Xây dựng hệ thống chứng thực điện tử với OpenCA
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.23 MB, 75 trang )
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT........................................................................i
DANH MỤC HÌNH VẼ.....................................................................................iii
DANH MỤC BẢNG...........................................................................................vi
LỜI NÓI ĐẦU.....................................................................................................1
1. Lý do lựa chọn đề tài.........................................................................................1
2. Mục tiêu của chuyên đề.....................................................................................2
3. Phạm vi và đối tượng nghiên cứu......................................................................2
4. Phương pháp nghiên cứu...................................................................................2
5. Nội dung nghiên cứu.........................................................................................3
6. Cấu trúc báo cáo................................................................................................3
Chương 1. TỔNG QUAN LÝ THUYẾT VỀ CƠ SỞ HẠ TẦNG KHĨA
CƠNG KHAI.......................................................................................................4
1.1. Định nghĩa về PKI và các khái niệm liên quan..............................................4
1.2. Mục tiêu, chức năng.......................................................................................4
1.3. Lợi ích mà PKI cung cấp................................................................................5
1.3.1. Đăng nhập an tồn.......................................................................................5
1.3.2. Đăng nhập một lần an toàn..........................................................................6
1.3.3. Trong suốt với người dùng cuối..................................................................6
1.3.4. An ninh toàn diện........................................................................................7
1.4. Các thành phần của PKI.................................................................................8
1.4.1. CA...............................................................................................................8
1.4.2. RA.............................................................................................................10
1.4.3. Thực thể cuối (End Entity)........................................................................11
1.4.4. Hệ thống lưu trữ (Repositories).................................................................11
1.5. Các mơ hình PKI..........................................................................................12
1.5.1. Mơ hình phân cấp CA chặt chẽ (strict hierarchy of CAs).........................12
1.5.2. Mơ hình phân cấp CA không chặt chẽ (loose hierarchy of CAs)..............13
1.5.3. Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture)...........13
I
1.5.4. Mơ hình 4 bên (four-corner model)...........................................................14
1.5.5. Mơ hình Web (web model)........................................................................15
1.5.6. Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust)..........16
1.6. Các kiểu kiến trúc PKI.................................................................................17
1.6.1. Kiến trúc kiểu CA đơn (Single CA)..........................................................17
1.6.2. Kiến trúc CA phân cấp..............................................................................18
1.6.3. Kiến trúc kiểu chứng thực chéo (Cross-certificate)..................................19
1.6.4. Kiến trúc Bridge CA (BCA)......................................................................20
CHƯƠNG 2. MÃ NGUỒN MỞ OPENCA VÀ XÂY DỰNG MƠ HÌNH PKI
DỰA TRÊN MÃ NGUỒN MỞ OPENCA.......................................................22
2.1. Lịch sử phát triển OpenCA..........................................................................22
2.2. Giới thiệu về OpenCA..................................................................................23
2.2.1. Môi trường phát triển................................................................................23
2.2.2. Các module perl.........................................................................................26
2.3. Thiết kế chung của CA.................................................................................27
2.3.1. Phân cấp cơ bản.........................................................................................28
2.3.2. Các giao diện.............................................................................................29
2.4. Vòng đời của các đối tượng..........................................................................32
2.5. Các lưu ý khi thiết kế PKI............................................................................32
2.5.1. Các vấn đề phần cứng...............................................................................33
2.5.2. An toàn vật lý............................................................................................33
2.5.3. Các vấn đề về mạng...................................................................................34
2.5.4. Vấn đề về chứng chỉ..................................................................................35
Chương 3. CÀI ĐẶT HỆ THỐNG PKI SỬ DỤNG PHẦN MỀM MÃ
NGUỒN MỞ OPENCA....................................................................................37
3.1. Mơ hình và các bước cài đặt.........................................................................37
3.1.1. Mơ hình sử dụng hệ thống PKI.................................................................37
3.1.2. Các bước cài đặt hệ thống PKI với OpenCA............................................37
3.2. Thực hiện khởi tạo, cấu hình Root CA, Sub CA và RA...............................42
3.2.1. Khởi tạo, cấu hình Root CA......................................................................42
II
3.2.2. Khởi tạo, cấu hình Sub CA........................................................................52
3.2.3. Cấp phát chứng chỉ cho RA......................................................................57
3.3. Thực hiện demo một số chức năng của hệ thống PKI OpenCA...................59
3.3.1. Cấp phát chứng chỉ cho người dùng..........................................................59
3.3.2. Cấp chứng chỉ SSL cho dịch vụ Web server.............................................61
3.4. Đánh giá kết quả...........................................................................................64
KẾT LUẬN........................................................................................................65
TÀI LIỆU THAM KHẢO...................................................................................66
III
DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt
API
Ý nghĩa tiếng anh
Ý nghĩa tiếng việt
Application Programming
Interface
Giao diện lập trình ứng dụng
APXS
Apache Extention (tool)
Công cụ mở rộng Apache
BCA
Bridge Certificate Authority
CA dạng cầu
CA
Certificate Authority
Thẩm quyền chứng thực
CDP
CRL Distribution Point
Điểm phân phối CRL
CRL
Certificate Revocation List
Danh sách hủy bỏ chứng chỉ
CRR
Certificate Revocation Request
Yêu cầu hủy bỏ chứng chỉ
CPS
Certificate Signing Statement
Hướng dẫn thực hành chứng chỉ
CSR
Certificate Signing Request
Yêu cầu ký chứng chỉ
DES
Data Encryption Standard
DN
Distingished Name
Tiêu chuẩn mã hóa dữ liệu
Tên phân biệt
DSO
Dynamic Shared Object
Đối tượng chia sẻ động
FTP
File Transfer Protocol
Giao thức truyền tập tin
HTTP
Hypertext Transfer Protocol
Giao thức truyền siêu văn bản
Secure Hypertext Transfer
Giao thức truyền siêu văn bản an
Protocol
tồn
International Data Encryption
Thuật tốn mã hố dữ liệu quốc
Algorithm
tế
HTTPS
IDEA
IKE
IMAP
ITU
LDAP
MAC
MD
OCSP
Internet Key Exchange
Trao đổi khoá Internet
Internet Message Access
Giao thức truy cập thông báo
Protocol
Internet
Internet Telecommunication
Union
Lightweight Directory
Liên minh viễn thông quốc tế
Giao thức truy cập nhanh các thư
Access Protocol
Message Authentication Code
mục
Mã xác thực thơng báo
Message Degist
Online Certificate Status
Tóm lược thơng báo
Giao thức trạng thái chứng chỉ
i
OSI
PEM
PKCS
PKI
SCEP
Protocol
Open System Interconnection
Privacy Enhanced Mail
Public Key CryptoGraphy
Standards
Pulic Key Infracstructure
Simple Certificate Enrollment
SMTP
Protocol
Simple Mail Transfer Protocol
SPKC
Simple Public Key Certificate
TCP/IP
TLS
POP
Transmission Control
Protocol /Internet Protocol
Mô hình kết nối các hệ thống mở
Thư riêng tư tăng cường
Chuẩn mật mã khố cơng khai
Cơ sở hạ tầng khóa công khai
Giao thức đăng ký chứng chỉ
đơn giản
Giao thức truyền thư đơn giản
Chứng chỉ khố cơng khai đơn
giản
Giao thức điều khiển truyền
Transport Layer Security
thông/giao thức Internet
Giao thức đảm bảo an toàn lớp
Proof of posession
vận chuyển
Chứng minh sự sở hữu
ii
DANH MỤC HÌNH VẼ
Hình 1.1 Tiến trình đăng nhập an tồn..................................................................5
Hình 1.2. Tiến trình đăng nhập an tồn một lần....................................................6
Hình 1.3. Mơ hình các thành phần PKI.................................................................8
Hình 1.4 Sơ đồ minh họa rootCA và SubCA......................................................10
Hình 1.5. Mơ hình phân cấp CA chặt chẽ...........................................................12
Hình 1.6. Mơ hình kiến trúc tin cậy phân tán......................................................14
Hình 1.7. Mơ hình bốn bên..................................................................................14
Hình 1.8. Mơ hình Web.......................................................................................15
Hình 1.9. Mơ hình tin cậy lấy người dùng làm trung tâm...................................16
Hình 1.10. Chuỗi tin cậy.....................................................................................17
Hình 1.11. Kiến trúc CA đơn...............................................................................18
Hình 1.12. Kiến trúc CA phân cấp......................................................................19
Hình 1.13. Kiến trúc kiểu chứng thực chéo.........................................................20
Hình 1.14. Kiến trúc Bridge CA..........................................................................21
Hình 2.1. LDAP...................................................................................................25
Hình 2.2. Mơ hình phân cấp cơ bản.................................................................... 28
Hình 2.3. Thiết kế OpenCA.................................................................................29
Hình 2.4. Tổng quan kỹ thuật hồn chỉnh........................................................... 30
Hình 2.5. Vịng đời của các chứng chỉ....................................................................................................... 32
Hình 3.1. Mơ hình sử dụng..................................................................................37
Hình 3.2. Giao diện đăng nhập............................................................................41
Hình 3.3. Giao diện Web chính của OpenCA (Root CA)....................................42
Hình 3.4. Giao diện Web chính của Sub CA.......................................................42
Hình 3.5. Giao diện khởi tạo Root CA................................................................43
Hình 3.6. Giao diện Phase I.................................................................................43
Hình 3.7. Thơng báo CSDL được khởi tạo thành cơng.......................................44
Hình 3.8. Khóa bí mật của CA............................................................................44
Hình 3.9. Điền các thơng tin về chứng chỉ..........................................................45
iii
Hình 3.10. Nội dung yêu cầu chứng chỉ..............................................................45
Hình 3.11. Lựa chọn Self Signed CA để tự chứng thực CA...............................46
Hình 3.12. Chứng chỉ của CA.............................................................................47
Hình 3.13. Chuỗi chứng chỉ tạo thành cơng........................................................47
Hình 3.14. Tạo chứng chỉ cho người quản trị.....................................................47
Hình 3.15. Khai báo các thông tin cần thiết, cơ bản cho chứng chỉ....................48
Hình 3.16. Khai báo chi tiết chứng chỉ................................................................48
Hình 3.17. Thỏa thuận người dùng......................................................................49
Hình 3.18. Tạo yêu cầu chứng chỉ.......................................................................49
Hình 3.19. Thơng báo tạo thành cơng u cầu chứng chỉ...................................50
Hình 3.20. Chấp thuận (ký) chứng chỉ................................................................50
Hình 3.21. Chứng chỉ được chấp thuận thành cơng............................................51
Hình 3.22. Download chứng chỉ về máy với các tùy chọn.................................51
Hình 3.23. Chứng chỉ được xuất thành cơng.......................................................52
Hình 3.24. Đường dẫn u cầu chứng chỉ cho Sub CA......................................53
Hình 3.25. Khởi tạo yêu cầu chứng chỉ Sub CA.................................................54
Hình 3.26. Khởi tạo u cầu thành cơng với serial 544......................................54
Hình 3.27. Yêu cầu chấp thuận chứng chỉ cho Sub CA......................................55
Hình 3.28. Chứng chỉ cho Sub CA đã được chấp thuận......................................55
Hình 3.29. Lấy chứng chỉ về máy ở dạng PEM..................................................55
Hình 3.30. Import thành cơng chứng chỉ vào Sub CA........................................56
Hình 3.31. Chứng chỉ Sub CA hợp lệ..................................................................57
Hình 3.32. Các bước tạo chứng chỉ cho RA........................................................57
Hình 3.33. Thơng tin chi tiết chứng chỉ RA........................................................58
Hình 3.34. Tiến hành chấp thuận chứng chỉ cho RA..........................................58
Hình 3.35. Chứng chỉ RA được tạo thành cơng..................................................59
Hình 3.36. Giao diện Public interface.................................................................59
Hình 3.37. Khởi tạo u cầu thành cơng.............................................................60
Hình 3.38. Chấp thuận yêu cầu chứng chỉ bên CA interface..............................60
Hình 3.39. Chứng chỉ người dùng đã được thêm thành công.............................61
iv
Hình 3.40. Khóa bí mật RSA độ dài 2048 bit......................................................61
Hình 3.41. Tạo yêu cầu chứng chỉ.......................................................................61
Hình 3.42. Yêu cầu chứng chỉ SSL cho webserver.............................................62
Hình 3.43. Chứng chỉ SSL cho Web server: www.b1d7.com.............................63
v
DANH MỤC BẢNG
Bảng 2.1. External Perl modules.........................................................................26
vi
LỜI NÓI ĐẦU
1. Lý do lựa chọn đề tài
Trong một vài năm lại đây, hạ tầng truyền thông công nghệ thông tin càng
ngày càng được mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền
thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc
khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin kinh
doanh nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử.
Sự thay đổi trong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với
việc chúng ta phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước
các nguy cơ lừa đảo, can thiệp, tấn cơng, phá hoại hoặc vơ tình tiết lộ các thơng
tin đó.
Cấu trúc cơ sở hạ tầng mã hóa khố cơng khai cùng các tiêu chuẩn và các
công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập
có thể được sử dụng để giải quyết vấn đề này.
PKI đang trở thành một phần trung tâm của các kiến trúc an toàn dành cho
các tổ chức kinh doanh. PKI được xem là một điểm trọng tâm trong nhiều khía
cạnh quản lý an tồn. Hầu hết các giao thức chuẩn đảm bảo an toàn mail, truy
cập Web, mạng riêng ảo và hệ thống xác thực người dùng đăng nhập đơn đều sử
dụng chứng chỉ khóa công khai
PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa
mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng
thực điện tử cũng như các mã khố cơng khai và cá nhân. Sáng kiến PKI ra đời
năm 1995, khi mà các tổ chức cơng nghiệp và các chính phủ xây dựng các tiêu
chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên
mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu
chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng
cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ
và trao đổi các thơng tin một cách an tồn trong phạm vi cá nhân và công cộng.
1
PKI ngày càng thể hiện rõ vai trị của mình trong lĩnh vực an tồn thơng
tin. Hiện nay, có rất nhiều cách thức xây dựng PKI. Một trong những cách thức
xây dựng PKI đó là dựa trên mã nguồn mở OpenCA
Đề tài “Nghiên cứu xây dựng hệ thống PKI dựa trên mã nguồn mở
OpenCA” được thực hiện với mục đích tìm hiểu, nghiên cứu và xây dựng PKI
dựa trên mã nguồn mở OpenCA.
2. Mục tiêu của chuyên đề
- Tìm hiểu tổng quan về giải pháp OpenCA.
- Phân tích các mơ hình PKI mà OpenCA có thể hỗ trợ.
- Lựa chọn triển khai hệ thống chứng thực điện tử với OpenCA.
3. Phạm vi và đối tượng nghiên cứu
Đối tượng nghiên cứu của chuyên đề: các khái niệm liên quan tới PKI ,
các mơ hình và các kiểu kiến trúc của PKI. Về phần OpenCA, đề tài nêu lên
được đặc điểm, chức năng của các phần mềm mã mở để xây dựng nên OpenCA
như Apache, OpenSSL, mod_ssl, perl và các module perl.
4. Phương pháp nghiên cứu
- Phương pháp phân tích và tổng hợp lý thuyết: Phân tích, nghiên cứu các
tư liệu, tài liệu, lý luận từ nhiều nguồn, phân tích chúng thành từng bộ phận để
tìm hiểu sâu sắc về cơ sở hạ tầng khóa cơng khai PKI và hệ thống OpenCA.
Tổng hợp, liên kết từng mặt, từng bộ phận thông tin đã được phân tích tạo ra
một hệ thống lý thuyết mới đầy đủ và sâu sắc để trình bày vào báo cáo.
- Phương pháp tham khảo tài liệu: Thảm khảo các tài liệu trong thư viện
nhà trường, các tài liệu trong và ngoài nước trên mạng Internet.
- Phương pháp tham khảo ý kiến chuyên gia: Tham khảo ý kiến các thầy
cơ giáo có nhiều kinh nghiệm.
- Phương pháp thực nghiệm: Từ những gì đã tìm hiểu được, kết hợp ý
kiến đã tìm hiểu, tham khảo, tiến hành cài đặt, vận hành và kiểm thử xây dựng
hệ thống OpenCA.
2
5. Nội dung nghiên cứu
Nội dung bài báo cáo bao gồm các khái niệm tổng quan về các khái niệm
liên quan tới PKI, các mơ hình và các kiểu kiến trúc của PKI. Về phần OpenCA,
đề tài nêu lên được đặc điểm, chức năng của các phần mềm mã mở để xây dựng
nên OpenCA như Apache, OpenSSL, mod_ssl, perl và các module perl.
6. Cấu trúc báo cáo
Với giới hạn về các vấn đề tìm hiểu và nghiên cứu, nội dung tìm hiểu đề
tài của nhóm chúng em bao gồm 3 phần:
Chương 1: Tổng quan lý thuyết về cơ sở hạ tầng khóa cơng khai
Chương 2: Mã nguồn mở OpenCA và xây dựng mơ hình PKI dựa trên mã
nguồn mở OpenCA
Chương 3: Cài đặt hệ thống PKI sử dụng phần mềm mã nguồn mở
OpenCA
3
Chương 1. TỔNG QUAN LÝ THUYẾT VỀ CƠ SỞ HẠ TẦNG KHĨA
CƠNG KHAI
Chương này trình bày về các định nghĩa của PKI và các khái niệm có liên
quan tới PKI, mục tiêu, chức năng cơ bản của PKI, những khía cạnh an tồn mà
PKI cung cấp. Bên cạnh đó, chương 1 cịn trình bày các thành của PKI, các mơ
hình và kiểu kiến trúc thường gặp của PKI.
1.1. Định nghĩa về PKI và các khái niệm liên quan
Trong mật mã học, hạ tầng khóa cơng khai (tiếng Anh: public key
infrastructure, viết tắt PKI) là một cơ chế để cho một bên thứ 3 (thường là nhà
cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào
q trình trao đổi thơng tin. Cơ chế này cũng cho phép gán cho mỗi người sử
dụng trong hệ thống một cặp khóa cơng khai/khóa bí mật. Các q trình này
thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm
phối hợp khác tại các địa điểm của người dùng. Khóa cơng khai thường được
phân phối trong chứng thực khóa cơng khai.
Ngồi ra, PKI còn được định nghĩa theo NIST SP 800-53, cơ sở hạ tầng
khóa cơng khai là một bộ khung và các dịch vụ cung cấp khả năng tạo lập, phân
phối, kiểm tra, kiểm sốt và thu hồi các chứng chỉ khóa cơng khai. Các thành
phần của cơ sở hạ tầng khóa cơng khai bao gồm con người, chính sách, quy
trình, nền tảng máy chủ, phần mềm và máy trạm được sử dụng cho mục đích
quản lý chứng thư số và các cặp khóa cơng khai - khóa riêng, bao gồm khả năng
cấp phát, duy trì, khơi phục và thu hồi chứng chỉ khóa cơng khai.
1.2. Mục tiêu, chức năng
PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thơng
tin từ các chứng chỉ khóa cơng khai để mã hóa và giải mã thơng tin trong q
trình trao đổi. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí
mật, tồn vẹn xác thực lẫn nhau và chống chối bỏ mà không cần phải trao đổi
các thông tin mật từ trước.
Xác thực: Chứng minh định danh thực thể.
4
Bí mật: Đảm bảo rằng khơng ai có thể đọc được thơng báo ngoại trừ
người nhận.
Tồn vẹn: Đảm bảo rằng người nhận sẽ nhận được thông báo mà không bị
thay đổi nội dung ban đầu.
Tính chống chối bỏ: Cơ chế này sẽ chứng minh rằng người nhận/gửi đã
thực sự gửi/nhận thông báo.
PKI tận dụng cả mật mã đối xứng và phi đối vứng để để đạt được những
tính năng cơ bản trên.
1.3. Lợi ích mà PKI cung cấp
Theo như định nghĩa trên, PKI cung cấp một cơ sở hạ tầng an ninh rộng
khắp. Cơ sở hạ tầng dành cho các mục đích an ninh phải chấp nhận một nguyên
tắc nhất quán và phải cung cấp các lợi ích cơ bản như nhau. Cơ sở hạ tầng an
ninh rộng khắp đảm bảo an toàn cho toàn bộ tổ chức và tất cả các đối tượng, ứng
dụng trong tổ chức. Các khía cạnh an toàn mà PKI cung cấp bao gồm:
1.3.1. Đăng nhập an tồn
Tiến trình đăng nhập liên quan tới người dùng nhập định danh của mình,
(ID của user hoặc username), xác thực thơng tin (password hoặc giá trị bí mật
nào đó).
Hình 1.1 Tiến trình đăng nhập an tồn
5
1.3.2. Đăng nhập một lần an toàn
Đăng nhập an toàn một lần là sự mở rộng của đăng nhập an tồn. Sự đăng
nhập này có thể kết nối tới rất nhiều các thiết bị ở xa, do đó sẽ loại bỏ được yếu
tố cần phải đăng nhập nhiều lần. Sơ đồ hình 1.8 minh họa cơ chế đăng nhập một
lần an tồn.
Hình 1.2. Tiến trình đăng nhập an tồn một lần
Đứng trên quan điểm về tính tiện dụng thì sự kiện đăng nhập an toàn một
lần là điều rất được mong muốn bởi vì người dùng thường chỉ phải nhớ một vài
mật khẩu và chỉ cần phải biết thủ tục một lần để truy cập tới nhiều hệ thống.
Đứng trên quan điểm về an ninh thì đây cũng là điều cũng rất được mong muốn
bởi vì các mật khẩu được truyền qua mạng với tần suất ít hơn.
Lợi ích an tồn quan trọng trong đó là một cơ sở hạ tầng được thiết kế tốt
có thể đảm bảo rằng người dùng chỉ cần đăng nhập tới máy cục bộ mà họ đang
làm việc. Do đó, mật khẩu sẽ khơng phải chuyển qua vùng mạng dễ bị khai thác,
giảm được những rủi ro lớn như các rủi ro bị đánh cắp mật khẩu.
1.3.3. Trong suốt với người dùng cuối
Một đặc tính rất quan trọng của cơ sở hạ tầng rộng khắp đó là tính trong
suốt với người dùng cuối. Nghĩa là người dùng khơng cần biết về phần header
của gói tin IP hoặc các gói Ethernet. Các dịch vụ của cơ sở hạ tầng sẽ được
chuyển tới người dùng trong cơ sở hạ tầng thơng qua một “hộp đen” hồn tồn.
6
Người dùng không cần phải biết tất cả về vấn đề an ninh và không cần phải can
thiệp thủ công. Người dùng cũng không cần phải biết về các thuật tốn và khố.
Người dùng cũng khơng cần phải biết về cơ chế cơ sơ hạ tầng đảm bảo an
ninh ra sao. Sự an tồn khơng nên gây khó khăn cho người dùng để cản trở họ
thực hiện tác vụ của mình. An tồn khơng cần u cầu người dùng phải có hiểu
biết đặc biệt, khơng u cầu người dùng phải có những thủ tục đặc biệt.
1.3.4. An ninh tồn diện
Lợi ích quan trọng nhất của hạ tầng an ninh rộng khắp là: Nó đảm bảo
rằng một cơng nghệ an tồn tin cậy, như cơng nghệ khố cơng khai, ln sẵn
sàng trong môi trường. Số lượng các ứng dụng, thiết bị và các máy chủ có thể
hoạt động liên tục cùng nhau để đảm bảo an toàn trong khi truyền, lưu trữ và
truy xuất dữ liệu, các quá trình giao dịch, và truy cập máy chủ. Các ứng dụng
thư điện tử, trình duyệt Web, tường lửa và các thiết bị truy cập từ xa, các máy
chủ ứng dụng, các máy chủ file, cơ sở dữ liệu…tất cả đều phải hiểu được và tận
dụng được hạ tầng an ninh theo một cách thống nhất. Những môi trường như
vậy sẽ giảm lược được rất lớn cả các vấn đề giao tiếp của người dùng với rất
nhiều các thiết bị và các ứng dụng, các công việc quản trị phức tạp, các thiết bị
và các ứng dụng này.
Một trong những cơ chế chủ yếu để đạt được an ninh toàn diện trong cơ
sở hạ tầng là khả năng đảm bảo khoá được sử dụng, được hiểu và được xử lý
theo một cách chặt chẽ thông qua một phạm vi rộng lớn của các thực thể và thiết
bị trong tổ chức.
7
1.4. Các thành phần của PKI
Hình 1.3. Mơ hình các thành phần PKI
1.4.1. CA
Trong hạ tầng cơ sở khóa cơng khai, chứng chỉ có vai trị gắn kết giữa
định danh với khóa cơng khai. Một Certificate Authorites (CA) là một thực thể
PKI có trách nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống. Tổ chức
chứng thực – CA cũng được gọi là bên thứ 3 được tin tưởng vì người sử dụng
cuối tin tưởng vào chữ ký số của CA trên chứng chỉ trong khi thực hiện những
hoạt động mã hóa khóa cơng khai cần thiết CA thực hiện chức năng xác thực
bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối (Người giữ
chứng chỉ) trong hệ thống. Nếu CA nằm ở đỉnh của mơ hình phân cấp PKI và
chỉ cấp chứng chỉ cho những CA ở mức thấp hơn thì chứng chỉ này gọi là chứng
chỉ gốc “Root certificate”.
+ Chức năng của CA:
- Cấp phát chứng chỉ
- Huỷ bỏ chứng chỉ
- Tạo lập chính sách chứng chỉ
8
- Hướng dẫn thực hiện chứng chỉ số (Certification Practice Statement)
Có hai loại CA cơ bản. Các loại CA được phân biệt bằng vị trí mà chúng
lưu trữ chứng chỉ.
+ Enterprise CA:
Enterprise CA lưu trữ bản sao của chứng chỉ CA trong Active Directory.
Loại CA này tận dụng các mẫu chứng chỉ để công bố chứng chỉ và danh sách thu
hồi chứng chỉ. Enterprise CA sẽ hồi đáp tự động tới bất kỳ yêu cầu chứng chỉ
nào. Điều này về cơ bản cho phép các client truy cập lấy được chứng chỉ và lưu
giữ chứng chỉ trong kho chứng chỉ cục bộ của mình. Chính vì đặc điểm này, nên
EnterpriseCA không được sử dụng để cấp phát chứng chỉ cho các client bên
ngồi tổ chức. Enterprise CA được cấu hình như Domain Controller.
+ Standalone CA:
Standalone CA lưu giữ cục bộ thông tin trên chứng chỉ, trong một folder
chia sẻ mà ta có thể truy cập thơng qua Web. Standalone CA phụ thuộc vào
người quản trị có chấp thuận hay từ chối yêu cầu chứng chỉ. Standalone CA
được sử dụng để cấp phát chứng chỉ cho người dùng bên ngoài tổ chức.
+ Các cấp CA:
- Root CA là CA mức cao nhất được xem như thẩm quyền đối với tất cả
các CA phụ thuộc được đặt ở dưới nó. RootCA làm nhiệm vụ cấp chứng chỉ cho
tất cả các CA phụ thuộc. RootCA khác với các CA khác là nó tự tạo chứng chỉ
cho chính mình. Trong mơ hình phân cấp, khi một client tin tưởng root CA, thì
nó cũng phải tin tưởng các CA phụ thuộc được đặt ở dưới root CA.
- Subordinate CA (SubCA- CA con): là CA được chứng thực bởi CA cha.
CA cha chứng thực CA con bằng cách cấp phát và ký chứng chỉ cho CA con.
Có hai loại CA phụ thuộc trong kiến trúc phân cấp là Intermediate CA và
Issuing CA:
- Intermediate CA là CA phụ thuộc được đặt giữa root CA và các CA phụ
thuộc khác. Chức năng của Intermediate CA là cấp phát chứng chỉ cho CA mức
lá
9
- Issuing CA là CA ở mức thấp nhất. Chức năng của Issuing CA là cấp
phát chứng chỉ cho các máy tính khác, người dùng, các thiết bị mạng, server và
các dịch vụ yêu cầu CA. Issuing CA luôn luôn ở chế độ online
Hình 1.4 Sơ đồ minh họa rootCA và SubCA
1.4.2. RA
Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết nhưng
đơi khi cần có những thực thể độc lập thực hiện chức năng này. Thực thể này gọi
là “Registration Authorities” – Trung tâm đăng ký. Ví dụ khi số lượng thực thể
cuối trong miền PKI tăng lên và số thực thể này được phân tán khắp nơi về mặt
địa lý thì việc đăng ký tại 1 CA trung tâm trở thành vấn đề khó giải quyết. Để
giải quyết vấn đề này cần thiết phải có 1 hoặc nhiều RAs (trung tâm đăng ký địa
phương).
Mục đích chính của RA là để giảm tải cơng việc của CA. Chức năng thực
hiện một RA cụ thể sẽ khác nhau tùy nhu cầu triển khai PKI nhưng chủ yếu bao
gồm những chức năng sau:
- Xác thực cá nhân, chủ thể đăng ký chứng chỉ.
- Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.
10
- Xác nhận quyền của chủ thể đối với những thuộc tính chứng chỉ được
yêu cầu.
- Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng hay đang được đăng
ký hay không – điều này thường được đề cập đến như sự chứng minh sở hữu
(Proof of possesion – POP).
- Tạo cặp khóa bí mật, cơng khai.
- Phân phối bí mật được chi sẻ đến thực thể cuối (Ví dụ: Khóa cơng khai
của CA).
- Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA.
- Lưu trữ khóa riêng.
- Khởi sinh q trình khơi phục hóa.
- Phân phối thẻ bài vật lý (thẻ thơng minh).
1.4.3. Thực thể cuối (End Entity)
Thực thể cuối trong PKI có thể là con người, thiết bị và thậm chí là một
chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối
sẽ thực hiện những chức năng mật mã (mã hóa, giải mã và ký số).
1.4.4. Hệ thống lưu trữ (Repositories)
Chứng chỉ (khóa cơng khai) và thông tin thu hồi chứng chỉ phải được
phân phối sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy
được. Có 2 phương pháp phân phối chứng chỉ:
- Phân phối cá nhân : Đây là các phân phối cơ bản nhất. Trong phương
pháp này thì mỗi các nhân sẽ được trực tiếp đưa chứng chỉ của họ cho người
dùng khác. Việc này có thể thực hiện theo một số cơ chế khác nhau. Chuyển
giao bằng tay chứng chỉ được lưu trong đĩa mềm hay một số các mơi trường lưu
trữ khác. Cũng có thể phân phối bằng cách gắn chứng chỉ trong email để gửi cho
người khác. Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi số
lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý.
- Phân phối công khai : Một phương pháp khác phổ biến hơn để phân phối
chứng chỉ (và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng rãi.
Các chứng chỉ này có thể sử dụng bằng cách cơng khai và được đặt ở vị trí có
11
thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu. Dưới đây là ví
dụ về một số hệ thống lưu trữ:
o X.500 Directory System Agents (DSAs)
o Lightweight Directory Access Protocol (LDAP) Server
o Online Certificate Status Protocol (OCSP) Responder
o Domain Name System (DNS) và Web Server
o File Transfer Protocol (FTP) Server và Corporate Databases
1.5. Các mơ hình PKI
1.5.1. Mơ hình phân cấp CA chặt chẽ (strict hierarchy of CAs)
Trong mơ hình này, có 1 CA đóng vai trị là CA gốc ở trên cùng, phía dưới
là các nhánh mở rộng và các lá ở cuối cùng.
RootCA đóng vai trị như là gốc tin cậy (hay cịn gọi là “nguồn tin cậy”)
cho tồn bộ miền của các thực thể PKI dưới nó. Ở dưới root CA có thể khơng có
hoặc có một vài lớp intermediate CA (hay cịn gọi là subCA).
Hình 1.5. Mơ hình phân cấp CA chặt chẽ
Trong mơ hình này, tất cả các thực thể trong kiến trúc tin cậy rootCA. Sự
phân cấp được thiết lập như sau:
- RootCA được xây dựng và tự cung cấp chứng chỉ cho mình (hay tự ký
cho mình).
- RootCA sẽ chứng thực (tạo và ký chứng chỉ) cho các CA trực tiếp dưới
quyền của nó.
- Mỗi một CA như trên lại chứng thực cho CA trực tiếp dưới nó
12
- Tại mức gần cuối cùng, CA sẽ chứng thực thực thể cuối
- Mỗi thực thể trong phân cấp phải được cung cấp bản sao khố cơng khai
của root CA. Q trình tạo khố cơng khai này là cơ sở cho quá trình chứng thực
tất cả các kết nối sau đó. Do đó, q trình này phải được thực hiện trên một cách
an tồn.
Chú ý rằng trong mơ hình phân cấp chặt chẽ đa mức (multilevel strict
hierarchy), các thực thể cuối được chứng thực (nghĩa là được cấp chứng chỉ) bởi
CA trực tiếp ngay trên nó, nhưng gốc tin cậy thì lại là rootCA.
1.5.2. Mơ hình phân cấp CA khơng chặt chẽ (loose hierarchy of CAs)
Trong mơ hình phân cấp CA không chặt chẽ các bên được chứng thực bởi
cùng một CA để giải quyết vấn đề đường dẫn tin cậy mà không liên quan tới bất
kỳ CA mức cao hơn, bao gồm cả root CA. Nghĩa là nếu hai thực thể (ví dụ thực
thể A và thực thể B) được chứng thực bởi cùng một CA, thì thực thể A và thực
thể B có thể kiếm tra tính hợp lệ của nhau mà không cần phải tạo một đường dẫn
chứng thực tới root CA. Về cơ bản, thực thể A và thực thể B cùng thuộc về phân
cấp chủ thể tin cậy của cả hai. Tuy nhiên, giả sử rằng có một thực thể C nào đó
được chứng thực bởi một CA khác (không phải CA chứng thực cho A và B) thì
thực thể A và B phải thực hiện một đường dẫn chứng thực hồn tồn thơng qua
rootCA trước khi tin cậy chứng chỉ của C.
1.5.3. Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture)
Kiến trúc tin cậy phân tán sẽ phân phối sự tin cậy giữa hai hay nhiều CA.
Nghĩa là thực thể 1 có thể giữ bản sao khố cơng khai của CA 1 như nguồn tin
cậy của mình, thực thể 2 có thể giữ bản sao khố cơng khai của CA 2 như nguồn
tin cậy của mình. Bởi vì những khố cơng khai của những CA này đóng vai trị
như nguồn tin cậy (CA1 là gốc (root) của hệ thống phân cấp chứa thực thể 1,
CA2 là gốc của hệ thống phân cấp có chứa thực thể 2).
Nếu mỗi kiến trúc phân cấp này là kiến trúc phân cấp khơng chặt chẽ, thì
cấu hình của kiến trúc đó được gọi là kiến trúc được chia điểm (peered
architeture) bởi vì tất cả các CA đều là những điểm hồn tồn độc lập (Khơng có
SubCA trong kiến trúc). Trái lại, nếu kiến trúc đó là phân cấp đa mức, thì kiến
13
trúc đó được gọi là kiến trúc hình cây (treed architeture) (chú ý rằng các root CA
là các điểm so với các CA khác nhưng mỗi root lại đóng vai trị như CA cấp cao
đối với một hoặc nhiều SubCA).
Hình 1.6. Mơ hình kiến trúc tin cậy phân tán
Q trình của việc tạo kết nối mỗi root CA thông thường được gọi là
chứng thực chéo (cross-certification).
1.5.4. Mơ hình 4 bên (four-corner model)
Hình 1.7. Mơ hình bốn bên
Trong mơ hình này minh họa bốn góc của mơ hình tin cậy là người thuê
bao (subscriber), bên tin cậy (relying party), thuê bao của CA (subscriber’s CA)
và bên tin cậy của CA (relying party’s CA). Mơ hình tin cậy 4 bên này thường
được triển khai trong các giao dịch thanh toán điện tử.
Trong mơ hình này, th bao sử dụng chứng chỉ được cấp bởi CA của nó:
14
- Thuê bao và bên tin cậy tương tác và ràng buộc nhau trong các giao dịch
điện tử.
- Bên tin cậy tương tác với miền CA (CA domain) của nó để xác thực cho
mỗi phiên giao dịch.
- Miền CA tương tác khi có u cầu xác minh tính hợp lệ/cấp quyền phiên
giao dịch.
1.5.5. Mơ hình Web (web model)
Mơ hình Web – đúng như tên gọi của nó, phụ thuộc vào các trình duyệt
Web phổ biến như Netscape Navigator và Microsoft Internet Explorer. Trong mơ
hình này, số lượng khố cơng khai của CA sẽ được cài đặt sẵn vào một số các
trình duyệt. Các khố này sẽ định nghĩa tập hợp các CA mà trình người dùng
trình duyệt ban đầu sẽ tin tưởng và xem như các root cho việc xác minh chứng
chỉ.
Hình 1.8. Mơ hình Web
Mỗi nhà cung cấp trình duyệt đều có root của riêng mình và nó sẽ chứng
thực root CA mà được nhúng trong trình duyệt.
Mơ hình Web có những ưu điểm rõ rệt để thuận tiện và đơn giản khả năng
liên kết. Tuy nhiên, có một vài sự cố về vấn đề an toàn cần được quan tâm trong
mơ hình này khi quyết định triển khai. Ví dụ, bởi vì người dùng trình duyệt tự
động tin tưởng vào tập hợp các khoá đã được cài sẵn trong trình duyệt, nên an
tồn sẽ có thể bị mất nếu một trong số các rootCA đó “rơi vào tình trạng nguy
hiểm”.
15
Một vấn đề an toàn nữa cũng cần phải được quan tâm đó là trong mơ hình
Web, khơng có cơ chế thực thể nào có thể thu hồi bất kỳ khố của root đã được
nhúng trong trình duyệt.
1.5.6. Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust)
Trong mơ hình tin cậy lấy người dùng làm trung tâm, mỗi người dùng sẽ
phải chịu trách nhiệm trực tiếp và toàn bộ để quyết định xem sẽ sử dụng chứng
chỉ nào và từ chối chứng chỉ nào. Mỗi người dùng sẽ giữ một vịng khố và
vịng khố này đóng vai trị như CA của họ. Vịng khố này chứa các khố cơng
khai được tin cậy của những người sử dụng khác trong cộng đồng. Mơ hình này
được Zimmerman phát triển để sử dụng trong chương trình phát triển phần mềm
bảo mật PGP.
Quyết định này có thể chịu ảnh hưởng của một số các nhân tố, mặc dù ban
đầu tập hợp các khố được tin cậy thơng thường bao gồm các nhân tố là bạn bè,
gia đình, đồng nghiệp …
Hình 1.9. Mơ hình tin cậy lấy người dùng làm trung tâm
Mơ hình này được sử dụng rộng rãi trong phần mềm an ninh nổi tiếng là
Pretty Good Privacy (PGP). Trong PGP, người dùng xây dựng mạng lưới tín
nhiệm (web of trust) đóng vai trị là CA (ký lên khố cơng khai cho các thực thể
khác).
16
