Đăng ký Đăng nhập
Trang chủ Hạ tầng khóa công khai pki...

Tài liệu Hạ tầng khóa công khai pki

.DOC
25
488
113

Mô tả:

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ───────  ─────── BÁO CÁO MÔN HỌC AN NINH MẠNG ĐỀ TÀI : Hạ Tầng Khóa Công Khai PKI. Giáo viên hướng dẫn : PGS.TS NGUYỄN LINH GIANG HẠ TẦNG KHÓA CÔNG KHAI PKI LỜI NÓI ĐẦU Cùng với sợ phát triển mạng mẽ của Công nghệ thông tin hiện nay, hay chi tiết hơn đó là Internet đã làm cho phương thức thông tin liên lạc cũng phát triển theo một tầm cao mới. Trước kia, để có thể trao đổi thông tin giữa các nơi chúng ta sử dụng thư tín rồi phát triển hơn nữa là thư điện tử, email, các giao dịch về công việc, tài chính đều được thực hiện qua mạng Internet. Mọi trở ngại về khoảng cách địa lý đã không còn là vấn đề. Tuy nhiên, đó là những mặt thuận lợi mà internet mang lại bên cạnh đó vẫn cón các mặt hạn chế của nó. Tất cả các giao dịch về tài chính, công việc, thông tin trao đổi giữa các bên đều diễn ra trên mạng hay có thể hiểu là “ảo”, vậy thật khó có thể để khẳng định được người mà ta đang giao dịch hay trao đổi thông tin là đúng người mà ta muốn, và thông tin ta trao đổi là thật. Đây cũng là một sự hạn chế và cũng đồng nghĩa với việc nó trở thành một lỗ hổng cho những tin tặc “hacker” lợi dụng để thực hiện những hành vi xấu, phá hoại của mình. Vậy giải pháp gì để có thể giúp ta giải quyết việc xác thực được người mà ta muốn giao dịch và thông tin ta nhận được là chính xác? Trên thế giới giải pháp được đưa ra từ khá sớm, đó là mỗi người được cấp một chứng thư số (Certificate digital), với chứng thư số này chúng ta có thể chứng minh được với người khác chúng ta là ai, sử dụng chứng thư này để kí lên các tài liệu mà chúng ta muốn công bố để người khác biết được tác giả là ai và kiểm tra sự toàn vẹn dữ liệu. Ta cũng thể dùng chứng thư này để giải mã các thông tin mà được mã hóa khi gửi cho nhau. Chứng thư này phải do một bên thứ ba có độ tin cậy cao cung cấp có tên là CA (Certificate Authory) cùng các dịch vụ bổ trợ đi kèm tạo thành một hệ thống gọi chung là Public Key Infrastructure (PKI- Hạ tâng khóa công khai). Hiện nay ở nước ta đã triển khai PKI trong các giao dịch ngân hàng, kê khai thuế và chính phủ điện tử, phải kể đến các nhà cung cấp hiện nay như BKAV, VDC ..v.v HẠ TẦNG KHÓA CÔNG KHAI PKI MỤC LỤC I. Mục đích................................................................................................................................ 4 II. Nội dung................................................................................................................................ 4 A. CẤU TRÚC HẠ TẦNG KHÓA CÔNG KHAI :.............................................................................4 1. Khái niệm PKI :................................................................................................................4 2. Mô hình đề xuất................................................................................................................5 B. CHỨNG CHỈ SỐ, CÁC CHUẨN:...................................................................................................5 1. PGP(Pretty Good Privacy) :..............................................................................................5 2. X509..................................................................................................................................6 3. PRIX..................................................................................................................................8 4. PKCS.................................................................................................................................8 5. TCVN................................................................................................................................9 C. TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH:..........................................12 1. Cấp chứng chỉ cho thư điện tử cho các tổ chức, doanh nghiệp:....................................12 2. Kê khai thuế:...................................................................................................................13 3. Giao dịch ngân hàng:......................................................................................................15 D. III. CÁC HỆ THỐNG MÃ NGUỒN MỞ:...........................................................................................16 1. Sơ đồ hệ thống PKI đề xuất:...........................................................................................16 2. Các thành phần hệ thống:................................................................................................17 Tài liệu tham khảo............................................................................................................. 24 HẠ TẦNG KHÓA CÔNG KHAI PKI I. Mục đích TÌM HIỂU VÀ NẮM BẮT ĐƯỢC CHỨC NĂNG, HOẠT ĐỘNG, CÁCH TRIỂN KHAI TRONG THỰC TẾ CỦA HẠ TẦNG KHÓA CÔNG KHAI PKI. II. Nội dung A. CẤU TRÚC HẠ TẦNG KHÓA CÔNG KHAI : 1. Khái niệm PKI : PKI là viết tắt của “Public Key Infrastructure”. Trong mã hóa phi đối xứng, người ta dùng một cặp khóa để mã hóa và giải mã thông tin. Cặp khóa này là khóa công khai (public key) và khóa bí mật (private key). Khi một thông tin được mã hóa bằng khóa công khai thì chỉ có thể dùng khóa bí mật tương ứng để giải mã và ngược lại. Khóa công khai là khóa mà ta sẽ công khai cho mọi người biết để họ có thể giải mã các thông tin được mã hóa bởi khóa bí mật của ta, hoặc có thể để họ mã hóa những thông tin họ gửi cho ta và chỉ muốn ta mới có thể giải mã được. Khóa công khai được công khai hóa qua việc gắn vào một chứng thư số (certificate), nó là một xâu gồm nhiều bit. PKI có thể hiểu là một tập hợp các phần cứng, phần mềm, con người,các chính sách, thủ tục mà cần để tạo ra, quản lý, lưu trữ, phân phối và thu hồi chứng thư số. HẠ TẦNG KHÓA CÔNG KHAI PKI 2. Mô hình đề xuất B. CHỨNG CHỈ SỐ, CÁC CHUẨN: 1. PGP(Pretty Good Privacy) : Mật mã hóa PGP là một phần mềm máy tính dùng để mật mã hóa dữ liệu và xác thực. Phiên bản đầu tiên được công bố vào năm 1991. Đến nay phần mềm này có nhiều cải tiến và tung ra thị trường nhiều sản phẩm khác nhau dựa trên nền tảng này. Ban đầu là phục vụ cho việc mã hóa thư điện tử, sau này nó trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ và cá nhân.Các phần mềm dựa trên PGP được dùng để mã hóa và bảo vệ thông tin lưu trữ trên máy tính xách tay ,máy tính để bàn, máy chủ và trong quá trình trao đổi thông qua email, IM hoặc chuyển file. Hoạt động của PGP là việc sử dụng kết hợp mật mã hóa khóa công khai và thuật toán đối xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa công khai và chỉ danh người dùng(ID). Người nhận trong hệ thống PGP sử dụng khóa phiên để giải mã các gói tin. Khóa phiên này được gửi kèm với thông điệp nhưng được mã hóa bằng hệ thóng mật mã bất đối xứng và có thể giải mã bằng khóa bí mật của người nhận. HẠ TẦNG KHÓA CÔNG KHAI PKI Hệ thống phải sử dụng cả 2 dạng thuật toán để tận dụng ưu thế của cả 2 đó là : thuật toán bất đối xứng đơn giản việc phân phôi khóa còn thuật toán đối xứng ưu thế về tốc độ trong việc mã hóa bản tin. Với PGP, để phát hiện xem thông điệp có bị thay đổi hay không thì người gửi phải kí lên văn bản với thuật toán RSA hoặc DSA. Đầu tiên, PGP tính giá trị hàm băm của thông điệp rồi tạo ra chữ kí số với khóa bí mật của người gửi. Khi nhận được văn bản, người nhận tính lại giá trị băm của văn bản đó đồng thời giải mã chữ kí số bằng khóa công khai của người gửi. Nếu 2 giá trị này giống nhau thì có thể khẳng định là văn bản chưa có sự thay đổi. Trong quá trình mã hóa và kiểm tra chữ kí thì một điều vô cùng quan trọng là khóa công khai được sử dụng phải thực sự thuộc về người được cho là sở hữu nó. Nếu chỉ đơn giản là lấy một khóa công khai từ đâu đó về thì sẽ không thể đảm bảo được điều này. PGP thực hiện việc phân phối khóa thông qua chứng thư số được tạo nên bới kĩ thuật mật mã sao cho việc sửa đổi khóa là dễ dàng bị phát hiện. Ngoài ra PGP còn có cơ chế hỗ trợ gọi là mạng lưới tín nhiệm, có nghĩa là mọi khóa công khai đều có thể được một bên thứ 3 xác nhận. Trong PGP, có khái niệm về chữ kí tin cậy, chữ kí này có quyền ở mức cao sử dụng để tạo ra một nhà cung cấp chứng thư số (CA). Ta có thể hiểu đây là cơ chế sử dụng một chữ kí tin cậy để xác nhận một chữ kí ở mức thấp hơn. Đồng thời nó cũng được biết đến với khả năng hủy bỏ hoặc thu hồi các chứng thư số đã bị vô hiệu hóa, gia hạn chứng thư.  Với chuẩn PGP thì nó có thẻ được coi là khá an toàn, chỉ có nhưng cơ quan chính phủ mới có đủ nguồn lực để phá vỡ những thông điệp PGP còn với cá nhân thì chưa. 2. X509 X.509 là một chuẩn của ITU định nghĩa một framework chuẩn cho một chứng chỉ số. X.509 dựa trên cơ sở của X.500, mà bản thân X.500 còn chưa được định nghĩa hoàn chỉnh. X.509 lần đầu tiên được công bố vào năm 1988 và các phiên bản tiếp theo được đưa ra để giải quyết các vấn đề an toàn. X.509 hỗ trợ cả 2 mã bí mật và mã công khai. Như đã nêu, X509 đưa ra một chuẩn về nội dung của một HẠ TẦNG KHÓA CÔNG KHAI PKI chứng thư : phiên bản, số serianumber, ID chữ kí, thời điểm bắt đầu có hiệu lực và hết hiệu lực ..v.v. Về cơ bản thì một người có trách nhiệm chứng nhận sẽ đặt khóa công khai của một người nào đó có nhu cầu chứng thực vào thủ tục chứng thực và sau đó xác thực lại bằng khóa riêng. Điều này bắt buộc khóa và thủ tục chứng thực phải luôn đi kèm với nhau. Bất cứ ai cần dùng khóa công khai của một đối tượng đều có thể mở thủ tục chứng thực bằng khóa công khai của đối tượng đó do bên có trách nhiệm chứng thực cung cấp. Trong chuẩn X509 thì gồm các trường : Chứng thư gồm 2 phần : phần đầu là những trường cơ bản cần thiết có trong chứng chỉ. Phần thứ 2 chứa thêm các trường mở rộng. - Version : phiên bản của chứng thư. - Certificate serial number : định danh cho mỗi một Certificate, thường do CA cấp. - Signature Algorithm ID : chỉ ra thuật toán CA sử dụng để kí cho mỗi chứng thư. Có thể là RSA hay DSA. - Issuer : chỉ ra đối tượng cấp hoặc được nhận chứng thư. - Validity Period : khoảng thời gian chứng thư có hiệu lực. Trường này xác định thời gian chứng thư bắt đầu có hiệu lực và thời điểm bị thu hồi (hay bị hêt hạn). HẠ TẦNG KHÓA CÔNG KHAI PKI - Extension : chỉ có trong nhũng chứng chỉ V.3 . Phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào để gắn với mỗi người sử dụng hay hóa công khai (chức năng kí cho ai, kí ở đâu ..v.v). Với X509 CA là thực thể trong hạ tầng PKI thực hiện xác thực và thẩm tra. - CA sẽ tạo ra cặp khóa public/private đồng thời tạo chứng thư chứa khóa công khai của cặp khóa đó. Hoặc người sử dụng tự tạo cặp khóa và đưa khóa công khai của mình cho CA để tạo chứng thư cho khóa công khai đó. Chứng thư sẽ đảm báo tính toàn vẹn của khóa và các thông tin đi kèm. - Thẩm tra: quá trình xác định xem chứng chỉ liệu đã được sử dụng đúng mục đích thíc hợp hay chưa 3. PRIX Nhóm được IETF thành lập vào cuối năm 1995 với mục đích phát triển các chuẩn Internet cần để hỗ trợ X.509 – dựa trên cơ sở PKI. Phạm vi của nhóm PKIX được mở rộng ra bên ngoài các mục đích ban đầu. Nhóm không chỉ đưa HẠ TẦNG KHÓA CÔNG KHAI PKI ra các chuẩn profiles ITU PKI, mà còn phát triển các chuẩn mới thích hợp cho việc sử dụng X.509 dựa trên cơ sở PKI trên Internet. 4. PKCS PKCS là một chuẩn do phòng thí nghiệm RSA Data Security Inc phát triển. Nó dựa vào các cấu trúc ASN.1 và thiết kế cho phù hợp với chứng chỉ X.09, các tiêu chuẩn này do ANSI thiết kế, theo đó dữ liệu được chia thành từng khối nhỏ nhất là 8 bit (octet). PKCS hiện tại bao gồm các chuẩn PKCS#1, PKCS#3, PKCS#5,PKCS#7, PKCS#8, PKCS#9, PKCS#11, PKCS#12, PKCS#13, PKCS#15. Hiện tại phiên bản của các bản đang là 2.1. Trong đó có thể tìm được các chuẩn để mã hóa dữ liệu, chuẩn này được thiết kế dựa vào cách mà các thám mã dùng để tấn công vào đoạn mã. Có thể mô tả sơ qua thế này, trong PKCS#1 có các chuẩn mã hóa - giải mã RSAES - OAEP scheme, chuẩn tạo chữ ký điện tử - kiểm tra RSASSA - PSS scheme ver2.1, hay trong PKCS#7 là các chuẩn mã hóa cho password. PKCS#11 là phức tạp nhất, nó là chuẩn cho việc truyền thông tin trên mạng dưới dạng các gói tin đã mã. 5. TCVN TCVN là viết tắt của cụm từ Tiêu chuẩn Việt Nam, dùng làm kí hiệu tiền tố cho các bộ tiêu chuẩn quốc gia của Việt Nam do Viện Tiêu chuẩn Chất lượng Việt Nam (thuộcTổng cục Tiêu chuẩn Đo lường chất lượng) tổ chức xây dựng và Bộ Khoa học và Công nghệ công bố. Do phạm vi rất rộng lớn của vấn đề kiểm định đo lường chất lượng nên phần lớn các bộ tiêu chuẩn TCVN đều xa lạ với người dân Việt Nam trừ những ai làm trong các lĩnh vực có liên quan. Hiện nay đã có hàng nghìn TCVN bao gồm tiêu chuẩn cơ bản, tiêu chuẩn thuật ngữ, tiêu chuẩn yêu cầu kỹ thuật, tiêu chuẩn phương pháp thử và lấy mẫu, tiêu chuẩn ghi nhãn, bao gói, vận chuyển và bảo quản; thuộc các lĩnh vực như cơ khí, luyện kim, giao thông vận tải, xây dựng, hóa chất, dầu khí, khoáng sản, nông nghiệp, thực phẩm, hàng tiêu dùng, môi trường, an toàn, điện, điện tử, công nghệ thông tin... Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số HẠ TẦNG KHÓA CÔNG KHAI PKI Số TT Loại tiêu chuẩn 1 1.1 2 2.1 Ký hiệu tiêu Tên đầy đủ của tiêu chuẩn chuẩn Chuẩn bảo mật cho HSM Bảo mật cho khốiFIPS PUBSecurity Requirements Quy định áp dụng forYêu cầu tối thiểu an ninh phần cứng140-2 Cryptographic Modules HSM Chuẩn mã hóa Mã hoá phi đốiPKCS #1 RSA Cryptography Standard - Phiên bản 2.1 xứng và chữ ký số level 3 - Áp dụng lược đồ RSAES-OAEP để mã hoá và RSASSA-PSS 2.2 2.3 Mã hoá đối xứng ký EncryptionÁp FIPS PUBAdvanced 197 FIPS Standard (AES) PUBData Encryption 46-3 Hàm băm bảo mật FIPS dụng AES hoặc 3DES Standard (DES) PUBSecure Hash Standard 180-2 Áp dụng một trong bốn hàm băm an toàn: SHA-256, SHA-1, SHA- 384, SHA-512 3 3.1 để Chuẩn tạo yêu cầu và trao đổi chứng thư số Định dạng chứngRFC 3280 Internet X.509 Public Key thư số và danh sách Infrastructure - Certificate thu hồi chứng thư and Certificate Revocation 3.2 số Cú pháp thông điệpPKCS #7 List (CRL) Profile Cryptographic 3.3 mã hoá Cú pháp thông tinPKCS #8 Syntax Standard Private-Key InformationPhiên bản 1.2 3.4 khóa riêng Cú pháp yêu cầuPCKS #10 Syntax Standard Certification Request SyntaxPhiên bản 1.7 MessagePhiên bản 1.5 HẠ TẦNG KHÓA CÔNG KHAI PKI Ký hiệu tiêu Số TT Loại tiêu chuẩn chuẩn Tên đầy đủ của tiêu chuẩn 3.5 4 4.1 thông tin cá nhân Exchange Syntax Standard Chuẩn về chính sách và quy chế chứng thực chữ ký số Khung quy chếRFC 3647 Internet X.509 Public Key thực và 5 5.1 Policy and - Certificate Certification thư Practices Framework Chuẩn về lưu trữ và truy xuất chứng thư số Giao thức lưu trữRFC 2587 Internet X.509 Public KeyÁp và truy xuất chứng Infrastructure thư số Schema 4523 Lightweight Directory Access RFC 4523 Protocol Definitions RFC 2251 RFC 4510 RFC 4511 RFC 4512 (LDAP) Schema for X.509 Certificates Lightweight Directory AccessÁp RFC dụng RFC Protocol (v3) 2251 hoặc bộ bốn Lightweight Directory Access tiêu chuẩn RFC Protocol (LDAP): Technical 4510, RFC 4511, Specification Road Map RFC 4512, RFC Lightweight Directory Access 4513 Protocol (LDAP): The Protocol Lightweight Directory Access Information Models Lightweight Directory Access Protocol (LDAP): Authentication Methods and 6 dụng LDAPv22587 hoặc RFC Protocol (LDAP): Directory RFC 4513 áp InformationPhiên bản 1.0 Infrastructure chính sách chứng định dụng chứng thực Cú pháp trao đổiPKCS #12 chứng Standard Personal Quy Security Mechanisms Chuẩn về kiểm tra trạng thái chứng thư số HẠ TẦNG KHÓA CÔNG KHAI PKI Số TT Loại tiêu chuẩn 6.1 Giao thức Ký hiệu tiêu chuẩn choRFC 2585 Tên đầy đủ của tiêu chuẩn Quy định dụng Internet X.509 Public KeyÁp dụng một hoặc kiểm tra trạng thái Infrastructure - Operationalcả hai giao thức chứng thư số Protocols: FTP and HTTP FTP và HTTP C. TRIỂN KHAI THỰC TẾ, ỨNG DỤNG TRONG CÁC GIAO DỊCH: 1. Cấp chứng chỉ cho thư điện tử cho các tổ chức, doanh nghiệp: 1.1 Đặc điểm : - áp Số lượng nhân viên không quá lớn. Công ty có cấu trúc không quá đơn giản, nằm trên cùng một khu vực vật lý. 1.2 Nhu cầu : - Cần sử dụng PKI trong tổ chức, doanh nghiệp. Yêu cầu là mỗi nhân viên nếu có một địa chỉ thư điện tử thì sẽ có một chứng chỉ tương ứng để phục vụ cho việc ký và mã hóa điện tử. Thư điện tử ở đây có thể hiểu là thông báo, công văn, nghị định ..v.v - Chứng chỉ được ban hành cần phải có tính liên thông rộng để có thể sử dụng cho việc tương tác với nhiều đối tác. - Mức độ bảo đảm của chứng chỉ phải đủ cao để được các đối tác chấp nhận. 1.3 Triển khai: - Do số lượng chữ kí số cấp phát là không nhiều và dễ quản lý nên mô hình PKI áp dụng là khá đơn giản, không đòi hỏi phức tạp. - Tuy nhiên với một cơ quán lớn,có sự móc lối giữa các ban, bộ thì mô hình PKI trở lên phức tạp hơn, có sự phân cấp. Mỗi cấp có một CA phụ thuộc vào một RootCA cấp trên. 2. Kê khai thuế: 2.1 Đặc điểm: HẠ TẦNG KHÓA CÔNG KHAI PKI Hiện nay, việc kê khai thuế của các cơ quan cho các tổng cục thuế vẫn đang thực hiện thông qua việc nộp các tờ khai thuế. Chính điều đó làm nảy sinh rất nhiều các bất cập trong việc kê khai thuế khi đến đợt : in tờ khai, nộp tờ khai, và quá trình xác nhận kí duyệt của tổng cục thuế đối với các bản khai đó .v.v. những điều đó làm cho việc kê khai trở nên phức tạp và tốn kém nhiều về mặt thời gian và tiền của của nhà nước và các doanh nghiệp. Để giải quyết các nhược điểm của việc kê khai thuế theo cách thủ công như xưa thì hiện nay việc áp dụng chữ kí số vào kê khai thuế. 2.2 Nhu cầu: - Giảm được thời gian kê khai giữa các cơ quan doanh nghiệp với tổng cục thuế. - Tiết kiệm chi phí in tờ khai. - Đảm bảo tính pháp lí, bảo mật và xác thực với mỗi phiên làm việc của từng bên. 2.3 Triển khai: Để triển khai được chữ kí số vào kê khai thuế, chúng ta cần có một bên cấp phát chữ kí số đóng vai trò bên thứ 3 tin cậy trong quá trình kê khai này. Cơ quan cấp phát chữ kí số sẽ cấp chứ kí số cho các doanh nghiệp và tổng cục thuế. Khi một doanh nghiệp tiến hành kê khai thuế cho công ty mình, mọi thông tin sẽ được doanh nghiệp đó nhập vào 1 tờ khai có thể là 1 định dạng file bất kì do nhà nước quy định. Sau đó, công ty đó sẽ sử dụng chữ kí của mình kí lên tờ khai đó(kí và mã hóa) và gửi cho bên phía cấp phát chữ kí số, tại đây nhà cung cấp chữ kí số sẽ xác thực và đối chiếu với form mẫu do nhà nước ban hành. Nếu tờ khai là hợp lệ, nó sẽ được chuyển lên phía Tổng cục thuế để xác nhận và gửi trả lại phía các cơ quan muốn kê khai thuế. HẠ TẦNG KHÓA CÔNG KHAI PKI Mẫu kê khai thuế sử dụng chữ kí số. 3. Giao dịch ngân hàng: 3.1 Đặc điểm : HẠ TẦNG KHÓA CÔNG KHAI PKI Hiện nay, vấn đề xác thực đang là vấn đề quan tâm thiết yếu của hệ thống online banking cũng như bảo mật doanh nghiệp. Các giao dịch ngân hàng đều sử dụng cơ chế xác thực theo kiểu username/password. Cơ chế xác thực này rất dễ bị xâm phạm do mức độ bảo mật chưa cao, các giao dịch khó xác định trong việc định danh dẫn đến việc xác định trách nhiệm nếu có sự cố xảy ra dường như không có. Việc sử dụng chữ kí số sẽ giúp giải quyết được các vấn đề còn tồn tại trong giao dịch ngân hàng. Đảm bảo tính bảo mật, toàn vẹn dữ liệu của thông tin trên đường truyền, và đặc biệt là tính không chối bỏ trong giao dịch. 3.2 Nhu cầu - Xác thực mạnh khi đăng nhập ứng dụng - Lưu viết. giám sát tiến trình - Có thể áp dụng rộng dãi trên các ứng dụng, giao dịch khác nhau. - Nâng cao tính bảo mật, thuận tiện cho phía người sử dụng trong giao dịch. 3.3 Triển khai Các ngân hàng khi tiến hành mỗi giao dịch sẽ phải đăng nhập hệ thống thông qua một chứng thư số được lưu trữ trong một thiêt bị phần cứng: USB tocken được cung cấp từ phía nhà phát hành chứng thư số CA, có chứa chứng thư số của mỗi cá nhân, doanh nghiệp..v.v. Sau khi đăng nhập vào hệ thống, mọi giao dịch giữa người dùng với ngân hàng, hay giữa các ngân hàng với nhau được mã hóa và kí số để được đảm bảo tính bí mật của phiên làm việc. Vì vậy, thay vì các giao dịch thực hiện trên giấy tờ thì sẽ được thay bằng các văn bản trao đổi trên internet. HẠ TẦNG KHÓA CÔNG KHAI PKI Hệ thống liên ngân hàng, tích hợ chữ kí số. D. CÁC HỆ THỐNG MÃ NGUỒN MỞ: 1. Sơ đồ hệ thống PKI đề xuất: HẠ TẦNG KHÓA CÔNG KHAI PKI 2. Các thành phần hệ thống: a. RootCA: là thực thể ban hành ra chứng chỉ cho subcriber(người dùng chứng chỉ) khi có yêu cầu hợp lệ từ phía client. CA có thể đồng thời là 1 người dùng chứng chỉ nếu chứng chỉ của nó được một CA khác ban hành. Trong thực tế, mỗi CA chỉ ban hành cho một lớp người dùng nhất định. Việc cấp Cert và gia hạn Cert được thực hiện trên 2 giao diện Webadmin sử dụng HTTPs port 8443, và giao diện publicweb port 8080. Cert do CA cấp cho user. HẠ TẦNG KHÓA CÔNG KHAI PKI Cert sau khi bị thay đổi nội dung.  Khi một cert bị kẻ xâm phạm thay đổi thì sẽ không còn hiệu lực pháp lí. b. HSM: Là nơi lưu giữ chứng chỉ của RootCA, do chứng chỉ của RootCA cần bảo mật và rất quan trọng trong hoạt động của hệ thống. Hiện nay, có 2 kiểu HSM một là HSM thật và HSM ảo. c. OCSP: Trước khi đi vào chi tiết về OCSP, chúng em xin nói sơ qua về CRL. CRL là một danh sách các chứng chỉ bị thu hồi. Mỗi CA có một CRL của riêng nó. Đây là nơi cập nhật danh sách các chứng chỉ bị thu hồi để công bố ra ngoài cho người dùng nếu có yêu cầu. CRL chứa một loạt các serial number của các chứng chỉ bị thu hồi của CA đó. Nói một cách đơn giản thì CRL là một nguồn lưu trữ được sử HẠ TẦNG KHÓA CÔNG KHAI PKI dụng cho các bên phụ thuộc xác minh được trạng thái của chứng chỉ, xem chứng chỉ đã thu hồi(hết hạn) hay vẫn còn thời hạn sử dụng. Một vấn đề được đặt ra, khi mà người dùng lớn thì đồng nghĩa với kho lưu trữ của chúng ta sẽ lớn dần lên. Điều này ảnh hưởng rất lớn tới đường truyền và hoạt động của hệ thống do phải lấy cả danh sách chứng thư về. Vâỵ làm sao chúng ta có thể khắc phục được điều này? Giải pháp đưa ra đó là dùng OCSP. OCSP là viết tắt của Online Certificate Status Protocol(giao thức xác minh trạng thái chứng chỉ trực tuyến). Với giao thức này thì ta chỉ việc xây dựng một OCSP Reponder cho nhiều CA cùng một lúc đóng vai trò thu thập thường xuyên trạng thái của các chứng thư và gửi trả lại thông tin trạng thái của chứng thư đó cho phía client khi có request đến. điều này đã làm cho đường truyền và hoạt động của hệ thống trở nên thông suốt và tối ưu hơn rất nhiều. Việc truyền thông OCSP request có thể sử dụng 2 phương pháp POST và GET của giao thức HTTP , thông qua cổng 8080. Cert được kí và xác thực bởi OCSP. HẠ TẦNG KHÓA CÔNG KHAI PKI Cert bị thay đổi nội dung sau kí sẽ không có hiệu lực. d. TSA: Nếu chỉ xác minh chứng thư là còn hiệu lực thi hành hay không thì là chưa đủ, khi chúng ta thực hiện giao dịch điện tử sử dụng chứng thư số chúng ta không thể bỏ quá thời gian, thời gian ở đây là thời gian kí. Bình thường thì thời điểm kí khó có thể được chấp nhận giữa 2 bên, nó chỉ được chấp nhận khi có một bên thứ 3 tin tưởng xác minh. Để giải quyết dịch vụ này thì bên thứ 3 hay chính là nhà cung cấp dịch vụ PKI phải xây dựng một dịch vụ xác minh thời điểm kí giữa 2 bên khi mà có yêu cầu xác minh từ một trong 2 phía và server đảm nhận nhiệm vụ trên là TSA. Giao thức mà TSA sử dụng ở đây là Time stamp protocol – RFC 3161. Mở cổng 389.
- Xem thêm -

Tài liệu liên quan