1 An toàn dữ liệu2007 An toàn dữ liệu Trương Thị Thu Hiền Bộ môn Các hệ thống thông tin – trường Đạihọc Công nghệ - ĐHQGHN 2 An toàn dữ liệu2007 Bài giảng Tuần8 •Chứng chỉ số •Hạ tầng mật mã khóa công khai • Ứng dụng của chứng chỉ số 3 An toàn dữ liệu2007 Chứng chỉ số (Digital Certificate) A B C D E F • Xác thực thực thể –Người dùng – Người dùng, Người dùng – Máy tính, Máy tính – Máy tính • Xác thực thông tin trao đổi bởi thực thể –Văn bản, Thông điệp, Thư điện tử 4 An toàn dữ liệu2007 Các phương pháp xác thực •Mật khẩu –Khónhớ, dễ bị tấn công •Sơ đồ định danh –Giao thức phức tạp, yêu cầu nhiều giao tiếp hỏi đáp –Chỉ dùng được cho xác thực thực thể •Chứng chỉ số/ chữ ký điện tử –Chứng chỉ số lưu trên các thiết bị như smart card, e-token •Cần hạ tầng khóa công khai •Nhận dạng sinh học –Dấu vân tay, mẫu giọng nói, chữ ký tay •Phức tạp, cần sự hỗ trợ của các thiết bị hiện đại 5 An toàn dữ liệu2007 Ví dụ về chứng chỉ trong thực tế •Chứng minh thư, bằng lái xe, hộ chiếu, thẻ thanh toán. • Các thông tin: –Cóchữ ký, con dấu – Được một tổ chức có thẩm quyền cấp –Gồm các thông tin định danh •Tên •Số thẻ •Quyền hạn 6 An toàn dữ liệu2007 Tại sao chúng ta tin “chứng chỉ” •Trong thế giới thực, chúng ta tin chứng chỉ vì nó có đặc điểm: – Khó làm giả –Chữ ký của cơ quan phát hành là đáng tin •Trong thế giới số, chúng ta cũng đòi hỏi chứng chỉ số phải có các tính chất tương tự: – Khó làm giả chứng chỉ số (tức là khó giả mạo chữ ký số) –Cơ quan phát hành chứng chỉ số là đáng tin cậy. Cơ quan này gọi là CA (Certification Authority) 7 An toàn dữ liệu2007 Định dạng chứng chỉ số • CA là nhà cấp chứng chỉ là thành viên trung gian phát hành chứng chỉ số và quản lý hoạt động của chứng chỉ số. – Khóa công khai của thực thể – Định danh thực thể – Thông tin về CA –Thời gian hiệu lực –Số Serial –Chữ ký củaCA Public key Public key Subject: Subject: C=CH, O=CERN, C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba OU=GRID, CN=Andrea Sciaba 8968 8968 Issuer: C=CH, O=CERN, Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA OU=GRID, CN=CERN CA Expiration date: Expiration date: Aug 26 08:08:14 Aug 26 08:08:14 2005 GMT 2005 GMT Serial number: 625 (0x271) Serial number: 625 (0x271) CA Digital signature CA Digital signature Cấu trúc chứng chỉ X.509 8 An toàn dữ liệu2007 Cấu trúc tên (DN - Distinguished Names) • Tên là duy nhất cho một chứng chỉ số trong phạm vi phát hành của CA • Thông thường, tên của chứng chỉ CA gồm: – C=CA Country, O=CA Name, OU=Kiểu chứng chỉ số, CN=Tên thông thường, E=Địa chỉEmail • Tên của chủ thể gồm: C=country, O=tổ chức, OU=đơn vị, CN=tên thông thường,E=email 9 An toàn dữ liệu2007 Chuẩn X.509 • X.509 quy định các thông tin chuẩn được lưu trên chứng chỉ. Phiên bản mới nhất của X.509 là X.509v3 • PKIX – Tổ chức thuộc IETF đưa ra các quy định và khuyến cáo trong việc sử dụng chứng chỉ X.509 • ASN.1: cú pháp mô tả khuôn dạng chứng chỉ số • DER: quy tắc mã hóa lưu chứng chỉởdạng nhị phân 10 An toàn dữ liệu2007 Kiểm tra tính hợp lệ của chứng chỉ •Dựa vào chứng chỉ của CA, dùng khóa công khai trên chứng chỉ của CA để kiểm tra chữ ký của CA trên chứng chỉ của thực thể. • Trong trường hợp, các CA phân cấp nhau, chúng ra phải xuất phát từ chứng chỉ thực thể rồi kiểm tra các chứng chỉ mức trên, đến khi gặp chứng chỉ gốc thì kết thúc. • Issuer trong chứng chỉ con phải trùng với Subject trong chứng chỉ cha •Nếu chứng chỉ gốc được tin cậy thì chứng chỉ thực thể cũng được tin cậy. [...]...Các chứng chỉ gốc được tin cậy 11 An toàn dữ liệu 2007 Mô hình CA thứ bậc 12 An toàn dữ liệu 2007 Đường dẫn chứng chỉ • Alice tin chứng chỉ của Bob nếu đường dẫn chứng chỉ đó đến RootCA là tin cậy Root CA CA EE Root CA Root CA Root CA CA CA EE 13 An toàn dữ liệu 2007 Mô hình CA cầu Root CA1 CA1 EE1 14 Root CA2 Bridge CA CA2 EE2 EE3 An toàn dữ liệu 2007 Quản lý chứng chỉ - cấp mới Sinh cặp khóa công khai/... riêng trên đĩa 15 Thông tin định danh An toàn dữ liệu 2007 Quản lý chứng chỉ - thu hồi • Trong thời gian chứng chỉ vẫn còn hiệu lực nhưng: – Khóa bí mật bị lộ – Chứng chỉ bị dùng sai mục đích THU HỒI • Các chứng chỉ bị thu hồi chứa trong danh sách CRL (Certificate Revocation List) • Khi sử dụng chứng chỉ cần kiểm tra xem nó có trong CRL hay không, nếu có không nên tin dùng 16 An toàn dữ liệu 2007 Ứng... chứng chỉ dùng theo các quy định riêng của nhà phát hành chứng chỉ • Là thành phần quan trọng xây dựng hạ tầng mật mã khóa công khai: hạ tầng cho phép đảm bảo vấn đề an toàn thông tin, bao gồm: công cụ mã hóa, ký số, hệ thống cấp phát chứng chỉ số, luật giao dịch điện tử 17 An toàn dữ liệu 2007 Câu hỏi? ☺☺☺ 18 An toàn dữ liệu 2007