ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA TRONG MAIL SERVER
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.96 MB, 38 trang )
ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA
TRONG MAIL SERVER
!"# !
$%&$'( ))
*$%$+, /
$0
I. KHÁI NIỆM VỀ CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử (tiếng Anh: electronic signature) là thông tin đi kèm theo dữ liệu (văn bản,
hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu đó.
Chữ ký điện tử (CKĐT) là sản phẩm tin học, là công cụ hỗ trợ cho quá trình xử lý thông tin
số, nhưng nó hàm chứa các quy định cho phép các tổ chức cung ứng dịch vụ thanh toán
nhắm đến đích của mình là cải tiến các dịch vụ thanh toán hiện có sao cho nhanh chóng, an
toàn và hiệu quả hơn.
CKĐT là một dãy ký tự lựa chọn ở bàn phím của máy tính hay còn được gọi là mật khẩu và
dãy ký tự này cũng phải đăng ký theo các quy định.
II. ĐẶC ĐIỂM CỦA CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử (E-mail, File text,
bảng tính )
Chữ ký điện tử gồm :
• Public key : được sử dụng để mã hoá những thông tin mà bạn muốn chia sẻ với bất
cứ ai,chính vì vậy bạn có thể tự do phân phát nó cho bất cứ ai mà bạn cần chia sẻ
thông tin ở dạng mã hoá.
• Private Key : giống như password là thông tin riêng của mỗi cá nhân , không nên cho
người khác biết .
Một chữ ký điện tử sẽ là một chữ ký số nếu nó sử dụng một phương pháp mã hóa nào đó để
đảm bảo tính toàn vẹn (thông tin) và tính xác thực. Ví dụ như một bản dự thảo hợp đồng
soạn bởi bên bán hàng gửi bằng email tới người mua sau khi được ký (điện tử).
Một điều cần lưu ý là cơ chế của chữ ký điện tử khác hoàn toàn với các cơ chế sửa lỗi (như
giá trị kiểm tra - checksum ). Các cơ chế kiểm tra không đảm bảo rằng văn bản đã bị thay
đổi hay chưa. Các cơ chế kiểm tra tính toàn vẹn thì không bao giờ bao gồm khả năng sửa
lỗi.
Hiện nay, các tiêu chuẩn được sử dụng phổ biến cho chữ ký điện tử là OpenPGP, được hỗ
trợ bởi PGP và GnuPG, và các tiêu chuẩn S/MIME (có trong Microsoft Outlook). Tất cả các
mô hình về chữ ký điện tử đều giả định rằng người nhận có khả năng có được khóa công
khai của chính người gửi và có khả năng kiểm tra tính toàn vẹn của văn bản nhận được. Ở
đây không yêu cầu giữa 2 bên phải có một kênh thông tin an toàn.
Một văn bản được ký có thể được mã hóa khi gửi nhưng điều này không bắt buộc. Việc đảm
bảo tính bí mật và tính toàn vẹn của dữ liệu có thể được tiến hành độc lập.
III. NGUYÊN LÝ HOẠT ĐỘNG CỦA CHỮ KÝ ĐIỆN TỬ
Chữ ký điện tử hoạt động dựa trên công nghệ public key, nó sử dụng chứng thực số (digital
certificate) để ký và mã hoá các tài liệu và giao dịch.
Quá trình ký điện tử Signing:
Đầu tiên, thông điệp (message) được tính toán bởi hàm băm một chiều (one-way hash
function), hàm này tính toán thông điệp và trả về một bản tóm tắt của thông điệp (message
digest), hàm băm một chiều đảm bảo rằng bản tóm tắt của thông điệp này là duy nhất và bất
kỳ một sửa đổi dù nhỏ nhất trên thông điệp cũng sẽ gây ra thay đổi cho bản tóm tắt này. Sau
đó người gửi sẽ dùng khoá riêng của mình mã hoá bản tóm tắt này. Nội dung sau khi được
mã hoá chính là "chữ ký điện tử" (digital signature) của thông điệp đó được ký bởi người
gửi. Chữ ký điện tử này sẽ được gửi đến cho người nhận kèm với thông điệp.
Quá trình kiểm tra chữ ký điện tử - Verification:
Khi người nhận nhận được thông điệp, để kiểm tra tính hợp lệ của nó, đầu tiên người nhận
sẽ dùng khoá chung của người gửi (khoá chung thường được phổ biến rộng rãi) để giải mã
chữ ký điện tử. Kết quả của quá trình giải mã chữ ký điện tử này chính là bản tóm tắt của
thông điệp đã gửi đi. Sau đó, người nhận dùng hàm băm một chiều để tính toán bản tóm tắt
qua nội dung của thông điệp một lần nữa rồi lấy kết quả đem so sánh với bản tóm tắt vừa
được giải mã ở trên, nếu kết quả giống nhau thì quá trình kiểm tra thành công. Ngược lại có
thể kết luận đây là thông điệp giả mạo hoặc thông tin đã bị thay đổi trên quá trình gửi đi.
IV. CÁC NGUY CƠ BẢO MẬT CHO THƯ ĐIỆN TỬ
Email là dịch vụ mạng phổ biến nhất hiện nay, tuy nhiên việc gửi và nhận thư hầu hết chưa
được bảo mật. Có những nguy cơ thường gặp như :
• Nguy cơ 1: thư bị đọc trộm trong quá trình chuyển đi trên mạng.
• Nguy cơ 2: thư dễ dãng bị dã mạo bởi người khác.
• Nguy cơ 3: tính toàn vẹn nội dung thư không được đảm bảo
V. CẤU HÌNH MAIL SERVER CÓ CHỮ KÝ ĐIỆN TỬ VÀ MÃ HÓA
1. Môi trường thực hiện:
- Windows Server 2003
- Mail Daemon 6.0
2. Các bước tiến hành:
a/ Cấu hình AD (Active Directory):
- Cấu hình IP tĩnh cho server: 192.168.1.1
- Vào Run chạy lệnh dcpromo
- Ấn phím Next
- Ấn phím Next.
- Ấn phím Next.
- Ấn phím Next.
- Gõ vào tên miền (Ví dụ:ueh.edu.vn). Ấn phím Next
- Cài DNS bằng cách chọn tuỳ chọn ở giữa, Ấn phím Next.
- Ấn phím Next, đợi khoảng 5 phút để quá trình cấu hình AD hoàn tất, restart máy.
* Bên cạnh đó, cần chỉnh lại một số group policy để demo:
Vì tạo user a và b có password là 123 là password đơn giản, và điều này policy của
Windows Server cấm, vì vậy cần chỉnh policy để có thể đặt được password đơn giản.
Vào Start -> Administrative Tools -> Domain Security Policy
Thay đổi:
- Minimum password length -> 0 characters
- Password must meet complexity requirements -> Disabled
Vì Win2k3 không cho user thường log in vào máy Win2k3 (user a, b được tạo ra là user
thường thì sẽ không thể login vào máy win2k3) nên để khắc phục điều này cần phải chỉnh
trong group policy:
Vào Start -> Administrative Tools -> Domain Controller Security Policy
Thêm vào Users rồi ấn OK
Sau khi chỉnh group policy xong cần phải dùng lệnh sau để những hiệu chỉnh trong group
policy có hiệu lực
Vào run -> gõ cmd -> gõ gpupdate /force
b/ Tạo user a, b:
- Vào Start -> Administrative Tools -> Active Directory Users and Computers
- Điền thông tin cho user a
- Chọn Password never expires, ấn Next, finish, rồi tạo tương tự cho user b
c/ Cấu hình DNS:
- Tạo Host mới
- Đánh vào địa chỉ server là 192.168.1.1, rồi ấn nút Add Host
- Cấu hình reverse DNS, chuột phải Reverse Lookup Zones chọn New Zone…
- Ấn Next
- Ấn Next
- Ấn Next
- Gõ vào dãy IP cùng mạng với server
- Ấn Next
- Ấn Finish để hoàn tất.
- Tạo Pointer trỏ đến server
- Trỏ đến kt là tên server.
d/ Cài và cấu hình Mail Daemon
- Ấn vào file cài đặt là md_en.exe, cứ ấn next cho đến khi quá trình cài đặt hoàn thành.
e/ Cấu hình Mail Daemon
- Mở Mail Daemon lên, vào Setup -> Primary Domain, khai báo như hình sau:
- Tạo tài khoản mail cho user a và user b. Vào Account -> Account Manager… Chọn
nút New.
- Gõ vài thông tin cho user a như hình sau, với Account password là 123
- Thực hiện tương tự tạo user b với account password là 123.
f/ Cài Stand alone root CA(user có thể gởi mail kèm chữ ký điện tử)
- Ấn Start -> Control Panel -> Add or Remove Programs -> Add/Remove Windows
Components -> Application Server -> Details -> ASP.NET -> OK -> Next
Lưu ý: Hoàn tất bước cài ASP.NET trước khi sang bước tiếp theo
- Cài Stand-alone root CA: ấn start->Control Panel->Add or Remove Programs ->
Add/Remove Windows Componen t-> Certificate Services
