Luận văn: Nghiên cứu Mobile PKI và hạ tầng ứng dụng trên thiết bị di động - ĐH Công Nghệ

Luận văn thạc sĩ: Nghiên cứu Mobile PKI và hạ tầng ứng dụng PKI trên thiết bị di động. Tìm hiểu giải pháp bảo mật cho mobile, ứng dụng thực tế.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2015

72
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG, HÌNH VẼ

1. CHƯƠNG I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI

1.1. CƠ SỞ MẬT MÃ HỌC

1.1.1. Hệ mật mã khóa bí mật

1.1.2. Hệ mật mã khóa công khai

1.2. HỆ THỐNG PKI

1.2.1. Mục tiêu của hệ thống PKI

1.2.2. Các thành phần của hệ thống PKI

1.2.3. Các hoạt động trong hệ thống PKI

1.2.4. Trao đổi thông tin dựa trên PKI

1.3. CÁC MÔ HÌNH KIẾN TRÚC CỦA HỆ THỐNG PKI

1.3.1. Kiến trúc một CA đơn (CA Single Architecture)

1.3.2. Kiến trúc CA phân cấp (Hierarchical architecture)

1.3.3. Kiến trúc mắt lưới (Mesh architecture)

1.3.4. Kiến trúc kết hợp (Hybrid architecture)

1.3.5. Kiến trúc kiểu chứng thực chéo (Cross-certificate architecture)

1.3.6. Kiến trúc CA cầu nối (Bridge CA architecture)

1.4. CÁC GIẢI PHÁP AN TOÀN ĐỐI VỚI HẠ TẦNG PKI

1.4.1. An toàn vật lý

1.4.2. An toàn Logic

2. Chương 2: HẠ TẦNG MOBILE PKI

2.1. CÔNG NGHỆ VÀ GIAO THỨC SỬ DỤNG TRONG MOBILE PKI

2.2. KIẾN TRÚC MÔ HÌNH CÔNG NGHỆ CỦA HẠ TẦNG MOBILE PKI

2.2.1. Các yêu cầu đối với Mobile PKI

2.2.2. Các thành phần trong hệ thống Mobile PKI

2.2.3. Mô hình Mobile PKI

2.2.4. Các hoạt động trong hệ thống Mobile PKI

2.2.4.1. Quản lý chứng thư số
2.2.4.2. Xác thực chứng thư số

2.2.5. Lưu trữ khóa bí mật trong Mobile PKI

2.3. BẢO MẬT TRONG MOBILE PKI

2.4. ƯU VÀ NHƯỢC ĐIỂM CỦA MOBILE PKI

2.4.1. Nhược điểm

2.5. ỨNG DỤNG VÀ GIẢI PHÁP HẠ TẦNG MOBILE PKI

2.5.1. Ứng dụng Mobile PKI

3. CHƯƠNG 3: ỨNG DỤNG TRÊN THIẾT BỊ MOBILE CHẠY TRÊN NỀN TẢNG ANDROID

3.1. XÂY DỰNG ỨNG DỤNG CHỮ KÝ SỐ TRÊN ĐIỆN THOẠI DI ĐỘNG

3.1.1. Mục tiêu và giải pháp

3.1.2. Hoạt động của ứng dụng

3.2. XÂY DỰNG ỨNG DỤNG KÝ SỐ TRÊN HỆ ĐIỀU HÀNH ANDROID

3.2.1. Phân tích thiết kế

3.2.2. Xây dựng chương trình

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Mobile PKI Tổng quan về hạ tầng và ứng dụng di động

Trong kỷ nguyên công nghệ thông tin phát triển mạnh mẽ, giao dịch trực tuyến ngày càng phổ biến, đòi hỏi các giải pháp bảo mật mạnh mẽ. Hạ tầng khóa công khai (PKI) nổi lên như một giải pháp then chốt, đảm bảo an toàn cho các giao dịch điện tử. Sáng kiến PKI ra đời từ năm 1995, xây dựng các tiêu chuẩn chung dựa trên mã hóa, hỗ trợ hạ tầng bảo mật trên Internet. Mục tiêu là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp, cho phép người dùng và tổ chức tạo lập, lưu trữ, trao đổi thông tin an toàn. Hiện nay, có nhiều định nghĩa về PKI, nhưng cơ bản nhất, PKI là một hệ thống, mô hình, công nghệ, chuẩn, kiến trúc, giao dịch và ứng dụng, cho phép khởi tạo, lưu trữ, quản lý chứng thư số, quản lý, phân phối khóa công khai, khóa bí mật và cơ chế chứng thực. Thành phần cốt lõi là chứng thư số, chứa định danh và khóa công khai của đối tượng sử dụng, được ký bởi đối tượng quản lý chứng thư. PKI là dịch vụ nền cho các dịch vụ an toàn dựa trên chứng thư số, đảm nhận vai trò tạo lập, quản lý và phân phối chứng thư số cho các đối tượng truyền thông. Tóm lại, mọi chức năng quản lý của PKI đều hướng đến quản lý các đối tượng sử dụng với khóa công khai của họ. Tại Việt Nam, nghiên cứu, ứng dụng và triển khai PKI còn mới mẻ. Sử dụng chứng thư số và chữ ký số, PKI cung cấp nhiều đặc tính đảm bảo an toàn thông tin cho người dùng. Có hai mô hình cung cấp chứng thư số: CA sinh cặp khóa, hoặc người dùng tự sinh. Việt Nam đang nghiên cứu và triển khai theo mô hình thứ nhất. Một số hàm băm thường được dùng là MD5 (cho giá trị băm dài 128 bits), SHA (cho giá trị băm dài 160 bits).

1.1. Nền tảng mật mã học và ứng dụng trong Mobile Security

Mật mã là công cụ bảo mật dữ liệu và an toàn thông tin. Nó ẩn dấu nội dung, củng cố tính xác thực, đảm bảo tính chống chối bỏ, kiểm tra tính toàn vẹn. Mật mã bao gồm mã hóa và giải mã. Hiện có hai hệ mật mã cơ bản: khóa bí mật (đối xứng) và khóa công khai (phi đối xứng). Trong đó, quá trình mã hóa và giải mã sử dụng duy nhất một khóa làm tham số cho thuật toán mã hóa/giải mã. Ví dụ, nếu A muốn gửi cho B một bản tin mật. Để phục vụ cho việc mã hóa, một khóa bí mật K được tạo ra. Nếu khóa được tạo bởi bên gửi thì nó cần phải được truyền cho bên nhận thông qua một kênh thông tin an toàn. Bên nhận sẽ sử dụng khóa K được chia sẻ từ trước qua kênh an toàn để giải mã dữ liệu được mã hóa vừa nhận được. Mobile PKI sử dụng chữ ký số để “ký” lên dữ liệu cần gửi đi nhằm mục đích xác minh tính toàn vẹn của dữ liệu và nhân dạng của người ký. Mỗi người dùng sở hữu một cặp khóa riêng/khóa công khai. Khóa bí mật dùng để tạo chữ ký số và khóa công khai dùng để xác minh chữ ký số. Khóa công khai được công bố trên cơ sở dữ liệu công cộng.

1.2. Mục tiêu và thành phần cơ bản của hệ thống PKI di động

Hệ thống PKI cho phép các thực thể xác thực lẫn nhau, sử dụng thông tin từ chứng thư số để mã hóa và giải mã thông tin. PKI bao gồm phần mềm máy chủ, máy khách, phần cứng và quy trình liên quan. Người gửi ký văn bản điện tử bằng khóa bí mật, người nhận kiểm tra bằng khóa công khai. PKI cho phép giao dịch điện tử bảo mật, toàn vẹn và xác thực mà không cần trao đổi thông tin mật trước. Mục tiêu chính là cung cấp khóa công khai và xác định mối quan hệ giữa khóa và định dạng người dùng, cho phép mã hóa email, xác thực người gửi, mã hóa văn bản, xác thực người dùng ứng dụng, xác thực truyền thông an toàn. PKI Client, Bộ phận thẩm quyền chứng thực chứng thư số (CA), Bộ phận thẩm quyền đăng ký chứng thư số (RA), Chứng thư số (Digital Certificates - DC).

II. Thách thức Mobile PKI Giải pháp an toàn đối với hạ tầng

Các tài sản của hạ tầng PKI đáp ứng các dịch vụ chứng thư điện tử an toàn, tin cậy thường có giá trị cao nên vấn đề an toàn vật lý đối với hạ tầng PKI có tính quyết định đến hoạt động của hạ tầng PKI. Có thể coi hạ tầng PKI như một hệ thống gồm mạng máy tính, trung tâm dữ liệu và tất cả các thiết bị có giá trị để có biện pháp bảo vệ một cách hiệu quả và hợp lý. Mục đích của những kẻ tấn công thường là: đánh cắp thông tin, sửa đổi hoặc xóa thông tin, làm hư hỏng các thiết bị, máy móc hay làm vô hiệu hóa các chức năng dịch vụ của hạ tầng PKI. Ngoài ra, còn có các yếu tố khách quan như động đất, núi lửa hay thảm họa thiên nhiên, những nhầm lẫn, sai sót, sự hỏng hóc của máy móc khi hoạt động. Để khắc phục được các dạng tấn công trên thì về cơ bản hạ tầng PKI được đảm bảo an toàn lôgic, sẵn sàng cung cấp các dịch vụ cần thiết cho hoạt động chứng thư điện tử của người dùng. Một số giải pháp an toàn logic được đưa ra như sau: Sử dụng hệ thống thiết bị chuyển mạch sẽ giúp cấu hình các mạng cục bộ ảo VLAN để phân tách các nhóm máy chủ dịch vụ riêng biệt. Các luồng thông tin đi qua các khu vực không an toàn thì có thể sử dụng các “đường hầm” của công nghệ mạng riêng ảo VPN để bảo vệ nếu cần.

2.1. An toàn vật lý Bảo vệ hạ tầng PKI trên di động khỏi tấn công

Đối với con người, phải kiểm soát chặt chẽ hoạt động của những người tham gia với các mục đích công việc khác nhau, trong đó bao gồm những người quản trị, vận hành và khách vào thăm. Biện pháp đưa ra là phải xây dựng trụ sở kiên cố và sử dụng lồng thép dày bảo vệ khu vực lõi CA bên trong, ngoài ra phải có một hạ tầng PKI kiểm soát người ra/vào bằng các công nghệ thẻ với mức an toàn cao nhất (thẻ thông minh) và các công nghệ an toàn vật lý như hệ thống màn hình theo dõi, hệ thống chuông cảnh báo và các phương pháp kiểm soát truy cập tăng cường (có hai thẻ cùng xuất trình một lúc để mở cửa điện từ). Bên cạnh việc kiểm soát những người truy cập đến hạ tầng PKI, vấn đề bảo vệ hạ tầng PKI khỏi các thảm họa thiên nhiên và những sai sót của máy móc trong quá trình vận hành cũng rất quan trọng. Do đó, cần phải xây dựng các phương án lưu trữ, dự phòng cho dữ liệu và bảo đảm hoạt động của hạ tầng PKI có tính sẵn sàng cao nhất.

2.2. An toàn logic Ứng dụng giải pháp bảo mật dữ liệu di động

Hạ tầng PKI là một mạng máy tính có kết nối mạng, hay nói cách khác, hạ tầng PKI là tổ hợp của phần cứng và phần mềm cung cấp các dịch vụ về mật mã, trạng thái chứng thư hay nhãn thời gian và nhiều dịch vụ khác phục vụ cho hoạt động chứng thư điện tử giữa hạ tầng PKI và các ứng dụng ràng buộc PKI. Đối với phần mềm lõi CA và ứng dụng ràng buộc PKI, khi cài đặt mật mã thường xuất hiện các nguy cơ bị cài kênh ngầm gián điệp, khiến cho các tham số mật mã sinh ra bị điều khiển theo ý đồ của kẻ tấn công. Kẻ tấn công có thể gây ra các dạng tấn công như từ chối dịch vụ làm cho hạ tầng PKI không cung cấp được các dịch vụ theo yêu cầu, hoặc xóa/sửa đổi thông tin trong CSDL, kho lưu trữ chứng thư hay danh sách thu hồi chứng thư CRL, làm mất đồng bộ nhãn thời gian hoặc thực hiện các cuộc tấn công quay lùi, tịnh tiến nhãn thời gian so với thời gian trong các văn bản điện tử được ký số.

III. Mobile PKI Architecture Thiết kế và yêu cầu cơ bản

Hạ tầng khóa công khai trên thiết bị di động (Mobile PKI) là một bộ phận mở rộng của hạ tầng PKI truyền thống. Giải pháp Mobile PKI cho phép bảo mật các ứng dụng thương mại di dộng. Các giao dịch có thể được thực hiện trực tiếp trên điện thoại di dộng vào bất kỳ lúc nào, tại bất kỳ đâu và với bất kỳ dịch vụ nào. Nói cách khác, thiết bị di động thông minh như là một thiết bị an toàn để xác thực và ký số cho các giao dịch. Người dùng có thể sử dụng điện thoại thông minh thông qua kết nối wifi hoặc 3G để thực hiện những hoạt động nghiệp vụ chỉ có thể thực hiện được trên PC như ký tệp tin .pdf, khai thuế trực tuyến, ký hóa đơn điện tử trong các giao dịch thương mại, ký các giao dịch ngân hàng … mà vẫn đảm bảo sự an toàn và bảo mật của các giao dịch.Mobile PKI thường áp dụng cho thiết bị di động thuộc sở hữu của cá nhân, doanh nghiệp, và có khả năng thích nghi với tất cả các loại ứng dụng. Điều này đòi hỏi cần phát triển một tổ chức tin cậy cho việc phân phối an toàn khóa bí mật và lưu trữ các chứng thư số phù hợp với các thiết bị di động, các hệ điều hành và các mạng phân phối khác nhau. Đây cũng chính là thách thức đối với Mobile PKI.

3.1. Công nghệ và giao thức quan trọng trong Mobile Authentication

Công nghệ PKI di động được phát triển dựa trên các yếu tố sau: Số hóa nguồn thông tin di động, Truyền tin vô tuyến số hóa có thể ứng dụng mật mã hiện đại để bảo mật và xác thực thông tin và do đó có thể sử dụng chứng thư số. Khi đó các thiết bị di động sẽ giống với các máy tính thu nhỏ cho phép tích hợp các chức năng mật mã trong hoạt động truyền tin vô tuyến số hóa.Công nghệ lập trình cho thiết bị di động phổ biến là dựa trên ngôn ngữ Java, Java ME hay còn gọi J2ME là một công nghệ cho phát triển các ứng dụng Java trên các thiết bị di động như điện thoại di động.Bên cạnh công nghệ Java thì công nghệ .Net sử dụng C# cũng được ứng dụng dễ dàng thuận tiện.

3.2. Các yêu cầu thiết yếu của một hệ thống PKI di động

Việc ứng dụng hạ tầng khóa công khai trên thiết bị di động thông qua mạng không dây có nhiều hạn chế so với các thiết bị qua mạng có dây như băng thông ít, độ trễ lớn, không an toàn trong kết nối, các vấn đề về thiết bị như CPU không mạnh, kích thước bộ nhớ nhỏ, pin năng lượng hạn chế, màn hình và thiết bị đầu vào nhỏ. Với hệ thống PKI cho môi trường di động, thiết bị di động thiếu khả năng tính toán các dịch vụ PKI như tạo khóa, tạo chữ ký số, xác minh chữ ký số, xác thực chứng thư, xác thực danh sách thu hồi chứng thư (Certificate Revoke List - CRL), hạn chế về kích thước bộ nhớ lưu trữ chứng thư và CRL. Tối ưu hóa thuật toán ký số, Tối ưu hóa hồ sơ chứng thư số, Tối ưu hóa giao thức quản lý chứng thư số, Tối ưu hóa chương trình xác thực chứng thư số.

3.3 Thành phần chính trong hạ tầng Mobile PKI

Thiết bị Mobile PKI Token là thiết bị lưu trữ chữ ký số, chứng thư số. Thông thường việc sử dụng chữ ký số trên máy tính có các thiết bị lưu trữ chữ ký số chuyên dụng và kết nối với các máy tính qua các cổng USB để thực hiện các giao thức chữ ký số. Tuy nhiên đối với thiết bị di động, các thiết bị giao tiếp này chưa phổ biến, các ứng dụng trên thiết bị di động cũng chưa nhiều. Một số thiết bị Mobile PKI Token đang được ứng dụng phổ biến: Thiết bị Hard Token, Thiết bị Soft Token, Cơ quan cung cấp chứng thư (CA – Certificate Authority), Cơ quan thẩm quyền đăng ký (RA – Registration Authority) và thư mục Directory.

IV. Ứng dụng Mobile PKI Giải pháp cho giao dịch an toàn

Mobile PKI được sử dụng trực tiếp thông qua thiết bị di động. Thiết bị di động sinh ra chữ ký số và được kiểm tra tính hợp lệ bởi máy chủ xác thực. Người dùng sử dụng ứng dụng ký số trên thiết bị di động, kết nối với các dịch vụ di động. Thiết bị di động sẽ kết nối với máy chủ xác nhận để xác thực người dùng. Một giao thức hỏi – đáp (Challenge - Response) sẽ được chạy giữa các máy chủ xác nhận và các thiết bị di động: máy chủ sẽ gửi một số thách thức ngẫu nhiên trong một tin nhắn SMS đặc biệt cho thiết bị di động và sẽ kích hoạt các chức năng ký của thẻ SIM. Người dùng sẽ được yêu cầu nhập mã PIN vào thiết bị di động sau đó ký số thách thức sử dụng khóa bí mật. Chữ ký số và chứng thư số của người dùng sẽ được trả lại cho máy chủ xác nhận để xác minh. Việc xác minh bao gồm kiểm tra tình trạng thu hồi (hợp lệ hoặc bị thu hồi) với nhà điều hành CA qua giao thức trạng thái chứng thư trực tuyến - Online Certificate Status Protocol (OCSP).

4.1.Quy trình Ký số và xác thực trên thiết bị Android

Dữ liệu cần ký được băm thông qua một hàm băm (SHA1 hoặc SHA2). Dữ liệu băm được ký bởi khóa bí mật của người ký, khóa bí mật được lưu trữ trong thiết bị chuyên dụng hoặc được lưu ngay trên thiết bị di động, và chỉ có thể truy cập bởi chính người sở hữu khóa. Chứng thư số được công bố rộng rãi và công khai. Tuy nhiên, để thuận tiện cho người nhận xác thực dữ liệu, chứng thư số của người ký cũng được ghép với chữ ký đầu ra để người xác thực không phải tìm kiếm chứng thư số của người ký khi xác thực chữ ký. Người dùng muốn truy suất vào khóa bí mật phải tiến hành xác thực bằng mã số PIN.

4.2. Giải pháp bảo mật và quản lý chứng chỉ số di động

Thiết bị đi động ủy quyền cho bộ phận thẩm quyền xác nhận hợp lệ (VA), ví dụ giao thức trạng thái chứng thư trực tuyến (Online Certificate Status Protocol – OCSP), để xác thực chứng thư số. Do đó thiết bị di động có thể tránh được việc tải xuống và lưu trữ CRL cũng như các thủ tục phức tạp để lấy và xác minh chuỗi chứng thư.Đối với chứng thư rút gọn, thiết bị di động xác minh chứng thư thông qua chữ ký và thời gian hiệu lực trong chứng thư.

4.3. Giải pháp bảo mật lưu trữ Khóa bí mật an toàn trong Mobile PKI

Hiện nay có ba phương pháp lưu trữ khóa bí mật trong Mobile PKI: SIM – based, Client – based, Roaming. Giải pháp SIM – based Khóa bí mật sẽ được lưu trữ bảo mật trên SIM Cards. Hệ thống ký cũng được đặt trên SIM card. Giải pháp Client-based Với giải pháp này, khóa bí mật sẽ được lưu trữ theo một cấu trúc trên Module của phần mềm, có thể là bộ nhớ trong hoặc thẻ nhớ dạng SDcard, nhưng thông thường lưu trữ trên RAM. Giải pháp Roaming Khi có yêu cầu ký, ứng dụng sẽ tải khóa bí mật về bộ nhớ tạm của thiết bị. Sau đó, quá trình ký sẽ được thực thi trên thiết bị.

V. Ưu và Nhược điểm Mobile PKI và giải pháp phát triển

Mobile PKI được sử dụng trực tiếp thông qua thiết bị di động. Thiết bị di động sinh ra chữ ký số và được kiểm tra tính hợp lệ bởi máy chủ xác thực. Người dùng sử dụng ứng dụng ký số trên thiết bị di động, kết nối với các dịch vụ di động. Thiết bị di động sẽ kết nối với máy chủ xác nhận để xác thực người dùng.

5.1. Ưu điểm của Mobile PKI

Người dùng chỉ cần sở hữu một thiết bị di động có tích hợp phần mềm ký số và có kết nối Wi-Fi hoặc 3G là có thể sử dụng các dịch vụ giao dịch an toàn. Mobile PKI có tính di động, độc lập và mang tính kinh tế cao. Cung cấp các dịch vụ xác thực an toàn nhờ vào bên thứ ba đáng tin cậy có đủ thẩm quyền, và thủ tục pháp lý. Việc xác thực trong hạ tầng PKI di động là tập trung nên người dùng chỉ cần sử dụng một Token PKI là có thể xác thực tại bất cứ đâu trong mạng, tránh được việc phải sử dụng nhiều password. Hạ tầng kỹ thuật và đội ngũ chuyên gia hệ thống PKI đang phát triển, được đầu tư tốt, có khả năng kế thừa, phát triển và xây dựng các ứng dụng chữ ký số trên thiết bị di động, đáp ứng tốt các nhu cầu của người dùng.

5.2. Hạn chế của Mobile PKI và phương hướng giải quyết

Việc cung cấp các dịch vụ, giao diện thông qua các thiết bị di động không được đầy đủ như đối với các thiết bị cố định. Băng thông của các nhà cung cấp cho các dịch vụ còn hạn chế. Việc kiểm tra, xác minh tính hợp lệ của chữ ký số khó thực hiện trên thiết bị di động (do thiết bị phần cứng, mạng, …) Chưa có sự đầu tư xây dựng các hạ tầng PKI di động hiện đại phục vụ cho các dịch vụ tin cậy sử dụng chứng thư số trong môi trường di động. Để khắc phục các điểm yếu này, cần có một chính sách đồng bộ từ nhà nước, sự hợp tác chặt chẽ giữa các nhà mạng và nhà cung cấp chứng chỉ số. Do đó cần tối ưu băng thông và tốc độ truyền tải, xây dựng các hệ thống bảo mật hiện đại.

24/09/2025

Trích đoạn nội dung tài liệu

Chương I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI Trong kỷ nguyên bùng nổ của công nghệ thông tin, mọi giao dịch từ xa có thể thực hiện thông qua mạng Internet. Tuy nhiên, khó có thể bảo đảm rằng những giao dịch trên Internet luôn an toàn. Hạ tầng khóa công khai đã đáp ứng những nhu cầu bảo mật của người dùng. Sáng kiến hạ tầng khóa công khai PKI (Public Key Infrastructure, viết tắt là PKI) ra đời năm 1995, khi các tiêu chuẩn chung được xây dựng dựa trên phương pháp mã hoá để hỗ trợ hạ tầng bảo mật trên mạng Internet.

Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp với các công cụ và lý thuyết cho phép người dùng cũng như các tổ chức (doanh nghiệp hoặc tổ chức phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng. [12] Hiện nay có rất nhiều cách định nghĩa khác nhau về PKI tuỳ theo góc độ nghiên cứu hoặc ứng dụng cơ sở hạ tầng này. Tuy nhiên, một cách cơ bản nhất có thể định nghĩa cơ sở hạ tầng khoá công khai là một hệ thống vừa mang tính mô hình vừa mang tính công nghệ và các chuẩn, vừa là mô hình kiến trúc vừa là hệ thống các giao dịch và ứng dụng cho phép thực hiện khởi tạo, lưu trữ, quản lý các chứng thư số (Digital certificate), quản lý và phân phối các khóa công khai, khóa bí mật và cơ chế chứng thực chứng thư số. Thành phần cốt lõi của hệ thống PKI là các chứng thư số.

Mỗi chứng thư số có hai thành phần thông tin cơ bản là định danh và khoá công khai của đối tượng sử dụng. Các chứng thư số này do đối tượng quản lý chứng thư tạo ra và ký với phương thức chữ ký số. Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng ra khỏi CA. Đối tượng này không tạo ra các chứng thư số.

Nó có nhiệm vụ xác minh đối tượng truyền thông cho một CA, đối tượng mà CA sẽ cấp phát chứng thư số. Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu một chứng thư số của CA sẽ do RA đảm nhận. PKI là một dịch vụ nền cho các dịch vụ an toàn dựa trên các chứng thư số. Trong các hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý và phân phối các chứng thư số cho các đối tượng truyền thông.

Nói tóm lại, tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầu duy nhất là quản lý các đối tượng sử dụng trong hệ thống với khoá công khai của các đối tượng đó. Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch vụ cung cấp chứng thư số nói riêng là một vấn đề tương đối mới mẻ. Bằng việc sử dụng chứng thư số và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người dùng. Có hai mô hình cung cấp chứng thư số, một là mô hình do CA sinh cặp khóa công khai và TIEU LUAN MOI download : skknchat@gmail.com -9- khóa bí mật cho người dùng, hai là mô hình do tự người dùng sinh cặp khóa công khai và khóa bí mật cho chính mình.

Hiện nay, ở Việt Nam đang nghiên cứu và triển khai hệ thống PKI theo mô hình thứ nhất. CƠ SỞ MẬT MÃ HỌC Mật mã là một công cụ dùng để bảo mật dữ liệu nói riêng và đảm bảo an toàn thông tin hiệu quả nói chung. Mật mã dùng để ẩn dấu nội dung thông tin, củng cố tính xác thực của thông tin, tính chối bỏ trong giao dịch điện tử, kiểm tra tính toàn vẹn của dữ liệu, … Ngoài ra mật mã còn được sử dụng để thực hiện ký số (ký điện tử), đảm bảo an toàn cho thông tin liên lạc. Mật mã bao gồm hai quy trình trái ngược nhau: mã hóa và giải mã.

Hiện nay, có hai hệ mật mã cơ bản thường được sử dụng: - Hệ mật mã khóa bí mật (Secret Key Cryptography) – Khóa đối xứng - Hệ mật mã khóa công khai (Public Key Cryptography) – mã hóa phi đối xứng - Hàm băm sử dụng quá trình tính toán để mã hóa dữ liệu. Hệ mật mã khóa bí mật Trong đó quá trình mã hóa và giải mã sử dụng duy nhất một khóa làm tham số cho thuật toán mã hóa/giải mã. Để đảm bảo tính bí mật trong truyền thông thì hai bên tham gia truyền thông phải giữ kín và không để lộ thông tin về khóa bí mật cho người khác. Dưới đây là mô hình chung sử dụng mật mã khóa đối xứng để đảm bảo tính bí mật dữ liệu trong truyền thông.

Ví dụ, nếu A muốn gửi cho B một bản tin mật. Để phục vụ cho việc mã hóa, một khóa bí mật K được tạo ra. Nếu khóa được tạo bởi bên gửi thì nó cần phải được truyền cho bên nhận thông qua một kênh thông tin an toàn. Sau đó A sẽ sử dụng khóa bí mật K để mã hóa dữ liệu rồi gửi cho B.

Bên nhận sẽ sử dụng khóa K được chia sẻ từ trước qua kênh an toàn để giải mã dữ liệu được mã hóa vừa nhận được. Một số thuật toán mã hóa khóa đối xứng: DES (Data Encryption Standard), AES (Advanced Encryption Standard)… 1. Hệ mật mã khóa công khai Trong đó việc mã hóa và giải mã sử dụng hai khóa riêng biệt, khóa công khai và khóa bí mật. Hai khóa này có quan hệ về mặt toán học với nhau, nhưng từ khóa này không thể tìm ra chìa khóa kia được và ngược lại.

Khóa công khai được công bố rộng rãi, khóa riêng được giữ bí mật chỉ có người sở hữu nó được biết. Thông thường dùng khóa công khai để mã hóa và dùng khóa bí mật – khóa cá nhân để giải mã, như vậy chỉ người nào là chủ sở hữu khóa cá nhân thì mới có thể giải mã được bản tin đã mã hóa. TIEU LUAN MOI download : skknchat@gmail.com -10- Ví dụ, nếu A muốn gửi cho B một bản tin mật, trước tiên A sẽ lấy khoá công khai của B từ cơ sở dữ liệu công cộng. Sau đó A sẽ sử dụng khoá công khai của B để mã hoá bản tin, rồi gửi cho B.

Phía B sẽ sử dụng khoá riêng của mình để giải mã bản tin mã hóa. Như vậy là, chỉ B mới có thể giải được bản tin mã mà A đã tạo ra. Một số thuật toán mật mã khóa bất đối xứng được sử dụng phổ biến như RSA, Elgama, Eliptic … 1. Chữ ký số Chữ ký số dùng để “ký” lên dữ liệu cần gửi đi nhằm mục đích xác minh tính toàn vẹn của dữ liệu và nhân dạng của người ký.

Mỗi người dùng sở hữu một cặp khóa riêng/khóa công khai. Khóa bí mật dùng để tạo chữ ký số và khóa công khai dùng để xác minh chữ ký số. Khóa công khai được công bố trên cơ sở dữ liệu công cộng, tuy nhiên khóa riêng thì chỉ có người sở hữu của nó mới biết. Do vậy, bất kì ai cũng có thể xác minh chữ ký của người khác bằng khóa công khai tương ứng, nhưng việc tạo ra chữ ký đó thì chỉ người sở hữu cặp khóa này mới làm được.

Hiện nay có hai sơ đồ chữ ký số thường được sử dụng để ký số đó là sơ đồ chữ ký RSA và chuẩn chữ ký số DSA. Quy trình sử dụng chữ ký số bao gồm hai quá trình tạo chữ ký và xác minh chữ ký: - Tạo chữ ký số: Một hàm băm được dùng trong quá trình tạo chữ ký. Mục đích của nó là nén dữ liệu, biến một mẩu tin thành mẩu tin tóm lược. Sau đó áp dụng thuật toán ký số trên mẩu tin tóm lược.

Chữ ký được chuyển đến cho phía người nhận cùng với dữ liệu ký. [12] - Xác minh chữ ký số:  Bên nhận sẽ sử dụng hàm băm để băm dữ liệu được ký, thu được giá trị băm 1.  Bên nhận sử dụng khóa công khai của bên gửi để giải mã file chữ ký để thu được giá trị băm 2.  Bên nhận sẽ so sánh hai giá trị băm, nếu như hai giá trị băm giống nhau thì chữ ký trên dữ liệu được xác thực, ngược lại thì không.

Hàm Băm Mục đích của hàm băm là nén dữ liệu, biến dữ liệu thành dữ liệu tóm lược. Sau đó, dữ liệu tóm lược này được áp dụng thuật toán sinh chữ ký. Chữ ký được chuyển đi cho phía người nhận cùng với dữ liệu đã ký. TIEU LUAN MOI download : skknchat@gmail.com -11- Với dữ liệu có độ dài bất kỳ thì giá trị băm cũng có độ dài cố định và tương đối nhỏ, thuận tiện cho việc sinh ra chữ ký.

Các bước sử dụng kết hợp hàm băm trong ký số đã được trình bày ở phần chữ ký số. Một số hàm băm thường được dùng là MD5 (cho giá trị băm dài 128 bits), SHA (cho giá trị băm dài 160 bits). HỆ THỐNG PKI 1. Mục tiêu của hệ thống PKI Hệ thống PKI cho phép những thực thể tham gia xác thực lẫn nhau và sử dụng thông tin từ các chứng thư số để mã hóa và giải mã thông tin trong quá trình trao đổi.

Thông thường hệ thống PKI bao gồm phần mềm máy chủ (server), phần mềm máy khách (client), phần cứng (smartcard), và các quy trình hoạt động liên quan. Người gửi có thể ký các văn bản điện tử với khóa bí mật của mình và người nhận có thể kiểm tra xác thực bằng khóa công khai của người gửi. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước. Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối quan hệ giữa khóa và định dạng người dùng.

Vì vậy, người dùng có thể sử dụng một số ứng dụng như: mã hóa email hoặc xác thực người gửi email, mã hóa hoặc xác thực văn bản, xác thực người dùng ứng dụng, xác thực truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE, SSL) - trao đổi khóa bằng khóa phi đối xứng, còn mã hóa bằng khóa đối xứng. Một số hệ thống PKI: Hệ thống quản lý chứng thực Red Hat, Computer Associate eTrust PKI, Entrust, Microsoft, US Government External Certificate Authority (ECA), Nexus, OpenCA (mô hình PKI mã nguồn mở), RSA Security, phpki, GenCerti, Ejbca, Papyru CA Software, pyCA, IDX-PKI, ElyCA, SimpleCA, SeguriData, Safelayer Secure Communications… 1.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ