LOLCAM ON Sau ba thang né Ive thye hign, dé an “ Nghién ettu xy dumg hé théng PKI da trén bé phin mém ma nguén mé OpenCA” da phin nao hodn than. Ngoai sy cd gang hét minh cita ban than, em da nhan duge su khich Ié rat nhiéu tir phia nha truong, thiy ¢6, gia dinh, ban bé Em xin giti Idi cam on chan thanh va su sic nhit t6i Ths Hoang Dire Tho, ngudi thay da cho em nhimg dinh huéng va nhing y kién rat quy bau vé PKI va OpenCA Em ciing xin t long biét on sau ic toi thay c6 trong khoa va ban bé cing (St nhiing nam hoe tai Hoe Vign Ky Thugt khoa da gitp do em tién b6 trong Mat Ma. ‘Xin cdm on gia dinh va nhitng ngwoi than yéu da lun d6ng vién, khuyén khich gitip 46 con trong mgi hoan canh khé khan: Xin cdm on ban be da va dang dong vién, gitip d6 t6i trong qué trinh hoe tap va hoan thanh dé an t6t nghigp nay 6 An tt nghigp ciia em duge hoan thanh trong mot thi gian eting tong d6i ngin. Vi vay dé an nay chic chin sé con nhiéu khiém khuyét. Em xin cam ‘on nhiing thay c6, ban bé va ngubi than sé c6 nhitng gop ¥ chan thinh cho ndi |, di sau nghién ctu va ap dung cia dO an nay, dé em c6 thé tiép tye tim hic dung trong thye tin Ngo Thu HingMYC LYC MC LUC, 2 DANH MUC CAC TU VIET TAT. 5 DANH MUC HINH VE... Pid sommes 8 LOI NOI DAU. 8 CHUONG I: CG SO MAT MA HOC. 1.1.Mat ma khos bi mat... 1.1-1.Gidi thigu vé mat ma khoa bi mat va ede khai nigm e6 lién quan. ul 1.1.2.M6t vai cdc thual ton sit dung trong mat ma khoa doi xing TTDI DES oe 1.1.2.2.IDEA. 3. Triple DES. 1.2.Mét ma khod eéng Khai 1.2.1.Khai nigm 1.2.2, Cée thud toan sir dung trong mt ma khod e®ng khai 1.2.21. RSA 1.2.2.2 Phuong thite rao doi bid Diffie Hellman 13. CHEKY $8 so 1.3.1.Qué wink ky. 1.3.2.Qué tinh kiém tra chir ky 80 14. Him hash 14.1.Khai nigm ham hash... 1.42, Tom luge hong bio CHUONG II: TONG QUAN VE PKI VACA 2.1. Lich sr phat trién PKI. 2.2.Tinh hinh PKI tai Vigt Nam 23. Cac dink nghia vé PKI va cde hi nigm €6 liga quan23.1, Cie dinh nghia v8 PKL 21 2.3.2. Cée khai nigm lign quan trong PKI 2 2.3.2.1 Ching chi 2 2.3.2.2. Kho ching chi 24 23.2.3.Hity bo chitag chi nen el ae tod 2.3.24. Sao lho vi de ping Kida 25 2.5.Cép nit Khoa te ding. 23.26 Lich se Khoa. 23.27.Chimg tac ch 23.28.11 mr ching chdi i 2329.Tem toi ian. 2°3.2.10.Phin mem phia Clem 2.4, Muc tig, chire nang. 24.1. Xée the 24,11.Dinh da thee 6. 2.4.1.1.1.Xée thye cue b6. 24.1.1.2.Xée thy tirxa 2.4.1.2. Dinh danh nguén ge dit lignes noe sone 29 2.4.2. Bi mat 2.4.3.Toin ven dir ligu 2.4.3.1.Chithy sd - oe 2.4.3.2. Ma xde duc thing bao 30 24.4.Ching chdi b.. seononnnnnnnanninnnnnn 30 2.5. Céie khia canb an toin eo ban ma PKI cung edip 31 2.5.1. Dang hap an toan.. : ce a col 2'5.2. Dang nip mt lin an tan. ce : cab 25:3. Trong suot v6i ngui ding cui 32 2.54, An ninh toin dign.... 33 HUONG III: CAC THANH PHAN, CO CHE LAM VIEC CUA PKI CAC MO HiNH VA CAC KIBU KIEN TRUC CUA PKI. 33 3.1, Mo hinh PKI va eée think phan cia PKI... oe 33 BALLCA 34 BIQRA... oe en no 31.2.1 Chive nang, nh v4 eta RA. 34 3.1.2.2.Thanh plan cia RA 35 3.1.2.2.1,RA Console... oH : cot 3.1.2.2.2.RA Officer. : ee 35 3.1.2.2.3.RA Manager 35 3.1.3. Certificate-Enabled Client: Bén duge cp phat chting chi.......enenenn 36 3.1.4. Data Recipient: Bén nhan dt liga 36 3.15. Kho na trvthu hai chimg chi 36 3.1.6.Chudi chimg chi hoat dong nhu thé nao 3.2. Céich thie lim vige ciia PKI 3.2.1. Khéi go thyge the 3.2.2. Tao cép khoé cng khaikinoa risng, 3.23. Ap dung chy sb bah danh ng 3.24, Ma ha thong bi 3.2.5. Truyén khda déi ximg 3.2.6, Kiém (ra danh tinh ngudi gui thong qua mot CA... seieeeeere 3.2.7, Giti ma thong bio va kiém tra ngi dung thong bao, 40 33.3. Ce tin trinh trong PKI 41 3.3.1. Yeu edu chimng ci 41 4.3.1. Git yéu oa. Al 4.3.1.2. Cie chinh sich 41 3.3.2, Huy b9 chitng chiro Rae tetera! 3.4, Cie mé hinh PKI 2 3.4.1, M6 hinh phan cap CA chit che (strict hierarchy Of CAS) orscsnsnnnsnsncncn AZ 3.4.4. M6 hinh 4 bén (four-corner mode!) 3.4.5. M6 hinh Web (web model). — 3.4.6Mé hinh tin ciy Hy ngudi ding lam trang tim (user-centric trust. 47 3.5.2Kign tne kiéu CA don (Single CA)... 3.53. Kin tric CA phan cép 3.54. Kign tric kigu chimg thye chéo (Cross-certificate) 3.5.5. Kim nie Bridge CA(BCA)..... CHRUONG TV: XAY DUNG MO HINITPKI DUA 7 TREN MA NGUON MOOPENCA $4 4.1. Lich sir phat trién OpenCA 34 42.CA., nnn sn 35 4.2.1,Chite nang ciia CA 55 4.2.11. Cap phait ching Ct... vo sonnnnninennnnnnnnnsn 3S 4.2.1.2. Huy bo chig chi 56 4.2.1.3.Tao lap chink séich ching chi 36 142.14 Hiring dn tec hin ching chi sb (Centfiation Practice Statement)... ST 42.2Nhigm vu cia CA 4.2.3, Cf I0gi CA 42.3.1 Enterprise CA 42.3.2 Standalone CA 4.24.Cie cp CA... 4.2.4.1 Root CA(CA goe) 42.4.2 Subordinate CA(CA phu thude) 4.3. Thit chang cia CA 43.1 Phan cip eg ban 43.2.Cée giao dign 43.2I.Node sn 4322C4 AB2BRA ce 43.24. LDAP. AB2S.Pub oor 4.4. Vong dai cua eae d 4'5. Cée luu 9 Khi thict 4.5.1, Che vin a pl 45.1LThai gion, ASI2DI0 Whose 43.1.3. Theo doi phn cing. 45.2.Antoan vit ly 453.Cae van dé ve mang... 45.4.Vin d8 v8 ching oi.4.8.5.CDPs (Cae diém phan phdi danh sich huy bo chimg chi (CDP)). 45.6.Cée vin d& cu the ve img dung, 4.5.6.1 Mail Server 4.5.6.2. Client Netscape 4.5.6,3.0penLDAP... PHU LUC 1.M@i trung phat trig... 1.L.Apache 1.2. OpenSSL. 1.2.1.Cang eu dong énh trong openssl 1.2.1.1,Cée dong Ignh chuan 1.2.1.2.Cée dng lénh t6m luge thong bao. 1.2.1.3, Cf dong Ignh vé ma hod... 1.2.2.The sign SSL/TLS tong Opens. 1.2.2.1 Migu ta... - 1222. Ci nie dirtigu 1.2.2.3, Céc file header. 1.2.3. Thu vign mat mi trong OpenSSL 12.3.1, Migu ta 1.2.3.2.Téng quan sone. 1.2.4, BO cng cu OpenSSL. 1.3.1.Cée diém néi bat 1.3.2.Kién trie a6i mod ssl... 1.3.3.Gino thite SSL. 1.4. OpenLDAP. 1.5, Cée module per] 2.Céie chun mat ma DANH MUC CAC TU VIET TAT. AES Advanced Encryption Standard Tigu chuan ma héa tién tién APL Application Programming Interface Giao dign lap trinh img dung APXS Apache Extention (tool) Cong eu mé rong Apache cA Certificate Authority Tham quyén ching the cpp: CRL Distribution PointRL RR cps CSR DES DN Dso Email FIP HTTP HTTPS: IDEA IKE: IMAP ITU: Lpap: Diém phan phéi CRL Certificate Revocation List Danh sach huy bo chitng chi Certificate Revocation Request Yéu cau huy bo ching chi Certification Pratice Statement Huéng dan thye hanh chitng chi Certificate Signing Request Yeu cau ky chimg chi Data Eneryption Standard Tigu chuan Ma hoa Dit Distingished Name Tén phan bigt Dynamic Shared Object Déi tugng chia sé dong Electronice mail Thur dign tir File Transfer Protocol Giao thie truyén tip tin Hypertext Transfer Protocol Giao thite truyén siéu van ban Secure Hypertext Transfer Protocol Giao thie truyén siéu van ban an toan Intemational Data Encryption Algorithm- Thuét toan ma hod dit ligu quéc té Internet Key Exchange Trao d6i khod Internet Internet Message Access Protocol Giao thie truy ep thong béo Internet Intemet Telecommunication Union Lign minh vién théng quéc té Lightweight Directory Access ProtocolMAC MD: NCSA ocsP OSI PEM: PGP: PKCS: PKL Pop: RSA: SCEP. SHA: S/MIME SMTP SPKC SSH ‘TCP/IP TLS Giao thitc truy ep nhanh cdc thr mye Message Authentication Code Ma xée thye thong bao Message Degist ‘Tom huge thing bao Online Certificate Status Protocol Giao thite trang thai chimg chi Open System Interconnection M6 hinh két néi cdc hé théng mo Privaey Enhanced Mail ‘Thu riéng tu tang cudng Pretty Good Privacy Public Key CryptoGraphy Standards Ch mat ma khod céng khai Pulic Key Infrastructure Co sé ha ting khéa céng khai Post Office Protocol Rivest Shamir Adleman Simple Certificate Enrollment Protocol Giao thie dang ky chimg chi don gian Secure Hash Algorithm Thuat toan bam Secure Multipurpose Internet Mail Extensions Simple Mail Transfer Protocol Giao thite truyén thur don gian Simple Public Key Certificate Ching chi khod cong khai don gin Secure Shell Transmission Control Protocol /Internet Protocol Giao thire digu khién truyén théng/giao thite Internet Transport layer Security 7Giao thite dim bao an toan Iép van chuyén DANH MYC HiNH VE ink 1: Mr ma kd bi ma. Hin 2: Mat ma Bod ed Ka Hinks 3: Qué tinh I $6. : Hin 4: Qué erin Rig ta city 96 Hh $:Mé hinh PRE Vigt Nam hién nay Hinh 6: Khwén dang ching chi X.509v3 Hinh 7: Tin rink dng nhp an tin Hinh 8: Tién trinh ding nhép an todn mét lin Hlnh 9: M3 inh cde tinh phn PRI Hinh 10: Chudi ching chi Hin 11> Ma hinh phan ep CA chat che Hinks 12: Mé hinh kign trite tin cay phn tn. inh 13° MB hinh Bon Bn. Hink 14: Mé hinh Web Fin 13 hin nc tag cil i tin inh 16: Chuditn Hinh 17: Kidn trie ku Web of Trust 50 Hinks 18: Kien trie CA dom 51 inh 19: Kicn tie CA phn cap 32 Hink 20: Kign tric Kieu ching thee chico, 3 Hin 21> Kien trie Bridge CA ss 34 Hinh 22: Sa min hoa ro0tCa ss SubCA 239 LOI NOI DAU Trong mét vai nam Ii day, ha ting truyén thong céng nghé thong tin cing ngay cing duge mé rong khi ma ngwdi sir dung da trén nén ting nay dé truyén thong va giao dich voi cde ding nghigp, cde d6i téc kinh doanh cing nhur vige khdch hang ding email trén eée mang cng eng. Hau hét cée thong tin kinh doanh nhay cém va quan trong durge hru trir va trao di duéi hinh ic hogt dong truyén thong doanh nghigp nay dong nghia véi vige chiing ta phai c6 bign phip bao vé 16 chire, doanh nghigp clia minh trude cde nguy co lita dao, can thigp, tin cdng, phd hoai hove vo tinh tiét 16 cde thong tin 46, thite dign tit, Sy thay d6i trongCu tric co sé ha tang ma héa khoa céng khai cing cdc tiéu chuan va cic cong nghé ting dung ctia né e6 thé duge coi 1a mét gidi php ting hgp va doe lap c6 thé durge sir dung dé giai quyét van dé nay. PKI dang tro thanh mét phan trung tm ciia cde kién trie an toan danh cho cae 16 chite kinh doanh, PKI duge xem fa mét diém trong tam trong nhiéu Khia canh quan ly an toan, Hau hét cdc giao thire chuan dam bao an ton mail, truy cip Web, mang riéng ao va hé thong xae thye ngudi ding ding nhp don du sit dung chimng chi khéa cOng khai PKI ban chat 14 mot hé théng céng nghé vita mang tinh tigu chudn, vira mang tinh img dung duge sir dung dé khoi to, lau trit va quan ly ede chimg thye dign tir cing nhwr cde ma khod cong Khai vi cd nhan, Séng kién PKI ra oi nam 1995, khi ma céc t6 chite cng nghiép va cde chinh phit xay dug céc tiéu chuan chung dya trén phuong phap ma hod dé hd tra mét ha ting bio mat trén mang Internet. Tai thoi diém d6, myc tiéu durge dat ra la xAy dng mot bo t tng hop cing cde céng cy va ly thuyét cho phép ngudi sit dung eting nhur céc 16 chite (doanh nghiép hode phi Igi nhuan) e6 thé tao lp, tigu chuin bao luru trit va trao di cae théng tin mét cach an toan trong pham vi c4 nhin va céng cong. PKI ngay cang thé hign 16 vai tra ct inh trong Tinh vite an toan théng tin. Hign nay, &6 dung PKI. Mét trong nhiing cach thire xdy dung PKI 6 la dura trén ma nguén mé OpenCA, nhigu cach thite x: ‘Dé tdi “Nghién ciru x’y dung hé théng PKI dua trén ma nguén mo OpenCA” duge thye hign véi mye dich tim hiéu, nghign ettu va xay dyg PKI dya trén ma nguén mé OpenCA. Noi dung dé tai bao gdm céc khdi nim tong quan vé mat ma, c4c khai nigm lién quan t6i PKI, cic m6 hinh va cic kiéu kién tric cia PKL. Vé phan OpenCA, dé tai néu lén duge dac diém, chite nang cua cée phiin mém ma mé dé xy dyng nén OpenCA nh Apache, OpenSSL, mod _ssl , perl va cdc module perl Voi gidi han vé cdc van dé tim hiéu va nghién citu, noi dung tim hiéu a8 tai cia em bao gm phan Chuong I: Co sé mat ma khod cdng khai va khod bi mat,Chuong I trinh bay vé mat ma Khoa bi mat vi mat ma khod c6ng khai cing cdc thudt toan duge sir dung trong mat ma. Chuong I ciing néu ra khdi nigm vé chit ky s6, ham bam va ban tém luge thong bio ‘Chuong II: Téng quan vé PKI Chuong nay trinh bay vé cae khai nigm ctia PKI va cée khai nigm 6 lién quan téi PKI. Chong nay néu én muc tiéu, chire nang co ban cia PKI, nhimg khia canh an toan ma PKI cung cp. Myc dich cua chuong nay 1a thé hign c4i nhin téng quan nhat vé PKI Chwrong III: Céc thanh phan va céch thie im vige eta PKI, cde mé hinh kién trie ciia PKI. Chuong I da néu len nhting edi nbin tong quan nat ve PKI, con chuong III khai thac sau hon vé cac khia canh ky thugt duge va ci ki sit dung trong PKI, cach thirc lam viée cua PKI va cdc kiéu kién tric, cdc mo hinh cia PKI Chuong IV: Xay dung mé hinh PKI dua trén ma nguén mé OpenCA CChurong nay trinh bay chi tiét vé CA: Bao gm chite nang, nhigm vy, cée loai CA. Chong nay trinh bay th dya trén nguén mo OpenCA chung CA va lira y khi xéy dug PKI CHUONG I: CO SO MAT MA HOC Mat ma da duge sir dung tir rit lau di. Céc hinh thire mat ma sor khai da duge tim thay tir khodng bén nghin nm truée trong nén van minh Ai Cap cd dai, Mat ma da va dang tn tgi hang nghin nam lich str va hign van dang duge sir dung rat rong rai dé gitt bi mét trong truyén tin dc bigt trong cde linh vite h tri, an ninh va quée phong. Mat ma vé co ban duge chia thank hai loai chinh 1a mat ma khéa bi mat (hay con goi Li mat ma déi ximg) va mat quan su, ‘ma khéa céng khai (hay cdn goi li mgt ma phi déi ximng). é c6 thé truyén tin str dung mt ma thi hai bén truyén tin phai e6 khéa‘MOt khéa ma héa 1a m6t mau théng tin dac bigt duge két hop voi mot thud cde van ban ma héa khée nhau, va néu ta khong chon ding khéa thi khong thé todn dé thi hanh ma hoa va gidi ma. Mdi khéa khée nhau cé thé tao ra no mé duge dir ligu d ma héa , cho dit biét duge ma héa van ban ding thuat todn gi. Sir dung kh6a cing phite tap, ma héa cdng manh, Vige chuyén di tir ban tin ban dau thanh ban tin ma hod duge goi la sw ma hod, su chuyén d6i nguge lai tir ban tin ma hoa thanh ban tin ban dau duge oi la gidi ma. Ban tin ban dau duge goi la ban 10, ban tin ban diu duge ma hod thanh ban ma, Toan b6 co ché bi mat dé duge goi la mat ma. xiimg cae bén tham gia lién lac sir dung cing mot khéa 8 ma héa va gidi ma. Trrée khi truyén tin, hai thye thé A va B cing thoa thugn voi nhau m6t khéa ding chung (K). Thyc thé A ding khoa do dé ma hhéa ban tin (eq) sau d6 giti cho thye thé B. Thye thé B ding kha K, thye hign phép giai ma (dx) dé giai ma ma nhan duge Khéa bi mat phai duge dit bi mat 1.1.2.M6t vi cée thudt todn sir dung trong mét ma khoa déi ximg 1.1.2.1.DES Hé mat DES duge xay dung tai MY trong nhiing nim 70 theo yéu cdu cla ‘Van phong Quée Gia vé chuan va duge sy thim dinh eiia an ninh quéc gia, DES két hgp ca hai phuong phap thay thé va chuyén dich DES la mt mat ma khéi. D6 dai cua mdi khdi 1a 64 bit Khod ding trong DES c6 d6 dai téng thé 18 64 bit, tuy nhién chi e6 56 bit thye sy duge ding, 8 bit cdn lai ding cho vige kiém tra Day da timg la thuat ton mat ma duge sit dung rong rai nhat . 1.1.221DEA IDEA Ii mét thust toan ma hod khéi IDEA tao thae trén timg khéi 64 bit, ma khéi 64bit plaintext thanh khdi 64bit ciphertextD6 dai khoa khod ding trong thudt toan IDEA Li 128 bit, 1.1.23. Triple DES 3DES (Triple DES), la thuat toan ma héa khdi trong 46. khdi théng tin 64 bit sé duge Kin Iugt ma héa 3 Lin bang thugt toan ma hoa DES voi 3 khod Kha nhau, Do a6, chiéu dai khéa mé véi DES do 3DES ding 3 khéa khéc nhau dé ma héa dit Higu. BO xir Ly thye hign céc burée sau : Khoa diu tién ding dé ma héa dit ligu. Sau d6, khéa thir hai sé ding 48 giai ma dit ligu vira duge ma héa. Cudi cing, khéa thir ba sé ma héa lan thir hai. Toan b6 qua trinh xir ly ciia 3DES tao thinh m6t thudt giai c6 d@ an toan J6n hon va d@ an ton s® cao hon so cao, Nhung béi vi day 18 mt thudt giai phi tap nén théi gian thye hign sé lau hon, gap 3 Lin so véi phuong phap DES. 1.1.2.4.CAST-128 La mot thuat toan mat ma durge dat ‘Adams va Stafford Tavares Chiéu dai khod 1A 128 bit ngudi phat trién lé Carlisle 1.1.2.5.4ES AES 14 mét thudt ton ma hoa khdi AES lim vige voi khéi dit ligu 128 bit va khéa 06 d6 dai 128, 192 hoae 256 bitSENDER RECIPIENT nano, =a SI emcc “a ae y a yg eee =e == Hinh I: M@t ma khod bi mat 1.2.M§t ma khod cng khai 1.2.1.Khai nigm Mat ma khéa cOng khai la mt dang mat ma cho phép ngudi Gi cée thing tin mat ma khong cn phai trac ddi cée khéa bi mat trade dé. ‘Trong mat ma khéa cong Khai sir dung mot cJp khéa 1a khéa cong khai/khéa ig diing dé gidi ma dung tra rigng, Khéa dng khai ding dé ma hoa cdn khéa Diéu quan trong déi véi hé théng la khong thé tim ra khéa bi mat néu chi biét khéa cong khaiPublic Key Encryption 2 2 "? key private key i = =| a ocel ae = fatered = Piaintext Praintext Hinh 2: Mat ma khod cong khai 1 2. Céc thuat toan sit dung trong mat ma khoa céng Khai 1.2.2.1. RSA Thuat toan RSA duge Ron Rivest, Adi Shamir va Len Adleman mé ta lin dau tién vio ndim 1977 tai Hoe vign Cong nghé Massachusetts (MIT). RSA 1a mot thugt toan_ma ha khéa c6ng kha. ‘Thuat todn dau tién phd hgp véi viée tgo ra chit ky dign ti déng thoi voi vige ma ha, No danh dau mot sy tién b6 vugt bic cita fink vue mgt ma trong iéc sir dung khoa cong khai. RSA dang duge sir dung pho bién trong thuong mai dign tt va durge cho 1 dam bao an toin v6i didu kién d6 dai khéa du lon, DG an tolin cua hé thong RSA dya trén 2 vi phan tich ra thira sé nguyén t6 cae s6 nguyén lon va bai toan RSA 8 cia todin hoc: bai ton RSA cé téc d6 thye hign cham hon dang ké so voi DES va cac thuat toan ma héa déi xing khdc. Trén thye 12, ngudi ta sir dung mot thuat tosn ma hoa d6i ximg nao d6 dé ma héa van ban cin giti va chi sir dung RSA dé ma hoa so voi van ban). khéa dé giai ma (thong thuéng khéa ngin hon ni1.2.2.2.Phirong thie trao déi khod Diffie Hellman Phuong thite nay durge phat minh boi Whitfield Diffie va Matty Hellman 6 Stand ford, Day la so dé khod céng khai dau tién. Tuy nhién, d6 khéng phai 1 mot so 46 ma hoa khoa céng khai thye su, ma chi ding cho trao déi khéa. Cée khod bi mat duge trao déi bang cach str dung céc tram trung gian ring tin cay. Phuong phap nay cho phép cdc khod bi mat duge truyén an toan thong qua cde moi trudng khong bao mat. Trao déi khod Diffie-Hemall dya trén tinh higu qua cia bai todn logarit roi modulo etia mot s6 nguyén 16 1 kh kho 1.3. Chit ky sé ‘MOt trong nhiing tng dung cia mat ma khéa cng khai li chit ky sé. Chit ky 86 li m6t phan dit ligu durge dinh kem véi ban tin, ding dé nhan dang va xéc the ngudi giti va dit Higu cua ban tin, sir dung ma hod khod cong khai, Nguoi giti sir dung ham hash mot chiéu dé tao ra mét ban ma hash c6 dd dai 32 bit tir dir ligu cia ban tin. Sau dé d6(hash-code) bing khod rigng cia nguéi gir. Nguoi nhdn sé tinh toan Igi ma hash d6 tir dir ligu d6 va giai ma ban ma hash d6 bang khod cong Khai cua , ngueri gil sé ma hod ban ma hash ngwoi giri. Néu hai ma hash d6 giéng nhau, thi ngudi nhan ¢6 thé chdc chin ring di ligu dé khong bj sira di va dir ligu d6 ding 1 cia ngudi 1.3.1.Qué trinh ky ‘au tién, théng bdo duge tinh toan bai ham bam mot chiéu , ham nay se tinh toan théng béo va tra vé mét ban tém luge théng bdo (message digest), ham bam mét chiéu dim bao ring bin tm luge thong béo nay la duy nhdt va bat ky mot stta doi dt nho nhat trén thong bao cling sé gay ra thay doi cho ban t6m tit nay, Sau d6 ngudi gi st ding khod riéng cla minh ma hod ban tm tit nay, NOi ding sau khi duge ma hod chinh la chi ky s6 (digital signature) cia théng bio d6 durge ky bi nguisi giti. Chir ky s6 nay s€ durge giti téi cho ngudi nhin kém véi thong bioCee es pec Hinh 3: Qué trinh ky sé 1.3.2.Qua trinh kiém tra chit ky sé Khi nguéi nhan nhan duge théng bao, dé kiém tra tinh hop Ié ciia nd, dau tién nguéi nhin s? ding khod cong khai cha ngudi gui dé giai ma chit ky sé. Két qua cita qué trinh giai ma chit ky sé 1a ban tom luge thong bao ctia ngudi gui tgo ra, Sau dé, ngudi nhan ding him bam mét chiéu dé tinh toan ban tom tat qua ndi dung cua théng bao mét lan nita roi lay két qua dem so sénh voi ban tém luge théng bao vira duoc giai ma 6 trén, néu két qua giéng nhau thi qué trinh kiém tra thanh céng. Ngwoc lai c6 thé két Iudn day la mét thong bio a bj gid mao hoje thong tin da bj thay di trén qua trinh gir di. 16Verifying a digital signature oc Crenee it ce) fc eal rn Wun Cray omen Poa siL cs cd Hinh 4: Qud trinh kiém tra chit ky sé 1.4, Ham hash 1.4.1.Khdi niém ham hash Ham hash (hash function) la ham mot chiéu ma khi ta dra mgt khdi dit igu co dG dai bat ky qua ham nay thi sé tao ra mGt chudi bit co do dai c6 dinh 6 dau ra. Két qua 6 dau ra goi [a ban tém luge théng bao (message digest) Hash c6 thé dam bao tinh toan vgn va xe thye ‘Thuat ton hash khéng thé duge dich nguge trv lai dit ligu ban dau vi vay duge goi a thuat toan ma hod mot chigu 1.4.2. Tém luge théng bio Ban t6m huge thong bio duge coi Li mot “dau van tay” t6m luge thong béo durge tgo ra tir ham hash trén dd ligu eta ban tin, ‘Thuat toan tom luge théng bao c6 hai dac diém quan trong Dau vio nhu mhau thi lun ludn tao ra dau ra nh nhau nhung du vio hae nhau thi c6 thé khong bao gid tao ra dau ra nhw nhaw Khong thé xc dinh durge ban tin thgt su tir ban t6m luge thong bio Ban t6m luge thong béo duge sit dung dé dim bao ring div ligu ban tin khéng bj thay ddi trong suét qua trinh truyén ‘ia ban tin, Ban ”Ban tém luge théng béo duge ma hoa bing khod riéng cia ngudi giti dé tao nén chit ky (CHUONG II: TONG QUAN VE PKI VA CA +h sir phat trién PKI Diffie, Hellman, Rivest, Shamir, va Adleman céng bé céng trinh nghién ciru vé trao d6i khéa an ton va thudt todn mat ma hoa kha cong khai vao nim 1976 da lam thay déi hoin toin céch thite trao d6i théng tin mat Ciing v6i sy phat trién cua cdc hé théng truyén thong dién tir tc do cao (Intemet va cae hé théng trrdc n6), nhu cau vé trao déi théng tin bi mat tro nén cap thiét, Thém vio 46 mét yéu cau nifa phat sinh la vige xde dinh dinh Vi y tong ve 2 cdc ky thuat dang ‘ge gin dinh dang ngudi ding vai chimg thyc durge bio ve mat ma da duge phat trién mét céch manh mé. nhting ngudi tham gia vio qué trinh thong Nhiéu giao thite sit dung cde k¥ thuat mat ma méi da duge phat trién va phan tich. Ciing voi sy ra doi va pho bién cia World Wide Web, nhing nhu cdu vé théng tin an toan va xée thye ngudi sir dung cang te nén ep thiét, Chi tinh riéng cde nhu céu img dung cho thueng mai (nhur giao dich dign tir hay truy cap nhiing co sé dir ligu bang trinh duyét web) ciing da da hip din céc nha phat trién linh vue niy. Taher ElGamal va céc cOng sur tai Netscape da phat trién giao thite SSL trong dé bao gdm thiét lap khéa, xe thre may ht Sau d6, cdc thiét ché PKI duge tao ra dé phyc vu nhu cau truyén thong an toan, Cée nha doanh nghigp ky vong vio mot thi trudng ita hen moi da thanh lap nhimng céng ty hoac du an mdi vé PKI va bat dau van déng cac chinh phit dé hinh thanh nén khung phap ly vé linh ve nay. Mgt dy én ca American Bar Association da xudt ban m6t nghién citu téng quat vé nhing van dé phép ly c6 thé nay sinh khi vn hanh PKI .Khéng lau sau a6, mot vai tiéu bang ctia Hoa ky ma di ddu la Utah (nam 1995) da thong qua nhing dir uit va quy dinh dau tién ‘ée nhom bao vé quyén loi ngudi tiéu ding thi dat ra cde vin dé vé riéng tw va eae trich nhigm phap ly. bao vé qu;Tuy nhién, céc luat va quy dinh da duge théng qua lai khong théng nat trén thé gidi, Thém vao dé 1a nhiing kh khan vé ky thudt va van hanh khién cho vige thye hign PKI kho khan hon rat nhieu so véi ky vong ban dau, Tai thoi diém dau thé ky 21, ngudi ta nhan ra ring cc ky thugt mat ma ciing nhu cac quy trinh/giao thite rat khé duge thyre chuan hign tai chua dap ting duge cac yéu cau dé ra, ‘Thj trong PKI thyc sy da ton tai va phat trién nhung khéng phai véi quy mo da duge ky vong tir nhimg nam gitta cia thap ky 1990. PKI chwa gidi quyét duge mdt s6 van dé ma né duge ky vong. Nhing PKI thanh céng nhat ign chinh xée va céc tiéu {Gi nay 1a cée phién ban do cae chinh phir thye hign Toi nay, nhimg né lye hoan thign PKI van dang duge diu wr va thie day. ién thue hoa ¥ tuéng tuyét voi nay, cc tiéu chudn can ph nghién eiru phat trién 6 cée mite d6 khae nhau bao gdm: ma hod, tru duge thong /a lién két, xdc thyc, cap phép va quan ly. Tuy nhién, hau hét cde cong nghé hinh thanh tir ¥ twéng nay dA tré nén chin mudi va mot sé da bude vao giai doan "lio hod". Nhiéu chuan bao mét trén mang Internet, ching han Secure Sockets Layer/Transport Layer Security (SSL/TLS) va Virtual Private Network (VPN), chinh la két qua ciia sing kién PKI Qua trinh nghién ctu va phat trién PKI 1a mét qué trinh lau dai va cing véi nd, mic dé chap nhan cita ngubi ding cing ting 1én mot cdch kha cham chap. Ciing gidng nhu voi nhieu tiéu chun céng cong khic, ty 1é ngudi ding chap nhan sé tang Ién chi khi ede chudn dé tra nén hon thign, chimg minh duge kha nang thye sir cha n6, va kha nang img dyng va hign thyre hod ciia né la kha thi (ca vé khia anh chi phi lan thye hign), 2a inh hinh PKI tai Vigt Nam Trude nhu cdu sir dung PKI, & Vit nam, e6 mot s hoat dong cung cap dich vu chimg thy trong linh vue nay. Trong khu vue Nha nude Ban Co Yéu chinh phi da xy dyng va thir nghiém tai ha tang 16 chite da trién khai Trung Tam cia mot s6 BO, nganh & quy m6 nho , ding théi sir dung trong mOt sé dich vy bao mat va an toan . Ngan hang Nha nude, BO Cong Thuong cing da t6 chite thir nghigm cac CA chuyén ding dap img hoat déng nghiép vu ndi bdKhu vy ngoai nha nude nhu cae to chire VASC, VDC da cung cap ching thyc dign tir cho mot sé té chite va ed nhan, Nhin chung, nhu cdu sir dung PKI 6 Vigt Nam ngay cang tang , tuy nhién vige trién khai thye té hign tgi chur nhiéu 6 Vigt Nam, nim 2007 Ban Co Yéu Chinh phi thanh tip Trung tim Chimg thye dign tir chuyén diing vai cae chire ning cung cp , quan ly chimg thu 6 va cdc dich vu chimg thyc chit ky sé cho cae co quan thugc hé théng Chinh tri Nam 2008, BO Thong tin- Truyén thong da thanh lap Trung tim ching thyc chit ky sé quéc gia va giao Cyc tmg dung Céng nghé théng tin t6 chitc, quan ly, cdp phép va cung cdp dich vy chimg thy s6 cho Khu vite cng eéng, Hinh 5:Mo hinh PKI Viét Nam hién nay Nhin chung vige trién khai dich vu chimg thye chit ky s6 6 nude ta edn chim, chura theo kip téc d6 phat trién mang CNTT va cde dich vu giao dich ign tir trén thé gidi Co so ha ting khod céng khai (PKI) 1a mot trong nhing nhu cau thiét yéu ca tong lai, Nhung van dé 1a hu hét cdc tng dung cé thé duge dam bao an at PKI, Iy dé la phan mém trung tam tin cay cé tinh linh hoat thi lai rit dat. Day 1a diém khoi toan bang chimg chi va khod nhung Iai rat khé va dit dé c: 20dau ctia OpenCA. Myc dich la san phim cia hé théng trung tam tin cay nguén mo dé hé tro céng déng véi cae giai phap tét, ré (chi phi hgp ly) va mang tinh xu huéng trong tuong lai Dy 4n OpenCA duge bat dau vio nim 1998, Y tung OpenCA ban dau duoc phat trién béi Massimiliano Pala. Ma nguén ban dau cia dy an duge dogn script rat dai. Khi phién ban dau tién cua phan mém duge xay vidt v« dung, thi dy an OpenSSL van cé tén ld SSLeay . Rat nhiéu chire nang van con 16i va nbidu thé khéc nita déu dang bi bo qua cai dt phdn mém ban dau rit don gian va chi cé m6t vai doan script kha tao CA. Dé cai dt nhanh chéng phn mém, ban chi cn giai nén g6i dé, ding Iénh ed dé chuyén vao géi vita gidi nén dé va sir dung lénh “make install”, doan script sau 46 sé chay va tién hanh cai dat phin mém CA don gian va tao ra chimng chi CA ‘MOt loat céc doan script duge cung cap sé giup cho vié hinh cho hau hét cée phn cia dy én, Mac dit don gin nhur vay, nhung giai phap nay gay ra rat nhiéu van dé voi cong déng nguéi ding béi vi céc van dé cai dat va edu nay sinh tir viée nhu cdu can phai tao ra mét goi day dit va tét hon. Phién ban dau tién cia OpenCA rat don gin, nhiéu chite nang duge xay dung chi yéu chi duge ding dé cép phat chimg chi, CRL va cée phurong thire cai dat thi kha don so, khéng cé tinh tign dung cho bat ky du hinh nao , dogn script chi c6 thé tuong thich véi bash ‘Cac phién ban tiép theo duge bé sung thém nhieu tinh nang hon cho dir an va do d6 phién bin 0.109 43 bao gém giao dign cho server cla CA, RA va Pub. Tir Iic bat dau dy an va tir phat hanh phién ban dau tién, da c6 mot lugng Ion sy tham gia cia cong déng Internet déng gop vao sy phat t dy an cia 2.3. Cée dinh nghia vé PKI va ede khai nigm c6 tién quan 2.3.1, Cée dinh nghia vé PKI PKI cé rat nhiéu dinh nghia. Dé hiéu sau va rd vé PKI, em xin phép duge dua ra cde dinh nghia vé PKI Dinh nghia |PKI la co s6 ca m6t ha tang an ninh rong khap, cdc dich vy cia PKI duge cai dat va thye hign bing céch sir dung cde khai nigm va ky thudt cia mgt ma khod cong khai h nghia 2 PKI [a mot tép hgp phan ctmg, phan mém, con ngudi, cae chinh séch va cae thi: tue ean thiét dé tao, quan ly, lu trir, phan phéi va thu hdi cdc ching chi khod cong khai dya trén mat ma khod céng khai inh nghia 3 ‘Trong mt ma khod cong khai, co sé ha ting khéa cong Khai la mot co ché dé cho mot bén thir 3 (CA) cung cp vi xée thye dinh danh cae bén tham gia vao qui trinh trao ddi thing tin, Co ché nay eting cho phép gén cho mdi ngudi sit dung trong hé théng mét cap khéa céng khai/khéa riéng. Cae qua trinh nay thuéng duge thuc hign boi mét phan mém dat tai trung tam va cdc phi phdi hp Khe tgi cdc dia diém cita nguoi ding. Khéa cong khai thudmg duge pan phéi trong ching chi khod céng khai Khai nigm ha ting khéa cdng khai thurdng duge ding dé chi toan bo hé mém théng bao gém tham quyén chtmg thue cing cae co ché lién quan déng thoi ‘vGi toan bé vide sit dung cac thudt toan mat ma héa khéa céng khai trong trao di thong tin 2.3.2. Céie khdi nigm lién quan trong PKI 2.3.2.1. Ching chi Chimg chi 1 mt tai 1igu sir dung char ky s6 két hop khod cng khai véi ‘mot dinh danh thyc thé (nhur ngutri, mét t6 chire hoe mot may chii) ‘Chimng chi khong chita bat ky mot théng tin bi mat nao. Vé co ban, n6 bao gdm cae thnh phan sau Chimg chi chira nhimg thong tin edn thiét nhur khod cong khai, chit thé (nguoi sé hiu) , bén cdp chimg chi va mdt sé thong tin khdc. Tinh hgp Ié cita cdc théng tin duge dam bao bing chit ky sé ctia bén cdp chimg chi. Ngudi ding muén sir dung chiing chi trrée hét s® kiém tra chit ky s6 trong ching chi, Néu chit ky d6 hgp Ig thi c6 thé sir dung chimg chi dé Mot vai logi ching chi Chiimg chi khod cong khai X.509‘Ching chi khod cng khai don giin (Simple Public Key Certificate - SPKC) Ching chi Pretty Good Privacy (PGP) Ching chi thude tinh (Attribute Certificate -AC) Tat ca cée logi chimg chi nay déu 6 céu inte dang riéng bigt. Hign nay chimg chi khoa céng khai X.509 duge sir dung phé bién trong hau hét cdc hé théng PKL. Chitng chi X.509 Ching chi X.509 duge Hiép hdi vin thong quéc té (ITU) dua ra lin dau tign nam 1998 ‘Ching chi nay gém 2 phan, Phin dau la nhimg truéng co ban phai c6 trong chimg chi, phan thir hai la phan chita mét s6 cae trrang phu, hay c6n goi la trong mé rong. Cac trrong mé rong thong duge ding dé xac dinh va dap img nhitng yéu cau bé sung cua hé thong Version: Phién ban cia chitng chi Serial Number: Sé serial clia chiing chi, ld dinh danh duy nhat etia chimg. fin thiét chi, ¢6 gid tri nguyén Signature Algorithm: Thugt toin ctia chit ky : Chi ra thuat toan CA sit dung dé ky chimg chi Issuer: Tén chit thé phat hinh chimng chi Valid from — Valid to: Thai han cia chitng chi Subject: Tén chi thé cia ching chi Public Key: Khod cong khai ciia chu s6 hitu ching chiX509 Public Key Certificate vate ‘3 3564 386400 18d 1b 7305. shanks Thawte SCC CA, Thawte Cos. 2. kvdina 2008 18:02:55 2 kt 2009 18:02:55 wv. goage.com, Google Ine. sa (i024 Bt) Server Authenteation (1.3.6 {HJCRL Distrouton Pont: Ost... authority information Access [1JAuthority Info Access: Acc. ies constants Subject TypeEnd Entty, Pat. [thumbprint aor she [thumbprint 89.2098 710 72582 35... Psonature 31 0a 6c a2 Se e9 54 Hinh 6: Khudn dang ching chi X.509v3 2.3.2.2.Kho chiing chi Chimg chi duge cip boi CA két hyp khoa céng khai véi nhén dang cia thyc thé B. Tuy nhién néu thyc thé A khong cé kha nang xac dinh vj tri chimg chi nay m6t cdch dé dang thi anh ta cing khong co higu qua gi hon so véi vige ching chi nay chura dirge tao ra Do dé, phai cé m6t kho chimg chi tryc tuyén (online repository), quy mé Jén va mém déo va phai duge dat & vi tri ma A cé thé xac dinh vi tri chimg chi ma anh ta can dé trayén théng an toan Mot PKI quy m6 lin s@ tro: nén vo ich néu khong e6 kho chimg chi 2.3.2.3. Hiiy bo ching chi CA ky chimg chi gan két khéa cOng khai voi nhan dang ngudi dung. Tuy nhién trong mdi trudng thyc té, cdc sy kign sé c6 lie ddi hoi phai phd bO sr gin két nay. Sy pha bé gin két cAp khoa céng khai véi nhan dang cia mot thu thé ¢6 thé 1a do Sy thay déi nhén dang Khoa bi mat bj hacker kham pha ra 24Do 6 cin phai c6 mét céch thite dé théng bao cho nhitng ngudi ding con lai ring khod céng khai ctia dinh danh nay khéng con durge chp nhén nita, Co ché canh bao nay trong PKI duge goi 18 huy bo chimg chi (Certificate Revocation) 2.3.2.4. Sao leu vir due phong khéa Trong bat ky mOt méi trudng PKI dang hoat déng , mot ti 1g ngudi ding sit dung khoa bi mat ciia minh theo mét thei han 6 dinh 1u mdi thang hodc méi nam ). Nguyén nhan cé thé la do Quén mat khdu: Khoa bi mat ea ngudi ding van con vé mat vat ly nhung khong thé truy cp duge Phuong tign bj hong hoe: Vi dy nhur dia cimg bj hong hoe thé théng minh bi gay Su thay thé cata phyong tin: Hé diéu hanh duoc tai lai (ghi dé lén cac gidy te uy nhigm cyc b6) hoge mot m6 hinh may tinh ci hon duge thay thé bing mot m6 hinh may tinh méi hon va céc gidy ta uy nhigm khong duge ehuyén rude Khi dia ei bj format lai Giai phap: Thue hign sao hiru va dy phong khod bi mat dé giai ma. Vige sao luu va dy phdng khoa la mang tinh can thiét, né tao nén mét phan mo rOng trong dinh nghia PKI 2.3.2.5.Cap nhdt khéa tee ding ‘MOt chitng chi thi 6 thoi gian sng hau han. Khi ching ch duge thay thé bling mOt ching chi mdi. Thi tuc nay duge goi hay cp nhat chimg chi Vain dé dat ra la: Ngudi ding PKI sé thuéng cam thay bat tign khi phai cap nhat khoa tha cng va théng thong thi ho sé khéng nhé théi han hét han cia ching chi hoe khi thye hign cp nhgt khod khi da hét han thuéng gap phai nhiéu thi: tue phite tap hon Gidi phép: Xay dung PKI theo céch ma toin bd khod hode ching chi s® duge cap nhét hoan toan ty dong ma khdng cin e6 sy can thigp ndo cia ngudi ét han s& hat khost ding MGi khi chimg chi cia ngudi sir dung duge ding dén cho mot mye dich bat ky, thé gian hop Ig ciia né s@ durge kiém tra. Khi sp hét han thi hoat dong 25lam méi chimg chi sé dign ra, chimg chi méi sé duge tao ra va sé duge sue dung dé thay thé chimg chi ci va giao dich cia duge yéu céu cua ngudi ding s@ tigp tue dign ra Boi vi qué trinh cp nh§t khod ty dong 1 nhan 16 séng cdn déi voi PKI hoe dng trong nhiéu méi trang, do 6, né tao nén mot phin dink nghia eva PKI 2.3.2.6 Lich si khéa Trong suét qué trinh sir dung PKI, mét nguai ding c6 thé c6 nhiéu chimg chi cf va e6 it nhét mot chimg chi hign tai. T§p hgp ede chtmg chi nay véi ede khod bi mat tuong ing duge goi 4 lich sir khod (key history) hay cdn goi li lichsir khoa va chitng chi iéc duy tri. toan bé lich sir khoa nay rat quan trong bei vi néu gia sir thc thé A ma hod ban tin cho thye thé B trong khoang thoi gian 1a 5 nam thi thuc thé B khong thé giai ma bang khod bi mat hign tai clla minh ang giéng nhu sy c4p nhat khod, quan ly lich str khod phai durge thre hign va duy ti tr dong trong PKI. PKI can phai nim git duge tit ed cde khod trong lich stt, thye hign sao hu va dy phong tai vi tri thich hyp Duy tri lich sir khoa rat quan trong béi vi né tao ra mét phan mo réng, trong PKI duge dinh nghia 2.3.2.7. Ching thye chéo Bat van dé ‘Trong mdi trudng thy té, khong phai chi hoat dong ma thy té 6 rat nhiéu PKI duge trién khai va hoat déng, phye vu trong cde moi trudng va cong déng ngudi ding khae nhaw “6 mot PKI ton cuc duy nhat Khi céc PKI hoat déng phéi hop, lién két voi nhau, sé nay sinh van dé 1a lam thé nao dé dam bao an toan truyén théng gitta cdc céng déng ngudi ding trong cae PKI? Giai phap Khai nigm chimg the chéo da nay sinh trong méi trong PKI dé gidi quyét nhu cu nay nhim tao ra méi quan hé tin twong giita cac PKI khong c6 quan hé véi nhau tre dé‘Chimg thyc chéo 1a co ché cho phép ngudi ding cia mot céng déng PKI nay xée nhén tinh hop Ié chimg chi ctia ngudi ding khéc trong mot cng déng PKI khée 2.3.2.8.H6 tro chéng chéi bo Trong méi trung hoat dng ciia PKI, mdi hanh dong cia ngudi ding ludn gan véi dinh danh cia ho, Néu mOt ngudi ding ky sé van ban cia minh, thi cé nghia ngudi ding dé khang dinh ring van ban dé xuat phat tir pl PKI cn phai dam bao ring ngwai ding d6 khéng thé chéi bo trach nhigm ‘ma minh da thye hign. Co ché nay durge goi la co ché hé try chong chéi bo Dé thyc hién dirge co ché hd try chéng chéi bo, PKI cdn phai cung cap minh thye nguén géc dir ligu va chimg thyc thoi gian ma dit ligu duge ky. Do d6, hd tra chéng chéi bo tao nén mét phan cia dinh nghia PKI mé rong. Ot vai cdc bing chimg ky thudt duge yéu edu, nhur lax 2.3.2.9.Tem thoi gian ‘MOt nhan té quan trong trong vige hé trg cae dich vy chéng chdi bo 1a sir dyng tem thé gian an ton (secure time stamping) trong PKI. Nghia 18 nguén thoi gian phai durge tin cy va gid tr} thoi ian phai duge truyén di m@t cach an toan. Do dé can phai cé mét nguén théi gian cé thé tin tuéng durge cho tat ca ngudi diing trong PKL 2.3.2.10.Phén mém phia Client Trong m6 hinh PKI, kien tric may chi-may khach (server-software) thi cde server sé thie hién nhing nhié CA sé cung cép cée dich vy chimg chi Kho chimg chi sé lwu giit céc théng tin chimg chi va huy bé ching chi May chii sao liu va dyt phong sé quan Iy lich str khod mét ech phi hyp May chi tem thoi gian sé két hop cc théng tin thoi gian cé thé tin tueng duge vai cic vusau su van ban, Tuy nhién, server khong thé thyc hién bat ky diéu gi cho cdc may khach néu nhu may khach khéng dua ra eae yéu edu dich vy. Do d6 nhigm vu clia may khaich sé 1a May khdch phai dura ra yéu edu e: © dich vy chimg thre ceMay khach phai yéu ciu ching chi va xir ly cde thng tin huy bd ching chi e6 lién quan May khach phai biét lich sir khoa va phai biét khi nao can yéu cau cap mh§t khéa hoe huy bo khod May khach phai biét khi nao né can phai yéu cdu tem thoi gian trén van ban éu cia PKI tich hgp day dit dich vy duge cung cép bai client 1a mét thanh phan thié 6 phin mém nay, rit ni tinh nang. Néu kh PKI gan nhu khong cé higu qua 2.4, Mue tidu, chite ning PKI cho phép nhiing ngudi tham gia xée thye lin nhau va sir dung thong tin tir cde chitng chi khéa cong khai dé ma héa va gidi ma théng tin trong qua trinh trao d6i. PKI cho phép cae giao dich dign tr durge dign ra dim bao tinh bi mat, toan ven xac thye lin nhau va chéng chéi bo ma khéng cn phai trao cc thong tin mat tir truée. Xe thye: Chiing minh dink danh thyc thé Bi mat: Dam bao ring khéng ai cé thé doc durgc théng béo ngoai trit nguti nhan Toan ven: Bam béo rang ngudi nhin sé nhan duge thong béo ma khong bi thay d6i ndi dung ban dau Tinh chéng chéi bo: Co ché nay sé chimg minh ring ngudi nban/giti da thy su girinhén thong PKL tan dung ca mat ma déi ximg va phi doi vimg dé dé dat durge nhing tinh nang co ban trén io 2.4.1. Xée thye ‘Vé co ban, tinh xée thye cung cap 2 kl danh thute thé va dinh danh ngudn gée dir canh ting dung chinh dé la dinh u 2.4.1.1.Binh dan thue thé Dinh danh thyc thé don gidn ding dé dinh danh thye thé xéc dinh ndo d6 6 lién quan, Do dé, trén thye t6, dinh danh thye thé thong thuéng s& tao ramét két qua cy thé ma sau 6 duge sit dung dé thyc hién cdc hoat déng khic hode truyén thong khée ‘Dinh danh thye thé bao gdm : M6t nhan t6 va nhiéu nhan t6 C6 rét nhigu cach dé ching minh dinh dank. Ta c6 thé chia ra Kim bén logi sau Cai gi dé ngudi ding cé (vi dy thé thong minh hoae thiét bj phan cimg) Cai gi d6 ngudi dung biét (Vi dy mat khdu hode PIN) Cai gi dé 1a ngudi ding hoge gin véi ngudi ding (vi dy dau van tay hoae vong mac mat) CAi gi dé ngudi ding thye hign (vi du g6 cae ky ty nao d6) Cé hai kigu xée thyre duge biét dén nhu la dinh danh thy thé, dé la xée thyc cue bo va xae thy tirxa 24.11.1.Xéc thee cuc bé ‘Xée thye ban dau cua mot thye thé téi mdi trudng cuc b6 hau nhu lién quan trye tiép t6i nguéi ding. Vi du nhu mat khdu hode sé dinh danh cé nhan (PIN) phai duge nhap vio, sir dung déu van tay dé nhan dang. 24 11.2Xée thee tiexa Xa thue cia mot thye thé t6i méi truimg G xa: Nghia la c6 thé hode khéng can lién quan tryc tiép t6i ngudi ding. Trén thy té, hau hét cée he théng xée thye tir xa phire tap khéng hodn ton lién quan t6i ngudi ding vi khé dé bao vé hé théng xéc thye mA dura ra cdc thong tin xéc thye nhay cam, i du nhu mat khdu hodc dau van tay, va trayén trén mot kénh khong an toan 2.4.1.2. Dinh danh nguén géc dit ligu inh danh ngudn géc dit ligu sé dinh danh mét thye thé xac dinh nao 45 nhw nguén géc ctia dit ligu duoc dua ra, Hoat dng dinh danh nay khéng phai la dinh danh cé lap, cing khéng phai hoan toan la dinh danh cho muc dich thu hign cdc hoat déng khie 2.4.2, Bi mat Dich vu bi mat dim bao tinh rigng tur ciia dir Higu. Khdng ai e6 thé doe duge dit ligu ngoai trir thye thé nhan. Dich vy bi mat duge yéu cau khi di ligu ki‘Duoc hu trit trén phuong tién (nhur phan cimg may tinh) ma ngudi ding khéng hgp phap c6 thé doc duge ‘Duge dy phdng trén thiét bi (vi dy bang tir) ma c6 thé bi roi vao tay ngudi ding khéng hop phap Dupe truyén trén mang khéng duge bao ve Cae ky thuat mat ma dim bao tinh bi mat cn phai duge ap dung véi mei loai dit ligu nhay cam 2.4.3.Toan ven dit ligu ‘Toan ven dir ligu dam bao ring dit ligu khéng bj thay déi. Sy dam bao nay la mét phan thiét yéu trong bat ky mdi truéng thuong mai dign ttt hoc logi hinh kinh doanh nao Mite dé toan ven dit ligu c6 thé dat durge bing cic co ché chin lé iia cde bit va ma kiém tra dich vong (Cyclic Redundancy Codes -CRCs) ‘Dé bao vé dit ligu khdi tin cOng nhim phd vo tinh toan ven dit ligu, cic ky thugt mat ma duge sit dung. Do d6, khod va cae thugt ton phai duge trién khai va phai durge biét giita cdc thyc thé muén cung cap tinh toan ven dit ligu vi thyc thé muén duge dam bao tinh toan ven ca dit ligu Dich vu toan ven ca PKI c6 thé duge xay dug dua trén hai ky thuat 2.4.3.1.Chit hy sd Mac dit né duge diing cho myc dich cung cp sir xée thye, nhung né cing duge str dung dé cung cdp tinh toan ven cho dit ligu durge ky-Néu cé sy thay déi bat ky true va sau khi ky thi char ky s6 s® bi loai bd khi kiém tra , vi vay viée mit tinh toan ven cla dit ligu s& dé dang bi phat hién (2.4.3.2. Ma xde thie théng bdo Ky thuat nay théng thudng sir dung mot ma khéi déi xing (vi dy DES, DES-CBC-MAC) hoac mét ham bam mat ma (HMAC-SHA-1) 2.4.4.Chéng choi bd Dich vu chéng chéi bo 1a dich vu dam bao ring thyc thé khéng thé chi bd Ong cla minh. Céc bién thé thudng duge nhic téi nhiéu nhat 1a chong, hanh chéi bo ngudn gée (ngudi ding khéng thé chéi bo ring da giri mot tai Tigu 30hoc mét van bin) hodc chéi bo sy tiép nhdn (nguoi ding khéng thé chéi bo ring di nhan duge van ban hode tai ligu). Ot vai cde bién thé khde cia tinh chong chdi bo ld : Choi bo da tao ra, chéi bé 4a chuyén, chéi b6 vige tin thanh 2.5. Cée khia canh an toin co ban ma PKI cung cip ‘Theo nhu dinh nghia trén, PKI cung cap mt co so ha tang an ninh rong khap. Co so ha ting danh cho céc myc dich an ninh phai chip nhén mét nguyén tic nhat quan va phai cung cép cde Igi ich co ban nhw nhau. Co so ha tang an ninh rng khip dam bao an toan cho toain b@ t6 chire va tat cd cde dbi tuong, img dung trong t6 chite. Cc khia canh an toan ma PKI cung céip bao gdm 2. 1, Ding nh§p an toan ién trinh dang nhap lién quan ti ngudi ding nhép dinh danh cia minh, (ID ctia user hode username), xac thc théng tin (password hodc gia tri bi mat nao d6). Local sro09 = component || Auhentcaton —_TRemate component of secu secu etasctre irasttine Loca Environment Hinh 7: Tién trinh dang nhép an toan 2.5.2. Dang nhap mét lan an toan Dang nh{p an toan mot Lin 1a sy mo rng cita dang nhp an toan. Sy dang nhap nay c6 thé ket néi ti rat nhiéu cac thiét bj 6 xa, do dé sé loai bo duge 31yéu té cén phai dang nhp nhiéu lan . So dé hinh.. minh hga co ché ding nhap mot lin an todn Fononnicson’ | [enon iam [=] Toa sero mo ao 4)! | an secy nae 1) {I Wu Local | Hinh 8: Tién trinh dng nhdp an toan moe lan Dang nhgp an toan mot Lan cling di dé truy c4p tei cde thiét bi, mién, may. chu, cde hé théng va cde img dung. Tuy nhién, ching ta can cha ¥ ring, sy kign dang nhap an toan van c6 thé dugc két hop véi cdc co ché kiém soat truy cap khac. Do dé, ding trén quan diém vé tinh tign dung thi su kign dang nhap an todn mét Kin 1a digu rat duge mong muén boi vi ngudi ding thuéng chi phai nhé mt vai mat khdu va chi edn phai biét thi tue mt lan dé truy cp t6i nhiéu hé théng. Ding trén quan diém vé an ninh thi day ciing 1a diéu cing rat duge mong muén béi vi céc mat khdu duge trayén qua mang véi tin sudt it hon Lgi ich an toan quan trong trong dé 1a mét co sé ha tang duge thiét k c6 thé dam bao rang ngudi ding chi cin dang nhap téi may cuc b6 ma ho dang kim vige. Do d6, mat khau s® khong phai chuyén qua ving mang d@ bi khai thac, giam duge nhitng rai ro lén nhu cae ri ro bi danh cip mat khau 2.5.3. Trong suét véi nguai ding cudi ‘MOt dic tinh rit quan trong cla co sé ha ting rong khip dé 1a tinh trong suét voi ngudi ding cudi. Nghia lA ngudi diing khéng can biét vé phan header cia géi tin IP hoge cae g6i Ethemet. Céic dich vu cia co so ha ting sé duge chuyén t6i ngudi ding trong car sé ha ting théng qua mét “hop den” hoan 32toan. Ngudi ding khéng cdn phai biét tit cd vé van dé an ninh va khdng cin phai can thigp thi cOng. Ngudi ding cing khong cdn phai biét vé ede thudt toan va khod Ngudi ding citing khong can phai biét vé co ché co so ha ting dam bao an ninh ra sao, Swan toan kh6ng nén gay khé khin cho ngudi ding dé can tre ho thyc téc vy cia minh. An toan khéng can yéu cau ngudi ding phai co hiéu biét dac biét, khong yéu cau ngwoi ding phai c6 nhiing thu tue dic biét . 2.5.4. An ninh toan dign Loi ich quan trong nhat cua ha tang an ninh rng khap la : N6 dam bao ring mt cOng nghé an toan tin ey, nhur cong nghé Khod cong khai i sing trong méi trang. $6 lugng cdc img dung, thiét bj va eée may chi e6 thé hoat dng lién tue cing nhau dé dim bao an toin trong khi truyén, laru trit va truy xudt di ligu, cae qua trinh giao dich, va truy cap may chi. Cée ting dung thu dign ti, trinh duygt Web, tug lita va ede thiét bi truy cp tir xa, edie may chu img dung, cae may chi file, co sé dit ligu...tét cd déu phai hiéu duge va tn dung duge ha ting an ninh theo mt cach théng shat. Nhimg méi trudng nhu vay sé giam luge duge rat lin ca cde van dé giao tiép cua ngudi ding voi rat nhiéu cac thiét bi va cdc tmg dung va cdc céng viée quan tri phite tap céc thiét bi va cdc img dung nay ‘M6t trong nhitng co ché chu yéu dé dat durge an ninh toan dign trong co so ha ting 1a kha nang dim bao khod duge str dung, durge hiéu va duge xir theo m@t céch chat ché théng qua mdt pham vi rng lén cia cde thye thé va thiet bj trong té chitc. CHUONG I: CAC THANH PHAN, CO CHE LAM VIEC CUA PKI. CAC MO HiNH VA CAC KIEU KIEN TRUC CUA PKI 3.1. M6 hinh PKI va cac thinh phan cia PKI 3CA (Roop Building A PKI Sims Subordinate Cons Repostry for pay CA Ghordinat Cars, CLs " fs m Directory Define Patios Pubtsh Ser onfigure with Ritter Revoke > ES) —Via toa — Copy of Cer» heen sot Mtoe £ 2 cn nt hn ona (eg VPN Client, Browser) (eg Web Server, VPN Gateway) Signs, Encrypts Veifies, Decrypts Hinh 9: Mé hinh céc thanh phan PKI BLL CA, Trong PKI, CA Li m@t thy thé PKI ¢6 trich nhigm cép chimg chi cho cae thyc thé khac trong hé thong Té chite chimg thye ~ CA duge goi li bén thit ba tin cdy béi vi nguii dang cuéi tin tong vao chit ky sé cia CA trén chimg chi trong khi thye hién nhing hoat dng ma hod khod céng khai ean thiét, CA thye hign xée thye bang céch cap ching chi cho cde CA khdc va cho thy thé cudi trong hé théng. Néu CA nim o dinh cia mé hinh phan cap PKI ‘va chi cp chimg chi cho nhimg CA 6 mite thap hon thi CA nay duge goi la root CA. 3.L2RA 3.1.2.1.Chite nang, nhiém vu ctia RA Chite nang quan tri cé thé duge phan phdi cho RA. RA déng vai tro tung gian lam nhiém vy tuong tic gitta CA va client. 34RA c6 thé chiu trich nhigm cho viée gan tén, tao cp Khoa, xée thye thc thé cudi trong sudt qua trinh ding ky RA lam nhigm vu nhan cae yéu cau cua thye thé, xac minh ching sau d6 ti yeu clu cho CA.V RA efing nhan cae ching chi tir CA, sau d6 gti chimg chi cho thye thé ‘Thiét lap va xée nhan danh tinh cua thye thé trong giai doan khdi tao Phan phéi céc bi mat ding chung t6i nguoi sir dung cudi dé xéc the tuan tur trong suét giai doan khdi tao try tuyén Khoi to qué trinh chimg thye v6i CA dai dign cho ngudi ding cudi Thue hign chite nang quan ly vong déi ciia khod/chimg chi, chit ¥ ring RA khéng bao gié duge phép cap chimg chi hoc thu héi chimg chi. Chire ning nay chi c6 6 CA 3.1.2.2. Thanh phan cia RA RA bao gdm 3 thanh pha sau 3.1.2.2..RA Console RA console 14 mot ma chu (server) duge cai dat cho RA officer dé dua ‘ac yéu cau ching chi. Né cé thé két ndi veri CA. Server nay xir ly cdc yéu cau ching chi s6 trong qua trinh chimg thyc 3.1.2.2.2.RA Officer RA Officer lé mt ed nhan thyc hign cdc tée vu nhur ding ky chimg chi sé, lam méi hoge thu hdi chting chi. Sau khi RA Officer xe minh va cl yéu cau, né sé chuyén trye tiép cde yéu cu nay Ién CA server. Sau khi CA server xtr ly yéu clu va cp chimg chi, RA Officer s@ phan phéi ching chi thuan 3.1.2.2.3.RA Manager RA Manager la mt cd nan lim nhigm vy quan ly RA Officer va dim bio ring toan bd tha tuc img dung chimg thye duge the hign ma khOng c6 sv lira dao cua con nguéi. RA Manager sé cin phai chap thuan tat ca cde yéu cau duoc xir ly boi RA Officer trude khi dura cc tng dung chirg thu téi cho CA3.1.3. Certificate-Enabled Client: Bén durge cap phat chimg chi Bén durge cip phat chiing chi (hay cdn goi la PKI client) thuéng yéu chu CA hoic RA cip phat ching chi, Dé e6 duge chiing chi tir CA, PKI client thyc hign céc burée sau Giri yéu cdu tao cp khod cng khai/khéa riéng. CA hode client ¢6 thé thyc hign nhiém vu nay. Cap khéa chira chi tid Sau khi cap khod duge tgo ra, client giti yéu ciu cho CA yéu cau chimg tia client chi. Sau khi client nhén duge chimg chi tir CA, n6 c6 thé sir dung chimg chi dé chimg minh danh tinh cia chink né va duge xem nhu mét ngudi sé hi chimg chi da duge xae the cae két ndi gi client va CA déu duge gitt an toan, Hon nita, client chju trach nhigm dam bao an toan cho khoa riéng ‘Vi du VPN Client, trinh duyét Lam nhigm vy ky va ma hod 3.1.4. Data Recipient : Bén nhan dit ligu Vi dy Web Server, VPN Gateway Lam nhigm vu xd minh va gi ma 3.1.5. Kho luu trivthu hoi ching chi é lim thudn tign qué trinh phan phdi, chitng chi c6 thé duge cong bé trong kho chitng chi Kho chitng chi phin phdi ching chi tdi ngudi diing va ede té chite . Kho chiing chi ¢6 chita chimg chi, danh sich huy bé chimg chi, danh sich huy bo tham quyén va mot sé thir khée c6 lién quan t6i d6i tong , vi du nhwr chinh +h ca cdc di tuong, Chimg chi c6 thé duge phan phéi béi chinh ngudi ding hoge duge phan phéi bang mét may chi thu muc ma sir dung LDAP dé truy van théng tin ngudi ding. Hg théng phan phdi chimg chi duge sir dung dé thye hign cde nhigm vy sau Tao va cdp phat cp khod Ching thye tinh hgp Ig cita khod céng khai bing eich ky vao khoa céng khai 36