Đang tải... (xem toàn văn)
Nội dung của bài giảng trình bày về dịch vụ xác thực X.509, giao thức bảo mật Web SSL, bảo mật email PGP, nhận chứng thực CA, thu hồi chứng thực, các thủ tục xác thực của X.509, các mở rộng xác thực và giao thức bảo mật, khuôn dạng bản ghi, an ninh email, đóng gói email, gửi và nhận email.
Trình bày: Ths Lương Trần Hy Hiến http://hienlth.info/hutech/baomatthongtin Dịch vụ xác thực X.509 Giao thức bảo mật Web SSL Bảo mật email PGP Nằm loạt khuyến nghị X.500 ITU-T nhằm chuẩn hóa dịch vụ thư mục Servers phân tán lưu giữ CSDL thông tin người dùng Định cấu cho dịch vụ xác thực Danh bạ chứa chứng thực khóa cơng khai Mỗi chứng thực bao gồm khóa cơng khai người dùng ký bên chuyên trách chứng thực đáng tin Định giao thức xác thực Sử dụng mật mã khóa cơng khai chữ ký số Khơng chuẩn hóa giải thuật RSA khuyến nghị Cứ có khóa cơng khai CA (cơ quan chứng thực) xác minh chứng thực Chỉ CA thay đổi chứng thực Chứng thực đặt thư mục cơng khai Cấu trúc phân cấp CA Người dùng chứng thực CA đăng ký Mỗi CA có hai loại chứng thực ▪ Chứng thực thuận: Chứng thực CA CA cấp ▪ Chứng thực nghịch: Chứng thực CA cấp CA Cấu trúc phân cấp CA cho phép người dùng xác minh chứng thực CA Khơng thể có trung tâm chứng thực CA mà có nhiều trung tâm chứng thực Mỗi người sử dụng khác đăng ký chứng thực CA khác Để trao đổi liệu, người cần phải tin tưởng vào khóa cơng khai tất trung tâm chứng thực Mỗi chứng thực có thời hạn hợp lệ Có thể cần thu hồi chứng thực trước hết hạn Khóa riêng người dùng bị tiết lộ Người dùng khơng CA chứng thực Chứng thực CA bị xâm phạm Mỗi CA phải trì danh sách chứng thực bị thu hồi (CRL) Khi nhận chứng thực, người dùng phải kiểm tra xem có CRL không Xác thực chiều Xác thực chiều Xác thực chiều 46 Cần sử dụng khóa phiên cho thơng báo Độ dài 56 bit với DES, 128 bit với CAST-128 IDEA, 168 bit với 3DES Cách thức sinh khóa phiên cho CAST-128 Sử dụng CAST-128 theo phương thức CBC Từ khóa 128 bit khối nguyên 64 bit sinh khối mã 64 bit tạo thành khóa phiên 128 bit Hai khối nguyên đầu vào sinh ngẫu nhiên dựa vào chuỗi phím gõ từ người dùng Khóa đầu vào sinh từ khối nguyên đầu vào khóa phiên đầu trước 47 Người dùng có nhiều cặp khóa cơng khai/khóa riêng Nhu cầu thay đổi cặp khóa thời Giao tiếp với nhiều nhóm đối tác khác Hạn chế lượng thông tin mã hóa với khóa để nâng cao độ an tồn Cần khóa cơng khai sử dụng để mã hóa khóa phiên Cần chữ ký bên gửi tương ứng với khóa cơng khai 48 Để mã công khai sử dụng truyền khóa cơng khai với thông báo Không hiệu ▪ Khóa cơng khai RSA dài hàng trăm chữ số thập phân Định danh gắn với khóa công khai 64 bit trọng số nhỏ ID KUa = KUa mod 264 Xác suất cao khóa cơng khai có định danh 49 50 Mỗi người dùng PGP có hai vòng khóa Vòng khóa riêng chứa cặp khóa cơng khai/khóa riêng người dùng thời ▪ Có thể mục định danh khóa cơng khai (Key ID) định danh người dùng (User ID) ▪ Khóa riêng mã hóa sử dụng khóa giá trị băm mật nhập trực tiếp từ người dùng Vòng khóa cơng khai chứa khóa cơng khai người dùng quen biết với người dùng thời ▪ Có thể mục định danh khóa cơng khai định danh người dùng 51 52 53 54 Thay dựa CA (cơ quan chứng thực), PGP người dùng CA Có thể ký cho người dùng quen biết trực tiếp Tạo nên mạng lưới tin cậy Tin khóa thân ký Có thể tin khóa người dùng khác ký có chuỗi chữ ký tới chúng Mỗi khóa có số tin cậy Các người dùng thu hồi khóa họ 55 Với khóa cơng khai người dùng ấn định độ tin cậy vào chủ nhân trường Owner trust Giá trị ultimate trust tự động gán khóa cơng khai có vòng khóa riêng Giá trị người dùng gán unknown, untrusted, marginally trusted, hay completely trusted Giá trị trường Signature trust chép từ trường Owner trust tương ứng Nếu khơng có gán giá trị unknown user 56 Xác định giá trị trường Key legitimacy Nếu khóa cơng khai có chữ ký với giá trị Signature trust ultimate Key legitimacy ultimate Nếu không, Key legitimacy tính tổng có trọng số giá trị Signature trust ▪ ▪ ▪ ▪ Các chữ ký completely trusted có trọng số 1/X Các chữ ký marginally trusted có trọng số 1/Y X Y tham số người dùng xác định Nếu tổng số đạt vượt ngưỡng Key legitimacy gán giá trị complete 57 58 Lý thu hồi khóa cơng khai Địch thủ biết ngun khóa riêng Địch thủ biết mã khóa riêng mật Tránh sử dụng khóa thời gian dài Quy trình thu hồi khóa công khai Chủ sở hữu phát hành chứng thực thu hồi khóa ▪ Cùng khn dạng chứng thực bình thường bao gồm dấu thu hồi khóa cơng khai ▪ Chứng thực ký với khóa riêng tương ứng khóa cơng khai cần thu hồi Mau chóng phát tán chứng thực cách rộng rãi để đối tác kịp thời cập nhật vòng khóa cơng khai 59 60 ... vụ xác thực X.509 Giao thức bảo mật Web SSL Bảo mật email PGP Nằm loạt khuyến nghị X.500 ITU-T nhằm chuẩn hóa dịch vụ thư mục Servers phân tán lưu giữ CSDL thông tin người dùng Định cấu cho... nhận bị HỦY vào 25/3/2009 3:10:22 Cần chứng thực giao dịch giấy chứng nhận Tại cần bảo mật Web? ?? Web sử dụng rộng rãi công ty, tổ chức, cá nhân Các vấn đề đặc trưng an ninh Web Web dễ bị... phó với hiểm họa an ninh 20 Tại cần bảo mật Web? ?? Các hiểm họa an ninh Web Tính tồn vẹn Tính bảo mật Từ chối dịch vụ Xác thực Các biện pháp an ninh Web 21 Giao thức SSL (Secure Socket