Tải bản đầy đủ (.pdf) (106 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Tìm hiểu hạ tầng mật mã khóa công khai PKI, ứng dụng trong thương mại điện tử (dịch vụ công trực tuyến cấp độ 3 và truyền nhận chứng từ trong thương mại điện tử)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.86 MB, 106 trang )

TRƢỜNG ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

--------

ĐINH TUẤN ANH

TÌM HIỂU HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI – PKI,
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ
(DỊCH VỤ CÔNG TRỰC TUYẾN CẤP ĐỘ 3 VÀ TRUYỀN NHẬN
CHỨNG TỪ TRONG THƢƠNG MẠI ĐIỆN TỬ)

LUẬN VĂN THẠC SĨ

Hà Nội – 2011


TRƢỜNG ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

--------

ĐINH TUẤN ANH

TÌM HIỂU HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI – PKI,
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ
(DỊCH VỤ CÔNG TRỰC TUYẾN CẤP ĐỘ 3 VÀ TRUYỀN NHẬN
CHỨNG TỪ TRONG THƢƠNG MẠI ĐIỆN TỬ)

Ngành


: Công nghệ Thông tin

Chuyên ngành: Hệ thống thông tin
Mã số
:

LUẬN VĂN THẠC SĨ
HƢỚNG DẪN KHOA HỌC : TS. Hồ Văn Canh

Hà Nội – 2011


MỤC LỤC
MỞ ĐẦU .................................................................................................................... 2
Chương 1. TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI ........... 3
1.1. CÁC KHÁI NIỆM CƠ BẢN........................................................................... 3
1.1.1.

Lịch sử phát triển PKI........................................................................... 3

1.1.2.

Mục tiêu và chức năng của PKI ............................................................ 4

1.1.3.

Một số ứng dụng của PKI ..................................................................... 5

1.2. CÁC THÀNH PHẦN KỸ THUẬT CƠ BẢN TRONG PKI .......................... 5
1.2.1.


Mã hóa ................................................................................................. 5

1.2.2.

Ký số................................................................................................... 12

1.2.3.

Chứng chỉ số. ...................................................................................... 16

Chương 2. CÁC CÔNG NGHỆ DÙNG TRONG XÂY DỰNG PKI...................... 19
2.1. CÔNG NGHỆ OPENCA .............................................................................. 19
2.1.1.

Thiết kế tổng quan .............................................................................. 20

2.1.2.

Hướng dẫn sử dụng. ........................................................................... 23

2.2. CÔNG NGHỆ SSL ........................................................................................ 26
2.2.1.

Giới thiệu về SSL ................................................................................ 26

2.2.2.

Các phiên bản ..................................................................................... 28


2.2.3.

Các thuộc tính cơ bản ......................................................................... 28

2.2.4.

Mục đích ............................................................................................. 28

2.2.5.

Giao thức bản ghi (Record Protocol) .................................................. 29

2.2.6.

Giao thức ChangeCipherSpec ............................................................. 31

2.2.7.

Giao thức cảnh báo (Alert Protocol) ................................................... 32

2.2.8.

Giao thức bắt tay tay (Handshake Protocol) ....................................... 32

2.2.9.

Các hệ mã hoá sử dụng với SSL .......................................................... 47

2.2.10.


Bảo mật của SSL ................................................................................. 49

2.2.11.

Ưu điểm và hạn chế của SSL ............................................................... 50


Chương 3: ỨNG DỤNG PKI TRONG THƢƠNG MẠI ĐIỆN TỬ ....................... 54
3.1. TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ ............................................. 54
3.1.1.

Khái niệm thương mại điện tử ............................................................. 54

3.1.2.

Các mơ hình thương mại điện tử ......................................................... 57

3.1.3.

Đặc trưng của thương mại điện tử ...................................................... 59

3.2. MỘT SỐ BÀI TOÁN ĐẶC TRƢNG TRONG THƢƠNG MẠI ĐIỆN TỬ 61
3.2.1.

Giới thiệu............................................................................................ 61

3.2.2.

Một số bài toán trong quảng cáo trực tuyến........................................ 61


3.2.3.

Một số bài toán trong thỏa thuận và ký kết hợp đồng .......................... 64

3.2.4.

Một số bài toán trong thanh toán trực tuyến và chuyển giao hàng hóa68

Chương 4: THỬ NGHIỆM MỘT SỐ CHƢƠNG TRÌNH TRONG PKI ............. 73
4.1. CẤU HÌNH HỆ THỐNG .............................................................................. 73
4.1.1.

Đăng kí thư viện cho phép kí số, mã hóa ............................................. 73

4.1.2.

Cấu hình cho Internet Explorer........................................................... 74

4.2. CÁC THÀNH PHẦN CỦA CHƢƠNG TRÌNH........................................... 76
4.2.1.

Thiết bị lưu trữ chứng thư (USB TOKEN) ........................................... 76

4.2.2.

Chứng thư số của RootCA và SubCA .................................................. 77

4.2.3.
Sử dụng khóa bí mật (Private key) và khóa cơng khai (Public key) trong
chứng thư số ...................................................................................................... 79

4.3. HƢỚNG DẤN SỬ DỤNG ............................................................................. 84
4.3.1.

Ký số: ................................................................................................. 85

4.3.2.

Xác thực: ............................................................................................ 86

4.3.3.

Mã hóa: .............................................................................................. 88

4.3.4.

Giải mã: ............................................................................................. 90

KẾT LUẬN .............................................................................................................. 92
TÀI LIỆU THAM KHẢO ....................................................................................... 93
PHỤ LỤC ................................................................................................................. 94


DANH MỤC HÌNH VẼ
Hình 1: Mơ hình mã hóa đối xứng ............................................................................... 8
Hình 2: Mơ hình mã hóa khóa cơng khai.................................................................... 10
Hình 3: Mơ hình ký số ............................................................................................... 12
Hình 4: Tạo đại diện thơng điệp và ký số ................................................................... 14
Hình 5: Xác thực chữ ký số........................................................................................ 15
Hình 6: Cái nhìn hƣớng CSDL của PKI ..................................................................... 20
Hình 7: Cái nhìn dữ liệu logic .................................................................................... 21

Hình 8: Cái nhìn kỹ thuật của PKI ............................................................................. 21
Hình 9: Vịng đời của các đối tƣợng........................................................................... 23
Hình 12: Vị trí giao thức Bản ghi trong giao thức SSL ............................................... 29
Hình 13: Các giai đoạn thi hành của giao thức Bản ghi .............................................. 30
Hình 14: Cấu trúc một thơng điệp SSL Record .......................................................... 31
Hình 15: Thơng điệp ChangeCipherSpec ................................................................... 31
Hình 16: Định dạng thơng điệp Alert ......................................................................... 32
Hình 17: Vị trí giao thức bắt tay................................................................................. 32
Hình 18: Tiến trình bắt tay ......................................................................................... 33
Hình 19: Thơng điệp Certificate ................................................................................. 36
Hình 20: ServerKeyExchange mang các tham số Diffie-Hellman .............................. 37
Hình 21: ServerKeyExchange mang các tham số RSA............................................... 38
Hình 22: ServerKeyExchange sử dụng Fortezza ........................................................ 38
Hình 23: Server ký hàm băm của các tham số ServerKeyExchange ........................... 39
Hình 24: Thơng điệp CertificateRequest .................................................................... 39
Hình 25: Thơng điệp ServerHelloDone ...................................................................... 41
Hình 26: Thơng điệp ClientKeyExchange với RSA ................................................... 42
Hình 27: Thơng điệp ClientKeyExchange với Diffie-Hellman ................................... 42


Hình 28: Thơng điệp ClientKeyExchange với Fortezza.............................................. 43
Hình 29: Tạo thơng điệp CertificateVerify ................................................................. 43
Hình 30: Thơng điệp Finished .................................................................................... 46
Hình 31: Thơng điệp Finished bao gồm một hàm băm ............................................... 47


1

BẢNG CÁC CHỮ VIẾT TẮT
Giải thích


Từ viết tắt
PKI

Public Key Infastructure. Hạ tầng mật mã khóa cơng khai

WWW

World Wide Web

SSL

Secure Socket Layer. Giao thức truyền tin an toàn

ABA

Một dự án của American Bar Association

USA

Liên bang hoa kỳ

CA

Certificate Authority. Cơ quan xác thực/ cấp phát chứng chỉ số

RA

Registration Authority. Cơ quan đăng ký cấp phát chứng chỉ số


OCSP

Online Certificate Status Protocol. Phƣơng thức kiểm tra trạng
thái chứng chỉ số trực tuyến

CRL

Cerificate Revocation List. Danh sách chứng chỉ số bị thu hồi

IT

Information Technology. Công nghệ thông tin


2

MỞ ĐẦU
Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng đƣợc mở
rộng khi ngƣời sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các
đồng nghiệp, các đối tác kinh doanh cũng nhƣ việc khách hàng dùng email trên các
mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng đƣợc lƣu trữ và trao
đổi dƣới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp. Sự thay đổi
trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo
vệ đơn vị, tổ chức, doanh nghiệp của mình trƣớc các nguy cơ lừa đảo, can thiệp, tấn
cơng, phá hoại hoặc vơ tình tiết lộ các thơng tin đó. Hạ tầng mật mã khố cơng khai
(PKI - Public Key Infrastructure) cùng các tiêu chuẩn và cơng nghệ ứng dụng của nó
có thể đƣợc coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn
đề này.
Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch
vụ cung cấp chứng chỉ số nói riêng là vấn đề cịn mang tính thời sự. Bằng việc sử dụng

chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đƣa ra nhiều đặc tính đảm bảo
an tồn thơng tin cho ngƣời sử dụng. Luận văn này đƣợc thực hiện với mục đích tìm
hiểu nghiên cứu về PKI, bao gồm các khái niệm tổng quan về mật mã, chứng chỉ số,
các khái niệm cơ sở về PKI, chức năng và các thành phần PKI, ứng dụng PKI trong
thƣơng mại điện tử.
Luận văn bao gồm 4 chƣơng:
Chƣơng 1: Tổng quan về hạ tầng mật mã khóa cơng khai
Giới thiệu các khái niệm về hạ tầng mật mã khóa cơng khai, hệ mật mã đối
xứng, hệ mật mã phi đối xứng hay còn đƣợc gọi là hệ mật mã khố cơng khai; ƣu và
nhƣợc điểm của các hệ mã này; khái niệm về chữ ký số và hàm băm, sơ đồ chữ ký số
Chƣơng 2: Các công nghệ dùng trong xây dựng PKI
Giới thiệu các công nghệ OPENCA và SSL
Chƣơng 3: Ứng dụng PKI trong thƣơng mại điện tử
Giới thiệu tổng quan về thƣơng mại điện tử. Các bài toán đặc trƣng trong thƣơng
mại điện tử. Hƣớng dẫn cài đặt và sử dụng chƣơng trình ký số, mã hóa, xác thực, giải
mã.
Chƣơng 4: Thử nghiệm một số chƣơng trình trong PKI
Thử nghiệm ứng dụng mã hóa và ký số trong việc truyền nhận chứng từ trong
TMĐT


3

Chương 1. TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CƠNG
KHAI
1.1.

CÁC KHÁI NIỆM CƠ BẢN.

Hạ tầng khóa mật mã khóa cơng khai (Public Key Infastructure: PKI) có thể hiểu

là: Tập hợp các công cụ, phương tiện cùng các giao thức bảo đảm an toàn truyền tin
cho các giao dịch trên mạng máy tính cơng khai. Đó là nền móng mà trên đó các ứng
dụng, các hệ thống an tồn bảo mật thông tin đƣợc thiết lập.
Theo nghĩa đầy đủ, PKI gồm 3 phần chính:
Phần 1: Tập hợp các cơng cụ, phƣơng tiện, giao thức bảo đảm an tồn thơng tin.
Phần 2: Hành lang pháp lý: Luật giao dịch điện tử, các Qui định dƣới luật.
Phần 3: Các tổ chức điều hành giao dịch điện tử (CA, RA, …).
Ba thành phần trên thiết lập một Hệ thống tin cậy trên mạng máy tính cơng khai.
Hệ thống có các khả năng sau:
 Bảo đảm bí mật các thơng tin truyền trên mạng: thực thể không đƣợc cấp quyền
không thể xem trộm bản tin.
 Bảo đảm tồn vẹn các thơng tin truyền trên mạng: thực thể khơng đƣợc cấp
quyền khơng có thể sửa đổi bản tin.
 Bảo đảm xác thực các thông tin truyền trên mạng: thực thể nhận bản tin có thể
định danh đƣợc thực thể gửi bản tin và ngƣợc lại.
 Bảo đảm hỗ trợ các yêu cầu chống chối cãi.
Nhờ những khả năng đó, trên hệ thống này, các thực thể khơng biết mặt nhau, từ
xa có thể tiến hành các giao dịch trong niềm tin cậy lẫn nhau.
1.1.1.

Lịch sử phát triển PKI

Việc Diffie, Hellman, Rivest, Shamir, và Adleman công bố cơng trình nghiên
cứu về trao đổi khóa an tồn và thuật tốn mật mã hóa khóa cơng khai vào năm 1976
đã làm thay đổi hoàn toàn cách thức trao đổi thông tin mật. Cùng với sự phát triển của
các hệ thống truyền thông điện tử tốc độ cao (Internet và các hệ thống trƣớc nó), nhu
cầu về trao đổi thơng tin bí mật trở nên cấp thiết. Thêm vào đó một yêu cầu nữa phát
sinh là việc xác định định dạng của những ngƣời tham gia vào quá trình thơng tin. Vì



4

vậy ý tƣởng về việc gắn định dạng ngƣời dùng với chứng thực đƣợc bảo vệ bằng các
kỹ thuật mật mã đã đƣợc phát triển một cách mạnh mẽ.
Nhiều giao thức sử dụng các kỹ thuật mật mã mới đã đƣợc phát triển và phân
tích. Cùng với sự ra đời và phổ biến của World Wide Web, những nhu cầu về thơng tin
an tồn và nhận thực ngƣời sử dụng càng trở nên cấp thiết. Chỉ tính riêng các nhu cầu
ứng dụng cho thƣơng mại (nhƣ giao dịch điện tử hay truy cập những cơ sở dữ liệu
bằng trình duyệt web) cũng đã đủ hấp dẫn các nhà phát triển lĩnh vực này. Taher
ElGamal và các cộng sự tại Netscape đã phát triển giao thức SSL (https trong địa chỉ
web) trong đó bao gồm thiết lập khóa, nhận thực máy chủ... Sau đó, các thiết chế PKI
đƣợc tạo ra để phục vụ nhu cầu truyền thơng an tồn.
Các nhà doanh nghiệp kỳ vọng vào một thị trƣờng hứa hẹn mới đã thành lập
những công ty hoặc dự án mới về PKI và bắt đầu vận động các chính phủ để hình
thành nên khung pháp lý về lĩnh vực này. Một dự án của American Bar Association đã
xuất bản một nghiên cứu tổng quát về những vấn đề pháp lý có thể nảy sinh khi vận
hành PKI (xem thêm: các hƣớng dẫn chữ ký số ABA). Khơng lâu sau đó, một vài tiểu
bang của Hoa kỳ mà đi đầu là Utah (năm 1995) đã thông qua những dự luật và quy
định đầu tiên. Các nhóm bảo vệ quyền lợi ngƣời tiêu dùng thì đặt ra các vấn đề về bảo
vệ quyền riêng tƣ và các trách nhiệm pháp lý. Đến năm 1999: liên bang Hoa Kỳ
(USA) có Luật giao dịch điện tử đồng nhất (Uniform Electronic Transactions Act:
UETA). Năm 1997: CHLB Đức có Luật chữ ký số (Digital Signature Act). Năm 1998:
Singapore có Luật giao dịch điện tử (Electronic Transactions Act)
Tuy nhiên, các luật và quy định đã đƣợc thông qua lại khơng thống nhất trên thế
giới. Thêm vào đó là những khó khăn về kỹ thuật và vận hành khiến cho việc thực
hiện PKI khó khăn hơn rất nhiều so với kỳ vọng ban đầu.
Tại thời điểm đầu thế kỷ 21, ngƣời ta nhận ra rằng các kỹ thuật mật mã cũng nhƣ
các quy trình/giao thức rất khó đƣợc thực hiện chính xác và các tiêu chuẩn hiện tại
chƣa đáp ứng đƣợc các yêu cầu đề ra.
Thị trƣờng PKI thực sự đã tồn tại và phát triển nhƣng không phải với quy mô đã

đƣợc kỳ vọng từ những năm giữa của thập kỷ 1990. PKI chƣa giải quyết đƣợc một số
vấn đề mà nó đƣợc kỳ vọng. Những PKI thành cơng nhất tới nay là các phiên bản do
các chính phủ thực hiện.
1.1.2.

Mục tiêu và chức năng của PKI

PKI cho phép những ngƣời tham gia xác thực lẫn nhau và sử dụng thơng tin từ
các chứng thực khóa cơng khai để mã hóa và giải mã thơng tin trong q trình trao đổi.


5

Thông thƣờng, PKI bao gồm phần mềm máy khách (client), phần mềm máy chủ
(server), phần cứng (nhƣ thẻ thông minh) và các quy trình hoạt động liên quan. Ngƣời
sử dụng cũng có thể ký các văn bản điện tử với khóa bí mật của mình và mọi ngƣời
đều có thể kiểm tra với khóa cơng khai của ngƣời đó. PKI cho phép các giao dịch điện
tử đƣợc diễn ra đảm bảo tính bí mật, tồn vẹn và xác thực lẫn nhau mà không cần phải
trao đổi các thông tin mật từ trƣớc.
1.1.3.

Một số ứng dụng của PKI

Mục tiêu chính của PKI là cung cấp khóa cơng khai và xác định mối liên hệ giữa
khóa và định dạng ngƣời dùng. Nhờ vậy ngƣời dùng có thể sử dụng trong một số ứng
dụng nhƣ:


Mã hóa Email hoặc xác thực ngƣời gửi Email (OpenPGP or S/MIME).




Mã hóa hoặc xác thực văn bản (Các tiêu chuẩn Chữ ký XML; hoặc mã hóa
XML khi văn bản đƣợc thể hiện dƣới dạng XML).



Xác thực ngƣời dùng ứng dụng (Đăng nhập bằng thẻ thông minh, nhận thực
ngƣời dùng trong SSL).



Các giao thức truyền thơng an tồn dùng kỹ thuật Bootstrapping (IKE,
SSL): trao đổi khóa bằng khóa bất đối xứng, cịn mã hóa bằng khóa đối
xứng.

1.2.

CÁC THÀNH PHẦN KỸ THUẬT CƠ BẢN TRONG PKI

1.2.1. Mã hóa
Mã hóa là cơng cụ cơ bản của việc đảm bảo an tồn dữ liệu. Ở thời kỳ sơ khai,
con ngƣời đã sử dụng nhiều phƣơng pháp để bảo vệ các thông tin bí mật, nhƣng tất cả
các phƣơng pháp đó chỉ mang tính nghệ thuật hơn là khoa học. Ban đầu, mật mã học
đƣợc sử dụng phổ biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò của mật mã
ngày càng quan trọng và mang lại nhiều thành quả không nhỏ nhƣ các hệ mã cổ điển
Caeser, Playfair,…Chúng đã là nền tảng cho mật mã học này nay.
Ngày nay, khi toán học đƣợc áp dụng cho mật mã học thì lịch sử của mật mã học
đã sang trang mới. Việc ra đời các hệ mã hóa đối xứng khơng làm mất đi vai trò của
các hệ mật mã cổ điển mà còn bổ sung cho ngành mật mã nhiều phƣơng pháp mã hóa

mới. Từ năm 1976, khi hệ mật mã phi đối xứng (mật mã khóa cơng khai) ra đời, nhiều
khái niệm mới gắn với mật mã học đã xuất hiện: chữ ký số, hàm băm, mã đại diện,


6

chứng chỉ số. Mật mã học không chỉ áp dụng cho quân sự mà còn cho các lĩnh vực
kinh tế xã hội khác nhƣ giao dịch hành chính, thƣơng mại điện tử.
Hiện nay có nhiều phƣơng pháp mã hóa khác nhau, mỗi phƣơng pháp có ƣu,
nhƣợc điểm riêng. Tùy theo yêu cầu của môi trƣờng ứng dụng nào, ngƣời ta có thể
dùng phƣơng pháp này hay phƣơng pháp kia. Có những mơi trƣờng cần phải an tồn
tuyệt đối bất kể thời gian và chi phí. Có những mơi trƣờng lại cần giải pháp dung hịa
giữa bảo mật và chi phí.
Các thông điệp cần chuyển đi và cần đƣợc bảo vệ an toàn gọi là bản rõ
(plaintext), và đƣợc ký hiệu là P. Nó có thể là một dịng các bít, các file, âm thanh số
hoá,... Bản rõ đƣợc dùng để lƣu trữ hoặc để truyền đạt thông tin. Trong mọi trƣờng
hợp bản rõ là thơng điệp cần mã hố. Q trình xử lý một thơng điệp trƣớc khi gửi
đƣợc gọi là q trình mã hố (encryption). Một thơng điệp đã đƣợc mã hoá đƣợc gọi là
bản mã (ciphertext), và đƣợc ký hiệu là C. Quá trình xử lý ngƣợc lại từ bản mã thành
bản rõ đƣợc gọi là quá trình giải mã (decryption).
Để bảo đảm an tồn thơng tin lƣu trữ trong máy tính (Ví dụ giữ gìn thơng tin cố
định) hay bảo đảm an tồn thơng tin trên đƣờng truyền tin (Ví dụ trên mạng máy tính,
trên điện thoại), ngƣời ta phải “Che Giấu” các thông tin này.
“Che” thông tin (dữ liệu) hay “Mã hóa ” thơng tin là thay đổi hình dạng thơng tin
gốc, và ngƣời khác “khó” nhận ra.
“Giấu” thông tin (dữ liệu) là cất giấu thông tin trong bản tin khác, và ngƣời khác
cũng “khó” nhận ra.
Trong phần này chúng ta bàn về “Mã hóa” thơng tin
Hệ mật mã là tập hợp các thuật toán, các khóa nhằm che dấu thơng tin tin cũng
nhƣ làm rõ nó.

Hệ mật mã đƣợc định nghĩa là bộ năm ( P,C,K,E,D), trong đó:
- P là tập hữu hạn các bản rõ có thể
- C là tập hữu hạn các bản mã có thể
- K là tập hữu hạn khóa có thể
- E là tập các hàm lập mã
- D là tập các hàm giải mã. Với mỗi k  K có một hàm lập mã Ek  E (Ek:P 
C) và một hàm giải mã Dk  D (Dk : C  P) sao cho Dk (Ek (x)) = x ,  x  P.


7

Với khóa lập mã kl  K, có hàm lập mã ekl  E, ekl: P C,
Với khóa giải mã kg  K, có hàm giải mã dkg  D, dkg: C P,
sao cho dkg (ekl (x)) = x,  x  P.
Ơ đây x đƣợc gọi là bản rõ, ekl (x) đƣợc gọi là bản mã.
Trên đƣờng truyền tin, thơng tin đƣợc mã hố để bảo đảm bí mật:
Ngƣời gửi G   ekl (T)   Ngƣời nhận N
(có khóa lập mã kl) (có khóa giải mã kg)

Tin tặc có thể trộm bản mã ekl (T)
Ngƣời gửi G muốn gửi bản tin T cho ngƣời nhận N. Để bảo đảm bí mật, G mã
hố bản tin bằng khóa lập mã kl, nhận đƣợc bản mã ekl (T), sau đó gửi cho N.
Tin tặc có thể trộm bản mã ekl (T), nhƣng cũng “khó” hiểu đƣợc bản tin gốc T
nếu khơng có khố giải mã kg.
Ngƣời N nhận đƣợc bản mã, họ dùng khoá giải mã kg, để giải mã ekl (T), sẽ nhận
đƣợc bản tin gốc T = dkg(ekl (T)).
Hiện nay các hệ mật mã đƣợc phân làm hai loại chính là: Hệ mật mã đối xứng và
hệ mật mã bất đối xứng (hay còn gọi là hệ mật mã khóa cơng khai).
Mật mã đối xứng: có khóa lập mã và khóa giải mã “giống nhau”, theo nghĩa biết
đƣợc khóa này thì “dễ” tính đƣợc khóa kia. Phải giữ bí mật cả 2 khóa. Các hệ mật mã

đối xứng nhƣ: Caesar, IDEA, DES, Triple DES.
Mật mã khóa cơng khai: có khóa lập mã khác khóa giải mã (kl  kg), biết đƣợc
khóa này cũng “khó” tính đƣợc khóa kia. Bí mật khóa giải mã. Cơng khai khóa lập mã.
Các hệ mật mã khóa cơng khai RSA, Elgamal, ECC.


8

1.2.1.1. Hệ mã hóa khóa đối xứng
Mã hóa khóa đối xứng là Hệ mã hóa có khóa lập mã và khóa giải mã “giống
nhau”, theo nghĩa biết đƣợc khóa này thì “dễ” tính đƣợc khóa kia. Đặc biệt một số Hệ
mã hóa loại này có khố lập mã và khố giải mã trùng nhau (kl = kg).
Hệ mã hóa khóa đối xứng cịn có tên gọi là Hệ mã hóa khố bí mật, vì phải giữ bí
mật cả 2 khóa. Trƣớc khi dùng Hệ mã hóa khóa đối xứng, ngƣời gửi và ngƣời nhận
phải thoả thuận thuật tốn mã hóa và một khoá chung (lập mã hay giải mã), khoá này
phải đƣợc giữ bí mật. Độ an tồn của Hệ mã hóa loại này phụ thuộc vào khố.
Khóa bí mật dùng
chung giữa ngƣời
gửi và ngƣời nhận

Đầu
vào
bản rõ

Khóa bí mật dùng
chung giữa ngƣời
gửi và ngƣời nhận

Bản mã đƣợc
truyền đi

Thuật tốn mã
hóa

Thuật tốn
giải mã

Đầu ra
bản rõ

Hình 1: Mơ hình mã hóa đối xứng
Khóa bí mật dùng chung giữa ngƣời gửi và ngƣời nhận nếu đƣợc sinh ra bởi
ngƣời gửi (hoặc ngƣời gửi), khóa phải đƣợc chuyển cho ngƣời cịn lại theo một kênh
bí mật nào đó. Có thể dùng một thành viên thứ 3 (đáng tin cậy) sinh khóa và phân phối
khóa một cách bí mật cho cả ngƣời gửi và ngƣời nhận.
1. Các đặc điểm của Hệ mã hóa khóa đối xứng.


Ƣu điểm:
- Tốc độ mã hóa và giải mã nhanh.
- Sử dụng đơn giản: chỉ cần dùng một khoá cho cả 2 bƣớc mã và giải mã.
- Mật mã khoá đối xứng (nhất là mã máy điện tử và vi điện tử hiện đại) đã đƣợc
đánh giá là an toàn và thực tế đã đƣợc thử thách tính an tồn của chúng qua thực
tiễn. Cho nên hiện nay, chúng đƣợc dùng trong các lĩnh vực quân sự, Ngoại giao,
trong an ninh quốc gia và cả trong kinh tế,v.v.


9




Nhƣợc điểm:
- Khi hai ngƣời (lập mã, giải mã) cùng biết “chung” một bí mật, thì khó giữ đƣợc
bí mật !
- Vấn đề thỏa thuận khố và quản lý khóa chung là khó khăn và phức tạp. Ngƣời
gửi và ngƣời nhận phải ln thống nhất với nhau về khố. Việc thay đổi khố là
rất khó và dễ bị lộ. Khóa chung phải đƣợc gửi cho nhau trên kênh an toàn.
- Việc sử dụng mật mã khoá đối xứng vào chữ ký số hoặc xác thực ngƣời dùng
cũng nhƣ bảo vệ bản quyền số là một khó khăn khó khắc phục.
2. Nơi sử dụng Hệ mã hóa đối xứng.

Hệ mã hóa khóa đối xứng thƣờng đƣợc sử dụng trong mơi trƣờng mà khố
chung có thể dễ dàng trao chuyển bí mật, chẳng hạn trong cùng một mạng nội bộ.
Hệ mã hóa khóa đối xứng dùng để mã hóa những bản tin lớn, vì tốc độ mã hóa
và giải mã nhanh hơn Hệ mã hóa khóa cơng khai.
1.2.1.2.

Hệ mã hóa khóa bất đối xứng

Hệ mã hóa khóa bất đối xứng hay cịn gọi là hệ mã hóa khóa cơng khai.
Khái niệm mã hóa khố cơng khai nảy sinh khi giải quyết hai vấn đề khó khăn
trong mã hóa đối xứng.
Vấn đề đầu tiên là phân phối khoá. Nhƣ chúng ta đã biết, việc phân phối khoá
trong mã hoá đối xứng yêu cầu hai bên liên lạc:
- Dùng chung một khoá đƣợc phân phối theo cách nào đó; hoặc:
- Sử dụng một trung tâm phân phối khoá.
Whitfield Diffie, một trong những ngƣời đã phát minh ra mã hố khố cơng khai
(cùng với Martin Hellman, trƣờng Đại học Stanford) đã suy luận và cho rằng, yêu cầu
thứ hai phủ nhận bản chất của mật mã. Bản chất đó là đảm bảo tính bí mật trong liên
lạc. Khó có thể tồn tại các hệ thống mật mã không thể phá đƣợc, nếu ngƣời sử dụng
của các hệ thống này bắt buộc phải dùng chung các khoá của một trung tâm phân phối

khoá (KDC), lý do là trung tâm này có thể để lộ khố.
Vấn đề thứ hai mà Diffie đặt ra là "chữ ký số". Nếu việc sử dụng mật mã trở nên
phổ biến, không chỉ trong lĩnh vực quân sự mà còn đƣợc sử dụng cho các mục đích
thƣơng mại và cá nhân, thì các thơng báo và tài liệu điện tử cần có các chữ ký và
chúng có hiệu lực tƣơng tự nhƣ các chữ ký trên giấy tờ.


10

Các thuật tốn khố cơng khai sử dụng một khố để mã hoá và một khoá khác để
giải mã (tạo thành một cặp khố). Chúng có tính chất quan trọng sau đây: “Khó có thể
xác định đƣợc khố giải mã nếu chỉ căn cứ vào các thông tin về thuật tốn và khố mã
hố.”
Mã hóa khóa cơng khai hay cịn gọi mã hóa khóa phi đối xứng là Hệ mã hóa có
khóa lập mã và khóa giải mã khác nhau (kl  kg), biết đƣợc khóa này cũng “khó” tính
đƣợc khóa kia.
Hệ mã hóa này cịn đƣợc gọi là Hệ mã hố khóa cơng khai, vì:
Khố lập mã cho cơng khai, gọi là khố cơng khai (Public key).
Khóa giải mã giữ bí mật, cịn gọi là khóa riêng (Private key).
Một ngƣời bất kỳ có thể dùng khố cơng khai để mã hố bản tin, nhƣng chỉ
ngƣời nào có đúng khố giải mã thì mới có khả năng xem đƣợc bản rõ.
Vịng khóa
cơng khai
của Alice
Joy

Ted
Mike

Bob

Khóa cơng khai
của Bob

Đầu vào Thuật tốn mã hóa
bản rõ

Bản mã đƣợc
truyền đi

Khóa riêng
của Bob

Thuật tốn
giải mã

Đầu ra
bản rõ

Hình 2: Mơ hình mã hóa khóa cơng khai
Hình trên minh hoạ q trình mã hố khố cơng khai. Các bƣớc cơ bản gồm:
- Mỗi hệ thống trên một mạng sinh ra một cặp khóa, cặp khố này đƣợc sử dụng
để mã hố và giải mã các thơng báo mà nó nhận đƣợc.
- Mỗi hệ thống cơng bố khóa mã hố của mình bằng cách đặt khố này vào trong
một thanh ghi cơng khai hoặc một file. Đây chính là khố cơng khai. Khố cùng
cặp đƣợc giữ bí mật.


11

- Nếu A muốn gửi cho B một thông báo, nó mã hố thơng báo bằng khố cơng

khai của B.
- Khi B nhận đƣợc thông báo, B giải mã thông báo bằng khố riêng của B.
Khơng một ngƣời nhận nào khác có thể giải mã thơng báo, bởi vì chỉ có B mới
biết khố riêng của mình.
Với cách giải quyết này, tất cả các thành viên tham gia truyền thông có thể truy
nhập vào các khố cơng khai. Khố riêng do mỗi thành viên sinh ra không bao giờ
đƣợc phân phối. Q trình liên lạc chỉ an tồn chừng nào hệ thống cịn kiểm sốt đƣợc
khố riêng của mình. Một hệ thống có thể thay đổi các khố riêng của nó bất cứ lúc
nào, đồng thời cơng bố các khố cơng khai cùng cặp để thay thế khố cơng khai cũ.
2.


Các đặc điểm của Hệ mã khố cơng khai.
Ƣu điểm:
- Ngƣời mã hố dùng khóa cơng khai, ngƣời giải mã giữ khóa bí mật. Khả năng
lộ khóa bí mật khó hơn vì chỉ có một ngƣời gìn giữ.
- Nếu kẻ phá hoại biết khố cơng khai, cố gắng tìm khố bí mật, thì chúng phải
đƣơng đầu với bài tốn “khó”.
- Khi biết các tham số ban đầu của hệ mã hóa, việc tính ra cặp khố cơng khai và
bí mật phải là “dễ”, tức là trong thời gian đa thức.
- Ngƣời gửi có bản rõ P và khố cơng khai, thì “dễ” tạo ra bản mã C.
- Ngƣời nhận có bản mã C và khố bí mật, thì “dễ” giải đƣợc thành bản rõ P.
- Nếu kẻ phá hoại biết khố cơng khai và bản mã C, thì việc tìm ra bản rõ P cũng
là bài tốn “khó”, số phép thử là vô cùng lớn, không khả thi.
- Hệ mã hóa khóa cơng khai tiện lợi hơn Hệ mã hóa đối xứng cổ điển cịn ở chỗ:
- Thuật tốn đƣợc viết một lần, công khai cho nhiều lần dùng và cho nhiều ngƣời
dùng, chỉ cần giữ bí mật khóa riêng.




Nhƣợc điểm:
- Mã hóa khóa cơng khai mã hóa và giải mã chậm hơn Mã hóa khóa đối xứng.

3. Nơi sử dụng Hệ mã hóa khố cơng khai.
Sử dụng chủ yếu trên các mạng công khai nhƣ Internet, khi mà việc trao đổi khố
bí mật tƣơng đối khó khăn. Đặc trƣng nổi bật của hệ mã hố cơng khai là cả khố cơng
khai (public key) và bản mã (ciphertext) đều có thể gửi đi trên một kênh truyền tin
khơng an tồn.


12

1.2.2. Ký số
1.2.2.1. Khái niệm
Với thỏa thuận thông thƣờng trên giấy, hai đối tác xác nhận sự đồng ý bằng cách
kí tay vào cuối thỏa thuận. Bằng cách nào đó ngƣời ta phải thể hiện đó là chữ kí của
riêng họ và kẻ khác không thể giả mạo. Mọi cách sao chép chữ kí trên giấy thƣờng dễ
bị phát hiện, vì bản sao có thể phân biệt đƣợc với bản gốc.
Các giao dịch hợp tác trên mạng cũng đƣợc thực hiện theo cách tƣơng tự, nghĩa
là hai đối tác trên hai nút mạng cũng phải kí vào Bản thỏa thuận. Chỉ khác là văn bản
truyền trên mạng đƣợc biểu diễn dƣới dạng “số” (chỉ dùng chữ số 0 và 1), ta gọi nó
này là “văn bản số” (điện tử). Do đó chữ kí trên “văn bản số” khác với chữ kí trên văn
bản giấy thơng thƣờng.
Việc giả mạo và sao chép lại đối với “văn bản số” là việc hoàn tồn dễ dàng,
khơng thể phân biệt đƣợc bản gốc với bản sao. Nhƣ vậy “chữ kí” ở cuối “văn bản số”
khơng thể chịu trách nhiệm đối với tồn bộ nội dung văn bản loại này. Do đó Chữ kí
thể hiện trách nhiệm đối với toàn bộ “văn bản số” phải là “chữ kí” đƣợc kí trên từng
bit của văn bản loại này. Bản sao của “chữ kí số” có tƣ cách pháp lí.
Chữ kí thơng thƣờng đƣợc kiểm tra bằng cách so sánh nó với chữ kí gốc. Ví dụ,
ai đó kí một tấm séc để mua hàng, ngƣời bán phải so sánh chữ kí trên mảnh giấy với

chữ kí gốc nằm ở mặt sau của thẻ tín dụng để kiểm tra. Dĩ nhiên, đây không phải là
phƣơng pháp an tồn vì nó dễ dàng bị giả mạo.
“Chữ kí số” có thể đƣợc kiểm tra chính xác nhờ dùng một thuật tốn kiểm tra
cơng khai. Nhƣ vậy, bất kỳ ai cũng có thể kiểm tra đƣợc chữ kí số. Việc dùng một sơ
đồ chữ kí an tồn có thể sẽ ngăn chặn đƣợc khả năng giả mạo.

Người
gửi

Khóa cơng khai
của người gửi

Khóa bí mật của
người gửi

Bản rõ

Chữ
ký số

-------------------------------------------------------------------------------------------------

Thuật tốn mã hóa khóa
cơng khai

Bản rõ
-------------------------------------------------------------------------------------------------

Thuật tốn giải mã khóa
cơng khai


Hình 3: Mơ hình ký số

Người
nhận


13

1.2.2.2. Đại diện thơng điệp
Vì “Chữ kí số ” đƣợc kí trên từng bit của “văn bản số”, nên độ dài của nó ít nhất
cũng bằng văn bản cần kí. Nhƣ vậy sẽ tốn kém chỗ nhớ cũng nhƣ thời gian “kí” và
thời gian truyền “Chữ kí số ”. Trên thực tế thay vì kí trên “văn bản số”, ngƣời ta kí
trên “Đại diện” (Digest) của nó.
Để ký trên “văn bản số” dài, đầu tiên phải tạo “đại diện” của văn bản nhờ “Hàm
băm”. Một thông điệp đƣợc đƣa qua hàm băm sẽ tạo ra xâu bit với độ dài cố định và
ngắn hơn đƣợc gọi là “Đại diện” (Digest). Mỗi thông điệp đi qua 1 hàm băm chỉ cho
duy nhất 1 “Đại diện”. Ngƣợc lại, “khó” tìm đƣợc 2 thơng điệp khác nhau mà có cùng
một “Đại diện” (ứng với cùng 1 hàm băm).
Hàm băm kết hợp với “chữ ký số” ở trên sẽ tạo ra một loại “chữ ký điện tử ” vừa
an tồn (khơng thể cắt / dán), vừa có thể dùng để kiểm tra tính tồn vẹn của thông
điệp.
1). Ngƣời gửi: Tạo ra “chữ ký số”.


Đƣa thông điệp cần gửi qua hàm băm tạo ra “Đại diện”.

 Mã hoá “Đại diện” bằng khoá riêng (private) của ngƣời gửi để tạo ra “chữ ký
số”.
 Mã hố thơng điệp và chữ ký bằng khố cơng khai (public) của ngƣời nhận, gửi

đi.


14

Bản rõ

Bản rõ

-------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------

Digest

Băm
Chữ ký
số
Đại diện
thơng điệp
Digest



Hình 4: Tạo đại diện thông điệp và ký số
2). Ngƣời nhận: Định danh ngƣời ký, kiểm tra tính tồn vẹn của thơng điệp.
 Giải mã thơng điệp bằng khố riêng của mình, giải mã chữ ký bằng khố cơng
khai của ngƣời gửi để lấy “Đại diện” ra.
 Cho thông điệp qua hàm băm để tạo ra “Đại diện” mới.
 So sánh “Đại diện” mới với “Đại diện” nhận đƣợc.

Nếu chúng giống nhau thì ngƣời nhận có thể vừa định danh đƣợc ngƣời gửi, vừa kiểm
tra tính tồn vẹn của thơng điệp.


15

Bản rõ
-------------------------------------------------------------------------------------------------

Digest

So sánh
Digest

Hình 5: Xác thực chữ ký số


16

1.2.3. Chứng chỉ số.
1.2.3.1. Khái niệm
Việc sử dụng mã hóa hay ký số chỉ giải quyết đƣợc vấn đề bảo mật và xác thực
thơng điệp. Tuy nhiên “khó” thể đảm bảo rằng ngƣời ký là đối tác thật. Trong nhiều
trƣờng hợp cần thiết phải “chứng minh” bằng phƣơng tiện điện tử danh tính của ai đó.
Ví dụ phải “chứng minh” rằng ngƣời ngƣời ký là “chủ đích thực” hiện thời của chìa
khóa ký.
Một cách giải quyết là dùng “Chứng chỉ số” để xác nhận “chủ đích thực” hiện
thời của khóa công khai.
Chứng chỉ số là một tệp tin điện tử dùng để nhận diện một cá nhân, một máy dịch
vụ, một thực thể nào đó. Nó gắn định danh của đối tƣợng đó với một khóa cơng khai,

giống nhƣ bằng lái xe, hộ chiếu, chứng minh thƣ.
Chứng chỉ số là kết quả của dự án phát triển chuẩn thƣ mục X.500 của ITU-T
phát triển vào cuối những năm thập niên 90. Chứng chỉ số đƣợc ITU-T đặc tả trong tài
liệu X.509 và dần đƣợc thay đổi qua các phiên bản cho phù hợp với thực tế. Hiện nay
Chứng chỉ X.509 phiên bản 3 đƣợc sử dụng trong các hệ thống xác thực.
Một nơi có thể chứng nhận các thơng tin của một thực thể là đúng, nó đƣợc gọi là
cơ quan xác thực chứng chỉ (Certificate Authority - CA). Đó là một đơn vị có thẩm
quyền xác nhận định danh và cấp các chứng chỉ số. CA có thể là một đối tác thứ ba
độc lập hoặc tổ chức tự vận hành một hệ thống tự cấp các chứng chỉ cho nội bộ.
Các phƣơng pháp để xác định định danh phụ thuộc vào các chính sách mà CA
đặt ra. Chính sách lập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai đƣợc
cấp và mục đích dùng vào việc gì. Thơng thƣờng, trƣớc khi cấp một chứng chỉ số, CA
sẽ công bố các thủ tục cần thiết phải thực hiện cho các loại chứng chỉ số.
Chứng chỉ số chứa khóa cơng khai, đƣợc gắn với một tên duy nhất của một đối
tƣợng (nhƣ tên của một cá nhân hay máy dịch vụ). Chứng chỉ số giúp ngăn chặn việc
sử dụng khóa cơng khai cho việc giả mạo. Chỉ có khóa cơng khai đƣợc chứng thực bởi
chứng chỉ số sẽ làm việc với khóa bí mật tƣơng ứng. Nó đƣợc sở hữu bởi đối tƣợng
với định danh đã đƣợc ghi trong chứng chỉ số.
Ngồi khóa cơng khai, chứng chỉ số cịn chứa thơng tin về đối tƣợng nhƣ tên mà
nó nhận diện, hạn dùng, tên của CA cấp chứng chỉ số, mã số … Quan trọng nhất là
chứng chỉ số phải có “chữ ký số” của CA đã cấp chứng chỉ đó. Giống nhƣ chứng chỉ
đã đƣợc “đóng dấu”, để cho ngƣời dùng khóa cơng khai có thể kiểm tra.


17

Một ngƣời muốn sử dụng Hệ mã hóa khóa cơng khai để mã hóa thơng báo và gửi
cho ngƣời nhận, ngƣời gửi phải có bản sao khóa cơng khai của ngƣời nhận. Một ngƣời
muốn kiểm tra chữ ký số của ngƣời khác, họ phải có bản sao khóa cơng khai của ngƣời
ký.

Chúng ta gọi cả hai thành viên (mã hóa thông báo và kiểm tra chữ ký số) là
những ngƣời sử dụng khóa cơng khai.
Khi khóa cơng khai đƣợc gửi đến ngƣời sử dụng khóa cơng khai, thì khơng cần
thiết phải giữ bí mật khóa cơng khai này. Tuy nhiên, ngƣời sử dụng khóa cơng khai
phải đảm bảo rằng khóa công khai đƣợc sử dụng đúng là của đối tác. Nếu kẻ phá hoại
dùng khóa cơng khai khác thay thế cho khóa cơng khai hợp lệ, thì nội dung thơng báo
đã mã hóa có thể bị lộ, chữ ký số có thể bị làm giả. Rõ ràng khóa cơng khai cần phải
đƣợc xác thực trƣớc khi dùng.
Đối với nhóm thành viên nhỏ, yêu cầu trên có thể đƣợc thỏa mãn dễ dàng. Ví dụ
trƣờng hợp hai ngƣời quen biết nhau, khi ngƣời này muốn truyền thơng an tồn với
ngƣời kia, họ có thể có đƣợc bản sao khóa cơng khai của nhau bằng cách trao đổi các
đĩa nhớ có ghi các khóa cơng khai của từng ngƣời. Nhƣ vậy đảm bảo rằng các khóa
cơng khai đƣợc lƣu giữ an tồn trên mỗi hệ thống cục bộ của từng ngƣời. Đây chính là
hình thức phân phối khóa cơng khai thủ cơng.
Phân phối khóa cơng khai thủ cơng nhƣ trên là khơng thực tế hoặc không thỏa
đáng khi số lƣợng ngƣời dùng là quá lớn và nơi làm việc phân tán. Hệ thống cấp
chứng chỉ khóa cơng khai giúp cho việc phân phối khóa cơng khai có hệ thống và
chuẩn mực.
1.2.3.2. Hệ thống cấp chứng chỉ khóa cơng khai
CA phát hành các chứng chỉ cho những ngƣời nắm giữ cặp khóa cơng khai và
khóa riêng. Chứng chỉ gồm có khóa cơng khai và thông tin dùng để nhận dạng duy
nhất chủ thể (subject) của chứng chỉ. Chủ thể của chứng chỉ có thể là một ngƣời, thiết
bị, hoặc một thực thể có nắm giữ khóa riêng tƣơng ứng. Khi chủ thể của chứng chỉ là
một ngƣời hoặc một thực thể nào đó, chủ thể thƣờng đƣợc nhắc đến nhƣ là một thực
thể (subscriber) của CA. Các chứng chỉ đƣợc CA ký, bằng khóa riêng của CA.
Một khi các chứng chỉ số đƣợc thiết lập, cơng việc của ngƣời sử dụng khóa cơng
khai rất đơn giản. Giả thiết rằng, họ đã có khóa cơng khai của CA một cách bí mật (ví
dụ: thơng qua phân phối khóa cơng khai thủ cơng) và tin cậy CA phát hành các chứng
chỉ hợp lệ. Nếu ngƣời dùng cần khóa cơng khai của một th bao nào đó của CA, anh



18

ta có thể thu đƣợc khóa cơng khai của th bao bằng cách tìm trong bản sao chứng chỉ
của họ, lấy ra khóa cơng khai. Tất nhiên trƣớc đó anh ta phải kiểm tra chữ ký trên
chứng chỉ có đúng là của CA không.
Hệ thống cấp chứng chỉ nhƣ trên là đơn giản và kinh tế khi đƣợc thiết lập trên
diện rộng và tự động, bởi vì một trong các đặc tính quan trọng của chứng chỉ là:
“Các chứng chỉ có thể đƣợc phát hành mà khơng cần phải bảo vệ thơng qua các
dịch vụ an tồn truyền thơng để đảm bảo xác thực và tồn vẹn”.
Chúng ta khơng cần giữ bí mật khóa cơng khai, nhƣ vậy chứng chỉ khơng phải là
bí mật. Hơn nữa, ở đây khơng địi hỏi các u cầu về tính xác thực và tồn vẹn do các
chứng chỉ tự bảo vệ. Chữ ký của CA trong chứng chỉ đã cung cấp tính xác thực và tồn
vẹn. Ngƣời dùng khóa cơng khai trong các chứng chỉ nhƣ trên đƣợc gọi là thành viên
tin cậy.
Kẻ truy nhập trái phép định làm giả chứng chỉ khi chứng chỉ này đang lƣu hành
cho những ngƣời sử dụng khóa công khai, họ sẽ phát hiện ra việc làm giả, bởi vì chữ
ký của CA có thể đƣợc kiểm tra chính xác. Chính vì thế các chứng chỉ khóa cơng khai
đƣợc phát hành theo cách khơng an tồn, ví dụ nhƣ thông qua các máy chủ, các hệ
thống thƣ mục, các giao thức truyền thơng khơng an tồn.
Lợi ích cơ bản của hệ thống cấp chứng chỉ là: ngƣời sử dụng khóa cơng khai có
đƣợc số lƣợng lớn các khóa công khai của nhiều ngƣời dùng một cách tin cậy, nhờ
khóa cơng khai của CA. Lƣu ý rằng chứng chỉ số chỉ có nghĩa khi CA phát hành các
chứng chỉ hợp lệ.


19

Chương 2. CÁC CÔNG NGHỆ DÙNG TRONG XÂY DỰNG PKI
2.1.


CÔNG NGHỆ OPENCA

OpenCA là dự án đồ sộ nằm trong dự án OpenCA Group, có mục đích xây dựng
PKI hồn chỉnh, chuyên nghiệp, OpenCA đƣợc phát triển liên tục từ năm 1999. Từ
năm 2001, OpenCA đã bắt đầu đƣợc sử dụng cho các đơn vị cỡ vừa và lớn.
OpenCA sử dụng giao diện web, hỗ trợ hầu hết các web Browser chính, hỗ trợ
sản phẩm mã nguồn mở.
 Các Module chƣơng trình trong OpenCA.
- Giao tiếp cơng cộng: Giao diện web để ngƣời sử dụng có thể truy cập qua
Internet. Ngƣời dùng có thể đăng kí xin cấp chứng chỉ trực tiếp qua Module này.
- Giao tiếp LDAP: Danh bạ các khố cơng khai, ngƣời dùng lấy khố cơng khai
từ Module này để mã hoá tài liệu, trƣớc khi gửi đến đơn vị dùng openCA.
- Giao tiếp RA: Đơn vị điều hành RA sử dụng Module này để cập nhật các
thông tin cá nhân của ngƣời xin cấp chứng chỉ.
- Giao tiếp OCSP: Module hỗ trợ kiểm tra chứng chỉ còn hiệu lực hay khơng.
OCSP có tác dụng nhƣ việc cơng bố CRL, nhƣng tính năng ƣu việt hơn CRL.
- Giao tiếp CA: Module kí số riêng rẽ, cho phép CA làm theo nguyên tắc an
ninh - tách biệt khỏi mạng cơng cộng, để bảo vệ tối đa khố bí mật. Điều này
khiến cho openCA trở nên an toàn hơn các phần mềm CA khác có trên thị trƣờng
hiện nay.
 Ngồi tính năng thiết yếu của PKI, OpenCA có nhiều tính năng ƣu việt khác nhƣ:
- Đăng nhập bằng chứng chỉ.
- Hệ thống quản lý mềm dẻo.
- Sử dụng đƣợc các tính năng của X.509 mở rộng.
- OpenCA là phần mềm mã nguồn mở miễn phí, có tài liệu chi tiết đầy đủ.
OpenCA đƣợc thiết kế cho một hạ tầng phân tán. Nó có thể khơng chỉ điều khiển
một CA offline và một RA online, mà còn giúp ta xây dựng một cấu trúc thứ bậc với
nhiều mức khác nhau. OpenCA không phải là một giải pháp nhỏ cho các nghiên cứu
vừa và nhỏ. Nó hỗ trợ tối đa cho các tổ chức lớn nhƣ các trƣờng đại học, các công ty

lớn.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×