Luận văn tốt nghiệp Đỗ Anh Dương MỤC LỤC Chương 1 3 Mở đầu 4 1.1Bối cảnh 4 1.2Mục đích 6 1.3Nội dung của đề tài 7 Chương 2 7 Công nghệ khóa công khai 8 2.1 Tổng quan về mã hóa 8 2.1.1 Giới thiệu 8 2.1.1.1Mã hóa và vai trò của mã hóa 8 2.1.1.21Các khái niệm cơ bản 10 2.1.2Mã hóa khóa bí mật 11 2.1.2.11Khái niệm 11 2.1.2.21Mô hình 11 2.1.2.31Các thuật toán mã hoá khóa bí mât thông thường 12 2 31Mã hóa khóa công khai 13 2.1.3.11Khái niệm 13 2.1.3.21Mô hình 14 2.1.3.3Đánh giá: 15 2.1.3.41Các thuật toán mã hóa khóa công khai thông thường 18 2.1.4Tóm lược thông điệp (Message Digest Algorithm) 18 2.2Chữ ký số-Digital Signature 20 2.2.1Khái niệm 20 2.2.2Hoạt động 20 2.3Độ dài khóa 21 2.4Chứng thực số-Digital Certificate 22 2.4.11Khái niệm 22 2.4.2X.509 Digital Certificate 25 2.5Danh sách chứng thực thu hồi 27 2.5.1Sự thu hồi chứng thực 27 2.5.2X509 Certificate Revocation Lists (CRLs): 29 2.6Chứng thực ủy quyền Certification Authority-CA 31 2.6.1Định nghĩa: 31 2.6.2Các chức năng 31 2.6.2.11Certificate Enrollment: 31 2.6.2.21Subject Authentication: 32 2.6.2.31Certificate Generation, Distribution, and Revocation : 32 1 Luận văn tốt nghiệp Đỗ Anh Dương 2.7Mô hình quan hệ giữa các CA 33 2 11Kiến trúc nhiều chứng thực ủy quyền CA 33 2.7.1.11Top-down hierachical structure: 33 2.7.1.21Forest Top-down Hierachies: 34 2.7.2Hoạt động chứng thực trong điều kiện nhiều CA: 36 Chương 3 37 Kỷ thuật khóa công khai trong Windows 2000 37 3.1Giới thiệu 38 3.2Bảo mật khóa công khai trong Windows 2000 38 3.2.1Bảo mật thương mại điện tử: TLS/SSL 38 3.2.2TLS/SSL Client-Side Authenticate 39 3.2.3Smart Cards 40 3.2.4Authenticode 2.0 41 3.2.5Laptop và Destop File Security 41 3.2.6Secure E-mail 41 3.3Kiến trúc bảo mật khóa công khai 42 3.3.1CryptoAPI (Microsoft Cryptographic Application Programming Interface) 43 3.3.2Cryptographic Service Provider 44 3.3.3Certificate Services 45 3.3.3.1Server engine 47 3.3.3.2Policy Module 47 3.3.3.3Exit Module 48 3.3.3.4Extension Handler 49 3.3.3.5Intermediary 49 3.4Hạ tầng kiến trúc khóa công khai – PKI trong Windows 2000 49 3.4.1Các thành phần của PKI 49 3.4.2Certificate Services 50 3.4.2.1Các đặc điểm của Windows 2000 Certificate Services: 50 3.4.2.2Các chính sách của Windows 2000 CA 51 3.4.2.3Enterprise CA 52 3.4.2.4Stand-alone CA 55 3.4.2.5Certificate Revocation Lists 56 3.4.2.6Web-Based Enrollment 56 3.4.2.7CA Certificate Distribution 57 3.4.2.8CA Renewal 57 3.4.3Active Directory 60 3.4.4Certificate Authorities 61 3.4.4.1Mô hình hệ thống chứng thực có gốc 61 3.4.4.2Mô hình hệ thống chứng thực mạng 63 3.4.4.3Mô hình lai 64 3.4.5Xây dựng dây chuyền chứng thực 64 3.4.5.1Chứng thực gốc tin cậy (Trusted Root Certificate) 64 2 Luận văn tốt nghiệp Đỗ Anh Dương 3.4.5.2Lưu trữ chứng thực gốc dựa trên Active Directory 64 3.4.5.3Kiểm tra chứng thực trung gian 64 3.4.5.4Kiểm tra thu hồi 65 3.4.7Các thuật toán mã hóa và độ dài khóa tương ứng 66 3.4.8Phần cứng hỗ trợ 66 3.4.9Danh sách chứng thực tin cậy (Certificate Trust List) 66 3.4.10Các tiêu chuẩn của hạ tầng kiến trúc khóa công khai 66 Chương 4 67 4.1Thiết kế cấu trúc một CA 68 4.1.1Các yếu tố ảnh hưởng đến thiết kế cấu trúc cho một CA 69 4.1.1.11Cách thức sử dụng chứng thực 69 4.1.1.21Phạm vi tổ chức 69 4.1.1.31Phạm vi địa lý 70 4.1.1.41Nhu cầu phục vụ 70 4.1.1.5Tích hợp với các nền tảng bên ngoài 70 4.1.1.61Chu kỳ công bố tình trạng của chứng thực 70 4.1.2Mô hình hoạt động của CA 71 4.1.2.11In-House CA Model 71 4.1.2.21Outsourced CA Model 71 4.1.2.31Hybrid CA Model 72 4.2Thử nghiệm Windows 2000 Certificate Services 72 4.2.1 Triển khai PKI trên một domain 72 4.2.1.1Các yêu cầu tiền triển khai Windows PKI 73 4.2.1.2Cài đặt Certificate Services 73 4.2.1.3Quản trị Certificate Services CA 81 4.2.1.4Đăng ký chứng thực sử dụng Web client 83 4.2.1.5Ánh xạ tài khoản người dùng với chứng thực 87 4.2.1.6Sử dụng các đặc điểm PKI với Outlook 2000 88 4.2.1.7Mã hoá hệ thống tập tin (Encrypting File System-EFS) 90 Kết luận 92 Tài liệu tham khảo 95 Chương 1 3 Luận văn tốt nghiệp Đỗ Anh Dương Mở đầu 1.1 Bối cảnh Chúng ta đang sống trong thời đại bùng nổ thông tin, chưa bao giờ trong lịch sử nhân loại, con người lại có cơ hội tiếp xúc với những nguồn thông tin phong phú và có giá trị đến như vậy. Cùng với sự tiến bộ vượt bậc trong công 4 Luận văn tốt nghiệp Đỗ Anh Dương nghệ truyền thông và viễn thông, người ta không thể phủ nhận rằng Internet là một trong những nguyên nhân đem lại sự bùng nổ đó. Kể từ lúc Internet được tách ra từ phòng nghiên cứu của bộ quốc phòng Mĩ cho mục đích sử dụng công cộng, chỉ có một vài trường đại học, một vài cơ quan, tổ chức tham gia, cho đến nay đã có hàng triệu thuê bao cá nhân, hàng triệu cơ quan, tổ chức kết nối mạng của mình vào Internet và số lượng kết nối tiếp tục tăng không ngừng theo thời gian. Internet ở một khía cạnh nào đó đã trở thành cộng đồng chung cho người sử dụng trên toàn thế giới. Với Internet chúng ta có thể trao đổi thông tin, trao đổi dữ liệu, tìm kiếm và học tập. Và cho đến ngày hôm nay việc mua sắm, đặt hàng, thông qua Internet đã trở thành quen thuộc với rất nhiều vùng trên thế giới. Như vậy, một cách rõ ràng là Internet đã và đang tác động lên nhiều mặt của đời sống chúng ta. Sự tác động đó càng trở nên mạnh mẽ khi mà các nhà doanh nghiệp nhận ra rằng Internet là một mảnh đất màu mỡ cho hoạt động kinh doanh, là cơ hội để họ khuếch trương, mở rộng hoạt động kinh doanh và giữ được ưu thế cạnh tranh trên thương trường. Các doanh nghiệp đầu tư vào Internet và thương mại điện tử ra đời. Cùng với sự ra đời của thương mại điện tử, chính phủ điện tử cũng xuất hiện đáp ứng nhu cầu thông tin ngày càng lớn của xã hội. Với chính phủ điện tử, mọi công dân thông qua Internet có thể tiếp cận nguồn thông tin, các dịch vụ cơ bản cũng như các cơ hội kinh doanh do chính phủ mang lại. Ngày nay hầu hết các doanh nghiệp, dù lớn hay nhỏ, dù hoạt động trong lĩnh vực nào cũng hướng hoạt động kinh doanh của mình vào Internet. Và ngày càng nhiều doanh nghiệp kết nối hệ thống mạng LAN, WAN của họ vào cộng đồng Internet. Tuy nhiên Internet không phải là một thiên đường cho các hoạt động kinh doanh, bởi nó luôn chứa đựng những hiểm họa đe dọa ảnh hưởng đến việc triển khai các hoạt động của các doanh nghiệp. Các mối đe dọa đó có thể kể ra: 5 Luận văn tốt nghiệp Đỗ Anh Dương • Sự mạo danh để truy cập bất hợp pháp một nguồn thông tin bên trong doanh nghiệp. • Sự tấn công của các hacker vào bên trong một doanh nghiệp với mục đích phá hoại hay cạnh tranh không lành mạnh. • Bị “nghe trộm”: thông tin quan trọng trao đổi trên mạng có thể bị chặn và phân tích. Thêm vào đó là việc đăng nhập hệ thống dựa trên mật mã truyền thống đã lỗi thời và không đảm bảo tính an toàn. Do đó trước khi đưa các hoạt động kinh doanh của mình lên Internet, vấn đề hàng đầu doanh nghiệp phải đặt ra đó là đảm bảo an ninh cho hệ thống mạng của mình và đảm bảo an toàn cho những giao dịch mà họ tham gia. Điều này có thể thực hiện bằng cách áp dụng một chính sách bảo mật hợp lý, sử dụng các công nghệ phù hợp. Xuất phát từ nhu cầu bảo mật của các doanh nghiệp trước khi tham gia hoạt động thương mại điện tử, đề tài “Tìm hiểu,nghiên cứu và thiết lập thử nghiệm một hệ thống PKI trên môi trường Windows 2000” nhằm mục đích nghiên cứu và áp dụng nền tảng khóa công khai-Public Key Infrastructure (PKI) được xây dựng trong hệ điều hành Windows 2000 vào môi trường xí nghiệp để đáp ứng các nhu cầu về bảo mật cho doanh nghiệp, giúp doanh nghiệp có thể đáp ứng được các mục tiêu kinh doanh. 1.2 Mục đích Vấn đề trọng tâm của đề tài là đi sâu tìm hiểu hạ tầng kiến trúc khóa công khai PKI trong Windows 2000, các thành phần của PKI, mức độ hỗ trợ cho môi trường xí nghiệp (enterprise), trên cơ sở đó xây dụng thử nghiệm một hệ thống có thể thực hiện các chức năng của Windows 2000 PKI. 6 Luận văn tốt nghiệp Đỗ Anh Dương 1.3 Nội dung của đề tài Đề tài được bố cục như sau: Chương 1: Mở đầu Giới thiệu đề tài, nội dung mục đích của đề tài. Chương 2: Công nghệ khóa công khai Giới thiệu tổng quan về công nghệ khoá công khai, các khái niệm cơ bản, phương pháp mã hóa, chứng thực số, chữ ký số, chứng thực ủy quyền Chương 3: Công nghệ khóa công khai trong Windows 2000 Nghiên cứu kiến trúc, các thành phần của Windows 2000 PKI, với trọng tâm là Certificate Cervices để tạo ra các hệ thống tin cậy cục bộ. Chương 4: Sử dụng Windows 2000 PKI Thiết kế kiến trúc các thực ủy quyền và thiết lập mô hình thử nghiệm. Chương 2 7 Luận văn tốt nghiệp Đỗ Anh Dương Công nghệ khóa công khai 2.1 Tổng quan về mã hóa 2.1.1 Giới thiệu 2.1.1.1 Mã hóa và vai trò của mã hóa. 8 Luận văn tốt nghiệp Đỗ Anh Dương Mã hóa là một lĩnh vực nghiên cứu và ứng dụng các kỹ thuật toán học trong các khía cạnh bảo mật thông tin như: Bảo đảm bí mật thông tin, bảo đảm sự toàn vẹn thông tin, xác thực các thực thể và xác thực nguồn gốc dữ liệu. Mã hóa thông tin làm cho chi phí khai thác thông tin bất hợp pháp là rất cao so với giá trị thực của thông tin, và để khai thác được thông tin một cách bất hợp pháp thì phải tốn một khoảng thời gian dài và lúc đó có thể thông tin đã không còn giá trị. Các mục tiêu của mã hoá: Bảo đảm tính bí mật (confidentially):Là chức năng giữ cho nội dung thông tin chỉ được sử dụng và khai thác bởi những người có quyền sử dụng nguồn thông tin đó. Bảo đảm tính toàn vẹn dữ liệu(data intergrity): Là chức năng phát hiện sự thay thế thông tin bất hợp pháp. Để đảm bảo tính toàn vẹn của thông tin thì trước hết phải có khả năng phát hiện những thao tác trên dữ liệu của các thành phần bất hợp pháp, các thao tác đó có thể là: thêm thông tin, xóa thông tin, và thay thế nội dung thông tin… Chứng thực(Authentication): Là chứng năng liên quan đến việc định danh. Chức năng này được áp dụng cho cả các thực thể, các thành phần tham gia quá trình mã hoá, cũng như chính bản thân thông tin. Trong quá trình trao đổi thông tin giữa nhiều thành phần thì việc định danh là cần thiết để tránh trường hợp mạo danh. Không thể từ chối(non-reputation): Là chức năng ngăn chặn một thực thể chối bỏ trách nhiệm của mình về một hành động mà thực thể này đã thực hiện trước đó. Khi tranh chấp nổ ra do một thực thể chối bỏ trách nhiệm của mình, thì một cách thức để tái lập lại tình huống là cần thiết, hay nói cách khác chúng ta cần đưa ra bằng chúng không thể chối cãi về những sự việc đã xảy ra và vai trò của thực thể trong những sự việc đó. 9 Luận văn tốt nghiệp Đỗ Anh Dương Như vậy khi sử dụng mã hóa, chúng ta có thể giao tiếp với các thành phần và kiểm tra định danh cũng như giá trị của thông tin chúng ta trao đổi mà không nhất thiết phải gặp mặt. Như vậy quá trình trao đổi những thông tin nhạy cảm có thể được thực hiện trên các môi trường mạng không an toàn, như Internet, thay vì phải thiết lập một hệ thống mạng riêng với chi phí lớn. 2.1.1.21 Các khái niệm cơ bản Mã hóa cung cấp các kỷ thuật cho phép: - Biến đổi thông tin thành dạng không thể hiểu được. Quá trình này được gọi là mã hóa (encryption). - Phục hồi thông tin đa mã hoá thành dạng ban đầu. Quá trình này được gọi là giải mã (decryption). Quá trình trên được thể hiện như sau: Hình 2.1: Quá trình mã hóa Thông tin ban đầu được gọi là plaintext và dạng thể hiện trung gian sau khi mã hóa được gọi là ciphertext. Hàm toán học xác định bước mã hoá và giải mã được gọi là thuật toán mã hoá (cryptographic algorithm). Một hệ thống mã hóa (cryptosystem) bao gồm một tập các thuật toán mã hóa, các khoá mã hóa, các thông điệp cần mã hóa,và các ký tự mã tương ứng. Khoá mã hóa (cryptographic key) là một giá trị toán học xác định cách thức một thông điệp ban đầu bị mã hóa để tạo ra dạng trung gian. Để phục hồi lại thông tin ban đầu thì cũng cần sở hữu một khóa. Mỗi khóa mã hoá có một độ dài khóa (key length) tương ứng. 10 [...]... Infeasible Mellinia 21 Luận văn tốt nghiệp Đỗ Anh Dương Bảng2 4: Thời gian trung bình để vượt qua một hệ thống mã hóa (thống kê 1997) 2.4 Chứng thực số-Digital Certificate 2.4.11 Khái niệm Digital Certificate là một dạng tài liệu số chứa các thông tin định danh của một thực thể và và khóa công khai của thực thể đó Thực thể có thể là một cá nhân, một server, một thiết bị hoặc một phần mềm Chứng thực... giữa S1 và S3 là CA2 và CA5 Mô hình phân cấp top-down thường được áp dụng trong một công ty, một tổ chức với qui mô không lớn lắm Với một mạng được tổ chức thành duy nhất một domain CA gốc-root CA ( tương ứng vớI CA1 trong hình vẽ 33 Luận văn tốt nghiệp Đỗ Anh Dương trên) thường được cài đặt trực tiếp lên máy điều khiển vùng (domain controller) 2.7.1.21 Forest Top-down Hierachies: 34 Luận văn tốt nghiệp. .. bit trong một khóa Độ dài khóa có ảnh hưởng rất lớn tới hiệu quả của một hệ thống mã hóa Độ dài khóa càng lớn thì độ an toàn càng cao, tuy nhiên nếu độ dài khóa quá lớn thì sẽ làm chậm các quá trình mã hóa và giải mã Để phá huỷ một hệ thống mã hóa mà không biết các yếu điểm của hệ thống mã hóa đó, một hacker phải thử tất cả các khóa có thể trong không gian khóa cho đến khi giải mã được một văn bản nào... khai và khóa riêng tương ứng có quan hệ với nhau về mặt toán học tuy nhiên chúng ta không thể suy ra khóa riêng từ khóa công khai Thuật ngữ cặp khóa (key pair) có nghĩa rằng một khóa riêng và một khóa công khai tương ứng Do mối quan hệ toán học giữa khóa riêng và khóa công khai một thông điệp được mã hóa bằng khóa công khai chỉ có thể giải mã bằng khóa riêng tương ứng và ngược lại 13 Luận văn tốt nghiệp. .. sở hữu chứng thực và hệ thống sử dụng chứng thực không cùng một CA hoặc thậm chí 35 Luận văn tốt nghiệp Đỗ Anh Dương không cùng một Root CA, khi đó tìm đường chứng thực là một vấn đề phức tạp Một vấn đề quan trọng trong hoạt nữa là vấn đề xác minh tính hợp lệ của con đường chứng thực Đây là vấn đề kiểm tra tên một thực thể và khóa công khai của thực thể đó có hợp lệ không dựa vào con đường chứng thực... tính toàn vẹn và xác thực của thông 15 Luận văn tốt nghiệp Đỗ Anh Dương tin.Ví dụ: 16 Luận văn tốt nghiệp Đỗ Anh Dương Hình 2.4:Sự tấn công bằng cách giả mạo o Trong ví dụ trên đây, kẻ tấn công C giả danh B bằng cách gửi cho A khóa công khai pb1 , mà A nhầm tưởng rằng đó là của B A mã hoá thông tin và gửi cho B, nhưng C chặn lại, giải mã thông tin bằng khóa riêng pr1 của mình, sau đó mã hoá một thông... danh cho CA Quá trình phát sinh, lưu trữ khóa ở hệ thống cục bộ phải đảm bảo sự an toàn và thường dùng một thiết bị phần cứng đặc biệt là thẻ thông minh smart card • Một cách khác để phát sinh cặp khóa đó là sử dụng một hệ thống phát sinh khóa tập trung Tuy nhiên nếu dùng hệ thống tập trung này thì qúa trình chuyển khóa riêng về cho thực thể phải là một quá trình được đảm bảo bí mật 2.6.2.21 Subject... danh của một thực thể, CA phải ký vào chứng thực, hay nói các khác từ các thông tin định danh của thực thể CA phải tạo ra một chữ ký số và đính kèm chứng thực Chữ ký số là duy nhất cho một văn bản điện tử ( Xem phần chữ ký số) o Xác thực: Chứng thực đảm bảo sự xác thực, một yếu tố rất quan trọng trong dịch vụ an toàn thông tin Một thực thể có thể dùng chứng thực để xác nhận mình với một hệ thống trước... hình vẽ sau: Hoạt động: Giả sử A muốn gửi một thông điệp bí mật P đến B, A mã hóa thông điệp P bằng một hàm mã hóa E và khóa K và gửi kết quả dạng kí tự mã C = E K (P) đến B Khi nhận được B sử dụng hàm giải mã D và khóa K để khôi phục lại thông tin ban đầu: DK (C ) = DK ( E K ( P)) = P 11 Luận văn tốt nghiệp Đỗ Anh Dương Hình 2.2: Mã hoá và giải mã chia sẻ một khóa bí mật Rõ ràng khi sử dụng mã hóa... được nội dung của văn bản đó Lấy ví dụ khi dùng thuật toán mã hoá khóa bí mật DES, sử dụng khóa có kích thước 56 bit, thì không gian khóa là 2 56 giá trị Nếu một máy tính có thể thử một nghìn tỷ khóa một giây thì cũng phải mất tới 2 năm mới tìm được khoá đúng Con số này còn tăng cao hơn rất nhiều theo độ dài của khóa Bảng sau đây thống kê thời gian cần thiết để phá hủy một số hệ thống mã hóa: Key Individual . nghệ phù hợp. Xuất phát từ nhu cầu bảo mật của các doanh nghiệp trước khi tham gia hoạt động thương mại điện tử, đề tài Tìm hiểu ,nghiên cứu và thiết lập thử nghiệm một hệ thống PKI trên môi. phần của PKI, mức độ hỗ trợ cho môi trường xí nghiệp (enterprise), trên cơ sở đó xây dụng thử nghiệm một hệ thống có thể thực hiện các chức năng của Windows 2000 PKI. 6 Luận văn tốt nghiệp. trên môi trường Windows 2000 nhằm mục đích nghiên cứu và áp dụng nền tảng khóa công khai-Public Key Infrastructure (PKI) được xây dựng trong hệ điều hành Windows 2000 vào môi trường xí nghiệp