Đang tải... (xem toàn văn)
PKI (cơ sở hạ tầng khóa công khai) là một trong những hệ thống điển hình về bảo vệ thông tin một cách toàn diện nhất. Tuy nhiên PKI không phải không có những nhược điểm cần phải khắc phục, ví dụ như các vấn đề về bảo vệ khóa bí mật (private key), vấn đề về các mật khẩu, bảo vệ truy nhập hệ thống…. Trên thế giới, các nhà xây dựng và phát triển PKI đã đưa ra rất nhiều các giải pháp để xây dựng các hệ thống PKI an toàn hơn. Nắm bắt được tình hình đó một hệ thống có tên gọi là Time Stamp Authority đã ra đời để đáp ứng và hỗ trợ thêm quá trình chống chối bỏ của hệ thống PKI.
MỤC LỤC CÁC THUẬT NGỮ VIẾT TẮT Thuật ngữ - từ viết tắt 3DES(Triple DES) Giải thích Thuật tốn mã hóa liệu cải tiến từ DES cách thêm vịng mã hóa AES (Advanced Encryption Chuẩn mã hóa liệu nâng cao Standard) phát triển nhằm thay DES Thuật tốn có ưu điểm nhanh độ mật cao so với DES CA(Certification Authority) Hệ thống cấp phát chứng thư số CP(Certificate Policy) Chính sách chứng thư số CPS (Certificate Practice Quy chế chứng thực Statement) CRL (Certificate Revocation Danh sách chứng thư số bị thu List) hồi DC (Digital Certificate) Chứng thư số DES (Data Encription Chuẩn mã hóa liệu đối xứng Standard) sử dụng rộng rãi HSM (Hardware Security Thiết bị phần cứng bảo mật dùng Module) để tạo, lưu trữ bảo vệ khóa sử dụng mã hóa Trong hệ thống PKI, HSM thường dùng để bảo vệ cặp khóa quan trọng cặp khóa RootCA, SubCA LDAP (Lightweight Directory Giao thức chuyển truy cập thư mục Access Protocol) CA (Certification Authority) Cơ quan chứng thực PKI (Public Key Hạ tâng khóa cơng khai Infrastructure) OCSP (Online Certificate Giao thức kiểm tra trạng thái chứng status Protocol) thực số trực tuyến RA (Registration Authority) Cơ quan đăng ký RootCA (Root Certification Hệ thống cấp phát chứng thực số Authority) mức gốc RSA Thuật tốn mã hóa khóa cơng khai RSA, dùng để sinh cặp khóa SubCA (Subordinate Hệ thống cấp phát chứng thư số Certification Authority) mức TSA ( Time Stamp Authority) Trung tâm cấp dấu thời gian USB Token Thiết bị bảo vệ khóa người dùng hệ thống PKI LỜI NÓI ĐẦU Thế giới phẳng – lời giới thiệu chuẩn xác giới công nghệ thông tin nay, ranh giới quốc gia, vùng bị phá vỡ liên kết ngày mở rộng mạng máy tính Giá trị thơng tin giao dịch mạng ngày tăng, phủ điều hành qua mạng – phủ điện tử, hoạt động thương mại mạng – thương mại điện tử phát triển Các hoạt động tội phạm mạng ngày tăng gây tổn thất thông tin, tài chính, quân sự… nghiêm trọng Do nhu cầu bảo vệ thông tin tăng theo Rất nhiều mơ hình, phương pháp, hệ thống bảo vệ thơng tin đời đáp ứng tốt nhu cầu bảo vệ thơng tin PKI (cơ sở hạ tầng khóa cơng khai) hệ thống điển hình bảo vệ thơng tin cách tồn diện Tuy nhiên PKI khơng phải khơng có nhược điểm cần phải khắc phục, ví dụ vấn đề bảo vệ khóa bí mật (private key), vấn đề mật khẩu, bảo vệ truy nhập hệ thống… Trên giới, nhà xây dựng phát triển PKI đưa nhiều giải pháp để xây dựng hệ thống PKI an toàn Nắm bắt tình hình hệ thống có tên gọi Time Stamp Authority đời để đáp ứng hỗ trợ thêm trình chống chối bỏ hệ thống PKI Đối với nước ta, PKI mẻ, bước đầu nghiên cứu xây dựng hệ thống PKI Vấn đề kết hợp hệ thống PKI hệ thống Time Stamp chưa quan tâm nhiều Chính để góp phần việc phát triển hệ thống tích hợp, kết hợp hai hệ thống, em xây dựng đồ án tốt nghiệp chuyên ngành An toàn thông tin: “Nghiên cứu xây dựng hệ thống tem thời gian cho PKI dựa phần mềm mã mở TSA”, mục tiêu đồ án tập trung nghiên cứu xây dựng hệ thống time stamp dựa phần mềm OpenTSA ứng dụng cho việc cấp stamp-time cho hệ thống PKI hỗ trợ việc chống chối bỏ liệu ký mã Về bố cục, luận văn trình bày chương chính, nội dung cụ thể sau: Chương 1: Tổng quan PKI Chương đồ án giới thiệu khái quát trung tâm chứng thực chứng thư số, thành phần:CA, RA, SubCA, OCSP, Temp thời gian… cách thức thu hồi hủy bỏ chứng thư số Chương 2: Dịch vụ cấp dấu thời gian Chương giới thiệu tổng quan hệ thống TimeStamp khái niệm, yêu cầu hệ thống time stamp, miêu tả gói tin time stamp, phương thức truyền dẫn gói tin, nguyên tắc hoạt động Cuối vấn đề bảo mật với hệ thống time stamp Chương 3: Xây dựng hệ thống cấu dấu thời gian dựa hệ thống OpenCA Đầu chương miêu tả hoạt động hệ thống cấp dấu thời gian, mơ hình chi tiết hoạt động, sơ đồ mạng triển khai Miêu tả trình xây dựng hệ thống PKI dựa openca Cuối chương xây dựng hệ thống cấp dấu thời gian dựa hệ thống PKI xây dựng trước Chương I: TỔNG QUAN VỀ PKI I Hạ Tầng Khóa Cơng Khai-PKI • • • • • • Khả bảo mật (Secure): Đạt tiêu chuẩn quốc tế bảo mật EAL4+, đáp ứng hầu hết thiết bị HSM Smartcard Khả mở rộng (Scalable): Dựa kiến trúc PKI đại, thiết kế theo mơ hình có độ sẵn sàng cao, có khả mở rộng để cấp phát số lượng lớn chứng thư số cách dễ dàng Khả sẵn sàng (Available): Tất sách, log, liệu chứng thư số CRL lưu trữ sở liệu tin cậy bảo mật ví dụ: Oracle hệ sở liệu lớn đáng tin cậy giới Khả mở, tương thích (Open): Được thiết kế để tuân thủ tiêu chuẩn mở quốc tế X509, PKIX, LDAP Khả kiểm sốt sách (Policy Driven): Hệ thống có khả áp dụng sách khác với việc đăng ký loại chứng thư số khác Khả linh động (Flexible): Có thể hỗ trợ nhiều phương thức đăng ký chứng thư số khác nhau: Web, Email, Face-to-face, CMP, SCEP Trong mật mã học, hạ tầng khóa cơng khai (Public Key Infracstructure – PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào q trình trao đổi thơng tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khóa cơng khai khóa bí mật Các trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khóa cơng khai 1.Khái niệm Khái niệm hạ tầng khóa cơng khai (PKI) thường dùng để tồn hệ thống bao gồm nhà cung cấp chứng thực số (Chứng thư số Authority) chế liên quan đồng thời với toàn việc sử dụng thuật tốn mã hóa khóa cơng khai trao đổi thông tin PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng thực điện tử (digital chứng thư số) mã khố cơng cộng cá nhân Tới nay, nỗ lực hoàn thiện PKI đầu tư thúc đẩy Và để thực hoá ý tưởng này, tiêu chuẩn cần phải nghiên cứu phát triển mức độ khác bao gồm: mã hố, truyền thơng liên kết, xác thực, cấp phép quản lý Nhiều chuẩn bảo mật mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) Virtual Private Network (VPN), kết sáng kiến PKI Quá trình nghiên cứu phát triển PKI trình lâu dài với nó, mức độ chấp nhận người dùng tăng lên cách chậm chạp PKI đảm bảo chế bảo mật tổng hợp để lưu trữ chia sẻ tài sản trí tuệ ngồi phạm vi cơng ty Tuy nhiên, chi phí và/hoặc phức tạp gây rào cản định khả ứng dụng Đa phần giao dịch truyền thơng doanh nghiệp với khách hàng, quyền đối tác khác diễn cách điện tử Ngày nay, giải pháp an ninh toàn diện cạnh tranh với PKI thực chưa tìm thấy Từ góc độ giải pháp cơng nghệ, điều làm cho việc chọn lựa trở nên đơn giản Nhiều hãng khác cung cấp giải pháp PKI Những tính này, khả quản lý liên kết PKI, tích hợp vào hệ điều hành ứng dụng có liên quan PKI cơng nghệ xác thực hồn thiện sử dụng phương pháp mã hoá dựa khố bí mật khố cơng cộng Tuy nhiên, PKI bao gồm việc ứng dụng rộng rãi dịch vụ bảo mật khác, bao gồm dịch vụ liệu tin cậy, thống liệu tổng thể quản lý mã khoá Các loại kiến trúc trung tâm chứng thực CA Lợi ích việc có CA là: người sử dụng biết khóa cơng khai CA lấy khóa cơng khai người sử dụng khác CA xác thực Như để lấy khóa cơng khai người sử dụng cách tin cậy cần phải biết khóa công khai CA Vấn đề nảy sinh làm cách để cung cấp cho người sử dụng khóa cơng khai CA theo phương thức an tồn? Điều giải theo phương pháp sau: Khóa cơng khai CA truyền an toàn tới thực thể tham gia hệ PKI Điều thực cách sử dụng chứng ký CA đó, trường hợp gọi chứng tự ký (selfsigned chứng thư số) Để tạo chứng tự ký tin cậy, điều cần thiết phải truyền chứng tới người sử dụng theo phương thức an tồn (tính tồn vẹn thơng tin), chẳng hạn gửi mã hash (băm thông điệp) kênh truyền Trường hợp gọi hệ thống CA cấp Trong hệ thống CA nhiều cấp, CA gốc (root CA) xác thực CA cấp dưới, CA cấp phát hành chứng CA trực thuộc…Điều có nghĩa biết khóa cơng khai root CA xác thực tất chứng phát hành hệ thống CA cấp Trường hợp gọi hệ thống CA phân cấp Thay cấu trúc CA phân cấp, hai CA xác thực lẫn Trong trường hợp có khóa cơng khai hai CA (thư số tự ký) dựa vào mà xác thực chứng thư sơ phát hành CA lại Trường hợp gọi hệ thống CA ngang cấp Trong thực tế kết hợp kiểu CA sử dụng Các thành phần hệ thống PKI Một hệ thống PKI gồm thành phần sau: • Chứng thư số Authorites (CA): cấp thu hồi chứng • Registration Authorites (RA): gắn kết khóa cơng khai định danh người giữ chứng Clients: Người sử dụng cuối hệ thống chủ thể chứng PKI • Repositories: Hệ thống lưu trữ chứng danh sách chứng bị thu hồi Cung cấp chế phân phối chứng CRLs đến thực thể cuối Các thành phần PKI mối quan hệ chúng hình sau Đây mơ hình kiến trúc PKI PKIX đưa • Hình 1: Các thành phần hệ thống PKI Chức Năng Cơ Bản Của PKI Hệ thống PKI có chức khác Nhưng nhìn chung có hai chức là: chứng thực thẩm tra 5.1 Chứng thực (certification) Chứng thực chức quan trọng hệ thống PKI Đây q trình ràng buộc khố cơng khai với định danh thực thể CA thực thể PKI thực chức chứng thực Có hai phương pháp chứng thực: • • Tổ chức chứng thực (CA) tạo cặp khố cơng khai, khố bí mật tạo chứng cho phần khố cơng cặp khoá Người sử dụng tự tạo cặp khoá đưa khố cơng cho CA để CA tạo chứng cho khố cơng Chứng đảm bảo tính tồn vẹn khố cơng khai thơng tin gắn 5.2 Thẩm tra (validation) Quá trình xác định liệu chứng đưa sử dụng mục đích thích hợp hay khơng xem q trình kiểm tra tính hiệu lực chứng Quá trình bao gồm số bước sau: • • • • • 10 Kiểm tra xem liệu có CA tin tưởng ký số lên chứng hay không (xử lý theo đường dẫn chứng chỉ) Kiểm tra chữ ký số CA chứng để kiểm tra tính tồn vẹn Xác định xem chứng cịn thời gian có hiệu lực hay không Xác định xem chứng bị thu hồi hay chưa Xác định xem chứng sử dụng có mục đích, sách, giới hạn hay không (bằng cách kiểm tra trường mở rộng cụ thể mở rộng sách chứng hay mở rộng việc sử dụng khoá) Lưu lại restart lại dịch vụ web server IV.Kiểm thử thử nghiệm mơ hình cấp dấu thời gian thực tế IV.1 Xây dựng chương trình Visual basic Demo timestamp Chương trình DEMO viết visual basic sử dụng thư viện mã hóa chuẩn windows kiểm thử windows Các bước thực sau: Hình 41: Khn dạng chương trình Demo VB 52 Hình 42: Kết lấy dấu thời gian Dấu thời gian server 6:24:37 PM vào ngày 6/11/2011 IV.2 Dùng Adobe Pro để kiểm tra dấu thời gian Trong phần sử dụng phần mềm adobe pro để ký lên tài liệu dạng pdf sau dùng máy chủ timestamp http://tsa.hvktmm.vn để ký time-stamp lên tài liệu 53 B1: Tạo chứng thư số cho người dùng để dùng làm ký lên nhứng giấy tờ văn người Phải vào trang pub subca1.hvktmm.vn để đăng ký chứng thư số cho Hình 43: yêu cầu chứng thư số cho người dùng Hình 44: Thiết lập thơng tin cần thiết 54 Hình 45: Lấy chứng thư số người dùng máy client để mã ký chứng thư Hình 46: Tải chứng thư số Tiếp theo vào mục quản lý mmc windows thực add chứng vào máy 55 Hình 47: Thêm chứng thư vào mmc Hình 48: Thêm chứng thư vào kho người dùng 56 Mở Adobe Pro chọn file->properties->tabs securitys mục security method chọn chứng thư số security Hình 49: Chọn chế độ cho Adobe Pro Chọn chứng thư người dùng Hình 50: Chọn chứng thư để ký tạo tài liệu 57 Chọn máy chủ cung cấp dấu thời gian để ký dấu thời gian lên liệu Hình 51: Thiết lập chế độ bảo mật Chọn điền thông tin máy chủ cung cấp dấu thời gian Hình 52: cấu hình máy chủ cấp dấu thời gian Sau chọn with visible signature ta có kết sau: 58 Hình 53: ký thành cơng với dấu thời gian 59 Hình 54: Thơng tin chữ ký 60 Hình 55: Trạng thái chữ ký Tại thời điểm ký máy cục 06:21:25+07’00’ ngày 12/06/2011 Thời gian khơng sử dụng làm thời gian ký nên Not Available 61 Hình 56: Thơng tin người ký Thông tin người cấp timestamp cho chữ ký tsa.hvktmm.vn 62 Hình 57: Ngày tháng ký Ngày ký vào 06:21:25 +07’00’ vào ngày 12/06/2011 thời gian máy chủ timestamp cấp 63 KẾT LUẬN Qua thời gian nỗ lực nghiên cứu tìm hiểu, em hoàn thành đồ án thời gian quy định Đồ án đạt mục tiêu đề ra: Nghiên cứu chi tiết phần lý thuyết an ninh mạng, trung tâm chứng chứng thư số Nghiên cứu chi tiết PKI nguyên tắc hoạt động nó, qua xây dựng hệ thống PKI dựa OpenCA Nghiên cứu chi tiết hệ thống cấp dấu thời gian nguyên tắc hoạt động nó, qua xây dựng hệ thống cấp dấu thời gian hoạt động dựa hệ thống PKI xây dựng trước Triển khai thhử nghiệm hệ thống thực tế Đồ án xây dựng sát với mơ hình thực tế hệ thống PKI hoàn chỉnh với đầy đủ thành phần hoạt động tốt, tính ứng dụng cao Do đó, tương lai đề tài phát triển tiếp để đạt mức hoàn chỉnh cao xây dựng hệ thống PKI lớn đáp ứng nhu cầu thực tế Tuy nhiên, Hệ thống PKI với hỗ trợ hệ thống cấp dấu thời gian hệ thống lớn, phức tạp trình xây dựng khơng thể tránh khỏi thiếu sót Mong đóng góp ý kiến thầy bạn để đồ án hồn thiện Một lần em xin chân thành cảm ơn thầy giáo Lê Quang Tùng giúp đỡ nhiều trình làm đồ án Cảm ơn thầy cô bạn bè giúp đỡ em nhiều để hoàn thiện đồ án này! Xin chân thành cảm ơn! 64 65 TÀI LIỆU THAM KHẢO Tài liệu RFC 3161 time-stamp Cryptography: Theory and Practice –D.Stinson Giáo trình chứng thực điện tử - Trường HVKT Mật Mã Tài liệu trang Openca.org Tài liệu trang OpenTSA.org Understanding PKIConcepts, Standards, and Deploy ment Considerations, Second Edition Advances in cryptology nhóm tác giả: Springer-Verlag Berlin and Heidelberg GmbH Number theory and Cryptography trường đại học Cambridge http://www.e-timestamping.com