VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN THUYẾT MINH TIÊU CHUẨN XÂY DỰNG TIÊU CHUẨN KHUÔN DẠNG CHỨNG THƯ SỐ Hà Nội, 1-2008 1 Mục lục Mục lục 2 1. Mở đầu 4 1.1 Tên đề tài 4 1.2 Mục tiêu, nội dung và kết quả đề tài 4 2. Ý nghĩa thực tiễn của đề tài 4 3. Hạ tầng mã hóa công khai 5 3.1 Chữ ký số (digital signature) 5 3.2 Chứng thư số 7 4. Khảo sát tình hình sử dụng chứng thư số 9 4.1 Các kiến trúc PKI sử dụng trên thế giới 9 4.1.1 Mô hình Root CA/Hierarchy 9 4.1.2 Mô hình Bridge CA 10 4.2 Hiện trạng triển khai chứng thực điện tử tại một số nước 12 4.3 Tình hình sử dụng chứng thư số tại Việt Nam 13 5. Khảo sát các tiêu chuẩn chứng thư 14 5.1 Các tổ chức tiêu chuẩn trên thế giới 14 5.2 Các phiên bản chứng thư được ban hành 15 5.3 Khảo sát khuôn dạng chứng thư được ban hành tại Mỹ 16 5.3.1 Khuôn dạng chứng thư số sử dụng cho ROOT CA của tổ chức VeriSign 16 5.3.2 X.509 Certificate Policy For The U.S. Federal PKI - Common Policy Framework -Version 3647 - 1.2 (4/10/2007) 18 5.3.3 Federal Public Key Infrastructure- Directory Profile - Version 2.5(Draft) (8/10/2002). 18 5.3.4 Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions- Profile(30/4/2002) 18 2 5.3.5 Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions- Profile(12/10/2005) 19 5.4 Khảo sát khuôn dạng chứng thư được tại các nước ASIA 19 5.5 Nhận xét 20 6. Phân loại chứng thư số 20 7. Sở cứ xây dựng tiêu chuẩn 22 7.1 ITU-T 22 7.1.1 Khuôn dạng chứng thư số 22 7.1.2 Khuôn dạng chứng thư thuộc tính 22 7.1.3 Thư mục 23 7.2 IETF 23 7.2.1 Khuôn dạng chứng thư số sử dụng trong Internet RFC 3280 (4/2002) 23 7.2.2 Khuôn dạng chứng thư thuộc tính dùng để nhận thực sử dụng trong Internet RFC 3281(4/2002) 23 8. Tiêu chí chọn lựa 23 9. Hình thức biên soạn tiêu chuẩn 25 10. Nội dung chính của Bản tiêu chuẩn 26 11. Đề xuất hướng phát triển của đề tài 27 12. Kết luận 28 3 1. Mở đầu 1.1 Tên đề tài Xây dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số Mã số: 79 – 07 – KHKT – TC. 1.2 Mục tiêu, nội dung và kết quả đề tài a. Mục tiêu: Xây dựng tiêu chuẩn khuôn dạng chứng thư số và chứng thư thuộc tính, khuôn dạng chứng thư số và chứng thư thuộc tính sử dụng trong Internet. Phân tích thư mục lưu trữ hạ tầng khóa công khai và hạ tầng quản lý quyền. b. Nội dung: − Rà soát, nghiên cứu, tổng hợp các tiêu chuẩn của ITU-T X.509 v3, IETF, các tổ chức nghiên cứu xây dựng hạ tầng khóa công khai, hạ tầng quản lý quyền như ASIA forum, các hãng cung cấp phần mềm như Microsoft, IBM và tình hình áp dụng của một số nước trong khu vực cũng như trên thế giới về tình hình sử dụng chứng thư số và chứng thư thuộc tính. − Phân tích hiện trạng sử dụng và khai thác chứng thư số tại Việt Nam. − Tìm sở cứ xây dựng tiêu chuẩn khuôn dạng và nội dung chứng thư số, chứng thư thuộc tính. − Xây dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số, chứng thư thuộc tính. c. Kết quả: − Dự thảo tiêu chuẩn “Khuôn dạng và nội dung chứng thư số” trình Bộ Bưu chính, viễn thông ban hành. − Bản thuyết minh tiêu chuẩn. 2. Ý nghĩa thực tiễn của đề tài Chứng thư số là tệp tin mang thông tin chứng thực nhận dạng một cá nhân, tổ chức hay thiết bị, ứng dụng muốn truy nhập vào hệ thống. Chứng thư số được ví như chứng minh thư nhân dân, giấy phép lái xe…dùng để nhận dạng người sử dụng cũng như quyền của người đó. Tiêu chuẩn ITU-T X.509 được sử dụng rộng rãi nhất hiện nay dựa trên hạ tầng khóa công khai PKI. Tại Việt nam, hiện chưa một tiêu chuẩn nào về khuôn dạng chứng thư số, nên các tổ chức cung cấp chứng thư số tại Việt nam vẫn dựa theo mẫu khuôn dạng của các tổ chức phát hành chứng thư số như Versign. 4 Đề tài xây dựng khuôn dạng chứng thư số ra đời nhằm đưa ra tiêu chuẩn để xây dựng khuôn dạng cho chứng thư gốc (Root certificate) và chứng thư công cộng (entity certificate). 3. Hạ tầng mã hóa công khai Để hiểu vai trò và vị trí của chứng thư số, trước tiên tìm hiểu về hệ thống mã hóa công khai. Trong mã hóa khóa công khai, khóa riêng phải được giữ bí mật trong khi khóa công khai được phổ biến. Trong 2 khóa, một dùng để mã hóa và khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không thể tìm ra khóa riêng nếu chỉ biết khóa công khai. Hệ thống mã hóa khóa công khai có thể sử dụng với các mục đích:  Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã được.  Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí mật nào đó hay không. 3.1 Chữ ký số (digital signature) Sử dụng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mã bǎm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như MD5, SHA- 1 ). Người gửi sẽ mã hoá đoạn mã bǎm bằng khoá riêng của mình và người nhận sẽ dùng khoá công khai của người gửi để giải đoạn mã bǎm của người gửi, sau đó so sánh với đoạn mã bǎm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau thì người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ ký điện tử- chữ kí số. Quá trình tạo chữ kí số  Đoạn dữ liệu cần được bảo mật được đưa qua hàm băm (hashing), kết quả của hàm băm là một đoạn bit đảm bảo 2 tính chất:  tính duy nhất: mỗi một đoạn dữ liệu khác nhau thì sẽ có một đoạn bit khác nhau, không trùng lặp, có độ dài không đổi  tính một chiều: từ đoạn bit đặc trưng này, không suy ngược lại được nối dung đoạn văn bản  Đoạn bit đặc trưng này được mã hoá bằng khoá bí mật của người gửi và được đính kèm vào "văn bản", rồi gửi đến người nhận – đoạn bit được mã hoá này chính là chữ ký số (digital signature). 5 Hình 1:Tiến trình tạo chữ ký số Kiểm tra chữ kí Từ phía người nhận, khi nhận được "văn bản" kèm chữ ký số, tiến trình kiểm tra sẽ như sau:  Lấy đoạn dữ liệu gốc, đưa qua hàm băm đã nói ở trên, thu được một đoạn bit là kết quả băm  Lấy đoạn bit được mã hoá (chữ ký số), giải mã bằng khoá công khai của người gửi, thu được đoạn bit đặc trưng  So sánh đoạn bit vừa thu được với đoạn bit thu được trong bước 1, nếu 2 đoạn trùng nhau và tin rằng khoá công khai chắc chắn là do người gửi phát hành thì kết luận:  dữ liệu nhận được có tính toàn vẹn (vì kết quả băm là duy nhât, một chiều)  dữ liệu nhận được là do chính người gửi gửi đi vì chỉ duy nhất người gửi mới có khoá bí mật phù hợp với khoá công khai đã được sử dụng để giải mã. Như vậy tính chống từ chối và tính xác thực được kiểm tra và xác nhận. Lúc này người nhận tin rằng, khoá công khai đó đại diện hợp pháp cho người gửi. Hình 2: Tiến trình kiểm tra chữ ký 6 Mã/giải mã Khi nhận được, người nhận sẽ sử dụng khoá bí mật mình đang sở hửu để giải mã và lấy được khoá mã, tiếp tục sử dụng khoá mã này sẽ giải mã được văn bản. Như vậy, tính bí mật của giao dịch sẽ được đảm bảo từ người gửi, đến tận người nhận. Tuy nhiên, câu hỏi đặt ra ở đây là: khoá công khai đó có đúng là của người gửi văn bản không, có đại diện cho người gửi văn bản không và khoá công khai này lấy ở đâu để có thể tin cậy được? Trong đó, vai trò của khoá công khai của người gửi có thể được coi như chữ ký mẫu của người gửi khi làm việc với văn bản giấy, chữ ký mẫu này được chấp nhận và phát tán công khai trong toàn hệ thống giao dịch 3.2 Chứng thư số Để giải quyết câu hỏi "khoá công khai có đúng là của người gửi văn bản không và khoá công khai này lấy ở đâu để có thể tin cậy được?", vấn đề được giải quyết như sau:  Xây dựng một hệ thống tập trung có thể cấp phát cặp khoá riêng - công khai cho toàn bộ người tham gia giao dịch  Chuyển giao phần khoá bí mật cho người sở hữu và đảm bảo rằng chỉ duy nhất anh ta biết được khoá này.  Gắn liền thông tin cá nhân (tên, số nhân dạng có nhân, chức vụ, đơn vị công tác, và một số thông tin khác) của người sở hữu cặp khoá vào phần khoá công khai để tạo thành một file dữ liệu – đây chính là phần nội dung của chứng thư số. Để đảm bảo tính toàn vẹn và có thể tin cậy dữ liệu nhận được, hệ thống phát hành sử dụng khoá riêng của mình tạo và đính kèm một chữ ký điện tử lên file dữ liệu nói trên. Đoạn nội dung (chứa thông tin cá nhân và khoá công khai của người sở hữu) có đính kèm chữ ký số của hệ thống phát hành cặp khoá được gọi là chứng thư số của người sở hữu cặp khoá.  Hệ thống cấp khoá và chứng thực rằng cặp khoá đó đại diện cho người tham gia giao dịch được gọi là hệ thống chứng thực số (Certificate Authority - CA) Như vậy, các vấn đề sau được giải quyết:  Khi có chứng thư số, ta có được khoá công khai của người giao dịch, khoá công khai này được đính kèm với thông tin cá nhân (tên, số nhân dạng có nhân, chức vụ, đơn vị công tác, và một số thông tin khác) của người giao dịch  Việc chứng thực rằng khoá công khai này là hợp lệ và là đại diện cho người tham gia giao dịch được chứng thực bởi hệ thống CA.  Tất cả các bên giao dịch muốn kiểm tra tính đúng đắn, hợp lệ về nội dung của chứng thư số đều xuất phát từ việc tin cậy vào chữ ký số của CA trên chứng thư số (điều này cũng hoàn toàn tự nhiên như khi ta xem xét 1 chứng minh thư nhân dân để tin cậy vào một cá nhân, ta tin cậy vào chữ ký và dấu của người ký chứng minh thư đó). 7 Mã khoá công khai có 2 lợi ích sau: thứ nhất là nó giải quyết được cả bài toán bảo mật và xác thực (trong thực tế, nhiều khi nhu cầu xác thực là quan trọng hơn nhu cầu bảo mật; việc xác thực ở đây bao gồm cả khía cạnh xác thực nội dung bản tin và xác thực cả chủ thể tạo ra bản tin); lợi ích thứ hai là việc phân phối khoá sẽ được đơn giản và tiện lợi hơn nhiều so với mật mã khoá đối xứng. Thế nhưng, có một nguy cơ là: điều gì sẽ xảy ra nếu khoá công khai bị giả mạo? (tức là khoá công khai thực của người sử dụng A đã bị thay đổi một cách ác ý hay là được thay bằng khoá của người sử dụng B). Khi đó sẽ xảy ra hai tình huống: hoặc là thông tin mà người sử dụng A đã ký bằng khoá bí mật của anh ta sẽ không được kiểm tra lại bằng khoá công khai đã bị sửa đổi; hoặc là người sử dụng A phải chịu trách nhiệm về một chữ ký mà anh ta không sinh ra (mà do người sử dụng B giả mạo). Chứng thư số sẽ đảm bảo sự đúng đắn về khoá công khai của từng người sử dụng trong hệ thống. Như vậy chứng thư số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key). Quy trình cấp chứng thư số Để lấy được chứng thư số bạn cũng cần phải thực hiện các công việc đăng ký tương tự như vậy. Nơi có thể chứng nhận những thông tin của bạn là chính xác được gọi là Tổ chức cấp chứng thư số (Certificate Authority viết tắt là CA), một tổ chức có thẩm quyền xác nhận chỉ danh và cấp các chứng thư số. Họ có thể là một thành phần thứ ba đứng độc lập hoặc các tổ chức tự vận hành phần mềm cấp chứng thư số của mình. Các phương pháp để xác định chỉ danh phụ thuộc vào các chính sách mà CA đặt ra. Chính sách lập ra phải đảm bảo việc cấp chứng thư số phải đúng đắn, ai được cấp và mục đích dùng vào việc gì. Thông thường, trước khi cấp một chứng thư số, CA sẽ công bố các thủ tục cần phải thực hiện cho các loại chứng thư số. Lợi ích sử dụng chứng thư số:  Mã hoá và giải mã: cho phép hai đối tác giao thiệp với nhau có thể che giấu thông tin mà họ gửi cho nhau. Người gửi mã hoá các thông tin trước khi gửi chúng đi, người nhận sẽ giải mã trước khi đọc. Trong khi truyền, các thông tin sẽ không bị lộ.  Chống lại sự giả mạo: cho phép người nhận có thể kiểm tra thông tin có bị thay đổi hay không. Bất kỳ một sự thay đổi hay thay thế nội dụng của thông điệp gốc đều sẽ bị phát hiện.  Xác thực: cho phép người nhận có thể xác định chỉ danh của người gửi.  Không thể chối cãi nguồn gốc: ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi. 8 4. Khảo sát tình hình sử dụng chứng thư số 4.1 Các kiến trúc PKI sử dụng trên thế giới Có rất nhiều mô hình PKI khác nhau đang được sử dụng trên thế giới. Trong tài liệu này, chỉ tập trung miêu tả hai mô hình phổ biến nhất hiện nay là mô hình Root và Bridge. Root CA/Hierarchy Model.   Trong mô hình cây hay phân cấp này, CA gốc chịu trách nhiệm lưu giữ chứng thư và tất các người sử dụng cuối sẽ dựa vào CA này để xác thực. Mô hình này bao gồm các nhà đăng kí, thực hiện quá trình nhận dạng người sử dụng và phát hành cặp khóa. Điều này tạo ra một sự linh động cho hệ thống bằng cách cho phép một nhóm nhỏ hơn có được các dịch vụ chứng thực trong phạm vi cho phép. Hình 3: Kiến trúc PKI hình cây Mô hình này có thể tránh được nhiều vấn đề trong quá trình hoạt động và cung cấp một điểm thuận tiện đơn để truy nhập. Bên cạnh đó còn nhiều nhược điểm khi số người sử dụng tăng.  Việc quản trị cũng như hỗ trợ kĩ thuật có thể trở nên quá tải cho CA  Nhiều nhóm người sử dụng sẽ có nhu cầu khác nhau mà một CA không thể nào đáp ứng được.  Rất khó có người sử dụng khi phải chỉ có một nhà cung cấp dịch vụ. Mô hình phân cấp là mô hình Root CA đã được cải tiến. Trong mô hình này có một Root CA phát hành chứng thư cho các CA dưới. Các CA này, theo thẩm quyền được cấp sẽ cung cấp chứng thư cho các CA dưới. Mỗi CA được chứng thực bởi một CA cấp cao hơn. Chỉ có Root CA được phép tự chứng thực. 9 Hình 4: Mô hình phân cấp Mô hình phân cấp có ưu điểm hơn mô hình Root CA, cho phép tăng khả năng cạnh tranh và chuyên môn hóa giữa các CA. Tuy nhiên mô hình này cũng có một số hạn chế:  Các thành phần tham gia phải chứng thực với Root CA.  Root CA giữ vai trò quan trọng trong vấn đề bảo mật.  Các yêu cầu kĩ thuật ban hành bởi Root CA có thể hạn chế sự đổi mới và sức cạnh tranh của các CA.   Hình 5: Mô hình Bridge CA 10 [...]... 5.4 Khảo sát khuôn dạng chứng thư được tại các nước ASIA 5.5 Nhận xét 6 Phân loại chứng thư số 7 Sở cứ xây dựng tiêu chuẩn 7.1 ITU-T 7.1.1 Khuôn dạng chứng thư số 7.1.2 Khuôn dạng chứng thư thuộc tính 7.1.3 Thư mục 7.2 IETF 7.2.1 Khuôn dạng chứng thư số sử dụng trong Internet RFC 3280 (4/2002) 7.2.2 Khuôn dạng chứng thư thuộc tính dùng để nhận thực sử dụng trong Internet RFC 3281(4/2002) 8 Tiêu chí chọn... cấp chứng thực số ở Việt Nam Để cung cấp dịch vụ CTĐT một cách tốt nhất, cần phải xây dựng hệ thống tiêu chuẩn trong hoạt động CTĐT, tuy nhiên cho đến nay chưa có tiêu chuẩn về khuôn dạng chung cho chứng thư số 5 5.1 Khảo sát các tiêu chuẩn chứng thư Các tổ chức tiêu chuẩn trên thế giới Hiện nay, các tổ chức tiêu chuẩn quốc tế như ITU-T, IETF, đã ban hành các tiêu chuẩn liên quan đến chứng thư số Các... chứng thư số:  Chứng thư số CA : là chứng thư ban hành bởi 1 CA cho CA khác: o Chứng thư tự ký (self-signed)- Root certificate o Chứng thư tự ban hành (self-issured) o Chứng thư chéo (Cross-CA)  Chứng thư số thực thể cuối (end-entity): là chứng thư ban hành bởi 1 CA tới một thực thể không phải là CA Chứng thư tự kí (Root CA) Là chứng thư nhận diện của chính CA tự phát hành cho mình CA đó tự tạo chứng. .. chứng thư và đồng thời kí luôn chứng thư đó Chứng thư này còn được gọi là chứng thư gốc, có đặc điểm : tên chủ thể chứng thư trùng với tên của tổ chức phát hành chứng thư Chứng thư tự ban hành (Self-issued) Theo tài liệu RFC 2510, chứng thư tự ban hành được định nghĩa như sau: chứng tư tự kí là chứng thư mà tên chủ thể chứng thư trùng với tên của tổ chức phát hành chứng thư Root Ca 20 sử dụng chứng thư. .. cứ để xây dựng bộ tiêu chuẩn này là hoàn toàn phù hợp vì:  Đáp ứng được nội dung yêu cầu của đề cương đã duyệt là xây dựng tiêu khuôn dạng chứng thư số, chứng thư thuộc tính và thư mục  Nội dung tài liệu đầy đủ, rõ ràng để làm cơ sở cho việc đưa ra một khuôn dạng tiêu chuẩn cho chứng thư sô  Tài liệu do ETSI, ITU X.509 v3 ban hành mới nhất cho đến thời điểm hiện nay 6 Phân loại chứng thư số Có hai... chọn, CA có thể sử dụng hay không Qua khảo sát khuôn dang chứng thư ban hành bởi các tổ chức phát hành chứng thư như Versign, Thawt…, khuôn dạng chứng thư số tiêu chuẩn bao hàm toàn bộ các trường có thể được sử dụng bởi CA 5.4 Khảo sát khuôn dạng chứng thư được tại các nước ASIA Nhóm thực hiện đề tài tập trung khảo sát tiêu chuẩn khuôn dạng chứng thư số đã được ban hành tại các nước ASIA bao gồm :... chọn  Thư mục 25 Nội dung của đề tài 79-07-KHKT-TC bao gồm khuôn dạng chứng thư số và chứng thư thuộc tính, khuôn dạng chứng thư số và chứng thư thuộc tính sử dụng trong Internet 10 Nội dung chính của Bản tiêu chuẩn Mục lục 1 Mở đầu 1.1 Tên đề tài 1.2 Mục tiêu, nội dung và kết quả đề tài 2 Ý nghĩa thực tiễn của đề tài 3 Hạ tầng mã hóa công khai 3.1 Chữ ký số (digital signature) 3.2 Chứng thư số 4 Khảo... chức 7.1.3 Thư mục  Hệ thống thư mục hạ tầng khóa công khai - Chấp nhận nguyên vẹn  Hệ thống quản lý quyền – chấp nhận nguyên vẹn 7.2 IETF 7.2.1 Khuôn dạng chứng thư số sử dụng trong Internet RFC 3280 (4/2002) Tiêu chuẩn chứng thư số X.509 v3 của ITU có phạm vi ứng dụng khá rộng, nên để chuẩn hóa tiêu chuẩn chứng thư số sử dụng trong môi trường Internet, nhóm nghiên cứu IETF đã xây dựng tiêu chuẩn RFC... tình hình sử dụng chứng thư số 4.1 Các kiến trúc PKI sử dụng trên thế giới 4.1.1 Mô hình Root CA/Hierarchy 4.1.2 Mô hình Bridge CA 4.2 Hiện trạng triển khai chứng thực điện tử tại một số nước 4.3 Tình hình sử dụng chứng thư số tại Việt Nam 5 Khảo sát các tiêu chuẩn chứng thư 5.1 Các tổ chức tiêu chuẩn trên thế giới 5.2 Các phiên bản chứng thư được ban hành 5.3 Khảo sát khuôn dạng chứng thư được ban hành... hành chứng thư số thông thư ng) có thể cho phép chủ thể chứng thư số thuộc tính truy nhập thông tin điều khiển nội dung chứng thư - IETF: đã phát triển một loạt các chuẩn (RFC) quản lý hoạt động trên môi trường Internet của chứng thư số PKI dựa trên X.509 RFC 3280 là chuẩn được áp dụng nhiều nhất: Mẫu chứng thư số PKIX (PKIX X.509 Profile) nhằm mục đích tạo thuận lợi cho quá trình sử dụng chứng thư số . xây dựng tiêu chuẩn khuôn dạng và nội dung chứng thư số, chứng thư thuộc tính. − Xây dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số, chứng thư thuộc tính. c. Kết quả: − Dự thảo tiêu chuẩn. dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số Mã số: 79 – 07 – KHKT – TC. 1.2 Mục tiêu, nội dung và kết quả đề tài a. Mục tiêu: Xây dựng tiêu chuẩn khuôn dạng chứng thư số và chứng thư. sát khuôn dạng chứng thư được tại các nước ASIA 19 5.5 Nhận xét 20 6. Phân loại chứng thư số 20 7. Sở cứ xây dựng tiêu chuẩn 22 7.1 ITU-T 22 7.1.1 Khuôn dạng chứng thư số 22 7.1.2 Khuôn dạng chứng