 1 Giói thiệu về hệ thống M ail 39
a. Hệ thống Máy chủ thư điện từ 39
b. Hệ thống Webmail 41
111.2 Giới thiệu về S/M IM E 43
a. Tổng quan về S/MIME 43

b. Khuôn dạng của S/M IM E 45
c. Cơ chế làm việc của S/M IME 49
d. ứng dụng của S/MIME 54
IV . X â y d ự n g h ệ t h ố n g c h ứ n g c h ỉ s ô v à ứ n g d ụ n g x â y d ự n g
d ịc h v ụ S /W e b m a il 56
IV .l Cơ chế hoạt động của hệ thống chứng chỉ số 56
a. Cơ chế hoạt động của chứng chi cá nhân 56
b. Cơ chế hoạt động của chứng chỉ máy c h ủ 56
c. Cơ chế xác nhận chứng c h ỉ 57
d. Cơ chế xác nhận đảm báo 58
IV.2 Hệ thống chứng chỉ số 63
IV.2.1 Khối chức năng của nhà cung cấp chứng chi 64
IV.2.2 Khối chức năng xác nhận đăng ký chứng chỉ (RAServer) 69
IV.2.3 Khối chức năng dành cho người sử dụng giao tiếp với R A

72
IV.3 ứ n g dụng chứng chỉ số vào xây dựng dịch vụ SAVebmaiI

74
3
IV.3.1 Các chức năng chính của dịch vụ S/Webmail
74
IV.3.2 Lợi ích khi áp dụng hệ thống chứng chi sổ vào hệ thống m ail

80
K ế t lu ậ n 82
v .l Những kết quả chính đã đạt được 82
V.2 Những hạn chế của hệ th ống 83
V.3 Tương iai của hệ thống 84
T à i liệ u t h a m k h ả o 85

Phụ Lục A: Đặc tả thông điệp S/MIME phiên bản 2
86
Phụ Lục B: Các phần mềm và các công cụ sử dụng đế phát triển hệ thống

111
Phụ Lục C: Một số thủ tục, hình ảnh minh hoạ hệ thống 112
c .l Tạo cặp khoá cho người sử dụng và ruáy chủ 112
C.2 Tạo lời yêu cầu ký chứng chỉ (CSR) 112
C.3 Hình ảnh minh hoạ về hệ thống 113
Phụ Lục D: Tham khảo thêm
141
Thương mại điện tử 141
Nội dung của một chứng chỉ 141
Khuôn dạng một chứng chi điển hình 142
4
Sự phát triển mạnh mẽ của Công nghệ thông tin và sự giao lưu thông tin ngày càng
phồ biến trên các mạng truyền thông máy tính đã và đang làm thay đôi cách thức tiếp
cận và xử lý thông tin cúa mọi cá nhân và tổ chức trên thế giới. Ngày càng có nhiều
doanh nghiệp, tổ chức và cá nhân sử dụng hệ thống thông tin điện tử dựa trên các hệ
thống máy tính; các tài nguyên thông tin của doanh nghiệp, các giao dịch khách hàng
đều được luân chuyền trên hệ thống thông tin này. Lợi ích của thông tin điện tử thì đã
rõ, bên cạnh đó cũng có không ít các hiểm hoạ luôn luôn đe doạ hệ thống mạng, hệ
thống máy tính của các tổ chức doanh nghiệp và đe doạ cả các giao dịch giữa khách
hàng với các nhà cung cấp.
Thời đại chúng ta đang sống là thời đại của thông tin. Ai nắm được thông tin, người
dó sẽ thành công. Do đó, bí mật thông tin đã trở thành một yêu cầu chung và hết sức
quan trọng của mọi hoạt động kinh tế, xã hội và giao tiếp của con người hàng ngày,
hàng giờ trên khấp thế giới. Việc nghiên cứu, xây dựng một hệ thống bảo mật cho các
mạng máy tính nhàm cung cấp dịch vụ an toàn, bào mật dựa trên các công nghệ chuẩn
về lý thuyết mật mã và các công nghệ liên quan đảm bao cho chúng ta làm chù được

các công nghệ chuấn này và áp dụng chúng một cách linh hoạt vào những hệ thống
mạng truyền thông máy tính theo những tính chất và đặc thù riêng.
Chứng chí số là một bước tiến quan trọng của hệ thống bảo mật, áp dụng phương
pháp mã hoá chìa khoá công cộng hiện đại. đam bảo tính an toàn cao cho thông tin
trong quá trình truyền đi trên mạng. Hiện nay, trên thế giới đã có nhiều quốc gia triển
khai hệ thống chữ ký số (chừ ký điện tử) trong các hoạt động kinh tế, xã hội của quốc
gia mình, đây là một trong những ứng dụng tiêu biểu, hiệu quả, tin cậy cao của hệ
thống Chứng chỉ số đổi với xã hội, ngoài ra còn có một số ứng dụng khác trên nó như:
báo mật thư điện tử, giao dịch điện tử, chính phú điện tử,
Tại Việt Nam hiện đã có nhiều doanh nghiệp, tổ chức quan tâm và có nhu cầu sử
dụng, ứng dụng hệ thống chứng chỉ số vào các hoạt động cùa mạng truyền thông máy
tính. Một số lĩnh vực đặc biệt như Ngân hàng. An ninh đã triển khai các ứng dụng
bước đầu trên hệ thống chứng chi sổ đang trong giai đoạn thử nghiệm.
Lời mở đầu
5
Xuất phát từ nhu cầu thực tiễn và các kiến thức về những công nghệ chuân đã thu
thập, tôi đề xuất hướng “Xây dựng hệ thống chứng chi số và ứng dụng chừ ký số
trong thư điện tử”. Từ đó tạo tiền đề cho phép phát triển một loạt các ứng dụng trong
tương lai trên nền tảng của hệ thống chứng chỉ số, nhàm hướng tới xây dựng một hệ
thống chứng chì số có khả năng ứng dụng trong nhiều lĩnh vực kinh tế, xã hội của đất
nước.
Trong cuốn khoá luận tốt nghiệp này, tôi sẽ trình bày các cơ sở lý thuyết của Mật mã
hiện đại. cơ sở lý thuyết về chứng chỉ số và thư bảo mật S/MIME, từ những cơ sở lý
thuyết trên triển khai và xây dụng: Hệ thống cấp phát chứng chỉ số SoftCA, hệ thống
thư tín điện tử bảo mật S/Webmail qua các phần cụ thể sau:
Lời giói tlíiệu
Phần I Báo mật Internet và mật mã an toàn thông tin
Phần II Chứng chi số và các vấn đề liên quan
Phần III Giới thiệu hệ thống thư điện tử và S/MIME
Phần IV Xây dựng hệ thống chứng chỉ số và ứng dụng xây dựng dịch vụ

S/Webmail
Kết luận
Tài liệu tham khảo
Phụ lục A Đặc tả thông điệp S/MIME. phiên bán 2
Phụ lục B Các phần mềm và các công cụ sử dụng để phát trien hệ thống
Phụ lục c Một sổ thu tục và hình ánh minh hoạ hệ thống
Phụ lục D Tham khảo thêm
Tuy nhiên, do còn nhiều hạn chế về thời gian và cũng như kiến thức kiến thức của bản
thân, bán luận văn này không thể tránh khỏi thiếu sót. Tôi rất mong nhận được sự
quan tâm góp ý của các Thày Cô giáo cũng như các Anh chị, các Bạn đồng nghiệp và
những người có quan tâm đến lĩnh vực này.
Hà nội, tháng 4 năm 2003
Học viên
NGUYỄN MẠNH HÙNG
6
I . B ả o m ậ t I n t e r n e t, m ậ t m ã v à a n to à n t h ô n g tin
1.1 Bảo mật Internet
a. Hiểm hoạ về an ninh mạng
Chúng ta xem xét các khía cạnh an ninh của các mạng dựa trên công nghệ Internet, sử
dụng bộ giao thức TCP/IP:
❖ TCP/IP không có cơ chế xác thực đối với mỗi gói số liệu, do đó kẻ tấn công có thế
dùng các gói số liệu giả mạo đánh lừa các hệ thống.
❖ Tính linh hoạt cao của TCP/IP đã khiến nó được cả thế giới chấp nhận là giao thức
liên lạc Internet và Intranet cơ bản nhất.
❖ Tất cả các liên lạc trên Internet đều sử dụng TCP/IP. TCP/IP cho phép thông tin
được gửi từ máy này đến máy khác thông qua rất nhiều máy và mạng trung gian
trước khi đến đích. Do đó tạo điều kiện cho một bên thứ ba xen vào cuộc liên lạc
theo những cách sau:
• Xem trộm: Thông tin không bị xâm phạm nhưng không còn tính riêng tư. Ví dụ
như người khác có thế biết sổ thẻ tín dụng, ghi âm lại một cuộc nói chuyện tình

cảm hay chặn những thông tin nhất định.
• Giá mạo: Trong quá trình gưi thư đi, thông tin bị thay đổi hay đảo lộn rồi sau đó
mới được gửi đến cho người nhận. Ví dụ như thay đổi nội dung một đom đặt hàng
hay thay đổi lý lịch một người.
• Mạo nhận: Thông tin được chuyên đến cho một người được coi như là ngirời nhận
thực sự. Mạo nhận có thể chia làm hai hỉnh thức:
> Bắt chước (Spoofing): Một người có thề giả vờ là một người khác. Ví
dụ như một người có thể giá vờ là có địa chỉ thư điện tử ,
hoặc một máy tính có thể tự nhận mình là site www.mozilla.com trong khi thực
tế nó không phải như vậy.
> Mô tả sai (Misrepresentation): Một người hay một tổ chức có thể tự
mô tả sai chỉnh mình. Giả dụ như site www.mozilla.com có thể tự nhận mình là
một cửa hàng đồ gỗ trong khi thực tế nó chi là một site nhận tiền thanh toán
bằng thẻ tín dụng nhưng không bao giờ gứi hàng.
❖ Bản thân các giao thức thành phần trong bộ giao thức TCP/IP đều được thiết kế đề
làm việc với một loại gói số liệu nhất định, với một thủ tục thiết lập kết nổi (thủ tục
7
bắt tay) và trao đổi số liệu nhất định. Do đó. nếu các giao thức thành phân này phài
làm việc ở một chế độ khác hay với một loại giả mạo khi thiết lập kết nối và trao
đồi sổ liệu thì rất có thể chúng sẽ suy yếu hay làm sụp đổ cá hệ TCP/IP cua hệ
thống.
b. Hiểm ho ạ đe doạ dịch vụ
Q Hiếm hoạ dịch vụ thư điện tử
• • • •
Đối với dịch vụ thư điện tử SMTP, có một số mối đe doạ sau đây:
> Từ chổi thư điện tứ: Đây là mối đe doạ làm tê liệt máy phục vụ thư điện tử bằng
cách gửi liên tiếp các bức thư điện tử có kích thước cực lớn, còn gọi là “bom thư”.
Thông thường, các máy phục vụ thư không có khả năng nhận các bức thư lớn hơn
1 Mbyte hoặc nhận một số lượng thư lớn tại một thời điềm. Trong trường hợp
này. máy phục vụ thư không còn kha năng xứ lý các truy nhập hộp thư một cách

hợp pháp cũng như nhận và chuyển tiếp các gói thư có độ lớn thông thường khác.
> Các tệp gắn kèm thư điện tứ cũng là một mối hiểm hoạ tiềm tàng đối với hệ thống
và các dịch vụ thông tin. Người dùng thư điện từ chi cần mở tệp gắn kèm khi đọc
thư là đú để kích hoạt một chương trình (thông thường được giấu dưới dạng một
tệp số liệu gắn kèm thư điện tử) thu thập thông tin về hệ thống, người sứ dụng, số
liệu ứng dụng hoặc lây lan virus, phá hòng hệ thống Các hiếm hoạ này đặc biệt
nguy hiểm đối với môi trường và ngôn ngữ lập trình trên mạng như Java,
ActiveX.
□ Hiểm hoạ dịch vụ Web
• • •
Mối đe doạ lớn nhất đối với dịch vụ Web là người dùng trái phép thay đổi số liệu trên
trang Web hoặc truy nhập vào hệ điều hành của máy phục vụ Web. Bằng việc viết và
gửi các chương trình chuyên biệt có kèm theo yêu cầu truy nhập số liệu Web hoặc bản
thân số liệu được kểt xuất ra Web. người dùng Web có thể gây ra tràn bộ đệm hoặc các
trường hợp đặc biệt khác để chuyển hệ điều hành từ chế độ người dùng (user mode)
sang chế độ hệ thống (system mode), và từ đó dễ dàng thực hiện các hành động phá
hoại như thay đổi nội dung trang Web, thay đổi cấu hình hệ thống, thay đổi chính sách
quán trị hệ thống,
Biện pháp đơn giản nhất có thề thực hiện đê chống lại mối đe doạ này là hạn chế quyền
truy nhập và sử dụng các tài nguyên hệ thống của các phần mềm ứng dụng là những
phần mềm được thực hiện trong chế độ người dùng; kề cả các phần mềm được viết
8
bằng Java script và các Java applets. Ngoài ra cũng có thế sử dụng các giao thức chuẩn
để trao đổi số liệu Web được mật mã, ví dụ như: giao thức siêu văn bản mật SHTTP,
bộ giao thức vận chuyển mật SSL/TLS (Secure Soket Layer/Transport Layer Security).
□ Hiểm hoạ dịch vụ Telnet
• • •
Mối đe doạ lớn nhất đối với dịch vụ Telnet là theo quy định chuẩn Telnet, tên người
dùng hoặc/và mật khẩu đăng nhập hệ thống không được bảo vệ, nghĩa là khi mã mật
truyền trên mạng có thề sử dụng bất kỳ một phần mềm giám sát thích hợp nào đề thu

tất cả số liệu trao đồi trên kết nối Telnet và biết được rõ ràng tên hoặc/và mật khẩu của
người dùng.
Ngoài ra bản thân chương trình Telnet có thế ghi lại rõ ràng tên và mật khẩu của người
đặng ký sứ dụng hệ thống, và vì vậy, một khi đã đăng nhập trái phép vào hệ thống thì
hoàn toàn có thế đọc được tên và mật khấu rõ ràng của người dùng cũng như các thông
số hệ thống khác.
Cách đơn giản nhất để chống lại mối đe doạ dịch vụ này là mã hoá nội dung số liệu
trao đổi kết nối Telnet, bao gồm tên, mật khẩu người dùng và số liệu.
□ Hiểm hoa dich vu FTP
• • •
Dịch vụ FTP thường bị đe doạ khi không được quản lý một cách chặt chẽ, nhất là các
thư mục số liệu riêng, nội dung không được lưu giữ một cách tách biệt với các thư
mục số liệu “Công cộng” để cung cấp cho dịch vụ FTP. Trong những trường họp này,
người dùng dịch vụ FTP để truy nhập các số liệu công cộng có thể tải về các số liệu nội
bộ, không công khai một cách hết sức dễ dàng. Hơn thế nữa, người dùng trái phép còn
có thể thay đổi quyền truy nhập vào một số tệp số liệu khác mà họ quan tâm đế tải về
được các số liệu này làm đảo lộn chính sách quán lý quyền truy nhập hệ thống và các
ứng dụng được thiết lập trước đó.
Tương tự như dịch vụ Telnet, tên và mật khẩu của người dùng trong dịch vụ FTP cũng
không được bảo vệ. Vì vậy đây cũng là một mối đe doạ lớn, tên và mật khẩu rất dễ bị
lộ nếu có người dùng trái phép thu và phân tích số liệu kết nối FTP.
1.2 Mật mã và An toàn thông tin
Thông thường, những người sứ dụng các máy tính liên kết tạo nên Internet hay các
mạng khác không kiểm soát hay can thiệp vào giao thông trên mạng đi qua máy họ.
Tuy nhiên rất nhiều giao dịch cá nhân và giao dịch kinh doanh nhạy cảm trên Internet
cần đề phòng những mối nguy hiếm đã đề cập ở trên.Vì vậy, một bộ đầy đủ các kỹ
9
thuật và tiêu chuân đáng tin cậy gợi là mật mã chìa khoá công cộng đã ra đời và làm
cho việc đề phòng này trở lên khá dễ dàng.
Mật mã được dùng đê bảo vệ bí mật thông tin khi thông tin được truyền trên các kênh

không báo mật như thư tín, điện thoại, mạng truyền thông máy tính Ví dụ như H gửi
đến T một văn bản, gọi là “bán rõ”, muốn bảo mật thì H lập một mã cho “bản rõ” đó,
tạo ra một "bán mã”, và gửi “bản mã” đó cho T. H và T có một khoá công cộng vừa để
H lập ‘'bán mã”, vừa để T giải “bán mã” thành “bản rõ”. Một người khác không có
khoá đó. thì dù có lấy được "bản mã” từ kênh thông tin cũng không thề biển thành "bản
rõ” đề hiểu được nội dung thông báo mà H gửi cho T.
Mật mã chìa khoá công cộng tạo điểu kiện dễ dàng cho những công việc sau:
• Mã hoá và giải mã: ch o phép hai bên liên lạc giữ bí mật những thông tin họ
gửi cho nhau. Người gưi mã hoá, hay đồi tần số (scramble) thông tin trước khi gửi đi.
Người nhận giải mã, hay đồi lại tần số (unscramble) thông tin khi đã nhận được nó.
Trên dường gứi đi, kẻ xâm phạm không thế hiểu được thông tin đã được mã hoá.
• Bảo vệ giả mạo: cho phép người nhận xác định xem thông tin có bị thay đồi
trên đường gửi đi hay không. Mọi cổ gắng sứa đổi dữ liệu hay thay thế thông điệp đều
sẽ bị phát hiện.
• Xác nhận: cho phép người nhận xác định được nguồn gốc của thông tin, tức là
xác minh người gửi.
• Thừa nhận: tránh việc người gửi thông tin sau khi gửi không thừa nhận việc đã
gửi thông tin.
1.2.1 Các hê mât mã cổ điển
• •
Các hệ mật mã cổ điển thực hiện các công việc bảo mật đều dùng một khoá chung cho
việc lập mã và giải mã, các ‘'ban rõ” và “bán mữ' thường dùng dựa trên cơ sớ bảng
chữ trong ngôn ngừ thông thường.
Dưới đây là một định nghĩa toán học về hệ thống mật mã:
Định nghĩa'. Một hệ mật mã lù một bộ năm (P, c, K, ặ, D) thoa mãn các điều kiện sau:
1. p là một tập hữu hạn các ban rõ.
2. c là một tập hữu hạn các bán mã.
3. K là một tập hừu hạn các khoá.
4. Với moi keK, có một hàm lập mã ekeệ, Í-V P—>C, và một hàm giải mã ¿4 eD,
dk-C—tP sao cho dii(eif(x))=x với VxeP.

Trong thực tế, p và c thường là báng chữ cái (hoặc tập các dãy chữ cái có độ dài cố
định);
Nếu bản rõ là một xâu chữ cái:
x=x1x2 xn (x,eP), và khoá là K.
Thì bán mã sẽ là:
y=yiy2 yn (yieC )
Trong đó yi=ek(Xj) (1< i < n). Nhận được ban mã y, biết khoá K sẽ giải được bản rõ X,
vì Xj=dk(yi).
a. Mã dịch chuyển (Shift Cipher)
Ký hiệu: zm là tập các số nguyên từ 0 đến m-1, ký hiệu đó cũng dùng cho vành các số
nguyên từ 0 đến m-1 với các phép cộng và nhân theo mod m.
Như vậy bảng chừ cái tiếng Anh có thể xem là vành z?6 với sự tương ứng kể trên. Mã
dịch chuyến được định nghĩa như sau:
P=C=K=Z26. Với keK, định nghĩa:
ek(x) = x+k mod 26;
dk(y) = y-k mod 26;
(x,y 6 z26)
Mã dịch chuyển đã được sử dụng từ rất lâu, với k=3 được gọi là mã Caesar.
Tập khoá chỉ có tối đa 26 khoá nên việc tìm mã có thể thực hiện bằng cách dịch chuyển
tuần tự 26 khoá đó. Do đó, độ an toàn của mã dịch chuyển là rất thấp.
b. Mã thay thể (Substitution)
Khoá của phép mã thay thế là một hoán vị bảng chữ cái. Gọi S,(E) là tập họp tất cả các
phép hoán vị các phần tử của E. Mã thay thế được mô tả như sau:
p=c=z26. Với keệ(Z 26)
với mồi 7ieK, tức là một hoán vị trên z26, ta xác định:
e,(x) = 7i(x) v àd n(y) = 7ĩ'l(y),
10
11
với x,y e z 26,7I’1 là nghich đáo của 71
Dề xác định được 7i'\ và do đó từ bán mã ta lại tìm được ban rõ.

Mã thay thế có tập hợp khoá khá lớn bằng số các hoán vị trên bang chữ cái, tức số các
hoán vị trên z 26, hay là 26!, lớn hơn 4.102*1. Việc duyệt toàn bộ các khoá để tìm mã là
rất khó, ngay cả với máy tính. Tuy nhiên ta cũng thấy sẽ có những phương pháp tìm mã
khác dễ dàng thực hiện, do đó mã thay thể cũng không thế được xem là an toàn.
c. Mã App/íin
Mã apphin được định nghĩa như sau:
p = c= z26- Với K ={(a,b)eZ26xZ26: (a,26)=l >
với mỗi k=(a,b)eK, ta định nghĩa:
ek(x) = a(x) + b mod 26 và
dk(y) = a"'(y - b) mod 26,
với x,y € z26
Với mã apphin, số tối đa các khoá là (số các số < 26 và nguyên tố với 26)x26 tức là
bàng 12x26=312. Việc duyệt thử tất cả các khoá có thể có để tìm mã trong trường họp
này tuy khá mất thì giờ nếu tính tay, nhưng không có khó khăn gì nếu dùng máy tính.
Do vậy mã apphin cũng không là mã an toàn.
d. Mã Vigenere
Mã lấy tên của Blaise de Vigenere, sống vào thế kỷ 16. Khác với các mã trước, mã
Vigenere không thực hiện trên từng ký tự một, mà được thực hiện trên từng bộ m ký tự
(m là số nguyên dương). Mã đã được xác định như sau:
Cho m là sổ nguyên dương. P=C=K=Zm26-
Với mỗi khoá K={k|k2 km} ta định nghĩa:
ek(x,x2 xm) = (x1+k1,x2+k2, ,xm+km) mod 26
dk(yiy2 ym) = (yi-k|,y2-k2, ,ym-km) mod 26
Tập họp các từ khóa trong báng mã Vigenere với m > lcó tất cả là 26m khoá có thể có.
Với m^ó, số đó là 308.915.776, duyệt toàn bộ số khoá đó đề tìm mã bằng máy tính tay
thì khó, nhưng đối với máy tính thì vẫn là dễ.
12
e. Mã Hill
Mã này được đề xuất bởi Lester S.Hill năm 1929. Mã cũng được thực hiện trên từng bộ
m ký tự, mỗi ký tự trong báng mã là một tổ hợp tuyến tính (trên vành z 26) của m ký tự

trong ban rõ. Như vậy khoá sẽ được cho bới một ma trận cấp m, tức là một phân tư của
z 26m'm- Đe phép biến đổi tuyến tính xác định bởi ma trận K eZ26mxm có phép nghịch
đảo, ma trận K cũng phần tử nghịch đáo K 1 eZ 26mxm. Điều kiện cần và đủ đề ma trận K
có ma trận nghịch đảo là định thức của nó. ký hiệu det K, nguyên tố với m. Như vậy,
mã Hill được mô tả như sau:
Cho m là số nguyên dương. p = c= z m26-
X={KeZ26mxm: (det K,26)=l},
Với mỗi K ex ta định nghĩa
ek(x,x2 x m) = (X|,X2, . K
dk(yiy2 ym) = (yi,y2, ■ K'1
f. Mã hoán vị
Khác với các mã trước, mã hoán vị không thay đổi các ký tự trong bản mã rõ, mà chi
thay đổi vị trí các ký tự trong từng bộ m các ký tự của bán rõ. Ta ký hiệu là tập họp
tất cả các phép hoán vị của {1 ,2 , m}. Mã hoán vị được mô tả như sau:
Cho m là số nguyên dương. p = c = z m26, Xe Cm
Với mỗi K=7ieÇm, ta định nghĩa:
ek(x,x2 x m) .«= (xn(1),xn(2), ,xK(m)) và
dk(yiy2 ym) = (y /u ^ y /u ).
Trong đó 71'1 là hoán vị nghịch đảo của 71.
g. Mã dòng (Stream ciphers)
Trong các hệ mã được xét cho đến nay, ta dùng cùng một khoá K để mã hoá các ký tự
(hay các bộ m ký tự) trong văn bán rõ. Điều khác cơ bản của mã dòng là sinh ra một
dòng khoá Z=Z|Z2 và dùng chúng đề m ã hoá các ký tự ở các vị trí trong bản rõ
X=X|X2 , cụ thế là bản mã được xác định bởi:
y=yiy2 = ezi(xl)ez2(x2)
Một cách tống quát mã dòng được định nghĩa như sau:
Một hệ mã dòng là một bộ ( íp, c,, X- 3 , F, ị, 9) thoả mãn điều kiện sau đây:
<p: là một tập hữu hạn các bán rõ
C,: là một tập hữu hạn các bản mã
%: là một tập hữu hạn các khoá chính

3: là một tập hữu hạn các khoá dòng
F=(f|, f2, ) là bộ sinh khoá dòng; fj: X X 3 1'1 X ỷ)1'1 —>3
Với mồi z 6 3 có một hàm lập mã eze ệ :p —>c, và một hàm giái mã dz€ 9 :£,-»£> sao
cho dz(ez(x))=x với mọi V xe p .
Neu bộ sinh dòng khoá không phụ thuộc vào văn bản rõ, thì ta gọi mã dòng đó là đồng
bộ, trong trường họp đó K như là hạt giống để sinh ra dòng khoá Z | , Z 2,Z 3 nếu Z j+d= Z j
thì mã dòng được gọi là mã tuần hoàn với chu kỳ d.
1.2.2 Hệ mật mã chuẩn DES (Data Encryption Standard)
Hệ mật mã chuấn DES được xây dựng tại Mỹ trong những năm 1970, theo yêu cầu cùa
Văn phòng Quốc gia về chuẩn (NBS) và được thấm định của Cục An Ninh Quốc gia
(NSA).
Ngày 15/05/1973, NBS công bố một yêu cầu công khai về một thuật toán một mã
chuẩn mà các đòi hỏi chính là:
o Thuật toán phải có độ an toàn cao.
o Thuật toán phái được định nghĩa đầy đu và hoàn toàn dễ hiểu.
o Độ an toàn phái nằm ớ khoá, độ an toàn phải không phụ thuộc vào độ bí mật của
thuật toán.
o Thuật toán phải sẵn sàng cung cấp cho mọi người dùng,
o Thuật toán phải thích nghi với việc dùng cho các ứng dụng khác nhau,
o Thuật toán phải được cài đặt một cách tiết kiệm trong các thiết bị điện tử.
o Thuật toán phái sử dụng được có hiệu quả.
o Thuật toán phải có khá năng được hợp thức hoá.
o Thuật toán phải xuất khẩu được.
13
14
Hồi đó, không cơ quan nào đáp ứng được ngay yêu cầu này. Ngày 27/04/1974 yêu cầu
lại được nhẳc lại. Và lần này IBM chấp nhận dự tuyển với sản phẩm sẽ được đệ trình,
dựa trên một thuật toán mà IBM đã phát triển từ trước là LUCIFER. DES được công bố
lần đầu tiên vào 17/03/1975. Sau nhiều lần tranh luận DES được chấp nhận như một
chuân Liên bang vào ngày 23/11/1976 và được công bố ngày 15/01/1977. Sau đó vào

năm 1980 công bố “các cách dùng DES”. DES được cài đặt cả với tư cách là một thiết
bị phần cứng, cả với tư cách một thiết bị phần mềm và đã được sử dụng rộng rãi trong
khu vực hành chính, kinh tế, đặc biệt trong các hệ thống ngân hàng.
R2=L,© f(R,,K2)
R|5-L|4® f(R|4,K|ỉ)
ĩ
Ri6=L,5® f(R|5,K
So do DES
R I = L0® f(R0,K|)
Sơ đồ chung: DES thực hiện mã hoá trên từng khối bản rõ là một xâu 64 bít, có một
khoá là một xâu 56 bit, và cho ra văn bản mã cũng là một xâu 64 bit. Sau một hoán vị
ban đầu IP, bản rõ được chia thành 2 nửa L0 và Rfl, mỗi nửa 32 bit. Từ đó thực hiện 16
vòng những phép toán giống nhau, trong đó dừ liệu được kết hợp với khoá. Đến vòng
15
cuối cùng, ta đảo ngược 2 nứa để được R15L 15, và thực hiện phép hoán vị ngược IP'1
trên R|sL|5 để được bản mã.
Tinh bảo mâí của DES
Ta chú ý rằng trong cấu trúc của thuật toán DES, ở mỗi vòng lặp đều thực hiện xen kẽ
liên tiếp nhau các phép dịch và thay thế. điều đó nói chung có tác dụng tăng thêm độ
bao mật của s (nội dung cần báo mật). Nhưng yếu tố phi tuyến duy nhất trong các phép
toán của s là ở các hộp s (S 1, s 2, S3, s 8). Chúng ta không biết các hộp đó đã được
chọn theo các tiêu chuân nào và NSA có cài vào đó những “cửa sập” nào không. Sau
nhiều cố gấng tìm mã, đặc biệt là sau việc tìm mã bằng phương pháp “phân tích chênh
lệch" được công khai hoá, người ta đã công bố các tiêu chuẩn cho các hộp s như sau:
■ Mỗi hàng cua mỗi s phải là một hoán vị của 0, 1, 15.
■ Hộp s không phải là hàm tuyến tính hay apphin của các đầu vào của nó.
■ Thay đổi một bit vào ớ một hộp s gây ra sự thay đổi ít nhất hai bit ra của nó.
■ Nếu hai xâu vào của một hộp s giống nhau ở hai bít đầu và hai bit cuối, thì hai
xâu ra phải khác nhau ít nhất ở hai bit.
■ Nếu hai xâu vào của một hộp s khác nhau ở hai bit đầu và giống nhau ở hai bit

cuối, thì hai xâu ra phái khác nhau.
»
■ Với mỗi hộp s, nếu ta cố định một bit vào và xét giá trị của một bit ra nào đó,
thì số các xâu vào tạo ra giá trị 0 0 bít ra đó cũng phải xấp xỉ bằng số các xâu
vào tạo ra giá trị 1 ở bít ra đó.
Nói chung độ bảo mật của DES đã được thứ thách qua hơn 20 năm sử dụng khá rộng
rãi, chứng tỏ nó là tin cậy. Các phương pháp tìm mã, tuy đã được tìm kiểm khá nhiều
nhưng gần như không có cách nào khác ngoài việc duyệt toàn bộ khá phức tạp. Theo
phương pháp này, thì nếu tìm mã theo cách “biết cả bán rõ”, ta phải duyệt qua 2 56 khoá
có thể, điều đó đòi hỏi một sổ lượng tính toán khổng lồ!
1.2.3 Các hệ mật mã khoá công khai
Hệ mật mã khoá công khai được nghiên cứu và phát triển từ cuối những năm 1970. Độ
bảo mật được đảm bảo bằng độ phức tạp tính toán. Mục đích cơ bản của các hệ mã này
là xây dựng những hệ thống sao cho kể cá khi biết khoá lập mã K và thuật toán lập mã
ek, vẫn rất khó tìm được cách giải mã thường là khó. Do phải khắc phục một độ phức
tạp tính toán rất lớn tìm được khoá giải mã K \ dù thuật toán giải mã có thể được biết.
16
Khoá lập mã K và khoá giải mã K' khác nhau, K - là công khai, K' - là bí mật. Vì vậy,
hệ thống được gọi là hệ mật mã khoá công khai (Public Key Cryptosystem).
a. Hệ mật mã RSA và Ranbin
□ Hệ mật mã RSA
Hệ RSA do Rivest, Shamir và Adleman đề xuất năm 1977. Giả sử n là một số nguyên,
tích cua hai số nguyên tố lớn khác nhau p và q, n = p.q. Ta chọn một số a nguyên tố với
<ị>(n) = (p-l).(q-l), và tính số b=a‘' mod ệ(n); tức a.b=l mod (ị)(n).
Hệ RSA được mô tả như sau:
Lấy n=p.q, và p và q: số nguyên tố: p=^=Zn,
K={(n,b,a): ab=l mod O(n),
Trong đó (n,b) là công khai, a là phần khoá bí mật.
Với K = (K\K ” ), K’=(n.b), K” =a, ta định nghĩa:
ẽk (x) = xb mod n

dk -(y)=ya mod n
Thực thi hệ RSA: hệ RSA chỉ có khá năng bảo mật nếu p, q và n là những số rất lớn
(cỡ khoảng hơn 100 chữ số thập phân đối với p và q và hơn 200 chừ số thập phân đổi
với n). Để tạo khoá và thực hiện các phép lập mã, giả mã ta phải giải quyết các bài toán
sau đây:
■ Tìm các số nguyên tố lớn đề làm các giá trị p, q.
■ Thực hiện các phép toán số học trên các số rất lớn. đặc biệt là phép mã với
sổ mã lớn theo mod n.
Đề triển khai RSA, phải xây dựng các chương trinh tính toán số học trên các số rất lớn;
phép mũ xb có thể thực hiện qua phép bình phương và nhân.
17
□ Hệ mật mã Rabin
Hệ được đề xuất bởi Ranbin năm 1979 như sau:
Giả sử n là tích của 2 sổ nguyên tố khác nhau n = p.q, với p,
q = 3 (mod 4).
Lấy p = £ r Zn, và
K={(n. B, p. q): 0 < B < n-1}
Với K=(n, B, p, q), khoá công khai K'=(n,B), khoá riêng
K”=(p, q)
ek-(x) = x(x+B) (mod n)
dk (y) = Căn bặc hai [ (B2/4)+y ]- (B/2) (mod n)
b. Hệ mật mã EỈGamaí và các hệ tương tụ-
□ Hệ mã EIGamal
Hệ mã ElGamal được đề xuất từ năm 1985, dựa trên cơ sở bài toán logarit rời rạc. Giả
sử p là một số nguyên tố lớn (thường có ít nhất 150 chữ số thập phân), a là một phần tử
nguyên thuỷ theo mod p, và sao cho bài toán tính loguP là khó. Chưa có tiêu chuẩn nào
đối với p và a đề đảm bảo bài toán tính log„P là khó, nhưng có một số dấu hiệu, chẳng
hạn p- 1 phái có ít nhất một thừa số nguyên tố “lớn”, cho ta hy vọng đạt được điều đó:
Hệ mã ElGamal được mô tả như sau:
Cho p là số nguyên tố, và a là một phần tử nguyên thuỷ của z*p

Đặt p = z*p, c=z\ X z\.
K={(p, a, p, a): p SE a a mod p}
Với mỗi K=(p, a, (3. a) e K, khoá công khai K" = (p, a, P), khoá
bí mật là a.
Đẻ lập mã ta chọn một số ke z
%
P _ 1 (và giữ mật) rôi tính
ek-(x, k) = (y,, y2),
Trong đó
yi = ock mod p.
ĐẠí HỌC QUỐC GIA HÀ NÔI
TRUNG TÀM THÒNG TIN .THU VịỆ N
No \ t l O _ l A Ế 9
18
y2 = xpk mod p.
Với y=(y 1, y2) phép giải mã được xác định bởi
dk”(y) = y2(yia)'‘ mod p
□ Các hệ mã tương tự EIGamal
Hệ mã ElGamal được xây dựng dựa trên: một nhóm hữu hạn cyclic(Z*p), một phần tử
nguyên thuỳ ae(Z *p) sao cho bài toán tìm logarit rời rạc (cho p, tìm a sao cho p=aa,
hay a = log,/) là khó thực hiện, tức đòi hòi độ phức tạp tính toán rất lớn. Vì vậy, nếu có
đủ các dữ kiện tương tự thì ta có thể xây dựng một hệ mật mã ElGamal. Hệ được mô tả
như sau:
Cho G là nhóm cyclic, a là một phần tứ nguyên thuỷ của G
Đặt ịo= G, c =G X G,
k={(G , a, p, a): p = a a}
Khoá công khai K' = (G, a, P), khoá bí mật là K ” = a.
Thuật toán lập mã: Để lập mã ta chọn thêm một sổ ngẫu nhiên
k< |G|,
ek-(x, k) = (y1,y 2),

Trong đó
y , = a \ y2 = x ° p k
Thuật toán giải mã được xác định bởi
dk”(y) = y 2 ° (y iV
(° là phép toán nhóm của G).
c. Các hệ mật mã dựa trên bài toán NP đầy đủ
Nguyên tắc chung:
Các bài toán NP đầy đủ là các bài toán mà cho đến nay chưa tìm được một thuật toán
với độ phức tạp tính toán đa thức nào để giải chủng. Và tính “khó” của chúng lại được
bảo đảm bằng sự kiện là nếu có một thuật toán với độ phức tạp đa thức giải được một
bài toán NP đầy đủ nào đó thì lập tức ca lớp NP sẽ bằng lớp p, tức mọi bài toán
NP đầy đủ đều giải được trong thời gian đa thức.
19
Nguyên tắc chung để xây dựng một hệ mật mã dựa vào một bài toán NP đầy đủ là: Hệ
mật mã được xây dựng sao cho việc giải mã tương đương với việc tìm lời giai cho bài
toán NP đầy đù đó. Tuy nhiên có một thu thuật để biến dừ liệu đối với bài toán chung
đó thành dừ liệu trong trường hợp riêng cua bài toán mà đối với chúng ta là dễ giải.
“Thủ thuật” đó được sứ dụng như một “cửa lật”, làm cho hàm mật mã nói chung thành
một thứ hàm “cửa lật” một phía.
□ Hệ mật mã Merkle-Hellman
Bài toán KNAPSACK là NP đầy đú. Nhưng nếu dữ liệu cùa bài toán I = (S|, sn, T)
thoa mãn tính chất: dãy S], sn siêu tăng tức là:
Vj=2

n : Sj > Z i - i J' l Si,
Thì việc tìm lời giải là khá dễ dàng. Thuật toán sau đây sẽ cho ta biết bài toán đối với
dữ liệu I có lời giải hay không, và nếu có thì tìm ra lời giải (X|, xn) đó:
. for i = n downto 1 do
ifT > S jth en
T = T - Si

X, = 1
else
X, = 0
• if ZViXjSj = T then
X = (X), xn) “Là lời giải của bài toán”
. else
“Bài toán không có lời giải”.
Bây giờ, giả sử I là dữ liệu trong trường họp riêng đó, tức có dãy (S|, sn) là siêu
tăng. Ta đặt p là một số nguyên tố p > Z ni=iSj, và lấy một số a: 1 < a < p.
Với mồi i = 1, n, ta lấy: tị = aSj mod p. Hệ mật mã Merkle-Hellman được xác định
như sau:
p = {0,l} n, c = { 0

n(p-l) },
K = {(s, p, a, t): s, p, a, t thoá mãn các điều kiện trên},
Trong đó s = (S|, sn), t = (t|, tn). Với mỗi K = (s, p, a, t),
20
ta xem K = t là khoá công khai, còn K
” = (s, p.
a) là bí mật. Ta
có:
ek(X|, xn)
= Ii= r Xjtj
Và với 0 < y < n(p-l), ta sẽ tính z = a' 'y mod p và giải bài toán
KNAPSACK theo thuật toán trên với dữ liệu I
(S|, . . Sn, z),
ta được:
dk”(y) = (X|,
xn)
Hệ mật mã Merkle-Hellman được đề xuất từ năm 1978. Năm 1985, Shamir tìm được

phương pháp thám mã dựa vào một thuật toán cúa Lenstia giải bài toán quy hoạch
động. Tuy nhiên, sau đó, năm 1988, Char và Ri vest có đưa ra một hệ mật mã khác cũng
dựa vào bài toán KNAPSACK cho đến nay chưa bị phá.
□ Hệ mật mã Mc-Eliece
Hệ mật mã Mc-Eliece dựa vào tính NP đầy đủ của bài toán giải mã tuyến tính tự sửa
sai. Bài toán có thế viết lại như sau: Giả sử n và k là các số nguyên dương, n > k, G là
ma trận cấp k * n với các giá trị 0 và 1. Một vector X = (X), xk) e {0,1}k được mã
hoá thành y = {yI, yn} e {0, 1 }n bởi: y = X.G
Ta định nghĩa khoáng cách d cùa hệ mã đó là khoang cách Hamming bé nhất giữa hai
từ mã bất kỳ. Một hệ mã như vậy được gọi là hệ [n, k, d] mã. Nếu d = 2t + 1 thì hệ mã
có khả năng tự sửa sai đến t sai ngẫu nhiên Thuật toán tự sửa sai, tức cũng là thuật toán
giải mã, có thể được xây dựng theo kiểu các thuật toán tìm láng giềng gần nhất. Tuy
nhiên khi k và t lớn, thì thuật toán có độ phức tạp rất lớn, và nói chung không giải được
trong thời gian đa thức trong trường hợp tông quát.
Một trường họp riêng mà bài toán có thể giải được thực hiện dễ hơn là trường họp mã
Gopper, đó là một hệ mã có n=2m, d=2t + 1 ; k=n-mt, có ma trận sinh G cấp k * m được
xây dựng dựa theo một số tính chất đại số của trường GF(2n). Ta sẽ dùng một ma trận s
khả nghịch cấp k * k trên z 2, và một ma trận hoán vị p cấp n * n (cũng có phần tử trong
z 2) đế biến hệ mã Gopper thành hệ mã phố biển, và được hệ mật mã McEliece như sau:
Lấy fp = z k2, ; = z k2; đặt G’ = SGP,
K = {(G, s, p, G’) với G, s, p, G ’ như trên
Với K = (G, S. p, G ’), ta giữ bí mật K ” = (G, s, P) và công khai
21
K’ = G ’
Lập một mã:
ek(x, e) = xG' + e, trong đó e € z"2. là một vectơ ngẫu nhiên có
trọng số t.
Giải mã: Nhận y € z'\, giải mã theo các bước:
T ín h y, = y P ‘‘
Giải mã Gopper đối với yi được Xi

Tính X = X| . S’1
Hệ mật mã McEliece hiện cũng là một hệ mật mã khoá công khai được tín nhiệm, được
sứ dụng và đang được nghiên cứu tiếp tục.
Nhận xét
Bên trên tôi đã trình bày về các hệ mật mã, mỗi hệ đều có những ưu điểm và nhược
điểm riêng.
- Các hệ mã cồ điển, ưu điểm là phương pháp mã hoá không phức tạp, nhược điểm là
nó không gây khó khăn gì khi thực hiện thám mã bởi máy tính.
- Đối với hệ mã chuẩn thế hiện tính bảo mật trong cấu trúc của thuật toán, bởi mồi
vòng lặp đều thực hiện xen kẽ nhau các phép chuyền. Do đó thông tin thực sự an toàn
khi hai người trao đổi thông tin mà khoá vần được giữ bí mật. Chính vì vậy nó được
sứ dụng nhiều trong các hệ mật mã khoá đối xứng, được chọn cho truyền tin báo mật
trên mạng.
- Đối với các hệ mã công khai, hiện nay nó được coi là một công cụ mã hoá hiệu quả
nhất và được ứng dụng nhiều trong các bài toán về an toàn thông tin trên mạng và đặc
biệt cho thương mại điện tử. Thuật toán RSA được sử dụng trong xây dựng Hệ thống
chứng chi số.
22
I I . C h ứ n g c h i s ô v à C á c v ấ n đ ê liê n q u a n
II. 1 Chứng chĩ số
a. Giới thiệu Chứng chí số
Chứng chỉ sổ là một chìa khoá được bạn cài đặt trên máy tính của bạn và được
sứ dụng đề nhận dạng bạn. Một khi chứng chỉ số đã được cài đặt, khi bạn thâm
nhập vào các trang web được trang bị các công cụ để tự động nhận dạng, chứng
chỉ số sẽ giúp các trang web này nhận ra bạn.
Một chứng chỉ số cho phép
■ Không cần nhớ nhiều mật khẩu và các xác nhận người sử dụng.
■ Tăng cường tính báo mật cá nhân - chứng chi số của mỗi người là khác
nhau do đó không ai có thể đoán được, không thể quên được, không bị
xem trộm hay giả mạo.

■ Cho phép bạn dùng những chương trình e-mail phổ biến nhất, trong đó
có Outlook Express, Netscape Messenger, để gứi và nhận thư an toàn.
■ Khi bạn có một chứng chi số, các trang web đã thừa nhận chứng chi số
sẽ nhận dạng và cho phép bạn truy nhập tự động, không cần phải tiến
hành đăng ký lần nữa.
■ Khi một trang tin đã nhận dạng được bạn thông qua chứng chi số, nó có
thể thay đổi các trang web và các cơ chế theo sở thích của bạn. Và bạn
không cần phải làm bất cứ việc gì - tất cả đều diễn ra một cách tự động,
nhanh chóng.
Bạn chỉ cần mất một vài phút là có dược một chứng chỉ số cá nhân cho mình.
h. Hoạt động của chứng chỉ số
Chứng chi sổ hoạt động dựa trên cơ sớ Công nghệ chìa khoả riêng/công cộng.
Công nghệ này đã được sứ dụng đế bảo vệ các trang web có thông tin quan
trọng như về tên lửa hạt nhân. Mồi chìa khoá cũng giống như một phương tiện
mã hoá, giải mã duy nhất. Không bao giờ có hai chiếc chìa khoá giống nhau, vì
vậy mà chìa khoá có thể được sử dụng để nhận dạng ra người sở hữu nó.
Chìa khoá luôn có đôi, một chiếc riêng và một chiếc công cộng. Khi thực hiện
mã hoá bằng chìa khoá công cộng thì chỉ có chìa khoá riêng tương ứng mới
23
giải mã được và ngược lại. Chìa khoá công cộng được phân phát rộng rãi cho
tất cả những ai muốn trao đổi thông tin mật của mình với bạn. Chìa khoá riêng
của bạn không bao giờ bị sao chép hay phân phát mà sẽ được giữ an toàn trong
máy cá nhân hoặc trên máy chủ cùa bạn.
Chứng chỉ số cũng áp dụng quy trình phân phát chìa khoá công cộng và trao
đôi thông tin mật giống như trên. Khi bạn cài đặt chứng chi số vào máy tính
hoặc trên máy chủ, máy hoặc web site cua bạn sẽ có một chiếc chìa khoá riêng
của chính mình. Chìa khoá công cộng ứng với chiếc chìa này sẽ được phân
phối rộng rãi như một phần của chứng chỉ số gắn trên máy hay web site của
bạn.
Khi một máy tính khác muốn trao đổi thông tin với máy tính của bạn, nó sẽ tiếp

cận với chứng chỉ số chứa chìa khoá công cộng cùa bạn. Máy tính đó sẽ dùng
chìa khoá công cộng của bạn để xác định nhận dạng bạn và mã hoá các thông
tin nỏ muốn chia sẻ với bạn bằng cách dùng một công nghệ gọi là SSL (Secure
Sockets Layer). Khi đó chi có chìa khoá riêng của bạn mới có thể giải mã được
các thông tin này, vì vậy mà các thông tin này vẫn an toàn không bị xem trộm
hay sửa đồi trong quá trình được truyền đi trên Internet.
c. Các loại chứng chì
Có năm loại chứng chi thường được sử dụng phổ biến:
s Chứng chỉ SSL khách hàng: dùng đề các máy phục vụ nhận dạng
khách hàng thông qua SSL.
Ví dụ: Ngân hàng cung cấp cho khách hàng một chứng chỉ SSL khách
hàng, chứng chỉ này cho phép các máy chủ của ngân hàng nhận dạng
khách hàng đó và cho phép khách hàng này truy nhập vào tài khoản của
mình.
s Chứng chỉ SSL máy chủ: dùng để khách hàng nhận dạng máy phục vụ
thông qua SSL. Xác nhận máy phục vụ có thể được dùng cùng với xác
nhận khách hàng hoặc là dùng một mình. Xác nhận máy phục vụ là bắt
buộc đối với phiên SSL đã mã hoá.
Ví dụ: Các web site trên Internet tham gia vào thương mại điện tử
thường hồ trợ xác nhận máy phục vụ dựa trên chứng chỉ, ít nhất là thiết
24
lập một phiên SSL đã mã hoá và đảm bảo với khách hàng rằng họ đang
dùng một web site được một công ty nhất định nhận dạng. Phiên SSL
mã hoá đảm bảo rằng những thông tin cá nhân gửi qua mạng, như số thẻ
tín dụng không thể dễ dàng bị xâm phạm.
s Chứng chi' S/MIME: dùng đề ký và mã hoá thư điện tử. Cũng giống
như với chứng chi SSL khách hàng, nhận dạng cúa khách hàng thường
giả định là giống nhận dạng cúa một người, cũng giống như một nhân
viên đối với công ty. Một chứng chi có thê được dùng vừa là chứng chỉ
SSL vừa là chứng chỉ S/MIME.

Ví dụ: Một công ty sử dụng chứng chí S/MIME và SSL kết họp chi đế
xác nhận nhận dạng nhân viên, do đó cho phép ký thư điện tử và xác
nhận SSL khách hàng nhưng không cho phép mã hoá thư điện tử . Một
công ty khác lại phát hành chứng chi S/MIME chỉ đề vừa ký vừa mã hoá
những thư điện tử nói về những vấn đề nhạy cảm như tài chính hay luật
pháp.
s Chứng chỉ ký đối tượng: dùng để xác nhận người ký Java Code. Java
Script hay những file ký khác.
Ví dụ: Một công ty phần mềm ký một phần mềm cung cấp qua internet
đến các người sử dụng với đám bảo rằng phần mềm đó là một sản phẩm
hợp pháp của công ty. Trong trường hợp này sử dụng chứng chỉ và chừ
ký số cũng có thể giúp người sử dụng xác định và kiểm soát những kiểu
truy cập vào máy của họ mà phần mềm vừa mới tải về.
S Chứng chi' CA: dùng đề nhận dạng các CA. Các phần mềm khách hàng
và phần mềm máy phục vụ dùng chứng chi CA để xác định xem các
chứng chỉ khác có đáng tin cậy không.
Ví dụ: Các chứng chỉ CA lưu giữ trong Communicator chỉ rõ các chứng
chỉ mà các bản Communicator có thế xác nhận. Một nhà quản trị có thể
áp dụng một số mặt của chính sách bảo mật tố chức bằng cách quản lý
các chứng chi CA lưu trong văn bản Communicator cùa mồi người sư
dụng.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×