1 NGUYỄN NGỌC ĐIỆP TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG CHỨNG THỰC KHÓA CÔNG KHAI SỬ DỤNG GÓI PHẦN MỀM MÃ NGUỒN MỞ EBJCA ỨNG DỤNG TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ Chuyên ngành: TDL & MTT Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội - 2012 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: T.S Phạm Thế Quế Người hướng dẫn khoa học: TS PHẠM THẾ QUẾ Phản biện 1: …………………………………………………………………………… Phản biện 1: TS.Bùi Thu Lâm Phản biện 2: ………………………………………………………………………… Phản biện 2: PGS.TS Trịnh Nhật Tiến Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công Viễn thông nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Vào lúc: 00 ngày 08 tháng 09 năm 2012 Có thể tìm hiểu luận văn tại: Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông - Thư viện Học viện Công nghệ Bưu Viễn thông LỜI NÓI ĐẦU Ngày này, phát triển công nghệ thông tin ngày chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học công nghệ nói chung công nghệ thông tin nói riêng đem lại nhiều lợi ích cho người, rút ngắn khoảng cách địa lý, tăng hiệu suất, tiết kiệm thời gian chi phí cho công việc… Việc giao dịch điện tử trao đổi thư tín, thương mại điện tử, dịch vụ web, mạng riêng ảo…đã trở thành phần tất yếu sống đại Nhu cầu thực tế đặt ra, phải có quan đảm bảo chứng thực điện tử cho giao dịch điện tử đảm bảo yêu cầu xác thực, bí mật, toàn vẹn, chống chối bỏ Thực tế có nhiều công nghệ phương pháp để xác thực danh tính giao dịch điện tử Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng số sử dụng PKI, thiết bị bảo mật vật lý Smart Card,… Đứng trước nhu cầu đó, nhiều công ty bảo mật phối hợp ngân hàng, tổ chức tài để phát triển giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới hoạt động giao dịch trực tuyến Hiện nay, giới có nhiều cách xây dựng , triển khai hệ thống PKI Có thể đơn cử vài ví dụ cụ thể như: CA – Microshoft, OpenCA – Opensourc, Entrus Trong đề tài thực tập này, em lựa chọn giải pháp sử dụng EJBCA Primekey tảng hệ điều hành CentOS EJBCA CA đầy đủ chức xây dựng Java Do dựa công nghệ J2EE, EJBCA tạo thành CA mạnh, hiệu suất cao Với mềm dẻo, chạy độc lập không phụ thuộc vào hệ điều hành phần cứng, EJBCA sử dụng độc lập tích hợp ứng dụng J2EE Qua tìm hiểu nghiên cứu em chọn đề tài “Tìm hiểu triển khai hệ thống chứng thực khóa công khai sử dụng gói phần mềm mã nguồn mở EJBCA ứng dụng giao dịch thương mại điện tử” cho luận văn Đề tài tập trung giải nội dung gồm chương sau: Chương 1: An toàn thông tin giao dịch thương mại điện tử  Nêu lên tổng quan yêu cầu chung hệ thống an toàn thông tin giao dịch điện tử  Các khái niệm,thuật toán Chương 2: Cơ sở tầng khóa công khai  Nêu lên tổng quát sở hạ tầng khóa công khai PKI  Các mục tiêu, chức ưu nhược điểm hệ thống Chương : Bộ phần mềm EBJCA hệ thống chứng thực sở hạ tầng khóa công khai  Giới thiệu chung gói phần mềm EJBCA  Các kiến trúc hệ thống PKI sử dụng EJBCA  Đưa mô hình triển khai  Cách cài đặt cấu hình Kết Luận Do nội dung luận văn bao gồm nhiều kiến thức mới, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết nên chắn đề tài không tránh khỏi thiếu sót Em mong nhận đóng góp ý kiến thầy cô giáo bạn bè để đề tài em ngày hoàn thiện Trong trình thực đề tài, em xin cảm ơn nhiệt tình giúp đỡ TS.Phạm Thế Quế - Giảng viên Học viện công nghệ bưu viễn thông, nhiệt tình hướng dẫn giúp đỡ em hoàn thành đề tài Em xin chân thành cảm ơn ! Chương I AN TOÀN THÔNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ (TMĐT) 1.1 Yêu cầu chung cho an toàn bảo mật thông tin giao dịch điện tử Trên mạng Internet đe dọa thường bao gồm: - Quan sát mạng Chặn kết nối Giả mạo định tuyến Giả mạo DNS - Tấn công từ chối dịch vụ Để đảm bảo an toàn mạng Internet cần quan tâm xử lý vấn đề sau:  Tính xác thực (Authentication)  b) Tính bảo mật (privacy)  c) Tính toàn vẹn liệu (Integrity)  d) Tính chống chối bỏ (Non-repudiation) Các vấn đề an toàn mạng giải dựa sở lý thuyết mật mã.Mật mã học ứng dụng xa xưa từ thời Ai cập cổ đại xuyên suốt tiến trình lịch sử để truyền thông tin quân ngoại giao bí mật.Ngày việc mật mã hoá (encryption) liệu phương pháp đủ mạnh để bảo vệ liệu quan trọng riêng tư không bị xâm phạm soi mói tọc mạch hay dụng tâm có ác ý 1.2 Mật mã khóa bí mật (secret -key cryptography) Hệ mật mã khóa bí mật hay gọi hệ mật mã khóa đối xứng.Trong mật mã đối xứng bên tham gia liên lạc sử dụng khóa để mã hóa giải mã Trước truyền tin, hai thực thể A B thỏa thuận với khóa dùng chung (K) Thực thể A dùng khóa để mã hóa tin (ek ) sau gửi cho thực thể B Thực thể B dùng khóa K, thực phép giải mã (dK ) để giải mã mã nhận được.Vì khóa mật mã chung phải giữ bí mật người lập mã người nhận mã biết mà Có nhiều hệ khóa bí mật dùng chung, điển hình chuẩn mã hóa liệu Des (Data Encryptiol Standard) - - Ngày 13/5/1973 ủy ban quốc gia tiêu chuẩn Mỹ công bố yêu cầu hệ mật mã áp dụng cho toàn quốc Điều đặt móng cho chuẩn mã hóa liệu, DES Lúc đầu Des công ty IBM phát triển từ hệ mã Lucifer, công bố vào năm 1975 Sau Des xem chuẩn mã hóa liệu cho ứng dụng - Cấu trúc thuật toán Mô tả thuật toán - Giải mã Các chế độ DES Triple DES: Ứng dụng DES Kết luận Không thể phủ nhận thuật toán DES có nhiều ứng dụng viễn thông công nghệ thông tin, việc làm chủ cứng hóa thuật toán có ý nghĩa an toàn giao dịch mạng Nhìn chung, Việt Nam, việc làm chủ công nghệ cứng hóa thuật toán DES có ý nghĩa việc đảm bảo an toàn giao dịch mạng, đảm bảo an toàn truyền tin cho đơn vị yếu Việt Nam Hiện nay, triển khai cứng hóa thuật toán DES nhờ công nghệ thiết kế số đại 1.3 Mật mã khóa công khai Những hạn chế mật mã đối xứng + Vấn đề phân phối khóa - Khó đảm bảo chia sẻ mà không làm lộ khóa bí mật - Trung tâm phân phối khóa bị công + Không thích hợp cho chữ ký số - Bên nhận làm giả thông báo nói nhận từ bên gửi Các hạn chế mã mật mã đối xứng giải mã hóa khóa công khai.Phương pháp mã hóa đề xuất Whitfield Diffie Martin Hellman vào năm 1976.Có thể coi bước đột phá quan trọng lịch sử ngành mật mã.Nó bổ xung hạn chế mật mã đối xứng không thay - Đặc điểm mật mã khóa công khai - Ứng dụng mật mã khóa công khai - Hệ mã hóa RSA + Tạo khóa + Thực RSA + Vì RSA khả thi ? + Hạn chế khóa công khai 1.4 Hàm Băm (Hash Function) Hàm băm (Hash Function) hàm chuyển đổi thông điệp có độ dài thành dãy bit có độ dài cố định Các hàm băm nhận chuỗi bit có chiều dài tùy ý (hữu hạn) làm liệu đầu vào tạo chuỗi bit có chiều dài cố định n bit (n > 0), gọi giá trị băm hay mã băm - Tính chất hàm băm - Các thuật toán băm +Giải thuật MD5 +Giải thuật SHA - So sánh tính bảo mật MD5 SHA 1.5 Chữ ký điện tử (Digital Signature) 1.5.1 Khái niệm Chữ ký điện tử (Digital Signature) dựa kỹ thuật sử dụng mã hóa khóa công khai Trong đó, người gửi người nhận, người có cặp khóa khóa bí mật,hay riêng tư (Private Key) khóa công khai (Public Key) Chữ ký điện tử hoạt động người gửi thông điệp, người dùng khóa riêng để mã hóa thông điệp sang dạng khó nhận dạng Người nhận dùng khóa công khai người gửi để mã hóa thông điệp Tuy nhiên, để an toàn thật phải có bước bổ sung Do đó, thuật toán băm MD5 thuật toán mã hóa RSA áp dụng để xây dựng ứng dụng chữ ký điện tử 1.5.2 Quá trình tạo chữ ký điện tử 1.5.3 Quá trình kiểm tra chữ ký điện tử Chương II CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI (PKI) 2.1.Các khái niệm sở hạ tầng khóa công khai (PKI) 2.1.1 Khái niệm PKI Public Key Infrastructure (PKI) chế bên thứ ba (thường nhà cung cấp chứng thực số ) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp public/private Các trình thường thực phần mềm đặt trung tâm phần mềm khác địa điểm người dùng Khoá công khai thường phân phối chứng thực khóa công khai (PKI) Khái niệm hạ tầng khoá công khai (PKI) thường dùng toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan đồng thời với toàn việc sử dụng thuật toán mã hoá công khai trao đổi thông tin Tuy nhiên phần sau bao gồm không hoàn toàn xác chế PKI không thiết sử dụng thuật toán mã hoá công khai PKI cho phép giao dịch điện tử diễn đảm bảo tính bí mật, toàn vẹn xác thực lẫn mà không cần trao đổi thông tin bảo mật từ trước Mục tiêu PKI cung cấp khoá công khai xác định mối liên hệ khoá định dạng người dùng Nhờ vậy, người dùng sử dụng số ứng dụng : -Mã hoá Email xác thực người gửi Email -Mã hoá chứng thực văn -Xác thực người dùng ứng dụng -Các giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE, SSL):trao đổi khoá bất đối xứng, mã hoá khoá đối xứng Việc Diffie, Hellman, Rivest, Shamir, Adleman công bố công trình nghiên cứu trao đổi khóa an toàn thuật toán mật mã hóa khóa công khai vào năm 1976 làm thay đổi hoàn toàn cách thức trao đổi thông tin mật Cùng với phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thông tin bí mật trở nên cấp thiết Thêm vào yêu cầu phát sinh việc xác định định dạng người tham gia vào trình thông tin Vì ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển cách mạnh mẽ 10 Thị trường PKI thực tồn phát triển với quy mô kỳ vọng từ năm thập kỷ 1990 PKI chưa giải số vấn đề mà kỳ vọng Những PKI thành công tới phiên phủ thực 2.1.2 Chứng 2.1.3 Kho chứng 2.1.4 Thu hồi chứng 2.1.5 Công bố gửi thông báo thu hồi chứng 2.1.6 Sao lưu dự phòng khóa 2.1.7 Cập nhật khóa tự động 2.1.8 Lịch sử khóa 2.1.9 Chứng thực chéo 2.1.10 Hỗ trợ chống chối bỏ 2.1.11 Tem thời gian 2.1.12 Phần mềm phía người dùng 2.1.13 Chính sách chứng 2.2 Chức PKI 2.2.1 Chứng thực (certification) 2.2.2 Thẩm tra (validation) 2.3 Các thành phần PKI 17 c) Ứng dụng Trao đổi khóa (Key Exchange) 2.7 Ưu nhược điểm việc ứng dụng hệ thống PKI 2.7.1 Ưu điểm sử dụng sở hạ tầng khóa công khai 2.7.2 Một số điểm yếu sở hạ tầng khóa công khai Kết luận Chương II Chương II trình bầy khái niệm bản, phương pháp, công nghệ kỹ thuật sử dụng mã hóa khóa công khai để cung cấp sở hạ tầng bảo mật Một sở hạ tầng khóa công khai cho phép tổ chức tận dụng tốc độ mạng Internet bảo vệ thông tin quan trọng khỏi việc nghe trộm, giả mạo, truy cập trái phép 18 Chương III HỆ THỐNG CHUẨN QUẢN LÝ HẠ TẦNG KHÓA CÔNG KHAI EJBCA 3.1 Giới thiệu EJBCA (Enterprise Java Bean Certificate Authority) 3.1.1 Khái niệm - EJBCA (Enterprise Java Bean Certificate Authority)là sản phẩm công ty PrimeKey - EJBCA CA hệ thống quản lý PKI hoàn chỉnh xây dựng tảng công nghệ J2EE - Kiến trúc Enterprise Java Beans (EJB) đặc tả công ty Sun Microsystems phát triển 3.1.2 Các giai đoạn phát triển EJBCA 3.1.3 So sánh với gói phần mềm khác Dưới bảng so sánh số đặc điểm hai gói phần mềm : Bảng 3.1: So sánh đặc điểm EJBCA OpenCA Đặc điểm EJBCA OpenCA Độ khó cấu hình Rất phức tạp Phức tạp Tính bí mật Có (sử dụng mã hóa) Có (sử dụng mã hóa) Tính toàn vẹn Có (sử dụng mã hóa) Có Tính xác thực Có (sử dụng chữ ký số) Có Tính chống chối bỏ Có Không Chọn thuật toán để sử Có dụng OCSP Không Khả chọn CSP Có Bằng tay Cập nhật CRL Có Không Hỗ trợ thẻ thông minh Tự động Miễn phí Các mở rộng Có Có 19 Môi trường Miễn phí Cơ sở liệu Java J2EE (độc lập nền) MySQL Hypersoniq,PostegreSQL, MySQL, MS SQL, Oracle, Hỗ trợ LDAP Có Có Môđun EJB Perl Khả mở rộng Được thiết kế tốt mở Mở rộng khó với độ rộng phức tạp tăng nhiều Thành phần độc lập PKI quản trị hoàn Chỉ có cách quan toàn thông qua dòng lệnh trị PKI thông qua giao diện web Các trình duyệt Nhiều hỗ trợ 3.2 Mô hình hệ thống PKI EJBCA 3.2.1 Sơ đồ tổng quát hệ thống PKI EJBCA 3.2.2 Kiến trúc bên EJBCA  Tầng liệu (Data Tier  Thành phần CA  Thành phần RA  Tầng Web Perl CGI Unix Nhiều 20  Trình khách: Hình 3.2:Kiến trúc EJBCA 3.2.3 Hoạt động RA Server hệ thống EJBCA 3.2.4 Kiến trúc hoạt động External OCSP responders 3.3 Các tính EJBCA 3.4 Ứng dụng EJBCA 3.5 Một số ưu nhược điểm EJBCA * Ưu điểm: - EJBCA đơn giản để sử dụng - Mạnh mẽ - Hiệu suất cao, thành phần dựa CA - Linh hoạt tảng độc lập EJBCA sử dụng độc lập tích hợp ứng dụng J2EE - Có thể triển khai hệ điều hành khác Windows Linux - Có khả kết nối với hệ quản trị sở liệu sau: + Hypersoniq (hsqldb) (mặc định JBoss) + PostegreSQL 7.2 8.x ,MySQL 4.x 5.x + Oracle 8i, 9i 10g (http://www.oracle.com/) + Sybase + MS-SQL2000 2003 + Informix 9.2 21 + DB2 * Nhược điểm: - Cài đặt cấu hình phức tạp so với hệ thống khác 3.6 Triển khai hệ thống PKI sử dụng phần mềm EJBCA Mục tiêu Mọi người không lo lắng thư điện tử họ bị xem trộm hay không?có lẽ không thu hút tò mò lắm.Tuy nhiên thông tin nội tổng công ty,tập đoàn với chi nhánh thu hút ý hơn.Các công ty lo lắng thông tin kinh doanh bị lọt vào tay đối thủ cạnh tranh họ bị lợi nhuận thị trường.Trong thực tế có chuyên gia với nghiệp vụ giỏi sẵn sang can thiệp để lấy thông tin bán lại cho đối thủ cạnh tranh công ty bị xem trộm.Nhằm thực hóa kết bảo mật thông tin nghiên cứu,dưới mô hình triển khai thử nghiệm hệ thống PKI theo kiến trúc phân cấp sử dụng gói phần mềm mã nguồn mở EBJCA.Mục tiêu đặt hệ thống sau triển khai sử dụng cung cấp chứng nhận cho người dùng để chứng thực người sử dụng web,ký mã hóa thư điện tử,ký văn 3.6.1 Mô hình triển khai Yêu cầu cần thiết: + Hệ điều hành triển khai hệ điều hành CentOS 5.5 + Máy chủ EJBCA Server Backup/Log + OCSP Responder đóng vai trò trả lời truy vấn thông tin chứng chỉ, CRLs… cài đặt phần mềm MySQL, Jboss, LDAP + RA Server đóng vai trò nhận xử lý truy vấn xin cấp chứng Client chờ CA xử lý cấp phát Được cài đặt MySQL JBOSS Vì không đủ điều kiện nên em thực gộp ba phần trên máy nên máy đóng vai trò ba phần mô hình Các phần mềm cài đặt máy bao gồm: ejbca_3_11_1, MySQL, JBOSS-4.2.2.GA, Apache-ant-1.8.2, JDK6u23-linux, JCE_policy-6, MySQL-connector-java-1.5.14, LDAP 22 Hình 3.7: Mô hình tổng quan hệ thống PKI triển khai theo mô PKI theo kiến trúc phân câp hình 2.3 CA có quản trị viên chia thành nhóm: + Quản trị viên CA (CA administrator) + Quản trị viên RA (RA administrator) + Siêu quản trị viên (super administrator) Tên CA,các thực thể được phát hành chứng nhận đặt theo tiêu chuẩn tên phân biệt X.509 Các bước triển khai: Cấp chứng nhận cho quản trị CA,RA,giám sát viên siêu quản trị viên,để đăng nhập vào hệ thống quản trị CA trình duyệt web fire fox,IE 23 Hình 3.8 : Giao diện quản lý ejbca Mở cửa sổ Add End Entity điền định dạng cho chứng người dùng Hình 3.11 Kết tạo quản trị viên email-1CA email-2CA - Import chứng dạng P12 vào firefox 24 Vào Edit/Preferences/Advanced/Encryption/View Certfiticates/Your Certtificates/ Nhấn vào Import file superadmin.p12 /opt/ejbca/P12/superadmin.p12 Hình 3.12: Add chứng vào trình duyệt Chi tiết chứng cấp cho user1 user với đầy đủ thông số Hình 3.13: chứng nhận cho người dùng có tên user1 user 25 Ký mã hóa thư điện tử :Hệ thống cấp chứng nhận cho người dùng để ký xác nhận chữ ký,mã hóa giải mã thư điện tử ứng dụng thư điện tử Outlook Epress.Khi người dùng user-2 gửi thư điện tử cho user-1,đồng thời ký mã hóa thư điện tử User -1 nhận thư điện tử user-2,user -1 không đọc thư xác thực người gửi chứng nhận người gửi (không có khóa khớp với khóa người gửi) Hình 3.15: Giao diện user-1 nhận thư user-2 ký mã hóa Khi có đầy đủ chứng nhận cần thiết người nhận user-1 đọc nội dung thư ký mã hóa hình 26 Hình 3.16: Người nhận user-1 đọc nội dung thư gửi Tương tự Chứng nhận cấp cho người dùng thử nghiệm dùng để ký gửi file văn Kết luận chương III EJBCA gói phần mềm mã nguồn mở tiếng,có thể triển khai hệ thông PKI hoàn chỉnh,đầy đủ chức năng.Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nhằm thiết lập môi trường an toàn,tin cậy giao tiếp tính bảo mật,toàn vẹn,tính xác thực tính chống chối bỏ.Hơn hệ thống có khả mở rộng tích hợp với hệ thống khác cách dễ dàng 27 KẾT LUẬN PKI hệ thống tương đối lớn phức tạp Việc nắm vững nghiên cứu kỹ PKI đòi hỏi nhiều thời gian công sức.Qua đề tài em vừa trình bày đưa nhìn tổng quát hệ thống sở hạ tầng PKI, mục tiêu chức hệ thống Đồng thời đề tài trình bày vấn đề bản, cách cài đặt cấu hình gói phần mềm EJBCA - cách xây dựng, triển khai hệ thống khóa công khai EJBCA gói phần mềm mã nguồn mở tiếng, triển khai hệ thống PKI hoàn chỉnh, đầy đủ chức Nhằm tận dụng đặc tính ưu việt gói phần mềm đồng thời quản lý trình phát triển độ an toàn hệ thống, đề tài tiến hành tìm hiểu phân tích Hướng phát triển đề tài áp dụng mô hình triển khai vào thực tế nhiều ko phải dừng mức lý thuyết demo Chúng ta triển khai thử nghiệm hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản sử dụng thực tế Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nhằm thiết lập môi trường an toàn, tin cậy giao tiếp tính cẩn mật, tính toàn vẹn, tính xác thực tính chối từ Hơn nữa, hệ thống có khả mở rộng, tích hợp với hệ thống khác cách dễ dàng Hệ thống triển khai sử dụng thực tế đồng thời có tính tổng quát cao (nhiều loại CA: CA gốc, CA cấp CA cấp khác một), ứng dụng tổ chức có mô hình phân cấp tương tự 28 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Học viện Kỹ thuật Mật mã (2006), "Giáo trình chứng thực điện tử" [2] Trung tâm ứng dụng công nghệ điện tử viễn thông NACENCOMM – Giải pháp PKI Tiếng Anh [3] Andrew Nash, William Duane, Celia Joseph and Derek Brink (2001), "PKI: Implementing and Managing E-security", RSA Press [4] Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque (2001), "Public Key Infrastructure Implementation and Design", M&T Books [5] RFC 2560, RFC2459, RFC2119 [6] http://www.ejbca.org [7] http://www.primekey.se [8] IETF Public-Key Infrastructure X.509 (PKIX) Working Group, http://www.ietf.org/html.charters/pkix-charter.html [9] Carlisle Adams, Steve Lloyd (November 06, 2002), “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition” 29 MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .i DANH MỤC CÁC BẢNG ii DANH MỤC CÁC HÌNH VẼ iv LỜI NÓI ĐẦU Chương I AN TOÀN THÔNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ (TMĐT) 1.1 Yêu cầu chung cho an toàn bảo mật thông tin giao dịch điện tử 1.2 Mật mã khóa bí mật (secret -key cryptography) 1.3 Mật mã khóa công khai 1.4 Hàm Băm (Hash Function) 1.5 Chữ ký điện tử (Digital Signature) 1.5.1 Khái niệm 1.5.2 Quá trình tạo chữ ký điện tử 1.5.3 Quá trình kiểm tra chữ ký điện tử Chương II CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI (PKI) 2.1 Khái niệm sở hạ tầng khóa công khai (PKI) 2.1.1 khái niệm PKI 2.1.2 Chứng 10 2.1.3 Kho chứng 10 2.1.4 Thu hồi chứng 10 2.1.5 Công bố gửi thông báo thu hồi chứng 10 2.1.6 Sao lưu dự phòng khóa 10 2.1.7 Cập nhật khóa tự động 10 2.1.8 Lịch sử khóa 10 2.1.9 Chứng thực chéo 10 2.1.10 Hỗ trợ chống chối bỏ 10 2.1.11 Tem thời gian 10 2.1.12 Phần mềm phía người dùng 10 2.1.13 Chính sách chứng 10 2.2 Chức PKI 10 30 2.2.1 Chứng thực (certification) 10 2.2.2 Thẩm tra (validation) 10 2.3 Các thành phần PKI 10 2.3.1 Cơ quan cấp chứng (CA) 11 2.3.2 Cơ quan đăng ký 11 2.3.3 Nơi lưu trữ chứng (certificate directory) 11 2.3.4 Máy chủ khôi phục khóa 11 2.3.5 Danh sách thu hồi chứng (CRL) 11 2.3.6 Cơ quan tạo tem thời gian (TSA) 11 2.3.7 Phần mềm phía client( Client Software) 11 2.4 Kiến trúc hệ thống PKI 11 2.4.1 Mô hình phân cấp 11 2.4.2 Mô hình mạng lưới 12 2.4.3 Mô hình danh sách tin cậy 13 2.4.4 Hoạt động hệ thống PKI 13 2.4.5 Các loại chứng giao thức PKI 13 2.5 Các vấn đề an toàn cho PKI 16 2.5.1 Vấn đề an toàn tin cậy PKI 16 2.5.2 Vấn đề sử dụng khóa 16 2.5.3 Vấn đề xác định độ an toàn máy tính 16 2.5.4 Vấn đề xác định định danh người dùng 16 2.5.5.Vấn đề thẩm quyền CA 16 2.5.6 Vấn đề người dùng quan tâm tới thiết kế bảo mật 16 2.5.7 Vấn đề kết hợp CA với RA 16 2.5.8 Vấn đề định danh người giữ chứng 16 2.5.9 Vấn đề sử dụng chứng 16 2.5.10 Vấn đề ứng dụng CA 16 2.6 Ứng dụng PKI 16 2.7 Ưu nhược điểm việc ứng dụng hệ thống PKI 17 2.7.1 Ưu điểm sử dụng sở hạ tầng khóa công khai 17 2.7.2 Một số điểm yếu sở hạ tầng khóa công khai 17 Chương III 18 HỆ THỐNG CHUẨN QUẢN LÝ HẠ TẦNG KHÓA CÔNG KHAI EJBCA 18 31 3.1 Giới thiệu EJBCA (Enterprise Java Bean Certificate Authority) 18 3.1.1 Khái niệm 18 3.1.2 Các giai đoạn phát triển EJBCA 18 3.1.3 So sánh với gói phần mềm khác 18 3.2 Mô hình hệ thống PKI EJBCA 19 3.2.1 Sơ đồ tổng quát hệ thống PKI EJBCA 19 3.2.2 Kiến trúc bên EJBCA 19 3.2.3 Hoạt động RA Server hệ thống EJBCA 20 3.2.4 Kiến trúc hoạt động External OCSP responders 20 3.3 Các tính EJBCA 20 3.4 Ứng dụng EJBCA 20 3.5 Một số ưu nhược điểm EJBCA 20 3.6 Triển khai hệ thống PKI sử dụng phần mềm EJBCA 21 3.6.1 Mô hình triển khai 21 3.6.2 Cài đặt cấu hình Error! Bookmark not defined KẾT LUẬN 27 TÀI LIỆU THAM KHẢO 28 [...]... hồi chứng chỉ (CRL) Trong những trường hợp khác nó cũng cho phép các thực thể tạo ra các yêu cầu chứng chỉ và yêu cầu thu hồi chứng chỉ - Các giao thức nên mở rộng, để có thể sử dụng trên nhiều hệ thống tách biệt 16 - Hỗ trợ giao dịch hai bên và giao dịch ba bên Sự thiết kế giao thức nên tiện lợi sử dụng về một giao thức đơn giản thông qua các thực thể dù họ đang tương tác với một CA hay RA - Các giao. .. tầng PKI, các mục tiêu và chức năng của hệ thống Đồng thời đề tài cũng trình bày được những vấn đề cơ bản, cách cài đặt và cấu hình gói phần mềm EJBCA - một trong những cách xây dựng, triển khai hệ thống khóa công khai EJBCA là một gói phần mềm mã nguồn mở nổi tiếng, có thể triển khai một hệ thống PKI hoàn chỉnh, đầy đủ chức năng Nhằm tận dụng những đặc tính ưu việt của gói phần mềm này đồng thời có... Nhấn vào Import file superadmin.p12 trong /opt/ejbca/P12/superadmin.p12 Hình 3.12: Add chứng chỉ vào trình duyệt Chi tiết chứng chỉ được cấp cho user1 và user 2 với đầy đủ thông số Hình 3.13: chứng nhận cho người dùng có tên user1 và user 2 25 Ký và mã hóa thư điện tử :Hệ thống có thể cấp chứng nhận cho người dùng để ký và xác nhận chữ ký ,mã hóa và giải mã thư điện tử trong ứng dụng thư điện tử Outlook... ra là hệ thống sau khi được triển khai có thể sử dụng cung cấp các chứng nhận cho người dùng để chứng thực người sử dụng web,ký và mã hóa thư điện tử, ký văn bản 3.6.1 Mô hình triển khai Yêu cầu cần thiết: + Hệ điều hành triển khai là hệ điều hành CentOS 5.5 + Máy chủ EJBCA Server và Backup/Log + OCSP Responder đóng vai trò trả lời các truy vấn về thông tin chứng chỉ, CRLs… được cài đặt phần mềm MySQL,... việc ứng dụng hệ thống PKI 2.7.1 Ưu điểm khi sử dụng cơ sở hạ tầng khóa công khai 2.7.2 Một số điểm yếu của cơ sở hạ tầng khóa công khai Kết luận Chương II Chương II đã trình bầy những khái niệm cơ bản, các phương pháp, công nghệ và kỹ thuật sử dụng mã hóa khóa công khai để cung cấp một cơ sở hạ tầng bảo mật Một cơ sở hạ tầng khóa công khai cho phép một tổ chức tận dụng tốc độ của mạng Internet trong. .. trình phát triển cũng như độ an toàn của hệ thống, đề tài đã tiến hành tìm hiểu và phân tích Hướng phát triển của đề tài là có thể áp dụng mô hình triển khai vào thực tế nhiều hơn nữa chứ ko phải chỉ dừng ở mức lý thuyết demo Chúng ta có thể triển khai thử nghiệm một hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản có thể sử dụng ngay trong thực tế Hệ thống được triển khai này mang... MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .i DANH MỤC CÁC BẢNG ii DANH MỤC CÁC HÌNH VẼ iv LỜI NÓI ĐẦU 1 Chương I 5 AN TOÀN THÔNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ (TMĐT) 5 1.1 Yêu cầu chung cho an toàn bảo mật thông tin trong các giao dịch điện tử 5 1.2 Mật mã khóa bí mật (secret -key cryptography) 5 1.3 Mật mã khóa công khai ... đặt và cấu hình phức tạp hơn so với các hệ thống khác 3.6 Triển khai hệ thống PKI sử dụng phần mềm EJBCA Mục tiêu Mọi người sẽ không quá lo lắng về bức thư điện tử của họ bị xem trộm hay không?có lẽ nó không thu hút sự tò mò lắm.Tuy nhiên các thông tin nội bộ giữa các tổng công ty,tập đoàn với các chi nhánh sẽ thu hút sự chú ý hơn .Các công ty sẽ lo lắng về các thông tin kinh doanh của mình bị lọt vào... cạnh tranh và họ sẽ bị mất đi lợi nhuận và thị trường .Trong thực tế có những chuyên gia với nghiệp vụ giỏi sẵn sang can thiệp để lấy những thông tin này và bán lại cho những đối thủ cạnh tranh của công ty bị xem trộm.Nhằm hiện thực hóa các kết quả bảo mật thông tin đã nghiên cứu,dưới đây là mô hình triển khai thử nghiệm một hệ thống PKI theo kiến trúc phân cấp sử dụng gói phần mềm mã nguồn mở EBJCA. Mục... chức cần phải sử dụng các thuật toán khác nhau cho cặp khóa của họ, các giao thức này nên có khả năng để công nhận các kiểu thuật toán được sử dụng Một vài thuật toán được sử dụng trong mật mã như MD5, RSA, DSA - Giao thức quản lý PKI phải hỗ trợ nhiều cơ chế truyền tải khác nhau như HTTP, FTP, TCP/IP 2.5 Các vấn đề an toàn cho PKI 2.5.1 Vấn đề an toàn tin cậy trong PKI 2.5.2 Vấn đề sử dụng khóa 2.5.3 ... điện tử hoạt động người gửi thông điệp, người dùng khóa riêng để mã hóa thông điệp sang dạng khó nhận dạng Người nhận dùng khóa công khai người gửi để mã hóa thông điệp Tuy nhiên, để an toàn thật... Hạn chế khóa công khai 1.4 Hàm Băm (Hash Function) Hàm băm (Hash Function) hàm chuyển đổi thông điệp có độ dài thành dãy bit có độ dài cố định Các hàm băm nhận chuỗi bit có chiều dài tùy ý (hữu