TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
─────── ───────
BÁO CÁO MÔN HỌC
AN NINH MẠNG
ĐỀ TÀI : Hạ Tầng Khóa Công Khai PKI.
Giáo viên hướng dẫn : PGS.TS NGUYỄN LINH GIANG
HẠ TẦNG KHÓA CÔNG
KHAI PKI
LỜI NÓI ĐẦU
Cùng với sợ phát triển mạng mẽ của Công nghệ thông tin hiện nay, hay chi tiết
hơn đó là Internet đã làm cho phương thức thông tin liên lạc cũng phát triển theo một
tầm cao mới. Trước kia, để có thể trao đổi thông tin giữa các nơi chúng ta sử dụng thư tín
rồi phát triển hơn nữa là thư điện tử, email, các giao dịch về công việc, tài chính đều được
thực hiện qua mạng Internet. Mọi trở ngại về khoảng cách địa lý đã không còn là vấn đề.
Tuy nhiên, đó là những mặt thuận lợi mà internet mang lại bên cạnh đó vẫn cón
các mặt hạn chế của nó. Tất cả các giao dịch về tài chính, công việc, thông tin trao đổi
giữa các bên đều diễn ra trên mạng hay có thể hiểu là “ảo”, vậy thật khó có thể để khẳng
định được người mà ta đang giao dịch hay trao đổi thông tin là đúng người mà ta muốn,
và thông tin ta trao đổi là thật. Đây cũng là một sự hạn chế và cũng đồng nghĩa với việc
nó trở thành một lỗ hổng cho những tin tặc “hacker” lợi dụng để thực hiện những hành vi
xấu, phá hoại của mình.
Vậy giải pháp gì để có thể giúp ta giải quyết việc xác thực được người mà ta muốn
giao dịch và thông tin ta nhận được là chính xác? Trên thế giới giải pháp được đưa ra từ
khá sớm, đó là mỗi người được cấp một chứng thư số (Certificate digital), với chứng thư
số này chúng ta có thể chứng minh được với người khác chúng ta là ai, sử dụng chứng
thư này để kí lên các tài liệu mà chúng ta muốn công bố để người khác biết được tác giả
là ai và kiểm tra sự toàn vẹn dữ liệu. Ta cũng thể dùng chứng thư này để giải mã các
thông tin mà được mã hóa khi gửi cho nhau. Chứng thư này phải do một bên thứ ba có độ
tin cậy cao cung cấp có tên là CA (Certificate Authory) cùng các dịch vụ bổ trợ đi kèm
tạo thành một hệ thống gọi chung là Public Key Infrastructure (PKI- Hạ tâng khóa công
khai).
Hiện nay ở nước ta đã triển khai PKI trong các giao dịch ngân hàng, kê khai thuế
và chính phủ điện tử, phải kể đến các nhà cung cấp hiện nay như BKAV, VDC ..v.v
HẠ TẦNG KHÓA CÔNG
KHAI PKI
MỤC LỤC
I.
Mục đích................................................................................................................................ 4
II.
Nội dung................................................................................................................................ 4
A.
CẤU TRÚC HẠ TẦNG KHÓA CÔNG KHAI :.............................................................................4
1.
Khái niệm PKI :................................................................................................................4
2.
Mô hình đề xuất................................................................................................................5
B.
CHỨNG CHỈ SỐ, CÁC CHUẨN:...................................................................................................5
1.
PGP(Pretty Good Privacy) :..............................................................................................5
2.
X509..................................................................................................................................6
3.
PRIX..................................................................................................................................8
4.
PKCS.................................................................................................................................8
5.
TCVN................................................................................................................................9
C.
TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH:..........................................12
1.
Cấp chứng chỉ cho thư điện tử cho các tổ chức, doanh nghiệp:....................................12
2.
Kê khai thuế:...................................................................................................................13
3.
Giao dịch ngân hàng:......................................................................................................15
D.
III.
CÁC HỆ THỐNG MÃ NGUỒN MỞ:...........................................................................................16
1.
Sơ đồ hệ thống PKI đề xuất:...........................................................................................16
2.
Các thành phần hệ thống:................................................................................................17
Tài liệu tham khảo............................................................................................................. 24
HẠ TẦNG KHÓA CÔNG
KHAI PKI
I.
Mục đích
TÌM HIỂU VÀ NẮM BẮT ĐƯỢC CHỨC NĂNG, HOẠT ĐỘNG, CÁCH
TRIỂN KHAI TRONG THỰC TẾ CỦA HẠ TẦNG KHÓA CÔNG KHAI PKI.
II.
Nội dung
A. CẤU TRÚC HẠ TẦNG KHÓA CÔNG KHAI :
1. Khái niệm PKI :
PKI là viết tắt của “Public Key Infrastructure”. Trong mã hóa phi đối xứng, người
ta dùng một cặp khóa để mã hóa và giải mã thông tin. Cặp khóa này là khóa công khai
(public key) và khóa bí mật (private key). Khi một thông tin được mã hóa bằng khóa
công khai thì chỉ có thể dùng khóa bí mật tương ứng để giải mã và ngược lại. Khóa
công khai là khóa mà ta sẽ công khai cho mọi người biết để họ có thể giải mã các
thông tin được mã hóa bởi khóa bí mật của ta, hoặc có thể để họ mã hóa những thông
tin họ gửi cho ta và chỉ muốn ta mới có thể giải mã được. Khóa công khai được công
khai hóa qua việc gắn vào một chứng thư số (certificate), nó là một xâu gồm nhiều bit.
PKI có thể hiểu là một tập hợp các phần cứng, phần mềm, con người,các chính
sách, thủ tục mà cần để tạo ra, quản lý, lưu trữ, phân phối và thu hồi chứng thư số.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
2. Mô hình đề xuất
B. CHỨNG CHỈ SỐ, CÁC CHUẨN:
1. PGP(Pretty Good Privacy) :
Mật mã hóa PGP là một phần mềm máy tính dùng để mật mã hóa dữ liệu và
xác thực. Phiên bản đầu tiên được công bố vào năm 1991. Đến nay phần mềm
này có nhiều cải tiến và tung ra thị trường nhiều sản phẩm khác nhau dựa trên
nền tảng này. Ban đầu là phục vụ cho việc mã hóa thư điện tử, sau này nó trở
thành một giải pháp mã hóa cho các công ty lớn, chính phủ và cá nhân.Các
phần mềm dựa trên PGP được dùng để mã hóa và bảo vệ thông tin lưu trữ trên
máy tính xách tay ,máy tính để bàn, máy chủ và trong quá trình trao đổi thông
qua email, IM hoặc chuyển file.
Hoạt động của PGP là việc sử dụng kết hợp mật mã hóa khóa công khai và
thuật toán đối xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa
công khai và chỉ danh người dùng(ID).
Người nhận trong hệ thống PGP sử dụng khóa phiên để giải mã các gói tin.
Khóa phiên này được gửi kèm với thông điệp nhưng được mã hóa bằng hệ
thóng mật mã bất đối xứng và có thể giải mã bằng khóa bí mật của người nhận.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Hệ thống phải sử dụng cả 2 dạng thuật toán để tận dụng ưu thế của cả 2 đó là :
thuật toán bất đối xứng đơn giản việc phân phôi khóa còn thuật toán đối xứng
ưu thế về tốc độ trong việc mã hóa bản tin.
Với PGP, để phát hiện xem thông điệp có bị thay đổi hay không thì người
gửi phải kí lên văn bản với thuật toán RSA hoặc DSA. Đầu tiên, PGP tính giá
trị hàm băm của thông điệp rồi tạo ra chữ kí số với khóa bí mật của người gửi.
Khi nhận được văn bản, người nhận tính lại giá trị băm của văn bản đó đồng
thời giải mã chữ kí số bằng khóa công khai của người gửi. Nếu 2 giá trị này
giống nhau thì có thể khẳng định là văn bản chưa có sự thay đổi.
Trong quá trình mã hóa và kiểm tra chữ kí thì một điều vô cùng quan trọng
là khóa công khai được sử dụng phải thực sự thuộc về người được cho là sở
hữu nó. Nếu chỉ đơn giản là lấy một khóa công khai từ đâu đó về thì sẽ không
thể đảm bảo được điều này. PGP thực hiện việc phân phối khóa thông qua
chứng thư số được tạo nên bới kĩ thuật mật mã sao cho việc sửa đổi khóa là dễ
dàng bị phát hiện. Ngoài ra PGP còn có cơ chế hỗ trợ gọi là mạng lưới tín
nhiệm, có nghĩa là mọi khóa công khai đều có thể được một bên thứ 3 xác
nhận.
Trong PGP, có khái niệm về chữ kí tin cậy, chữ kí này có quyền ở mức cao
sử dụng để tạo ra một nhà cung cấp chứng thư số (CA). Ta có thể hiểu đây là
cơ chế sử dụng một chữ kí tin cậy để xác nhận một chữ kí ở mức thấp hơn.
Đồng thời nó cũng được biết đến với khả năng hủy bỏ hoặc thu hồi các chứng
thư số đã bị vô hiệu hóa, gia hạn chứng thư.
Với chuẩn PGP thì nó có thẻ được coi là khá an toàn, chỉ có nhưng cơ quan
chính phủ mới có đủ nguồn lực để phá vỡ những thông điệp PGP còn với cá
nhân thì chưa.
2. X509
X.509 là một chuẩn của ITU định nghĩa một framework chuẩn cho một
chứng chỉ số. X.509 dựa trên cơ sở của X.500, mà bản thân X.500 còn chưa
được định nghĩa hoàn chỉnh.
X.509 lần đầu tiên được công bố vào năm 1988 và các phiên bản tiếp
theo được đưa ra để giải quyết các vấn đề an toàn. X.509 hỗ trợ cả 2 mã bí mật
và mã công khai. Như đã nêu, X509 đưa ra một chuẩn về nội dung của một
HẠ TẦNG KHÓA CÔNG
KHAI PKI
chứng thư : phiên bản, số serianumber, ID chữ kí, thời điểm bắt đầu có hiệu lực
và hết hiệu lực ..v.v. Về cơ bản thì một người có trách nhiệm chứng nhận sẽ
đặt khóa công khai của một người nào đó có nhu cầu chứng thực vào thủ tục
chứng thực và sau đó xác thực lại bằng khóa riêng. Điều này bắt buộc khóa và
thủ tục chứng thực phải luôn đi kèm với nhau. Bất cứ ai cần dùng khóa công
khai của một đối tượng đều có thể mở thủ tục chứng thực bằng khóa công khai
của đối tượng đó do bên có trách nhiệm chứng thực cung cấp.
Trong chuẩn X509 thì gồm các trường :
Chứng thư gồm 2 phần : phần đầu là những trường cơ bản cần thiết có
trong chứng chỉ. Phần thứ 2 chứa thêm các trường mở rộng.
-
Version : phiên bản của chứng thư.
-
Certificate serial number : định danh cho mỗi một Certificate, thường do
CA cấp.
-
Signature Algorithm ID : chỉ ra thuật toán CA sử dụng để kí cho mỗi chứng
thư. Có thể là RSA hay DSA.
-
Issuer : chỉ ra đối tượng cấp hoặc được nhận chứng thư.
-
Validity Period : khoảng thời gian chứng thư có hiệu lực. Trường này xác
định thời gian chứng thư bắt đầu có hiệu lực và thời điểm bị thu hồi (hay bị
hêt hạn).
HẠ TẦNG KHÓA CÔNG
KHAI PKI
-
Extension : chỉ có trong nhũng chứng chỉ V.3 . Phần mở rộng là những
thông tin về các thuộc tính cần thiết được đưa vào để gắn với mỗi người sử
dụng hay hóa công khai (chức năng kí cho ai, kí ở đâu ..v.v).
Với X509 CA là thực thể trong hạ tầng PKI thực hiện xác thực và thẩm tra.
-
CA sẽ tạo ra cặp khóa public/private đồng thời tạo chứng thư chứa khóa
công khai của cặp khóa đó. Hoặc người sử dụng tự tạo cặp khóa và đưa
khóa công khai của mình cho CA để tạo chứng thư cho khóa công khai đó.
Chứng thư sẽ đảm báo tính toàn vẹn của khóa và các thông tin đi kèm.
-
Thẩm tra: quá trình xác định xem chứng chỉ liệu đã được sử dụng đúng mục
đích thíc hợp hay chưa
3. PRIX
Nhóm được IETF thành lập vào cuối năm 1995 với mục đích phát triển các
chuẩn Internet cần để hỗ trợ X.509 – dựa trên cơ sở PKI. Phạm vi của nhóm
PKIX được mở rộng ra bên ngoài các mục đích ban đầu. Nhóm không chỉ đưa
HẠ TẦNG KHÓA CÔNG
KHAI PKI
ra các chuẩn profiles ITU PKI, mà còn phát triển các chuẩn mới thích hợp cho
việc sử dụng X.509 dựa trên cơ sở PKI trên Internet.
4. PKCS
PKCS là một chuẩn do phòng thí nghiệm RSA Data Security Inc phát triển.
Nó dựa vào các cấu trúc ASN.1 và thiết kế cho phù hợp với chứng chỉ X.09,
các tiêu chuẩn này do ANSI thiết kế, theo đó dữ liệu được chia thành từng khối
nhỏ nhất là 8 bit (octet). PKCS hiện tại bao gồm các chuẩn PKCS#1, PKCS#3,
PKCS#5,PKCS#7, PKCS#8, PKCS#9, PKCS#11, PKCS#12, PKCS#13,
PKCS#15. Hiện tại phiên bản của các bản đang là 2.1. Trong đó có thể tìm
được các chuẩn để mã hóa dữ liệu, chuẩn này được thiết kế dựa vào cách mà
các thám mã dùng để tấn công vào đoạn mã. Có thể mô tả sơ qua thế này, trong
PKCS#1 có các chuẩn mã hóa - giải mã RSAES - OAEP scheme, chuẩn tạo
chữ ký điện tử - kiểm tra RSASSA - PSS scheme ver2.1, hay trong PKCS#7 là
các chuẩn mã hóa cho password. PKCS#11 là phức tạp nhất, nó là chuẩn cho
việc truyền thông tin trên mạng dưới dạng các gói tin đã mã.
5. TCVN
TCVN là viết tắt của cụm từ Tiêu chuẩn Việt Nam, dùng làm kí hiệu tiền tố cho
các bộ tiêu chuẩn quốc gia của Việt Nam do Viện Tiêu chuẩn Chất lượng Việt
Nam (thuộcTổng cục Tiêu chuẩn Đo lường chất lượng) tổ chức xây dựng và Bộ Khoa
học và Công nghệ công bố. Do phạm vi rất rộng lớn của vấn đề kiểm định đo lường
chất lượng nên phần lớn các bộ tiêu chuẩn TCVN đều xa lạ với người dân Việt Nam
trừ những ai làm trong các lĩnh vực có liên quan.
Hiện nay đã có hàng nghìn TCVN bao gồm tiêu chuẩn cơ bản, tiêu chuẩn thuật
ngữ, tiêu chuẩn yêu cầu kỹ thuật, tiêu chuẩn phương pháp thử và lấy mẫu, tiêu chuẩn
ghi nhãn, bao gói, vận chuyển và bảo quản; thuộc các lĩnh vực như cơ khí, luyện
kim, giao thông vận tải, xây dựng, hóa chất, dầu khí, khoáng sản, nông nghiệp, thực
phẩm, hàng tiêu dùng, môi trường, an toàn, điện, điện tử, công nghệ thông tin...
Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ
ký số
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Số TT Loại tiêu chuẩn
1
1.1
2
2.1
Ký hiệu tiêu
Tên đầy đủ của tiêu chuẩn
chuẩn
Chuẩn bảo mật cho HSM
Bảo mật cho khốiFIPS PUBSecurity
Requirements
Quy
định
áp
dụng
forYêu cầu tối thiểu
an ninh phần cứng140-2
Cryptographic Modules
HSM
Chuẩn mã hóa
Mã hoá phi đốiPKCS #1
RSA Cryptography Standard - Phiên bản 2.1
xứng và chữ ký số
level 3
- Áp dụng lược đồ
RSAES-OAEP để
mã
hoá
và
RSASSA-PSS
2.2
2.3
Mã hoá đối xứng
ký
EncryptionÁp
FIPS
PUBAdvanced
197
FIPS
Standard (AES)
PUBData Encryption
46-3
Hàm băm bảo mật FIPS
dụng
AES
hoặc 3DES
Standard
(DES)
PUBSecure Hash Standard
180-2
Áp dụng một trong
bốn hàm băm an
toàn:
SHA-256,
SHA-1,
SHA-
384, SHA-512
3
3.1
để
Chuẩn tạo yêu cầu và trao đổi chứng thư số
Định dạng chứngRFC 3280 Internet X.509 Public Key
thư số và danh sách
Infrastructure
-
Certificate
thu hồi chứng thư
and Certificate Revocation
3.2
số
Cú pháp thông điệpPKCS #7
List (CRL) Profile
Cryptographic
3.3
mã hoá
Cú pháp thông tinPKCS #8
Syntax Standard
Private-Key
InformationPhiên bản 1.2
3.4
khóa riêng
Cú pháp yêu cầuPCKS #10
Syntax Standard
Certification Request SyntaxPhiên bản 1.7
MessagePhiên bản 1.5
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Ký hiệu tiêu
Số TT Loại tiêu chuẩn
chuẩn
Tên đầy đủ của tiêu chuẩn
3.5
4
4.1
thông tin cá nhân
Exchange Syntax Standard
Chuẩn về chính sách và quy chế chứng thực chữ ký số
Khung quy chếRFC 3647 Internet X.509 Public Key
thực
và
5
5.1
Policy
and
-
Certificate
Certification
thư
Practices Framework
Chuẩn về lưu trữ và truy xuất chứng thư số
Giao thức lưu trữRFC 2587 Internet X.509 Public KeyÁp
và truy xuất chứng
Infrastructure
thư số
Schema
4523
Lightweight Directory Access
RFC 4523
Protocol
Definitions
RFC 2251
RFC 4510
RFC 4511
RFC 4512
(LDAP)
Schema
for
X.509
Certificates
Lightweight Directory AccessÁp
RFC
dụng
RFC
Protocol (v3)
2251 hoặc bộ bốn
Lightweight Directory Access
tiêu chuẩn RFC
Protocol (LDAP): Technical
4510, RFC 4511,
Specification Road Map
RFC 4512, RFC
Lightweight Directory Access
4513
Protocol
(LDAP):
The
Protocol
Lightweight Directory Access
Information Models
Lightweight Directory Access
Protocol
(LDAP):
Authentication Methods and
6
dụng
LDAPv22587 hoặc RFC
Protocol (LDAP): Directory
RFC 4513
áp
InformationPhiên bản 1.0
Infrastructure
chính sách chứng
định
dụng
chứng thực
Cú pháp trao đổiPKCS #12
chứng
Standard
Personal
Quy
Security Mechanisms
Chuẩn về kiểm tra trạng thái chứng thư số
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Số TT Loại tiêu chuẩn
6.1
Giao
thức
Ký hiệu tiêu
chuẩn
choRFC 2585
Tên đầy đủ của tiêu chuẩn
Quy
định
dụng
Internet X.509 Public KeyÁp dụng một hoặc
kiểm tra trạng thái
Infrastructure - Operationalcả hai giao thức
chứng thư số
Protocols: FTP and HTTP
FTP và HTTP
C. TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH:
1. Cấp chứng chỉ cho thư điện tử cho các tổ chức, doanh nghiệp:
1.1 Đặc điểm :
-
áp
Số lượng nhân viên không quá lớn. Công ty có cấu trúc không quá đơn giản, nằm
trên cùng một khu vực vật lý.
1.2 Nhu cầu :
-
Cần sử dụng PKI trong tổ chức, doanh nghiệp. Yêu cầu là mỗi nhân viên
nếu có một địa chỉ thư điện tử thì sẽ có một chứng chỉ tương ứng để phục
vụ cho việc ký và mã hóa điện tử. Thư điện tử ở đây có thể hiểu là thông
báo, công văn, nghị định ..v.v
-
Chứng chỉ được ban hành cần phải có tính liên thông rộng để có thể sử
dụng cho việc tương tác với nhiều đối tác.
-
Mức độ bảo đảm của chứng chỉ phải đủ cao để được các đối tác chấp nhận.
1.3 Triển khai:
-
Do số lượng chữ kí số cấp phát là không nhiều và dễ quản lý nên mô hình
PKI áp dụng là khá đơn giản, không đòi hỏi phức tạp.
-
Tuy nhiên với một cơ quán lớn,có sự móc lối giữa các ban, bộ thì mô hình
PKI trở lên phức tạp hơn, có sự phân cấp. Mỗi cấp có một CA phụ thuộc
vào một RootCA cấp trên.
2. Kê khai thuế:
2.1 Đặc điểm:
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Hiện nay, việc kê khai thuế của các cơ quan cho các tổng cục thuế vẫn đang
thực hiện thông qua việc nộp các tờ khai thuế. Chính điều đó làm nảy sinh rất
nhiều các bất cập trong việc kê khai thuế khi đến đợt : in tờ khai, nộp tờ khai, và
quá trình xác nhận kí duyệt của tổng cục thuế đối với các bản khai đó .v.v. những
điều đó làm cho việc kê khai trở nên phức tạp và tốn kém nhiều về mặt thời gian
và tiền của của nhà nước và các doanh nghiệp.
Để giải quyết các nhược điểm của việc kê khai thuế theo cách thủ công như
xưa thì hiện nay việc áp dụng chữ kí số vào kê khai thuế.
2.2 Nhu cầu:
-
Giảm được thời gian kê khai giữa các cơ quan doanh nghiệp với tổng cục
thuế.
-
Tiết kiệm chi phí in tờ khai.
-
Đảm bảo tính pháp lí, bảo mật và xác thực với mỗi phiên làm việc của từng
bên.
2.3 Triển khai:
Để triển khai được chữ kí số vào kê khai thuế, chúng ta cần có một bên cấp
phát chữ kí số đóng vai trò bên thứ 3 tin cậy trong quá trình kê khai này.
Cơ quan cấp phát chữ kí số sẽ cấp chứ kí số cho các doanh nghiệp và tổng
cục thuế. Khi một doanh nghiệp tiến hành kê khai thuế cho công ty mình, mọi
thông tin sẽ được doanh nghiệp đó nhập vào 1 tờ khai có thể là 1 định dạng file
bất kì do nhà nước quy định. Sau đó, công ty đó sẽ sử dụng chữ kí của mình kí
lên tờ khai đó(kí và mã hóa) và gửi cho bên phía cấp phát chữ kí số, tại đây nhà
cung cấp chữ kí số sẽ xác thực và đối chiếu với form mẫu do nhà nước ban
hành. Nếu tờ khai là hợp lệ, nó sẽ được chuyển lên phía Tổng cục thuế để xác
nhận và gửi trả lại phía các cơ quan muốn kê khai thuế.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Mẫu kê khai thuế sử dụng chữ kí số.
3. Giao dịch ngân hàng:
3.1 Đặc điểm :
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Hiện nay, vấn đề xác thực đang là vấn đề quan tâm thiết yếu của hệ thống
online banking cũng như bảo mật doanh nghiệp. Các giao dịch ngân hàng đều sử
dụng cơ chế xác thực theo kiểu username/password. Cơ chế xác thực này rất dễ bị
xâm phạm do mức độ bảo mật chưa cao, các giao dịch khó xác định trong việc
định danh dẫn đến việc xác định trách nhiệm nếu có sự cố xảy ra dường như
không có.
Việc sử dụng chữ kí số sẽ giúp giải quyết được các vấn đề còn tồn tại trong
giao dịch ngân hàng. Đảm bảo tính bảo mật, toàn vẹn dữ liệu của thông tin trên
đường truyền, và đặc biệt là tính không chối bỏ trong giao dịch.
3.2 Nhu cầu
-
Xác thực mạnh khi đăng nhập ứng dụng
-
Lưu viết. giám sát tiến trình
-
Có thể áp dụng rộng dãi trên các ứng dụng, giao dịch khác nhau.
-
Nâng cao tính bảo mật, thuận tiện cho phía người sử dụng trong giao dịch.
3.3 Triển khai
Các ngân hàng khi tiến hành mỗi giao dịch sẽ phải đăng nhập hệ thống thông
qua một chứng thư số được lưu trữ trong một thiêt bị phần cứng: USB tocken
được cung cấp từ phía nhà phát hành chứng thư số CA, có chứa chứng thư số
của mỗi cá nhân, doanh nghiệp..v.v.
Sau khi đăng nhập vào hệ thống, mọi giao dịch giữa người dùng với ngân
hàng, hay giữa các ngân hàng với nhau được mã hóa và kí số để được đảm bảo
tính bí mật của phiên làm việc.
Vì vậy, thay vì các giao dịch thực hiện trên giấy tờ thì sẽ được thay bằng các
văn bản trao đổi trên internet.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Hệ thống liên ngân hàng, tích hợ chữ kí số.
D. CÁC HỆ THỐNG MÃ NGUỒN MỞ:
1. Sơ đồ hệ thống PKI đề xuất:
HẠ TẦNG KHÓA CÔNG
KHAI PKI
2. Các thành phần hệ thống:
a. RootCA: là thực thể ban hành ra chứng chỉ cho subcriber(người dùng chứng
chỉ) khi có yêu cầu hợp lệ từ phía client. CA có thể đồng thời là 1 người dùng
chứng chỉ nếu chứng chỉ của nó được một CA khác ban hành. Trong thực tế,
mỗi CA chỉ ban hành cho một lớp người dùng nhất định.
Việc cấp Cert và gia hạn Cert được thực hiện trên 2 giao diện Webadmin sử
dụng HTTPs port 8443, và giao diện publicweb port 8080.
Cert do CA cấp cho user.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Cert sau khi bị thay đổi nội dung.
Khi một cert bị kẻ xâm phạm thay đổi thì sẽ không còn hiệu lực pháp lí.
b. HSM:
Là nơi lưu giữ chứng chỉ của RootCA, do chứng chỉ của RootCA cần bảo mật
và rất quan trọng trong hoạt động của hệ thống. Hiện nay, có 2 kiểu HSM một là
HSM thật và HSM ảo.
c. OCSP:
Trước khi đi vào chi tiết về OCSP, chúng em xin nói sơ qua về CRL. CRL là
một danh sách các chứng chỉ bị thu hồi. Mỗi CA có một CRL của riêng nó. Đây là
nơi cập nhật danh sách các chứng chỉ bị thu hồi để công bố ra ngoài cho người
dùng nếu có yêu cầu. CRL chứa một loạt các serial number của các chứng chỉ bị
thu hồi của CA đó. Nói một cách đơn giản thì CRL là một nguồn lưu trữ được sử
HẠ TẦNG KHÓA CÔNG
KHAI PKI
dụng cho các bên phụ thuộc xác minh được trạng thái của chứng chỉ, xem chứng
chỉ đã thu hồi(hết hạn) hay vẫn còn thời hạn sử dụng.
Một vấn đề được đặt ra, khi mà người dùng lớn thì đồng nghĩa với kho lưu trữ
của chúng ta sẽ lớn dần lên. Điều này ảnh hưởng rất lớn tới đường truyền và hoạt
động của hệ thống do phải lấy cả danh sách chứng thư về. Vâỵ làm sao chúng ta
có thể khắc phục được điều này? Giải pháp đưa ra đó là dùng OCSP.
OCSP là viết tắt của Online Certificate Status Protocol(giao thức xác minh
trạng thái chứng chỉ trực tuyến). Với giao thức này thì ta chỉ việc xây dựng một
OCSP Reponder cho nhiều CA cùng một lúc đóng vai trò thu thập thường xuyên
trạng thái của các chứng thư và gửi trả lại thông tin trạng thái của chứng thư đó
cho phía client khi có request đến. điều này đã làm cho đường truyền và hoạt động
của hệ thống trở nên thông suốt và tối ưu hơn rất nhiều.
Việc truyền thông OCSP request có thể sử dụng 2 phương pháp POST và GET
của giao thức HTTP , thông qua cổng 8080.
Cert được kí và xác thực bởi OCSP.
HẠ TẦNG KHÓA CÔNG
KHAI PKI
Cert bị thay đổi nội dung sau kí sẽ không có hiệu lực.
d. TSA:
Nếu chỉ xác minh chứng thư là còn hiệu lực thi hành hay không thì là chưa đủ,
khi chúng ta thực hiện giao dịch điện tử sử dụng chứng thư số chúng ta không thể
bỏ quá thời gian, thời gian ở đây là thời gian kí. Bình thường thì thời điểm kí khó
có thể được chấp nhận giữa 2 bên, nó chỉ được chấp nhận khi có một bên thứ 3 tin
tưởng xác minh.
Để giải quyết dịch vụ này thì bên thứ 3 hay chính là nhà cung cấp dịch vụ PKI
phải xây dựng một dịch vụ xác minh thời điểm kí giữa 2 bên khi mà có yêu cầu
xác minh từ một trong 2 phía và server đảm nhận nhiệm vụ trên là TSA.
Giao thức mà TSA sử dụng ở đây là Time stamp protocol – RFC 3161. Mở
cổng 389.
- Xem thêm -