ĐỒ ÁN TỐT NGHIỆP
Tên đề tài:
An Toàn Thông Tin Mạng Doanh Nghiệp
Với Windows Server 2012 - PKI
GVHD:
SVTH:
1.
2.
3.
4.
ThS. DƯƠNG TRỌNG KHANG
CHÂU NGUYÊN HỮU TRỌNG
CAO HOÀI BẢO
LÊ NHÂN THIỆN
NGÔ CHIÊU YAU
Mã lớp: 24CCAN02
Khóa: 24
Hồ Chí Minh, Năm 2016
MSSV: 99510230083
MSSV: 99510230074
MSSV: 92510020006
MSSV:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Lời nói đầu
Chúng ta đang sống trong thời đại bùng nổ thông tin, chưa bao giờ trong lịch sử nhân
loại, con người lại có cơ hội tiếp xúc với những nguồn thông tin phong phú và có giá trị đến như
vậy. Cùng với sự tiến bộ vượt bậc trong công nghệ truyền thông và viễn thông, người ta không
thể phủ nhận rằng Internet là một trong những nguyên nhân đem lại sự bùng nổ đó.
Kể từ lúc Internet được tách ra từ phòng nghiên cứu của bộ quốc phòng Mĩ cho mục đích
sử dụng công cộng, chỉ có một vài trường đại học, một vài cơ quan, tổ chức tham gia, cho đến
nay đã có hàng triệu thuê bao cá nhân, hàng triệu cơ quan, tổ chức kết nối mạng của mình vào
Internet và số lượng kết nối tiếp tục tăng không ngừng theo thời gian. Internet ở một khía cạnh
nào đó đã trở thành cộng đồng chung cho người sử dụng trên toàn thế giới.
Với Internet chúng ta có thể trao đổi thông tin, trao đổi dữ liệu, tìm kiếm và học tập. Và
cho đến ngày hôm nay việc mua sắm, đặt hàng,.. thông qua Internet đã trở thành quen thuộc.
với rất nhiều vùng trên thế giới.
Như vậy, một cách rõ ràng là Internet đã và đang tác động lên nhiều mặt của đời sống
chúng ta. Sự tác động đó càng trở nên mạnh mẽ khi mà các nhà doanh nghiệp nhận ra rằng
Internet là một mảnh đất màu mỡ cho hoạt động kinh doanh, là cơ hội để họ khuếch trương, mở
rộng hoạt động kinh doanh và giữ được ưu thế cạnh tranh trên thương trường. Các doanh nghiệp
đầu tư vào Internet và thương mại điện tử ra đời.
Cùng với sự ra đời của thương mại điện tử, chính phủ điện tử cũng xuất hiện đáp ứng nhu cầu
thông tin ngày càng lớn của xã hội. Với chính phủ điện tử, mọi công dân thông qua Internet có
thể tiếp cận nguồn thông tin, các dịch vụ cơ bản cũng như các cơ hội kinh doanh do chính phủ
mang lại.
Ngày nay hầu hết các doanh nghiệp, dù lớn hay nhỏ, dù hoạt động trong lĩnh vực nào
cũng hướng hoạt động kinh doanh của mình vào Internet. Và ngày càng nhiều doanh nghiệp kết
nối hệ thống mạng LAN, WAN của họ vào cộng đồng Internet.
Tuy nhiên Internet không phải là một thiên đường cho các hoạt động kinh doanh, bởi nó luôn
chứa đựng những hiểm họa đe dọa ảnh hưởng đến việc triển khai các hoạt động của các doanh
nghiệp. Các mối đe dọa đó có thể kể ra:
Sự mạo danh để truy cập bất hợp pháp một nguồn thông tin bên trong doanh nghiệp.
Sự tấn công của các hacker vào bên trong một doanh nghiệp với mục đích phá hoại hay
cạnh tranh không lành mạnh.
Bị “nghe trộm”: thông tin quan trọng trao đổi trên mạng có thể bị chặn và phân tích.
Thêm vào đó là việc đăng nhập hệ thống dựa trên mật mã truyền thống đã lỗi thời và
không đảm bảo tính an toàn.
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Do đó trước khi đưa các hoạt động kinh doanh của mình lên Internet, vấn đề hàng đầu
doanh nghiệp phải đặt ra đó là đảm bảo an ninh cho hệ thống mạng của mình và đảm bảo an
toàn cho những giao dịch mà họ tham gia. Điều này có thể thực hiện bằng cách áp dụng một
chính sách bảo mật hợp lý, sử dụng các công nghệ phù hợp.
Xuất phát từ nhu cầu bảo mật của các doanh nghiệp trước khi tham gia hoạt động
thương mại điện tử, đề tài “An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows
Server 2012 - PKI” nhằm mục đích nghiên cứu và áp dụng nền tảng khóa công khai-Public
Key Infrastructure (PKI) được xây dựng trong hệ điều hành Windows 2008 vào môi trường
doanh nghiệp để đáp ứng các nhu cầu về bảo mật cho doanh nghiệp, giúp doanh nghiệp có thể
đáp ứng được các mục tiêu kinh doanh.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
2
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Lời cảm ơn
̣
̣
̣
̣
̣
Trong suốt quá trình hoc tâp và hoà n thà nh đồ án nà y, chúng tôi đã nhân đươc sư
̉
hướng dẫn, giúp đỡ quý báu cua các thầy cô giáo bộ môn, ban giám hiệu, gia đình và bạn bè.
́
̣
̣
̉
̉
Với lò ng ki ́nh trong và biêt ơn sâu sắc chúng tôi xin đươc bà y to lới cam ơn chân thà nh tới:
̣
̣
̣
̣
̣
Ban giám hiêu, Phò ng đà o tao trường Cao Đẳng Nghề CNTT iSPACE đã tao moi điều kiên
̣
̣
̣
̣
thuân lơi giúp đỡ chúng tôi trong quá trình hoc tâp và hoà n thà nh đồ án này.
́
̣
̣
̉
Thầy ThS. Dương Trọng Khang, người thầy kính mến đã hêt lò ng giúp đỡ, day bao, đông viên
và
̣
̣
̣
̣
̣
̣
̣
̣
tao moi điều kiên thuân lơi cho chúng tôi trong suốt quá trình hoc tâp và hoà n thà nh luân
́t nghiêp.
̣
văn tô
́
̣
Quý thầy cô giáo bộ môn Khoa An Ninh Mạng cùng với các thầy cô trong hôi đồng châm
̉
̣
̉
luân văn đã cho chúng tôi những đóng góp quý báu đê hoà n chinh đồ án nà y.
Mặc dù chúng tôi đã có nhiều cố gắng để hoàn thiện bằng tất cả sự nhiệt tình và năng lực
của mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đóng
góp quí báu của quí thầy cô và các bạn. Một lần nữa chúng tôi xin chân thành cảm ơn, chúc tất
cả mọi người sức khỏe và thành đạt.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
3
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA DOANH NGHIỆP
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
4
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA GIẢNG VIÊN
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
5
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
MỤC LỤC
Chương I. Giới thiệu…………………………………………………………………………………..1
1.
Giới thiệu mã hóa ............................................................................................................................1
1.1.
2.
Giới thiệu mã hóa ....................................................................................................................1
Hệ thống mã hóa thông tin ...........................................................................................................1
2.1.
2.2.
3.
Mã hóa thông tin trên máy tính ........................................................................................1
Mã hóa thông tin trên đường truyền ...............................................................................1
Giới thiệu chứng chỉ số...................................................................................................................2
3.1.
Khái niệm chứng chỉ số ..........................................................................................................2
3.2.
Ứng dụng của chứng chỉ số...................................................................................................2
3.2.1.
Mã hóa – bảo mật ...........................................................................................................2
3.2.2.
Chống giả mạo ................................................................................................................2
3.2.3.
Xác thực............................................................................................................................2
3.2.4.
Chống chối cãi nguồn gốc..............................................................................................3
3.2.5.
Chữ kí điện tử……………………………………………………………………………………………3
3.2.6.
Bảo mật website………………………………………………………………………………………..3
3.2.7.
Đảm bảo phần mềm…………………………………………………………………………………..4
Chương II. Tổng quan về hệ mật mã .................................................................... ……….4
1.
Thuật toán và khóa.........................................................................................................................4
1.1.
1.2.
2.
Thuật toán (Algorithm) ..........................................................................................................4
Khóa (Key) ...............................................................................................................................4
Các loại mã hóa ...............................................................................................................................4
2.1.
Mã hóa đối xứng (Symmetric encryption) ...........................................................................4
2.1.1.
Khái niệm..........................................................................................................................4
2.1.2.
Quy trình mã hóa đối xứng ...........................................................................................4
2.1.3.
Các thuật toán đối xứng (Symmetric Algorithms)......................................................5
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
6
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.
Mã hóa bất đối xứng (Asymmetric encryption) ..................................................................6
2.2.1.
Khái niệm..........................................................................................................................6
2.2.2.
Quy trình mã hóa bất đối xứng.....................................................................................7
2.2.3.
Các thuật toán bất đối xứng (Asymmetric Algorithms) .............................................8
2.2.4.
Ký số bất đối xứng (Asymmetric Signing) ...................................................................8
2.3.
Kết hợp giữa mã hóa đối xứng và bất đối xứng ................................................................9
2.4.
Chữ ký số (Digital signature).............................................................................................. 10
2.4.1.
Khái niệm....................................................................................................................... 10
2.4.2.
Quy trình băm............................................................................................................... 11
2.4.3.
Các thuật toán băm (Hash Algorithms) .................................................................... 11
2.4.4.
Quy trình ký số ............................................................................................................. 11
Chương III. Hạ tầng khóa công khai PKI .................................................................... 13
1.
Chứng chỉ số (Certificates) ......................................................................................................... 13
1.1.
Chứng chỉ số là gì?............................................................................................................... 13
1.2.
Các phiên bản chứng chỉ số ............................................................................................... 13
1.2.1.
1.2.2.
Chứng chỉ X.509 version 2 .......................................................................................... 14
1.2.3.
2.
Chứng chỉ X.509 version 1 .......................................................................................... 13
Chứng chỉ X.509 version 3 .......................................................................................... 16
Giới thiệu về PKI........................................................................................................................... 19
2.1.
2.2.
3.
PKI là gì? ............................................................................................................................... 19
Các thành phần của PKI...................................................................................................... 20
Các mô hình PKI........................................................................................................................... 21
3.1.
3.2.
Trust List................................................................................................................................ 21
3.3.
Hierarchical PKI .................................................................................................................... 22
3.4.
4.
Single CA ............................................................................................................................... 21
Mesh PKI ............................................................................................................................... 22
Nhà cung cấp chứng chỉ số (Certification Authorities) ........................................................... 23
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
7
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.1.
Giới thiệu Certification Authority (CA)............................................................................... 23
4.2.
Mô hình phân cấp CA .......................................................................................................... 24
4.2.1.
4.2.2.
Intermediate CA ........................................................................................................... 25
4.2.3.
Policy CA ........................................................................................................................ 25
4.2.4.
5.
Root CA .......................................................................................................................... 24
Issuing CA ..................................................................................................................... 26
Thu hồi chứng chỉ số ................................................................................................................... 26
5.1.
Certificate Revocation .......................................................................................................... 26
5.2.
Certificate Revocation List (CRL) ....................................................................................... 27
5.3.
Online Certificate Status Protocol (OCSP) ........................................................................ 28
5.4.
Kết luận ................................................................................................................................. 30
Chương IV: Triển khai hạ tầng khóa công khai PKI trên nền Windows server 2012 31
1.
Triển khai hạ tầng mạng với CA đơn tầng ............................................................................... 31
1.1.
1.2.
2.
Xây dựng Domain Controller (DC) ..................................................................................... 31
Xây dựng CA server ............................................................................................................. 49
Triển khai các dịch vụ.................................................................................................................. 67
2.1.
Cấu hình dịch vụ MAIL áp dụng chữ ký số và mã hóa nội dung .................................. 67
2.2.
Cấu hình dịch vụ IPSEC ....................................................................................................... 92
2.2.1.
Giới thiệu IPSEC ........................................................................................................... 92
2.2.2.
Cấu hình dịch vụ........................................................................................................... 93
2.3.
Cấu hình dịch vụ Web sử dụng SSL ................................................................................ 116
2.3.1.
Giới thiệu SSL ............................................................................................................. 116
2.3.2.
Cấu hình dịch vụ......................................................................................................... 116
2.4.
Cấu hình dịch vụ VPN sử dụng giao thức SSTP............................................................. 128
2.4.1.
Giới thiệu SSTP ........................................................................................................... 128
2.4.2.
Cấu hình dịch vụ......................................................................................................... 128
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
8
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Chương V: Kết luận.....................................................................................................154
V.1.
Kết Quả…...........................
V.2.
Hướng Phát Triển……………….
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
2
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Chương I. Giới thiệụ
1. Giới thiệu mã hóa
1.1. Giới thiệu mã hóa
Trong mật mã học, một ngành toán học ứng dụng cho công nghệ thông tin, mã
hóa là phương pháp để biến thông tin (phim ảnh, văn bản, hình ảnh...) từ định dạng
bình thường sang dạng thông tin không thể hiểu được nếu không có phương tiện giải
mã. Giải mã là phương pháp để đưa từ dạng thông tin đã được mã hóa về dạng thông
tin ban đầu, quá trình ngược của mã hóa.
2. Hệ thống mã hóa thông tin
2.1. Mã hóa thông tin trên máy tính
Thực tế, mật khẩu đăng nhập của Windows rất dễ dàng bị phá. Thêm nữa là bất
kỳ ai có thể sử dụng máy tính của anh đủ lâu để khởi động hệ thống từ một đĩa CD đều
có thể sao chép toàn bộ dữ liệu trên máy của anh mà không cần đến bất kỳ một mật
khẩu nào. Trong trường hợp họ có thể mang máy tính đi một khoảng thời gian nhất định,
anh còn có thể gặp nhiều rắc rối hơn nữa. Không chỉ mỗi mật khẩu đăng nhập của
Windows có thể bị phá, anh cũng không thể tin cậy các mật khẩu.
Mã hóa thông tin của bạn giống như việc cất chúng trong các két an toàn được
khóa lại. Chỉ những ai có chìa khóa hoặc biết tổ hợp khóa (một chìa khóa mật mã hay
một mật khẩu, trong trường hợp này) mới có thể mở được. Đặc điểm chung trên đặc
biệt phù hợp cho TrueCrypt (là công cụ mã hóa dữ liệu cho mã nguồn mỡ và nó là miễn
phí) và các công cụ tương tự, tạo ra các không gian chứa được mã hóa gọi là các ‘vùng
được mã hóa’ hơn là chỉ bảo vệ từng tệp một. Bạn có thể đưa một số lượng lớn các tệp
vào trong một vùng được mã hóa, nhưng những công cụ này sẽ không bảo vệ những dữ
liệu được lưu trữ ở những nơi khác trên máy tính hay thẻ nhớ USB của bạn.
2.2. Mã hóa thông tin trên đường truyền
Với sự tiện lợi và giá thành rẻ tính linh hoạt cao của thư điện tử và việc nhắn tin
qua mạng thực sự hữu ích cho các cá nhân và tổ chức. Không may rằng những giải pháp
thay thế các phương tiện liên lạc truyền thống này lúc không phải lúc nào cũng đáng tin
cậy để có thể giữ bí mật thông tin nhạy cảm. Tất nhiên đây không phải là điều gì mới
mẻ. Thư tín, các cuộc gọi điện hay tin nhắn đều không an toàn, đặt biệt là đối với những
người sử dụng đang bị theo dõi bởi các cơ quan chức năng.
Nếu bạn gữi thư điện tử, tin nhắn, hay đàm thoại qua mạng sử dụng các phương
thức không đảm bảo an ninh, thì chắc chắn rằng chúng có tính bảo mật còn kém hơn
việc gửi thư tín hay điện thoại thông thường.
Bằng cách thực hiện theo những hướng dẫn và tìm hiểu những phần mềm được
thảo luận trong chương này, bạn sẽ gia tăng khả năng bảo mật cho việc truyền thông
của mình. Dịch vụ thư điện tử Riseup, mô-dul Không lưu Dấu vết (OTR) cho chương trình
chát qua mạng Pidgin, Mozilla Firefox, và môdul bổ sung Enigmail cho chương trình quản
lý thư điện tử phía người dùng Mozilla Thunderbird đều là những công cụ hữu hiệu. Tuy
nhiên, trong khi sử dụng chúng, bạn nên luôn biết rằng mức độ riêng tư của những cuộc
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
liên lạc không bao giờ được đảm bảo trăm phần trăm. Luôn có những mối nguy cơ mà
bạn không lường trước, có thể là một chương trình ghi lại những phím được gõ nằm trên
máy của bạn, một kẻ nghe lén ngoài cửa sồ, một thư điện tử phúc đáp bất cẩn hay
những điều đại loại như vậy.
3. Giới thiệu chứng chỉ số
3.1. Khái niệm chứng chỉ số
Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một
máy chủ, một công ty... trên Internet. Nó giống như bằng lái xe, hộ chiếu, chứng minh
thư hay những giấy tờ xác minh cá nhân. Để có chứng minh thư, bạn phải được cơ quan
Công An sở tại cấp.
Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin
của bạn là chính xác, được gọi là Nhà cung cấp chứng thực số (CA - Certificate Authority).
CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà
mình cấp.
Chứng chỉ số có ba thành phần chính:
Dữ liệu cá nhân của người được cấp.
Khóa công khai (Public key) của người được cấp.
Chữ ký số của CA cấp chứng chỉ.
3.2. Lợi ích của chứng chỉ số
3.2.1. Mã hóa – bảo mật
Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn
chỉ có bạn mới giải mã được thông tin để đọc. Trong quá trình truyền qua Internet,
dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong
gói tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn
toàn tin cậy về khả năng bảo mật thông tin.
Những dữ liệu cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân
hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm
bảo an toàn.
3.2.2. Chống giả mạo
Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử
dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị thay đổi
hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ
bị phát hiện.
Địa chỉ mail của bạn, tên domain... đều có thể bị kẻ xấu làm giả để đánh
lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng. Chứng chỉ số thì không
thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn.
3.2.3. Xác thực
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
2
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận sẽ xác định rõ
được danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống
chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó
là bạn chứ không phải là một người khác.
Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch
điện tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền. Các
hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp
nhân.
Đây chính là nền tảng của một Chính phủ điện tử, môi trường cho phép
công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước
hoàn toàn qua mạng. Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần
cốt lõi của Chính phủ điện tử.
3.2.4. Chống chối cãi nguồn gốc
Khi sử dụng chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những
thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi, phủ nhận
một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua
mạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định người
gửi là tác giả của thông tin đó. Trong trường hợp chối cãi, CA cung cấp chứng chỉ
số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn
gốc thông tin được gửi.
3.2.5. Chữ kí điện tử
Email đã và đang đóng một vai trò rất quan trọng trong trao đổi thông tin
hằng ngày của chúng ta.Tuy nhiên nó rất dễ bị đọc bởi các hacker.Những thông
điệp có thể bị đọc hay bị giả mạo bởi các hacker trước khi tới tay người nhận.
Bằng việc sử dụng chứng chỉ số cá nhân , bạn sẽ ngăn ngừa được nguy cơ
này mà không lo bị lộ nội dung của email.Ngoài ra, chứng chỉ số cá nhân còn cho
phép người dùng có thể chứng thực mình với một webserver thông qua giao thức
bảo mật SSL (Secure Sockets Layer).
3.2.6. Bảo mật website
Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình
theo giao thức bảo mật SSL (Secure Sockets Layer). Chứng chỉ số này sẽ cung cấp
cho website một định danh duy nhất nhằm đảm bảo với khách hàng về tính xác thực
và tính hợp pháp của Website và đồng thời cho phép trao đổi thông tin an toàn và
bảo mật giữa Website với khách hàng,nhân viên,đối tác thông qua công nghệ SSL
mà nổi bật là các tính năng:
Thực hiện mua bán bằng thẻ tín dụng
Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng.
Đảm bảo hacker không thể dò tìm được mật khẩu.
3.2.7. Đảm bảo phần mềm
Nếu bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những
“con tem chống hàng giả” cho sản phẩm của mình.Chứng chỉ số Nhà phát triển
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
3
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
phần mềm sẽ cho phép bạn ký vào các applet,script,Java software,Active X
control,các file định dạng EXE,CAB,DLL…Nhờ đó bạn sẽ đảm bảo được tính hợp
pháp cũng như nguồn gốc xuất xứ của sản phẩm.Mặt khác,người dùng có thể xác
thực được bạn là nhà cung cấp,phát hiện được sự thay đổi của chương trình (do vô
tình hỏng hay do virus phá hoại hoặc crack…)
Chương II. Tổng quan về hệ mật mã
1. Thuật toán và khóa
Khi dữ liệu được mã hóa, hai yếu tố đầu vào cần thiết cho việc mã hóa là: một
thuật toán và một khóa.
1.1. Thuật toán (Algorithm)
Một thuật toán xác định cách dữ liệu được chuyển đổi từ các bản rõ ban đầu thành
mã và cách các bản mã trở lại thành bản gốc. Cả hai quá trình mã hóa và giải mã phải
sử dụng cùng một thuật toán.
1.2. Khóa (Key)
Khóa mã hóa là một thành phần thông tin đặc biệt kết hợp với thuật toán để mã
hóa và giãi mã dữ liệu. Mỗi khóa khác nhau có thể tạo ra các dữ liệu mã hóa khác nhau,
nếu không có khóa chính xác thì không thể giãi mã cho dù biết thuật toán mã hóa.
2. Các loại mã hóa
Trong mật mã học có hai loại mã hóa: mã hóa đối xứng và bất đối xứng.
2.1. Mã hóa đối xứng (Symmetric encryption)
2.1.1. Khái niệm
Mã hóa đối xứng sử dụng một khóa bí mật (private key) cho cả quá trình
mã hóa và giải mã. Chìa khóa phải được trao đổi để cả người gửi và người nhận dữ
liệu có thể truy cập.
2.1.2. Quy trình mã hóa đối xứng
Các thuật toán kết hợp với mã hóa đối xứng chỉ sử dụng một khóa duy
nhất nên có thể mã hóa một lượng lớn dữ liệu trong một thời gian ngắn. Các thuật
toán đối xứng đơn giản hơn nhiều so với thuật toán bất đối xứng, nếu khóa bị đánh
cắp người đánh cắp có thể giải mã được các dữ liệu được gửi nên độ an toàn cũng
kém hơn.
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
4
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.1: Quy trình mã hóa đối xứng.
Khi dữ liệu được mã hóa bằng thuật toán đối xứng, hệ thống sẽ tạo khóa
có giá trị ngẫu nhiên. Chiều dài của khóa thường được biểu diễn bằng số lượng các
bit và được quy định bởi thuật toán và ứng dụng sử dụng thuật toán đó.
Các khóa đối xứng này được chuyển giao bí mật giữa hai đối tượng giao
tiếp. Người gửi sẽ dùng khóa đối xứng để mã hóa các dữ liệu ban đầu – bản rõ (Plain
Text) thành một trạng thái mã hóa – bản mã (Cipher Text). Các bản mã này được
gửi tới người nhận dữ liệu. Người nhận dữ liệu đã mã hóa dùng khóa đối xứng để
giải mã dữ liệu thành bản rõ.
Lưu ý là khóa đối xứng này phải được bảo vệ kỹ càng trong quá trình khởi
tạo, lưu trữ hay truyền đi vì nếu nó bị lộ thì kẻ tấn công có thể dễ dàng giải mã tất
cả các dữ liệu được mã hóa bằng khóa này.
2.1.3. Các thuật toán đối xứng (Symmetric Algorithms)
Các thuật toán đối xứng được sử dụng rất phổ biến nhờ khả năng mã hóa
một lượng lớn dữ liệu trong thời gian ngắn. Thuật toán đối xứng được chia làm hai
dạng:
Block cipher
Block cipher là một giải pháp hoạt dộng chống lại sự hạn chế của dữ liệu
tĩnh. Dữ liệu được chia ra thành các blocks với size cụ thể và mỗi blocks được mã
hoá một cách khác nhau.
Stream cipher
Stream cipher là giải pháp hoạt động chống lại dữ liệu luôn luôn sử dụng
một phương thức để truyền. Một vùng đệm, ít nhất bằng một block, đợi cho toàn bộ
thông tin của block đó được chứa trong vùng đệm sau đó block đó sẽ được mã hoá
rồi truyền cho người nhận. Một sự khác nhau cơ bản giữa dữ liệu được truyền và dữ
liệu nguyên bản. Không như giải pháp sử dụng mật mã đối xứng là mỗi block được
sử dụng một key khác nhau trong quá trình truyền thông tin.
Các thuật toán đối xứng sử dụng các kỹ thuật khác nhau để mã hóa dữ
liệu, do đó chúng khác nhau ở khả năng bị tấn công, và có hiệu quả khác nhau trong
vấn đề mã hóa và giải mã. Các thuật toán này cũng sử dụng các khóa có độ dài khác
nhau. Dưới đây liệt kê một số thuật toán mã hóa đối xứng thường gặp:
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
5
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Data Encryption Standard (DES): là thuật toán mã khối (block cipher) nhận
vào một khối bản rõ có kích thước 64 bit và một khóa có chiều dài 56 bit, rồi
xuất ra một khối bản mã có kích thước 64 bit.
Data Encryption Standard XORed (DESX): là một biến thể của DES và mạnh
hơn DES. Thay vì trực tiếp mã hóa bản rõ, thì đầu tiên bản rõ được xử lý
thông qua một hàm XOR (Exclusive Or) sử dụng một khóa phụ thêm có chiều
dài 64 bit. Dữ liệu nhận được sau đó được mã hóa bằng thuật toán DES. Tiếp
tục, đầu ra của thuật toán DES lại được biến đối thông qua một hàm XOR với
một khóa có chiều dài 64 bit khác. Điều này giúp bảo vệ dữ liệu chống lại
kiểu tấn công dò tìm khóa dựa trên chiều dài tương đối ngắn của khóa DES
(56 bit).
Rivest’s Cipher version 2 (RC2) (40 bit): là thuật toán mã khối có chiều dài
khóa thay đổi. Khối đầu tiên có kích thước 64 bit sử dụng thêm một chuỗi 40
bit được gọi là salt. Giá trị salt này được gắn vào khóa mã hóa, khóa mã hóa
mới này sau đó được dùng để mã hóa bản rõ.
RC2 (128 bit): là một biến thể của RC2 (40 bit) với chiều dài của salt được
tăng thêm 88 bit.
RC4: là thuật toán mã dòng (stream cipher) có chiều dài khóa thay đổi. Khác
với các thuật toán mã khối, hoạt động của mã dòng tác động lên từng byte.
Thuật toán RC4 dựa trên cơ chế hoán vị ngẫu nhiên và thường được dùng
để mã hóa các lưu lượng đến và đi từ các website có áp dụng giao thức SSL.
Triple DES (3DES): là một biến thể của thuật toán DES trong đó DES được
áp dụng ba lần đối trên cùng một bản rõ. Đầu tiên bản rõ được mã hóa bằng
khóa A, được giải mã bằng khóa B, và được mã hóa tiếp bằng khóa C. Một
hình thức phổ biến của 3DES là chỉ dùng hai khóa: bản rõ được mã hóa bằng
khóa A, được giải mã bằng khóa B và được mã hóa lại bằng khóa A.
Advanced Encryption Standard (AES): được phát triển để thay thế cho DES.
Thay vì dùng khóa chỉ dài 56 bit như DES, AES có thể dùng khóa có chiều
dài 128 bit, 192 bit hoặc 256 bit. AES sử dụng thuật toán Rijndael và có thể
mã hóa dữ liệu chỉ với một lần thay vì ba lần như 3DES.
2.2. Mã hóa bất đối xứng (Asymmetric encryption)
2.2.1. Khái niệm
Mã hóa bất đối xứng sử dụng một khóa công khai (public key) và một khóa
bí mật (private key) có liên hệ về mặt toán học cho quá trình mã hóa và giải mã. Mã
hóa bất đối xứng có thể sử dụng public key để mã hóa và private key để giải mã
hoặc ngược lại. Mã hóa bất đối xứng còn gọi là mã hóa công khai.
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
6
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.2. Quy trình mã hóa bất đối xứng
Mã hóa bất đối xứng tăng cường bảo mật trong quá trình mã hóa bằng
cách sử dụng hai khóa khác nhau là một khóa công khai và một khóa riêng, người
gửi sẽ lấy khóa công khai của người nhận đễ mã hóa dữ liệu và chỉ có người nhận
mới có khóa bí mật để giãi mã nên an toàn hơn so với mã hóa đối xứng. Thuật toán
của mã hóa bất đối xứng toán phức tạp nên xử lí chậm hơn so với mã hóa đối xứng.
Hình dưới đây thể hiện hoạt động của mật mã bất đối xứng:
Hình 2.2: Quy trình mã hóa bất đối xứng sử dụng public key.
1. Bên gửi dữ liệu nhận được khóa công khai của bên nhận. Khóa này có thể
được lấy từ dịch vụ như Active Directory Domain Services.
2. Bản rõ của dữ liệu được truyền vào cho thuật toán mã hóa bất đối xứng và
sử dụng khóa công khai của bên nhận làm khóa mã hóa để tạo ra bản mã
của dữ liệu.
3. Bản mã sau đó được chuyển tới cho bên nhận. Sẽ không cần gửi khóa nào
vì bên nhận đã có sẵn khóa bí mật cần thiết để giải mã bản mã.
4. Bên nhận giải mã bản mã sử dụng khóa bí mật của họ để được bản rõ gốc
được tạo bởi bên gửi dữ liệu.
Hiếm khi người ta chỉ dùng một thuật toán mã hóa bất đối xứng mà thường
thì dữ liệu được mã hóa bằng một thuật toán đối xứng và sau đó khóa mã hóa đối
xứng được mã hóa, bảo vệ bởi thuật toán mã hóa bất đối xứng. Sự kết hợp giữa hai
kiểu mã hóa này sẽ được đề cập chi tiết ở phần sau.
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
7
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.3. Các thuật toán bất đối xứng (Asymmetric Algorithms)
Ba thuật toán phổ biến được dùng trong mã hóa bất đối xứng là:
Diffie-Hellman: thuật toán này không dựa trên việc mã hóa và giải mã mà
dựa vào các hàm toán học để tạo ra một khóa bí mật mà bên gửi và nhận sẽ
dùng chung để trao đổi thông tin bí mật cho nhau. Về cơ bản, khi áp dụng
thuật toán này thì hai bên sẽ thỏa thuận cùng một giá trị công khai (v) và
một số nguyên tố lớn (p). Ngoài ra, mỗi bên còn chọn một giá trị bí mật cho
riêng mình. Ba giá trị này sẽ được mỗi bên dùng để tạo một giá trị công khai
khác mà được gửi qua cho đối phương. Hai giá trị công khai này được dùng
để tính toán ra một khóa bí mật dùng chung được cả hai bên dùng để mã
hóa dữ liệu gửi cho nhau.
Rivest Shamir Adleman (RSA): thuật toán này được dùng để mã hóa và ký
lên dữ liệu. Các quá trình mã hóa và ký số được thực hiện thông qua một
loạt các bước chia lấy dư. Độ an toàn của RSA có thể được tăng cường khi
sử dụng khóa có độ dài lớn từ 1024 bit trở lên. Tất nhiên, điều này sẽ làm
quá trình ký và mã hóa bị chậm đi.
Digital Signature Algorithm (DSA): thuật toán này chỉ có thể được dùng để
ký số dữ liệu, nó không thể được dùng để mã hóa. Quá trình ký bằng DSA
được thực hiện thông qua một loạt các bước tính toán dựa trên một số
nguyên tố được chọn. Mặc dù dụng ý ban đầu chiều dài tối đa của khóa là
1024 bit nhưng giờ đây DSA đã hỗ trợ chiều dài khóa dài hơn.
2.2.4. Ký số bất đối xứng (Asymmetric Signing)
Các thuật toán bất đối xứng có thể được dùng để kiểm tra dữ liệu có bị
thay đổi hay không và xác minh nhận dạng của bên đã tạo ra dữ liệu đó. Trong
trường hợp này, vai trò của khóa công khai và khóa bí mật được hoán đổi: dùng
khóa bí mật để mã hóa dữ liệu (nói chính xác hơn là tạo chữ ký) và dùng công khai
giải mã dữ liệu (nói chính xác hơn là kiểm tra chữ ký)
Việc chứng minh nhận dạng của người tạo ra dữ liệu đạt được là vì chỉ có
người đó mới truy cập được tới khóa bí mật. Dĩ nhiên, điều này nảy sinh thêm vấn
đề là làm sao bảo vệ cho khóa bí mật. Lưu trữ khóa bí mật trên các thiết bị phần
cứng như thẻ thông minh giúp đảm bảo an toàn hơn là lưu trữ nó trong kho chứa
chứng chỉ thông thường.
Hình dưới đây thể hiện quá trình ký bất đối xứng giúp xác minh nhận dạng
của bên gửi dữ liệu và phát hiện dữ liệu bị chỉnh sửa như thế nào:
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
8
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.3: Quy trình ký số bất đối xứng.
1. Dữ liệu ở dạng bản rõ được truyền vào cho thuật toán mã hóa bất đối xứng
sử dụng khóa bí mật của bên gửi làm khóa mã hóa. Kết quả tạo ra là bản mã
của dữ liệu gốc.
2. Bản mã được gửi tới bên nhận.
3. Bên nhận dữ liệu lấy về khóa công khai của bên gửi. Khóa công khai có thể
được phân phát ở dạng bản rõ.
4. Bên nhận giải mã bản mã sử dụng khóa công khai của bên gửi. Kết quả là
bản rõ ban đầu của dữ liệu được tạo bởi bên gửi.
Việc giải mã thành công bằng khóa công khai của bên gửi xác minh rằng
dữ liệu được tạo bởi chính bên gửi đó chứ không phải ai khác. Nó cũng chứng minh
rằng dữ liệu không bị chỉnh sửa trong quá trình truyền nhận vì nếu có bất kỳ thay
đổi nào sẽ dẫn tới quá trình giải mã bị thất bại.
2.3. Kết hợp giữa mã hóa đối xứng và bất đối xứng
Thực tế là hầu hết các hệ thống đều ứng dụng kết hợp giữa mã hóa đối xứng và
bất đối xứng để khai thác những điểm mạnh của mỗi phương pháp. Khi được kết hợp
thì:
Mã hóa đối xứng được dùng để chuyển bản rõ sang bản mã vì ưu điểm của nó là
tốc độ xử lý nhanh với một khối dữ liệu lớn.
Mã hóa bất đối xứng được dùng để trao đổi khóa đối xứng được dùng để mã hóa
ở trên. Điều này lợi dụng ưu điểm tính an toàn cao của mã hóa bất đối xứng khi
đảm bảo rằng chỉ có người nhận thích hợp sở hữu khóa bí mật mới có thể giải
mã ra khóa đối xứng.
Hình dưới đây thể hiện quá trình các bước xảy ra khi sử dụng phương pháp kết
hợp này:
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
9
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
[email protected]
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.4: Kết hợp giữa mã hóa đối xứng và bất đối xứng.
1. Bên gửi nhận được khóa công khai của bên nhận.
2. Bên gửi tạo một khóa đối xứng và sử dụng nó để mã hóa dữ liệu gốc ở dạng bản
rõ.
3. Khóa đối xứng được mã hóa bằng khóa công khai của bên nhận để bảo vệ nó
khỏi bị đọc trộm trong quá trình truyền đi.
4. Khóa đối xứng được mã hóa và dữ liệu ở dạng bản mã được gửi tới bên nhận
thích hợp.
5. Bên nhận sử dụng khóa bí mật của họ để giải mã ra khóa đối xứng.
6. Bản mã sẽ được giải mã bằng khóa đối xứng để bên nhận có được dữ liệu gốc ở
dạng bản rõ do bên gửi tạo ra.
2.4. Chữ ký số (Digital signature)
2.4.1. Khái niệm
Ba mục đích để sử dụng mật mã là: giữ bí mật cho dữ liệu, phát hiện nếu
dữ liệu bị chỉnh sửa, và chứng minh nguồn gốc của dữ liệu. Mặc dù mã hóa có thể
giúp đảm bảo bí mật và bảo vệ dữ liệu khỏi bị chỉnh sửa nhưng chỉ có áp dụng ký
số mới xác minh được nguồn gốc của dữ liệu. Ngoài ra, việc ký số còn giúp nhận
dạng xem dữ liệu có bị chỉnh sửa hay không. Việc ký số giúp bảo vệ dữ liệu theo
cách sau:
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI
10